1,特性介紹
防火牆作為一實際存在的物理裝置,其本身也起到路由的作用,所以在為使用者安裝防火牆時,就需要考慮如何改動其原有的網路拓撲結構或修改連線防火牆的路由表,以適應使用者的實際需要,這樣就增加了工作的複雜程度和難度。
但如果防火牆採用了透明模式,即採用無ip方式執行,使用者將不必重新設定和修改路由,防火牆就可以直接安裝和放置到網路中使用,如交換機一樣不需要設定ip位址!
透明模式的防火牆就好像是一台網橋(非透明的防火牆好像一台路由器),網路裝置(包括主機、路由器、工作站等)和所有計算機的設定(包括ip位址和閘道器)無須改變。但是,防火牆透明模式與網橋存在不同,防火牆接收到的ip報文還需要(解析所有通過它的資料報)送到上層進行相關過濾等處理,通過檢查會話表或acl規則以確定是否允許該報文通過;此外,還要完成其它防攻擊檢查。透明模式的防火牆支援acl規則檢查、aspf狀態過濾、防攻擊檢查、流量監控等功能。因此既增加了網路的安全性,又降低了使用者管理的複雜程度。
當防火牆工作在透明模式(也可以稱為橋接模式)下時,所有介面都不能配置ip位址,介面所在的安全區域是二層區域,和二層區域相關介面連線的外部使用者同屬乙個子網。當報文在二層區域的介面間進行**時,需要根據報文的mac位址來尋找出介面,此時防火牆表現為乙個透明網橋。
工作在透明模式下的防火牆在資料鏈路層連線區域網(lan),網路終端使用者無需為連線網路而對裝置進行特別配置,就像使用乙太網交換機一樣進行網路連線。
2,透明**
與透明模式在稱呼上相似的透明**,和傳統**一樣,可以比包過濾更深層次地檢查資料資訊,比如ftp包的port命令等。同時它也是乙個非常快的**,從物理上分離了連線,這可以提供更複雜的協議需要,例如帶動態埠分配的h.323,或者乙個帶有不同命令埠和資料埠的連線。這樣的通訊是包過濾所無法完成的。
假設a為內部網路客戶機,b為外部網路伺服器,c為防火牆。當a對b有連線請求時,tcp連線請求被防火牆擷取並加以監控。擷取後當發現連線需要使用**伺服器時,a和c之間首先建立連線,然後防火牆建立相應的**服務通道與目標b建立連線,由此通過**伺服器建立a和目標位址b的資料傳輸途徑。從使用者的角度看,a和b的連線是直接的,而實際上a是通過**伺服器c和b建立連線的。反之,當b對a有連線請求時原理相同。由於這些連線過程是自動的,不需要客戶端手工配置**伺服器,甚至使用者根本不知道**伺服器的存在,因而對使用者來說是透明的。
**伺服器可以做到內外位址的轉換,遮蔽內部網的細節,使非法分子無法探知內部結構。**伺服器提供特殊的篩選命令,可以禁止使用者使用容易造成攻擊的不安全的命令,從根本上抵禦攻擊。
防火牆使用透明**技術,還可以使防火牆的服務埠無法探測到,也就無法對防火牆進行攻擊,大大提高了防火牆的安全性與抗攻擊性。透明**避免了設定或使用中可能出現的錯誤,降低了防火牆使用時固有的安全風險和出錯概率,方便使用者使用。
因此,透明**與透明模式都可以簡化防火牆的設定,提高系統安全性。但兩者之間也有本質的區別:工作於透明模式的防火牆使用了透明**的技術,但透明**並不是透明模式的全部,防火牆在非透明模式中也可以使用透明**。
3,特性的優點
防火牆採用透明模式進行工作,則可以避免改變拓撲結構造成的麻煩,此時防火牆對於子網使用者和路由器來說是完全透明的,也就是說,使用者完全感覺不到防火牆的存在,類似於在網路中像放置了乙個網橋,無需修改任何已有的配置。
4,使用場合
適用於使用者不想改變現有網路拓撲和配置,而需要增加防火牆功能的組網情況
防火牆透明模式
1,特性介紹 防火牆作為一實際存在的物理裝置,其本身也起到路由的作用,所以在為使用者安裝防火牆時,就需要考慮如何改動其原有的網路拓撲結構或修改連線防火牆的路由表,以適應使用者的實際需要,這樣就增加了工作的複雜程度和難度。但如果防火牆採用了透明模式,即採用無ip方式執行,使用者將不必重新設定和修改路由...
PIX防火牆透明模式
1 應用環境 如下圖 內網與internet的連線早已經部署好,但是沒有在內網中安裝防火牆。出於安全的考慮,現需要在內網中安裝防火牆 其實也可以在出口 但是需求是,原來內網中的所有配置都不應發生改變,這時就需要使用防火牆的透明模式。2 部署 防火牆上的配置 基本介面配置 pixfirewall co...
透明防火牆才是純粹的防火牆
早在上大學時就有乙個疑問,為什麼防火牆看起來像是一台路由器,為了引入乙個防火牆,你起碼要多申請2個ip位址,還要配置複雜的路由保證通路,為了上述保證,你不得不重新規劃你的網路,最最麻煩的就是為你的那個防火牆分配的那個ip位址,該位址可能會成為攻擊者進入內部網的入口。到底是誰在保護誰啊?真正意義的純粹...