防火墙设计中的一些重点问题(6)

　　透明模式最大的好处在于现有网络无需做任何改动，这就方便了很多客户，再者，从透明模式转换到非透明模式又很容易，适用性显然较广。当然，此时的防火墙仅仅起到一个防火墙的作用，其他网关位置的功能如NAT、VPN功能不再适用，当然，其他功能如透明代理还可以 继续使用。

　　目前透明模式的实现上可采用ARP代理和路由技术实现。此时防火墙相当于一个ARP代理的功能。内网（可以仍含有路由器或子网，依次类推）、防火墙、路由器的位置大致如下：

　　内网―――――防火墙―――――路由器

　　（需要说明的是，这种方式是绝大多数校园网级网络的实现方式）

　　内网主机要想实现透明访问，必须能够透明的传送内网和路由器之间的ARP包，而此时由于事实上内网和路由器之间无法连通，防火墙就必须配置成一个ARP代理（ARP Proxy）在内网主机和路由器之间传递ARP包。防火墙所要做的就是当路由器发送ARP广播包询问内网内的某一主机的硬件地址时，防火墙用和路由器相连接口的MAC地址回送ARP包；内网内某一主机发送ARP广播包询问路由器的硬件地址时，防火墙用和内网相连接口的MAC地址回送ARP包，因此路由器和内网主机都认为将数据包发给了对方，而实际上是发给了防火墙转发。

　　显然，此时防火墙还必须实现路由转发，使内外网之间的数据包能够透明的转发。另外，防火墙要起到防火墙的作用，显然还需要把数据包上传给本身应用层处理（此时实现应用层代理、过滤等功能），此时需要端口转发来实现（？这个地方不是十分清楚，也没找到相关资料）。透明模式和非透明模式在网络拓扑结构上的最大区别就是：透明模式的两块网卡（与路由器相连的和与内网相连的）在一个网段（也和子网在同一个网段）；而非透明模式的两块网卡分别属于两个网段（内网可能是内部不可路由地址，外网则是合法地址）。

　　这个过程如下：

　　1. 用ARP代理实现路由器和子网的透明连接（网络层）

　　2. 用路由转发在IP层实现数据包传递（IP层）

　　3. 用端口重定向实现IP包上传到应用层（IP层）