通信网络安全Chapter04教程解读.ppt

9.IP安全可选方案 IP风险的缓解办法包括：协议禁用、使用非路由的IP地址、过滤IP通信以及面向安全的协议 3.网络地址转换（NAT） NAT是通过公共网关将来自内网的分组中继，NAT网关是桥接Internet和内网的双主机系统，对于每个分组，NAT服务器在内部中继表存储映射关系 中继表是内部发起连接请求时建立的。中继表包含3部分：源IP地址和传输层端口，目的IP地址和传输层端口号，NAT服务器外部接口端口号 使用NAT外部IP和端口号将分组中继到外部网络，外部主机视分组来自NAT服务器，而非内部主机 9.IP安全可选方案 IP风险的缓解办法包括：协议禁用、使用非路由的IP地址、过滤IP通信以及面向安全的协议 3.网络地址转换（NAT） 当NAT服务器接收来自外部网络接口的分组，它将分组目的地和内部中继表进行比较，然后将分组转发的内部源 使用NAT服务器，内部主机通过相同的外部IP地址中继，NAT服务器提供两个安全效果：匿名和隐私 对外部网络来说，通过NAT服务器中继的分组都来自NAT服务器，因此内部是匿名的，攻击者无法知道内网状况 攻击者不能连到内部主机，与内部中继表条目不能匹配的分组都被丢弃。这使得NAT服务器成为有效的防火墙 NAT服务器所支持的连接，必须是内部主机主动发起的 9.IP安全可选方案 IP风险的缓解办法包括：协议禁用、使用非路由的IP地址、过滤IP通