《网络应用技术》/实验九:防火墙的应用 (2)状态检测技术 为了解决静态包过滤技术安全检查措施简单、管理较困难等问题,提出了状态检测技术 ( Stateful Inspection)的概念。它能够提供比静态包过滤技术更高的安全性,而且使用和管理 也更简单。这体现在状态检测技术可以根据实际情况,动态地自动生成或删除安全过滤规则, 不需要管理人员手工配置。同时,还可以分析高层协议,能够更有效地对进出内部网络的通 信进行监控,并且提出更好的日志和审计分析服务。早期的状态检测技术被称为动态包过滤 ( Dynamic Packet Filter.)技术,是静态包过滤技术在传输层的扩展应用。后期经过进一步的改 进,又可以实现传输层协议报文字段细节的过滤,并可实现部分应用层信息的过滤。状态检 测不仅仅只是对状态进行检测,还进行包过滤检测,从而提高了防火墙的功能。 (3)网络地址转换技术(NAT) 网络地址转换( Network Address translation,NAT)最初设计NAT的目的是允许将私 有P地址映射到公网上(合法的因特网P地址),以缓解|P地址短缺的问题。但是,通过 NAT,可以实现内部主机地址隐藏,防止内部网络结构被人掌握,因此从一定程度上降低了内 部网络被攻击的可能性,提高了私有网络的安全性。正是内部主机地址隐藏的特性,使NAT技 术成为了防火墙实现中经常采用的核心技术之一。 (4)代理技术 代理( Proxy)技术与前面所述的基于包过滤技术完全不同,是基于另一种思想的完全控 制技术。采用代理技术的代理服务器运行在内部网络和外部网路之间,在应用层实现安全控制 功能,起到内部网络与外部网络之间应用服务的转接作用。同时,代理防火墙不再围绕数据包, 而着重于应用级别,分析经过它们的应用信息,从而决定是传输还是丢弃。 3、防火墙的部署方式 防火墙常见的部署模式有桥模式、网关模式和NAT模式等 (1)桥模式 桥模式也称为透明模式。工作在桥模式下的防火墙不需要配置IP地址,无需对网络地址 进行重新规划,对于用户而言,防火墙仿佛不存在,因此被称为透明模式 (2)网关模式 网关模式适用于网络不在同一网段的情况。防火墙设置网关地址实现路由器的功能,为不 同网段进行路由转发 网关模式相比桥模式具备更高的安全性,在进行访问控制的同时实现了安全隔离,具备一 定的私密性 (3)NAT模式 NAT( Network Address translation)模式是由防火墙对内部网络的|P地址进行地址翻 译,使用防火墙的IP地址替换内部网络的源地址向外部网络发送数据;当外部网络的响应数 据流量返回到防火墙后,防火墙再将目的地址替换为内部网络的源地址, NAT模式能够实现外部网络无法得到内部网络的卩P地址,进一步增强了对内部网络的安 全防护。同时,在№AT模式的网络中,内部网络可以使用私网地址,解决IP地址数量受限的 问题 河南中医药大学信息技术学院|网络与信息系统科研工作室 第2页《网络应用技术》 / 实验九：防火墙的应用 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第2页 （2）状态检测技术 为了解决静态包过滤技术安全检查措施简单、管理较困难等问题，提出了状态检测技术 （Stateful Inspection）的概念。它能够提供比静态包过滤技术更高的安全性，而且使用和管理 也更简单。这体现在状态检测技术可以根据实际情况，动态地自动生成或删除安全过滤规则， 不需要管理人员手工配置。同时，还可以分析高层协议，能够更有效地对进出内部网络的通 信进行监控，并且提出更好的日志和审计分析服务。早期的状态检测技术被称为动态包过滤 （Dynamic Packet Filter）技术，是静态包过滤技术在传输层的扩展应用。后期经过进一步的改 进，又可以实现传输层协议报文字段细节的过滤，并可实现部分应用层信息的过滤。状态检 测不仅仅只是对状态进行检测，还进行包过滤检测，从而提高了防火墙的功能。 （3）网络地址转换技术（NAT） 网络地址转换（Network Address Translation，NAT）。最初设计 NAT 的目的是允许将私 有 IP 地址映射到公网上（合法的因特网 IP 地址），以缓解 IP 地址短缺的问题。但是，通过 NAT，可以实现内部主机地址隐藏，防止内部网络结构被人掌握，因此从一定程度上降低了内 部网络被攻击的可能性，提高了私有网络的安全性。正是内部主机地址隐藏的特性，使 NAT 技 术成为了防火墙实现中经常采用的核心技术之一。 （4）代理技术 代理（Proxy）技术与前面所述的基于包过滤技术完全不同，是基于另一种思想的完全控 制技术。采用代理技术的代理服务器运行在内部网络和外部网路之间，在应用层实现安全控制 功能，起到内部网络与外部网络之间应用服务的转接作用。同时，代理防火墙不再围绕数据包， 而着重于应用级别，分析经过它们的应用信息，从而决定是传输还是丢弃。 3、防火墙的部署方式 防火墙常见的部署模式有桥模式、网关模式和 NAT 模式等。 （1）桥模式 桥模式也称为透明模式。工作在桥模式下的防火墙不需要配置 IP 地址，无需对网络地址 进行重新规划，对于用户而言，防火墙仿佛不存在，因此被称为透明模式。 （2）网关模式 网关模式适用于网络不在同一网段的情况。防火墙设置网关地址实现路由器的功能，为不 同网段进行路由转发。 网关模式相比桥模式具备更高的安全性，在进行访问控制的同时实现了安全隔离，具备一 定的私密性。 （3）NAT 模式 NAT（Network Address Translation）模式是由防火墙对内部网络的 IP 地址进行地址翻 译，使用防火墙的 IP 地址替换内部网络的源地址向外部网络发送数据；当外部网络的响应数 据流量返回到防火墙后，防火墙再将目的地址替换为内部网络的源地址。 NAT 模式能够实现外部网络无法得到内部网络的 IP 地址，进一步增强了对内部网络的安 全防护。同时，在 NAT 模式的网络中，内部网络可以使用私网地址，解决 IP 地址数量受限的 问题