[网关和防火墙.docVIP

广域网通常跨接很大的物理范围，它能连接多个城市或国家并能提供远距离通信。 　　广域网内的交换机一般采用点到点之间的专用线路连接起来。广域网的组网方式有虚电路方式和数据报方式两种，分别对应面向连接和无连接两种网络服务模式。 　　 　　P S T N是采用电路交换技术的模拟电话网；当P S T N用于计算机之间的数据通信时，在计算机两端要引入M o d e m。 　　X . 2 5分组交换网是最早用于数据传输的广域网，它的特点是对通信线路要求不高，缺点是数据传输率较低。 　　D D N是一种采用数字交叉连接的全透明传输网，它不具备交换功能。 　　帧中继网是从X . 2 5网络上改进而来，它简化的X . 2 5协议，提高了数据传输率。 S M D S提供无连接的报文传输服务，它的设计目标是用于L A N与L A N之间的高速通信。 网关曾经是很容易理解的概念。在早期的因特网中，术语网关即指路由器。路由器是网络中超越本地网络的标记， 这个走向未知的“大门”曾经、现在仍然用于计算路由并把分组数据转发到源始网络之外的部分，因此， 它被认为是通向因特网的大门。随着时间的推移，路由器不再神奇，公共的基于IP的广域网的出现和成熟促进了路由器的成长。 现在路由功能也能由主机和交换集线器来行使，网关不再是神秘的概念。现在，路由器变成了多功能的网络设备， 它能将局域网分割成若干网段、互连私有广域网中相关的局域网以及将各广域网互连而形成了因特网， 这样路由器就失去了原有的网关概念。然而术语网关仍然沿用了下来，它不断地应用到多种不同的功能中， 定义网关已经不再是件容易的事。 目前，主要有三种网关： ·协议网关 WNxN ·应用网关 o:JWN ·安全网关 E-c 唯一保留的通用意义是作为两个不同的域或系统间中介的网关，要克服的差异本质决定了需要的网关类型。 更多内容见 /f?kz＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ 一、防火墙能够作到些什么？ 1.包过滤 具备包过滤的就是防火墙？对，没错！根据对防火墙的定义，凡是能有效阻止网络非法连接的方式，都算防火墙。早期的防火墙一般就是利用设置的条件，监测通过的包的特征来决定放行或者阻止的，包过滤是很重要的一种特性。虽然防火墙技术发展到现在有了很多新的理念提出，但是包过滤依然是非常重要的一环，如同四层交换机首要的仍是要具备包的快速转发这样一个交换机的基本功能一样。通过包过滤，防火墙可以实现阻挡攻击，禁止外部/内部访问某些站点，限制每个ip的流量和连接数。 2.包的透明转发 事实上，由于防火墙一般架设在提供某些服务的服务器前。如果用示意图来表示就是 Server—FireWall—Guest 。用户对服务器的访问的请求与服务器反馈给用户的信息，都需要经过防火墙的转发,因此，很多防火墙具备网关的能力。 3.阻挡外部攻击 如果用户发送的信息是防火墙设置所不允许的，防火墙会立即将其阻断，避免其进入防火墙之后的服务器中。 4.记录攻击 如果有必要，其实防火墙是完全可以将攻击行为都记录下来的，但是由于出于效率上的考虑，目前一般记录攻击的事情都交给IDS来完成了，我们在后面会提到。 以上是所有防火墙都具备的基本特性，虽然很简单，但防火墙技术就是在此基础上逐步发展起来的。 二、防火墙有哪些缺点和不足？ 1.防火墙可以阻断攻击，但不能消灭攻击源。 “各扫自家门前雪，不管他人瓦上霜”，就是目前网络安全的现状。互联网上病毒、木马、恶意试探等等造成的攻击行为络绎不绝。设置得当的防火墙能够阻挡他们，但是无法清除攻击源。即使防火墙进行了良好的设置，使得攻击无法穿透防火墙，但各种攻击仍然会源源不断地向防火墙发出尝试。例如接主干网10M网络带宽的某站点，其日常流量中平均有512K左右是攻击行为。那么，即使成功设置了防火墙后，这512K的攻击流量依然不会有丝毫减少。 2.防火墙不能抵抗最新的未设置策略的攻击漏洞 就如杀毒软件与病毒一样，总是先出现病毒，杀毒软件经过分析出特征码后加入到病毒库内才能查杀。防火墙的各种策略，也是在该攻击方式经过专家分析后给出其特征进而设置的。如果世界上新发现某个主机漏洞的cracker的把第一个攻击对象选中了您的网络，那么防火墙也没有办法帮到您的。 3.防火墙的并发连接数限制容易导致拥塞或者溢出 由于要判断、处理流经防火墙的每一个包，因此防火墙在某些流量大、并发请求多的情况下，很容易导致拥塞，成为整个网络的瓶颈影响性能。而当防火墙溢出的时候，整个防线就如同虚设，原本被禁止的连接也能从容通过了。 4.防火墙对服务器合法开放的端口的攻击大多无法阻止 某些情况下，攻击者利用服务器提供