第三章網(wǎng)絡隔離技術-網(wǎng)絡設備隔離技術計算機系統(tǒng)與網(wǎng)絡安全技術集線器隔離交換機隔離路由器隔離網(wǎng)絡設備隔離技術內容網(wǎng)絡設備隔離技術隔離技術是通過對具有不同安全需求的應用系統(tǒng)進行分類保護，從而有助于將風險較大的應用系統(tǒng)與其它應用系統(tǒng)隔離，達到安全保護的目的。隔離技術一般通過隔離設備來實現(xiàn)。隔離設備可以是網(wǎng)路設備，也可以是專門的隔離設備隔離技術集線器：集線器只是對數(shù)據(jù)的傳輸起到同步、放大和整形的作用，對數(shù)據(jù)傳輸中的短幀、碎片等無法有效處理，不能保證數(shù)據(jù)傳輸?shù)耐暾院驼_性。交換機：交換機可以識別連在網(wǎng)絡上的節(jié)點的網(wǎng)卡MAC地址，并把它們放到一個叫做MAC地址表的地方。路由器：路由器屬于網(wǎng)絡層互聯(lián)設備，用于連接多個邏輯上分開的網(wǎng)絡。路由器有自己的操作系統(tǒng)，運行各種網(wǎng)絡層協(xié)議（如IP協(xié)議、IPX協(xié)議、AppleTalk協(xié)議等），用于實現(xiàn)網(wǎng)絡層的功能。三層交換機：三層交換機是將傳統(tǒng)交換器與傳統(tǒng)路由器結合起來的網(wǎng)絡設備，它既可以完成傳統(tǒng)交換機的端口交換功能，又可完成部分路由器的路由功能。網(wǎng)絡設備隔離技術網(wǎng)絡設備簡介網(wǎng)絡設備隔離技術…應用層表示層會話層傳輸層網(wǎng)絡層數(shù)據(jù)鏈路層物理層集線器隔離技術網(wǎng)絡設備隔離技術物理編址網(wǎng)絡拓撲結構錯誤校驗幀序列化流控應用層表示層會話層傳輸層網(wǎng)絡層數(shù)據(jù)鏈路層物理層交換機隔離技術網(wǎng)絡設備隔離技術…交換機隔離技術網(wǎng)絡設備隔離技術InternetVLAN2VLAN1VLAN3交換機隔離技術-VLAN劃分網(wǎng)絡設備隔離技術VLAN在交換機上實現(xiàn)劃分基于端口劃分的VLAN基于MAC地址劃分VLAN基于網(wǎng)絡層劃分VLAN根據(jù)IP組播劃分VLAN交換機隔離技術-VLAN劃分網(wǎng)絡設備隔離技術路由器隔離技術路由器（Router）是具備路由功能的主機，是一種連接多個網(wǎng)絡或網(wǎng)段的網(wǎng)絡設備。路由器主要功能包括：（1）網(wǎng)絡互連：路由器支持各種局域網(wǎng)和廣域網(wǎng)接口，主要用于互連局域網(wǎng)和廣域網(wǎng)，實現(xiàn)不同網(wǎng)絡互相通信。（2）數(shù)據(jù)處理：提供包括分組過濾、分組轉發(fā)、優(yōu)先級、復用、加密、壓縮和防火墻等功能。

（3）網(wǎng)絡管理：路由器提供包括配置管理、性能管理、容錯管理和流量控制等功能。網(wǎng)絡設備隔離技術網(wǎng)絡互連數(shù)據(jù)處理網(wǎng)絡管理應用層表示層會話層傳輸層網(wǎng)絡層數(shù)據(jù)鏈路層物理層路由器隔離技術網(wǎng)絡設備隔離技術RouterARouterBRouterCRouterD/8/8/8/24/24/24/24/24/24DestinationNexthopInterface…/8P1/8P2/8P3路由器隔離技術網(wǎng)絡設備隔離技術路由器作為唯一安全組件相對交換機，集線器，能提供更高層次的安全功能路由器作為安全組件的一部分在一個全面安全體系結構中，與其他安全組件協(xié)同工作。路由器隔離技術網(wǎng)絡設備隔離技術路由器作為唯一隔離設備的不足（1）路由器的默認配置對安全性的考慮不夠。一般來說，路由器都需要一些高級配置才能達到一些防范攻擊的作用。此外，路由器的很多安全策略往往基于命令行，配置出錯的概率較高。

（2）路由器的審計功能使用不便。與專門的審計系統(tǒng)或者防火墻相比，很多路由自身審計分析功能不強，對日志、異常事件的描述也不能標準化。網(wǎng)絡設備隔離技術路由器作為安全組件的一部分如何協(xié)同工作（1）在整個安全防護系統(tǒng)中，路由器一般用作屏蔽設備，執(zhí)行簡單的包過濾功能。（2）同時，路由器與防火墻協(xié)同工作，由防火墻去執(zhí)行數(shù)據(jù)包深度檢查等復雜的處理工作。在路由器與其他安全組件協(xié)同工作的方案中，路由器將是保護內部網(wǎng)的第一道關口，而其他安全組件（如防火墻）將是后續(xù)安全防護關口。結束謝謝！第三章網(wǎng)絡隔離技術-防火墻概述計算機系統(tǒng)與網(wǎng)絡安全技術防火墻概述防火墻什么是防火墻防火墻概述防火墻基本概念防火墻（Firewall）是用一個或一組網(wǎng)絡設備（計算機系統(tǒng)或路由器等）在兩個或多個網(wǎng)絡間加強訪問控制，以保護一個網(wǎng)絡不受來自另一個網(wǎng)絡攻擊的安全技術。防火墻作為外部網(wǎng)絡數(shù)據(jù)進入內部網(wǎng)絡數(shù)據(jù)的唯一出入口，能根據(jù)企業(yè)的訪問控制策略（允許通過、拒絕通過等），對出入網(wǎng)絡的信息流進行控制防止外部網(wǎng)絡攻擊，保證內部網(wǎng)絡安全。防火墻概述Internet防火墻內部網(wǎng)絡服務器主機主機防火墻在網(wǎng)絡拓撲中的位置外部網(wǎng)絡防火墻概述防火墻的特征作為安全組件的防火墻的特征包括：（1）所有進出網(wǎng)絡的網(wǎng)絡通信都應該通過防火墻。（2）所有穿過防火墻進入內部網(wǎng)絡的網(wǎng)絡通信都經過了安全策略的確認和授權。（3）理論上說，防火墻是穿不透的，即違反防火墻安全策略的網(wǎng)絡通信無法進入內部網(wǎng)絡。防火墻概述防火墻的功能由軟件和硬件組成的防火墻一般來說應具有以下功能：（1）防火墻是一個訪問控制機構（2）防火墻是一個審計機構（3）防火墻屏蔽機構（4）防火墻是一個多功能的安全機構防火墻概述防火墻的不足防火墻的不足：（1）不能防范惡意的內部攻擊者（2）防火墻不能防范不通過它的網(wǎng)絡通信（3）防火墻不能防御全部的威脅（4）防火墻不能防范病毒通過過濾不安全的服務而降低風險，提高內部網(wǎng)絡安全性保護網(wǎng)絡免受基于路由的攻擊強化網(wǎng)絡安全策略對網(wǎng)絡存取和訪問進行監(jiān)控審計利用防火墻對內部網(wǎng)絡的劃分，實現(xiàn)內部網(wǎng)重點或敏感網(wǎng)段的隔離防火墻在網(wǎng)絡隔離中的作用防火墻概述結束謝謝！第三章網(wǎng)絡隔離技術-防火墻中的包過濾技術計算機系統(tǒng)與網(wǎng)絡安全技術防火墻中的包過濾技術應用層傳輸層網(wǎng)絡層數(shù)據(jù)鏈路層物理層包過濾技術包過濾，也叫分組過濾，它是根據(jù)數(shù)據(jù)IP包頭信息對網(wǎng)絡流量進行處理的一種訪問控制技術。防火墻中的包過濾技術包過濾技術如何實現(xiàn)-包過濾規(guī)則分組過濾是一種訪問控制機制，它控制哪些數(shù)據(jù)包可以進出網(wǎng)絡而哪些數(shù)據(jù)包應被網(wǎng)絡拒絕。分組過濾技術可以處理網(wǎng)絡層的數(shù)據(jù)包因此依據(jù)源IP地址、目標IP地址、源端口、目標端口、包類型等IP包頭信息，允許或拒絕IP包通過防火墻中的包過濾技術包過濾中的過濾規(guī)則表組序號動作源IP目的IP源端口目的端口協(xié)議類型1允許10.1.1.****TCP2允許*>102380TCP3允許*>102353UDP4禁止任意任意任意任意任意防火墻中的包過濾技術HTTPDNS未經授權的用戶流量Internet用戶子網(wǎng)包過濾防火墻包過濾的過程防火墻中的包過濾技術過濾規(guī)則表的注意事項制定包過濾規(guī)則應注意的問題（1）最常用的規(guī)則放在前面（2）按從最特殊的規(guī)則到最一般的規(guī)則的順序創(chuàng)建（3）配置過濾規(guī)則必須注意協(xié)議的雙向性（4）“往內”與“往外”的含義（5）規(guī)則表通常都有一條默認規(guī)則防火墻中的包過濾技術包過濾的優(yōu)缺點包過濾技術的優(yōu)點包過濾技術的優(yōu)點在于簡單、易于使用，實現(xiàn)成本低。處理開銷小，因此對使用該技術的防火墻系統(tǒng)的性能影響不大。防火墻中的包過濾技術包過濾的優(yōu)缺點分組過濾技術的缺點（1）當過濾規(guī)則較多時，對過濾規(guī)則表的管理和維護較為麻煩（2）無法識別入侵（3）無法識別惡意代碼（4）易遭受IP地址欺騙結束謝謝！第三章網(wǎng)絡隔離技術-防火墻中的狀態(tài)檢測技術計算機系統(tǒng)與網(wǎng)絡安全技術防火墻中的狀態(tài)檢測技術什么是狀態(tài)檢測技術？狀態(tài)檢測技術是指根據(jù)協(xié)議數(shù)據(jù)的狀態(tài)來實現(xiàn)包過濾功能的訪問控制技術。狀態(tài)檢測技術也叫狀態(tài)包過濾技術顧名思義，狀態(tài)檢測既要根據(jù)IP包頭信息也要根據(jù)協(xié)議的狀態(tài)信息來制定過濾規(guī)則。防火墻中的狀態(tài)檢測技術什么是狀態(tài)？狀態(tài)的含義在TCP/IP協(xié)議中，狀態(tài)是指協(xié)議過去執(zhí)行的歷史信息。例如，對于TCP而言，要進行數(shù)據(jù)通信，必須建立三次握手，因此對于使用TCP進行數(shù)據(jù)傳輸?shù)膽脕碚f，TCP的三次握手所建立的連接信息就是其狀態(tài)。在TCP/IP協(xié)議族中，有些協(xié)議是有狀態(tài)的協(xié)議（如TCP協(xié)議等），有些協(xié)議是無狀態(tài)協(xié)議（如UDP協(xié)議等）。防火墻中的狀態(tài)檢測技術應用層傳輸層網(wǎng)絡層數(shù)據(jù)鏈路層物理層狀態(tài)檢測技術與包過濾規(guī)則狀態(tài)包過濾除考慮IP頭信息外，還將結合協(xié)議的狀態(tài)來制定過濾規(guī)則防火墻中的狀態(tài)檢測技術具體有哪些狀態(tài)信息？網(wǎng)絡通信信息所有TCP/IP協(xié)議的當前信息網(wǎng)絡通信狀態(tài)以前的網(wǎng)絡通信信息例如，同樣對于FTP而言，可以記錄FTP請求的服務器地址和端口、客戶端地址和為此次FTP臨時打開的端口應用狀態(tài)應用程序的信息例如，已經通過防火墻認證的用戶可以通過防火墻訪問其他授權的服務操作信息例如，已經通過防火墻認證的用戶可以通過防火墻訪問其他授權的服務構造更加復雜、更靈活、實用性強的策略規(guī)則防火墻中的狀態(tài)檢測技術狀態(tài)如何記錄和保存？協(xié)議的狀態(tài)需要記錄和保存以便查詢提高查詢的效率可以根據(jù)連接的狀態(tài)存儲方式連接是完成的一次回話一般采用連接狀態(tài)表來存放狀態(tài)信息連接狀態(tài)表，就是存放協(xié)議歷史信息的信息表。防火墻中的狀態(tài)檢測技術如何獲得無狀態(tài)協(xié)議的狀態(tài)信息？無連接協(xié)議的狀態(tài)信息對于無連接的應用（如UDP協(xié)議），狀態(tài)檢測技術通過虛連接的方法來建立其狀態(tài)信息。虛連接：為保存協(xié)議的狀態(tài)信息而虛構的網(wǎng)絡連接例如，對于基于UDP應用的安全需求，狀態(tài)檢測技術通過在UDP通信之上保持一個虛擬連接保存通過防火墻的每一個虛連接的狀態(tài)信息，允許穿過防火墻的UDP請求包被記錄當UDP包在相反方向上通過時，則可以依據(jù)連接狀態(tài)表確定該UDP包是否被授權的，若已被授權，則通過，否則拒絕。典型的狀態(tài)信息包括超時檢測、是否有以前的UDP數(shù)據(jù)包通過等防火墻中的狀態(tài)檢測技術連接狀態(tài)表源地址目的地址協(xié)議源端口目的端口超時（秒）碼字位081TCP2341806ACK481TCP32141801.5

6UDP33222212

防火墻中的狀態(tài)檢測技術狀態(tài)過濾規(guī)則表序號行為規(guī)則1允許該TCP數(shù)據(jù)包是先前連接的一部分2允許該UDP協(xié)議先前有從內部網(wǎng)絡到外部網(wǎng)絡的數(shù)據(jù)包3拒絕HTTP訪問外部網(wǎng)絡的端口是80且內部主機的IP地址是4拒絕FTP中包含put命令5拒絕其他所用網(wǎng)絡通信防火墻中的狀態(tài)檢測技術狀態(tài)包過濾技術的優(yōu)缺點狀態(tài)檢測技術的優(yōu)點安全性好靈活性強擴展性好應用范圍廣防火墻中的狀態(tài)檢測技術狀態(tài)包過濾技術的優(yōu)缺點狀態(tài)檢測技術的缺點計算開銷大處理速度慢規(guī)則管理復雜結束謝謝！第三章網(wǎng)絡隔離技術-防火墻中的應用代理技術計算機系統(tǒng)與網(wǎng)絡安全技術防火墻中的應用代理技術代理與代理技術代理(proxy)，就是幫別人獲得某項服務的人或機構。例如，保險代理、法務代理代理技術(proxyservices)，某個應用為另外一個應用獲得某項服務。例如，用戶A可以委托主機B幫助它從外部下載某個文件或訪問某個網(wǎng)站。代理服務器（Proxy）：提供代理服務的服務器稱之為代理服務器也叫應用代理防火墻防火墻中的應用代理技術應用代理技術的基本概念應用代理代理(Applicationproxies)：在應用層提供代理服務的代理應用代理技術是通過具有訪問應用，使得不具備訪問權限的用戶可以訪問網(wǎng)絡服務一種代理服務技術。例如，用戶A本身不具備訪問外部FTP服務的權限但一個主機B不僅具備訪問外部FTP的權限，而且還提供代理服務基于應用代理技術，用戶A可以借助于主機B的幫助而獲得外部FTP服務的訪問權限防火墻中的應用代理技術應用層傳輸層網(wǎng)絡層數(shù)據(jù)鏈路層物理層應用代理的執(zhí)行過程應用代理技術是對特定的應用進行訪問控制。防火墻中的應用代理技術HTTPDNS未經授權的用戶Internet用戶子網(wǎng)應用代理防火墻HTTP服務器客戶瀏覽器實際TCP連接1實際TCP連接2用戶感覺的TCP連接應用代理的執(zhí)行過程防火墻中的應用代理技術應用代理技術的優(yōu)缺點應用代理技術的優(yōu)點應用代理技術提供更高層次的安全性易于審計有助于提高訪問速度具備細粒度的過濾檢測隱蔽性較強防火墻中的應用代理技術應用代理技術的優(yōu)缺點應用代理技術的缺點處理開銷大擴展性弱使用不便結束謝謝！第三章網(wǎng)絡隔離技術-堡壘主機結構防火墻系統(tǒng)計算機系統(tǒng)與網(wǎng)絡安全技術堡壘主機結構防火墻系統(tǒng)防火墻三種結構-堡壘主機結構堡壘主機（BastionHost）是一種被強化的可以防御網(wǎng)絡攻擊的計算機從網(wǎng)絡拓撲結構來看，堡壘主機一般均被暴露于互聯(lián)網(wǎng)上作為外部網(wǎng)絡通信進入內部網(wǎng)絡的一個檢查點從網(wǎng)絡拓撲結構來看，防火墻和包過慮路由器均可以被看作堡壘主機。防火墻隔離對堡壘主機的要求堡壘主機的安全加固關閉所有不必要的服務、協(xié)議、程序和網(wǎng)絡端口必須啟用安全審計功能，以便記錄所有安全事件的日志堡壘主機和內部主機之間不能共享任何信任信息防火墻隔離堡壘主機結構防火墻系統(tǒng)堡壘主機結構也叫分組過濾防火墻結構、包過濾防火墻結構（PackageFilteringFirewall）是通過分組過濾技術來實現(xiàn)防火墻系統(tǒng)的一個方法一般來說，分組過濾防火墻系統(tǒng)是一個帶有路由功能的防火墻或一個起防火墻作用的分組過濾路由器防火墻隔離HTTPDNS包過濾路由器Internet工作站工作站（堡壘主機）堡壘主機結構防火墻系統(tǒng)的拓撲圖防火墻隔離堡壘主機結構防火墻系統(tǒng)的優(yōu)缺點優(yōu)點包括：（1）成本低由于只需要一臺具備包過濾的路由器或一臺能夠執(zhí)行包過濾的防火墻，因此價格低廉。（2）管理簡單結構簡單，不需要復雜的配置，易于管理和維護。防火墻隔離堡壘主機結構防火墻系統(tǒng)的優(yōu)缺點缺點包括：（1）安全性低如果包過濾路由器是唯一的安全設備，那么黑客們將非常容易地攻破系統(tǒng)，在局域網(wǎng)里為所欲為。（2）過濾規(guī)則簡單只能通過網(wǎng)絡層信息來進行過濾，無法提供復雜的過濾規(guī)則。此外，隨著過濾規(guī)則數(shù)目的增加，防火墻本身的性能會受到影響。（3）缺少審計和報警機制大多數(shù)過濾器中缺少審計和報警機制。（4）隱蔽性差采用這種結構的防火墻系統(tǒng)，內部網(wǎng)絡的IP地址并沒有被隱藏起來，并且它不具備監(jiān)測，跟蹤和記錄的功能。結束謝謝！第三章網(wǎng)絡隔離技術-屏蔽主機結構防火墻系統(tǒng)計算機系統(tǒng)與網(wǎng)絡安全技術屏蔽主機結構防火墻系統(tǒng)屏蔽主機結構防火墻系統(tǒng)的概念屏蔽主機結構防火墻也叫單宿主堡壘主機防火墻（Single-HomedHostFirewall）單宿主堡壘主機（Single-HomedBastionHost）是只有一個網(wǎng)絡接口的堡壘主機一般來說，單宿主堡壘主機通常采用應用代理技術屏蔽主機結構防火墻系統(tǒng)Internet過濾路由器堡壘主機內部網(wǎng)絡：屏蔽主機結構防火墻系統(tǒng)拓撲圖HTTPDNSFTP防火墻系統(tǒng)屏蔽主機結構防火墻系統(tǒng)屏蔽主機結構防火墻系統(tǒng)的數(shù)據(jù)處理外部數(shù)據(jù)入站：包過濾路由器收到外部數(shù)據(jù)后，要么直接丟棄，要么轉發(fā)到堡壘主機上堡壘主機通過對接收到的數(shù)據(jù)進行安全檢查，并按照既定的安排策略對數(shù)據(jù)包進行處理內部數(shù)據(jù)出站：對于外出數(shù)據(jù)來說，某些網(wǎng)絡數(shù)據(jù)（如HTTP）可以不經過堡壘主機而直接發(fā)送給包過濾路由器對于需要進行嚴格控制的其他數(shù)據(jù)（如FTP、TELNET等）則通過配置所有內部客戶端，將這些外出數(shù)據(jù)發(fā)送給堡壘主機進行代理訪問。屏蔽主機結構防火墻系統(tǒng)Internet過濾路由器目的

轉發(fā)至

堡壘主機內部網(wǎng)絡：主機路由表正確，外部網(wǎng)絡流量可被轉發(fā)到堡壘主機上屏蔽主機結構防火墻系統(tǒng)的執(zhí)行過程屏蔽主機結構防火墻系統(tǒng)Internet過濾路由器目的轉發(fā)至

堡壘主機內部網(wǎng)絡：主機路由表不正確，外部網(wǎng)絡流量有可能不會轉發(fā)到堡壘主機上屏蔽主機結構防火墻系統(tǒng)的執(zhí)行過程屏蔽主機結構防火墻系統(tǒng)屏蔽主機結構防火墻系統(tǒng)的優(yōu)缺點優(yōu)點：成本比較低安全性較高對內部網(wǎng)絡有一定的隱蔽性屏蔽主機結構防火墻系統(tǒng)屏蔽主機結構防火墻系統(tǒng)的優(yōu)缺點缺點：路由器是安全瓶頸缺少防范內部欺騙的能力結束謝謝！第三章網(wǎng)絡隔離技術-屏蔽子網(wǎng)防火墻系統(tǒng)計算機系統(tǒng)與網(wǎng)絡安全技術屏蔽子網(wǎng)結構防火墻系統(tǒng)屏蔽子網(wǎng)結構防火墻系統(tǒng)的概念屏蔽子網(wǎng)防火墻（ScreenedSubnetFirewall）結構用了兩個包過濾路由器和一個堡壘主機這種方法是在內部Intranet和外部Internet之間建立一個被隔離的子網(wǎng)“非軍事區(qū)”(DMZ，DemilitarizedZone)，需要保護的服務（如WEB、DNS等）以及堡壘主機放在該子網(wǎng)中。用兩個包過濾路由器將這一子網(wǎng)分別與Intranet和Internet分開防火墻隔離HTTPDNS包過濾路由器InternetFTP堡壘主機工作站工作站工作站包過濾路由器屏蔽子網(wǎng)結構防火墻系統(tǒng)的執(zhí)行過程外部路由器、內部路由器和堡壘主機協(xié)調工作來提供安全保護功能防火墻系統(tǒng)屏蔽子網(wǎng)結構防火墻系統(tǒng)屏蔽子網(wǎng)結構防火墻系統(tǒng)的路由器外部包過濾路由器：執(zhí)行包過濾功能將數(shù)據(jù)包轉發(fā)到堡壘主機屏蔽子網(wǎng)結構防火墻系統(tǒng)屏蔽子網(wǎng)結構防火墻系統(tǒng)的路由器內部屏蔽路由器：屏蔽內部網(wǎng)絡過濾內部數(shù)據(jù)轉發(fā)內部數(shù)據(jù)到堡壘主機防火墻隔離屏蔽子網(wǎng)結構防火墻系統(tǒng)的優(yōu)缺點優(yōu)點：安全性高靈活性強好隱蔽性好防火墻隔離屏蔽子網(wǎng)結構防火墻系統(tǒng)的優(yōu)缺點缺點：成本高配置復雜結束謝謝！第三章網(wǎng)絡隔離技術-物理隔離技術計算機系統(tǒng)與網(wǎng)絡安全技術物理隔離技術為什么需要物理隔離？在網(wǎng)絡環(huán)境下，用戶可能遇到兩個網(wǎng)絡：公網(wǎng)和專網(wǎng)公網(wǎng)是是指公眾網(wǎng)絡，即在不同用戶都可以訪問的網(wǎng)絡（如外部WEB或電子郵件）。公網(wǎng)資源豐富，用戶可以獲得較多信息安全性較差，易遭受網(wǎng)絡攻擊，也易導致機密信息泄露專網(wǎng)是指內部網(wǎng)絡，只有授權用戶才能訪問。專網(wǎng)安全性較高有嚴格的安全管理要求物理隔離技術為什么需要物理隔離？如果用戶在同一時間訪問公網(wǎng)專網(wǎng)，會帶來很多安全隱患用戶訪問公網(wǎng)時易將計算機病毒等帶入專網(wǎng)專網(wǎng)中的機密信息也易泄露到公網(wǎng)上因此，如果因為需要訪問公網(wǎng)和專網(wǎng)，則必須保證用戶在同一時刻只能連接到一個網(wǎng)絡。物理隔離技術物理隔離如何實現(xiàn)？隔離技術：實現(xiàn)兩種或兩種以上服務不能相互訪問的訪問控制技術稱之為隔離技術。隔離一般用來對安全域網(wǎng)絡進行訪問控制。隔離有兩種實現(xiàn)方式：邏輯隔離和物理隔離。物理隔離技術什么是邏輯隔離？邏輯隔離（logicalisolation）是指公共網(wǎng)絡和專網(wǎng)在物理上是有連線的，通過技術手段保證在邏輯上是隔離的網(wǎng)路設備隔離、防火墻隔離等均屬于邏輯隔離由于存在物理連接，因此邏輯隔離很難保證兩種服務之間沒有通信物理隔離技術什么叫物理隔離？物理隔離（physicalisolation）是指處于不同安全域的網(wǎng)絡之間不能以直接或間接的方式相連接。在一個物理網(wǎng)絡環(huán)境中，實施不同安全域的網(wǎng)絡物理斷開，在技術上可確保信息在物理傳導、物理存儲上的斷開。例如，如果公共網(wǎng)絡和專網(wǎng)在網(wǎng)絡物理連線上完全隔離，則二者之間不會有任何公用的存儲信息。物理隔離技術物理隔離必須滿足什么要求？物理隔離的基本技術要求（1）在物理傳導上使內網(wǎng)和外網(wǎng)隔離，確保外部網(wǎng)絡不能通過網(wǎng)絡連接而入侵內部網(wǎng)絡，同時防止內部網(wǎng)絡的信息通過網(wǎng)絡連接泄露到外部網(wǎng)絡中。（3）內部網(wǎng)絡和外部網(wǎng)絡的接口處應有明確的標識，以防止用戶接錯網(wǎng)絡接口。（2）計算機屏幕上應有當前處于內網(wǎng)還是外網(wǎng)的明顯標識，從而提醒用戶目前所處安全域。物理隔離技術物理隔離必須滿足什么要求？物理隔離的基本技術要求（續(xù)）（4）當從內部網(wǎng)絡切換到外部網(wǎng)絡，或者從外部網(wǎng)路切換到內部網(wǎng)絡時，應重新啟動計算機，以清除內存、處理器等暫存部件殘余信息，防止秘密信息串到外網(wǎng)上。（6）防止內部網(wǎng)絡信息通過電磁輻射泄露到外部網(wǎng)絡上。（5）移動存儲介質未從計算機取出時，不能進行內外網(wǎng)絡切換。物理隔離技術如何實現(xiàn)物理隔離？物理隔離是通過物理隔離部件來實現(xiàn)的物理隔離部件（physicaldisconnectionseparationcomponents）是在物理手段實現(xiàn)不同安全域之間信息斷開的信息安全部件。常見的物理隔離技術包括物理斷開、單向隔離、網(wǎng)閘隔離等。從物理位置來看，隔離部件是處于不同安全域的網(wǎng)絡之間的唯一連接點。物理隔離技術總結在所有的物理隔離中，物理隔離部件必須是處于不同安全域網(wǎng)絡之間的唯一連接點。必須確保不能雙向直接通信結束謝謝！第三章網(wǎng)絡隔離技術-物理斷開技術計算機系統(tǒng)與網(wǎng)絡安全技術物理斷開技術什么叫物理斷開？物理斷開（physicaldisconnection）指處于不同安全域的網(wǎng)絡之間不能以直接或間接的方式相連接。物理隔離通過物理斷開隔離部件（physicaldisconnectionseparationcomponents）來實現(xiàn)。在一個物理網(wǎng)絡環(huán)境中，實施不同安全域的網(wǎng)絡物理斷開，在技術上應確保信息在物理傳導、物理存儲上必須是完全斷開的。所謂物理斷開隔離部件，就是在物理上實現(xiàn)信息物理斷開的信息安全部件，如物理隔離卡。物理斷開技術不同安全域的網(wǎng)絡之間不能以直接或間接的方式相連接。用物理隔離卡來實現(xiàn)的物理斷開物理斷開技術物理斷開的作用對于內部網(wǎng)絡和外部網(wǎng)絡確保在信息物理傳導上使內外網(wǎng)絡隔斷，確保外部網(wǎng)不能通過網(wǎng)絡連接侵入內部網(wǎng)。也可以阻止內部網(wǎng)絡的信息通過網(wǎng)絡連接泄露到外部網(wǎng)絡。物理斷開技術物理斷開的作用（續(xù)）對于內部網(wǎng)絡和外部網(wǎng)絡的存儲設備無法在二者之間進行數(shù)據(jù)交換斷電后會自動逸失信息的存儲部件（如內存、寄存器等），可以在網(wǎng)絡轉換時重啟系統(tǒng)作清零處理斷電后不會自動逸失信息的設備（如硬盤等），內部網(wǎng)絡與外部網(wǎng)絡的信息要以不同存儲設備進行分開存儲。對移動存儲介質（如光盤、軟盤、USB硬盤等），必須確保在網(wǎng)絡轉換前提示用戶取下這些設備。結束謝謝！第三章網(wǎng)絡隔離技術-單向隔離技術計算機系統(tǒng)與網(wǎng)絡安全技術單向隔離技術什么叫單向隔離？單向隔離（unilateralseparation）是由硬件來控制信息交換，實現(xiàn)信息在不同的安全域之間只能單向流動技術。單向隔離通過單向隔離卡（unilateralseparationcomponents）來實現(xiàn)。單向隔離卡就是在物理上實現(xiàn)信息只能從一個安全域流向另外一個安全域的信息安全部件。單向隔離技術單向隔離有什么作用？單向隔離（unilateralseparation）可隔離網(wǎng)絡并控制信息的單向流動通過單向隔離部件連接的不同網(wǎng)絡數(shù)據(jù)流動方向由物理部件控制，且只能按照安全策略規(guī)定的方向流動，而不能反向流動。單向隔離技術單向隔離如何控制數(shù)據(jù)的流向？單項隔離卡只允許數(shù)據(jù)從低高安全等級低的安全域進入安全等級高的安全域。單向隔離確保內外網(wǎng)絡隔斷，確保內部網(wǎng)不能通過網(wǎng)絡連接到外部網(wǎng)保證外部網(wǎng)絡的信息只能通過特定的存儲區(qū)域轉移至內部網(wǎng)絡的存儲區(qū)域從而阻止內部網(wǎng)信息通過網(wǎng)絡連接泄露到外部網(wǎng)。數(shù)據(jù)從外部網(wǎng)絡進入內部網(wǎng)絡特殊存儲區(qū)域對于實現(xiàn)單向隔離極為重要，一般采用斷電非逸失性存儲設備（如存儲卡）。結束謝謝！第三章網(wǎng)絡隔離技術-網(wǎng)閘隔離技術計算機系統(tǒng)與網(wǎng)絡安全技術網(wǎng)閘隔離技術什么叫網(wǎng)閘？網(wǎng)閘（Gap）是位于兩個不同安全域之間，通過協(xié)議轉換的手段，以信息擺渡的方式實現(xiàn)數(shù)據(jù)交換，且只有被系統(tǒng)明確要求傳輸?shù)男畔⒖梢酝ㄟ^。協(xié)議轉換：交換數(shù)據(jù)的格式信息擺渡：交換數(shù)據(jù)的方式

明確要求傳輸：交換數(shù)據(jù)的訪問控制與檢測網(wǎng)閘隔離技術網(wǎng)閘中的協(xié)議轉換技術協(xié)議轉換（ProtocolConversion），就是協(xié)議的剝離和重建過程。（1）在某一安全域的隔離部件將通用協(xié)議數(shù)據(jù)中的應用數(shù)據(jù)剝離出來（2）封裝為系統(tǒng)專用協(xié)議數(shù)據(jù)傳遞到其他安全域（3）將專用協(xié)議數(shù)據(jù)中的應用數(shù)據(jù)剝離，并封裝成需要通用協(xié)議數(shù)據(jù)格式最常用的通用協(xié)議數(shù)據(jù)就是TCP/IP協(xié)議數(shù)據(jù)，而專用協(xié)議數(shù)據(jù)由具體的應用規(guī)定。網(wǎng)閘隔離技術網(wǎng)閘中的信息擺渡技術信息擺渡(InformationFerry)，就是信息交換的一種方式，物理傳輸信道只在傳輸進行時存在。（1）確保內部網(wǎng)絡連接和外部網(wǎng)絡連接無法同時工作。（2）數(shù)據(jù)由內部網(wǎng)絡所在安全域一端傳輸至中間緩存區(qū)域，同時物理斷開中間緩存區(qū)域與內部網(wǎng)絡所在安全域的連接。（3）接通中間緩存區(qū)域與外部網(wǎng)絡所在安全域的傳輸信道，連接外部網(wǎng)絡并獲得相應數(shù)據(jù)。（4）將數(shù)據(jù)傳輸至中間緩存區(qū)域，斷開外部鏈接。（5）重新連接內部網(wǎng)絡連接，從中間緩存區(qū)域獲得相應數(shù)據(jù)。網(wǎng)閘隔離技術網(wǎng)閘如何實現(xiàn)隔離？網(wǎng)閘通過控制網(wǎng)絡連接和數(shù)據(jù)存放實現(xiàn)網(wǎng)絡隔離在任一時刻，中間緩存區(qū)域只能夠與一個安全域相連。網(wǎng)閘可以對內外網(wǎng)數(shù)據(jù)傳輸鏈路進行物理上的時分切換，即內外網(wǎng)絡在物理鏈路上不能同時與中間交換單元連通。網(wǎng)閘隔離技術什么樣的數(shù)據(jù)可以通過網(wǎng)閘？網(wǎng)閘僅允許符合安全策略的數(shù)據(jù)通過中間緩存區(qū)域進入內部網(wǎng)絡。根據(jù)數(shù)據(jù)包的特征制定訪問控制策略，從而允許或拒絕相應的數(shù)據(jù)包進入內部網(wǎng)絡。網(wǎng)閘可以根據(jù)數(shù)據(jù)包中的源IP、目的IP、源端口號、目的端口號、應用層協(xié)議、應用層關鍵字等來制定安全策略，從而提供明確的訪問保障能力和拒絕訪問能力網(wǎng)閘隔離技術網(wǎng)閘聯(lián)絡網(wǎng)絡的示意圖網(wǎng)閘隔離技術網(wǎng)閘如何工作？網(wǎng)閘的工作原理和工作過程：以HTTP為例（1）管理員通過設置網(wǎng)閘的安全參數(shù)，允許用戶訪問外部HTTP服務。（2）當用戶試圖通過網(wǎng)閘訪問外部HTTP服務時，網(wǎng)閘查詢本地安全策略確認是否有訪問權限，如果沒有則拒絕訪問。（3）如果用戶具有訪問外部HTTP的權限，網(wǎng)閘將用戶的HTTP協(xié)議數(shù)據(jù)封裝為網(wǎng)閘專用協(xié)議數(shù)據(jù)后，發(fā)送至中間緩存區(qū)。（4）網(wǎng)閘斷開與內部網(wǎng)絡的連接，從中間緩存區(qū)取出數(shù)據(jù)并按照預先設定的專用協(xié)議數(shù)據(jù)進行協(xié)議剝離，得到HTTP數(shù)據(jù)。網(wǎng)閘隔離技術網(wǎng)閘如何工作（續(xù)）網(wǎng)閘的工作原理和工作過程：以HTTP為例（續(xù)）（5）網(wǎng)閘建立與外部網(wǎng)絡的連接，通過訪問外部網(wǎng)絡，獲得相應的數(shù)據(jù)。（6）對數(shù)據(jù)進行安全檢查，如果符合安全策略則封裝為專用協(xié)議數(shù)據(jù)暫存到中間緩存區(qū)。（7）網(wǎng)閘斷開與外部網(wǎng)絡的，用戶從暫存緩沖區(qū)中取出專用協(xié)議數(shù)據(jù)，通過協(xié)議剝離得到HTTP通用協(xié)議數(shù)據(jù)。結束謝謝！第三章網(wǎng)絡隔離技術-網(wǎng)絡地址轉換技術計算機系統(tǒng)與網(wǎng)絡安全技術網(wǎng)絡地址轉換技術私有IP地址無法訪問互聯(lián)網(wǎng)InternetIntranetPrivateIPPrivateIP網(wǎng)絡地址轉換技術內部使用的私有IP必須轉換成合法IP地址InternetIntranetPrivateIPPublicIP30網(wǎng)絡地址轉換（NAT：NetworkAddressTranslation）是一種將一個或多個IP地址轉換為另外一個IP或多個地址的技術。一般來說，NAT技術主要是將主機的內部私有IP地址轉換為外部合法的IP地址，從而解決IP地址資源缺乏提供了一種技術手段。網(wǎng)絡地址轉換技術內部使用的私有IP必須轉換成合法IP地址實現(xiàn)了NAT功能的設備叫做NAT設備。NAT功能也通常被集成到路由器、防火墻等安全設備中。為了實現(xiàn)NAT轉換，NAT設備維護一個NAT映射表，用來配置或記錄非法的IP地址到合法的IP地址之間的映射關系。當內部數(shù)據(jù)包通過NAT設備時，NAT設備通過查詢轉換表，將IP包中的內部IP地址替換為外部IP地址。同樣，當收到外部數(shù)據(jù)包時，將IP地址替換為原來的IP地址。網(wǎng)絡地址轉換技術交換機port:5133port:5134port:5120路由器(NAT)Internet3:51333:51343:5120NAT的映射表網(wǎng)絡地址轉換技術如何實現(xiàn)網(wǎng)絡地址轉換？常規(guī)網(wǎng)絡地址轉換所依賴的轉換：IP報頭中的IP地址。TCP報頭中的TCP端口號。UDP報頭中的UDP端口號。網(wǎng)絡地址轉換技術網(wǎng)絡地址轉換的三種具體方法NAT有三種類型：靜態(tài)NAT（StaticNAT)動態(tài)NAT(DynamicNAT)端口轉換NAT(PortlevelNAT)網(wǎng)絡地址轉換技術NAT的作用解決了IP地址資源不足的問題：利用NAT可以超越地址的限制，合理地安排網(wǎng)絡中的公有Internet地址和私有IP地址的使用隱藏：把個別IP地址隱藏起來不被外界發(fā)現(xiàn)，使外界無法直接訪問內部網(wǎng)絡設備網(wǎng)絡地址轉換技術作用網(wǎng)絡地址轉換技術由于NAT轉換需要對IP包進行處理，因此對NAT設備和網(wǎng)絡延遲有一定影響。如果NAT功能用專用硬件設備完成，對于一般的網(wǎng)絡來說，這種影響非常小。由于NAT破壞了網(wǎng)絡的透明性，因此使得很多使用私有IP地址的主機之間無法直接通信。NA帶來的影響NAT穿越可以解決對等計算中節(jié)點之間無法直接通信的問題結束謝謝！第三章網(wǎng)絡隔離技術-靜態(tài)網(wǎng)絡地址轉換技術計算機系統(tǒng)與網(wǎng)絡安全技術靜態(tài)網(wǎng)絡地址轉換技術什么叫靜態(tài)NAT？靜態(tài)NAT內部每個非法IP地址被固定地映射為外部的某個合法IP地址非法IP地址和合法IP地址地綁定是事先配置好的內部網(wǎng)絡中的每個主機都被永久映射成外部網(wǎng)絡中的某個合法的地址靜態(tài)網(wǎng)絡地址轉換技術靜態(tài)NAT的特點是，一個內部IP地址對于一個外部IP地址，是“一對一”的關系。靜態(tài)轉換的特點靜態(tài)網(wǎng)絡地址轉換技術靜態(tài)轉換中的出站數(shù)據(jù)包處理過程InternetIntranetPrivateIPPublicIPX.X.X.1X.X.X.2X.X.X.3X.X.X.1IP池靜態(tài)網(wǎng)絡地址轉換技術靜態(tài)轉換中的入站數(shù)據(jù)包處理過程InternetIntranetPrivateIPPublicIPX.X.X.1X.X.X.2X.X.X.3X.X.X.1IP池靜態(tài)網(wǎng)絡地址轉換技術靜態(tài)轉換的執(zhí)行過程（1）管理員配置NAT映射表，確定內部IP地址和外部IP地址的映射關系。（2）當內部主機的數(shù)據(jù)包到達NAT設備時，NAT設備查詢NAT映射表，找到該IP包中源IP地址所對應的轉換地址。（3）將IP包中的源IP地址替換為轉換地址后發(fā)送到互聯(lián)網(wǎng)上的目的主機。（4）當外部主機的數(shù)據(jù)包到達NAT設備時，依據(jù)該數(shù)據(jù)包中的目的IP地址查詢NAT映射表，找到該IP包中目的IP地址所對應的內部地址。

（5）將IP包中的目的IP地址替換為對應的內部地址后發(fā)送給內部網(wǎng)絡中的目的主機。靜態(tài)網(wǎng)絡地址轉換技術靜態(tài)轉換的優(yōu)點（1）實現(xiàn)簡單，管理也容易。（2）由于內部IP地址和外部IP地址是一對一的固定映射關系，也可以實現(xiàn)外部網(wǎng)絡對內部網(wǎng)絡中某些特定服務器的訪問靜態(tài)網(wǎng)絡地址轉換技術靜態(tài)轉換的缺點（1）由于內部主機被固定映射到預定的IP地址，特定的某個私有IP地址只轉換為特定外部公有IP地址，因攻擊者可以通過觀測轉換后的IP包，了解內部網(wǎng)絡的狀態(tài)信息（2）當內部網(wǎng)絡使用了動態(tài)主機配置協(xié)議時（DHCP：DynamicHostConfigurationProtocol），靜態(tài)NAT無法為特定主機提供地址轉換服務。結束謝謝！第三章網(wǎng)絡隔離技術-動態(tài)網(wǎng)絡地址轉換技術計算機系統(tǒng)與網(wǎng)絡安全技術動態(tài)網(wǎng)絡地址轉換技術什么叫動態(tài)NAT？動態(tài)NAT內部每個非法IP地址被臨時地映射為外部的某個合法IP地址非法IP地址和合法IP地址的綁定是動態(tài)變化的動態(tài)網(wǎng)絡地址轉換技術動態(tài)NAT的特點動態(tài)NAT的特點是，一個內部IP地址可能在不同的時間對應不同的外部IP地址，而同一個外部IP地址在不同的時間也可能對應不同的內部IP地址，是“多對多”的關系。動態(tài)網(wǎng)絡地址轉換技術動態(tài)NAT中的出站數(shù)據(jù)包處理過程InternetIntranetPrivateIPPublicIPIP池X.X.X.1-10X.X.X.1臨時表X.X.X.1動態(tài)網(wǎng)絡地址轉換技術動態(tài)NAT中入站數(shù)據(jù)包處理過程InternetIntranetPrivateIPPublicIPIP池臨時表X.X.X.1X.X.X.1動態(tài)網(wǎng)絡地址轉換技術動態(tài)NAT的數(shù)據(jù)包處理全過程（1）管理員配置可用的外部IP地址資源池。（2）當內部主機的數(shù)據(jù)包到達NAT設備時，NAT設備從可用的IP資源池中隨機分配一個IP地址給該內部主機，并將該主機內部IP地址和分配的IP地址的映射關系寫入NAT映射表。（3）將收到的IP包中的源IP地址替換為該轉換地址后發(fā)送到互聯(lián)網(wǎng)上的目的主機。（4）當外部主機的數(shù)據(jù)包到達NAT設備時，依據(jù)該數(shù)據(jù)包中的目的IP地址，查詢NAT映射表，找到該IP包中目的IP地址所對應的內部地址（5）將收到的IP包中的目的IP地址替換為該內部地址后發(fā)送給內部網(wǎng)絡中的目的主機。動態(tài)網(wǎng)絡地址轉換技術動態(tài)NAT的優(yōu)點（1）內部IP地址和外部IP地址之間的映射動態(tài)變換，可以很好地隱藏內部網(wǎng)絡的信息。（2）動態(tài)NAT也非常適合于需要頻繁建立網(wǎng)絡連接的應用（如撥號服務）即在接入是動態(tài)分配IP地址，而在用戶斷開連接是回收IP地址，從而提高了IP地址的有效使用率。動態(tài)網(wǎng)絡地址轉換技術動態(tài)NAT的缺點（1）由于內部和外部IP地址的映射動態(tài)變化，因此對于需要利用IP地址進行安全管理（如訪問控制）的應用帶來了困難。（2）由于動態(tài)NAT一般采用“先來先得”的原則分配IP因此當有緊急業(yè)務需要使用IP地址時，可能會由于其他應用已經占有了所有IP地址而不能滿足請求結束謝謝！第三章網(wǎng)絡隔離技術-端口轉換網(wǎng)絡地址轉換技術計算機系統(tǒng)與網(wǎng)絡安全技術端口轉換網(wǎng)絡地址轉換技術什么叫端口端口（Port）在TCP/IP協(xié)議中，端口是用來區(qū)分服務的方法。比如，端口號為80，往往對應WEB服務。端口轉換網(wǎng)絡地址轉換技術什么叫端口映射NAT？端口轉換NAT（NATP）端口轉換NAT是將內部主機的IP地址映射為外部IP地址和一個特定端口號的技術。NAPT與動態(tài)NAT不同，它將內部連接映射到外部網(wǎng)絡中的一個單獨的IP地址上，同時在該地址上加上一個由NAT設備選定的TCP或UDP端口號將中小型的網(wǎng)絡隱藏在一個合法的IP地址后面端口轉換網(wǎng)絡地址轉換技術端口映射NAT實例例如，外網(wǎng)地這個外網(wǎng)地址其1025~65535的端口（一般來說1024以下端口保留）可以對應/16的地址塊即多個內網(wǎng)IP地址復用同一個IP地址來訪問Internet。當內部主機的數(shù)據(jù)包通過NAT設備時，NAT設備為其隨機分配一個端口號即將該內部主機視為NAT對外提供的一種服務根據(jù)端口號，雖然IP地址相同，但也可以區(qū)分不同的主機。端口轉換網(wǎng)絡地址轉換技術端口轉換NAT的特點是，一個內部IP地址與一個外部IP地址的一個端口對應，即一個IP地址的多個端口對應內部的一個IP地址，是“一對多”的關系。端口轉換NAT的特點端口轉換網(wǎng)絡地址轉換技術端口映射NAT中的出站數(shù)據(jù)包處理過程InternetIntranetPrivateIPPublicIP(,1025)-(TCP)-(Y.Y.Y.Y,80)(X.X.X.X,80)-(TCP)-(Y.Y.Y.Y,80)(,1025)-(TCP)-(Y.Y.Y.Y,80)(X.X.X.X,80)-(TCP)-(Y.Y.Y.Y80)y.y.y.y:80端口轉換網(wǎng)絡地址轉換技術端口映射NAT中的出站數(shù)據(jù)包處理過程InternetIntranetPrivateIPPublicIP(,1035)-(TCP)-(Y.Y.Y.Y,80)(X.X.X.X,6666)-(TCP)-(Y.Y.Y.Y,80)(,1025)-(TCP)-(Y.Y.Y.Y,80)(X.X.X.X,80)-(TCP)-(Y.Y.Y.Y80)(,1035)-(TCP)-(Y.Y.Y.Y,80)(X.X.X.X,6666)-(TCP)-(Y.Y.Y.Y80)y.y.y.y:80端口轉換網(wǎng)絡地址轉換技術端口映射NAT中的入站數(shù)據(jù)包處理過程2025/8/9InternetIntranetPrivateIPPublicIP(Y.Y.Y.Y,80)-(TCP)-(X.X.X.X,80)(,1025)-(TCP)-(Y.Y.Y.Y,80)(X.X.X.X,80)-(TCP)-(Y.Y.Y.Y80)(Y.Y.Y.Y,1025)-(TCP)-(X.X.X.X,1025)(,1035)-(TCP)-(Y.Y.Y.Y,80)(X.X.X.X,6666)-(TCP)-(Y.Y.Y.Y80)y.y.y.y:80端口轉換網(wǎng)絡地址轉換技術端口轉換NAT的全過程（1）管理員配置外部IP地址。（2）當內部主機的數(shù)據(jù)包到達NAT設備時，NAT設備為該主機分配外部可用IP地址和一個隨機分配一個未使用的端口號，并將內部主機所使用的傳輸層協(xié)議、內部主機的地址、分配的外部IP地址及端口號之間的映射關系將寫入本地的NAT映射表。（3）將收到的IP包中的源IP地址和源端口替換為轉換后的IP地址和端口后發(fā)送到互聯(lián)網(wǎng)上的目的主機。（4）當外部主機的數(shù)據(jù)包到達NAT設備時，依據(jù)該數(shù)據(jù)包中的目的IP地址、目的端口以及傳輸層協(xié)議，查詢NAT映射表，找到對應的內部地址和端口（5）將收到的IP包中的目的IP地址和目的端口替換為該內部地址和端口后發(fā)送給內部網(wǎng)絡中的目的主機。端口轉換網(wǎng)絡地址轉換技術端口映射NAT在端口轉換中端口是不是一定要隨機分配？端口映射采用端口NAT設備在分配端口時，不是隨機分配，而是采用內部主機的端口作為分配端口。映射方式的好處在于內部主機可以通過固定端口向外部用戶提供特定服務。端口轉換網(wǎng)絡地址轉換技術端口映射轉換例如，內網(wǎng)提供WEB服務的服務器IP地址為：80（服務端口80）NAT設備進行端口映射后，假如映射為81:80，即建立了固定的端口映射表:80<——>81:80。外網(wǎng)用戶可以通過http://81的方式即可訪問到提供的WEB服務。實際上是http://81:80，http協(xié)議默認將使用80端口端口轉換網(wǎng)絡地址轉換技術端口轉換NAT的優(yōu)點（1）可以將中小型的網(wǎng)絡隱藏在一個合法的IP地址后面，可以減少上網(wǎng)費用，而不僅節(jié)約