防火墙技术的原理与应用-精品·公开课件.pptVIP

　　* 不允许外部主机直接访问内部主机； 　　* 支持多种用户认证方案； 　　* 可以分析数据包内部的应用命令； 　　* 可以提供详细的审计记录。 　　而它的缺点是： 　　* 速度比包过滤慢； 　　* 对用户不透明； 　　* 与特定应用协议相关联，代理服务器并不能支持所有的网络协议。 8.2.3 网络地址转换 　　NAT是“Network Address Translation”的英文缩写，中文的意思是“网络地址转换”。NAT技术主要是为了解决公开地址不足而出现的，它可以缓解少量因特网IP地址和大量主机之间的矛盾。但NAT技术用在网络安全应用方面，则能透明地对所有内部地址作转换，使外部网络无法了解内部网络的内部结构，从而提高内部网络的安全性。基于NAT技术的防火墙上装有一个合法的IP地址集，当内部某一用户访问外网时，防火墙动态地从地址集中选一个未分配的地址分配给该用户，该用户即可使用这个合法地址进行通信。 　　实现网络地址转换的方式有：静态NAT(staticNAT)、NAT池(pooledNAT)和端口NAT(PAT)三种类型。其中，静态NAT设置起来最为简单，此时内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而NAT池则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。PAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。NAT