防火墙设计中的一些重点问题(2)

核心提示：4．透明性 防火墙的透明性指防火墙对于用户是透明的，在防火墙接入网络时，防火墙设计中的一些重点问题(2)，网络和用户无需做任何设置和改动，也根本意识不到防火墙的存在，防火墙用和内网相连接口的MAC地址回送ARP包，因此路由器和内网主机都认为将数据包发给了对方， 防火墙作为一个实际存在的物理设备，要想放入已存在地网络中又

4．透明性

防火墙的透明性指防火墙对于用户是透明的，在防火墙接入网络时，网络和用户无需做任何设置和改动，也根本意识不到防火墙的存在。

防火墙作为一个实际存在的物理设备，要想放入已存在地网络中又不对网络有任何影响，就必须以网桥的方式置入网络。传统方式下，防火墙安装时，更象是一台路由器或者网关，原有网络拓扑结构往往需要改变，网络设备（包括主机和路由器）的设置（IP和网关、DNS、路由表等等）也需要改变。但如果防火墙采用了透明模式，即采用类似网桥的方式运行，用户将不必重新设定和修改路由，也不需要知道防火墙的位置，防火墙就可以直接安装和放置到网络中使用。

透明模式最大的好处在于现有网络无需做任何改动，这就方便了很多客户，再者，从透明模式转换到非透明模式又很容易，适用性显然较广。当然，此时的防火墙仅仅起到一个防火墙的作用，其他网关位置的功能如NAT、VPN功能不再适用，当然，其他功能如透明代理还可以 继续使用。

目前透明模式的实现上可采用ARP代理和路由技术实现。此时防火墙相当于一个ARP代理的功能。内网（可以仍含有路由器或子网，依次类推）、防火墙、路由器的位置大致如下：

内网―――――防火墙―――――路由器

（需要说明的是，这种方式是绝大多数校园网级网络的实现方式）

内网主机要想实现透明访问，必须能够透明的传送内网和路由器之间的ARP包，而此时由于事实上内网和路由器之间无法连通，防火墙就必须配置成一个ARP代理（ARP Proxy）在内网主机和路由器之间传递ARP包。防火墙所要做的就是当路由器发送ARP广播包询问内网内的某一主机的硬件地址时，防火墙用和路由器相连接口的MAC地址回送ARP包；内网内某一主机发送ARP广播包询问路由器的硬件地址时，防火墙用和内网相连接口的MAC地址回送ARP包，因此路由器和内网主机都认为将数据包发给了对方，而实际上是发给了防火墙转发。