關于防火墻

防火墻，其實就是用于實現(xiàn)Linux下訪問控制的功能的，它分為硬件和軟件防火墻兩種。無論是在哪個網絡中，防火墻工作的地方一定是在網絡的邊緣。而我們的任務就是需要去定義到底防火墻如何工作，這就是防火墻的策略、規(guī)則，以達到讓它對出入網絡的IP、數(shù)據進行檢測。

目前市面上比較常見的有三、四層的防火墻，叫做網絡層的防火墻，還有七層的防火墻，其實是代理層的網關。對于TCP/IP的七層模型來講，我們知道第三層是網絡層，三層的防火墻會在這層對源地址和目標地址進行檢測。但對于七層的防火墻，不管你源端口或者目標端口，源地址或者目標地址是什么，都將對你所有的東西進行檢查。所以，對于設計原理來講，七層防火墻更加安全，但是這卻帶來了效率更低。所以市面上通常的防火墻方案，都是兩者相互結合的。

NAT

網絡地址轉換（Network Address Translation）簡稱為NAT，是將IP數(shù)據包包頭中的IP地址轉換為另一個IP地址。當IP數(shù)據包通過設備時，設備會把IP數(shù)據包的源IP地址和/或者目的IP地址進行轉換。在實際應用中，NAT主要用于私有網絡訪問外部網絡或外部網絡訪問私有網絡的情況。

要設置一個服務器防火墻，就要使用規(guī)則，每個規(guī)則指定在包中與什么匹配，以及對包執(zhí)行什么操作。

NAT的基本轉換過程

設備執(zhí)行NAT功能時，處于公有網絡和私有網絡的連接處。下圖描述了NAT的基本轉換過程：

如上圖所示，設備處于私有網絡和公有網絡的連接處。當內部PC（10.1.1.2）向外部服務器（202.1.1.2）發(fā)送一個IP包時，IP包將通過設備。設備查看包頭內容，發(fā)現(xiàn)該IP包是發(fā)向公有網絡的，然后它將IP包1的源地址10.1.1.2換成一個可以在Internet上選路的公有地址202.1.1.1，并將該IP包發(fā)送到外部服務器，與此同時，設備還在網絡地址轉換表中記錄這一映射。外部服務器給內部PC發(fā)送IP包1的應答報文（其初始目的地址為202.1.1.1），到達設備后，設備再次查看包頭內容，然后查找當前網絡地址轉換表的記錄，用內部PC的私有地址10.1.1.2替換目的地址。這個過程中，設備對PC和Server來說是透明的。對外部服務器來說，它認為內部PC的地址就是202.1.1.1，并不知道10.1.1.2這個地址。因此，NAT“隱藏”了企業(yè)的私有網絡。

設備的NAT功能

設備的NAT功能將內部網絡主機的IP地址和端口替換為設備外部網絡的地址和端口，以及將設備的外部網絡地址和端口轉換為內部網絡主機的IP地址和端口。也就是“私有地址+端口”與“公有地址+端口”之間的轉換。

設備通過創(chuàng)建并執(zhí)行NAT規(guī)則來實現(xiàn)NAT功能。NAT規(guī)則有兩類，分別為源NAT規(guī)則（SNAT Rule）和目的NAT規(guī)則（DNAT Rule）。SNAT轉換源IP地址，從而隱藏內部IP地址或者分享有限的IP地址；DNAT轉換目的IP地址，通常是將受設備保護的內部服務器（如WWW服務器或者SMTP服務器）的IP地址轉換成公網IP地址。

結語

以上就是防火墻的NAT介紹！

天下數(shù)據Web應用防火墻（云WAF）是基于 AI 引擎的一站式 Web 業(yè)務運營風險防護方案，幫助用戶應對網站入侵，漏洞利用，掛馬，篡改，后門，爬蟲Bot，域名劫持等安全問題，為組織網站及Web業(yè)務安全運營保駕護航。詳詢天下數(shù)據客服400-6388-808。

本文鏈接：http://m.51huadong.com/cloundnews/11003626.html