问答题
[说明]
建立企业的Internet时,经常遇到的问题是:IP地址的申请、网络安全、网站的建立和维护,请就这些问题进行回答。
建立企业的Internet时,经常遇到的问题是:IP地址的申请、网络安全、网站的建立和维护,请就这些问题进行回答。
问答题
当我们申请不到很多合法的IP时,如何分配IP使得单位对外开放的服务器和内部的PC终端能够上网?
【正确答案】PC用内部IP,对外开放的服务器使用合法的IP,然后在路由器上采用NAT技术。
【答案解析】
问答题
要使内部网的PC访问Internet,请给出两种解决方案。
【正确答案】NAT的实现方式有3种,即静态转换和端口多路复用。其中,根据实际情况采用动态转换和端口多路复用。
【答案解析】网络地址转换(Network Address Traslation,NAT)被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT不仅完美地解决了IP地址不足的问题,而且还能有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。虽然NAT可以借助于某些代理服务器来实现(常见的代理服务器软件有WinGate、SyGate、Cproxy、uoerProxy等),但考虑到运算成本和网络性能,很多时候都是在路由器上实现的。
借助于NAT,私有(保留)地址的内部网络通过路由器发送数据包时,私有地址被转换成合法的IP地址,一个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。具体情况如图1-11所示。
NAT的实现方式有3种,即静态转换、动态转换和端口多路复用。
静态转换是指将内部网络的私有IP地址转换为公有IP地址时,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。
动态转换是指将内部网络的私有IP地址转换为公有IP地址时,IP地址对是不确定的、随机的,所有被授权访问Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时,可以采用动态转换的方式。
借助于NAT,私有(保留)地址的内部网络通过路由器发送数据包时,私有地址被转换成合法的IP地址,一个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。具体情况如图1-11所示。
NAT的实现方式有3种,即静态转换、动态转换和端口多路复用。
静态转换是指将内部网络的私有IP地址转换为公有IP地址时,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。
动态转换是指将内部网络的私有IP地址转换为公有IP地址时,IP地址对是不确定的、随机的,所有被授权访问Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时,可以采用动态转换的方式。
问答题
防火墙实现原理有多种不同的技术,请分析各自的特点。
【正确答案】有包过滤、应用网关和状态检测等防火墙。包过滤防火墙是一种简单的三层过滤技术;应用网关防火墙是工作在高层的防火墙技术,特定的应用程序必须安装相应的代理程序;状态检测防火墙又称为动态包过滤防火墙,它动态跟踪包的状态。
【答案解析】防火墙根据实现原理可分为包过滤防火墙、应用网关防火墙和状态检测防火墙。
(1)包过滤防火墙。包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如IP地址等,这里的“包”是指IP包。包过滤防火墙的工作原理是:系统在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客攻破,如图1-12所示。
(2)应用网关防火墙。应用网关防火墙也称为应用代理防火墙,它检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。然而,应用网关防火墙是通过打破客户机/服务器模式来实现的。每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。所以,应用网关防火墙具有可伸缩性差的缺点,如图1-13所示。
(3)状态检测防火墙。状态检测防火墙也称为线路过滤防火墙,它基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考查进出网络的数据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个事件来处理。可以这样说,状态检测防火墙规范了网络层和传输层行为,而应用代理型防火墙则是规范了特定的应用协议上的行为,如图1-14所示。
(1)包过滤防火墙。包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如IP地址等,这里的“包”是指IP包。包过滤防火墙的工作原理是:系统在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客攻破,如图1-12所示。
(2)应用网关防火墙。应用网关防火墙也称为应用代理防火墙,它检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。然而,应用网关防火墙是通过打破客户机/服务器模式来实现的。每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。所以,应用网关防火墙具有可伸缩性差的缺点,如图1-13所示。
(3)状态检测防火墙。状态检测防火墙也称为线路过滤防火墙,它基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考查进出网络的数据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个事件来处理。可以这样说,状态检测防火墙规范了网络层和传输层行为,而应用代理型防火墙则是规范了特定的应用协议上的行为,如图1-14所示。