《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 設(shè)計應(yīng)用 > 防火墻的透明模式和透明代理
防火墻的透明模式和透明代理
摘要: 透明代理與透明模式都可以簡化防火墻的設(shè)置,,提高系統(tǒng)安全性,。但兩者之間也有本質(zhì)的區(qū)別:工作于透明模式的防火墻使用了透明代理的技術(shù),但透明代理并不是透明模式的全部,,防火墻在非透明模式中也可以使用透明代理,。值得注意的是,雖然國內(nèi)市場上很多防火墻產(chǎn)品都可提供透明代理訪問機制,,但真正實現(xiàn)透明模式的卻不多——有很多廠商都宣稱自己的防火墻產(chǎn)品實現(xiàn)了透明模式,,但在實際應(yīng)用中,他們往往做不到這一點,,而只是實現(xiàn)了透明代理,。
Abstract:
Key words :

       隨著防火墻技術(shù)的發(fā)展,安全性高,、操作簡便,、界面友好的防火墻逐漸成為市場熱點。在這種情況下,,可以大大簡化防火墻設(shè)置,、提高安全性能的透明模式透明代理就成為衡量產(chǎn)品性能的重要指標。于是在推薦產(chǎn)品的過程中,很多廠商往往會介紹自己的產(chǎn)品實現(xiàn)了透明模式和透明代理,。那么究竟什么是透明模式和透明代理呢?他們之間又有何關(guān)系呢?下面我們將做具體分析,。

  透明模式,顧名思義,,首要的特點就是對用戶是透明的(Transparent),,即用戶意識不到防火墻的存在。要想實現(xiàn)透明模式,,防火墻必須在沒有IP地址的情況下工作,,不需要對其設(shè)置IP地址,用戶也不知道防火墻的IP地址,。防火墻作為實際存在的物理設(shè)備,其本身也起到路由的作用,,所以在為用戶安裝防火墻時,,就需要考慮如何改動其原有的網(wǎng)絡(luò)拓撲結(jié)構(gòu)或修改連接防火墻的路由表,以適應(yīng)用戶的實際需要,,這樣就增加了工作的復雜程度和難度,。但如果防火墻采用了透明模式,即采用無IP方式運行,,用戶將不必重新設(shè)定和修改路由,,防火墻就可以直接安裝和放置到網(wǎng)絡(luò)中使用,如交換機一樣不需要設(shè)置IP地址,。

  透明模式的防火墻就好象是一臺網(wǎng)橋(非透明的防火墻好象一臺路由器),,網(wǎng)絡(luò)設(shè)備(包括主機、路由器,、工作站等)和所有計算機的設(shè)置(包括IP地址和網(wǎng)關(guān))無須改變,,同時解析所有通過它的數(shù)據(jù)包,既增加了網(wǎng)絡(luò)的安全性,,又降低了用戶管理的復雜程度,。

  而與透明模式在稱呼上相似的透明代理,和傳統(tǒng)代理一樣,,可以比包過濾更深層次地檢查數(shù)據(jù)信息,,比如FTP包的port命令等。同時它也是一個非??斓拇?,從物理上分離了連接,這可以提供更復雜的協(xié)議需要,,例如帶動態(tài)端口分配的H.323,,或者一個帶有不同命令端口和數(shù)據(jù)端口的連接。這樣的通信是包過濾所無法完成的。

  防火墻使用透明代理技術(shù),,這些代理服務(wù)對用戶也是透明的,,用戶意識不到防火墻的存在,便可完成內(nèi)外網(wǎng)絡(luò)的通訊,。當內(nèi)部用戶需要使用透明代理訪問外部資源時,,用戶不需要進行設(shè)置,代理服務(wù)器會建立透明的通道,,讓用戶直接與外界通信,,這樣極大地方便了用戶的使用。

  一般使用代理服務(wù)器時,,每個用戶需要在客戶端程序中指明要使用代理,,自行設(shè)置Proxy參數(shù)(如在瀏覽器中有專門的設(shè)置來指明HTTP或FTP等的代理)。而透明代理服務(wù),,用戶不需要任何設(shè)置就可以使用代理服務(wù)器,,簡化了網(wǎng)絡(luò)的設(shè)置過程。

  透明代理的原理如下:假設(shè)A為內(nèi)部網(wǎng)絡(luò)客戶機,,B為外部網(wǎng)絡(luò)服務(wù)器,,C為防火墻。當A對B有連接請求時,,TCP連接請求被防火墻截取并加以監(jiān)控,。截取后當發(fā)現(xiàn)連接需要使用代理服務(wù)器時,A和C之間首先建立連接,,然后防火墻建立相應(yīng)的代理服務(wù)通道與目標B建立連接,,由此通過代理服務(wù)器建立A 和目標地址B的數(shù)據(jù)傳輸途徑。從用戶的角度看,,A和B的連接是直接的,,而實際上A 是通過代理服務(wù)器C和B建立連接的。反之,,當B對A有連接請求時原理相同,。由于這些連接過程是自動的,不需要客戶端手工配置代理服務(wù)器,,甚至用戶根本不知道代理服務(wù)器的存在,,因而對用戶來說是透明的。

  代理服務(wù)器可以做到內(nèi)外地址的轉(zhuǎn)換,,屏蔽內(nèi)部網(wǎng)的細節(jié),,使非法分子無法探知內(nèi)部結(jié)構(gòu)。代理服務(wù)器提供特殊的篩選命令,,可以禁止用戶使用容易造成攻擊的不安全的命令,,從根本上抵御攻擊,。

  防火墻使用透明代理技術(shù),還可以使防火墻的服務(wù)端口無法探測到,,也就無法對防火墻進行攻擊,,大大提高了防火墻的安全性與抗攻擊性。透明代理避免了設(shè)置或使用中可能出現(xiàn)的錯誤,,降低了防火墻使用時固有的安全風險和出錯概率,,方便用戶使用。

  因此,,透明代理與透明模式都可以簡化防火墻的設(shè)置,,提高系統(tǒng)安全性。但兩者之間也有本質(zhì)的區(qū)別:工作于透明模式的防火墻使用了透明代理的技術(shù),,但透明代理并不是透明模式的全部,,防火墻在非透明模式中也可以使用透明代理。值得注意的是,,雖然國內(nèi)市場上很多防火墻產(chǎn)品都可提供透明代理訪問機制,,但真正實現(xiàn)透明模式的卻不多——有很多廠商都宣稱自己的防火墻產(chǎn)品實現(xiàn)了透明模式,但在實際應(yīng)用中,,他們往往做不到這一點,而只是實現(xiàn)了透明代理,。

 

此內(nèi)容為AET網(wǎng)站原創(chuàng),,未經(jīng)授權(quán)禁止轉(zhuǎn)載。