在以上的包传输过程中,内部的虚拟地址10.0.1.1与外部的真实地址202.119.1.23之间构成一一对应关系,经过网关时须进行必要的转换工作,这正是NAT技术名称的由来。
但内部主机(IH1,IH2)之间的连接直接使用虚拟地址而不需要经过网关的转换。
静态NAT和动态NAT
根据NAT工作模式,可分为静态NAT和动态NAT两种。
静态NAT是指内部网络的私有IP地址转换为真实IP地址,IP地址映射是一对一的,是事先由管理员配置好的,某个私有IP地址只转换为某个真实IP地址,如图5-13(a)所示。
借助于静态NAT,可以实现具有内部私有IP地址的内网机器对外部网络(如Internet)的访问,图5-12地址翻译属于静态NAT。
动态NAT是指内部网络的私有IP地址转换为真实IP地址时,IP地址转换时随机的,如图5-13(b)所示。
实际上,首先为NAT系统的IP地址缓冲池配置一个或多个真实IP地址,当内部私有IP地址访问外网时,NAT系统随机从IP地址缓冲池取出一个真实的IP地址为这次访问进行地址翻译。
如果同时需要进行的访问多于缓冲池中地址时,可以借助于端口号,实际上就是将一个内部IP地址映射成真实IP地址及端口号的映射关系表,确保完成地址翻译。
3.其它防火墙
个人防火墙(Private Firewall)是一种能够保护个人计算机系统安全的软件,它可以直接在用户的计算机上安装、运行,使用与状态/动态检测防火墙相同的方式,保护一台计算机免受攻击。
通常,这些防火墙是安装在计算机网络接口的较低级别上,这使得它们可以监视传入/传出网卡的所有网络通信。现在网络上流传很多个人防火墙软件都是应用程序级的。
因为传统的防火墙设置在网络边界,处于内、外网络之间,所以称为“边界防火墙”。随着人们对网络安全防护要求的提高,边界防火墙明显达不到要求,因为给网络带来安全威胁的不仅是外部网络,更多的是来自内部网络。
但边界防火墙无法对内部网络实现有效保护,正是基于这个原因,产生了分布式防火墙(Distributed Firewall)技术。分布式防火墙技术可以很好地解决边界防火墙的不足,把防火墙的安全防护系统延伸到网络中的各台主机。
但边界防火墙无法对内部网络实现有效保护,正是基于这个原因,产生了分布式防火墙(Distributed Firewall)技术。分布式防火墙技术可以很好地解决边界防火墙的不足,把防火墙的安全防护系统延伸到网络中的各台主机。
分布式防火墙负责对网络边界、各子网和网络内部结点之间的安全防护。
分布式防火墙是一个完整的系统,而不是单一的产品。
根据需要完成的功能,分布式防火墙主要包括网络防火墙(Network Firewall)、主机防火墙(Host Firewall)和中心管理(Center Management)部分。
4. 防火墙的作用
防火墙作为重要的网络安全设备主要有以下作用。
网络流量过滤
网络流量过滤是防火墙最主要的功能。通过在防火墙上进行安全规则配置,可以对流经防火墙的网络流量进行过滤。
安全规则是依据安全策略精心设计的,防火墙严格执行安全检查,这样只要符合安全规则的网络流量才能通过,大大提高了局域网的安全性。
网络监控审计
如果所有的访问都经过防火墙,那么防火墙就能记录下这些访问并生成网络访问日志,同时也能提供网络使用情况的统计数据。
当出现可疑的网络访问时,防火墙能及时地发出警报,并提供可以访问的详细信息。
防火墙可以作为手机一个网络使用情况的绝佳点,将所收集的有关信息提供给其它安全模块,必要时根据需要阻断网络连接访问,与其它安全模块形成联动系统。
支持DMZ
DMZ是英文“Demilitarized Zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。
它是设立在非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,可以防止一些必须公开的服务器设施,如企业WEB服务器、FTP服务器等。
支持VPN
通过VPN(Virtual Private Network,虚拟私有网络),企业可以将分布在各地的局域网有机地连成一个整体,不仅省去了租用专用通信线路的费用,而且为信息共享提供了安全技术保障。
图5-14为一个典型的企业防火墙应用实例。在该企业网络中由于应用了防火墙,一举解决了网络流量过滤及审计、地址短缺、远程安全内网访问以及DMZ部署问题。
@木子雨辰,将一直带给大家信息安全知识,由浅至深、采用体系化结构逐步分享,大家有什么建议和问题,可以及留言,多谢大家点击关注、转发、评论,谢谢大家。
大家如果有需要了解安全知识内容需求的可以留言,沟通,愿与大家携手前行。
