【正文】 代理型防火墻也可以被稱(chēng)為代理服務(wù)器，它的安全性要高于包過(guò)濾型產(chǎn)品，并已經(jīng)開(kāi)始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來(lái)看，代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器；而從服務(wù)器來(lái)看，代理服務(wù)器又是一臺(tái)真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí)，首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器，代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù)，然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒(méi)有直接的數(shù)據(jù)通道，外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。 代理型防火墻的優(yōu)點(diǎn)是安全性較高，可以針對(duì)應(yīng)用層進(jìn)行偵測(cè)和掃描，對(duì)付基于應(yīng)用層的侵入和病毒都十分有效。其缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響，而且代理服務(wù)器必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類(lèi)型逐一進(jìn)行設(shè)置，大大增加了系統(tǒng)管理的復(fù)雜性。 (3)監(jiān)測(cè)型 監(jiān)測(cè)型防火墻是新一代的產(chǎn)品，這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義。監(jiān)測(cè)型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè)，在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上，監(jiān)測(cè)型防火墻能夠有效地判斷出各層中的非法侵入。同時(shí)，這種檢測(cè)型防火墻產(chǎn)品一般還帶有分布式探測(cè)器，這些探測(cè)器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中，不僅能夠檢測(cè)來(lái)自網(wǎng)絡(luò)外部的攻擊，同時(shí)對(duì)來(lái)自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì)，在針對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊中，有相當(dāng)比例的攻擊來(lái)自網(wǎng)絡(luò)內(nèi)部。因此，監(jiān)測(cè)型防火墻不僅超越了傳統(tǒng)防火墻的定義，而且在安全性上也超越了前兩代產(chǎn)品。 2．從防火墻的軟、硬件形式來(lái)分，分為軟件防火墻、硬件防火墻和芯片級(jí)防火墻。 (1)軟件防火墻 軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上，它需要客戶預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持，一般來(lái)說(shuō)這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)，俗稱(chēng)“個(gè)人防火墻”。軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計(jì)算機(jī)上安裝并做好配置才可以使用。 (2)硬件防火墻 目前市場(chǎng)上大多數(shù)防火墻都是基于 PC架構(gòu)，就是說(shuō)，它們和普通的家庭用的 PC沒(méi)有太大區(qū)別。在這些 PC架構(gòu)計(jì)算機(jī)上運(yùn)行一些經(jīng)過(guò)裁剪和簡(jiǎn)化的操作系統(tǒng)，最常用的有老版本的 Unix、 Linux和 FreeBSD系統(tǒng)。值得注意的是，由于此類(lèi)防火墻采用的依然是別人的內(nèi)核，因此依然會(huì)受到 OS（操作系統(tǒng)）本身的安全性影響。 傳統(tǒng)硬件防火墻一般至少應(yīng)具備三個(gè)端口，分別接內(nèi)網(wǎng)、外網(wǎng)和 DMZ區(qū)（非軍事化區(qū)），現(xiàn)在一些新的硬件防火墻往往擴(kuò)展了端口，常見(jiàn)四端口防火墻一般將第四個(gè)端口做為配置口、管理端口。很多防火墻還可以進(jìn)一步擴(kuò)展端口數(shù)目。 (3)芯片級(jí)防火墻 芯片級(jí)防火墻基于專(zhuān)門(mén)的硬件平臺(tái)，沒(méi)有操作系統(tǒng)。專(zhuān)有的 ASIC芯片促使它們比其他種類(lèi)的防火墻速度更快、處理能力更強(qiáng)、性能更高。 防火墻的功能 1．防火墻是網(wǎng)絡(luò)安全的屏障 一個(gè)防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。 2．防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略 通過(guò)以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。與將網(wǎng)絡(luò)安全問(wèn)題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問(wèn)時(shí)，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上，而集中在防火墻一身上。 3．對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì) 如果所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪問(wèn)并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。 4．防止內(nèi)部信息外泄 通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問(wèn)題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)，如 Finger， DNS等服務(wù)。Finger顯示了主機(jī)的所有用戶的注冊(cè)名、真名，最后登錄時(shí)間和使用 shell類(lèi)型等。但是 Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程度，這個(gè)系統(tǒng)是否有用戶正在連線上網(wǎng)，這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的 DNS信息，這樣一臺(tái)主機(jī)的域名和IP地址就不會(huì)被外界所了解。 防火墻的選購(gòu) 客觀來(lái)說(shuō)，沒(méi)有一個(gè)防火墻的設(shè)計(jì)能夠適用于所有的環(huán)境，因此應(yīng)根據(jù)站點(diǎn)的特點(diǎn)來(lái)選擇合適的防火墻，選購(gòu)防火墻應(yīng)注意下面六點(diǎn)。 1．安全性 大多數(shù)企業(yè)在選擇防火墻時(shí)都將注意力放在防火墻如何控制連接以及防火墻支持多少種服務(wù)，但往往忽略了最重要的安全性，防火墻也是網(wǎng)絡(luò)上的主機(jī)之一，也可能存在安全問(wèn)題，防火墻如果不能確保自身安全，則防火墻的控制功能再?gòu)?qiáng)，也終究不能完全保護(hù)內(nèi)部網(wǎng)絡(luò)。 2．高效性 好的防火墻應(yīng)該向使用者提供完整的安全檢查功能，但是一個(gè)安全的網(wǎng)絡(luò)仍必須依靠使用者的觀察及改進(jìn)，因?yàn)榉阑饓Σ⒉荒苡行У囟沤^所有的惡意封包，企業(yè)想要達(dá)到真正的安全仍然需要內(nèi)部人員不斷記錄、改進(jìn)、追蹤。防火墻可以限制唯有合法的使用者才能進(jìn)行連接，但是否存在利用合法掩護(hù)非法的情形仍需依靠管理者來(lái)發(fā)現(xiàn)。 防火墻與代理服務(wù)器最大的區(qū)別在于防火墻是專(zhuān)門(mén)為了保護(hù)網(wǎng)絡(luò)安全而設(shè)計(jì)的，而一個(gè)好的防火墻不但應(yīng)該具備包括檢查、認(rèn)證、警告、記錄的功能，并且能夠?yàn)槭褂谜呖赡苡龅降睦Ь?，事先提出解決方案，如 IP不足形成的 IP轉(zhuǎn)換的問(wèn)題，信息加密 /解密的問(wèn)題，大企業(yè)要求能夠透過(guò) Inter集中管理的問(wèn)題等，這也是選擇防火墻時(shí)必須考慮的問(wèn)題。 3．配置便利性 硬件防火墻系統(tǒng)具有強(qiáng)大的功能，但是其配置安裝也較為復(fù)雜，需要網(wǎng)管員對(duì)原網(wǎng)絡(luò)配置進(jìn)行較大的改動(dòng)。支持透明通信的防火墻在安裝時(shí)不需要對(duì)網(wǎng)絡(luò)配置做任何改動(dòng)。目前在市場(chǎng)上，有些防火墻只能在透明方式下或者網(wǎng)關(guān)方式下工作，而另外一些防火墻則可以在混合方式下工作。能工作于混合方式的防火墻顯然更具方便性。配置方便性還表現(xiàn)為管理方便。用戶在選擇防火墻時(shí)也應(yīng)該看其是否支持串口終端管理。如果防火墻沒(méi)有終端管理方式，就不容易確定故障所在。一個(gè)好的防火墻產(chǎn)品必須符合用戶的實(shí)際需要。對(duì)于國(guó)內(nèi)用戶來(lái)說(shuō)，防火墻最好是具有中文界面，既能支持命令行方式管理，又能支持 GUI和集中式管理。 4．管理的難易度 防火墻管理的難易度是防火墻能否達(dá)到目的的主要考慮因素之一。一般企業(yè)之所以很少以已有的網(wǎng)絡(luò)設(shè)備直接當(dāng)作防火墻的原因，除了先前提到的包過(guò)濾，并不能達(dá)到完全的控制之外，設(shè)定工作困難、須具備完整的知識(shí)以及不易除錯(cuò)等管理問(wèn)題，更是一般企業(yè)不愿意使用的主要原因。 因此防火墻的管理最好要適合網(wǎng)管員的管理習(xí)慣，設(shè)有遠(yuǎn)程 Tel登錄管理以及管理命令的在線幫助等。 GUI類(lèi)管理器作為防火墻的管理工具，為網(wǎng)管員提供了有效、直觀的管理方式。 5．可靠性 對(duì)于防火墻來(lái)說(shuō)，其可靠性直接影響受控網(wǎng)絡(luò)的可用性，它在重要行業(yè)及關(guān)鍵業(yè)務(wù)系統(tǒng)中的重要作用是顯而易見(jiàn)的。提高防火墻的可靠性通常是在設(shè)計(jì)中采取措施，具體措施是提高部件的強(qiáng)健性、增大設(shè)計(jì)閥值和增加冗余部件。此外防火墻應(yīng)對(duì)操作系統(tǒng)應(yīng)提供安全強(qiáng)化功能，最好完全不需要人為操作，就能確實(shí)強(qiáng)化操作系統(tǒng)。這項(xiàng)功能通常會(huì)暫時(shí)停止不必要的服務(wù)，并修補(bǔ)操作系統(tǒng)的安全弱點(diǎn)，雖然不是百分之百有效，但起碼能防止外界一些不必要的干擾。 6．可擴(kuò)展性 對(duì)于一個(gè)好的防火墻系統(tǒng)而言，它的規(guī)模和功能應(yīng)該能夠適應(yīng)網(wǎng)絡(luò)規(guī)模和安全策略的變化。理想的防火墻系統(tǒng)應(yīng)該是一個(gè)可隨意伸縮的模塊化解決方案，包括從最基本的包過(guò)濾器到帶加密功能的 VPN型包過(guò)濾器，直至一個(gè)獨(dú)立的應(yīng)用網(wǎng)關(guān)，使用戶有充分的余地構(gòu)建自己所需要的防火墻體系。目前的防火墻一般標(biāo)配三個(gè)網(wǎng)絡(luò)接口，分別連接外部網(wǎng)、內(nèi)部網(wǎng)和 SSN。用戶在購(gòu)買(mǎi)防火墻時(shí)必須弄清楚是否可以增加網(wǎng)絡(luò)接口，因?yàn)橛行┓阑饓o(wú)法擴(kuò)展。 目前國(guó)內(nèi)的防火墻幾乎被國(guó)外的品牌占據(jù)了一半的市場(chǎng)，國(guó)外品牌的優(yōu)勢(shì)主要是在技術(shù)和知名度上比國(guó)內(nèi)產(chǎn)品高。而國(guó)內(nèi)防火墻廠商對(duì)國(guó)內(nèi)用戶了解更加透徹，價(jià)格上也更具有優(yōu)勢(shì)。防火墻產(chǎn)品中，國(guó)外主流廠商為思科（ Cisco）、 CheckPoint、 NetScreen等，國(guó)內(nèi)主流廠商為東軟、天融信、聯(lián)想、方正等，它們都提供不同級(jí)別的防火墻產(chǎn)品。 本章小結(jié) 計(jì)算機(jī)網(wǎng)絡(luò)通俗地講就是由多臺(tái)計(jì)算機(jī)（或其它計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備）通過(guò)傳輸介質(zhì)和軟件物理（或邏輯）連接在一起組成的?？偟膩?lái)說(shuō)計(jì)算機(jī)網(wǎng)絡(luò)的組成基本上包括：計(jì)算機(jī)、網(wǎng)絡(luò)操作系統(tǒng)、傳輸介質(zhì)（可以是有形的，也可以是無(wú)形的，如無(wú)線網(wǎng)絡(luò)的傳輸介質(zhì)就是空氣）以及相應(yīng)的應(yīng)用軟件四部分。 調(diào)制解調(diào)器的一個(gè)重要性能參數(shù)是傳輸速率，目前市面上 、 56K的調(diào)制解調(diào)器都有，而且 56K的調(diào)制解調(diào)器已經(jīng)成為市場(chǎng)的主流產(chǎn)品。但由于國(guó)內(nèi)通信線路的限制，以及用戶太多、國(guó)際出口太少的緣故，平時(shí)使用很難達(dá)到上述速率，因此，如果使用時(shí)傳輸速率顯示只有每秒幾 K甚至更低，也不用懷疑電腦或調(diào)制解調(diào)器有什么問(wèn)題。 路由器、交換機(jī)和集線器的關(guān)系：集線器的作用可以簡(jiǎn)單的理解為將一些機(jī)器連接起來(lái)組成一個(gè)局域網(wǎng)。而交換機(jī)（又稱(chēng)交換式集線器）作用與集線器大體相同。但是兩者在性能上有區(qū)別：集線器采用的是共享帶寬的工作方式，而交換機(jī)是獨(dú)享帶寬。這樣在機(jī)器很多或數(shù)據(jù)量很大時(shí)，兩者將會(huì)有比較明顯的。而路由器與以上兩者有明顯區(qū)別，它的作用在于連接不同的網(wǎng)段，并且找到網(wǎng)絡(luò)中數(shù)據(jù)傳輸最合適的路徑，可以說(shuō)一般情況下個(gè)人用戶需求不大。路由器是產(chǎn)生于交換機(jī)之后，就像交換機(jī)產(chǎn)生于集線器之后，所以路由器與交換機(jī)也有一定聯(lián)系，并不是完全獨(dú)立的兩種設(shè)備，路由器主要克服了交換機(jī)不能路由轉(zhuǎn)發(fā)數(shù)據(jù)包的不足。 在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問(wèn)網(wǎng) (如 Inter)分開(kāi)的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問(wèn)控制尺度，它能允許經(jīng) “同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將 “不同意”的人和數(shù)據(jù)拒之門(mén)外，最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)你的網(wǎng)絡(luò)。換句話說(shuō)，如果不通過(guò)防火墻，公司內(nèi)部的人就無(wú)法訪問(wèn) Inter， Inter上的人也無(wú)法和公司內(nèi)部的人進(jìn)行通信。 習(xí)題 網(wǎng)絡(luò)設(shè)備有哪些用途？ 簡(jiǎn)單說(shuō)明外置 MODEM的 LED指示燈的含義。 集線器有哪幾類(lèi)？ 簡(jiǎn)述交換機(jī)的工作原理。 交換機(jī)和集線器有何區(qū)別？ 路由器有哪些功能？ 路由器和交換機(jī)有何區(qū)別？ 防火墻有哪些功能？ 靜夜四無(wú)鄰，荒居舊業(yè)貧。 , March 4, 2023 雨中黃葉樹(shù)，燈下白頭人。 07:13:0107:13:0107:133/4/2023 7:13:01 AM 1以我獨(dú)沈久，愧君相見(jiàn)頻。 :13:0107:13Mar234Mar23 1故人江海別，幾度隔山川。 07:13:0107:13:0107:13Saturday, March 4, 2023 1乍見(jiàn)翻疑夢(mèng)，相悲各問(wèn)年。 :13:0107:13:01March 4, 2023 1他鄉(xiāng)生白發(fā)，舊國(guó)見(jiàn)青山。 2023年 3月 4日星期六 上午 7時(shí) 13分 1秒 07:13: 1比不了得就不比，得不到的就不要。 。 2023年 3月 上午 7時(shí) 13分 :13March 4, 2023 1行動(dòng)出成果，工作出財(cái)富。 2023年 3月 4日星期六 7時(shí) 13分 1秒 07:13:014 March 2023 1做前，能夠環(huán)視四周；做時(shí)，你只能或者最好沿著以腳為起點(diǎn)的射線向前。 上午 7時(shí) 13分 1秒 上午 7時(shí) 13分 07:13: 沒(méi)有失敗，只有暫時(shí)停止成功！。 , March 4, 2023 很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒(méi)有。 07:13:0107:13:0107:133/4/2023 7:13:01 AM 1成功就是日復(fù)一日那一點(diǎn)點(diǎn)小小努力的積累。 :13:0107:13Mar234Mar23 1世間成事，不求其絕對(duì)圓滿，留一份不足，可得無(wú)限完美。 07:13:0107:13:0107:13Saturday, March 4, 2023 1不知香積寺，數(shù)里入云峰。 :13:0107:13:01March 4,