防火墙技术-精品课件解读.pptVIP

通过使用NAT可以充分利用Internet Assigned Number Authority(IANA)保留的地址空间。不必使用只有256个地址的C类地址，可以使用一个保留的A类地址。当然，任何人都可以使用这一相同的地址范围，关键是NAT会将私有内部地址转换为有效的因特网地址。如果使用基本NAT，需要保留一个有效的地址范围。如果使用NAPT，可以只使用几个地址，因为NAPT会改变端口号，从而建立更多连接。 出现下一代网络协议IPv6的一个重要因素就是IPv4的地址池即将耗尽。NAT减缓了这种压力，因为每一个网络并不需要为其中的每台主机分配一个唯一的IP地址。 5．地址向量与负载平衡 地址向量(Address Vectoring)的功能与NAT类似。 假定有一个流行的Web站点，它每天的访问量非常大。为了满足这些请求，不得不使用一个巨型服务器，这个巨型服务器带有多个CPU以及RAID结构。然而无论这个服务器多么巨大这最终会有一个极限，超过某一负载后系统便无法满足要求。对于一个大型的因特网站点，只使用一个服务器是不切实际的。一个解决办法是使用多个服务器并给每个服务器分配一个不同的IP地址和DNS名字，不过这也不太实际。使用这种方法，客户需要知道站点的每一个主机名，并在一个连接失败后尝试另外一个服务器，直到收到满意的响应。 使用地址向量允许为多个服务器均分负载，所有的行为就像客户访问的是同一个服务器，而且它们也只需要一个DNS名字和IP地址。NAT允许多个内部客户地址转换为一个有效的内部IP地址。地址向量与此类似，它将一个流入的IP地址转换为内部LAN的多个IP地址。因此可以增加服务器来平衡负载。使用支持地址向量的代理应用程序可以查看哪个服务器(通常是最空闲的)最有可能满足客户请求。 8.5.6 内容屏蔽和阻塞 屏蔽因特网访问是近年来一个很热门的话题，它允许管理员阻塞内部网络的用户对某些站点的访问。一些产品允许详细指明要阻塞的网站，而另一些产品阻塞网络通信的内容，可以设置要阻塞的词语或者数据。毕竟，对于一个商业网络来说，老板可能希望员工将时间花在工作上，而不是让员工欣赏“有意思”的站点。 使用内容屏蔽和阻塞技术不仅能让员工将时间花在工作上，也能减少法律责任。例如，如果一个员工下载了令人讨厌的资料(像色情文学和让人讨厌的信息)，并且当他展示这些资料时其它员工认为这是对他的攻击，那么公司是否有责任呢? 阻止要比发生以后再解决简单得多。因此，目前内容屏蔽和阻塞技术十分流行。 因为代理服务器位于客户和提供网络服务的服务器之间，所以有很多方法来进行内容屏蔽或阻塞访问。 URL地址阻塞：可以指定哪些URL地址会被阻塞(或者允许访问)。这种方法的缺点就是因特网中的URL地址会经常改变。每天都有成千上万的页面被添加进来，让一个繁忙的管理员审查所有这些新页面是不可能的。 类别阻塞：这种方法可以指定阻塞含有某种内容的数据包。例如，含有黄色内容或者仇恨内容的数据包。 嵌入的内容：一些代理软件应用程序能够设置为阻塞Java、ActiveX控件，或者其它一些嵌入在Web请求的响应里的对象。这些对象可以在本地计算机上运行应用程序，因此可能会被黑客利用来获得访问权限。 内容阻塞软件并不是完美的，它不应该是阻塞某些数据流入内部网络的唯一方法。尽管可以列出一长串的URL地址来阻塞用户的访问，但是有经验的用户可以在HTTP请求中使用服务器的IP地址来通过这一检查。更糟的是，IP地址并不一定要写成点分十进制记法。 一个IP地址实际是一个32位的数字，点分十进制记法只是一种通常的简便记法。大多数浏览器会很乐意接受表示32位地址的十进制教(例如数值等于该32位二进制数的整数)。以地址19为例，用二进制表示，其值分别是: 216= 65 = 33 = 219=如果将这些字符串组合起来，其二进制形式为：11011000010000010010000111011011。 将它转变为十进制数，就是3628147163。因此访问地址为19的站点时，在大多数浏览器中可以使用以下两种形式，它们得到的结果是一样的： http: //19 http: //3628147163 不要使用阻塞软件作为唯一防御特洛伊木马和计算机病毒的软件。阻塞只能找到那些已知的“指纹”，而不能防止新病毒的威胁，直到进行升级。另外在E-mail里也很容易伪装一些病毒程序。由于这些原因，应该在网络的所有计算机上都安装一个好的病毒筛选(和清除)程序。 8.5.7 日志和报警措施 代理服务器一个不可忽视的重要功能就是能够记录用户的各种行为信息。在事先可预测的条件下，一些行为还可以设置为触发一个