透明模式,顾名思义,首要的特点就是对用户是透明的(Transparent),即用户意识不到防火墙的存在。要想实现透明模式,防火墙必须在没有 IP地址的情况下工作,不需要对其设置IP地址,用户也不知道防火墙的IP地址。适用环境:1.服务器必须是真实互联网地址。2.需要保护同一子网上不同区域主机。
中文名称 | 防火墙透明模式 | 外文名称 | transparent-mode |
---|---|---|---|
优点 | 增加了网络的安全性 | 特点 | 对用户是透明 |
实现前提 | 在没有 IP地址的情况下工作 |
防火墙作为一实际存在的物理设备,其本身也起到路由的作用,所以在为用户安装防火墙时,就需要考虑如何改动其原有的网络拓扑结构或修改连接防火墙的路由表,以适应用户的实际需要,这样就增加了工作的复杂程度和难度。但如果防火墙采用了透明模式,即采用无IP方式运行,用户将不必重新设定和修改路由,防火墙就可以直接安装和放置到网络中使用,如交换机一样不需要设置IP地址!
而与透明模式在称呼上相似的透明代理,和传统代理一样,可以比包过滤更深层次地检查数据信息,比如FTP包的port命令等。同时它也是一个非常快的代理,从物理上分离了连接,这可以提供更复杂的协议需要,例如带动态端口分配的H.323,或者一个带有不同命令端口和数据端口的连接。这样的通信是包过滤所无法完成的。
防火墙使用透明代理技术,这些代理服务对用户也是透明的,用户意识不到防火墙的存在,便可完成内外网络的通讯。当内部用户需要使用透明代理访问外部资源时,用户不需要进行设置,代理服务器会建立透明的通道,让用户直接与外界通信,这样极大地方便用户的使用。
一般使用代理服务器时,每个用户需要在客户端程序中指明要使用代理,自行设置Proxy参数(如在浏览器中有专门的设置来指明HTTP或FTP等的代理)。而透明代理服务,用户不需要任何设置就可以使用代理服务器,简化了网络的设置过程。以下是透明代理的原理:
假设A为内部网络客户机,B为外部网络服务器,C为防火墙。当A对B有连接请求时,TCP连接请求被防火墙截取并加以监控。截取后当发现连接需要使用代理服务器时,A和C之间首先建立连接,然后防火墙建立相应的代理服务通道与目标B建立连接,由此通过代理服务器建立A和目标地址B的数据传输途径。从用户的角度看,A和B的连接是直接的,而实际上A是通过代理服务器C和B建立连接的。反之,当B对A有连接请求时原理相同。由于这些连接过程是自动的,不需要客户端手工配置代理服务器,甚至用户根本不知道代理服务器的存在,因而对用户来说是透明的。
代理服务器可以做到内外地址的转换,屏蔽内部网的细节,使非法分子无法探知内部结构。代理服务器提供特殊的筛选命令,可以禁止用户使用容易造成攻击的不安全的命令,从根本上抵御攻击。
防火墙使用透明代理技术,还可以使防火墙的服务端口无法探测到,也就无法对防火墙进行攻击,大大提高了防火墙的安全性与抗攻击性。透明代理避免了设置或使用中可能出现的错误,降低了防火墙使用时固有的安全风险和出错概率,方便用户使用。
因此,透明代理与透明模式都可以简化防火墙的设置,提高系统安全性。但两者之间也有本质的区别:工作于透明模式的防火墙使用了透明代理的技术,但透明代理并不是透明模式的全部,防火墙在非透明模式中也可以使用透明代理。
随着防火墙技术的发展,安全性高、操作简便、界面友好的防火墙逐渐成为市场热点。在这种情况下,可以大大简化防火墙设置、提高安全性能的透明模式和透明代理就成为衡量产品性能的重要指标。于是在推荐产品的过程中,很多厂商往往会介绍自己的产品实现了透明模式和透明代理。那么究竟什么是透明模式和透明代理呢?他们之间又有何关系呢?
区别:1、实现隔离内外部网络的方式不同硬件防火墙:通过硬件和软件的组合,基于硬件的防火墙专门保护本地网络软件防火墙:通过纯软件,单独使用软件系统来完成防火墙功能2、安全性不同硬件防火墙的抗攻击能力比软...
按普通墙套,注意换算材料价格。没有的项目,以补充项进。
具体材料选择要看设计要求的是混凝土配筋的,就选中剪力墙
透明模式的防火墙就好像是一台网桥(非透明的防火墙好像一台路由器),网络设备(包括主机、路由器、工作站等)和所有计算机的设置(包括IP地址和网关)无须改变,同时解析所有通过它的数据包,既增加了网络的安全性,又降低了用户管理的复杂程度。
一直以来,单位内部局域网直接接入政务外网,使用上级分配的B类地址子网172.16.6.0,24位掩码,网关172.16.6.1等参数,采取静态和手工方式来设置单位服务器和PC机的IP和网关的。网关在上级部门机房的三层交换机上,我单位内部的机器都是通过上级部门的设备接入因特网的。
SonicWall防火墙透明模式配置(三层交换机) 用户要求防火墙配置成透明模式接入到网络,要求达到的配置 如下图示 配置步骤: 1、配置防火墙 WAN网卡 2、建立透明模式下的地址对象 (注意:透明范围不能够包含了防火墙本身的地址( 192.168.254.21)以及防火墙的网关地址 (192.168.254.1) ,同时也不能够包含防火墙 WAN口外面的地址,即如果防火墙 WAN外面还 有其他的地址如 192.168.254.200 则 Transparent Range 不能够包含该地址 , 否则可能会引发 安全问题!!) 3、建立内网地址对象 (注意:本范例中仅示例了 2 个内网网段,可根据实际情况增加) 4、建立地址对象组 5、配置内网 3 层交换机的地址对象 6、配置完成后的界面显示如下: 7、配置内网地址访问外网的回程路由 (必须配置!!) 8、配置防火墙 LAN网卡配置透明
将AngellPRO防火墙配置为透明工作模式,无需更改用户网络的拓扑结构就能接入用户网络中,用户网络中的主机也无需更改任何网络配置。透明接入极大的方便了防火墙的接入,同时并不降低网络的安全性。AngellPRO防火墙也能工作在透明模式和其他模式的混合模式下,更能适应各种不同网络环境的接入。
PIX防火墙的配置模式与路由器类似,有4种管理模式:
PIXfirewall>:用户模式
PIXfirewall#:特权模式
PIXfirewall(config)#:配置模式
monitor>:ROM监视模式,开机按住[Esc]键或发送一个"Break"字符,进入监视模式。
另外,我们在设定防火墙时有二种模式,一种模式是预设拒绝所有联机,再一条一条加入允许的联机;另一种是预设接受所有联机,加入几条拒绝的规则。如果是非常强调安全性,应该是使用预设拒绝所有联机,再一条一条加入我们允许的规则。