跟着防火墙技能的开展,安全性高、操作简洁、界面友爱的防火墙逐步成为商场热门。在这种情况下,能够大大简化防火墙设置、进步安全功能的通明形式和通明署理就成为衡量产品功能的重要方针。所以在引荐产品的进程中,许多厂商往往会介绍自己的产品完结了通明形式和通明署理。那么终究什么是通明形式和通明署理呢?他们之间又有何联系呢?下面咱们将做具体分析。
通明形式,望文生义,首要的特色便是对用户是通明的(Transparent),即用户认识不到防火墙的存在。要想完结通明形式,防火墙必须在没有IP地址的情况下作业,不需求对其设置IP地址,用户也不知道防火墙的IP地址。防火墙作为实践存在的物理设备,其自身也起到路由的效果,所以在为用户装置防火墙时,就需求考虑怎么改动其原有的网络拓扑结构或修正衔接防火墙的路由表,以习惯用户的实践需求,这样就增加了作业的杂乱程度和难度。但假如防火墙选用了通明形式,即选用无IP方法运转,用户将不用从头设定和修正路由,防火墙就能够直接装置和放置到网络中运用,如交换机相同不需求设置IP地址。
通明形式的防火墙就好象是一台网桥(非通明的防火墙好象一台路由器),网络设备(包含主机、路由器、作业站等)和一切计算机的设置(包含IP地址和网关)无须改动,一起解析一切经过它的数据包,既增加了网络的安全性,又降低了用户办理的杂乱程度。
而与通明形式在称号上相似的通明署理,和传统署理相同,能够比包过滤更深层次地查看数据信息,比方FTP包的port指令等。一起它也是一个非常快的署理,从物理上分离了衔接,这能够供给更杂乱的协议需求,例如带动态端口分配的H.323,或许一个带有不同指令端口和数据端口的衔接。这样的通讯是包过滤所无法完结的。
防火墙运用通明署理技能,这些署理服务对用户也是通明的,用户认识不到防火墙的存在,便可完结表里网络的通讯。当内部用户需求运用通明署理拜访外部资源时,用户不需求进行设置,署理服务器会树立通明的通道,让用户直接与外界通讯,这样极大当地便了用户的运用。
一般运用署理服务器时,每个用户需求在客户端程序中指明要运用署理,自行设置Proxy参数(如在浏览器中有专门的设置来指明HTTP或FTP等的署理)。而通明署理服务,用户不需求任何设置就能够运用署理服务器,简化了网络的设置进程。
通明署理的原理如下:假定A为内部网络客户机,B为外部网络服务器,C为防火墙。当A对B有衔接恳求时,TCP衔接恳求被防火墙截取并加以监控。截取后当发现衔接需求运用署理服务器时,A和C之间首要树立衔接,然后防火墙树立相应的署理服务通道与方针B树立衔接,由此经过署理服务器树立A 和方针地址B的数据传输途径。从用户的视点看,A和B的衔接是直接的,而实践上A 是经过署理服务器C和B树立衔接的。反之,当B对A有衔接恳求时原理相同。因为这些衔接进程是主动的,不需求客户端手艺装备署理服务器,乃至用户底子不知道署理服务器的存在,因而对用户来说是通明的。
署理服务器能够做到表里地址的转化,屏蔽内部网的细节,使不合法分子无法探知内部结构。署理服务器供给特别的挑选指令,能够制止用户运用简单形成进犯的不安全的指令,从底子上抵挡进犯。
防火墙运用通明署理技能,还能够使防火墙的服务端口无法探测到,也就无法对防火墙进行进犯,大大进步了防火墙的安全性与抗进犯性。通明署理避免了设置或运用中或许呈现的过错,降低了防火墙运用时固有的安全危险和犯错概率,便利用户运用。
因而,通明署理与通明形式都能够简化防火墙的设置,进步体系安全性。但两者之间也有实质的差异:作业于通明形式的防火墙运用了通明署理的技能,但通明署理并不是通明形式的悉数,防火墙在非通明形式中也能够运用通明署理。值得注意的是,尽管国内商场上许多防火墙产品都可供给通明署理拜访机制,但真实完结通明形式的却不多——有许多厂商都声称自己的防火墙产品完结了通明形式,但在实践使用中,他们往往做不到这一点,而仅仅完结了通明署理。
