ch4防火墙技术要点.ppt

状态检测技术跟踪连接状态的方式 （1）TCP包 当建立起一个TCP连接时，通过的第一个包被标有SYN标志。 （2）UDP包 对传入的包，若它所使用的地址和UDP包携带的协议与传出的连接请求匹配，该包就被允许通过。 返回本章首页 状态检测技术的特点 状态检测防火墙具有如下优点： （1）高安全性 （2）高效性 （3）可伸缩性和易扩展性 （4）应用范围广 状态检测防火墙的不足主要体现在对大量状态信息的处理过程可能造成网络连接的某种迟滞。 返回本章首页 4.2.4 NAT技术 NAT允许一个整体机构以一个公用IP地址出现在互联网上。它是一种把内部私有IP地址翻译成合法网络IP地址的技术。 NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。 NAT有三种类型：静态NAT（Static NAT）、动态地址NAT（Pooled NAT）和网络地址端口转换NAPT（Port－Level NAT）。 返回本章首页 NAT技术的特点 （1）NAT技术的优点 所有内部的IP地址对外是隐蔽的。 使整个内部网络共享一个IP地址 可以启用基本的包过滤防火墙安全机制 （2）NAT技术的缺点 NAT技术的缺点和包过滤防火墙的缺点类似 返回本章首页 4.3 防火墙的部署及应用 4.3.1 防火墙的典型应用部署 返回本章首页 4.3.2 网络卫士防火墙4000