目前沒有設備可以完全替代防火墻，如果對網絡安全要求不高且經費有限的情況下可以使用帶有ACL功能的三層交換來暫時替代防火墻，但使用該設備不能完全保證網絡不受到攻擊，帶有ACL功能的三層交換機可以設置訪問控制規則，根據設定的條件對接口上的數據包進行過濾，但防火墻不單單只要這一個功能，所以要想保證安全還是使用防火墻。

因為防火墻有以下功能所以沒有設備可以完全替代：

• 包過濾

  包過濾是防火墻所要實現的最基本功能，它可將不符合要求的包過濾掉。包過濾技術已經由原來的靜態包過濾發展到了動態包過濾，靜態包過濾只是在網絡層上對包的地址、端口等信息進行判定控制，而動態包過濾是在所有通信層上對包的狀態進行檢測分析，判斷包是否符合安全要求。動態包過濾技術支持多種協議和應用程序，易擴展、易實現。

• 審計和報警機制

  審計是一種重要的安全措施，用以監控通信行為和完善安全策略，檢查安全漏洞和錯誤配置，并對入侵者起到一定的威懾作用。報警機制是在通信違反相關策略以后，以多種方式如聲音、郵件、電話、手機短信息及時報告給管理人員。防火墻的審計和報警機制在防火墻體系中是很重要的，只有有了審計和報警，管理人員才可能知道網絡是否受到了攻擊。

• 遠程管理

  遠程管理是防火墻管理功能的擴展之一，也是非常實用的功能，防火墻是否具有這種遠程管理功能已成為選擇防火墻產品的重要參考指標之一。使用防火墻的遠程管理功能可以在辦公室直接管理托管在網絡運營部門的防火墻，甚至坐在家中就可以重新調整防火墻的安全規則和策略。

• NAT

  絕大多數防火墻都具有網絡地址轉換（NAT）功能。目前防火墻一般采用雙向NAT，即SNAT和DNAT。SNAT用于對內部網絡地址進行轉換，對外部網絡隱藏內部網絡的結構，使得對內部的攻擊更加困難；并可以節省IP資源，有利于降低成本。DNAT主要用于實現外網主機對內網和DMZ區主機的訪問。

• 代理

  目前代理主要有如下兩種實現方式。分別是透明代理（Transparent proxy）和傳統代理。

• MAC地址與IP地址的綁定

  把MAC地址與IP地址綁定在一起，主要用于防止那些受到控制（不允許訪問外網）的內部用戶通過更換IP地址來訪問外網。

• 流量控制（帶寬管理）和統計分析、流量計費

  流量控制可以分為基于IP地址的控制和基于用戶的控制。基于IP地址的控制是對通過防火墻各個網絡接口的流量進行控制，基于用戶的控制是通過用戶登錄來控制每個用戶的流量，從而防止某些應用或用戶占用過多的資源。并且通過流量控制可以保證重要用戶和重要接口的連接。統計分析是建立在流量控制基礎之上的。一般防火墻通過對基于IP、服務、時間、協議等進行統計，并與管理界面實現掛接，實時或者以統計報表的形式輸出結果。流量計費因此也是非常容易實現的。

• VPN

  在以往的網絡安全產品中，VPN是一個單獨產品，現在大多數廠商把VPN與防火墻捆綁在一起，進一步增強和擴展了防火墻的功能，這也是一種產品整合的趨勢。

訪問控制的策略主要包含如下基本因素：

• 訪問者。應用中支持哪些用戶，定義了用戶的范圍，訪問控制策略中必須要包含訪問者這個基本的要素。

• 目標。策略要保護的是哪些目標，定義了受保護的資源的范圍都要在訪問控制的策略中清楚的指明。

• 動作。應用中限定訪問者可以對目標設施的操作。

• 權限信任源。應用信任什么機構發布的權限信息。

• 訪問規則。訪問者具有什么權限才能夠訪問目標。

WEB應用防護系統也稱為：網站應用級入侵防御系統。英文：Web Application Firewall，簡稱WAF。WAF的一些常見特點如下：

• 異常檢測協議

Web應用防火墻會對HTTP的請求進行異常檢測，拒絕不符合HTTP標準的請求。并且，它也可以只允許HTTP協議的部分選項通過，從而減少攻擊的影響范圍。甚至，一些Web應用防火墻還可以嚴格限定HTTP協議中那些過于松散或未被完全制定的選項。

• 輸入增強的驗證

增強輸入驗證，可以有效防止網頁篡改、信息泄露、木馬植入等惡意網絡入侵行為。從而減小Web服務器被攻擊的可能性。

• 及時補丁

修補Web安全漏洞，是Web應用開發者最頭痛的問題，沒人會知道下一秒有什么樣的漏洞出現，會為Web應用帶來什么樣的危害。WAF可以為我們做這項工作了，只要有全面的漏洞信息WAF能在不到一個小時的時間內屏蔽掉這個漏洞。當然，這種屏蔽掉漏洞的方式不是非常完美的，并且沒有安裝對應的補丁本身就是一種安全威脅，但我們在沒有選擇的情況下，任何保護措施都比沒有保護措施更好。

• 基于規則的保護和基于異常的保護

基于規則的保護可以提供各種Web應用的安全規則，WAF生產商會維護這個規則庫，并時時為其更新。用戶可以按照這些規則對應用進行全方面檢測。還有的產品可以基于合法應用數據建立模型，并以此為依據判斷應用數據的異常。但這需要對用戶企業的應用具有十分透徹的了解才可能做到，可現實中這是十分困難的一件事情。

• 狀態管理

WAF能夠判斷用戶是否是第一次訪問并且將請求重定向到默認登錄頁面并且記錄事件。通過檢測用戶的整個操作行為我們可以更容易識別攻擊。狀態管理模式還能檢測出異常事件（比如登陸失敗），并且在達到極限值時進行處理。這對暴力攻擊的識別和響應是十分有利的。

• 其他防護技術

WAF還有一些安全增強的功能，可以用來解決WEB程序員過分信任輸入數據帶來的問題。比如：隱藏表單域保護、抗入侵規避技術、響應監視和信息泄露保護。

攻擊RPC漏洞其實就是攻擊DCOM接口。DCOM(分布式組件對象模型,分布式組件對象模式)是一系列微軟的概念和程序接口，利用這個接口，客戶端程序對象能夠請求來自網絡中另一臺計算機上的服務器程序對象。

DComRpc接口漏洞對Windows操作系統乃至整個網絡安全的影響，可以說超過了以往任何一個系統漏洞。其主要原因是DCOM是目前幾乎各種版本的Windows系統的基礎組件，應用比較廣泛。

RPC服務遠程可以說是Windows系統中最為嚴重的一個系統，下面介紹幾個RPC服務遠程的防御方法，以使自己的計算機或系統處于相對安全的狀態。

1、及時為系統打補丁

防御系統出現最直接、有效的方法是打補丁，對于RPC服務遠程溢出的防御也是如此。不過在對系統打補丁時，務必要注意補丁相應的系統版本。

2、關閉RPC服務

關閉RPC服務也是防范DcomRpc漏洞攻擊的方法之一，而且效果非常徹底。其具體的方法為：選擇【開始】→【設置】→【控制面板】→【管理工具】選項，在打開的【管理工具】窗口中雙擊【服務】圖標，打開【服務】窗口。在其中雙擊【Remote Procedure Call】服務項，打開其屬性窗口。在屬性窗口中將啟動類型設置為【禁用】，這樣自下次開機開始RPC將不再啟動。

另外，還可以在注冊表編輯器中將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs的Start的值由4變成2，重新啟動計算機。

不過，進行這種設置后，將會給的運行帶來很大的影響。如：從登錄系統到顯示桌面畫畫，要等待相當長的時間。這是因為的很多服務都依賴于RPC，因此，在將RPC設置為無效后，這些服務將無法正常啟動。所以，這種方式的弊端非常大，一般不能采取關閉RPC服務。

3、手動為計算機啟用（或禁用）DCOM

針對具體的RPC服務組件，用戶還可以采用具體的方法進行防御。例如禁用RPC服務組件中的DCOM服務。可以采用如下方式進行，這里以操作系統為例，其具體的操作步驟如下。

步驟1選擇【開始】→【運行】選項，打開【運行】對話框，輸入Dcomcnfg命令，單擊【確定】按鈕，打開【組件服務】窗口，選擇【控制臺根目錄】→【組件服務】→【計算機】→【我的電腦】選項，進入【我的電腦】文件夾，若對于本地計算機，則需要右擊【我的電腦】選項，從彈出的快捷菜單中選擇【屬性】選項。

步驟2打開【我的電腦屬性】對話框，選擇【默認屬性】選項卡，進入【默認屬性】設置界面，取消勾選【在此計算機上啟用分布式COM（E）】復選框，然后單擊【確定】按鈕即可。

步驟3若對于遠程計算機，則需要右擊【計算機】選項，從彈出的快捷菜單中選擇【新建】→【計算機】選項，打開【添加計算機】對話框。

步驟4在【添加計算機】對話框中，直接輸入計算機名或單擊右側的【瀏覽】按鈕來搜索計算機。

防火墻訪問控制和DDoS攻擊防護有以下不同：

• 客戶業務流量與云服務中心的關系上完全不同：防火墻訪問控制業務要求客戶流量長期流經云服務中心進行流量檢測和安全策略的控制，而DDoS攻擊防護類業務僅在客戶網絡檢測到DDoS攻擊時才要求將特定流量牽引至云服務中心進行流量的檢測和過濾。

• 兩種業務對于流量的控制點不同：為了達到更好的安全防護能力，對于防火墻訪問控制業務的流量控制點應該盡量靠近客戶的網絡；而對于DDoS攻擊防護業務，流量的控制點應該盡量靠近DDoS攻擊發起的網絡源端（很多時候源端并非只有一個），這種近源的過濾思路不僅能最大限度保障客戶網絡在遭受DDoS攻擊時的可用性，而且能夠節省網絡帶寬，保障其不為DDoS垃圾流量所擠占。

• 設備對于網絡狀態檢測的依賴程度不同：盡管歷史上也有過完全不依賴于網絡狀態檢測的包過濾防火墻，但為了提高性能和安全防范能力，現在大多數的防火墻均采用了狀態檢測技術；而對于DDoS攻擊防護設備，現在大部分均不依賴于狀態檢測技術。這個不同也影響到了這兩種業務資源池化實現方案的不同。

• 客戶業務使用和業務體驗導致了虛擬化要求的不同：相比較于云計算的IaaS服務，安全云服務客戶一般只關注于安全防范保護的效果，而對安全云服務設備使用的邏輯獨立性等虛擬化要求通常偏低。防火墻訪問控制業務由于具有客戶自行維護其防火墻安全策略的要求，因此需要實現資源池化后的設備虛擬化；而對于DDoS攻擊防護業務，由于在業務實施中無須客戶的交互和配置，因而幾乎不需要為用戶提供相應的虛擬設備。當然，在虛擬化過程中對于業務復用和狀態智能感知的實現均是這兩種業務要解決的重要問題。

• 防御能力不同：防火墻本身對DDOS攻擊的防御能力并不是很強，只能通過控制訪問業務的流量的限制攻擊，所以針對DDOS攻擊防御能力很弱，一般也不推薦使用防火墻來進行防御。而DDOS防護設備是專門針對DOOS攻擊的，所以針對DDOS攻擊的防御能力很強，所以要針對DDOS防御還是建議使用DOOS防護軟件。

XSS的原理是WEB應用程序混淆了用戶提交的數據和JS腳本的代碼邊界，導致瀏覽器把用戶的輸入當成了JS代碼來執行。XSS的攻擊對象是瀏覽器一端的普通用戶。

XSS又叫CSS (Cross Site Script) ，跨站腳本攻擊。它指的是惡意攻擊者往Web頁面里插入惡意html代碼，當用戶瀏覽該頁之時，嵌入其中Web里面的html代碼會被執行，從而達到惡意用戶的特殊目的。它與SQL注入攻擊類似，SQL注入攻擊中以SQL語句作為用戶輸入，從而達到查詢/修改/刪除數據的目的，而在xss攻擊中，通過插入惡意腳本，實現對用戶游覽器的控制，獲取用戶的一些信息。

防御方法：

第一、在輸入方面對所有用戶提交內容進行可靠的輸入驗證，提交內容包括URL、查詢關鍵字、http頭、post數據等。

第二、在輸出方面，在用戶輸內容中使用標簽。

AWVS是一款知名的網絡漏洞掃描工具，它通過網絡爬蟲測試你的網站安全，檢測流行安全漏洞，具體使用方法如下：

1. 登錄系統

   打開awvs瀏覽器登錄界面輸入賬號密碼，登錄系統；

   

2. 創建掃描目標

   點擊主界面的targets選擇add target添加一個掃描目標；

   

3. 填寫掃描目標信息

   在address填寫掃描目標的域名或者ip地址，description填寫目標名稱信息后點擊添加；

   

4. 設置掃描任務等級

   添加完目標地址后進入掃描任務等級設置，可以根據自身需要雪中是否需提前登陸和掃描速度；

   

5. 開始掃描

   設置好掃描方式、是否生成報告、掃描時間等選項后點擊createscan則開始掃描；

   

通用的云計算體系結構包括以下方面：

• 云用戶端：提供云用戶請求服務的交互界面，也是用戶使用云的入口，用戶通過Web瀏覽器可以注冊、登錄及定制服務、配置和管理用戶。打開應用實例與本地操作桌面系統一樣。

• 服務目錄：云用戶在取得相應權限（付費或其他限制）后可以選擇或定制服務列表，也可以對已有服務進行退訂的操作，在云用戶端界面生成相應的圖標或列表的形式展示相關的服務。

• 管理系統和部署工具：提供管理和服務，能管理云用戶，能對用戶授權、認證、登錄進行管理，并可以管理可用計算資源和服務，接收用戶發送的請求，根據用戶請求并轉發到相應的程序，調度資源智能地部署資源和應用，動態地部署、配置和回收資源。

• 監控：監控和計量云系統資源的使用情況，以便迅速做出反應，完成節點同步配置、負載均衡配置和資源監控，確保資源能順利分配給合適的用戶。

• 服務器集群：虛擬的或物理的服務器，由管理系統管理，負責高并發量的用戶請求處理、大運算量計算處理、用戶Web應用服務，云數據存儲時采用相應數據切割算法，采用并行方式上傳和下載大容量數據。

• 用戶：用戶可通過云用戶端從列表中選擇所需的服務，其請求通過管理系統調度相應的資源，并通過部署工具分發請求、配置Web應用。

入侵檢測系統部署在以下幾方面：

• IDS部署在局域網和因特網(Internet)之間的鏈路，任何到因特網的連接都需要被監控。

• IDS部署在本地局域網和商業伙伴局域網之間，傳感器可以監視本地局域網和商業伙伴局域網之間的鏈路上流動的數據流。因為如果任何一個局域網具有安全弱點，另一個 局域網也會變得易受攻擊。

• IDS部署在內部網絡的關鍵網段網絡攻擊的絕大多數損失來自于組織機構內部所進行的攻擊。在關鍵部門，例如研發部、財務部等的網絡入 口部署IDS,可以有效監視不同部門網絡間的數據流。

防火墻nat主要有以下兩個功能：

• SNAT源地址轉換：一般防火墻都帶有snat功能，是內網地址向外訪問時，發起訪問的內網ip地址轉換為指定的ip地址（可指定具體的服務以及相應的端口或端口范圍），這可以使內網中使用保留ip地址的主機訪問外部網絡，即內網的多部主機可以通過一個有效的公網ip地址訪問外部網絡。

• DNAT目的地址轉換：目的地址轉換的作用是將一組本地內部的地址映射到一組全球地址。通常來說，合法地址的數量比起本地內部的地址數量來要少得多。RFC1918中的地址保留可以用地址重疊的方式來達到。當一個內部主機第一次放出的數據包通過防火墻時，動態NAT的實現方式與靜態NAT相同，然后這次NAT就以表的形式保留在防火墻中。除非由于某種個原因會引起這次NAT的結束，否則這次NAT就一直保留在防火墻中。引起NAT結束最常見的原因就是發出連接的主機在預定的時間內一直沒有響應，這時空閑計時器就會從表中刪除該主機的NAT。

網頁防篡改可以提升網站數據安全的保密性和完整性，數據安全的保密性是指保證機密信息不被竊取，竊聽者不能了解信息的真實含義，完整性即保證信息從真實的發信者傳送到真實的收信者手中，傳送過程中沒有被非法用戶添加、刪除、替換等。所以網頁防篡改可以提升網站數據的安全性并加強網絡環境的安全和降低被黑客攻擊的可能性。

網頁防篡改主要技術有以下三種：

• 外掛輪詢技術

  外掛輪詢技術是利用一個網頁檢測程序，以輪詢方式讀出要監控的網頁，與真實網頁相比較，來判斷網頁內容的完整性，對于被篡改的網頁進行報警和恢復。

• 核心內嵌技術

  核心內嵌技術是將篡改檢測模塊內嵌在Web服務器軟件里，它在每一個網頁流出時都進行完整性檢查，對于篡改網頁進行實時訪問阻斷，并予以報警和恢復。

• 事件觸發技術

  事件觸發技術是利用操作系統的文件系統接口，在網頁文件的被修改時進行合法性檢查，對于非法操作進行報警和恢復。

行政管理方面

加強組織領導 增強保密意識

一是加強領導，充實保密人才隊伍。各級領導要始終堅持“保密工作無小事”的理念，以身作則，做好表率，加強隊伍建設。

二是健全制度，落實人員崗位責任。對涉密計算機、存儲介質、文件資料及公安網計算機使用和維護，應實行定人、定責管理，堅持“誰主管、誰負責”、“誰使用、誰負責”，明確各級的保密責任，逐級逐人簽訂保密責任狀，營造“個個講保密、人人有責任”的濃厚氛圍。

三是宣傳教育，提高防間保密意識。通過組織學習保密法律法規及計算機安全保密知識，進一步增強涉密人員的防間保密意識，減少認識上的誤區和盲區。

突出重點問題 抓好安全管理

一是積極防范，抓好重點部位管理。要從提高內部保密防范能力入手，按照積極防范、突出重點的原則，根據各單位和部門的工作特點、范圍確定密級程度和具體保密措施，做好風險評估。

二是以人為本，加強涉密人員管理。對從事保密工作的機要、通信等工作人員要建檔管理，定期進行政治審查，杜絕思想不純潔、立場不堅定或性格有缺陷的人員掌握秘密信息，從思想上、源頭上筑牢保密工作防線。

三是嚴格標準，統一關鍵物品管理。嚴格各類移動存儲介質、計算機等設備管理，統一進行編號，并將相關信息認真檢查登記備案，落實各類設備使用管理規定。

四是遂級審核，做好敏感信息管理。將本單位業務工作或相關事件向新聞媒體投稿的，應事先進行內部審批，杜絕涉密內容上網。

注重作風養成 健全保密長效機制

一是加大投入，完善基礎設施建設。加大“硬件”投入，在保密基礎實施建設上，堅持做到該花的錢一定要花，該配的設備保證配到位，投入必要的人力、物力、財力進行基礎設施建設，對機要室、保密室、檔案室等重點場所配備質量過關、靈敏度高的保密柜和報警系統，采購專用保密檢查工具和防護軟件。

二是著眼基層，增強指導幫扶力度。針對部分基層工作人員對網絡安全保密工作認識缺乏的實際情況，可以成立專門幫扶小組，指派專人對基層安全員開展一對一的培訓，把強化安全保密教育，提高計算機網絡知識和防御技術作為一項重要內容來抓。

三是嚴格獎懲，筑牢保密警戒防線。許多泄密隱患和事故在很大程度上是由于缺乏保密監督、處罰機制造成的。各單位要建立與人員量化考核和職級晉升相掛鉤的保密工作績效考核制度，對保密工作好的單位和個人要給予精神和物質獎勵，對違反保密紀律和規章制度的該處分的處分。

四是加強督導，問題落實整改到位。各單位應加大保密工作督導檢查力度，突出日常管理不定期檢查和重大節假日或重要任務的專項檢查，做到保密秩序經常查、重點部位定期查、敏感時節及時查、重大隱患跟蹤查，及時堵塞消除泄密隱患。

技術方面

硬件方面

一是使用低輻射計算機網絡設備。這些設備在設計生產時，就對硬件、電路、連接線等采取了防輻射措施，能將信息輻射降到最低程度。

二是屏蔽。在安裝局域網時要使用屏敝線材和模塊，并對計算機機房加以屏蔽。

三是物理隔離。單位局域網采取內、外網物理隔離。上互聯網的外網與辦公自動化的內網互不相聯接。為了達到更好的安全保密效果，我院準備建立專門的電子閱覽室。

軟件方面

一是辦公軟件要完善數據庫加密機制和對操作人員進行動態實時監控，對系統所有的敏感數據的操作進行詳細的記載和日誌性的描述，并使用新的密碼技術，如對稱密碼、公鑰密碼、數字簽名、公鑰認證，雙重簽名加密等技術，從而構成整個系統有效的安全保障。

二是加強對操作系統及其網絡的安全措施，其方法是:首先進行身份鑒別，然后再進行加密。工作后將涉密信息進行加密處理后存在計算機里，注上特殊的調用口令，即便有非法用戶闖入，也難以將涉密信息調出:最后是數字簽名，對我們儲存的涉密信息資料，加注數字簽名，這樣的簽名只限使用者掌握。

同源策略控制不同源之間的交互，它是一個重要的安全策略，它用于限制一個源的文檔或者它加載的腳本如何能與另一個源的資源進行交互。它能幫助阻隔惡意文檔，減少可能被攻擊的媒介。不同源的交互通常分為三類：

• 跨域讀：

  同源策略是不允許這種事情發生的，如果可以你就能使用 js 讀取嵌入在 iframe 中的頁面的 dom 元素，獲取敏感信息了。

• 跨域寫：

  同源策略不阻止這種操作，比如向不同源的地址發送 POST 請求等，但是這種允許只限制在普通表單（而且是在沒有 CSRF token 或者驗證 referer 的情況下），對于 ajax 這種方式也是默認不允許的，如果隨隨便便允許就會出現使用 ajax 來進行 CSRF 請求的情況了。

• 跨域嵌入：

  這種方式是默認允許的，我們可以在一個源中通過 iframe 嵌入 另一個源的頁面，但是如果想限制這種操作的話，我們可以設置 x-frame-options 這個頭，這樣設置了這個頭的頁面就允許被嵌入到不同源的頁面中了。

OSPF得到廣泛應用是因為具有以下顯著特點：

• 支持CIDR：早期的路由協議如（RIPv1）并不支持CIDR，而OSPF可以支持CIDR，同時在發布路由信息時攜帶了子網掩碼信息，使得路由信息不再局限于有類網絡。

• 支持區域劃分：OSPF協議允許自治系統內的網絡被劃分成區域來管理。通過劃分區域來實現更加靈活的分級管理。

• 無路由自環：OSPF從設計上保證了無路由環路。OSPF 支持區域的劃分，區域內部的路由器都使用SPF算法，保證了區域內部的無環路。在區域之間，OSPF利用區域的連接規則保證了區域之間無路由自環。

• 路由變化收斂速度快：OSPF被設計為觸發式更新方式。當網絡拓撲結構發生變化，新的鏈路狀態信息會立刻泛洪。OSPF 對拓撲變化敏感，因此路由收斂速度快。

• 使用IP多播收發協議數據：OSPF路由器使用多播和單播收發協議數據，因此占用的網絡流量很小。

• 支持多條等值路由：在路由方面，OSPF還支持多條等值路由。當目的地有多條等值開銷路徑時，流量被均衡地分擔在這些等值開銷路徑上，實現了負載分擔，更好地利用了鏈路帶寬資源。

• 支持協議報文的認證：在某些安全級別較高的網絡中，OSPF路由器可以提供認證功能。OSPF路由器之間的報文可以配置成必須經過驗證才能交換。通過驗證可以提高網絡的安全性。

• RIP路由協議不支持變長子網屏蔽碼：這被認為是RIP路由協議不適用于大型網絡的又一重要原因。而產生VLSM的原因就是由于IP地址的匱乏。不支持VLSM極大的限制的網絡的規劃IP地址分配的不合理。現在我們劃分IP地址的時候通常掩碼都是隨意的，就是因為協議VLSM。

防火墻nat主要有以下兩個功能：

• SNAT源地址轉換：一般防火墻都帶有snat功能，是內網地址向外訪問時，發起訪問的內網ip地址轉換為指定的ip地址（可指定具體的服務以及相應的端口或端口范圍），這可以使內網中使用保留ip地址的主機訪問外部網絡，即內網的多部主機可以通過一個有效的公網ip地址訪問外部網絡。

• DNAT目的地址轉換：目的地址轉換的作用是將一組本地內部的地址映射到一組全球地址。通常來說，合法地址的數量比起本地內部的地址數量來要少得多。RFC1918中的地址保留可以用地址重疊的方式來達到。當一個內部主機第一次放出的數據包通過防火墻時，動態NAT的實現方式與靜態NAT相同，然后這次NAT就以表的形式保留在防火墻中。除非由于某種個原因會引起這次NAT的結束，否則這次NAT就一直保留在防火墻中。引起NAT結束最常見的原因就是發出連接的主機在預定的時間內一直沒有響應，這時空閑計時器就會從表中刪除該主機的NAT。