CheckPoint FireWall-1防火墙技术(4) 静态模式(Static Mode)该方式分为静态源模式与静态目的模式。静态源模式把非法的IP地址翻译成合法的IP地址,在具有非法地址的内部客户机发起的连接时采用该模式。源模式可以保证内部主机具有唯一的、确定的合法IP地址,常同静态目的模式一起使用。静态目的模式把合法地址翻译成非法地址,用于由外部客户端发起的连接。因内部网络中的服务器采用非法的IP地址,为了保证从外部进入内部网络的数据包能正确地到达目的地,在这种情况下需采用静态目的模式。静态目的模式经常同静态源模式一起使用。另外,在实现地址翻译时,需要重新配置网关中的路由表,以确保数据包能到达防火墙网关及网关能正确地把包传送给内部主机。IANA建议因为IP地址空间的限制,IANA为私用网络保留了以下三块地址空间,这些地址永远不会在Internet合法地址中出现,允许企业自由采用(参见下表)。 Class from IP address to IP address A 10.0.0.0 10.255.255.255 B 172.16.0.0 172.31.255.255 C 192.168.0.0 192.168.255.255企业在建设Intranet时应采用IANA为私用网预留的IP地址空间,如果内部网络的非法IP地址与外部主机的IP地址相同,则在这两台主机间就无法进行通讯,因为地址翻译是在网关的外部接口中进行的,故发送主机本身会直接把数据包返回给源主机,数据包根本到达不了防火墙网关。8.负载均衡(Load Balance)FireWall-1负载均衡特性能使提供相同服务的多个服务器之间实现负载分担。所有的HTTP服务器都可以为HTTP客户机提供相同的服务,另外不要求所有的服务器都在防火墙之后。同样,其中的FTP服务器也可以对所有的FTP客户机提供相同的服务。FireWall-1提供以下负载均衡算法:--ServerLoad该方法由服务器提供负载均衡算法。需要在服务器端安装负载测量引擎--RoundTripFireWall-1利用PING命令测定防火墙到各个服务器之间的循回时间,选用循回时间最小者响应用户请求--RoundRobinFireWall-1根据其记录表中的情况,简单的制定下一个服务器作为响应--RandomFireWall-1随机选取防火墙响应--DomainFireWall-1按照域名最近的原则,指定最近的服务器响应9.日志、报警、记帐能力FireWall-1可以对用户在网络中的活动情况进行记录,如对用户入退网时间、传送的字节数、传送的包数量等进行记录。同时FireWall-1提供实时的报警功能,报警方式可以是通知系统管理员、发送E-mail,发送SNMP报警,如接寻呼机等。FireWall-1允许记帐处理。一旦定义了记帐功能后,FireWall-1在通常的记录字段信息外,还记录用户连接的持续时间,传送的字节数、包数量,系统管理员可以用命令生成记帐报表,也可以通过FireWall-1的另外模块实现其数据库式的全网络内部的用户管理。
