网络安全实例：防火墙透明模式

所谓透明，是指对用户而言，防火墙的接入是透明的，网络和用户都不需要做任何的设置和改动，也根本意识不到防火墙的存在。

防火墙作为实际存在的物理设备，其本身也起到路由的作用，所以在为用户安装防火墙时，就需要考虑如何改动其原有的网络拓扑结构或修改连接防火墙的路由表，以适应用户的实际需要，这样就增加了工作的复杂程度和难度。但如果防火墙采用了透明模式，即采用无IP方式运行，用户将不必重新设定和修改路由，防火墙就可以直接安装并放置到网络中使用，如二层交换机一样不需要设置IP地址。

透明模式的防火就好像是一台网桥（非透明的防火墙好像一台路由），网络设备（包括主机、路由器、工作站等）和所有计算的设置（包括IP地址和网关）无须改变，同时解析所有通过它的数据包，既增加了网络的安全性，又降低了用户管理的复杂程度。

透明模式下，防火墙依据MAC地址表进行转发，地址表由MAC地址和端口两部分组成，透明模式防火墙必须获取MAC地址和接口的对应关系，如图2.86所示。

图2.86 防火墙透明模式

当报文正在二层接口间进行转发时，需要根据报文的MAC地址查询出接口，此时防火墙表现为一个透明网桥。但是，防火墙与网桥不同，防火墙接收到的IP报文还需要送到上层进行相关过滤等处理（但是IP报文中的源或目的地址不会改变），通过检查会话表ACL规则以确定是否允许报文通过，此外，还要完成其他防攻击检查。透明模式的防火墙支持ACL规则检查、ASPF状态过滤、防攻击检查等功能。

透明模式防火墙与物理网段相连接时，会监测该物理网段上的所有以太网帧，一旦监测到某个接口上节点发来的以太网帧，就提取出该帧的源MAC地址，并将该MAC地址与接收该帧的接口之间的对应关系加入到MAC地址表中。(www.xing528.com)

如图2.87所示，A，B，C和D等4个主机通过防火墙互连，主机A和主机B连接防火墙的Ethernet 1接口，主机C和主机D连接防火墙的Ethernet 2接口。某一时刻，当主机A向主机B发送以太网帧时，透明模式防火墙和主机B都将收到这个帧。

图2.87 防火墙透明模式——MAC地址学习

透明模式防火墙收到这个以太网帧后，就知道主机A与透明模式防火墙Ethernet 1相连（因为从Ethernet 1收到了该帧），于是主机A的MAC地址与透明模式防火墙Ethernet 1之间的对应关系就被加入到MAC地址表中。

当主机B对应主机A的以太网帧作出响应后，透明模式防火墙也能监测到主机B回应的以太网帧，并知道主机B也是与透明模式防火墙Ethernet 1相连的（因为从Ethernet 1收到了该帧），于是主机B的MAC地址与透明模式防火墙Ethernet 1之间的对应关系也被加入到MAC地址表中。

如果主机A向主机C发送以太网帧，而在MAC地址表中未找到关于主机C的MAC地址与端口的对应关系，透明模式防火墙会广播一个ARP请求报文，源MAC地址为主机A的MAC，目的MAC地址为FFFF-FFFF-FFFF，主机C接收到APR请求报文后，防火墙即学习到主机C的MAC地址与端口的对应关系。