防火墙设计原则及重点(2)透明模式及市场定位

4．透明性

防火墙的透明性指防火墙对于用户是透明的，在防火墙接入网络时，网络和用户无需做任何设置和改动，也根本意识不到防火墙的存在。

防火墙作为一个实际存在的物理设备，要想放入已存在地网络中又不对网络有任何影响，就必须以网桥的方式置入网络。传统方式下，防火墙安装时，更象是一台路由器或者网关，原有网络拓扑结构往往需要改变，网络设备（包括主机和路由器）的设置（IP和网关、DNS、路由表等等）也需要改变。但如果防火墙采用了透明模式，即采用类似网桥的方式运行，用户将不必重新设定和修改路由，也不需要知道防火墙的位置，防火墙就可以直接安装和放置到网络中使用。

透明模式最大的好处在于现有网络无需做任何改动，这就方便了很多客户，再者，从透明模式转换到非透明模式又很容易，适用性显然较广。当然，此时的防火墙仅仅起到一个防火墙的作用，其他网关位置的功能如NAT、VPN功能不再适用，当然，其他功能如透明代理还可以 继续使用。

目前透明模式的实现上可采用ARP代理和路由技术实现。此时防火墙相当于一个ARP代理的功能。内网（可以仍含有路由器或子网，依次类推）、防火墙、路由器的位置大致如下：

内网―――――防火墙―――――路由器

（需要说明的是，这种方式是绝大多数校园网级网络的实现方式）

内网主机要想实现透明访问，必须能够透明的传送内网和路由器之间的ARP包，而此时由于事实上内网和路由器之间无法连通，防火墙就必须配置成一个ARP代理（ARP Proxy）在内网主机和路由器之间传递ARP包。防火墙所要做的就是当路由器发送ARP广播包询问内网内的某一主机的硬件地址时，防火墙用和路由器相连接口的MAC地址回送ARP包；内网内某一主机发送ARP广播包询问路由器的硬件地址时，防火墙用和内网相连接口的MAC地址回送ARP包，因此路由器和内网主机都认为将数据包发给了对方，而实际上是发给了防火墙转发。

显然，此时防火墙还必须实现路由转发，使内外网之间的数据包能够透明的转发。另外，防火墙要起到防火墙的作用，显然还需要把数据包上传给本身应用层处理（此时实现应用层代理、过滤等功能），此时需要端口转发来实现（？这个地方不是十分清楚，也没找到相关资料）。透明模式和非透明模式在网络拓扑结构上的最大区别就是：透明模式的两块网卡（与路由器相连的和与内网相连的）在一个网段（也和子网在同一个网段）；而非透明模式的两块网卡分别属于两个网段（内网可能是内部不可路由地址，外网则是合法地址）。

这个过程如下：

1. 用ARP代理实现路由器和子网的透明连接（网络层）

2. 用路由转发在IP层实现数据包传递（IP层）

3. 用端口重定向实现IP包上传到应用层（IP层）

前边我们讨论过透明代理，和这里所说的防火墙的透明模式是两个概念。透明代理主要是为实现内网主机可以透明的访问外网，而无需考虑自己是不可路由地址还是可路由地址。内网主机在使用内部网络地址的情况下仍然可以使用透明代理，此时防火墙既起到网关的作用又起到代理服务器的作用（显然此时不是透明模式）。

需要澄清的一点是，内外网地址的转换（即NAT，透明代理也是一种特殊的地址转换）和透明模式之间并没有必然的联系。透明模式下的防火墙能实现透明代理，非透明模式下的防火墙（此时它必然又是一个网关）也能实现透明代理。它们的共同点在于可以简化内网客户的设置而已。

目前国内大多防火墙都实现了透明代理，但实现了透明模式的并不多。这些防火墙可以很明显的从其广告中看出来：如果哪个防火墙实现了透明模式，它的广告中肯定会和透明代理区分开而大书特书的。

5．可靠性

防火墙系统处于网络的关键部位，其可靠性显然非常重要。一个故障频频、可靠性很差的产品显然不可能让人放心，而且防火墙居于内外网交界的关键位置，一旦防火墙出现问题，整个内网的主机都将根本无法访问外网，这甚至比路由器故障（路由器的拓扑结构一般都是冗余设计）更让人无法承受。

防火墙的可靠性也表现在两个方面：硬件和软件。

国外成熟厂商的防火墙产品硬件方面的可靠性一般较高，采用专门硬件架构且不必多说，采用PC架构的其硬件也多是专门设计，系统各个部分从网络接口到存储设备（一般为电子硬盘）集成在一起（一块板子），这样自然提高了产品的可靠性。

国内则明显参差不齐，大相径庭，大多直接使用PC架构，且多为工业PC，采用现成的网卡，DOC/DOM作为存储设备。工业PC虽然可靠性比普通PC要高不少，但是毕竟其仍然是拼凑式的，设备各部分分立，从可靠性的角度看显然不如集成的（著名的水桶原理）。

国内已经有部分厂家意识到了这个问题，开始自行设计硬件。但大多数厂家还是从成本的角度考虑使用通用PC架构。

另外一方面，软件可靠性的提高也是防火墙优劣的主要差别所在。而国内整个软件行业的可靠性体系还没有成熟，软件可靠性测试大多处于极其初级的水平（可靠性测试和bug测试完全是两个概念）。一方面是可靠性体系建立不起来，一方面是为了迎合用户的需求和跟随网络应用的不断发展，多数防火墙厂商一直处于不断的扩充和修改中，其可靠性更不能让人恭维。