防火墙的透明模式和透明代理(2)

　　透明代理的原理如下：假设A为内部网络客户机，B为外部网络服务器，C为防火墙。当A对B有连接请求时，TCP连接请求被防火墙截取并加以监控。截取后当发现连接需要使用代理服务器时，A和C之间首先建立连接，然后防火墙建立相应的代理服务通道与目标B建立连接，由此通过代理服务器建立A 和目标地址B的数据传输途径。从用户的角度看，A和B的连接是直接的，而实际上A 是通过代理服务器C和B建立连接的。反之，当B对A有连接请求时原理相同。由于这些连接过程是自动的，不需要客户端手工配置代理服务器，甚至用户根本不知道代理服务器的存在，因而对用户来说是透明的。

　　代理服务器可以做到内外地址的转换，屏蔽内部网的细节，使非法分子无法探知内部结构。代理服务器提供特殊的筛选命令，可以禁止用户使用容易造成攻击的不安全的命令，从根本上抵御攻击。

　　防火墙使用透明代理技术，还可以使防火墙的服务端口无法探测到，也就无法对防火墙进行攻击，大大提高了防火墙的安全性与抗攻击性。透明代理避免了设置或使用中可能出现的错误，降低了防火墙使用时固有的安全风险和出错概率，方便用户使用。

　　因此，透明代理与透明模式都可以简化防火墙的设置，提高系统安全性。但两者之间也有本质的区别：工作于透明模式的防火墙使用了透明代理的技术，但透明代理并不是透明模式的全部，防火墙在非透明模式中也可以使用透明代理。值得注意的是，虽然国内市场上很多防火墙产品都可提供透明代理访问机制，但真正实现透明模式的却不多——有很多厂商都宣称自己的防火墙产品实现了透明模式，但在实际应用中，他们往往做不到这一点，而只是实现了透明代理。当然，市场上也有很多产品能真正提供透明模式，如Netscreen、东方龙马、清华紫光等防火墙产品。