13第十三课 防火墙透明模式的应用原理

浅谈防火墙配置中路由模式和透明模式的区别与应用作者：黄安祥来源：《消费导刊》2018年第17期所谓防火墙，指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。

是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入。

防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。

该计算机流入流出的所有网络通信和数据包均要经过此防火墙。

在网络中，“防火墙”，是指一种将内部网和公众访问网分开的方法，它实际上是一种隔离技术。

防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。

路由器和防火墙和相比，都属于网关设备，可以支持网络的各种应用，在差异性上有设计思路和实现方式的不同。

Router是作为一种“网络连通手段”，保证网络互连互通为主；Firewall 是作为一种“网络隔离手段”，隔离网络异常数据为主。

Router：能正确转发包的设备是路由器：Firewall：能正确丢包的设备是防火墙。

一、防火墙配置里的工作模式一般硬件防火墙有路由模式、网桥模式、混合模式，路由模式连接不同网段，防火墙有实际的地址，网桥模式即透明模式，连接相同网段，防火墙没有地址，内网用户看不到防火墙的存在，隐蔽性较好，混合模式即在网络拓扑里同时用到了路由和网桥模式，网桥模式也叫透明模式，是指防火墙的功能类型于交换机，进行二层转发，英文有transparent（透明）和bridge 两种叫法，但transparent的说法更加贴切，因为上面有多个端口，而网桥则是典型的只有2个端口。

路由模式是指防火墙的功能类型于路由器，提供路由转发功能，大多时候也会使用NAT功能，进行报文的三层转发。

配置防火墙透明代理应用场景代理服务器是介于浏览器和Web服务器之间的一台服务器，有了它之后，浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求，Request信号会先送到代理服务器，由代理服务器来取回浏览器所需要的信息并传送给你的浏览器。

而且，大部分代理服务器都具有缓冲的功能，就好象一个大的Cache，它有很大的存储空间，它不断将新取得数据储存到它本机的存储器上，如果浏览器所请求的数据在它本机的存储器上已经存在而且是最新的，那么它就不重新从Web服务器取数据，而直接将存储器上的数据传送给用户的浏览器，这样就能显著提高浏览速度和效率（速度会随着代理服务器地理位置的不同以及网络传输情况而改变），而且国外的网络大部分都是没有限制访问网站或者所限制的不同，所以我们有很大的机会通过代理服务器去访问那些原本不能够去的网站对于服务提供商来说：● 大部分代理服务器都具有缓冲的功能。

它有一个很大的Cache（一个很大的硬盘缓冲区），不断地将新取得的数据保存在Cache中。

如果浏览器所请求的数据在其缓冲区中已经存在而且是最新的，那么它就不会重新到Web服务器取数据，而直接将缓冲区中的数据传送给浏览器，从而显著地提高浏览速度；● 代理服务器能够提供安全功能。

它连接Internet与Intranet，有防火墙功能。

由于内部网与外部网之间没有其它的直接连接，所有的通信都必须通过代理服务器，因此外界不能直接访问到内部网，使得内部网的安全性得到提高。

同时也可以设置IP地址过滤，来限制内部网对外部的访问权限。

● 可以节省IP开销。

由于所有用户对外只占用一个有效的IP，所以不必租用过多的有效IP地址，降低网络的维护成本。

由于目的服务器只能查出所使用的代理服务器的IP，所以对防止网络黑客还有一个不言而喻的好处，那就是通过这种方法隐藏自己的真实IP地址。

对于个人来说：代理服务器的最大的好处是可以通过代理来访问本身不能访问到的地方。

防火墙透明模式典型配置举例防火墙透明模式是一种常见的网络安全配置，它允许防火墙在网络上作为透明的桥接设备，无需修改网络设备的IP地址和配置，对所有网络流量进行过滤和监控。

本文将以一个典型的企业网络环境为例，详细介绍防火墙透明模式的配置。

1.网络拓扑假设企业网络中有一个内部局域网（LAN）和一个外部网络（WAN），分别连接到防火墙的两个接口。

内部局域网的网段为192.168.0.0/24，防火墙的局域网接口IP地址为192.168.0.1；外部网络的网段为202.100.100.0/24，防火墙的广域网接口IP地址为202.100.100.1、防火墙的透明模式设置在两个接口之间。

2.配置步骤（1）配置局域网接口IP地址：登录防火墙管理界面，在网络设置中找到局域网接口，设置IP地址为192.168.0.1，子网掩码为255.255.255.0。

这样，防火墙就可以与内部网络通信。

（2）配置广域网接口IP地址：同样在网络设置中找到广域网接口，设置IP地址为202.100.100.1，子网掩码为255.255.255.0。

这样，防火墙就可以与外部网络通信。

（3）配置透明模式：在防火墙的透明模式设置中，将局域网接口和广域网接口进行桥接。

在桥接配置中，选择透明模式，并将局域网接口和广域网接口绑定在一个桥接组中。

（4）配置ACL（访问控制列表）：通过ACL可以定义防火墙的过滤规则，控制允许和禁止的流量。

例如，可以设置允许内部网络对外访问的规则，禁止特定IP地址的访问规则等。

在防火墙管理界面的策略设置中，创建相应的ACL规则。

（5）配置NAT（网络地址转换）：NAT可以将内部网络的私有IP地址映射为公共IP地址，实现内部网络对外部网络的访问。

在防火墙的NAT设置中，配置相应的NAT规则。

（6）配置日志功能：在防火墙中启用日志功能，记录所有的网络流量和安全事件。

可以将日志信息发送到指定的日志服务器，方便网络管理员进行监控和分析。

waf透明代理原理
WAF（Web Application Firewall，Web应用程序防火墙）透明
代理原理是指将WAF放置在应用程序与用户之间，通过将进
出的数据流量通过WAF进行拦截、过滤和检测，保护应用程
序免受各种Web攻击的影响。

透明代理的原理如下：
1. 数据拦截：WAF置于应用程序和用户之间，可以通过将数
据流量重定向到WAF来拦截所有进出的网络请求。

2. 数据过滤：WAF对进入和离开应用程序的数据进行过滤，
通过设定规则来检测并阻止潜在的攻击，例如SQL注入、跨
站脚本等。

3. 攻击检测：WAF使用各种技术（如正则表达式、模式匹配、行为分析等）来检测出可能的攻击行为，并根据预定义的规则集来识别和过滤这些攻击。

4. 动态防护：WAF可以实时监控应用程序的运行状态，对于
出现的新型攻击可以及时更新规则并进行阻止，保护应用程序免受新的攻击。

总的来说，WAF透明代理原理就是将WAF作为应用程序的
前置代理，对进出的数据流量进行拦截、过滤和检测，以保护应用程序免受各种Web攻击的威胁。

实验V3防火墙透明模式（二层模式）一、实验目的了解并熟悉H3C Secpath V3防火墙的两种二层模式配置二、场景描述用户在内网有两个网段，在交换机上划分了两个VLAN，在路由器上设置单臂路由，内网用户DHCP获取IP地址，DHCP服务器为MSR路由器。

为了安全，用户现在在内网交换机和路由器之间增加了一个F1000-S防火墙，为了不改变网络架构，用户要求将防火墙配置成二层模式。

三、拓扑图四、配置步骤基本配置1. 基本配置：设备命名，先不将防火墙加入网络，保证内网运行正常2. 将防火墙加入到网络中，进行防火墙的基本配置3. 将防火墙转换成二层模式，保证内网运行正常防火墙的配置：一、基本配置：1、设备命名，防火墙数据放通，接口加入区域systemsys F1000-Sfirewall packet-filter enable //开通防火墙的包过滤功能firewall packet-filter default permit //包过滤的默认规则为permitfirewall zone trust //内网口加入trustadd interface g1/0quitfirewall zone untrust //外网口加入untrustadd interface g2/0quit2、将防火墙转换成二层模式：bridge enable //启用桥接模式bridge 1 enable //建立一个桥组int bridge-template 1 //设置管理地址ip address 192.168.1.100 255.255.255.0quitint g1/0 //将接口加入桥组bridge-set 1quitint g2/0bridge-set 1quitfirewall zone trust //将桥模板加入区域add interface bridge-template 1quitip route 0.0.0.0 0.0.0.0 192.168.1.1 //管理IP的路由3、放通DHCP报文bridge 1 firewall unknown-mac flood //未知MAC洪泛1.1 五、查看和测试：使用dis cu 查看防火墙的配置使用dis ver 查看防火墙的软件版本1、在内网PC机上获取IP地址，能否获取到？2、获取IP地址后，PC能否Ping通网关，能否上公网？3、内网PC机能否管理F1000-S1.2 六、实验思考：1、当需要管理F1000-S防火墙时，我们需要登录bridge-template接口，请考虑这个时候对内网S3100交换机有什么特殊要求？1.3 附：老版本的二层模式配置：firewall mode transparent （配置为透明模式）firewall system-ip 192.168.1.254 255.255.255.0 （这是防火墙的管理IP地址）interface Ethernet2/0（进入WAN口）promiscuous （配置为透明传输）quitinterface Ethernet1/0 （进入LAN口）promiscuous （配置为透明传输）quitfirewall packet-filter default permit （配置防火墙默认规则）firewall unknown-mac flood （未知MAC泛洪）。

透明模式防火墙在防火墙系统7.0及其后续版本中，引入了用安全网桥模式作为二层设备来部署安全设备的方法，以此提供从第2层到第7层的丰富防火墙服务。

在透明模式下，安全设备会以"额外添加设备（bump in the wire ）"的形式存在，而不会被计算进路由的跳数中。

因此也就不需要对IP网络（第3层地址方案）重新进行设计。

安全设备的内部接口和外部接口连接在同一个网络（IP子网）中。

如果这个内部接口和外部接口连接在同一台交换机上的话，就要把它们放在不同的二层网络中（可以给这两个接口分配不同的VLAN号，或者用不同的交换机连接它们）。

这样做可以从本质上把网络分成两个二层网段，安全设备位于这两个网段之间充当网桥，而网络的第3层结构则没有发生变化。

客户只能被连接到两台相互分离的交换机之一（而无法以任何方式与另一台相连）。

图6-3对此作出了进一步的说明。

即使防火墙处于网桥模式中，仍然需要对其配置ACL来对穿越防火墙的三层流量实施控制和放行。

但ARP流量除外，它不需要使用ACL来匹配，因为它可以用防火墙的ARP监控功能（ARP inspection）进行控制。

透明模式不能为穿越设备的流量提供IP路由功能，因为它处于网桥模式中。

静态路由是用来为这台设备始发流量服务的，不适用于穿越这台设备的流量。

不过，只要防火墙的ACL 有相应的匹配条目，那么IP路由协议数据包是可以通过这个防火墙的。

OSPF、RIP、EIGRP、BGP都可以穿越透明模式的防火墙建立临接关系。

当防火墙运行在透明模式时，它仍然对数据进行状态化监控和应用层检测，它也仍然可以实现所有普通防火墙的功能，比如NA T。

配置NA T可以在防火墙系统8.0及后续版本中实现，在此之前的版本中，则不支持在透明模式下实现NA T的功能。

出站数据包要从哪个接口转发出去是通过防火墙查询MAC地址，而不是路由表实现的。

透明模式下的防火墙只有一个IP地址必须配置，那就是管理IP。

4.2 防火墙透明工作模式的配置前置知识:防火墙的透明工作模式，相当于防火墙端口工作于透明网桥模式，即防火墙的各个端口所连接的计算机均处于同一IP子网中，但不同接口之间的计算机的访问要受安全规则的制约。

因此这对内部网络中需要对某些计算机采取强化控制措施时是很用的。

这是对网络变动最少的接入控制方法，广泛应用于原来网络的安全升级中，而原有的拓扑只要稍加改动即可。

实验目的1.了解什么是防火的透明工作模式2.掌握防火墙透明工作模式的配置方法，并在防火墙中设置简单规则以实现对外部设备访问的控制实验器材1.DCFW-1800S-K/VPN防火墙一台2.交叉网线两根3.PC机两台实验拓扑及规划试验步骤1.给防火墙LAN(if1)接口设置IP地址及添加管理机地址在命令行方式下利用admin用户登录到防火墙，执行如下操作：# ifconfig if1 192.168.100.100/24# ifconfig if1 192.168.100.100/24# adminhost add 192.168.100.101# apply# save做了如上修改之后，修改本地计算机的“测试”网卡地址为“192.168.100.101”，并启动浏览器、用admin用户登录到防火墙。

2. 进入网桥设置主界面选择“首页”|“系统”|“网桥设置”命令，如图1所示：图1 网桥设置界面3．启用网桥单击图1中“网桥设备”中的“bridge0”右边的“修改”按钮，进入如图2所示的界面，选中“修改网桥设置”选项卡，随后选中“启用”复选框，以启用网桥。

图2 启用网桥设置4．向网桥中添加接口选中“网桥bridege0接口设置”选项卡，如图3所示。

图3启用网桥设置单击“新增”按钮，将if0和if1接口加入bridge0，完成后的界面如图4所示。

图4 向bridge0中加入接口而后选“修改网桥设置”选项卡，回到图25所示界面，单击“确定”按钮，回到主界面，如图5所示，为使设置生效，依次单击“应用”和“保存”按钮。

【基于透明模式的Linux防火墙设计】防火墙透明模式随着计算机技术、网络技术和现代通信技术的发展，信息安全成为众多科学工作者的研究重点。

Linux系统作为一个开放的网络网络操作系统，被广泛的应用于教育、金融和政府企业网中，在应用过程中，防火墙技术越来越多的被应用于专用网络，和公用网络的互联环境中,因此，linux系统的防火墙设计大大的影响人们办公的利于弊。

防火墙集成了计算机的硬件和软件，位于两个或者多个网段之间，能够实施对网络资源的访问控制，在任何两个或者多个网络之间，按照一定的安全策略实施数据包的安全检测，判断各个网络之间的通信能否被许可，时刻监视网络的运行现状。

本文基于作者多年的研究和实践经验，详细的描述了linux2.4系统内核中，防火墙设计的相关技术，比如数据包过滤、Netfilter/Iptables架构、透明模式等，并基于这些技术针对linux防火墙进行了设计，详细的探讨了防火墙控制系统的设计，以便为人们在使用linux系统时，设计防火墙提供参考。

二、背景技术（一）Linux系统简介Linux是一种自由的和开放源码的类Unix操作系统，其得名于计算机业余爱好者Linus Torvalds。

当前存在着许多不同的linux系统版本，比如大家众所周知的linux2.2和linux2.4系列。

虽然他们的产生时间和版本不同，但是它们都使用了linux内核，严格来讲，Linux这个词本身只表示Linux内核，但实际上人们已经习惯了用Linux来形容整个基于Linux内核，并且使用GNU 工程各种工具和数据库的操作系统。

Linux可以安装在各种计算机硬件设备中，比如从平板电脑、手机、路由器和视频游戏控制台，到台式计算机、大型机和超级计算机。

Linux是一个领先的操作系统，世界上运算最快的10台超级计算机运行的都是Linux操作系统。

（二）Linux系统的数据包过滤对于Linux系统的防火墙设计与实现来讲，为了能够判定网中的流通的数据包等是络安全人员或者是系统管理员制定一组详细的网络通信规则，这组规则具有一个中心控制点，使用该组规则能够检测网络中的数据包并且能够流出合法的数据包信息，使系统不受损害。

ASA透明模式防火墙技术介绍首先，透明模式和其它模式的pk: 路由模式VS透明模式路由模式，防火墙扮演一个三层设备，基于目的IP地址转发数据包。

透明模式，防火墙扮演一个二层设备，如同桥或交换机，基于目的MAC地址转发以太网??桥模式VS透明模式需要注意的是，虽然透明模式防火墙首先，透明模式和其它模式的pk:路由模式VS透明模式路由模式，防火墙扮演一个三层设备，基于目的IP地址转发数据包。

透明模式，防火墙扮演一个二层设备，如同桥或交换机，基于目的MAC地址转发以太网帧。

桥模式VS透明模式需要注意的是，虽然透明模式防火墙工作在第二层，但是，它的工作方式并不完全与二层交换机或桥相同。

透明模式防火墙在处理流量时仍然与交换机有一些不同。

交换机三个主要功能1. 学习与每个端口匹配的MAC地址，并将它们存储在MAC地址表中（有时一叫做CAM表）。

智能地使用MAC地址表转发流量，但是会泛洪未知目的的单播、组播、广播地址。

3. 使用生成树协议（STP）来打破第二层环路，保证在源和目的之间只有一条活动路径存在。

像交换机一样，透明模式防火墙也会完成第一点：当一个帧进入一个接口，设备会比较帧中的源MAC地址，并且把它添加到MAC地址表中（如果MAC地址表中没有这个地址）。

防火墙同样使用MAC地址表，智能地基于帧的目的MAC地址进行转发；但是，防火墙不会泛洪MAC地址表不存在的未知的目的单播MAC地址。

防火墙假设，如果设备使用TCP/IP，可以通过ARP进程来发现与三层IP地址相匹配的目的MAC地址。

如果一台设备打破了这个预期（准则），并且使用了一个防火墙没有学到（动态或静态）的MAC地址，防火墙将丢弃未知的目的MAC地址。

简单的说，就是不泛洪未知的目的MAC地址。

第二点与二层设备不同的是，防火墙不参与生成树（STP）。

因此，必须保证在使用透明模式防火墙时，不能故意增加二层环路。

如果有环路，你会很快的该设备和交换机的CPU利用率会增加到100％。