防火墙设计中的一些重点问题(7)

　　前边我们讨论过透明代理，和这里所说的防火墙的透明模式是两个概念。透明代理主要是为实现内网主机可以透明的访问外网，而无需考虑自己是不可路由地址还是可路由地址。内网主机在使用内部网络地址的情况下仍然可以使用透明代理，此时防火墙既起到网关的作用又起到代理服务器的作用（显然此时不是透明模式）。

　　需要澄清的一点是，内外网地址的转换（即NAT，透明代理也是一种特殊的地址转换）和透明模式之间并没有必然的联系。透明模式下的防火墙能实现透明代理，非透明模式下的防火墙（此时它必然又是一个网关）也能实现透明代理。它们的共同点在于可以简化内网客户的设置而已。

　　目前国内大多防火墙都实现了透明代理，但实现了透明模式的并不多。这些防火墙可以很明显的从其广告中看出来：如果哪个防火墙实现了透明模式，它的广告中肯定会和透明代理区分开而大书特书的。

　　5．可靠性

　　防火墙系统处于网络的关键部位，其可靠性显然非常重要。一个故障频频、可靠性很差的产品显然不可能让人放心，而且防火墙居于内外网交界的关键位置，一旦防火墙出现问题，整个内网的主机都将根本无法访问外网，这甚至比路由器故障（路由器的拓扑结构一般都是冗余设计）更让人无法承受。

　　防火墙的可靠性也表现在两个方面：硬件和软件。

　　国外成熟厂商的防火墙产品硬件方面的可靠性一般较高，采用专门硬件架构且不必多说，采用PC架构的其硬件也多是专门设计，系统各个部分从网络接口到存储设备（一般为电子硬盘）集成在一起（一块板子），这样自然提高了产品的可靠性。

　　国内则明显参差不齐，大相径庭，大多直接使用PC架构，且多为工业PC，采用现成的网卡，DOC/DOM作为存储设备。工业PC虽然可靠性比普通PC要高不少，但是毕竟其仍然是拼凑式的，设备各部分分立，从可靠性的角度看显然不如集成的（著名的水桶原理）。

　　国内已经有部分厂家意识到了这个问题，开始自行设计硬件。但大多数厂家还是从成本的角度考虑使用通用PC架构。