淺談防火墻配置中路由模式和透明模式的區(qū)別與應用

黃安祥

所謂防火墻，指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關，從而保護內部網免受非法用戶的侵入。防火墻主要由服務訪問規(guī)則、驗證工具、包過濾和應用網關4個部分組成，防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件。該計算機流入流出的所有網絡通信和數(shù)據包均要經過此防火墻。

在網絡中，“防火墻”，是指一種將內部網和公眾訪問網分開的方法，它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據進入你的網絡，同時將你“不同意”的人和數(shù)據拒之門外，最大限度地阻止網絡中的黑客來訪問你的網絡。

路由器和防火墻和相比，都屬于網關設備，可以支持網絡的各種應用，在差異性上有設計思路和實現(xiàn)方式的不同。Router是作為一種“網絡連通手段”，保證網絡互連互通為主；Firewall是作為一種“網絡隔離手段”，隔離網絡異常數(shù)據為主。Router：能正確轉發(fā)包的設備是路由器：Firewall：能正確丟包的設備是防火墻。

一、防火墻配置里的工作模式

一般硬件防火墻有路由模式、網橋模式、混合模式，路由模式連接不同網段，防火墻有實際的地址，網橋模式即透明模式，連接相同網段，防火墻沒有地址，內網用戶看不到防火墻的存在，隱蔽性較好，混合模式即在網絡拓撲里同時用到了路由和網橋模式，網橋模式也叫透明模式，是指防火墻的功能類型于交換機，進行二層轉發(fā)，英文有transparent（透明）和bridge兩種叫法，但transparent的說法更加貼切，因為上面有多個端口，而網橋則是典型的只有2個端口。路由模式是指防火墻的功能類型于路由器，提供路由轉發(fā)功能，大多時候也會使用NAT功能，進行報文的三層轉發(fā)。

透明模式相對于路由模式的一個最主要的特點是，它可以在不改變現(xiàn)有網絡拓撲的情況下路署到現(xiàn)有網絡，適用于已建好的網絡中，但是提供的功能要稍弱于路由模式。

二、防火墻透明模式做規(guī)則和路由模式做規(guī)則的區(qū)別

（一）防火墻透明模式做規(guī)則的特點及實際應用

首要的特點就是對用戶是透明的，即用戶意識不到防火墻的存在。要想實現(xiàn)透明模式，防火墻必須在沒有IP地址的情況下工作，不需要對其設置IP地址，用戶也不知道防火墻的IP地址。透明模式的防火墻就好像是一臺網橋（非透明的防火墻好像一臺路由器），網絡設備（包括主機、路由器、工作站等）和所有計算機的設置（包括IP地址和網關）無須改變，同時解析所有通過它的數(shù)據包，既增加了網絡的安全性，又降低了用戶管理的復雜程度。

而透明代理，和傳統(tǒng)代理一樣，可以比包過濾更深層次地檢查數(shù)據信息。同時它也是一個非?？斓拇?，從物理上分離了連接，這可以提供更復雜的協(xié)議需要。

（二）防火墻路由模式做規(guī)則的特點及實際應用

地址路由指路由器為數(shù)據包選擇路由時不根據IP包的目的地址（通常情況根據目的地址），而根據IP包的源地址選路。源地址路由是策略路由的一種。一般路由器應當支持。透明橋接是指路由器端口以透明網橋的方式工作，執(zhí)行網橋的功能。不對數(shù)據包作路由檢查轉發(fā)，只作MAC幀橋接。

三、防火墻使用路由模式還是透明模式的選擇

技術上分析，透明模式好處：減少工作量，不必重新規(guī)劃ip地址；不做nat，數(shù)據包直接通過；同時對防火墻本身減壓。防火墻橋模式，可能會存在防火墻對橋的支持以及橋接口自身對防火墻的影響。1.啟用橋模式，那么所有流經橋接口的網絡流量就沒有防地址欺騙防護，因為在防火墻看來流量是從一個三層接口進來又出去，不存在地址欺騙；2.防火墻現(xiàn)在都是狀態(tài)檢測，過濾機制，橋接口可能會影響部分防火墻產品的狀態(tài)檢測功能；3.二層的橋在網絡拓撲連接方式上可能會引入關于二層的因素，諸如ARP轉發(fā)、VLAN Trunk、STP等；一般來說，如果是能用路由模式建議還是用路由模式，畢竟防火墻做的安全過濾從一開始就是做三層以上的工作的。透明模式：優(yōu)：不用重新進行IP劃分，缺：損失一些功能，如路由、VPN等路由模式：優(yōu)：功能相對全面，缺：需要對現(xiàn)有網絡進行一定調整。

從網絡可靠性的角度上分析：透明模式要比路由模式要好。透明模式目的在于網絡安全的防護，路由模式是承載了部分基礎通信上建立安全防護，加大了網絡的復雜度。當網絡出了故障后，透明模式部署的防火墻能夠輕易定位出是否故障出在防火墻上，只要物理上短暫的跳過防火墻進行業(yè)務測試，效果立竿見影。就算防火墻設備不幸壞掉，短時間內暫時沒有防火墻也不會影響業(yè)務。而路由模式部署，這對網絡管理員的技術需要達到一定的深度，具有豐富的經驗才能進行排錯定位，無遺在處理故障的效率和恢復上大大增加了時間，影響了業(yè)務的正常運行。

從設備性能的角度分析：路由模式的性能消耗遠比透明模式要大。或許靜態(tài)路由的影響還算是較小的，有的用戶把防火墻作為邊界網關，啟用OSPF等動態(tài)路由協(xié)議，路由越多，越消耗防火墻的性能。假設防火墻還啟用了一些例如病毒過濾、入侵防御的功能模塊，毫無疑問這對網絡的穩(wěn)定可靠性的風險值大大增加。

四、結論

在安裝防火墻前必須弄清楚的幾個問題：1.路由走向（包括防火墻及其相關設備的路由調整）確定防火墻的工作模式：路由、透明、綜合。2.IP地址的分配（包括防火墻及其相關設備的IP地址分配）根據確定好的防火墻的工作模式給防火墻分配合理的IP地址3.數(shù)據應用和數(shù)據流向（各種應用的數(shù)據流向及其需要開放的端口號或者協(xié)議類型）。4.要達到的安全目的（即要做什么樣的訪問控制）。

綜上所述，防火墻采用何種通訊方式是由用戶的網絡環(huán)境決定的，用戶需要根據自己的網絡情況，合理的確定防火墻的通訊模式；并且防火墻采用何種通訊方式都不會影響防火墻的訪問控制功能。