浅谈防火墙配置中路由模式和透明模式的区别与应用

黄安祥

所谓防火墙，指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入。防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。

在网络中，“防火墙”，是指一种将内部网和公众访问网分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。

路由器和防火墙和相比，都属于网关设备，可以支持网络的各种应用，在差异性上有设计思路和实现方式的不同。Router是作为一种“网络连通手段”，保证网络互连互通为主；Firewall是作为一种“网络隔离手段”，隔离网络异常数据为主。Router：能正确转发包的设备是路由器：Firewall：能正确丢包的设备是防火墙。

一、防火墙配置里的工作模式

一般硬件防火墙有路由模式、网桥模式、混合模式，路由模式连接不同网段，防火墙有实际的地址，网桥模式即透明模式，连接相同网段，防火墙没有地址，内网用户看不到防火墙的存在，隐蔽性较好，混合模式即在网络拓扑里同时用到了路由和网桥模式，网桥模式也叫透明模式，是指防火墙的功能类型于交换机，进行二层转发，英文有transparent（透明）和bridge两种叫法，但transparent的说法更加贴切，因为上面有多个端口，而网桥则是典型的只有2个端口。路由模式是指防火墙的功能类型于路由器，提供路由转发功能，大多时候也会使用NAT功能，进行报文的三层转发。

透明模式相对于路由模式的一个最主要的特点是，它可以在不改变现有网络拓扑的情况下路署到现有网络，适用于已建好的网络中，但是提供的功能要稍弱于路由模式。

二、防火墙透明模式做规则和路由模式做规则的区别

（一）防火墙透明模式做规则的特点及实际应用

首要的特点就是对用户是透明的，即用户意识不到防火墙的存在。要想实现透明模式，防火墙必须在没有IP地址的情况下工作，不需要对其设置IP地址，用户也不知道防火墙的IP地址。透明模式的防火墙就好像是一台网桥（非透明的防火墙好像一台路由器），网络设备（包括主机、路由器、工作站等）和所有计算机的设置（包括IP地址和网关）无须改变，同时解析所有通过它的数据包，既增加了网络的安全性，又降低了用户管理的复杂程度。

而透明代理，和传统代理一样，可以比包过滤更深层次地检查数据信息。同时它也是一个非常快的代理，从物理上分离了连接，这可以提供更复杂的协议需要。

（二）防火墙路由模式做规则的特点及实际应用

地址路由指路由器为数据包选择路由时不根据IP包的目的地址（通常情况根据目的地址），而根据IP包的源地址选路。源地址路由是策略路由的一种。一般路由器应当支持。透明桥接是指路由器端口以透明网桥的方式工作，执行网桥的功能。不对数据包作路由检查转发，只作MAC帧桥接。

三、防火墙使用路由模式还是透明模式的选择

技术上分析，透明模式好处：减少工作量，不必重新规划ip地址；不做nat，数据包直接通过；同时对防火墙本身减压。防火墙桥模式，可能会存在防火墙对桥的支持以及桥接口自身对防火墙的影响。1.启用桥模式，那么所有流经桥接口的网络流量就没有防地址欺骗防护，因为在防火墙看来流量是从一个三层接口进来又出去，不存在地址欺骗；2.防火墙现在都是状态检测，过滤机制，桥接口可能会影响部分防火墙产品的状态检测功能；3.二层的桥在网络拓扑连接方式上可能会引入关于二层的因素，诸如ARP转发、VLAN Trunk、STP等；一般来说，如果是能用路由模式建议还是用路由模式，毕竟防火墙做的安全过滤从一开始就是做三层以上的工作的。透明模式：优：不用重新进行IP划分，缺：损失一些功能，如路由、VPN等路由模式：优：功能相对全面，缺：需要对现有网络进行一定调整。

从网络可靠性的角度上分析：透明模式要比路由模式要好。透明模式目的在于网络安全的防护，路由模式是承载了部分基础通信上建立安全防护，加大了网络的复杂度。当网络出了故障后，透明模式部署的防火墙能够轻易定位出是否故障出在防火墙上，只要物理上短暂的跳过防火墙进行业务测试，效果立竿见影。就算防火墙设备不幸坏掉，短时间内暂时没有防火墙也不会影响业务。而路由模式部署，这对网络管理员的技术需要达到一定的深度，具有丰富的经验才能进行排错定位，无遗在处理故障的效率和恢复上大大增加了时间，影响了业务的正常运行。

从设备性能的角度分析：路由模式的性能消耗远比透明模式要大。或许静态路由的影响还算是较小的，有的用户把防火墙作为边界网关，启用OSPF等动态路由协议，路由越多，越消耗防火墙的性能。假设防火墙还启用了一些例如病毒过滤、入侵防御的功能模块，毫无疑问这对网络的稳定可靠性的风险值大大增加。

四、结论

在安装防火墙前必须弄清楚的几个问题：1.路由走向（包括防火墙及其相关设备的路由调整）确定防火墙的工作模式：路由、透明、综合。2.IP地址的分配（包括防火墻及其相关设备的IP地址分配）根据确定好的防火墙的工作模式给防火墙分配合理的IP地址3.数据应用和数据流向（各种应用的数据流向及其需要开放的端口号或者协议类型）。4.要达到的安全目的（即要做什么样的访问控制）。

综上所述，防火墙采用何种通讯方式是由用户的网络环境决定的，用户需要根据自己的网络情况，合理的确定防火墙的通讯模式；并且防火墙采用何种通讯方式都不会影响防火墙的访问控制功能。