欢迎到
随着防火墙技能的发展,安全性高、操作简便、界面友好的防火墙逐渐成为市场热点。在这种情况下,可以大大简化防火墙配置、提高安全性能的透明模式和透明代理就成为衡量产品性能的主要指标。于是在推选产品的流程中,很多厂商往往会介绍自己的产品实现了透明模式和透明代理。那么究竟什么是透明模式和透明代理呢?他们之间又有何联系呢?下面我们将做具体分析。
透明模式,顾名思义,首要的特点就是对用户是透明的(Transparent),即用户意识不到防火墙的存在。要想实现透明模式,防火墙必须在没有IP地址的情况下工作,不须要对其配置 IP地址,用户也不知道防火墙的IP地址。防火墙作为实际存在的物理设备,其本身也起到路由的作用,所以在为用户安装防火墙时,就须要考虑如何 改动其原有的网络拓扑结构或修改连接防火墙的路由表,以适使用户的实际须要,这样就添加了工作的复杂程度和难度。但如果防火墙采用了透明模式,即采用无IP形式运行,用户将不必重新设定和修改路由,防火墙就可以直接安装和放置到网络中运用,如交换机一样不须要配置 IP地址。
透明模式的防火墙就好象是一台网桥(非透明的防火墙好象一台路由器),网络设备(包括主机、路由器、工作站等)和所有计算机的配置 (包括IP地址和网关)无须改动,同时分析所有通过它的数据包,既添加了网络的安全性,又降低了用户管理的复杂程度。
而与透明模式在称呼上相似的透明代理,和传统代理一样,可以比包过滤更深层次地检查数据信息,比如FTP包的port命令等。同时它也是一个非常快的代理,从物理上分离了连接,这可以提供更复杂的协议须要,例如带动态端口分配的H.323,或者一个带有不同命令端口和数据端口的连接。这样的通信是包过滤所不能完成的。
防火墙运用透明代理技能,这些代理服务对用户也是透明的,用户意识不到防火墙的存在,便可完成内外网络的通讯。当内部用户须要运用透明代理访问外部资源时,用户不须要执行 配置,代理服务器会建立透明的通道,让用户直接与外界通信,这样极大地点便了用户的运用。
一般运用代理服务器时,每个用户须要在客户端程序中指明要运用代理,自行配置 Proxy参数(如在阅读器中有专门的配置来指明HTTP或FTP等的代理)。而透明代理服务,用户不须要任何配置就可以运用代理服务器,简化了网络的配置流程。
透明代理的原理如下:假设A为内部网络客户机,B为外部网络服务器,C为防火墙。当A对B有连接请求时,TCP连接请求被防火墙截取并加以监控。截取后当发觉连接须要运用代理服务器时,A和C之间首先建立连接,然后防火墙建立相应的代理服务通道与目标B建立连接,由此通过代理服务器建立A 和目标地址B的数据传输途径。从用户的角度看,A和B的连接是直接的,而实际上A 是通过代理服务器C和B建立连接的。反之,当B对A有连接请求时原理相同。由于这些连接流程是自动的,不须要客户端手工配置代理服务器,甚至用户根本不知道代理服务器的存在,因而对用户来说是透明的。
代理服务器可以做到内外地址的转换,屏蔽内部网的细节,使非法分子不能探知内部结构。代理服务器提供特殊的筛选命令,可以禁止用户运用 容易造成攻击的不安全的命令,从根本上抵御攻击。
防火墙运用透明代理技能,还可以使防火墙的服务端口不能探测到,也就不能对防火墙执行 攻击,大大提高了防火墙的安全性与抗攻击性。透明代理防止了配置或运用中可能出现的不正确,降低了防火墙运用时固有的安全危机和出错概率,方便用户运用。
因此,透明代理与透明模式都可以简化防火墙的配置,提高系统安全性。但两者之间也有本质的区别:工作于透明模式的防火墙运用了透明代理的技能,但透明代理并不是透明模式的全部,防火墙在非透明模式中也可以运用透明代理。值得留心的是,虽然国内市场上很多防火墙产品都可提供透明代理访问机制,但真实实现透明模式的却不多——有很多厂商都宣称自己的防火墙产品实现了透明模式,但在实际使用中,他们往往做不到这一点,而只是实现了透明代理。