《网络安全技术》_第5章.pptVIP

图5-9办公业务网与控制网络之间网闸部署返回图5-10政务专网与政务外网之间网闸部署返回图5-11银行业务网与电子商务网之间网闸部署返回图5-12利用集线器进行入侵检测系统部署返回图5-13利用集线器在交换环境下进行入侵检测系统部署返回图5-14利用交换机SPAN端口进行IDS部署（一对一端口镜像）返回图5-15利用交换机SPAN端口进行IDS部署（一对多端口镜像）返回图5-16利用交换机SPAN端口进行IDS部署（对级连端口的镜像）返回图5-17利用TAP进行IDS部署返回图5-18多IDS部署位置返回图5-19使用负载均衡器进行多IDS部署返回图5-20IDAMIRS部署情况图返回图5-21基于主机Agent结构返回图5-20IDAMIRS部署情况图返回图5-22IPS网络防御部署方案返回图5-23具有冗余设计的IPS部署方案返回图5-24某公司网络情况返回图5-25划分VLAN后的情况返回图5-26网络地址转换返回图5-27NAT部署位置返回图5-28NAT与VPN部署关系返回图5-29网络安全设备工作的OSI层次返回*5.8其他网络安全措施与设备的部署防火墙使用专门设计的包过滤硬件系统，其软件也进行了针对性的优化，所以随着过滤规则增多，对通信性能的影响减小了；其五是两者在用于网络安全方面性价比是不同的。路由器通过软硬件升级是可以具有防火墙功能的，具有防火墙功能的路由器成本大于单独的防火墙加路由器成本，但这样路由器的安全功能和扩展性不如部署单独的路由器加上防火墙。最后要说明的是，路由器安全日志功能远不如防火墙那样强大，所以其安全审计功能也不如防火墙。返回下一页上一页5.8其他网络安全措施与设备的部署综上所述，路由器和防火墙是侧重点不同的网络设备，最好同时使用并单独部署，路由器中的ACL可以作为防火墙过滤的一个补充，在不影响路由器性能的基础上，进行粗粒度的过滤，使其成为网络防御的第一道关口。返回下一页上一页5.8其他网络安全措施与设备的部署5.8.3网络地址转换NAT技术网络地址转换（NetworkAddressTranslation，NAT）是一种将私有（保留）IP地址与合法IP地址之间进行相互转换的技术。目前，这一技术已经成为一个IETF标准，并被广泛应用于各种类型Internet的接入方式和各种类型的网络中。如图5-26所示，内部网络使用了一段私有保留地址192.168.100.X/24，通过NAT设备映射为申请到的合法IP地址29，从而实现和互联网之间的通信。实现NAT转换有如下三种方式。返回下一页上一页5.8其他网络安全措施与设备的部署1.静态转换（StaticNAT）将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一固定不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备（如服务器）的访问。2.动态转换（DynamicNAT）将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定、随机的。当内网用户访问互联网时，私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。返回下一页上一页5.8其他网络安全措施与设备的部署动态转换可以使用多个合法外部地址集。当合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。3.端口多路复用（PortAddressTranslation，PAT）这种地址转换方式将一组内部网络地址及其对应的TCP/UDP端口翻译成单个网络地址及其相应的TCP/UDP端口。这样，内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。返回下一页上一页5.8其他网络安全措施与设备的部署使用NAT方法接入互联网最大的好处主要体现在两方面：一是有效地解决了企业IP地址短缺问题，利用NAT技术能够实现多个内网用户共同使用一个合法的IP地址连接互联网；二是增加了网络安全性，在一定程度上防范网络攻击的发生，隐藏了LAN内部网络结构，NAT可以将内部LAN与外部Internet隔离，使外部网络用户无法了解内部IP地址的分配情况。NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。在实际使用过程中，NAT不