|
|
|
|
|
|
|
|
方面,NAT技术通过在网关上对进出IP包源与目的地址的转换,实现过滤规则的动态化。这样,由于IP层将内部网与外部网隔离开,使得内部网的拓扑结构、域名以及地址信息对外成为不可见或不确定信息,从而保证了内部网中主机的隐蔽性,使绝大多数攻击性的试探失去所需的网络条件。
系统设计
图1给出了本防火墙系统的总体结构模型,由五大模块组成。
图1 防火墙系统结构模型
NAT模块依据一定的规则,对所有出入的数据包进行源与目的地址识别,并将由内向外的数据包中源地址替换成一个真实地址,而将由外向内的数据包中的目的地址替换成相应的虚拟地址。
集中访问控制(CAC)模块负责响应所有指定的由外向内的服务访问,通知认证访问控制系统实施安全鉴别,为合法用户建立相应的连接,并将这一连接的相关信息传递给NAT模块,保证在后续的报文传输时直接转发而无需控制模块干预。
临时访问端口表及连接控制(TLTC)模块通过监视外向型连接的端口数据动态维护一张临时端口表,记录所有由内向外的连接的源与目的端口信息,根据此表及预先配置好的协议集由连接控制模块决定哪些连接是允许的而哪些是不允许的,即根据所制定的规则(安全政策)禁页码:[1] [2] [3] [4] [5] [6] [7] 第3页、共7页 |
|
|
|
|
设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明
Copyriht 2007 - 2008 © 科普之友 All right reserved |
