早在上大学时就有一个疑问,为什么防火墙看起来像是一台路由器,为了引入一个防火墙,你起码要多申请2个IP地址,还要配置复杂的路由保证通路,为了上述保证,你不得不重新规划你的网络,最最麻烦的就是为你的那个防火墙分配的那个IP地址,该地址可能会成为攻击者进入内部网的入口。到底是谁在保护谁啊?
真正意义的纯粹的防火墙应该就是一个过滤设备,没有IP地址,对流量完全透明,你可以把它看成是一根比较昂贵的线缆,线缆而已,它可以热插拔到你的网络的任何地方,不需要对已有的拓扑进行任何改造,本质上,它类似一个链路层设备,也就是和一个桥很类似,和桥不同的就是它比较智能。说实话,难道防火墙本来不就应该是这样吗?只要一个设备能“看到包的五元素或者更多的信息”,那么该设备就能根据这些信息进行包过滤,如果该设备还能维护一个流的信息,那么它就可以实现基于状态的包过滤,这有什么难的,和该设备有没有IP地址有关系吗,和它工作在第几层有关系吗?如果该设备工作在三层,那么叫它路由防火墙二合一产品比较合适。
真正意义的纯粹的防火墙应该就是一个过滤设备,没有IP地址,对流量完全透明,你可以把它看成是一根比较昂贵的线缆,线缆而已,它可以热插拔到你的网络的任何地方,不需要对已有的拓扑进行任何改造,本质上,它类似一个链路层设备,也就是和一个桥很类似,和桥不同的就是它比较智能。说实话,难道防火墙本来不就应该是这样吗?只要一个设备能“看到包的五元素或者更多的信息”,那么该设备就能根据这些信息进行包过滤,如果该设备还能维护一个流的信息,那么它就可以实现基于状态的包过滤,这有什么难的,和该设备有没有IP地址有关系吗,和它工作在第几层有关系吗?如果该设备工作在三层,那么叫它路由防火墙二合一产品比较合适。
纯粹的防火墙应该是链路层的透明防火墙,在以太网交换机中加入包过滤功能即可,或者更纯粹的,一个只有两个口的桥设备,加入包过滤功能,然后串联在内部网的出口处即可。关于透明防火墙的功能,当然可以在包过滤之外进行扩展,它还可以是一个NAT设备,NAT设备并不一定非得需要一个IP地址。透明防火墙没有IP地址,这确实是一个亮点,使得所有的基于IP的攻击都束手无策。关于透明防火墙的实现,我觉得比较简单,一个很简单的Demo可以用linux快速做出来,在做这个Demo之前,必须要有所了解的就是Linux的Netfilter包过滤机制,特别是它在链路层都实现了什么,数据包进入流出的具体流程是什么,都经过了哪些路径,知道了这些,你才能在关键的地点设置过滤器,其次,你必须要明白的是如何优化它,如何提高其可用性,最终如何产品化它,这就涉及到了很多的内容,比如我可以用硬件网卡加速器来优化性能,实现一个基于状态的透明防火墙,我还必须确保板子支持网卡掉电ByPass以及watchdog芯片实现的故障ByPass...
本文转自 dog250 51CTO博客,原文链接:http://blog.51cto.com/dog250/1268997
