防火墙工作模式的研究及应用

防火墙工作模式的研究及应用

【摘要】随着internet在我国的迅速发展，网络安全的问题越来越得到重视，防火墙技术也引起了各方面的广泛关注。文章以工作中的两种实际情况为例。从应用环境和配置思路上比较了防火墙两种工作模式的不同。

【关键词】防火墙、工作模式、路由模式、透明模式

1.引言

随着计算机的日益发展，计算机早已深入到各个领域，计算机网络已无处不在。而internet 的飞速发展，使计算机网络资源共享进一步加强。随之而来的安全问题也日益突出。在人们对网络的优越性还没有完全接受的时候，黑客攻击开始肆虐全球的各大网站；而病毒制造者们也在各显其能，从CIH到爱虫．中毒者不计其数。一般认为，计算机网络系统的安全威胁主要来自黑客的攻击、计算机病毒和拒绝服务攻击三个方面。目前。人们也开始重视来自网络内部的安全威胁。

我们可以通过很多网络工具、设备和策略来为我们的网络提供安全防护。其中防火墙是运用非常广泛和效果最好的选择。然而购买了防火墙设备，却不是仅仅装上了硬件就能发挥作用的，而是需要根据你的网络结构和需求在合适的工作模式下配置相应的安全策略，才能满足你的安全需求。由此引出的问题和解决办法就是本文的主要研究对象。

2.防火墙

2.1防火墙的概况及应用

防火墙是位于两个信任程度不同的网络之间（如企业内部网络和internet之间）的软件或硬件设备的组合。它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。可以阻止非法入侵、抵御诸多类型的攻击，有效地保护你的内部网络，同时对内实施有效的访问控制。

在目前的整个网络安全体系当中，防火墙技术是最为主要的，也是利用最为广泛的网络安全设备。据美国有关机构统计，在选用安全设备的各种组织和企业中。80％选用了防火墙。

2.2防火墙的基本功能

作为控制网络访问的安全设备。防火墙应具备以下功能：

◆隐藏内部网络结构及资源；

◆保护不安全的网络服务；

◆执行网络间的访问控制策略：，

◆统一集中的安全管理；

◆记录并统计网络使用情况；

◆监视和预警。

2.3防火墙的工作模式

一般来说，防火墙设备提供了两种工作模式：路由模式和透明（网桥）模式。当防火墙处于路由模式时，防火墙作为三层设备。可以帮助解决内部网络使用私有地址问题。此时防火墙需要处理一些简单的静态路由。防火墙和用户网络也需要进行相关的调整和配置；当防火墙处于透明模式时，防火墙作为二层设备，对于用户网络透明接入。防火墙网络接口无需配置IP地址，用户网络也无需进行任何调整或者配置，但无法解决用户内部网络使用私有地址问题。现在随着实际组网环境的不断变化，一些防火墙开始引入了对防火墙混合模式接入的支持——即一台防火墙可同时工作在路由和透明模式下。便于防火墙接入各种复杂的网络环境以满足网络多样化的部署需求。

3.透明（网桥）模式

在透明模式下，防火墙更像一个网桥，它不干涉网络结构，从拓扑中看来，它似乎是不存在的（因此称为透明）。但是，透明模式的防火墙同样具备数据包过滤的功能。透明网桥模式在数据链路层实现。该模式下的防火墙不需要配置IP地址。防火墙在该模式下工作时，可以透明地接入到网络的任何部位，无需改动用户网络结构和配置，即插即用，简便高效，使用方便。

3.1适用环境

在网络中使用哪种工作模式的防火墙取决于你的网络环境。一般来说，在下面所述情况下比较适合使用透明模式：

（1）你的服务器需要使用真实互联网IP地址。因为在该模式下，你的服务器看起来像直接面对互联网一样，所有对服务器的访问请求都直接到达服务器。当然，在数据包到达服务器之前会经过防火墙的检测，不符合规则的数据包会被丢弃掉（从服务器编程的角度看，它不会觉察到数据包实际已被处理过）。

（2）需要保护同一子网上不同区域（部门）的主机。这时，原来的网络拓扑结构无须做任何改变。比如，企业的财务部是企业重要部门，即使内部员工也不允许随便访问．因此，需要特别的保护。但企业网络已经建成，相应改造会带来许多工作。而选择透明模式，既不用改造企业网络结构．也可以在没有经过防火墙授权的情况下．禁止非法人员访问财务部的主机。如此一来，起到了局部信息保密和保护的效果。

3.2组网实例

气象短信系统，有两台短信网关服务器，要求分别和电信、移动短信中心连接。连接的电信和移动短信中心的IP都是互联网地址，这种情况下就适合使用透明模式，使用的是防火墙，有四个以太网端口，如图1所示。

图1 透明模式组网示意图

不需要给防火墙的端口配置IP，而是直接在本地的电信和移动网关服务器上分别配置互联网地址，并且防火墙网口和线路没有一一对应关系，只要都连接上就可以。接下来就是规则的配置了，我们可以在防火墙上添加电信网关服务器和电信短信中心可以互相访问，移动网关服务器和移动短信中心可以互相访问，然后拒绝所有其它的连接，这样基本上就可以达到我们的配置要求了，更严厉的话，我们可以只开放各个地址需要被访问的端口，其它全部拒绝，这样就更安全了。

4.路由模式

路由模式是防火墙的基本工作模式，该模式运行在网络层。在路由模式下，防火墙就像一个路由器，能进行数据包的路由。不同的是，它能识别网络第四层协议（即传输层）的信息，因此它能基于TCP/UDP端口来进行过滤。在该模式下，防火墙本身要配备两个或多个网络地址。你的网络结构会被改变。在路由模式下，一般要做NA T地址转换，这时防火墙的各个端口IP地址都位于不同的网段。在路由模式支持NA T地址转换和PA T端口转换。

4.1适用环境

在国内，一般我们没有太多的公有地址，所以我们在配置内部网络时会使用私有地址段（例如172.16.0.0/16和192.168.0.0/24都属于私有IP地址），那么当两个不同网络需要相互访问时（如内网需要访问互联网），我们需要有一台路由器，而这个时候．路由模式下的防火墙就为你提供了最安全的选择。并且防火墙可以为你的内部服务器对外服务给予支持，如果这些服务器不必对外提供服务。那么就最安全不过了，如果要对外提供服务，就有必要通过防火墙的NA T（网络地址转换）来满足来自外部网络的访问要求。综上所述，路由模式适用于保护不同网段网络之间的访问。