防火墙的透明模式和透明代理技术电脑资料
随着防火墙技术的开展,平安性高、操作简便、界面友好的防火墙
逐渐成为市场热点,
透明模式,顾名思义,首要的特点就是对用户是透明的(Transparent),即用户意识不到防火墙的存在。要想实现透明模式,防火墙必须在没有IP地址的情况下工作,不需要对其设置IP地址,用户也不知道防火墙的IP地址。防火墙作为实际存在的物理设备,
其本身也起到路由的作用,所以在为用户安装防火墙时,就需要考
虑如何改动其原有的网络拓扑结构或修改连接防火墙的路由表,以
适应用户的实际需要,这样就增加了工作的复杂程度和难度。但如
果防火墙采用了透明模式,即采用无IP方式运行,用户将不必重新
设定和修改路由,防火墙就可以直接安装和放置到网络中使用,如
交换机一样不需要设置IP地址。
透明模式的防火墙就好象是一台网桥(非透明的防火墙好象一台路由器),网络设备(包括主机、路由器、工作站等)和所有计算机的设置(包括IP地址和网关)无须改变,同时解析所有通过它的数据包,既
增加了网络的平安性,又降低了用户的复杂程度。
而与透明模式在称呼上相似的透明代理,和传统代理一样,可以比
包过滤更深层次地检查数据信息,比方FTP包的port命令等。同时
它也是一个非常快的代理,从物理上别离了连接,这可以提供更复
杂的协议需要,例如带动态端口分配的H.323,或者一个带有不同
命令端口和数据端口的连接。这样的通信是包过滤所无法完成的。
防火墙使用透明代理技术,这些代理效劳对用户也是透明的,用户
意识不到防火墙的存在,便可完成内外网络的通讯,
一般使用代理效劳器时,每个用户需要在客户端程序中指明要使用
代理,自行设置Proxy参数(如在浏览器中有专门的设置来指明或FTP等的代理)。而透明代理效劳,用户不需要任何设置就可以使用
代理效劳器,简化了网络的设置过程。
透明代理的原理如下:假设A为内部网络客户机,B为外部网络效劳器,C为防火墙。当A对B有连接请求时,TCP连接请求被防火墙截
取并加以监控。截取后当发现连接需要使用代理效劳器时,A和C
之间首先建立连接,然后防火墙建立相应的代理效劳通道与目标B
建立连接,由此通过代理效劳器建立A 和目标地址B的数据传输途径。从用户的角度看,A和B的连接是直接的,而实际上A 是通过
代理效劳器C和B建立连接的。反之,当B对A有连接请求时原理
相同。由于这些连接过程是自动的,不需要客户端手工配置代理效
劳器,甚至用户根本不知道代理效劳器的存在,因而对用户来说是
透明的。
代理效劳器可以做到内外地址的转换,屏蔽内部网的细节,使非法
分子无法探知内部结构。代理效劳器提供特殊的筛选命令,可以禁
止用户使用容易造成攻击的不平安的命令,从根本上抵御攻击。
防火墙使用透明代理技术,还可以使防火墙的效劳端口无法探测到,也就无法对防火墙进行攻击,大大提高了防火墙的平安性与抗攻击性。透明代理防止了设置或使用中可能出现的错误,降低了防火墙
使用时固有的平安风险和出错概率,方便用户使用。
因此,透明代理与透明模式都可以简化防火墙的设置,提高系统平
安性。但两者之间也有本质的区别:工作于透明模式的防火墙使用了
电脑防火墙的作用透明代理的技术,但透明代理并不是透明模式的全部,防火墙在非
透明模式中也可以使用透明代理。值得注意的是,虽然国内市场上
很多防火墙产品都可提供透明代理访问机制,但真正实现透明模式
的却不多——有很多厂商都宣称自己的防火墙产品实现了透明模式,但在实际应用中,他们往往做不到这一点,而只是实现了透明代理。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论