防火墙技术的原理应与用参考.pptVIP

本章思考与练习 　　1. 简述各种不同类型防火墙的工作机制。 　　2. 试比较分析防火墙所采用的技术的优缺点。 　　3. 防火墙体系结构类型有哪些？请举例说明其应用。 　　4. 请给出防火墙防范网络蠕虫的案例。 　　5. 防火墙是如何保护网站服务器的？ 　　6. 请从网上下载Linux Netfilter(iptables和ipchains)等常用防火墙软件，并安装配置，掌握其用法。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 　　* 不允许外部主机直接访问内部主机； 　　* 支持多种用户认证方案； 　　* 可以分析数据包内部的应用命令； 　　* 可以提供详细的审计记录。 　　而它的缺点是： 　　* 速度比包过滤慢； 　　* 对用户不透明； 　　* 与特定应用协议相关联，代理服务器并不能支持所有的网络协议。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 8.2.3 网络地址转换 　　NAT是“Network Address Translation”的英文缩写，中文的意思是“网络地址转换”。NAT技术主要是为了解决公开地址不足而出现的，它可以缓解少量因特网IP地址和大量主机之间的矛盾。但NAT技术用在网络安全应用方面，则能透明地对所有内部地址作转换，使外部网络无法了解内部网络的内部结构，从而提高内部网络的安全性。基于NAT技术的防火墙上装有一个合法的IP地址集，当内部某一用户访问外网时，防火墙动态地从地址集中选一个未分配的地址分配给该用户，该用户即可使用这个合法地址进行通信。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 　　实现网络地址转换的方式有：静态NAT(staticNAT)、NAT池(pooledNAT)和端口NAT(PAT)三种类型。其中，静态NAT设置起来最为简单，此时内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而NAT池则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。PAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。NAT的三种方式目前已被许多的路由器产品支持。在路由器上定义启用NAT的一般步骤如下： Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 　　第一步，确定使用NAT的接口，通常将连接到内部网络的接口设定为NAT内部接口，将连接到外网的接口设定为NAT的外部接口。 　　第二步，设定内部全局地址的转换地址及转换方式。 　　第三步，根据需要将外部全局地址转换为外部本地地址。 　　目前，专用的防火墙产品都支持地址转换技术，比较常见的有：IP-Filter和iptable。IP-Filter的功能强大，它可完成ipfwadm、ipchains、ipfw等防火墙的功能，而且安装配置相对比较简单。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 8.3 防火墙主要技术参数 8.3.1 防火墙功能指标 防火墙主要功能类指标项如表8-2所示。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 表8-2 防火墙主要功能类指标项 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 8.3.2 防火墙性能指标 　　评估防火墙性能指标涉及到防火墙所采用的技术，根据现有防火墙产品，防火墙在性能方面的指标主要有： 　　* 最大吞吐量：检查防火墙在只有一条默认允许规则和