防火墙设计原则及重点(2)透明模式及市场定位

4.透明性

防火墙的透明性指防火墙对于用户是透明的,在防火墙接入网络时,网络和用户无需做任何设置和改动,也根本意识不到防火墙的存在。

防火墙作为一个实际存在的物理设备,要想放入已存在地网络中又不对网络有任何影响,就必须以网桥的方式置入网络。传统方式下,防火墙安装时,更象是一台路由器或者网关,原有网络拓扑结构往往需要改变,网络设备(包括主机和路由器)的设置(IP和网关、DNS、路由表等等)也需要改变。但如果防火墙采用了透明模式,即采用类似网桥的方式运行,用户将不必重新设定和修改路由,也不需要知道防火墙的位置,防火墙就可以直接安装和放置到网络中使用。

透明模式最大的好处在于现有网络无需做任何改动,这就方便了很多客户,再者,从透明模式转换到非透明模式又很容易,适用性显然较广。当然,此时的防火墙仅仅起到一个防火墙的作用,其他网关位置的功能如NAT、VPN功能不再适用,当然,其他功能如透明代理还可以 继续使用。

目前透明模式的实现上可采用ARP代理和路由技术实现。此时防火墙相当于一个ARP代理的功能。内网(可以仍含有路由器或子网,依次类推)、防火墙、路由器的位置大致如下:

内网―――――防火墙―――――路由器

(需要说明的是,这种方式是绝大多数校园网级网络的实现方式)

内网主机要想实现透明访问,必须能够透明的传送内网和路由器之间的ARP包,而此时由于事实上内网和路由器之间无法连通,防火墙就必须配置成一个ARP代理(ARP Proxy)在内网主机和路由器之间传递ARP包。防火墙所要做的就是当路由器发送ARP广播包询问内网内的某一主机的硬件地址时,防火墙用和路由器相连接口的MAC地址回送ARP包;内网内某一主机发送ARP广播包询问路由器的硬件地址时,防火墙用和内网相连接口的MAC地址回送ARP包,因此路由器和内网主机都认为将数据包发给了对方,而实际上是发给了防火墙转发。

显然,此时防火墙还必须实现路由转发,使内外网之间的数据包能够透明的转发。另外,防火墙要起到防火墙的作用,显然还需要把数据包上传给本身应用层处理(此时实现应用层代理、过滤等功能),此时需要端口转发来实现(?这个地方不是十分清楚,也没找到相关资料)。透明模式和非透明模式在网络拓扑结构上的最大区别就是:透明模式的两块网卡(与路由器相连的和与内网相连的)在一个网段(也和子网在同一个网段);而非透明模式的两块网卡分别属于两个网段(内网可能是内部不可路由地址,外网则是合法地址)。

这个过程如下:

1. 用ARP代理实现路由器和子网的透明连接(网络层)

2. 用路由转发在IP层实现数据包传递(IP层)

3. 用端口重定向实现IP包上传到应用层(IP层)

前边我们讨论过透明代理,和这里所说的防火墙的透明模式是两个概念。透明代理主要是为实现内网主机可以透明的访问外网,而无需考虑自己是不可路由地址还是可路由地址。内网主机在使用内部网络地址的情况下仍然可以使用透明代理,此时防火墙既起到网关的作用又起到代理服务器的作用(显然此时不是透明模式)。

需要澄清的一点是,内外网地址的转换(即NAT,透明代理也是一种特殊的地址转换)和透明模式之间并没有必然的联系。透明模式下的防火墙能实现透明代理,非透明模式下的防火墙(此时它必然又是一个网关)也能实现透明代理。它们的共同点在于可以简化内网客户的设置而已。

目前国内大多防火墙都实现了透明代理,但实现了透明模式的并不多。这些防火墙可以很明显的从其广告中看出来:如果哪个防火墙实现了透明模式,它的广告中肯定会和透明代理区分开而大书特书的。

5.可靠性

防火墙系统处于网络的关键部位,其可靠性显然非常重要。一个故障频频、可靠性很差的产品显然不可能让人放心,而且防火墙居于内外网交界的关键位置,一旦防火墙出现问题,整个内网的主机都将根本无法访问外网,这甚至比路由器故障(路由器的拓扑结构一般都是冗余设计)更让人无法承受。

防火墙的可靠性也表现在两个方面:硬件和软件。

国外成熟厂商的防火墙产品硬件方面的可靠性一般较高,采用专门硬件架构且不必多说,采用PC架构的其硬件也多是专门设计,系统各个部分从网络接口到存储设备(一般为电子硬盘)集成在一起(一块板子),这样自然提高了产品的可靠性。

国内则明显参差不齐,大相径庭,大多直接使用PC架构,且多为工业PC,采用现成的网卡,DOC/DOM作为存储设备。工业PC虽然可靠性比普通PC要高不少,但是毕竟其仍然是拼凑式的,设备各部分分立,从可靠性的角度看显然不如集成的(著名的水桶原理)。

国内已经有部分厂家意识到了这个问题,开始自行设计硬件。但大多数厂家还是从成本的角度考虑使用通用PC架构。

另外一方面,软件可靠性的提高也是防火墙优劣的主要差别所在。而国内整个软件行业的可靠性体系还没有成熟,软件可靠性测试大多处于极其初级的水平(可靠性测试和bug测试完全是两个概念)。一方面是可靠性体系建立不起来,一方面是为了迎合用户的需求和跟随网络应用的不断发展,多数防火墙厂商一直处于不断的扩充和修改中,其可靠性更不能让人恭维。

时间: 2025-01-21 04:11:30

防火墙设计原则及重点(2)透明模式及市场定位的相关文章

防火墙设计原则及重点(1)方案选择

1.方案:硬件?还是软件? 现在防火墙的功能越来越多越花哨,如此多的功能必然要求系统有一个高效的处理能力. 防火墙从实现上可以分为软件防火墙和硬件防火墙.软件防火墙以checkpoint公司的Firewall-I为代表,其实现是通过 dev_add_pack的办法加载过滤函数(Linux,其他操作系统没有作分析,估计类似),通过在操作系统底层做工作来实现防火墙的各种功能和优化.国内也有一些所谓的软件防火墙,但据了解大多是所谓"个人"防火墙,而且功能及其有限,故不在此讨论范围. 在国内目

防火墙设计中的一些重点问题(2)

4.透明性 防火墙的透明性指防火墙对于用户是透明的,在防火墙接入网络时,网络和用户无需做任何设置和改动,也根本意识不到防火墙的存在. 防火墙作为一个实际存在的物理设备,要想放入已存在地网络中又不对网络有任何影响,就必须以网桥的方式置入网络.传统方式下,防火墙安装时,更象是一台路由器或者网关,原有网络拓扑结构往往需要改变,网络设备(包括主机和路由器)的设置(IP和网关.DNS.路由表等等)也需要改变.但如果防火墙采用了透明模式,即采用类似网桥的方式运行,用户将不必重新设定和修改路由,也不需要知道防

防火墙的透明模式和透明代理

随着防火墙技术的发展,安全性高.操作简便.界面友好的防火墙逐渐成为市场热点.在这种情况下,可以大大简化防火墙设置.提高安全性能的透明模式和透明代理就成为衡量产品性能的重要指标.于是在推荐产品的过程中,很多厂商往往会介绍自己的产品实现了透明模式和透明代理.那么究竟什么是透明模式和透明代理呢?他们之间又有何关系呢?下面我们将做具体分析. 透明模式,顾名思义,首要的特点就是对用户是透明的(Transparent),即用户意识不到防火墙的存在.要想实现透明模式,防火墙必须在没有IP地址的情况下工作,不需

防火墙的透明模式和透明代理技术

随着防火墙技术的发展,安全性高.操作简便.界面友好的防火墙逐渐成为市场热点.在这种情况下,可以大大简化防火墙设置.提高安全性能的透明模式和透明代理就成为衡量产品性能的重要指标.于是在推荐产品的过程中,很多厂商往往会介绍自己的产品实现了透明模式和透明代理.那么究竟什么是透明模式和透明代理呢?他们之间又有何关系呢?下面我们将做具体分析. 透明模式,顾名思义,首要的特点就是对用户是透明的(Transparent),即用户意识不到防火墙的存在.要想实现透明模式,防火墙必须在没有IP地址的情况下工作,不需

PIX防火墙透明模式

(1)应用环境 如下图: 内网与Internet的连接早已经部署好,但是没有在内网中安装防火墙. 出于安全的考虑,现需要在内网中安装防火墙(其实也可以在出口),但是需求是,原来内网中的所有配置都不应发生改变,这时就需要使用防火墙的透明模式. (2)部署 防火墙上的配置: [1]基本接口配置 pixfirewall(config)# int e1 pixfirewall(config-if)# no shu pixfirewall(config-if)# nameif inside INFO: S

《社交网站界面设计(原书第2版)》——1.3 所谓的原则、最佳实践和模式是什么

1.3 所谓的原则.最佳实践和模式是什么 随着人们对无缝式体验的期待越来越强烈,对设计师来说重要的是关注新出现的标准并理解某个产品的体验及其交互如何影响用户对下一个产品的期望.通过使用标准的.新出现的最佳实践.原则和交互模式,设计师就可以减少用户在理解该应用如何运行方面所需精力.然后,用户就可以关注正在构建的社交体验的独特性能.为了顺利开展工作,我们定义了如下三个不同的概念.它们是连续的统一体,从规定(你应该遵守的规则)到假设(默认为正确的一种基本状态)再到处理方式(思考对待这些概念的方式).

微服务的4大设计原则和19个解决方案

作者|郝炎峰 编辑|小智 本文将介绍微服务架构的演进.优缺点和微服务应用的设计原则,然后着重介绍作为一个"微服务应用平台"需要提供哪些能力.解决哪些问题才能更好的支撑企业应用架构. 注:本文转载自公众号 EAWorld,已获授权. 写在前面 微服务架构现在是谈到企业应用架构时必聊的话题,微服务之所以火热也是因为相对之前的应用开发方式有很多优点,如更灵活.更能适应现在需求快速变更的大环境. 微服务平台也是我目前正在参与的,还在研发过程中的平台产品,平台是以 SpringCloud 为基础

微服务的4个设计原则和19个解决方案

微服务架构现在是谈到企业应用架构时必聊的话题,微服务之所以火热也是因为相对之前的应用开发方式有很多优点,如更灵活.更能适应现在需求快速变更的大环境. 本文将介绍微服务架构的演进.优缺点和微服务应用的设计原则,然后着重介绍作为一个"微服务应用平台"需要提供哪些能力.解决哪些问题才能更好的支撑企业应用架构. 微服务平台也是我目前正在参与的,还在研发过程中的平台产品,平台是以SpringCloud为基础,结合了普元多年来对企业应用的理解和产品的设计经验,逐步孵化的一个微服务应用平台. 一.微

《设计模式》学习笔记1——七大面向对象设计原则

前言 根据这一次的学习计划,系统学习设计模式之前,先系统学习和理解设计原则.面向对象设计原则有如下几类. 原则一:单一职责原则 这是面向对象最简单的原则,对于定义,引用书中所说: 单一职责原则(Single Responsibility Principle, SRP):一个类只负责一个功能领域中的相应职责,或者可以定义为:就一个类而言,应该只有一个引起它变化的原因 这里最重要的地方,我个人觉得应该是一个功能领域这一句. 设计的前提是思考,只有进行了思考才能谈得上设计,所以实际设计过程中最重要的还