宽带路由器关键技术 经济实用的网络共享方式
作者: CBISMB编辑
责任编辑: 阚智
来源: 中小企业IT采购
时间: 2007-05-24 14:46
关键字: 宽带路由器,网件
浏览: 0
点赞: 0
收藏: 0
一、网络地址转换(NAT)技术
将内部网络中使用的私有地址(Internet 上的不合法地址),转换成合法的公网上的 IP 地址,在 Internet 上使用。其具体的做法是把 IP 包内的地址域用合法的IP地址来替换。NAT 设备维护一个状态表,用来把非法的IP地址映射到合法的 IP 地址上去。每个包在 NAT 设备中都被翻译成正确的 IP 地址发往下一级,或通过端口映射方式将多个非法 IP 地址映射到一个合法 IP 地址的不同端口,系统则维护着一个端口映射的状态表用于 IP 地址的转换。
由于采用了 NAT 之后,NAT 设备就隐藏了内部主机的所有 TCP/IP 级信息,同时也起到了一定的安全作用。
二、状态数据包检查(SPI)防火墙技术
防火墙就是安装在内网与外网之间的安全检查设备,也可以说是企业 LAN 与 Internet 之间的安全网关,防治偷窃、毁坏、篡改内网上的敏感数据,将 Internet 的不安全性屏蔽在内网之外。
目前最为先进的状态数据包检查(SPI) 防火墙提供最高级别的安全性。它在默认情况下拒绝所有来自外网的请求,并且对通过防火墙的发自内网请求的连接动态地维护所有通信的状态(连接),只有是对内网请求回复的连接并符合已建立的状态数据库的包才能通过防火墙进入内网。这种方案不仅可使网络用户访问 Internet 资源,同时又能防止 Internet 上的黑客访问内部网络资源。
“状态检查”一词是指防火墙记忆连接状态和在其内存中为每个数据流建立上下文的能力。凭借这些信息,该防火墙能够比不支持 SPI 的防火墙作出更有根据的策略决策。
只有具有基于硬件的采用目前最为先进的状态数据包检查(SPI)技术的防火墙才是真正意义上的防火墙(True Firewall)。
三、拒绝服务攻击检测
拒绝服务攻击检测(Denial of Services Attack Detection)指的是具此功能的设备将监测安全内网之外的流量,检查其数据通信的模式并与所有已知的黑客(Hacker)攻击的典型模式相比较,如果符合黑客攻击模式,则拒绝所有此数据包通过,从而起到安全保护内网的作用。
四、静态和动态 Web 内容过滤(Content Filter)技术
有兴趣保护其用户远离不良内容的小型办公室和家庭消费者应选择一个同时支持静态和动态内容过滤的防火墙。静态过滤,就是可自定义可信站点和禁止站点。比如,静态过滤可以阻塞对 http://www.playboy.com/ 的访问,以拒绝访问“花花公子”杂志的网站。
动态过滤也很重要,因为 Internet 和 Web 都不是静态的。相反,新的网页正已每年数以亿计的速度添加到Web,每分钟都有新的站点和页面出现。此外,Web 页也不是一个单一的实体,而是由众多独立的组件组成,每个组件都有它们自己的 URL,浏览器可以单独和独立地获取它们。其中每个组件都可以通过其 URL 直接访问,因此也可能是过滤对象。
动态内容过滤可以通过设定 URL 中的关键词来过滤含此关键词的站点以确定用户是否应获取某一请求的 URL,即便该 URL 没有明确定义。比如,动态过滤可以拒绝访问 URL 中有“porn”字样的所有站点。
理想的防火墙不仅应支持静态内容过滤,还应能让您选择一个可以自行决定阻塞的广泛类别列表,如拍卖、聊天、教育、就业搜索、儿童内容、免费页、游戏、仇恨/歧视、历史、玩笑、凶杀、裸体、新闻、股票、泳衣,等等。这种功能可使办公室管理员和父母允许或阻塞对任何站点类别的访问。而且,由于 Internet 始终都在变化,因此应当定期用被归入站点类型的新 URL 更新类别列表。
五、虚拟私有网(VPN) 技术
VPN 技术是指在公共的网络平台如 Internet 上搭建隧道传输用户私有的数据,从而使得在不安全的互联网上安全地传输私有数据来实现用户的广域互联。这种技术的效果类似于传统的租用专线联网方式,但其费用远比采用专线方式联网要便宜。
如下图所示,VPN 可以看成是两个具 VPN 能力的设备(如PC或防火墙)通过 Internet 形成的一条安全的隧道。在隧道的开始端,用户的私有数据通过封装和加密之后在 Internet 上传输,到了隧道的终止端,接收到的数据经过解封和解密之后安全地到达用户的远端。
目前常见的 VPN 隧道协议分三种:点到点隧道协议 PPTP,第二层隧道协议 L2TP,网络层隧道协议IPSec。现在一般情况下的 VPN设 备都会支持 IPSec 协议。
常见的利用 VPN 技术的组网方式分三种(如下图所示):
远程访问(客户端到网关,Client to Gateway):
一般用于个人远程用户、出差用户等对公司集中资源的访问。
Intranet VPN(网关到网关,Gateway to Gateway):
一般用于企业不同分支机构之间的互连。
Extranet VPN(网关到网关,Gateway to Gateway):
用于合作伙伴/客户等与企业之间的安全互连。将
早期用于远程访问是 VPN 应用的主要类型,但随着宽带接入的快速发展,目前后两种 VPN 的应用已成为企业尤其是中小型企业利用 Internet 组建公司广域网的主流方式。
六、虚拟服务主机(Port Forwarding)技术
在默认情况下防火墙通过 NAT 技术将整个内网已隐藏起来了,对外网而言只显示为一个公网设备。所谓建立虚拟服务器指的是让某台使用局域网保留地址(非真实IP地址)的计算机上的相关服务(例如 Web 服务、FTP 服务)可以被 Internet 上的用户使用。也可以指定内网中的某台计算机可以接收所有从外网主动发起的连接请求,则这台计算机就称为 DMZ(非军事区)机。
如下图所示,具体的技术实现就是宽带路由器对来自外网的连接请求进行判断,如果符合内网某虚拟服务器的端口,则将该连接请求转向此计算机。称之为 Port Forwarding 技术。
将内部网络中使用的私有地址(Internet 上的不合法地址),转换成合法的公网上的 IP 地址,在 Internet 上使用。其具体的做法是把 IP 包内的地址域用合法的IP地址来替换。NAT 设备维护一个状态表,用来把非法的IP地址映射到合法的 IP 地址上去。每个包在 NAT 设备中都被翻译成正确的 IP 地址发往下一级,或通过端口映射方式将多个非法 IP 地址映射到一个合法 IP 地址的不同端口,系统则维护着一个端口映射的状态表用于 IP 地址的转换。
由于采用了 NAT 之后,NAT 设备就隐藏了内部主机的所有 TCP/IP 级信息,同时也起到了一定的安全作用。
二、状态数据包检查(SPI)防火墙技术
防火墙就是安装在内网与外网之间的安全检查设备,也可以说是企业 LAN 与 Internet 之间的安全网关,防治偷窃、毁坏、篡改内网上的敏感数据,将 Internet 的不安全性屏蔽在内网之外。
目前最为先进的状态数据包检查(SPI) 防火墙提供最高级别的安全性。它在默认情况下拒绝所有来自外网的请求,并且对通过防火墙的发自内网请求的连接动态地维护所有通信的状态(连接),只有是对内网请求回复的连接并符合已建立的状态数据库的包才能通过防火墙进入内网。这种方案不仅可使网络用户访问 Internet 资源,同时又能防止 Internet 上的黑客访问内部网络资源。
“状态检查”一词是指防火墙记忆连接状态和在其内存中为每个数据流建立上下文的能力。凭借这些信息,该防火墙能够比不支持 SPI 的防火墙作出更有根据的策略决策。
只有具有基于硬件的采用目前最为先进的状态数据包检查(SPI)技术的防火墙才是真正意义上的防火墙(True Firewall)。
三、拒绝服务攻击检测
拒绝服务攻击检测(Denial of Services Attack Detection)指的是具此功能的设备将监测安全内网之外的流量,检查其数据通信的模式并与所有已知的黑客(Hacker)攻击的典型模式相比较,如果符合黑客攻击模式,则拒绝所有此数据包通过,从而起到安全保护内网的作用。
四、静态和动态 Web 内容过滤(Content Filter)技术
有兴趣保护其用户远离不良内容的小型办公室和家庭消费者应选择一个同时支持静态和动态内容过滤的防火墙。静态过滤,就是可自定义可信站点和禁止站点。比如,静态过滤可以阻塞对 http://www.playboy.com/ 的访问,以拒绝访问“花花公子”杂志的网站。
动态过滤也很重要,因为 Internet 和 Web 都不是静态的。相反,新的网页正已每年数以亿计的速度添加到Web,每分钟都有新的站点和页面出现。此外,Web 页也不是一个单一的实体,而是由众多独立的组件组成,每个组件都有它们自己的 URL,浏览器可以单独和独立地获取它们。其中每个组件都可以通过其 URL 直接访问,因此也可能是过滤对象。
动态内容过滤可以通过设定 URL 中的关键词来过滤含此关键词的站点以确定用户是否应获取某一请求的 URL,即便该 URL 没有明确定义。比如,动态过滤可以拒绝访问 URL 中有“porn”字样的所有站点。
理想的防火墙不仅应支持静态内容过滤,还应能让您选择一个可以自行决定阻塞的广泛类别列表,如拍卖、聊天、教育、就业搜索、儿童内容、免费页、游戏、仇恨/歧视、历史、玩笑、凶杀、裸体、新闻、股票、泳衣,等等。这种功能可使办公室管理员和父母允许或阻塞对任何站点类别的访问。而且,由于 Internet 始终都在变化,因此应当定期用被归入站点类型的新 URL 更新类别列表。
五、虚拟私有网(VPN) 技术
VPN 技术是指在公共的网络平台如 Internet 上搭建隧道传输用户私有的数据,从而使得在不安全的互联网上安全地传输私有数据来实现用户的广域互联。这种技术的效果类似于传统的租用专线联网方式,但其费用远比采用专线方式联网要便宜。
如下图所示,VPN 可以看成是两个具 VPN 能力的设备(如PC或防火墙)通过 Internet 形成的一条安全的隧道。在隧道的开始端,用户的私有数据通过封装和加密之后在 Internet 上传输,到了隧道的终止端,接收到的数据经过解封和解密之后安全地到达用户的远端。
目前常见的 VPN 隧道协议分三种:点到点隧道协议 PPTP,第二层隧道协议 L2TP,网络层隧道协议IPSec。现在一般情况下的 VPN设 备都会支持 IPSec 协议。
常见的利用 VPN 技术的组网方式分三种(如下图所示):
远程访问(客户端到网关,Client to Gateway):
一般用于个人远程用户、出差用户等对公司集中资源的访问。
Intranet VPN(网关到网关,Gateway to Gateway):
一般用于企业不同分支机构之间的互连。
Extranet VPN(网关到网关,Gateway to Gateway):
用于合作伙伴/客户等与企业之间的安全互连。将
早期用于远程访问是 VPN 应用的主要类型,但随着宽带接入的快速发展,目前后两种 VPN 的应用已成为企业尤其是中小型企业利用 Internet 组建公司广域网的主流方式。
六、虚拟服务主机(Port Forwarding)技术
在默认情况下防火墙通过 NAT 技术将整个内网已隐藏起来了,对外网而言只显示为一个公网设备。所谓建立虚拟服务器指的是让某台使用局域网保留地址(非真实IP地址)的计算机上的相关服务(例如 Web 服务、FTP 服务)可以被 Internet 上的用户使用。也可以指定内网中的某台计算机可以接收所有从外网主动发起的连接请求,则这台计算机就称为 DMZ(非军事区)机。
如下图所示,具体的技术实现就是宽带路由器对来自外网的连接请求进行判断,如果符合内网某虚拟服务器的端口,则将该连接请求转向此计算机。称之为 Port Forwarding 技术。
©本站发布的所有内容,包括但不限于文字、图片、音频、视频、图表、标志、标识、广告、商标、商号、域名、软件、程序等,除特别标明外,均来源于网络或用户投稿,版权归原作者或原出处所有。我们致力于保护原作者版权,若涉及版权问题,请及时联系我们进行处理。
