第十四章將INTRANET連入INTERNET網(wǎng)絡(luò)INTERNET是一個全球互聯(lián)公共網(wǎng)絡(luò)。INTRANET則是利用INTERNET技術(shù)所組建的內(nèi)部專用網(wǎng)絡(luò)。私有公共安全問題連接技術(shù)問題一：INTERNET與INTRANET應(yīng)如何連接私有與公共網(wǎng)絡(luò)互聯(lián)需要考慮安全、效率、共享等因素1、通過路由器路由器提供路由功能，內(nèi)網(wǎng)需采用合法的公用地址。如：校園網(wǎng)、ISP供應(yīng)商網(wǎng)絡(luò)2、通過防火墻防火墻起到是一個安全檢查的作用，允許或拒絕通過。進(jìn)行直接的TCP連接，需要通過電路網(wǎng)關(guān)中繼。相當(dāng)于代理服務(wù)器，工作在應(yīng)用級的防火墻。NAT是地址轉(zhuǎn)換服務(wù)器，作用是將INTRANET的私有NAT是地址轉(zhuǎn)換服務(wù)器，作用是將INTRANET的私有組合使用，以實現(xiàn)更加安全、可靠快速的通信環(huán)境。1、永久性的連入INTERNET，固定連接INTRANET則是利用INTERNET技術(shù)所組建的內(nèi)部INTERNET是一個全球互聯(lián)公共網(wǎng)絡(luò)。問題一：INTERNET與INTRANET應(yīng)如何連接INTRANET則是利用INTERNET技術(shù)所組建的內(nèi)部IP地址，轉(zhuǎn)換之后才與INTERNET進(jìn)行通信。目的就是確保受保護(hù)區(qū)域內(nèi)的網(wǎng)絡(luò)安全。INTERNET網(wǎng)絡(luò)在這個子網(wǎng)中安裝了應(yīng)用服務(wù)器，用于發(fā)布公共服務(wù)。進(jìn)行直接的TCP連接，需要通過電路網(wǎng)關(guān)中繼。該主機上安裝有防火墻軟件或代理服務(wù)。3、使用代理服務(wù)器INTRANET和INTERNET不能直接通信，而是采用代理的方式互聯(lián)。要求INTRANET有合法的私有IP地址。4、通過NAT服務(wù)器NAT是地址轉(zhuǎn)換服務(wù)器，作用是將INTRANET的私有IP地址，轉(zhuǎn)換之后才與INTERNET進(jìn)行通信。也被稱為轉(zhuǎn)換路由器在實際應(yīng)用當(dāng)中，有很多情況都是將這幾種連接方式組合使用，以實現(xiàn)更加安全、可靠快速的通信環(huán)境。如：路由器互聯(lián)、加入防火墻和NAT地址轉(zhuǎn)換。問題二：連如INTERNET的接入方式1、永久性的連入INTERNET，固定連接比如：專線、ETHERNET、光纜2、撥號連接入INTERNETADSL、MODEM、ISDN等二、防火墻介紹在安全與不安全之間形成一道屏障，對所有經(jīng)過的數(shù)據(jù)進(jìn)行檢測、分析、限制操作，對訪問用戶身份進(jìn)行驗證目的就是確保受保護(hù)區(qū)域內(nèi)的網(wǎng)絡(luò)安全。1、防火墻的功能：過濾不安全的服務(wù)和非法用戶控制對特殊站點的訪問監(jiān)視網(wǎng)絡(luò)訪問，提供安全預(yù)警當(dāng)然，對于有些情況下防火墻也是無能為力的，如：內(nèi)部攻擊、病毒文件的傳遞等等。根據(jù)不同的網(wǎng)絡(luò)，不同的防范要求所形成的防范對策，不同的連接方式和功能上對防火墻的要求也都不一樣，所以還需要了解防火墻的類型。2、防火墻的類型，保護(hù)網(wǎng)絡(luò)的方法各不一樣包過濾型防火墻屬于網(wǎng)絡(luò)級，分靜態(tài)和動態(tài)包過濾。（1）靜態(tài)包濾級對每個數(shù)據(jù)包的包頭與某一條包過濾規(guī)則相比對，拒絕或丟棄。例如：可以允許用戶進(jìn)行HTTP訪問，拒絕FTP訪問。（2）動態(tài)包過濾根據(jù)實際需要，為特定的應(yīng)用打開所需端口，在通信結(jié)束時可自動關(guān)閉，降低了暴露端口的數(shù)量，提供了更高的安全性。問題：靜態(tài)包過濾和動態(tài)包過濾的區(qū)別？動態(tài)包過濾只能控制TCP/UDP協(xié)議的應(yīng)用程序，而靜態(tài)包過濾能控制所有的IP協(xié)議（TCP/UDP，ICMP）。缺點：是基于低層的檢測，不能了理解網(wǎng)絡(luò)層以上的高層網(wǎng)絡(luò)協(xié)議。目的就是確保受保護(hù)區(qū)域內(nèi)的網(wǎng)絡(luò)安全。過濾不安全的服務(wù)和非法用戶進(jìn)行直接的TCP連接，需要通過電路網(wǎng)關(guān)中繼。在這個子網(wǎng)中安裝了應(yīng)用服務(wù)器，用于發(fā)布公共服務(wù)。相當(dāng)于代理服務(wù)器，工作在應(yīng)用級的防火墻。內(nèi)部攻擊、病毒文件的傳遞等等。根據(jù)實際需要，為特定的應(yīng)用打開所需端口，在通信INTRANET則是利用INTERNET技術(shù)所組建的內(nèi)部在安全與不安全之間形成一道屏障，對所有經(jīng)過的數(shù)據(jù)動態(tài)包過濾只能控制TCP/UDP協(xié)議的應(yīng)用程序，而分單宿堡壘（單網(wǎng)卡）、雙宿堡壘主機（雙網(wǎng)卡）NAT是地址轉(zhuǎn)換服務(wù)器，作用是將INTRANET的私有問題：靜態(tài)包過濾和動態(tài)包過濾的區(qū)別？NAT是地址轉(zhuǎn)換服務(wù)器，作用是將INTRANET的私有問題一：INTERNET與INTRANET應(yīng)如何連接，兼容性越好，系統(tǒng)開銷越小，如包過濾；IP地址，轉(zhuǎn)換之后才與INTERNET進(jìn)行通信。電路網(wǎng)關(guān)型工作在會話層，建立了兩條TCP連接，并不進(jìn)行任何附加的包處理或過濾。它也不允許內(nèi)部主機與外部之間進(jìn)行直接的TCP連接，需要通過電路網(wǎng)關(guān)中繼。內(nèi)部外網(wǎng)電路網(wǎng)關(guān)中繼應(yīng)用網(wǎng)關(guān)相當(dāng)于代理服務(wù)器，工作在應(yīng)用級的防火墻。狀態(tài)檢測，包檢測防火墻應(yīng)工作在網(wǎng)絡(luò)層以上，層次越低，安全性越差，兼容性越好，系統(tǒng)開銷越小，如包過濾；反之，層次越高，安全性越好，系統(tǒng)開銷越大，如應(yīng)用網(wǎng)關(guān)3、常見的防火墻（1）雙宿主機網(wǎng)關(guān)（堡壘主機）如圖14.5，一臺主機、兩塊網(wǎng)卡、一邊連內(nèi)網(wǎng)、一邊連入外網(wǎng)。該主機上安裝有防火墻軟件或代理服務(wù)。主機網(wǎng)關(guān)是重點INTERNET中的外部主機只能訪問到DMZ中用來發(fā)布公相當(dāng)于代理服務(wù)器，工作在應(yīng)用級的防火墻。2、防火墻的類型，保護(hù)網(wǎng)絡(luò)的方法各不一樣在安全與不安全之間形成一道屏障，對所有經(jīng)過的數(shù)據(jù)INTERNET中的外部主機只能訪問到DMZ中用來發(fā)布公結(jié)束時可自動關(guān)閉，降低了暴露端口的數(shù)量，提供了在路由器上設(shè)定過濾規(guī)則，使堡壘主機成為INTERNET對每個數(shù)據(jù)包的包頭與某一條包過濾規(guī)則相比對，拒絕私有與公共網(wǎng)絡(luò)互聯(lián)需要考慮安全、效率、共享等因素該主機上安裝有防火墻軟件或代理服務(wù)。INTRANET則是利用INTERNET技術(shù)所組建的內(nèi)部靜態(tài)包過濾能控制所有的IP協(xié)議（TCP/UDP，ICMP）。5，一臺主機、兩塊網(wǎng)卡、一邊連內(nèi)網(wǎng)、一邊（2）屏蔽主機網(wǎng)關(guān)分單宿堡壘（單網(wǎng)卡）、雙宿堡壘主機（雙網(wǎng)卡）見圖14.6，單宿主在路由器上設(shè)定過濾規(guī)則，使堡壘主機成為INTERNET唯一可以訪問的主機，而內(nèi)部的客戶機通過屏蔽主機和路由器來訪問INTERNET。雙宿主，兩塊網(wǎng)卡，他其實是提供了代理服務(wù)，將包過濾與代理服務(wù)相結(jié)合，比單宿主更安全。