华为技术有限公司是一家生产销售通信设备的民营通信科技公司,于1987年正式注册成立,总部位于中国深圳市龙岗区坂田华为基地。华为的产品主要涉及通信网络中的交换网络、传输网络、无线及有线固定接入网络和数据通信网络及无线终端产品,为世界各地通信运营商及专业网络拥有者提供硬件设备、软件、服务和解决方案。华为于1987年在中国深圳正式注册成立。华为的产品和解决方案已经应用于全球170多个国家,服务全球运营商50强中的45家及全球1/3的人口。
网关品牌排行榜二——锐捷
锐捷网络,中国网络解决方案领导品牌。自2000年成立以来,锐捷一直扎根行业、深入场景应用进行解决方案设计和创新,并利用云计算、SDN、移动互联、大数据、物联网等新技术为各行业用户提供端到端解决方案,助力全行业数字化转型升级。
锐捷网络,是中国网络解决方案领导品牌。作为一家民族企业,锐捷网络坚持走自主研发的道路,在竞争激烈的网络设备市场开辟出独树一帜的创新大道。以锐捷网络代表的厂商,不仅为中国用户争取了更低的建网和用网成本,更有效保障了网络安全和可控性。朝着“做永续经营、高成长的企业”愿景,锐捷网络一步一个脚印,踏实前行。今天,锐捷网络已连续7年稳居企业网市场国内厂商占有率排名首位。
网关品牌排行榜三——中兴
中兴通讯是全球领先的综合通信解决方案提供商。公司成立于1985年,是在香港和深圳两地上市的大型通讯设备公司。公司通过为全球160多个国家和地区的电信运营商和企业网客户提供创新技术与产品解决方案,让全世界用户享有语音、数据、多媒体、无线宽带等全方位沟通。
中兴通讯股份有限公司,全球领先的综合通信解决方案提供商,中国最大的通信设备上市公司。主要产品包括:2G/3G/4G/5G无线基站与核心网、IMS、固网接入与承载、光网络、芯片、高端路由器、智能交换机、政企网、大数据、云计算、数据中心、手机及家庭终端、智慧城市、ICT业务,以及航空、铁路与城市轨道交通信号传输设备。为全球180多个国家和地区的顶级运营商提供创新技术与产品解决方案,通过全系列的无线、有线、业务、终端产品和专业通信服务,满足全球不同运营商的差异化需求。
网关品牌排行榜四——Juniper
Juniper网络公司致力于实现网络商务模式的转型。作为全球领先的联网和安全性解决方案供应商,Juniper网络公司对依赖网络获得战略性收益的客户一直给予密切关注。公司的客户来自全球各行各业,包括主要的网络运营商、企业、政府机构以及研究和教育机构等。Juniper网络公司推出的一系列联网解决方案,提供所需的安全性和性能来支持全球最大型、最复杂、要求最严格的关键网络。
InfranetInitiative所设想的新型网络不但涵盖了PSTN和互联网等现有公共网络的最佳属性,而且还在IP/MPLS基础架构上添加了关键的商务功能。因此,Infranet模式将可以为企业、政府机构和服务供应商等客户提供更高级别的应用性能、业务支持、运营可扩展性以及网络安全性。此外,InfranetInitiative还将制定商业准则来支持供应商网间结算,以在多网络间传输服务质量的流量--而这正是当前尽力而为的互联网环境所无法实现的。
网关品牌排行榜五——迪普
迪普科技总部位于杭州,在北京和杭州设有研发中心,具有一支业界领先的研发团队。公司拥有一系列具有自主知识产权的核心技术,自主开发了高性能硬件架构APP-X、L2~7融合 *** 作系统ConPlat、应用识别与威胁特征库APP-ID,并在此基础上推出了包括深度业务路由交换网关(DPX)、应用防火墙(FW)、入侵防御系统(IPS)、DPI流量分析设备、上网行为管理及流控(UAG)、应用交付平台(ADX)以及交换机、路由器等在内的十余类上百款产品。
杭州迪普科技有限公司是在网络、安全及应用交付领域集研发、生产、销售于一体的高科技企业。迪普科技总部位于杭州,在北京和杭州设有研发中心,具有一支研发团队。从成立至今,迪普科技实现了高速成长,目前已经服务超过10,000家客户,全面进入了包括运营商、政府、电力、能源、金融、交通、教育、医疗、大企业等在内的各行各业,成为业界重要厂商之一。
网关品牌排行榜六——神州数码
神州数码是联想集团前瞻性地看到了信息服务业的巨大发展前景,于2000年主动应对Internet和WTO的挑战,分拆出来一间公司,开始了二次创业,年轻的公司命名为“神州数码”(DigitalChina)。2001年,神州数码在香港联合交易所主板上市,并开始了向IT服务战略方向的转型。如今,神州数码业务领域覆盖了中国市场从个人消费者到大型行业客户的全面IT服务,客户遍及金融、政府、电信、公共事业及企业领域。至2007年,神州数码已有近万名员工,其中约50%是研发人员。全国性网络已拓展至19个平台,办事处分布于30多个二、三级城市,业务覆盖全国。如今的神州数码是国内最大的整合IT服务提供商。
神州数码集团股份有限公司(股票代码:000034SZ,简称:神州数码),其名字源于DigitalChina,数字化中国。20年来,神州数码业务已完成了从边缘到主流,从主流到前沿的战略转型,成为中国领先的整合IT服务商。未来,神州数码将以整合云服务、自有品牌产品及服务为切入点,打造融合服务平台,为合作伙伴注入新动能,与合作伙伴共同成长。
网关品牌排行榜七——启明星辰
启明星辰信息技术集团股份有限公司成立于1996年,由留美博士严望佳女士创建,是国内具有超强实力的、拥有完全自主知识产权的网络安全产品、可信安全管理平台、安全服务与解决方案的综合提供商。2010年启明星辰集团在深圳A股中小板上市。目前,启明星辰已对网御星云、杭州合众、书生电子、赛博兴安进行了全资收购,自此,集团成功实现了对网络安全、数据安全、应用业务安全等多领域的覆盖。
启明星辰,是由留美博士严望佳女士创建的拥有完全自主知识产权的网络安全高科技企业,是国内最具实力的网络安全产品、可信安全管理平台、专业安全服务与解决方案的综合提供商。公司总部位于北京市中关村软件园启明星辰大厦,在全国各省、市、自治区设立分、子公司及办事处三十多个,拥有覆盖全国的渠道体系和技术支持中心。
网关品牌排行榜八——汉柏
汉柏科技有限公司是人脸识别及云计算数据中心整体解决方案提供商,汉柏公司2009年成立于天津滨海高新区,运营中心设在北京CBD银泰中心,拥有覆盖全国的销售和技术服务体系,在香港、台湾、俄罗斯、东欧、拉美等大力拓展全球市场。2016年,汉柏科技与哈尔滨工业大学的下属公司“工大高新”进行资产重组,正式成为国有控股的上市公司(股票代码600701)。
汉柏科技有限公司(英文:Opzoon,下简称“汉柏”)是一家全球领先的新一代绿色数据中心解决方案提供商,也是中国首家成立企业级应用数学实验室的高新技术企业。2009年汉柏成立于天津滨海高新区,运营总部设在北京CBD银泰中心。已构建形成以硅谷、北京、天津、上海四位一体的世界级研发体系,数据中心解决方案及产品应用遍及全球30余个国家和地区,推动了云计算产业在政府信息化和行业信息化的实践与应用。
网关品牌排行榜九——中兴网安
北京中兴网安科技有限公司(以下简称中兴网安)成立于2010年,注册资金人民币1000万元,公司的宗旨是为构建信息网络秩序提供全程全网感知、监控、记录、追溯等综合管理防范机制和安全保障手段,并为日益普及的云计算和物联网应用提供先进的安全技术解决方案和相关产品。自成立之日起,中兴网安即秉承“科技创新、产业报国”的经营理念,针对当今信息网络各类威胁日益严峻的状况,凭借自身强大的技术力量,依托完备的产品研发和ISO9001质量管理体系保障,率先在业界创新式地提出并贯彻“平安网络”的管理理念,生产研发出CTM(CollaborativeTraceableManagement)一体化协同防控管理系统系列产品,并努力使之成为信息网络秩序管控体系国家技术标准。
网关品牌排行榜十——Symantec
赛门铁克(Symantec)公司成立于1982年,公司总部位于加利福尼亚州的Cupertino,现已在全球40多个国家和地区设有分支机构,是信息安全领域全球领先的解决方案提供商,为企业、个人用户和服务供应商提供广泛的内容和网络安全软件及硬件的解决方案,可以帮助个人和企业确保信息的安全性、可用性和完整性。
赛门铁克是信息安全领域全球领先的解决方案提供商,为企业、个人用户和服务供应商提供广泛的内容和网络安全软件及硬件的解决方案,可以帮助个人和企业确保信息的安全性、可用性和完整性。多媒体通信系统基于IP核心交换,可以开放多种接口与企业的各种信息系统对接,大大扩展了企业在语音和信息化方面的应用,使得企业通信系统与信息系统和使用者三者做到了更多的交互;通信也不再是简单的打电话,而变为了一种公司内部人员之间团队协作完成项目,以及内部人员与外部客户之间的一种有效、便捷的通信方式,大大提高企业在行业内的竞争力。
例如捷思锐开发的MCS多媒体通信系统是一套完整的 VoIP平台,它集成了媒体网关、软交换、媒体服务器、应用服务器、边界控制器、小型呼叫中心和简单调度中心的所有功能;采用世界领先的语音通信技术和先进的语音压缩、回音消除及抖动缓冲技术,可以提供高质量的 VoIP语音业务;采用业界领先的视频编解码技术,提供高画质的视频会议功能;支持无纸传真,实现桌面发送和接收传真。
网关(Gateway)设备又称网间连线器、协定转换器,是多个网路间提供数据转换服务的计算机系统或设备。可以说网关设备就是不同网之间的连线器,就是数据要从一个网到另外一个网时要经过“协商”的设备。
基本介绍 中文名 :网关设备 外文名 :Gateway 又称 :网间连线器、协定转换器 网关类型 :区域网路/主机网关 网关功能,网关类型,满足条件,套用前景, 网关功能 在使用不同的通信协定、数据格式或语言时,甚至体系结构完全不同的两种系统之间,网关就是一个翻译器,网关对收到的信息要重新打包,以适应目的系统的需求,同时起到过滤和安全的作用。 网关工作在OSI/RM的传输层及以上的所有层次,它是通过重新封装信息来使它们能够被另一种系统处理的,为此网关还必须能够同各种套用进行通信,包括建立和管理会话、传输以及解析数据等。事实上现在的网关已经不能完全归为一种网路硬体,而可以概括为能够连线不同网路的软体和硬体的结合产品。 网关类型 按照不同的标准可以将网关分成不同的类型 按连线网路划分: 区域网路/主机网关:区域网路/主机网关主要在大型计算机系统和个人计算机之间提供连线服务 区域网路/区域网路网关:这种类型的网关与区域网路/主机网关很类似,不同的是这种网关主要用于连线多个使用不同通信协定或数据传输格式的区域网路。目前大多数网关都是属于这类网关。 网际网路/区域网路网关:这种网关主要用于区域网路和网际网路间的访问和连线控制。 按产品功能划分: 数据网关:数据网关通常在多个使用不同协定及数据格式的网路间提供数据转换功能。 套用网关:套用网关是在使用不同数据格式的环境中,进行数据翻译功能的专用系统。 安全网关:安全网关是各种提供系统(或者网路)安全保障的硬体设备或软体的统称,它是各种技术的有机结合,保护范围从低层次的协定数据包到高层次的具体套用。 满足条件 网关设备兼容多种外部宽频网路接入方式,成为家庭内部网路和外部网路的连线桥梁和门户。网路侧接口类型包括:ADSL、VDSL、LAN、EPON、GPON之一。 连线并控制家庭内部所有可联网设备,成为家庭内部的网路连线中心和控制中心。一般内置2层交换机功能和DHCP功能。用户侧接口类型包括:LAN(普通Ether)/POS(普通电话接口)/Wi-Fi(无线区域网路接口)/IrDA(红外线数据接口)等; 存储、分发家庭内部网路的多媒体内容,成为家庭内部的多媒体中心。 下面是一款家庭网关的产品外观及主要参数: ZXA10 421主要用于FTTH/FTTO套用,提供大客户、专线用户以及多用户的接入,提供乙太网和无线业务接入。 网关 尺寸: 210mm (W) x 245mm (D) x 76mm (H) 供电和功率:12W/DC12V 线路侧:1个PON口(SC/PC) 用户侧:4个10/100Base_T接口; 无线WiFi接口,IEEE 80211b/g 业务功能:数据上网外置PPPOE拨号,有线与无线上网; IPTV外置机顶盒;VOIP外接IAD。 套用前景 网关设备的套用将会是大量的。其最大和最多的套用是在家庭内多个PC同时共享一个宽频网路接入。例如,家中的小孩可以接入Web来学习学校的课程,同时另外一个家庭成员可以同时进行网上购物。实现多个人同时进行网路 *** 作,而不需要等待其他人完成 *** 作。 网关示意图 网关设备的套用不仅仅是高速Inter的接入,未来的宽频接入进入家庭后,将会带来更多的服务内容,不仅是Inter的接入,还有混合视频和音频信息流的可视电话,以及其它互动形式的娱乐服务,如网路游戏等。 网关设备将执行智慧型化的路由算法,把这些信息流(数据)分配给各种电话、智慧型电器、数位电视和音响等设备。例如,高级的家庭网关可以使用呼叫者ID信息来传送电话呼叫给家庭内某个电话,儿童的电话只能送到他们的房间,或晚上10点以后的电话呼叫(不包括紧急电话)只能送到远离卧室的地方。 上述技术如何套用到家庭记忆体在着许多新的发展趋势。首先是高速宽频Inter接入进入家庭。当前大约有1%的美国家庭拥有DSL、Cable数据机,到1999年末有超出1百万的美国家庭安装。Forrester 研究机构预计到2003年将有超出2千万美国家庭拥有通过DSL或Cable数据机的宽频接入。 其次,连网家庭的数目到2002年也将快速增长。Jupiter 通讯公司预计届时将有1千5百万的家庭网路。家庭网路的发展趋势将因家庭记忆体在多个PC,以及其他电气设备的使用而得以加速。在1999年,有60%新的PC购买是来自已有一个PC的家庭。目前已有大约15%的美国家庭拥有多个PC。什么叫网关(通俗易懂)
什么叫网关(通俗易懂)
转自(协议分析论坛) 计算机主机网关的作用是什么? 假设你的名字叫小不点,你住在一个大院子里,你的邻居有很多小伙伴,在门口传达室还有个看大门的李大爷,李大爷就是你的网关。当你想跟院子里的某个小伙伴玩,只要你在院子里大喊一声他的名字,他听到了就会回应你,并且跑出来跟你玩。 但是你不被允许走出大门,你想与外界发生的一切联系,都必须由门口的李大爷(网关)用电话帮助你联系。假如你想找你的同学小明聊天,小明家住在很远的另外一个院子里,他家的院子里也有一个看门的王大爷(小明的网关)。但是你不知道小明家的电话号码,不过你的班主任老师有一份你们班全体同学的名单和电话号码对照表,你的老师就是你的DNS服务器。于是你在家里拨通了门口李大爷的电话,有了下面的对话: 小不点:李大爷,我想找班主任查一下小明的电话号码行吗? 李大爷:好。(接着李大爷给你的班主任挂了电话,问清楚了小明的电话)问到了,他家的号码是211999999 小不点:太好了!李大爷,我想找小明,你再帮我联系一下小明吧。 李大爷:没问题。(接着李大爷向电话局发出了请求接通小明家电话的请求,最后一关当然是被转接到了小明家那个院子的王大爷那里,然后王大爷把电话给转到小明家) 就这样你和小明取得了联系。至于DHCP服务器嘛,可以这样比喻: 你家院子里的居民越来越多了,传达室李大爷那里的电话交换机已经不能满足这么多居民的需求了,所以只好采用了一种新技术叫做DHCP,居民们开机的时候随机得到一个电话号码,每一次得到的号码都可能会不同。你家门口的李大爷:就是你的网关你的班主任:就是你的DNS服务器传达室的电话交换机:就是你的DHCP服务器同上,李大爷和王大爷之间的对话就叫做路由。 另:如果还有个小朋友叫做小暗,他住的院子看门的是孙大爷,因为小暗的院子刚盖好,孙大爷刚来不久,他没有李大爷和王大爷办公室的电话(李大爷和王大爷当然也没有他的电话),这时会有两种情况: 1、居委会的赵大妈告诉了孙大爷关于李、王两位大爷的电话(同时赵大妈也告诉了李、王关于孙的电话),这就叫静态设定路由 2、赵大妈病了,孙大爷自己到处打电话,见人就说:“我是小暗他们院子管电话的”,结果被李、王二位听到了,就记在了他们的通讯录上,然后李、王就给孙大爷回了个电话说:“我是小明(小不点)他们院子管电话的”,这就叫动态设定路由 然后有一天小不点要找小暗,结果自然是小不点给李大爷打电话说:“大爷,我找小暗”(这里省略了李大爷去查小暗电话的过程,假设他知道小暗的电话),李大爷一找通讯录:“哦,小暗的院子的电话是孙大爷管着的,要找小暗自然先要通知孙大爷,我可以通知王大爷让他去找孙大爷,也可以自己直接找孙,那当然是自己直接找孙方便了”,于是李大爷给孙大爷打了电话,然后孙大爷又把电话转到了小暗家。 这里李大爷的通讯录叫做路由表。 李大爷选择是自己直接找孙大爷还是让王大爷帮忙转接叫做路由选择。 李大爷之所以选择直接找孙大爷是有依据的,因为他直接找孙大爷就能一步到位,如果要王大爷转接就需要两步才能完成,这里的“步”叫做“跳数”,李大爷的选择遵循的是最少步骤(跳数)原则(如果他不遵守这个原则,小不点可能就会多等些时间才能找到小暗,最终结果可能导致李大爷因工作不力被炒鱿鱼,这叫做“延时太长,选路原则不合理,换了一个路由器”) 当然,事情总是变化的,小不点和小明吵架了,这些天小不点老是给小暗打电话,小明心里想:“ *** ,他是不是在说我坏话啊?”于是小明决定偷听小不点和小暗的通话,但是他又不能出院子,怎么办呢?小明做了这样一个决定: 首先他告诉自己院里管电话的王大爷说:“你给李大爷打个电话说小暗搬到咱们院子了,以后凡是打给他的电话我来接”,王大爷没反映过来(毕竟年纪大了啊!)就给李大爷打了电话,说:“现在我来管理小暗的电话了,孙已经不管了”,结果李大爷就把他的通讯录改了,这叫做路由欺骗。 以后小不点再找小暗,李大爷就转给王大爷了(其实应该转给孙大爷的),王大爷收到了这个电话就转给了小明(因为他之前已经和小明说好了),小明收到这个电话就假装小暗和小不点通信。因为小明作贼心虚,害怕明天小不点和小暗见面后当面问他,于是通信断了之后,又自己以小不点的名义给小暗通了个电话复述了一遍刚才的话,有这就叫数据窃听再后来,小不点还是不断的和小暗联系,而零落了小明,小明心里嘀咕啊:“我不能总是这样以小暗的身份和小不点通话啊,外一有一天露馅了怎么办!”于是他想了一个更阴险的招数:“干脆我也不偷听你们的电话了,你小不点不是不给我打电话吗!那我让你也给小暗打不了,哼哼!” 这就是最简单的DDOS攻击,孙爷爷心理承受能力弱的现象叫做“数据报处理模块有BUG”,孙爷爷的自杀叫做“路由器瘫痪”。如果是我,就会微笑着和他们拉家常,例如告诉他们“我早就听了天气预报,衣服10分钟前已经收好了”或者“那你妈是人还是妖”或者“和你奶奶一个姓”等等,我这种健全的心理叫做“健壮的数据报处理,能够抵御任何攻击” 孙爷爷瘫了之后,小不点终于不再给小暗打电话了,因为无论他怎么打对方都是忙音,这种现象叫做“拒绝服务”,所以小明的做法还有一个名字叫做“拒绝服务攻击”。 小明终于安静了几天, 几天后,小明的院子来了一个美丽的女孩,名字叫做小丽,小明很喜欢她(小小年纪玩什么早恋!)可是小丽有个很帅的男朋友,小明干瞪眼没办法。当然这里还是要遵循上面的原则:小丽是不能出院子的。那个男的想泡小丽自然只能打电话,于是小明又蠢蠢欲动了:还记得王爷爷是院子的电话总管吗?他之所以能管理电话是因为他有一个通讯录,因为同一个院子可能有2个孩子都叫小明,靠名字无法区分,所以通讯录上每一行只有两项:门牌 电话一号门 1234567 (这个是小明的)二号门 7654321 (这个是小丽的) 王爷爷记性不好,但这总不会错了吧(同一个院子不会有2个“二号门”吧)?每次打电话人家都要说出要找的电话号码,然后通过通讯录去院子里面敲门,比如人家说我找“1234567”,于是王爷爷一比较,哦,是一号门的,他就去敲一号门“听电话”,如果是找“7654321”,那他就找二号门“听电话”。 这里的电话号码就是传说中的“IP地址” 这里的门牌号就是传说中的网卡的’MAC‘地址(每一块网卡的MAC地址都是不一样的,这是网卡的制造商写死在网卡的芯片中的) 小明心里想“奶奶的,老子泡不到你也别想泡”,于是他打起了王爷爷通讯录的主意,经过细心的观察,周密的准备,他终于发现王爷爷有尿频的毛病(毕竟是老人啊),终于在一个月黑风高的白天,王爷爷去上厕所了,小明偷偷的摸进传达室,小心翼翼的改了王爷爷的通讯录 过了几天,小丽的男朋友又给小丽打来了电话,对方报的电话是“7654321”,王爷爷一看通讯录,靠:门牌 电话一号门 1234567 (这个是小明的)一号门 7654321 (注意:这个原来是小丽的,但是被小明改了) 王爷爷不知道改了啊,于是就去找一号门的小明了,小明心里这个美啊,他以小丽父亲的口吻严厉的教训了那个男的和小丽之间不正当的男女关系,结果那个男的恭恭敬敬的挂了电话。当然小丽并不知道整个事情的发生 这里小明的行为叫做“ARP欺骗”(因为在实际的网络上是通过发送ARP数据包来实现的,所以叫做“ARP欺骗”),王爷爷的通讯录叫做“ARP表” 这里要注意:王爷爷现在有两个通讯录了,一个是记录每个院子传达室电话的本本,叫做“路由表”,一个是现在说的记录院子里面详细信息的本本,叫做“ARP表”。 有句命言是“人们总是在追求完美的,尽管永远也做不到”(请记住这句话,因为这是一个大名人--也就是我,说的) 王爷爷的制度中有一条是这么写的“每个月要重新检查一下门牌号和电话的对应本(也就是ARP表)”,这个动作叫做“刷新ARP表”,每个月的时间限制叫做“刷新ARP表的周期”。这样小明为了让那个男的永远不能找到小丽,之后每个月都要偷偷改一次那个通讯录,不过这样也是不得不做的事啊! 补充一点,小明是很聪明的,如果通讯录(ARP表)被改成了这样:门牌(MAC) 电话(IP)一号门 1234567 (这个是小明的)二号门 1234567 (注意:这个被小明改了,但是他一时头晕改错了) 就会是计算机就会d出一个对话框提示“出现重复的IP地址”,最终会导致王爷爷不知所措,于是通知一号门和二号门,你们的电话重复了。这样小丽就知道有人在破坏她的好事,这个现象叫做“骗局被揭穿了” 小不点知道了小明偷听他和小暗的电话,于是就和小暗约定好了密码。小不点在家里把要说的加密了之后告诉小暗。土豆-〉星期三,地瓜-〉请客,笨蛋-〉小不点家。于是小不点告诉小暗:土豆笨蛋地瓜。小明听了???不懂。。。。郁闷了。。。这是加密。 除此之外,小丽也知道了小明改他家的电话号码了。于是王爷爷就登门一个一个把电话和门牌号记下来。并且藏起来不允许外人修改,只能自己有钥匙(密码)。这是ip地址和MAC地址绑定。当有人改了电话号码的时候,就得找王爷爷改。麻烦是麻烦了,但是安全了。不过小明偷偷的把王爷爷的钥匙偷配了一把(盗窃密码成功),于是他还可以修改。这样么,就这样了。网关(Gateway)又称网间连接器、协议转换器。网关在传输层上以实现网络互连,是最复杂的网络互连设备,仅用于两个高层协议不同的网络互连。网关的结构也和路由器类似,不同的是互连层。网关既可以用于广域网互连,也可以用于局域网互连。
解决跨网关技术
现行的IPV4的IP地址是32位的,根据头几位再划分为A、B、C三类地址;但由于INTERNET的迅猛发展,IP资源日渐枯竭,可供分配的IP地越来越少,跟一日千里的INTERNET发展严重冲突,在IPV6还远未能全面升级的情况下,惟有以代理服务器的方式,实行内部网地址跟公网地址进行转化而实现接入INTERNET。
中介作用的代理服务器就是一个网关,也就是这个网关带给现阶段的多媒体通讯系统无尽的烦恼。在IP资源可怜的情况下,惟有以网关甚至多层网关的方式接入宽带网, 因为多媒体通讯系统的协议如H323等要进行业务的双方必须有一方有公网的IP地址,但是现在的宽带有几个用户能符合这个要求?MICOSOFT的NETMEETING等等多媒体通讯系统就是处于这种尴尬的位置;跨网关成为头疼的难题。
跨网关: 网络数据通过层层网关,受制于网关节点速度,网络速度大大降低。 跨网关技术基于底层网络协议,突破网关瓶颈,实现客户点对点交流。
网关曾经是很容易理解的概念。在早期的因特网中,术语网关即指路由器。路由器是网络中超越本地网络的标记, 这个走向未知的“大门”曾经、现在仍然用于计算路由并把分组数据转发到源始网络之外的部分,因此, 它被认为是通向因特网的大门。随着时间的推移,路由器不再神奇,公共的基于IP的广域网的出现和成熟促进了路由器的成长。 现在路由功能也能由主机和交换集线器来行使,网关不再是神秘的概念。现在,路由器变成了多功能的网络设备, 它能将局域网分割成若干网段、互连私有广域网中相关的局域网以及将各广域网互连而形成了因特网, 这样路由器就失去了原有的网关概念。然而术语网关仍然沿用了下来,它不断地应用到多种不同的功能中, 定义网关已经不再是件容易的事。
目前,主要有三种网关:
·协议网关 WNx"N
·应用网关 o:JWN
·安全网关 E-c
唯一保留的通用意义是作为两个不同的域或系统间中介的网关,要克服的差异本质决定了需要的网关类型。
什么是网关
网关曾经是很容易理解的概念。在早期的因特网中,术语网关即指路由器。路由器是网络中超越本地网络的标记, 这个走向未知的“大门”曾经、现在仍然用于计算路由并把分组数据转发到源始网络之外的部分,因此, 它被认为是通向因特网的大门。随着时间的推移,路由器不再神奇,公共的基于IP的广域网的出现和成熟促进了路由器的成长。 现在路由功能也能由主机和交换集线器来行使,网关不再是神秘的概念。现在,路由器变成了多功能的网络设备, 它能将局域网分割成若干网段、互连私有广域网中相关的局域网以及将各广域网互连而形成了因特网, 这样路由器就失去了原有的网关概念。然而术语网关仍然沿用了下来,它不断地应用到多种不同的功能中, 定义网关已经不再是件容易的事。
目前,主要有三种网关:
·协议网关 WNx"N
·应用网关 o:JWN
·安全网关 E-c
唯一保留的通用意义是作为两个不同的域或系统间中介的网关,要克服的差异本质决定了需要的网关类型。
一、协议网关
协议网关通常在使用不同协议的网络区域间做协议转换。这一转换过程可以发生在OSI参考模型的第2层、第3层或2、3层之间。 但是有两种协议网关不提供转换的功能:安全网关和管道。由于两个互连的网络区域的逻辑差异, 安全网关是两个技术上相似的网络区域间的必要中介。如私有广域网和公有的因特网。这一特例在后续的“组合过滤网关”中讨论, 此部分中集中于实行物理的协议转换的协议网关。
1、管道网关
管道是通过不兼容的网络区域传输数据的比较通用的技术。数据分组被封装在可以被传输网络识别的帧中,到达目的地时, 接收主机解开封装,把封装信息丢弃,这样分组就被恢复到了原先的格式。
管道技术只能用于3层协议,从SNA到IPv6。虽然管道技术有能够克服特定网络拓扑限制的优点,它也有缺点。 管道的本质可以隐藏不该接受的分组,简单来说,管道可以通过封装来攻破防火墙,把本该过滤掉的数据传给私有的网络区域。
2、专用网关
很多的专用网关能够在传统的大型机系统和迅速发展的分布式处理系统间建立桥梁。 典型的专用网关用于把基于PC的客户端连到局域网边缘的转换器。该转换器通过X25网络提供对大型机系统的访问。 shoO
这些网关通常是需要安装在连接到局域网的计算机上的便宜、单功能的电路板,这使其价格很低且很容易升级。在上图的例子中, 该单功能的网关将大型机时代的硬连线的终端和终端服务器升级为PC机和局域网。
3、2层协议网关
2层协议网关提供局域网到局域网的转换,它们通常被称为翻译网桥而不是协议网关。 在使用不同帧类型或时钟频率的局域网间互连可能就需要这种转换。
(1)帧格式差异 IEEE802兼容的局域网共享公共的介质访问层,但是它们的帧结构和介质访问机制使它们不能直接互通。
翻译网桥利用了2层的共同点,如MAC地址,提供帧结构不同部分的动态翻译,使它们的互通成为了可能。 第一代局域网需要独立的设备来提供翻译网桥,如今的多协议交换集线器通常提供高带宽主干, 在不同帧类型间可作为翻译网桥,现在翻译网桥的幕后性质使这种协议转换变得模糊,独立的翻译设备不再需要, 多功能交换集线器天生就具有2层协议转换网关的功能。
替代使用仅涉及2层的设备如翻译网桥或多协议交换集线器的另一种选择是使用3层设备:路由器。 长期以来路由器就是局域网主干的重要组成部分。如果路由器用于互连局域网和广域网, 它们通常都支持标准的局域网接口,经过适当的配置,路由器很容易提供不同帧类型的翻译。 这种方案的缺点是如果使用3层设备路由器需要表查询,这是软件功能,而象交换机和集线器等2层设备的功能由硬件来实现, 从而可以运行得更快。
(2)传输率差异
很多过去的局域网技术已经提升了传输速率,例如,IEEE 8023以太网现在有 10Mbps、100Mbps和1bps的版本, 它们的帧结构是相同的, 主要的区别在于物理层以及介质访问机制,在各种区别中,传输速率是最明显的差异。令牌环网也提升了传输速率, 早期版本工作在4Mbps速率下,现在的版本速率为16Mbps,100Mbps的FDDI是直接从令牌环发展来的,通常用作令牌环网的主干。 这些仅有时钟频率不同的局域网技术需要一种机制在两个其它方面都兼容的局域网间提供缓冲的接口,现今的多协议、 高带宽的交换集线器提供了能够缓冲速率差异的健壮的背板1494!
2 什么是网关
如今的多协议局域网可以为同一局域网技术的不同速率版本提供内部速率缓冲,还可以为不同的802兼容的局域网提供2层帧转换。 路由器也可以做速率差异的缓冲工作,它们相对于交换集线器的长处是它们的内存是可扩展的。 其内存缓存进入和流出分组到一定程度以决定是否有相应的访问列表(过滤)要应用,以及决定下一跳, 该内存还可以用于缓存可能存在于各种网络拓扑间的速率差异
二、应用网关
应用网关是在使用不同数据格式间翻译数据的系统。典型的应用网关接收一种格式的输入,将之翻译, 然后以新的格式发送。输入和输出接口可以是分立的也可以使用同一网络连接。
一种应用可以有多种应用网关。如Email可以以多种格式实现,提供Email的服务器可能需要与各种格式的邮件服务器交互, 实现此功能唯一的方法是支持多个网关接口。
应用网关也可以用于将局域网客户机与外部数据源相连,这种网关为本地主机提供了与远程交互式应用的连接。 将应用的逻辑和执行代码置于局域网中客户端避免了低带宽、高延迟的广域网的缺点,这就使得客户端的响应时间更短。 应用网关将请求发送给相应的计算机,获取数据,如果需要就把数据格式转换成客户机所要求的格式。
本文不对所有的应用网关配置作详尽的描述,这些例子应该概括了应用网关的各种分支。它们通常位于网络数据的交汇点, 为了充分地支持这样的交汇点,需要包括局域网、广域网在内的多种网络技术的结合。Tys
三、安全网关
安全网关是各种技术有趣的融合,具有重要且独特的保护作用,其范围从协议级过滤到十分复杂的应用级过滤。防火墙主要有三类: 分组过滤 电路网关 应用网关
注意:三种中只有一种是过滤器,其余都是网关。 这三种机制通常结合使用。过滤器是映射机制,可区分合法的和欺骗包。每种方法都有各自的能力和限制,要根据安全的需要仔细评价。
1、包过滤器
包过滤是安全映射最基本的形式,路由软件可根据包的源地址、目的地址或端口号建立许可权, 对众所周知的端口号的过滤可以阻止或允许网际协议如 FTP、rlogin等。过滤器可对进入和/或流出的数据 *** 作, 在网络层实现过滤意味着路由器可以为所有应用提供安全映射功能。作为(逻辑意义上的)路由器的常驻部分, 这种过滤可在任何可路由的网络中自由使用,但不要把它误解为万能的,包过滤有很多弱点,但总比没有好。
包过滤很难做好,尤其当安全需求定义得不好且不细致的时候更是如此。这种过滤也很容易被攻破。包过滤比较每个数据包, 基于包头信息与路由器的访问列表的比较来做出通过/不通过的决定,这种技术存在许多潜在的弱点。首先, 它直接依赖路由器管理员正确地编制权限集,这种情况下,拼写的错误是致命的, 可以在防线中造成不需要任何特殊技术就可以攻破的漏洞。即使管理员准确地设计了权限,其逻辑也必须毫无破绽才行。 虽然设计路由似乎很简单,但开发和维护一长套复杂的权限也是很麻烦的, 必须根据防火墙的权限集理解和评估每天的变化,新添加的服务器如果没有明确地被保护,可能就会成为攻破点。
随着时间的推移,访问权限的查找会降低路由器的转发速度。每当路由器收到一个分组, 它必须识别该分组要到达目的地需经由的下一跳地址,这必将伴随着另一个很耗费CPU的工作: 检查访问列表以确定其是否被允许到达该目的地。访问列表越长,此过程要花的时间就越多。
包过滤的第二个缺陷是它认为包头信息是有效的,无法验证该包的源头。 头信息很容易被精通网络的人篡改, 这种篡改通常称为“欺骗”。
包过滤的种种弱点使它不足以保护你的网络资源,最好与其它更复杂的过滤机制联合使用,而不要单独使用。
2、链路网关
链路级网关对于保护源自私有、安全的网络环境的请求是很理想的。这种网关拦截TCP请求,甚至某些UDP请求, 然后代表数据源来获取所请求的信息。该代理服务器接收对万维网上的信息的请求,并代表数据源完成请求。实际上, 此网关就象一条将源与目的连在一起的线,但使源避免了穿过不安全的网络区域所带来的风险。
3 什么是网关
这种方式的请求代理简化了边缘网关的安全管理,如果做好了访问控制,除了代理服务器外所有出去的数据流都被阻塞。 理想情况下,此服务器有唯一的地址,不属于任何内部使用的网段。这绝对使无意中微妙地暴露给不安全区域的信息量最小化, 只有代理服务器的网络地址可被外部得到,而不是安全区域中每个联网的计算机的网络地址。
3、应用网关
应用网关是包过滤最极端的反面。包过滤实现的是对所有穿过网络层包过滤设备的数据的通用保护, 而应用网关在每个需要保护的主机上放置高度专用的应用软件,它防止了包过滤的陷阱,实现了每个主机的坚固的安全。
应用网关的一个例子是病毒扫描器,这种专用软件已经成了桌面计算的主要产品之一。它在启动时调入内存并驻留在后台, 持续地监视文件不受已知病毒的感染,甚至是系统文件的改变。 病毒扫描器被设计用于在危害可能产生前保护用户不受到病毒的潜在损害。
这种保护级别不可能在网络层实现,那将需要检查每个分组的内容,验证其来源,确定其正确的网络路径, 并确定其内容是有意义的还是欺骗性的。这一过程将产生无法负担的过载,严重影响网络性能。
4、组合过滤网关
使用组合过滤方案的网关通过冗余、重叠的过滤器提供相当坚固的访问控制,可以包括包、链路和应用级的过滤机制。 这样的安全网关最普通的实现是象岗哨一样保护私有网段边缘的出入点,通常称为边缘网关或防火墙。 这一重要的责任通常需要多种过滤技术以提供足够的防卫。下图所示为由两个组件构成的安全网关:一个路由器和一个处理机。 结合在一起后,它们可以提供协议、链路和应用级保护。
这种专用的网关不象其它种类的网关一样,需要提供转换功能。作为网络边缘的网关,它们的责任是控制出入的数据流。 显然的,由这种网关联接的内网与外网都使用IP协议,因此不需要做协议转换,过滤是最重要的。
保护内网不被非授权的外部网络访问的原因是显然的。控制向外访问的原因就不那么明显了。在某些情况下, 是需要过滤发向外部的数据的。例如,用户基于浏览的增值业务可能产生大量的WAN流量,如果不加控制, 很容易影响网络运载其它应用的能力,因此有必要全部或部分地阻塞此类数据。
联网的主要协议IP是个开放的协议,它被设计用于实现网段间的通信。这既是其主要的力量所在,同时也是其最大的弱点。 为两个IP网提供互连在本质上创建了一个大的IP网, 保卫网络边缘的卫士--防火墙--的任务就是在合法的数据和欺骗性数据之间进行分辨。
5、实现中的考虑
实现一个安全网关并不是个容易的任务,其成功靠需求定义、仔细设计及无漏洞的实现。首要任务是建立全面的规则, 在深入理解安全和开销的基础上定义可接受的折衷方案,这些规则建立了安全策略。
安全策略可以是宽松的、严格的或介于二者之间。在一个极端情况下,安全策略的基始承诺是允许所有数据通过,例外很少, 很易管理,这些例外明确地加到安全体制中。这种策略很容易实现,不需要预见性考虑,保证即使业余人员也能做到最小的保护。 另一个极端则极其严格,这种策略要求所有要通过的数据明确指出被允许,这需要仔细、着意的设计,其维护的代价很大, 但是对网络安全有无形的价值。从安全策略的角度看,这是唯一可接受的方案。在这两种极端之间存在许多方案,它们在易于实现、 使用和维护代价之间做出了折衷,正确的权衡需要对危险和代价做出仔细的评估。首先介绍osi七层网络模型,即网络被分为七层,打个比喻,就像寄信,你先把信放到邮箱,邮递员拿到区邮局,再到市邮局、省邮局,再到对方的省邮局、市邮局、区邮局、邮箱;网络发送数据的工作也如此,这7层可简称第一层、第二层、第三层……
集线器,交换机,网桥,功能上大致是同一个东西,都是工作在第二层(比喻:都是区邮局的员工)
中继器没什么用,只是线路太长,信号会减弱,中继器负责加强信号(比喻:邮递员送件过程中的歇脚地)
服务器、工作站,实际上都是一台电脑,这台电脑用来为其他电脑服务,就叫服务器,用来工作就叫工作站
网卡:数据进入设备的“门”
路由器:工作在三层的设备(比喻:省邮局)
因为组建局域网,不连接因特网,不需要路由器(比喻:室内寄信,不用跑到省邮局盖章)
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)