在网上搜索了一些信息后,我发现透明防火墙:
- “隐身”模式,即成为网络上的隐形主机
- 轻松安装到现有网络中,无需修改互联网协议 (IP) 地址
但这看起来有点不完整,也许毫无根据。似乎应该有更多理由让供应商(或开源伙伴)实现这种模式,让客户购买(使用)此功能。
答案1
我知道的最大原因是什么?IPv6 协议提出 IPv6 的很大一部分原因是为了解决 IPv4 的地址耗尽问题,并摆脱“丑陋的黑客”纳特。由于 IPv4+NAT 的组合,太多人自动认为防火墙==纳特但事实并非如此。几乎所有防火墙都可以做 NAT,但并非所有 NAT 解决方案都可以做防火墙。
IPv6 假设网络未掩码,这给习惯了戴口罩的人带来了一些问题。在 IPv6 网络中,如果假设“公共”IPv6 地址不能保证可路由性,那么就会更加安全。
但这不仅仅是 IPv6。我以前工作的大学有 /16 IPv4 分配。他们的台式机上有“公共” IP 地址。但它们仍然受到防火墙的保护,因为我们的防火墙处于“透明”模式。我们有地址空间,为什么不呢?它还使某些用例更容易处理,而无需玩 NAT 端口转发和公共 IP 分配游戏。
如果您对透明的定义意味着 L2 安全服务,那么即使在 IPv4 网络中,那里的用例也很常见。
- AWS 安全组的操作如下:ec2、虚拟私有云等服务。
- Azure 安全组的操作类似。
- 我使用它已经有一段时间了,但我相信 VMWare ESX 网络有类似的选项。
这些系统是主要公共云提供商的网络安全核心。您可以定义允许/拒绝规则列表,并将其应用于资源。在 AWS 中,这是 EC2 实例、Lambda 或其他服务的接口。防火墙不像 iptables 那样存在于盒子上,而是存在于虚拟机下方。这使它成为一个透明的 L2 设备。
答案2
您可能要求某些主机必须位于同一 LAN 段内同时,他们还要求截然不同的安全政策。例如,您可能希望与您的广告 域控制器(DC),但您想以某种方式保护它们并将其与网络的其余部分分开。
为此,您需要添加一个透明防火墙。一方面,您将拥有您的 DC,另一方面,您将拥有其余的 DC,并且它们可能仍然位于单个网络(如 192.168.5.0/24)内,并且很高兴地认为它们没有任何L3它们之间都有设备。并且它们都具有相同的默认网关,该网关很可能部署在“不安全”的一侧。
另一种情况可能是当涉及到真正的防火墙桥接流量时。例如,有些服务甚至不知道 IP、IPv6 或任何其他 L3 是什么,它们使用原始以太网帧进行通信。以太网 ATA首先想到的是 AoE。我见过一些使用原始以太网进行通信的工业自动化。当要确定AoE 架子仅对某些已知主机可访问,您将使用类似“桥接防火墙”之类的东西。