防火墻技術(shù)與應(yīng)用

防火墻技術(shù)與應(yīng)用2024/5/3網(wǎng)絡(luò)安全技術(shù)28.1網(wǎng)絡(luò)防火墻概述防火墻：防火墻的本義原是指古代人們房屋之間修建的墻，這道墻可以防止火災(zāi)發(fā)生的時候蔓延到別的房屋。

第2頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)38.1網(wǎng)絡(luò)防火墻概述網(wǎng)絡(luò)防火墻：在可信和不可信網(wǎng)絡(luò)間設(shè)置的保護裝置，用于保護內(nèi)部資源免遭非法入侵。服務(wù)器內(nèi)部網(wǎng)可信網(wǎng)絡(luò)Internet不可信網(wǎng)絡(luò)第3頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)4第4頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)58.1.1網(wǎng)絡(luò)防火墻基本概念堡壘主機：指一個計算機系統(tǒng)，它對外部網(wǎng)絡(luò)暴露，同時又是內(nèi)部網(wǎng)絡(luò)用戶的主要連接點。雙宿主主機：又稱雙宿主機或雙穴主機，是具有兩個網(wǎng)絡(luò)接口的計算機系統(tǒng)。第5頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)6包過濾：設(shè)備對進出網(wǎng)絡(luò)的數(shù)據(jù)流（包）進行有選擇的控制與操作。通常是對從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的包進行過濾。參數(shù)網(wǎng)絡(luò)：為了增加一層安全控制，在內(nèi)部網(wǎng)與外部網(wǎng)之間增加的一個網(wǎng)絡(luò)，中立區(qū)，有時也稱非軍事區(qū)，即DMZ（DemilitarizedZone）。

代理服務(wù)器：代表內(nèi)部網(wǎng)絡(luò)用戶與外部服務(wù)器進行信息交換的計算機（軟件）系統(tǒng)。

第6頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)7對于防火墻的發(fā)展歷史，基于功能劃分可分為五個階段第一代防火墻

幾乎與路由器同時出現(xiàn)，采用了包過濾（Packetfilter）技術(shù)。

第二、三代防火墻

1989年，貝爾實驗室的DavePresotto和HowardTrickey推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻——應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。

第四代防火墻

1992年，USC信息科學(xué)院的BobBraden開發(fā)出了基于動態(tài)包過濾技術(shù)的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視技術(shù)。1994年，以色列的CheckPoint公司開發(fā)出了第一個采用這種技術(shù)的商業(yè)化的產(chǎn)品。

第五代防火墻

1998年，NAI公司推出了一種自適應(yīng)代理技術(shù)，并在其產(chǎn)品GauntletFirewallforNT中得以實現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。

。

防火墻技術(shù)的發(fā)展簡史第7頁,共51頁，2024年2月25日，星期天防火墻技術(shù)的簡單發(fā)展歷史返回本節(jié)防火墻技術(shù)的發(fā)展簡史第8頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)98.1.2網(wǎng)絡(luò)防火墻的目的與作用

1. 構(gòu)建網(wǎng)絡(luò)防火墻的主要目的限制某些訪問者進入一個被嚴(yán)格控制的點。防止進攻者接近防御設(shè)備。限制某些訪問者離開一個被嚴(yán)格控制的點。檢查、篩選、過濾和屏蔽信息流中的有害服務(wù)，防止對計算機系統(tǒng)進行蓄意破壞。

第9頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)10過濾進出網(wǎng)絡(luò)的數(shù)據(jù)包管理進出網(wǎng)絡(luò)的訪問行為封堵某些禁止的訪問行為記錄通過防火墻的信息內(nèi)容和活動對網(wǎng)絡(luò)攻擊進行檢測和告警2.網(wǎng)絡(luò)防火墻的作用第10頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)118.1.3防火墻的局限性防火墻不能防范未通過自身的網(wǎng)絡(luò)連接防火墻不能防范未知的威脅防火墻不能防范內(nèi)部用戶的惡意破壞防火墻不能防止感染病毒的軟件或文件傳輸防火墻本身也存在安全問題第11頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)12按對數(shù)據(jù)包處理方式不同包過濾式防火墻應(yīng)用代理式防火墻狀態(tài)檢測防火墻

按體系結(jié)構(gòu)硬件防火墻(基于PC架構(gòu),在PC架構(gòu)計算機上運行一些經(jīng)過裁剪和簡化的操作系統(tǒng))軟件防火墻：Checkpoint,ISAServer芯片級防火墻(基于專門的硬件平臺)8.2防火墻的基本類型按操作模式網(wǎng)橋模式路由模式NAT按性能百兆千兆按部署方式邊界(企業(yè))防火墻個人（主機）防火墻第12頁,共51頁，2024年2月25日，星期天13包過濾路由器模式

往往用一臺路由器來實現(xiàn)網(wǎng)絡(luò)層安全基本的思想很簡單工作在網(wǎng)絡(luò)層，對數(shù)據(jù)包的源及目地IP具有識別和控制作用，對于傳輸層，也只能識別數(shù)據(jù)包是TCP還是UDP及所用的端口信息。往往配置成雙向的該防火墻不能夠隱藏內(nèi)部網(wǎng)絡(luò)的信息、不具備監(jiān)視和日志記錄功能。優(yōu)點：

實現(xiàn)簡單、費用低、對用戶透明、效率高

缺點：

維護困難、不支持用戶鑒別8.2.1包過濾型防火墻

第13頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)14感覺的連接實際的連接代理服務(wù)器內(nèi)部網(wǎng)絡(luò)Internet真正的服務(wù)器客戶機8.2.2代理服務(wù)器型防火墻1.工作原理第14頁,共51頁，2024年2月25日，星期天代理的工作方式第15頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)16代理服務(wù)器有兩個部件：一個代理服務(wù)器和一個代理客戶。

代理服務(wù)器HTTPFTPTelnet…代理客戶外部網(wǎng)絡(luò)服務(wù)器發(fā)送請求轉(zhuǎn)發(fā)請求響應(yīng)請求轉(zhuǎn)發(fā)響應(yīng)源IP為代理客戶源IP為代理服務(wù)器源IP為代外部服務(wù)器源IP為代外部服務(wù)器第16頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)172. 優(yōu)缺點

優(yōu)點：能完全控制網(wǎng)絡(luò)信息的交換，控制會話過程，具有靈活性和安全性。

缺點：可能影響網(wǎng)絡(luò)的性能，對用戶不透明，且對每一種服務(wù)器都要設(shè)計一個代理模塊，建立對應(yīng)的網(wǎng)關(guān)層，實現(xiàn)起來比較復(fù)雜。

第17頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)188.2.3狀態(tài)檢測防火墻

1.概述

狀態(tài)檢測防火墻又稱為動態(tài)包過濾防火墻，它工作在傳輸層，檢查的不僅僅是數(shù)據(jù)包中的頭部信息，而且會跟蹤數(shù)據(jù)包的狀態(tài)，即不同數(shù)據(jù)包之間的共性。 規(guī)則定義在轉(zhuǎn)發(fā)控制表中，因產(chǎn)品不同控制表格式不同，這里討論抽象的過濾規(guī)則。 第18頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)19防火墻制訂規(guī)則集原則：先特殊，后一般。操作方式有：轉(zhuǎn)發(fā)、丟棄、報錯、備忘等。關(guān)鍵技術(shù)：實現(xiàn)連接的跟蹤功能。2.狀態(tài)檢測防火墻的特點第19頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)203.狀態(tài)檢測防火墻的工作過程

1）狀態(tài)檢測表：由規(guī)則表和連接狀態(tài)表兩部分組成。

2）工作過程首先利用規(guī)則表進行數(shù)據(jù)包的過濾，此過程與靜態(tài)包過濾防火墻基本相同。如果某一個數(shù)據(jù)包(如“IP分組B1”)在進入防火墻時，規(guī)則表拒絕它通過，則防火墻直接丟棄該數(shù)據(jù)包，與該數(shù)據(jù)包相關(guān)的后續(xù)數(shù)據(jù)包(如“IP分組B2”、“IP分組B3”等)同樣會被拒絕通過。第20頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)21圖8-7狀態(tài)檢測防火墻的工作示意圖第21頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)22

HTTP是一個基于TCP的服務(wù)，一般使用端口80，也可使用其他非標(biāo)準(zhǔn)端口，客戶機使用任何大于1023的端口。如果防火墻允許WWW穿越網(wǎng)絡(luò)邊界，則可定義如下規(guī)則。

規(guī)則1、規(guī)則2允許外部主機訪問本站點的WWW服務(wù)器，規(guī)則3、規(guī)則4允許內(nèi)部主機訪問外部的WWW服務(wù)器。防火墻規(guī)則制訂實例1第22頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)23訪問要求：

1）網(wǎng)絡(luò)/16不愿其他Internet主機訪問其站點；

2）但它的一個子網(wǎng)/24和某大學(xué)/16有合作項目，因此允許該大學(xué)訪問該子網(wǎng)；

3）然而/24是黑客天堂，需要禁止。防火墻規(guī)則制訂實例2第23頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)24注意這些規(guī)則之間并不是互斥的，因此要考慮順序。123規(guī)則順序安排原則：先特殊，后普遍內(nèi)網(wǎng)大學(xué)進來出去內(nèi)網(wǎng)黑客天堂進來出去第24頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)25

1）一切未被允許的訪問就是禁止的 防火墻要封鎖所有的信息流，然后對希望開放的服務(wù)逐步開放。具有較高安全性，但犧牲了用戶使用方便性。

2）一切未被禁止的訪問就是允許的

防火墻開放所有的信息流，然后逐項屏蔽有害的服務(wù)。具有靈活性，但難提供可靠安全保護。8.3防火墻設(shè)計的準(zhǔn)則第25頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)268.4防火墻安全體系結(jié)構(gòu)防火墻按體系結(jié)構(gòu)可以分為：

（1）包過濾型防火墻結(jié)構(gòu)（2）雙宿主主機型結(jié)構(gòu)（3）屏蔽主機型防火墻結(jié)構(gòu)（4）屏蔽子網(wǎng)型防火墻結(jié)構(gòu)

(5)通過混合組合而衍生的其他結(jié)構(gòu)的防火墻第26頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)278.4.1包過濾防火墻結(jié)構(gòu)在傳統(tǒng)的路由器中增加分組過濾功能。包過濾型防火墻的核心技術(shù)就是安全策略設(shè)計即包過濾算法的設(shè)計。第27頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)28包過濾型防火墻具有以下優(yōu)點。（1）處理包的速度比代理服務(wù)器快，過濾路由器為用戶提供了一種透明的服務(wù)，用戶不用改變客戶端程序或改變自己的行為。（2）實現(xiàn)包過濾幾乎不再需要費用（或極少的費用），因為這些特點都包含在標(biāo)準(zhǔn)的路由器軟件中。（3）包過濾路由器對用戶和應(yīng)用來講是透明的。第28頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)29包過濾型防火墻存在以下的缺點。（1）防火墻的維護比較困難，定義數(shù)據(jù)包過濾器會比較復(fù)雜，因為網(wǎng)絡(luò)管理員需要對各種Internet服務(wù)、包頭格式以及每個域的意義有非常深入的理解，才能將過濾規(guī)則集盡量定義得完善。（2）只能阻止一種類型的IP欺騙，即外部主機偽裝內(nèi)部主機的IP，對于外部主機偽裝其他可信任的外部主機的IP卻不可阻止。（3）任何直接經(jīng)路由器的數(shù)據(jù)包都有被用做數(shù)據(jù)驅(qū)動攻擊的潛在危險。

第29頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)30（4）一些包過濾網(wǎng)關(guān)不支持有效的用戶認(rèn)證。（5）不可能提供有用的日志，或根本就不提供，這使用戶發(fā)覺網(wǎng)絡(luò)受攻擊的難度加大，也就談不上根據(jù)日志來進行網(wǎng)絡(luò)的優(yōu)化、完善以及追查責(zé)任。（6）隨著過濾器數(shù)目的增加，路由器的吞吐量會下降。（7）IP包過濾器無法對網(wǎng)絡(luò)上流動的信息提供全面的控制。（8）允許外部網(wǎng)絡(luò)直接連接到內(nèi)部網(wǎng)絡(luò)的主機上，易造成敏感數(shù)據(jù)的泄漏。第30頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)318.4.2雙宿主主機防火墻結(jié)構(gòu)

雙宿主主機防火墻采用主機取代路由器執(zhí)行安全控制功能，故類似于包過濾防火墻，雙宿主主機可以在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進行尋徑。雙宿主主機防火墻的最大特點是IP層的通信被阻止，兩個網(wǎng)絡(luò)之間的通信可通過應(yīng)用層數(shù)據(jù)共享或應(yīng)用層代理服務(wù)來完成，而不能直接通信。第31頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)32一般要求用戶先注冊，再通過雙宿主主機訪問另一邊的網(wǎng)絡(luò)，但由于代理服務(wù)器簡化了用戶的訪問過程，可以做到對用戶透明。第32頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)33雙宿主主機防火墻優(yōu)缺點雙宿主主機體系結(jié)構(gòu)優(yōu)于屏蔽路由器的地方是：堡壘主機的系統(tǒng)軟件可用于維護系統(tǒng)日志、硬件拷貝日志或遠程管理日志。這對于日后的檢查很有用。但這不能幫助網(wǎng)絡(luò)管理者確認(rèn)內(nèi)部網(wǎng)中哪些主機可能已被黑客入侵。雙宿主主機體系結(jié)構(gòu)的一個致命弱點是：一旦入侵者侵入堡壘主機并使其只具有路由功能，則任何網(wǎng)上用戶均可以隨便訪問內(nèi)部網(wǎng)。第33頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)348.4.3主機過濾型防火墻結(jié)構(gòu)

1.組成結(jié)構(gòu) 由過濾路由器和運行網(wǎng)關(guān)軟件的堡壘主機構(gòu)成。提供安全保護的堡壘主機僅與內(nèi)部網(wǎng)絡(luò)相連，而過濾路由器位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。

內(nèi)部網(wǎng)Internet路由器堡壘主機第34頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)352.特點可完成多種代理，還可以完成認(rèn)證和交互作用，能提供完善的Internet訪問控制。

堡壘主機是網(wǎng)絡(luò)黑客集中攻擊的目標(biāo)，安全保障仍不理想。比雙宿主主機結(jié)構(gòu)能提供更好的安全保護區(qū)，同時也更具有可操作性。防火墻投資少，安全功能實現(xiàn)和擴充容易，因而目前應(yīng)用比較廣泛。

第35頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)368.4.4子網(wǎng)過濾型防火墻結(jié)構(gòu)

1.組成結(jié)構(gòu)子網(wǎng)過濾體系結(jié)構(gòu)也稱為被屏蔽子網(wǎng)體系結(jié)構(gòu)或者篩選子網(wǎng)體系結(jié)構(gòu)。它用兩臺包過濾路由器建立一個DMZ，用這一DMZ將內(nèi)部網(wǎng)和外部網(wǎng)分開，簡單的子網(wǎng)過濾體系結(jié)構(gòu)如圖所示在這種體系結(jié)構(gòu)中兩個包過濾路由器放在DMZ的兩端，構(gòu)成一個內(nèi)部網(wǎng)和外部網(wǎng)均可訪問的被屏蔽子網(wǎng)，但禁止信息直接穿過被屏蔽子網(wǎng)進行通信。在被屏蔽子網(wǎng)中堡壘主機作為唯一的可訪問點，該點作為應(yīng)用級網(wǎng)關(guān)代理。第36頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)37最簡單的子網(wǎng)過濾體系結(jié)構(gòu)DMZ外部路由器內(nèi)部路由器

Internet

內(nèi)部網(wǎng)堡壘主機第37頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)382. 特點為了侵入這種類型的網(wǎng)絡(luò)，黑客必須先攻破外部路由器，即使他設(shè)法侵入堡壘主機，仍然必須通過內(nèi)部路由器，才能進入內(nèi)部網(wǎng)。在該體系結(jié)構(gòu)中，因為堡壘主機不直接與內(nèi)部網(wǎng)的主機交互使用，所以內(nèi)部網(wǎng)中兩個主機間的通信不會通過堡壘主機，即使黑客侵入堡壘主機，他也只能看到從Internet和一些內(nèi)部主機到堡壘主機的通信以及返回的通信，而看不到內(nèi)部網(wǎng)絡(luò)主機之間的通信。所以DMZ為內(nèi)部網(wǎng)增加了安全級別。第38頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)398.4.6典型防火墻結(jié)構(gòu)

建造防火墻時，一般很少采用單一的技術(shù)，通常采用解決不同問題的多種技術(shù)的組合。

1）多堡壘主機

2）合并內(nèi)部路由器與外部路由器

3）合并堡壘主機與外部路由器

4）合并堡壘主機與內(nèi)部路由器

5）使用多臺外部路由器

6）使用多個周邊網(wǎng)絡(luò)第39頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)40DMZ內(nèi)路路由器外部路由器

Internet

內(nèi)部網(wǎng)有兩個堡壘主機的子網(wǎng)過濾體系結(jié)構(gòu)第40頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)41DMZ外部路由器堡壘主機內(nèi)部路由器

Internet

內(nèi)部網(wǎng)堡壘主機充當(dāng)內(nèi)部路由器第41頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)42外部路由器外部路由器內(nèi)部路由器DMZ

內(nèi)部網(wǎng)Internet分支機構(gòu)或合作伙伴多臺外部路由器的子網(wǎng)過濾體系結(jié)構(gòu)第42頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)438.5創(chuàng)建防火墻步驟成功創(chuàng)建一個防火墻系統(tǒng)一般需要6個步驟：制定安全策略搭建安全體系結(jié)構(gòu)制定規(guī)則次序落實規(guī)則集注意更換控制：做好注釋工作。做好審計工作：一個好的準(zhǔn)則是最好不要超過30條。建立一個可靠的規(guī)則集對于實現(xiàn)一個成功的、安全的防火墻來說是非常關(guān)鍵的！第43頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)448.6防火墻配置實驗防火墻有兩大類，分別為硬件防火墻與軟件防火墻。實驗主要是對這兩類防火墻的典型產(chǎn)品進行相應(yīng)的配置。硬件防火墻選用CiscoPIX防火墻，主要進行防火墻的配置方式、防火墻的升級、防火墻的基本操作、地址翻譯（NAT）、對主機與資源的過濾等實驗。軟件防火墻選用費爾個人防火墻。主要對指定的IP地址、應(yīng)用程序、端口、站點的禁用進行配置。

第44頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)458.6.2CiscoPIX防火墻網(wǎng)絡(luò)地址翻譯配置

1、網(wǎng)絡(luò)地址翻譯(NAT:NetworkAddressTranslation，NAT)

NAT就是在內(nèi)部專用網(wǎng)絡(luò)中使用內(nèi)部地址，而當(dāng)內(nèi)部節(jié)點要與外界網(wǎng)絡(luò)發(fā)生聯(lián)系時，就在邊緣路由器或者防火墻處，將內(nèi)部地址替換成全局地址即可。第45頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)462、網(wǎng)絡(luò)地址翻譯(NAT)能解決什么問題？

1)局域網(wǎng)上已有許多現(xiàn)成的資源和應(yīng)用程序，但其IP地址分配不符合Internet的國際標(biāo)準(zhǔn)。重新分配局域網(wǎng)的IP地址是個復(fù)雜的問題。

2)現(xiàn)行標(biāo)準(zhǔn)IPv4決定的IP地址越來越少，使得要想在ISP處申請一個新的IP地址已不是很容易的事了。第46頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)473、網(wǎng)絡(luò)地址翻譯(NAT)解決問題的辦法在內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，通過NAT把內(nèi)部地址翻譯成合法的IP地址，在Internet上使用。其具體的做法是把IP包內(nèi)的地址域用合法的IP地址來替換。NAT功能通常被集成到路由器、防火墻、ISDN路由器或單獨的NAT設(shè)備中。NAT設(shè)備維護一個狀態(tài)表，用來把非法的IP地址映射到合法的IP地址上。第47頁,共51頁，2024年2月25日，星期天2024/5/3網(wǎng)絡(luò)安全技術(shù)484、網(wǎng)絡(luò)地址翻譯(NAT)的類型NAT有靜態(tài)轉(zhuǎn)換NAT(StaticNAT)、動態(tài)轉(zhuǎn)換(PooledNAT)和端口地址轉(zhuǎn)換三種類型。(1)靜態(tài)轉(zhuǎn)換NAT是最簡單的一種轉(zhuǎn)換方式，它在NAT表中為每一個需要轉(zhuǎn)換的內(nèi)部地址創(chuàng)建了固定的轉(zhuǎn)換條目，映射了唯一的全局地址。內(nèi)部地址與全局地址一一對應(yīng)。每當(dāng)內(nèi)部節(jié)點與外界通信時，內(nèi)部地址就會轉(zhuǎn)化為對應(yīng)的全局地址。(2)動態(tài)轉(zhuǎn)換(亦稱NAT池)增加了網(wǎng)絡(luò)管理的復(fù)雜性，但也提供了很大的靈活性。它將可用的全