738s3高级程 China coM 下载」 防火墙 工作站组 所有外部通信要通过 80.254处的网关 图24-5防火墙的工作方式 防火墙能通过运行操作系统上的软件来实现,也可以是专门的硬件,比如用 CISCO的PIX 防火墙。专用的独立于操作系统的硬件防火墙总比相应的软件运行得快,但需要付出更多的 费用。 1.专用网络的地址分配 管理员完成内部网络物理连接以后,可通过防火墙与外界联系:可能仅仅移去原来的面 向外部 Internet的没有防火墙的计算机上的网卡。通过给 Internet每台机器分配私有网络P地址, 确保 Internet接收“好象”是来自防火墙的请求。 互联网分配的数字机构( Internet Assigned Numbers Authority,IANA)给内部的专用网络 分配三块特定的地址,这些地址不能以最初的状态与 Internet连接。由仲裁网关(如标准的网关、 防火墙或代理服务器)通过自身传递来自这些地址的请求,并把源地址转换成自己的IP地址。 因此仍然可以允许专用网络上的主机与公共 Internet相连,但这样可以更好地保护自己的专用 网络 专用地址块是 A类:10.0.0.0~10255255255 ·B类:172.16.0.0~172.31.255.255 255.255 例如,有一个P地址为19216806的服务器,不经外部网址的防火墙转换地址,这个服务 器不能放在公共 Internet地址空间。这是通过网络地址翻译( Network address translation, NAT)实现的,将在下一部分着重讨论这个问题 使用这种专用网络空间各有利弊,但很明显,网络安全性能提高了,允许我们控制少数 的几台计算机,并允许它们直接访问 Internet由于不需要注册ISP正在使用的专用地址,这种 方法实现相对比较容易 把局域网接λ Internet时,如果不使用专用地址空间就会出现问题。在这种情况下,每台 机器将被分配一个可以接入 Internet的全球的IP地址,用一台机器做防火墙几乎是不可能的。 2.网络地址翻译 网络地址翻译(NAn)的目的是把不可路由地址转换成可路由地址。NAT有两种类型:动态 转换和静态转换 动态NAT的目的是给主机提供一个或多个可能的IP地址用作与外部通信的别名。翻译工 作是在使用别名IP地址的连接的基础上工作的,这个别名只在连接期间使用。用图24-6来表738计计ASP 3 高级编程 下载 图24-5 防火墙的工作方式 防火墙能通过运行操作系统上的软件来实现，也可以是专门的硬件，比如用 C I S C O的P I X 防火墙。专用的独立于操作系统的硬件防火墙总比相应的软件运行得快，但需要付出更多的 费用。 1. 专用网络的地址分配 管理员完成内部网络物理连接以后，可通过防火墙与外界联系；可能仅仅移去原来的面 向外部I n t e r n e t的没有防火墙的计算机上的网卡。通过给 I n t e r n e t每台机器分配私有网络I P地址， 确保I n t e r n e t接收“好象”是来自防火墙的请求。 互联网分配的数字机构 (Internet Assigned Numbers Authority，I A N A )给内部的专用网络 分配三块特定的地址，这些地址不能以最初的状态与 I n t e r n e t连接。由仲裁网关(如标准的网关、 防火墙或代理服务器 )通过自身传递来自这些地址的请求，并把源地址转换成自己的 I P地址。 因此仍然可以允许专用网络上的主机与公共 I n t e r n e t相连，但这样可以更好地保护自己的专用 网络。 专用地址块是： • A类：1 0 . 0 . 0 . 0 ~ 1 0 . 2 5 5 . 2 5 5 . 2 5 5 • B类：1 7 2 . 1 6 . 0 . 0 ~ 1 7 2 . 3 1 . 2 5 5 . 2 5 5 • C类：1 9 2 . 1 6 8 . 0 . 0 ~ 1 9 2 . 1 6 8 . 2 5 5 . 2 5 5 . 例如，有一个I P地址为1 9 2 . 1 6 8 . 0 . 6的服务器，不经外部网址的防火墙转换地址，这个服务 器不能放在公共 I n t e r n e t地址空间。这是通过网络地址翻译 (Network Address Tr a n s l a t i o n， N AT )实现的，将在下一部分着重讨论这个问题。 使用这种专用网络空间各有利弊，但很明显，网络安全性能提高了，允许我们控制少数 的几台计算机，并允许它们直接访问 I n t e r n e t。由于不需要注册I S P正在使用的专用地址，这种 方法实现相对比较容易。 把局域网接入I n t e r n e t时，如果不使用专用地址空间就会出现问题。在这种情况下，每台 机器将被分配一个可以接入 I n t e r n e t的全球的I P地址，用一台机器做防火墙几乎是不可能的。 2. 网络地址翻译 网络地址翻译( N AT )的目的是把不可路由地址转换成可路由地址。 N AT有两种类型：动态 转换和静态转换。 动态N AT的目的是给主机提供一个或多个可能的 I P地址用作与外部通信的别名。翻译工 作是在使用别名 I P地址的连接的基础上工作的，这个别名只在连接期间使用。用图 2 4 - 6来表 工作站组 所有外部通信要通过 192.168.0.254 处的网关 防火墙