淺談防火墻配置中路由模式和透明模式的區別與應用

黃安祥

所謂防火墻，指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關，從而保護內部網免受非法用戶的侵入。防火墻主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成，防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件。該計算機流入流出的所有網絡通信和數據包均要經過此防火墻。

在網絡中，“防火墻”，是指一種將內部網和公眾訪問網分開的方法，它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度，它能允許你“同意”的人和數據進入你的網絡，同時將你“不同意”的人和數據拒之門外，最大限度地阻止網絡中的黑客來訪問你的網絡。

路由器和防火墻和相比，都屬于網關設備，可以支持網絡的各種應用，在差異性上有設計思路和實現方式的不同。Router是作為一種“網絡連通手段”，保證網絡互連互通為主；Firewall是作為一種“網絡隔離手段”，隔離網絡異常數據為主。Router：能正確轉發包的設備是路由器：Firewall：能正確丟包的設備是防火墻。

一、防火墻配置里的工作模式

一般硬件防火墻有路由模式、網橋模式、混合模式，路由模式連接不同網段，防火墻有實際的地址，網橋模式即透明模式，連接相同網段，防火墻沒有地址，內網用戶看不到防火墻的存在，隱蔽性較好，混合模式即在網絡拓撲里同時用到了路由和網橋模式，網橋模式也叫透明模式，是指防火墻的功能類型于交換機，進行二層轉發，英文有transparent（透明）和bridge兩種叫法，但transparent的說法更加貼切，因為上面有多個端口，而網橋則是典型的只有2個端口。路由模式是指防火墻的功能類型于路由器，提供路由轉發功能，大多時候也會使用NAT功能，進行報文的三層轉發。

透明模式相對于路由模式的一個最主要的特點是，它可以在不改變現有網絡拓撲的情況下路署到現有網絡，適用于已建好的網絡中，但是提供的功能要稍弱于路由模式。

二、防火墻透明模式做規則和路由模式做規則的區別

（一）防火墻透明模式做規則的特點及實際應用

首要的特點就是對用戶是透明的，即用戶意識不到防火墻的存在。要想實現透明模式，防火墻必須在沒有IP地址的情況下工作，不需要對其設置IP地址，用戶也不知道防火墻的IP地址。透明模式的防火墻就好像是一臺網橋（非透明的防火墻好像一臺路由器），網絡設備（包括主機、路由器、工作站等）和所有計算機的設置（包括IP地址和網關）無須改變，同時解析所有通過它的數據包，既增加了網絡的安全性，又降低了用戶管理的復雜程度。

而透明代理，和傳統代理一樣，可以比包過濾更深層次地檢查數據信息。同時它也是一個非常快的代理，從物理上分離了連接，這可以提供更復雜的協議需要。

（二）防火墻路由模式做規則的特點及實際應用

地址路由指路由器為數據包選擇路由時不根據IP包的目的地址（通常情況根據目的地址），而根據IP包的源地址選路。源地址路由是策略路由的一種。一般路由器應當支持。透明橋接是指路由器端口以透明網橋的方式工作，執行網橋的功能。不對數據包作路由檢查轉發，只作MAC幀橋接。

三、防火墻使用路由模式還是透明模式的選擇

技術上分析，透明模式好處：減少工作量，不必重新規劃ip地址；不做nat，數據包直接通過；同時對防火墻本身減壓。防火墻橋模式，可能會存在防火墻對橋的支持以及橋接口自身對防火墻的影響。1.啟用橋模式，那么所有流經橋接口的網絡流量就沒有防地址欺騙防護，因為在防火墻看來流量是從一個三層接口進來又出去，不存在地址欺騙；2.防火墻現在都是狀態檢測，過濾機制，橋接口可能會影響部分防火墻產品的狀態檢測功能；3.二層的橋在網絡拓撲連接方式上可能會引入關于二層的因素，諸如ARP轉發、VLAN Trunk、STP等；一般來說，如果是能用路由模式建議還是用路由模式，畢竟防火墻做的安全過濾從一開始就是做三層以上的工作的。透明模式：優：不用重新進行IP劃分，缺：損失一些功能，如路由、VPN等路由模式：優：功能相對全面，缺：需要對現有網絡進行一定調整。

從網絡可靠性的角度上分析：透明模式要比路由模式要好。透明模式目的在于網絡安全的防護，路由模式是承載了部分基礎通信上建立安全防護，加大了網絡的復雜度。當網絡出了故障后，透明模式部署的防火墻能夠輕易定位出是否故障出在防火墻上，只要物理上短暫的跳過防火墻進行業務測試，效果立竿見影。就算防火墻設備不幸壞掉，短時間內暫時沒有防火墻也不會影響業務。而路由模式部署，這對網絡管理員的技術需要達到一定的深度，具有豐富的經驗才能進行排錯定位，無遺在處理故障的效率和恢復上大大增加了時間，影響了業務的正常運行。

從設備性能的角度分析：路由模式的性能消耗遠比透明模式要大。或許靜態路由的影響還算是較小的，有的用戶把防火墻作為邊界網關，啟用OSPF等動態路由協議，路由越多，越消耗防火墻的性能。假設防火墻還啟用了一些例如病毒過濾、入侵防御的功能模塊，毫無疑問這對網絡的穩定可靠性的風險值大大增加。

四、結論

在安裝防火墻前必須弄清楚的幾個問題：1.路由走向（包括防火墻及其相關設備的路由調整）確定防火墻的工作模式：路由、透明、綜合。2.IP地址的分配（包括防火墻及其相關設備的IP地址分配）根據確定好的防火墻的工作模式給防火墻分配合理的IP地址3.數據應用和數據流向（各種應用的數據流向及其需要開放的端口號或者協議類型）。4.要達到的安全目的（即要做什么樣的訪問控制）。

綜上所述，防火墻采用何種通訊方式是由用戶的網絡環境決定的，用戶需要根據自己的網絡情況，合理的確定防火墻的通訊模式；并且防火墻采用何種通訊方式都不會影響防火墻的訪問控制功能。