防火牆的透明模式和透明代理

來源:互聯網
上載者:User

  隨著防火牆技術的發展,安全性高、操作簡便、介面友好的防火牆逐漸成為市場熱點。在這種情況下,可以大大簡化防火牆設定、提高安全效能的透明模式和透明代理就成為衡量產品效能的重要指標。於是在推薦產品的過程中,很多廠商往往會介紹自己的產品實現了透明模式和透明代理。那麼究竟什麼是透明模式和透明代理呢?他們之間又有何關係呢?下面我們將做具體分析。

  透明模式,顧名思義,首要的特點就是對使用者是透明的(Transparent),即使用者意識不到防火牆的存在。要想實現透明模式,防火牆必須在沒有IP地址的情況下工作,不需要對其設定IP地址,使用者也不知道防火牆的IP地址。防火牆作為實際存在的物理裝置,其本身也起到路由的作用,所以在為使用者安裝防火牆時,就需要考慮如何改動其原有的網路拓撲結構或修改串連防火牆的路由表,以適應使用者的實際需要,這樣就增加了工作的複雜程度和難度。但如果防火牆採用了透明模式,即採用無IP方式運行,使用者將不必重新設定和修改路由,防火牆就可以直接安裝和放置到網路中使用,如交換器一樣不需要設定IP地址。

  透明模式的防火牆就好象是一台橋接器(非透明的防火牆好象一台路由器),網路裝置(包括主機、路由器、工作站等)和所有電腦的設定(包括IP地址和網關)無須改變,同時解析所有通過它的資料包,既增加了網路的安全性,又降低了使用者管理的複雜程度。

  而與透明模式在稱呼上相似的透明代理,和傳統代理一樣,可以比包過濾更深層次地檢查資料資訊,比如FTP包的port命令等。同時它也是一個非常快的代理,從物理上分離了串連,這可以提供更複雜的協議需要,例如帶動態連接埠分配的H.323,或者一個帶有不同命令連接埠和資料連接埠的串連。這樣的通訊是包過濾所無法完成的。

  防火牆使用透明代理技術,這些代理服務對使用者也是透明的,使用者意識不到防火牆的存在,便可完成內外網路的通訊。當內部使用者需要使用透明代理訪問外部資源時,使用者不需要進行設定,Proxy 伺服器會建立透明的通道,讓使用者直接與外界通訊,這樣極大地方便了使用者的使用。

  一般使用Proxy 伺服器時,每個使用者需要在用戶端程式中指明要使用代理,自行設定Proxy參數(如在瀏覽器中有專門的設定來指明HTTP或FTP等的代理)。而透明代理服務,使用者不需要任何設定就可以使用Proxy 伺服器,簡化了網路的設定過程。

  透明代理的原理如下:假設A為內部網路客戶機,B為外部網路伺服器,C為防火牆。當A對B有串連請求時,TCP串連請求被防火牆截取並加以監控。截取後當發現串連需要使用Proxy 伺服器時,A和C之間首先建立串連,然後防火牆建立相應的代理服務通道與目標B建立串連,由此通過Proxy 伺服器建立A 和目標地址B的資料轉送途徑。從使用者的角度看,A和B的串連是直接的,而實際上A 是通過Proxy 伺服器C和B建立串連的。反之,當B對A有串連請求時原理相同。由於這些串連過程是自動的,不需要用戶端手工配置Proxy 伺服器,甚至使用者根本不知道Proxy 伺服器的存在,因而對使用者來說是透明的。



相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。