網絡交換機與路由器的區別:
路由器是找路的。
通過路由器連接成整個WAN。
交換機是連接內部網絡的,例如我們的局域網。
當然現在已經很少把它們分開來說了,因爲我們家庭的ADSL modem已經把撥號、路由、交換機三者的功能都整合起來了,差點忘了,還整合了最新的技術,無線。。。
所以現在大家一說到這什麼路由、交換機,就把他們當作聯網的設備就行了。。。
硬件防火牆主要功能(轉)
其實無論硬件還是軟件防火牆最基本的功能應該就是過濾網絡包了,當然硬件會更專業,速度更快一點。。。
這篇是轉的baidu知道,因爲這些功能都大同小異,這篇也寫得不錯,就轉過來和大家分享了。。。
第一要素:防火牆的基本功能
防火牆系統可以說是網絡的第一道防線,因此一個企業在決定使用防火牆保護內部網絡的安全時,它首先需要了解一個防火牆系統應具備的基本功能,這是用戶選擇防火牆產品的依據和前提。一個成功的防火牆產品應該具有下述基本功能:
防火牆的設計策略應遵循安全防範的基本原則——“除非明確允許,否則就禁止”; 防火牆本身支持安全策略,而不是添加上去的;如果組織機構的安全策略發生改變,可以加入新的服務;有先進的認證手段或有掛鉤程序,可以安裝先進的認證方法;如果需要,可以運用過濾技術允許和禁止服務;可以使用FTP和Telnet等服務代理,以便先進的認證手段可以被安裝和運行在防火牆上;擁有界面友好、易於編程的IP過濾語言,並可以根據數據包的性質進行包過濾,數據包的性質有目標和源IP地址、協議類型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站網絡接口等。
如果用戶需要NNTP(網絡消息傳輸協議)、XWindow、HTTP和Gopher等服務,防火牆應該包含相應的代理服務程序。防火牆也應具有集中郵件的功能,以減少SMTP服務器和外界服務器的直接連接,並可以集中處理整個站點的電子郵件。防火牆應允許公衆對站點的訪問,應把信息服務器和其他內部服務器分開。
防火牆應該能夠集中和過濾撥入訪問,並可以記錄網絡流量和可疑的活動。此外,爲了使日誌具有可讀性,防火牆應具有精簡日誌的能力。雖然沒有必要讓防火牆的操作系統和公司內部使用的操作系統一樣,但在防火牆上運行一個管理員熟悉的操作系統會使管理變得簡單。防火牆的強度和正確性應該可被驗證,設計儘量簡單,以便管理員理解和維護。防火牆和相應的操作系統應該用補丁程序進行升級且升級必須定期進行。
正像前面提到的那樣,Internet每時每刻都在發生着變化,新的易攻擊點隨時可能會產生。當新的危險出現時,新的服務和升級工作可能會對防火牆的安裝產生潛在的阻力,因此防火牆的可適應性是很重要的。
第二要素:企業的特殊要求
企業安全政策中往往有些特殊需求不是每一個防火牆都會提供的,這方面常會成爲選擇防火牆的考慮因素之一,常見的需求如下:
1、網絡地址轉換功能(NAT)
進行地址轉換有兩個好處:其一是隱藏內部網絡真正的IP,這可以使黑客無法直接攻擊內部網絡,這也是筆者之所以要強調防火牆自身安全性問題的主要原因;另一個好處是可以讓內部使用保留的IP,這對許多IP不足的企業是有益的。
2、雙重DNS
當內部網絡使用沒有註冊的IP地址,或是防火牆進行IP轉換時,DNS也必須經過轉換,因爲,同樣的一個主機在內部的IP與給予外界的IP將會不同,有的防火牆會提供雙重DNS,有的則必須在不同主機上各安裝一個DNS。
3、虛擬專用網絡(VPN)
VPN可以在防火牆與防火牆或移動的客戶端之間對所有網絡傳輸的內容加密,建立一個虛擬通道,讓兩者感覺是在同一個網絡上,可以安全且不受拘束地互相存取。
4、掃毒功能
大部分防火牆都可以與防病毒軟件搭配實現掃毒功能,有的防火牆則可以直接集成掃毒功能,差別只是掃毒工作是由防火牆完成,或是由另一臺專用的計算機完成。
5、特殊控制需求
有時候企業會有特別的控制需求,如限制特定使用者才能發送Email,FTP只能下載文件不能上傳文件,限制同時上網人數,限制使用時間或阻塞Java、ActiveX控件等,依需求不同而定。
第三要素:與用戶網絡結合
1、管理的難易度
防火牆管理的難易度是防火牆能否達到目的的主要考慮因素之一。一般企業之所以很少以已有的網絡設備直接當作防火牆的原因,除了先前提到的包過濾,並不能達到完全的控制之外,設定工作困難、須具備完整的知識以及不易除錯等管理問題,更是一般企業不願意使用的主要原因。
2、自身的安全性
大多數人在選擇防火牆時都將注意力放在防火牆如何控制連接以及防火牆支持多少種服務,但往往忽略了一點,防火牆也是網絡上的主機之一,也可能存在安全問題,防火牆如果不能確保自身安全,則防火牆的控制功能再強,也終究不能完全保護內部網絡。
大部分防火牆都安裝在一般的操作系統上,如Unix、NT系統等。在防火牆主機上執行的除了防火牆軟件外,所有的程序、系統核心,也大多來自於操作系統本身的原有程序。當防火牆主機上所執行的軟件出現安全漏洞時,防火牆本身也將受到威脅。此時,任何的防火牆控制機制都可能失效,因爲當一個黑客取得了防火牆上的控制權以後,黑客幾乎可爲所欲爲地修改防火牆上的訪問規則,進而侵入更多的系統。因此防火牆自身應有相當高的安全保護。
3、完善的售後服務
我們認爲,用戶在選購防火牆產品時,除了從以上的功能特點考慮之外,還應該注意好的防火牆應該是企業整體網絡的保護者,並能彌補其它操作系統的不足,使操作系統的安全性不會對企業網絡的整體安全造成影響。防火牆應該能夠支持多種平臺,因爲使用者纔是完全的控制者,而使用者的平臺往往是多種多樣的,它們應選擇一套符合現有環境需求的防火牆產品。由於新產品的出現,就會有人研究新的破解方法,所以好的防火牆產品應擁有完善及時的售後服務體系。
4、完整的安全檢查
好的防火牆還應該向使用者提供完整的安全檢查功能,但是一個安全的網絡仍必須依靠使用者的觀察及改進,因爲防火牆並不能有效地杜絕所有的惡意封包,企業想要達到真正的安全仍然需要內部人員不斷記錄、改進、追蹤。防火牆可以限制唯有合法的使用者才能進行連接,但是否存在利用合法掩護非法的情形仍需依靠管理者來發現。
5、結合用戶情況
在選購一個防火牆時,用戶應該從自身考慮以下的因素:
網絡受威脅的程度;
若入侵者闖入網絡,將要受到的潛在的損失;
其他已經用來保護網絡及其資源的安全措施;
由於硬件或軟件失效,或防火牆遭到“拒絕服務攻擊”,而導致用戶不能訪問Internet,造成的整個機構的損失;
機構所希望提供給Internet的服務,希望能從Internet得到的服務以及可以同時通過防火牆的用戶數目;
網絡是否有經驗豐富的管理員;
今後可能的要求,如要求增加通過防火牆的網絡活動或要求新的Internet服務。
