網(wǎng)絡(luò)安全員培訓(xùn)-6防火墻技術(shù)

1、第六章 防火墻技術(shù) 什么是防火墻什么是防火墻古代人們在房屋之間修建的一道防止火災(zāi)發(fā)生時火勢蔓延的磚墻 防火墻作為安全防護體系中的一個重要組成部分，一般配置于網(wǎng)關(guān)的防火墻作為安全防護體系中的一個重要組成部分，一般配置于網(wǎng)關(guān)的位置，主要防范圍網(wǎng)絡(luò)層的威脅（掃描攻擊、漏洞溢出攻擊、拒絕服位置，主要防范圍網(wǎng)絡(luò)層的威脅（掃描攻擊、漏洞溢出攻擊、拒絕服務(wù)攻擊等）務(wù)攻擊等） 。什么是防火墻什么是防火墻防火墻的定義防火墻的定義l隔離內(nèi)部網(wǎng)絡(luò)與外界網(wǎng)絡(luò)的一道安全防御系統(tǒng)隔離內(nèi)部網(wǎng)絡(luò)與外界網(wǎng)絡(luò)的一道安全防御系統(tǒng)l網(wǎng)絡(luò)安全最主要和最基本的基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全最主要和最基本的基礎(chǔ)設(shè)施l不會妨礙人們對風(fēng)險區(qū)域的訪問不會妨礙

2、人們對風(fēng)險區(qū)域的訪問內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)什么是防火墻什么是防火墻防火墻的基本概念防火墻的基本概念l 數(shù)據(jù)包過濾：檢查數(shù)據(jù)包過濾：檢查IP數(shù)據(jù)包決定允許和拒絕。數(shù)據(jù)包決定允許和拒絕。l 代理服務(wù)器：負責(zé)數(shù)據(jù)的轉(zhuǎn)發(fā)。代理服務(wù)器：負責(zé)數(shù)據(jù)的轉(zhuǎn)發(fā)。l 狀態(tài)檢測：根據(jù)事先確定合法過程模式，判斷非法與合法。狀態(tài)檢測：根據(jù)事先確定合法過程模式，判斷非法與合法。l DMZ區(qū)：隔離區(qū)或非軍事區(qū)。區(qū)：隔離區(qū)或非軍事區(qū)。l 隧道路由器：通過加密實現(xiàn)安全通過非安全網(wǎng)絡(luò)。隧道路由器：通過加密實現(xiàn)安全通過非安全網(wǎng)絡(luò)。l 虛擬專用網(wǎng)：使用隧道路由器連接的網(wǎng)絡(luò)。虛擬專用網(wǎng)：使用隧道路由器連接的網(wǎng)絡(luò)。l IP地址欺騙地址欺騙/ D

3、NS欺騙欺騙防火墻的主要作用防火墻的主要作用1 1、過濾進出網(wǎng)絡(luò)的數(shù)據(jù)包、過濾進出網(wǎng)絡(luò)的數(shù)據(jù)包2 2、管理進出網(wǎng)絡(luò)的訪問行為、管理進出網(wǎng)絡(luò)的訪問行為3 3、封堵某些禁止的訪問行為、封堵某些禁止的訪問行為4 4、記錄通過防火墻的信息內(nèi)容和活動、記錄通過防火墻的信息內(nèi)容和活動5 5、對網(wǎng)絡(luò)攻擊進行檢測和告警、對網(wǎng)絡(luò)攻擊進行檢測和告警防火墻的局限性防火墻的局限性1 1、不能防范不經(jīng)過防火墻的攻擊、不能防范不經(jīng)過防火墻的攻擊2 2、不能解決來自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問題、不能解決來自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問題3 3、不能防止策略配置不當或錯誤配置引起的安全威脅、不能防止策略配置不當或錯誤配置引起的安全威脅

4、4 4、不能防止可接觸的人為或自然的破壞、不能防止可接觸的人為或自然的破壞5 5、不能防止利用標準網(wǎng)絡(luò)協(xié)議設(shè)計缺陷的攻擊、不能防止利用標準網(wǎng)絡(luò)協(xié)議設(shè)計缺陷的攻擊6 6、不能防止利用服務(wù)器漏洞進行的攻擊、不能防止利用服務(wù)器漏洞進行的攻擊7 7、不能防止受病毒感染的文件的傳輸、不能防止受病毒感染的文件的傳輸8 8、不能防止數(shù)據(jù)驅(qū)動式攻擊、不能防止數(shù)據(jù)驅(qū)動式攻擊9 9、不能防止內(nèi)部的泄密行為、不能防止內(nèi)部的泄密行為1010、不能防止本身的安全漏洞和威脅、不能防止本身的安全漏洞和威脅主機主機A主機主機B人力資源網(wǎng)絡(luò)人力資源網(wǎng)絡(luò)研發(fā)網(wǎng)絡(luò)研發(fā)網(wǎng)絡(luò)使用使用ACL阻止某指定網(wǎng)絡(luò)訪問另一指定網(wǎng)絡(luò)阻止某指定網(wǎng)絡(luò)訪

5、問另一指定網(wǎng)絡(luò) 基于路由器的防火墻基于路由器的防火墻其實防火墻的完成主要是靠訪問控制列表其實防火墻的完成主要是靠訪問控制列表(ACL)(ACL)的控制策的控制策略。那么什么是訪問控制列表呢？略。那么什么是訪問控制列表呢？基于路由器的防火墻基于路由器的防火墻特點：特點：l 利用路由器本身對分組的解析，以訪問控制表方式實現(xiàn)對分組的過濾利用路由器本身對分組的解析，以訪問控制表方式實現(xiàn)對分組的過濾l 過濾依據(jù)：過濾依據(jù)：IPIP地址，端口號，地址，端口號，ICMPICMP報文類型等報文類型等l 只有分組過濾的功能，路由器與防火墻一體（安全要求較低環(huán)境）只有分組過濾的功能，路由器與防火墻一體（安全要求較

6、低環(huán)境）缺陷：缺陷：l 路由器本身具有安全漏洞路由器本身具有安全漏洞l 配置復(fù)雜配置復(fù)雜l 偽造偽造IPIP欺騙防火墻欺騙防火墻l 降低路由器的性能降低路由器的性能用戶化的防火墻用戶化的防火墻特點：特點：l 過濾功能獨立，并加上審計和告警的功能過濾功能獨立，并加上審計和告警的功能l 根據(jù)用戶需求，提供模塊化設(shè)計根據(jù)用戶需求，提供模塊化設(shè)計l 軟件可通過網(wǎng)絡(luò)發(fā)送，用戶可以自己手動構(gòu)造防火墻軟件可通過網(wǎng)絡(luò)發(fā)送，用戶可以自己手動構(gòu)造防火墻缺陷：缺陷：l 配置和維護復(fù)雜配置和維護復(fù)雜l 用戶技術(shù)要求高用戶技術(shù)要求高l 全軟件實現(xiàn)，安全性和處理速度有局限全軟件實現(xiàn)，安全性和處理速度有局限l 實踐表明，使

7、用中出現(xiàn)差錯的情況很多實踐表明，使用中出現(xiàn)差錯的情況很多通用操作系統(tǒng)的防火墻通用操作系統(tǒng)的防火墻特點：特點：l 批量上市的防火墻專用產(chǎn)品批量上市的防火墻專用產(chǎn)品l 包括分組過濾或者借用路由器的分組過濾功能包括分組過濾或者借用路由器的分組過濾功能l 有專用的代理系統(tǒng)，監(jiān)控所有協(xié)議的數(shù)據(jù)和指令有專用的代理系統(tǒng)，監(jiān)控所有協(xié)議的數(shù)據(jù)和指令l 保護用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置保護用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置l 安全性和速度大為提高安全性和速度大為提高缺陷：缺陷：l 因操作系統(tǒng)緣故，安全性和保密性無從保護因操作系統(tǒng)緣故，安全性和保密性無從保護l 通用操作系統(tǒng)的廠商不會對操作系統(tǒng)的安全負

8、責(zé)通用操作系統(tǒng)的廠商不會對操作系統(tǒng)的安全負責(zé)l 即要防止外部攻擊，還要防止通用操作系統(tǒng)廠商的攻擊即要防止外部攻擊，還要防止通用操作系統(tǒng)廠商的攻擊l 安全支持需要操作系統(tǒng)廠商和防火墻廠商同時提供安全支持需要操作系統(tǒng)廠商和防火墻廠商同時提供安全操作系統(tǒng)的防火墻安全操作系統(tǒng)的防火墻特點：特點：l 防火墻廠商具有操作系統(tǒng)源碼，可實現(xiàn)安全內(nèi)核防火墻廠商具有操作系統(tǒng)源碼，可實現(xiàn)安全內(nèi)核l 可以從內(nèi)核來定制操作系統(tǒng)并實現(xiàn)加固可以從內(nèi)核來定制操作系統(tǒng)并實現(xiàn)加固l 對每個服務(wù)器和子系統(tǒng)都作了安全處理對每個服務(wù)器和子系統(tǒng)都作了安全處理l 有分組過濾，應(yīng)用網(wǎng)關(guān)，電路級網(wǎng)關(guān)，加密和鑒別功能有分組過濾，應(yīng)用網(wǎng)關(guān)，電路級

9、網(wǎng)關(guān)，加密和鑒別功能l 透明性好，易于使用透明性好，易于使用包過濾型防火墻包過濾型防火墻 根據(jù)定義好的過濾規(guī)則審查每個數(shù)據(jù)包，以便確定其是否與某一條包過根據(jù)定義好的過濾規(guī)則審查每個數(shù)據(jù)包，以便確定其是否與某一條包過濾規(guī)則匹配濾規(guī)則匹配過濾規(guī)則是根據(jù)數(shù)據(jù)包的報頭信息進行定義的過濾規(guī)則是根據(jù)數(shù)據(jù)包的報頭信息進行定義的“沒有明確允許的都被禁止沒有明確允許的都被禁止”7 應(yīng)用層6 表示層3 網(wǎng)絡(luò)層防火墻檢查模塊4 傳輸層5 會話層2 數(shù)據(jù)鏈路層1 物理層IPTCPSessionApplication Data與過濾規(guī)則匹配嗎審計/報警還有另外的規(guī)則嗎轉(zhuǎn)發(fā)包嗎發(fā)送NACK丟棄包結(jié)束通過分析通過分析IPI

10、P數(shù)據(jù)包包頭信息，進行判斷（這里數(shù)據(jù)包包頭信息，進行判斷（這里IPIP所承載的上所承載的上層協(xié)議為層協(xié)議為TCPTCP）訪問控制列表的工作原理訪問控制列表的工作原理防火墻對訪問控制列表的處理過程防火墻對訪問控制列表的處理過程訪問控制列表的入與出訪問控制列表的入與出 訪問控制列表的入與出訪問控制列表的入與出標準訪問控制列表標準訪問控制列表3-13-1標準訪問控制列表標準訪問控制列表n根據(jù)數(shù)據(jù)包的源根據(jù)數(shù)據(jù)包的源IPIP地址來允許或拒絕數(shù)據(jù)包地址來允許或拒絕數(shù)據(jù)包n訪問控制列表號從訪問控制列表號從1 1到到9999標準訪問控制列表標準訪問控制列表3-23-2標準訪問控制列表只使用源地址進行過濾，表

11、明是允許還是標準訪問控制列表只使用源地址進行過濾，表明是允許還是拒絕拒絕 標準訪問控制列表標準訪問控制列表3-33-3標準訪問控制列表的配置標準訪問控制列表的配置第一步，使用第一步，使用access-listaccess-list命令創(chuàng)建訪問控制列表命令創(chuàng)建訪問控制列表第二步，使用第二步，使用ip access-groupip access-group命令把訪問控制列表應(yīng)用到某接命令把訪問控制列表應(yīng)用到某接口口Router(config)#access-list access-list-number permit | deny source source- wildcard logRouter

12、(config-if)#ip access-group access-list-number in | out 標準標準ACLACL應(yīng)用：允許特定源的流量應(yīng)用：允許特定源的流量2-12-1Non-E0E1S03標準標準ACLACL應(yīng)用：允許特定源的流量應(yīng)用：允許特定源的流量2-22-2第一步，創(chuàng)建允許來自第一步，創(chuàng)建允許來自的流量的的流量的ACLACL第二步，應(yīng)用到接口第二步，應(yīng)用到接口E0E0和和E1E1的出方向上的出方向上 Router(config)#access-li

13、st 1 permit 55Router(config)#interface fastethernet 0/0Router(config-if)#ip access-group 1 outRouter(config)#interface fastethernet 0/1Router(config-if)#ip access-group 1 out標準標準ACLACL應(yīng)用：拒絕特定主機的通信流量應(yīng)用：拒絕特定主機的通信流量第一步，創(chuàng)建拒絕來自第一步，創(chuàng)建拒絕來自33的流量的的流量的ACLACL第二步，應(yīng)用到接口第二步

14、，應(yīng)用到接口E0E0的出方向的出方向Router(config)#access-list 1 deny host 3 Router(config)#access-list 1 permit 55Router(config)#interface fastethernet 0/0Router(config-if)#ip access-group 1 out 標準標準ACLACL應(yīng)用：拒絕特定子網(wǎng)的流量應(yīng)用：拒絕特定子網(wǎng)的流量第一步，創(chuàng)建拒絕來自子網(wǎng)第一步，創(chuàng)建拒絕來自子網(wǎng)的流量的的流量的ACLAC

15、L第二步，應(yīng)用到接口第二步，應(yīng)用到接口E0E0的出方向的出方向Router(config)#access-list 1 deny 55Router(config)#accesslist 1 permit anyRouter(config)#interface fastethernet 0/0Router（config-if）#ip access-group 1 out擴展訪問控制列表擴展訪問控制列表4-14-1擴展訪問控制列表擴展訪問控制列表n基于源和目的地址、傳輸層協(xié)議和應(yīng)用端口號進行過濾基于源和目的地址、傳輸層協(xié)議和應(yīng)用端口號進行過濾n每個條件都必須匹配

16、，才會施加允許或拒絕條件每個條件都必須匹配，才會施加允許或拒絕條件n使用擴展使用擴展ACLACL可以實現(xiàn)更加精確的流量控制可以實現(xiàn)更加精確的流量控制 n訪問控制列表號從訪問控制列表號從100100到到199 199 擴展訪問控制列表擴展訪問控制列表4-24-2擴展訪問控制列表使用更多的信息描述數(shù)據(jù)包，表明擴展訪問控制列表使用更多的信息描述數(shù)據(jù)包，表明是允許還是拒絕是允許還是拒絕從從/24來的來的,到到3的，的，使用使用TCP協(xié)議，協(xié)議，利用利用HTTP訪問的訪問的數(shù)據(jù)包可以通過！數(shù)據(jù)包可以通過！路由器路由器擴展訪問控制列表擴展訪問控制列表4-32020F

17、TP-DATAFTP-DATA（文件傳輸協(xié)議）（文件傳輸協(xié)議）FTPFTP（數(shù)據(jù)）（數(shù)據(jù)）TCPTCP2121FTPFTP（文件傳輸協(xié)議）（文件傳輸協(xié)議）FTPFTPTCPTCP2323TELNETTELNET終端連接終端連接TCPTCP2525SMTPSMTP簡單郵件傳輸協(xié)議簡單郵件傳輸協(xié)議TCPTCP4242NAMESERVERNAMESERVER主機名字服務(wù)器主機名字服務(wù)器UDPUDP5353DOMAINDOMAIN域名服務(wù)器（域名服務(wù)器（DNS)DNS)TCP/UDPTCP/UDP6969TFTPTFTP普通文件傳輸協(xié)議（普通文件傳輸協(xié)議（TFTP)TFTP)UDPUDP8080WWW

18、WWW萬維網(wǎng)萬維網(wǎng)TCPTCP擴展訪問控制列表擴展訪問控制列表4-4擴展訪問控制列表的配置擴展訪問控制列表的配置3-13-1第一步，使用第一步，使用access-listaccess-list命令創(chuàng)建擴展訪問控制列表命令創(chuàng)建擴展訪問控制列表Router(config)#access-list access-list-number permit | deny protocol source source-wildcard destination destination-wildcard operator port established logeq portnumbereq portnumber

19、等于端口號等于端口號 portnumberportnumbergt portnumbergt portnumber大于端口號大于端口號portnumberportnumberlt portnumberlt portnumber小于端口號小于端口號portnumberportnumberneq portnumberneq portnumber不等于端口號不等于端口號portnumberportnumber擴展訪問控制列表的配置擴展訪問控制列表的配置3-23-2擴展訪問控制列表的配置擴展訪問控制列表的配置3-33-3第二步，使用第二步，使用ip access-groupip access-grou

20、p命令將擴展訪問控制列表應(yīng)命令將擴展訪問控制列表應(yīng)用到某接口用到某接口Router（config-if）#ip access-group access-list-number in | out 擴展擴展ACLACL應(yīng)用：拒絕應(yīng)用：拒絕ftpftp流量通過流量通過E0E0第一步，創(chuàng)建拒絕來自第一步，創(chuàng)建拒絕來自、去往、去往、ftpftp流量的流量的ACLACL第二步，應(yīng)用到接口第二步，應(yīng)用到接口E0E0的出方向的出方向Router(config)#access-list 101 deny tcp

21、 55 55 eq 21Router(config)#access-list 101 permit ip any anyRouter(config)#interface fastthernet 0/0Router（config-if）#ip access-group 101 out擴展擴展ACLACL應(yīng)用：應(yīng)用： 拒絕拒絕telnettelnet流量通過流量通過E0E0第一步，創(chuàng)建拒絕來自第一步，創(chuàng)建拒絕來自、去往、去往、telnettelnet流量的流量的ACLA

22、CL第二步，應(yīng)用到接口第二步，應(yīng)用到接口E0E0的出方向上的出方向上Router(config)#access-list 101 deny tcp 55 55 eq 23Router(config)#access-list 101 permit ip any anyRouter(config)#interface fastethernet 0/0Router（config-if）#ip access-group 101 out命名的訪問控制列表命名的訪問控制列表2-12-1標準標準ACLACL和擴展和擴展ACLACL中可以

23、使用一個字母數(shù)字組合的字符串（中可以使用一個字母數(shù)字組合的字符串（名字）代替來表示名字）代替來表示ACLACL的表號的表號 命名命名IPIP訪問列表允許從指定的訪問列表刪除單個條目訪問列表允許從指定的訪問列表刪除單個條目如果添加一個條目到列表中，那么該條目被添加到列表末尾如果添加一個條目到列表中，那么該條目被添加到列表末尾 不能以同一個名字命名多個不能以同一個名字命名多個ACLACL在命名的訪問控制列表下在命名的訪問控制列表下 ，permitpermit和和denydeny命令的語法格式命令的語法格式與前述有所不同與前述有所不同 命名的訪問控制列表命名的訪問控制列表2-22-2第一步，創(chuàng)建名為

24、第一步，創(chuàng)建名為ciscocisco的命名訪問控制列表的命名訪問控制列表第二步，指定一個或多個第二步，指定一個或多個permitpermit及及denydeny條件條件 第三步，應(yīng)用到接口第三步，應(yīng)用到接口E0E0的出方向的出方向Router（config）#interface fastethernet 0/0Router（config-if）#ip access-group cisco outRouter(config)#ip access-list extended ciscoRouter（config-ext-nacl）# deny tcp 55 17

25、 55 eq 23Router（config-ext-nacl）# permit ip any any查看訪問控制列表查看訪問控制列表2-12-1Router#show ip interface fastethernet 0/0Router#show ip interface fastethernet 0/0 FastEthernet0/0 is up, line protocol is up FastEthernet0/0 is up, line protocol is up Internet address is /24 Internet

26、address is /24 Broadcast address is 55 Broadcast address is 55 Address determined by setup command Address determined by setup command MTU is 1500 bytes MTU is 1500 bytes Helper address is not set Helper address is not set Directed broadcast forwarding is disabled

27、 Directed broadcast forwarding is disabled Outgoing access list is cisco Outgoing access list is cisco Inbound access list is not set Inbound access list is not set Proxy ARP is enabled Proxy ARP is enabled Local Proxy ARP is disabled Local Proxy ARP is disabled Security level is default Security le

28、vel is default Split horizon is enabled Split horizon is enabled ICMP redirects are always sent ICMP redirects are always sent ICMP unreachables are always sent ICMP unreachables are always sent ICMP mask replies are never sent ICMP mask replies are never sent IP fast switching is enabled IP fast sw

29、itching is enabled IP fast switching on the same interface is disabled IP fast switching on the same interface is disabled 查看訪問控制列表查看訪問控制列表2-22-2Router#show access-listRouter#show access-list Extended IP access list cisco Extended IP access list cisco 10 deny tcp 55 0.0.

30、0.255 eq 10 deny tcp 55 55 eq telnettelnet 20 permit ip any any 20 permit ip any any代理型防火墻代理型防火墻 代理技術(shù)也稱為應(yīng)用層網(wǎng)關(guān)技術(shù)代理技術(shù)也稱為應(yīng)用層網(wǎng)關(guān)技術(shù)，針對每一個特定應(yīng)用都有一個，針對每一個特定應(yīng)用都有一個程序。代理技術(shù)是在應(yīng)用層實現(xiàn)程序。代理技術(shù)是在應(yīng)用層實現(xiàn)防火墻的功能。代理服務(wù)器位于防火墻的功能。代理服務(wù)器位于客戶機與服務(wù)器之間客戶機與服務(wù)器之間, ,完全阻擋二完全阻擋二者間的數(shù)據(jù)流者間的數(shù)據(jù)流 ?？梢葬槍?yīng)用層?？梢?/p>

31、針對應(yīng)用層進行偵測和掃描進行偵測和掃描, ,對付基于應(yīng)用層對付基于應(yīng)用層的侵入和病毒十分有效的侵入和病毒十分有效 應(yīng)用層 表示層 會話層 傳輸層 網(wǎng)絡(luò)層 鏈路層 物理層 應(yīng)用層 表示層 會話層 傳輸層 網(wǎng)絡(luò)層 鏈路層 物理層 應(yīng)用層 表示層 會話層 傳輸層 網(wǎng)絡(luò)層 鏈路層 物理層 應(yīng)用層 表示層 會話層 傳輸層 網(wǎng)絡(luò)層 鏈路層 物理層 狀態(tài)檢測型防火墻狀態(tài)檢測型防火墻狀態(tài)檢測型防火墻檢測每一狀態(tài)檢測型防火墻檢測每一個有效連接的狀態(tài)，并根據(jù)個有效連接的狀態(tài)，并根據(jù)這些信息決定網(wǎng)絡(luò)數(shù)據(jù)包是這些信息決定網(wǎng)絡(luò)數(shù)據(jù)包是否能夠通過防火墻否能夠通過防火墻 應(yīng)用層表示層 會話層 傳輸層 網(wǎng)絡(luò)層 鏈路層 物理層

32、 應(yīng)用層表示層會話層傳輸層 網(wǎng)絡(luò)層 鏈路層 物理層 應(yīng)用層 表示層 會話層 傳輸層 網(wǎng)絡(luò)層 鏈路層 物理層 應(yīng)用層 表示層 會話層 傳輸層 網(wǎng)絡(luò)層 鏈路層 物理層 連接狀態(tài)表防火墻三種類型的比較防火墻三種類型的比較包過濾型包過濾型代理型代理型狀態(tài)檢測型狀態(tài)檢測型優(yōu)點優(yōu)點l速度快l防火墻是透明的，用戶端不需要進行設(shè)置l針對應(yīng)用層數(shù)據(jù)進行過濾，增強了可控性l日志功能加強了對不安全因素的追蹤與排查l屏蔽了內(nèi)網(wǎng)細節(jié)l減少了傳統(tǒng)的包過濾防火墻的大量開放端口等一些安全問題l降低了管理員配置訪問規(guī)則的難度缺點缺點l無法過濾審核數(shù)據(jù)包的內(nèi)容l無法詳細記錄細致的日志l速度較慢l新的網(wǎng)絡(luò)協(xié)議和應(yīng)用都需要一套代理程

33、序l無法過濾審核數(shù)據(jù)包的內(nèi)容l無法詳細記錄細致的日志網(wǎng)絡(luò)地址轉(zhuǎn)換概述網(wǎng)絡(luò)地址轉(zhuǎn)換概述2-12-1地址轉(zhuǎn)換的提出背景地址轉(zhuǎn)換的提出背景l(fā)合法的合法的IPIP地址資源日益短缺地址資源日益短缺l一個局域網(wǎng)內(nèi)部有很多臺主機，但不是每臺主機都有合法的一個局域網(wǎng)內(nèi)部有很多臺主機，但不是每臺主機都有合法的IPIP地址，為了地址，為了使所有內(nèi)部主機都可以連接因特網(wǎng)，需要使用地址轉(zhuǎn)換使所有內(nèi)部主機都可以連接因特網(wǎng)，需要使用地址轉(zhuǎn)換l地址轉(zhuǎn)換技術(shù)可以有效地隱藏內(nèi)部局域網(wǎng)中的主機，具有一定的網(wǎng)絡(luò)安全地址轉(zhuǎn)換技術(shù)可以有效地隱藏內(nèi)部局域網(wǎng)中的主機，具有一定的網(wǎng)絡(luò)安全保護作用保護作用l地址轉(zhuǎn)換可以在局域網(wǎng)內(nèi)部提供給外部地

34、址轉(zhuǎn)換可以在局域網(wǎng)內(nèi)部提供給外部FTPFTP、WWWWWW、TelnetTelnet服務(wù)服務(wù)網(wǎng)絡(luò)地址轉(zhuǎn)換概述網(wǎng)絡(luò)地址轉(zhuǎn)換概述2-22-2NATNAT的原理的原理改變改變IPIP包頭，使目的地址、源地址或兩個地址在包頭中被不同地址替換包頭，使目的地址、源地址或兩個地址在包頭中被不同地址替換NATNAT的的3 3種實現(xiàn)方式種實現(xiàn)方式l 靜態(tài)轉(zhuǎn)換靜態(tài)轉(zhuǎn)換l 動態(tài)轉(zhuǎn)換動態(tài)轉(zhuǎn)換l 端口多路復(fù)用端口多路復(fù)用NATNAT的術(shù)語的術(shù)語2-22-外部主機外部主機B外部主機外部主機CinternetNAT主機主機A1234SA=DA193.3.3.

35、11內(nèi)部局部地址內(nèi)部局部地址外部局部地址外部局部地址主機主機A發(fā)出的包發(fā)出的包SA=DA=經(jīng)過路由器轉(zhuǎn)換的包經(jīng)過路由器轉(zhuǎn)換的包2內(nèi)部全局地址內(nèi)部全局地址外部全局地址外部全局地址經(jīng)過路由器轉(zhuǎn)換的包經(jīng)過路由器轉(zhuǎn)換的包SA=DA=4外部局部地址外部局部地址內(nèi)部局部地址內(nèi)部局部地址SA=DA=外部主機外部主機B返回的包返回的包3外部全局地址外部全局地址內(nèi)部全局地址內(nèi)部全局地址NATNAT的優(yōu)缺點的優(yōu)缺點NATNAT的優(yōu)點的優(yōu)點l節(jié)省公有合法節(jié)省公有合法IPIP地址地址l處理地址交叉處理地址交叉l增強靈

36、活性增強靈活性l安全性安全性NATNAT的缺點的缺點l延遲增大延遲增大l配置和維護的復(fù)雜性配置和維護的復(fù)雜性l不支持某些應(yīng)用不支持某些應(yīng)用什么是什么是VPNVPNVPNVPN（Virtual Private NetworkVirtual Private Network）n在在公用公用網(wǎng)絡(luò)中網(wǎng)絡(luò)中, ,按照相同的策略和安全規(guī)則按照相同的策略和安全規(guī)則, , 建立的私有網(wǎng)絡(luò)連接建立的私有網(wǎng)絡(luò)連接Internet北京總部北京總部廣州分公司廣州分公司虛擬專用網(wǎng)絡(luò)虛擬專用網(wǎng)絡(luò)VPNVPN的結(jié)構(gòu)和分類的結(jié)構(gòu)和分類總部總部分支機構(gòu)分支機構(gòu)遠程辦公室遠程辦公室家庭辦公家庭辦公PSTN安裝了安裝了VPN客戶客戶端軟件的移動用戶端軟件的移動用戶Internet遠程訪問的遠程訪問的VPNVPN（安裝了安裝了VPN客戶客戶）內(nèi)部網(wǎng)內(nèi)部網(wǎng)VPNVPN（站點到站點的（站點到站點的VPNVPN）外聯(lián)網(wǎng)外聯(lián)網(wǎng)VPNVPN（提供給合伙人使用）（提供給合伙人使用）遠程訪問的遠程訪問的VPNVPN總部總部家庭辦公家庭辦公PSTN安裝了