搜索
第十四章将INTRANET连入INTERNET网络INTERNET是一个全球互联公共网络。INTRANET则是利用INTERNET技术所组建的内部专用网络。私有公共安全问题连接技术问题一:INTERNET与INTRANET应如何连接私有与公共网络互联需要考虑安全、效率、共享等因素1、通过路由器路由器提供路由功能,内网需采用合法的公用地址。如:校园网、ISP供应商网络2、通过防火墙防火墙起到是一个安全检查的作用,允许或拒绝通过。3、使用代理服务器INTRANET和INTERNET不能直接通信,而是采用代理的方式互联。要求INTRANET有合法的私有IP地址。4、通过NAT服务器NAT是地址转换服务器,作用是将INTRANET的私有IP地址,转换之后才与INTERNET进行通信。也被称为转换路由器在实际应用当中,有很多情况都是将这几种连接方式组合使用,以实现更加安全、可靠快速的通信环境。如:路由器互联、加入防火墙和NAT地址转换。问题二:连如INTERNET的接入方式1、永久性的连入INTERNET,固定连接比如:专线、ETHERNET、光缆2、拨号连接入INTERNETADSL、MODEM、ISDN等二、防火墙介绍在安全与不安全之间形成一道屏障,对所有经过的数据进行检测、分析、限制操作,对访问用户身份进行验证目的就是确保受保护区域内的网络安全。1、防火墙的功能:过滤不安全的服务和非法用户控制对特殊站点的访问监视网络访问,提供安全预警当然,对于有些情况下防火墙也是无能为力的,如:内部攻击、病毒文件的传递等等。根据不同的网络,不同的防范要求所形成的防范对策,不同的连接方式和功能上对防火墙的要求也都不一样,所以还需要了解防火墙的类型。2、防火墙的类型,保护网络的方法各不一样包过滤型防火墙属于网络级,分静态和动态包过滤。(1)静态包滤级对每个数据包的包头与某一条包过滤规则相比对,拒绝或丢弃。例如:可以允许用户进行HTTP访问,拒绝FTP访问。(2)动态包过滤根据实际需要,为特定的应用打开所需端口,在通信结束时可自动关闭,降低了暴露端口的数量,提供了更高的安全性。问题:静态包过滤和动态包过滤的区别?动态包过滤只能控制TCP/UDP协议的应用程序,而静态包过滤能控制所有的IP协议(TCP/UDP,ICMP)。缺点:是基于低层的检测,不能了理解网络层以上的高层网络协议。电路网关型工作在会话层,建立了两条TCP连接,并不进行任何附加的包处理或过滤。它也不允许内部主机与外部之间进行直接的TCP连接,需要通过电路网关中继。内部外网电路网关中继应用网关相当于代理服务器,工作在应用级的防火墙。状态检测,包检测防火墙应工作在网络层以上,层次越低,安全性越差,兼容性越好,系统开销越小,如包过滤;反之,层次越高,安全性越好,系统开销越大,如应用网关3、常见的防火墙(1)双宿主机网关(堡垒主机)如图14.5,一台主机、两块网卡、一边连内网、一边连入外网。该主机上安装有防火墙软件或代理服务。主机网关是重点(2)屏蔽主机网关分单宿堡垒(单网卡)、双宿堡垒主机(双网卡)见图14.6,单宿主在路由器上设定过滤规则,使堡垒主机成为INTERNET唯一可以访问的主机,而内部的客户机通过屏蔽主机和路由器来访问INTERNET。双宿主,两块网卡,他其实是提供了代理服务,将包过滤与代理服务相结合,比单宿主更安全。(3)屏蔽子网,非军事区DMZ它建立了一个内网与外网想隔离的一个子网。在这个子网中安装了应用服务器,用于发布公共服务。内部主机通过DMZ中的代理主机来上INTERNET,而在INTERNET中的外部主机只能访问到DMZ中用来发布公用信息的服务器,内网是无法访问的。三宿主主机网关,见图14.9