计算机技术与网络安全研究
             Computer Technology and Cyber Security Research



                 在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将
            外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口
            通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外
            部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只
            是通过一个开放的 IP 地址和端口来请求访问。NAT 防火墙根据预先定义好的映

            射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可
            以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则
            时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。

            网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进
            行常规操作即可。
                 （三）应用层（Application Layer Gateways）防火墙
                 应用层网关是在网络应用层上建立协议过滤和转发功能。它针对特定网络
            应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的

            分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。
                 数据包过滤和应用层网关防火墙有一个共同的特点，就是她们仅仅依靠特
            定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统

            建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运
            行状态，这有利于实施非法访问和攻击。
                 （四）代理服务型（Proxy Service）防火墙
                 代理服务型防火墙通常是由两部分构成，服务器端程序和客户端程序与中
            间节点连接，中间节点再与要访问的外部服务器实际连接。与包过滤防火墙不同

            的是，内部网与外部网之间不存在直接的连接，同时提供日志（Log）及审计（Audit）
            服务。
                 （五）监测型防火墙

                 监测型防火墙是新一代的产品，这一技术实际已经超越了最初的防火墙定
            义。监测型防火墙能够对各层的数据进行主动地、实时地监测，在对这些数据加
            以分析的基础上，监测型防火墙能够有效地判断出各层中的非法侵入。同时，这
            种检测型防火墙产品一般还带有分布式探测器，这些探测器安置在各种应用服务
            器和其他网络的节点之中，不仅能够检测来自网络外部的攻击，同时对来自内部

            的恶意破坏也有极强的防范作用。据权威机构统计，在针对网络系统的攻击中，


             176
             176