企业宽带路由器关键技术介绍及工作原理
作者: CBINews编辑
责任编辑: 阚智
来源: 中小企业IT采购
时间: 2006-05-18 10:23
关键字: 宽带路由器,网件
浏览: 0
点赞: 0
收藏: 0
1.网络地址转换(NAT)技术
将内将内部网络中使用的私有地址(Internet上的不合法地址),转换成合法的公网上的IP地址,在Internet上使用。其具体的做法是把IP包内的地址域用合法的IP地址来替换。NAT设备维护一个状态表,用来把非法的IP地址映射到合法的IP地址上去。每个包在NAT设备中都被翻译成正确的IP地址发往下一级,或通过端口映射方式将多个非法IP地址映射到一个合法IP地址的不同端口,系统则维护着一个端口映射的状态表用于IP地址的转换。
将内由于采用了NAT之后,NAT设备就隐藏了内部主机的所有TCP/IP级信息,同时也起到了一定的安全作用。
2.状态数据包检查(SPI)防火墙技术
将内防火墙就是安装在内网与外网之间的安全检查设备,也可以说是企业LAN与Internet之间的安全网关,防治偷窃、毁坏、篡改内网上的敏感数据,将Internet的不安全性屏蔽在内网之外。
将内目前最为先进的状态数据包检查(SPI) 防火墙提供最高级别的安全性。它在默认情况下拒绝所有来自外网的请求,并且对通过防火墙的发自内网请求的连接动态地维护所有通信的状态(连接),只有是对内网请求回复的连接并符合已建立的状态数据库的包才能通过防火墙进入内网。这种方案不仅可使网络用户访问Internet 资源,同时又能防止Internet 上的黑客访问内部网络资源。
将内“状态检查”一词是指防火墙记忆连接状态和在其内存中为每个数据流建立上下文的能力。凭借这些信息,该防火墙能够比不支持SPI的防火墙作出更有根据的策略决策。
将内只有具有基于硬件的采用目前最为先进的状态数据包检查(SPI)技术的防火墙才是真正意义上的防火墙(True Firewall)。
3.拒绝服务攻击检测
将内拒绝服务攻击检测(Denial of Services Attack Detection)指的是具此功能的设备将监测安全内网之外的流量,检查其数据通信的模式并与所有已知的黑客(Hacker)攻击的典型模式相比较,如果符合黑客攻击模式,则拒绝所有此数据包通过,从而起到安全保护内网的作用。
4.静态和动态Web内容过滤(Content Filter)技术
将内有兴趣保护其用户远离不良内容的小型办公室和家庭消费者应选择一个同时支持静态和动态内容过滤的防火墙。静态过滤,就是可自定义可信站点和禁止站点。比如,静态过滤可以阻塞对http://www.playboy.com/ 的访问,以拒绝访问“花花公子”杂志的网站。
将内动态过滤也很重要,因为Internet 和Web 都不是静态的。相反,新的网页正已每年数以亿计的速度添加到Web,每分钟都有新的站点和页面出现。此外,Web 页也不是一个单一的实体,而是由众多独立的组件组成,每个组件都有它们自己的URL,浏览器可以单独和独立地获取它们。其中每个组件都可以通过其URL 直接访问,因此也可能是过滤对象。
将内动态内容过滤可以通过设定URL中的关键词来过滤含此关键词的站点以确定用户是否应获取某一请求的URL,即便该URL 没有明确定义。比如,动态过滤可以拒绝访问URL 中有“porn”字样的所有站点。
理想的防火墙不仅应支持静态内容过滤,还应能让您选择一个可以自行决定阻塞的广泛类别列表,如拍卖、聊天、教育、就业搜索、儿童内容、免费页、游戏、仇恨/歧视、历史、玩笑、凶杀、裸体、新闻、股票、泳衣,等等。这种功能可使办公室管理员和父母允许或阻塞对任何站点类别的访问。而且,由于Internet 始终都在变化,因此应当定期用被归入站点类型的新URL更新类别列表。
5.虚拟私有网(VPN) 技术
将内VPN技术是指在公共的网络平台如Internet上搭建隧道传输用户私有的数据,从而使得在不安全的互联网上安全地传输私有数据来实现用户的广域互联。这种技术的效果类似于传统的租用专线联网方式,但其费用远比采用专线方式联网要便宜。
将内如下图所示,VPN可以看成是两个具VPN能力的设备(如PC或防火墙)通过Internet形成的一条安全的隧道。在隧道的开始端,用户的私有数据通过封装和加密之后在Internet上传输,到了隧道的终止端,接收到的数据经过解封和解密之后安全地到达用户的远端。
将内目前常见的VPN隧道协议分三种:点到点隧道协议PPTP,第二层隧道协议L2TP,网络层隧道协议IPSec。现在一般情况下的VPN设备都会支持IPSec协议。
将内常见的利用VPN技术的组网方式分三种(如下图所示):
远程访问(客户端到网关,Client to Gateway):
一般用于个人远程用户、出差用户等对公司集中资源的访问。
Intranet VPN(网关到网关,Gateway to Gateway):
一般用于企业不同分支机构之间的互连。
Extranet VPN(网关到网关,Gateway to Gateway):
用于合作伙伴/客户等与企业之间的安全互连。将
将内早期用于远程访问是VPN应用的主要类型,但随着宽带接入的快速发展,目前后两种VPN的应用已成为企业尤其是中小型企业利用Internet组建公司广域网的主流方式。
6.虚拟服务主机(Port Forwarding)技术
将内在默认情况下防火墙通过NAT技术将整个内网已隐藏起来了,对外网而言只显示为一个公网设备。所谓建立虚拟服务器指的是让某台使用局域网保留地址(非真实IP地址)的计算机上的相关服务(例如Web服务、FTP服务)可以被Internet上的用户使用。也可以指定内网中的某台计算机可以接收所有从外网主动发起的连接请求,则这台计算机就称为DMZ(非军事区)机。
将内如下图所示,具体的技术实现就是宽带路由器对来自外网的连接请求进行判断,如果符合内网某虚拟服务器的端口,则将该连接请求转向此计算机。称之为Port Forwarding 技术。
将内将内部网络中使用的私有地址(Internet上的不合法地址),转换成合法的公网上的IP地址,在Internet上使用。其具体的做法是把IP包内的地址域用合法的IP地址来替换。NAT设备维护一个状态表,用来把非法的IP地址映射到合法的IP地址上去。每个包在NAT设备中都被翻译成正确的IP地址发往下一级,或通过端口映射方式将多个非法IP地址映射到一个合法IP地址的不同端口,系统则维护着一个端口映射的状态表用于IP地址的转换。
将内由于采用了NAT之后,NAT设备就隐藏了内部主机的所有TCP/IP级信息,同时也起到了一定的安全作用。
2.状态数据包检查(SPI)防火墙技术
将内防火墙就是安装在内网与外网之间的安全检查设备,也可以说是企业LAN与Internet之间的安全网关,防治偷窃、毁坏、篡改内网上的敏感数据,将Internet的不安全性屏蔽在内网之外。
将内目前最为先进的状态数据包检查(SPI) 防火墙提供最高级别的安全性。它在默认情况下拒绝所有来自外网的请求,并且对通过防火墙的发自内网请求的连接动态地维护所有通信的状态(连接),只有是对内网请求回复的连接并符合已建立的状态数据库的包才能通过防火墙进入内网。这种方案不仅可使网络用户访问Internet 资源,同时又能防止Internet 上的黑客访问内部网络资源。
将内“状态检查”一词是指防火墙记忆连接状态和在其内存中为每个数据流建立上下文的能力。凭借这些信息,该防火墙能够比不支持SPI的防火墙作出更有根据的策略决策。
将内只有具有基于硬件的采用目前最为先进的状态数据包检查(SPI)技术的防火墙才是真正意义上的防火墙(True Firewall)。
3.拒绝服务攻击检测
将内拒绝服务攻击检测(Denial of Services Attack Detection)指的是具此功能的设备将监测安全内网之外的流量,检查其数据通信的模式并与所有已知的黑客(Hacker)攻击的典型模式相比较,如果符合黑客攻击模式,则拒绝所有此数据包通过,从而起到安全保护内网的作用。
4.静态和动态Web内容过滤(Content Filter)技术
将内有兴趣保护其用户远离不良内容的小型办公室和家庭消费者应选择一个同时支持静态和动态内容过滤的防火墙。静态过滤,就是可自定义可信站点和禁止站点。比如,静态过滤可以阻塞对http://www.playboy.com/ 的访问,以拒绝访问“花花公子”杂志的网站。
将内动态过滤也很重要,因为Internet 和Web 都不是静态的。相反,新的网页正已每年数以亿计的速度添加到Web,每分钟都有新的站点和页面出现。此外,Web 页也不是一个单一的实体,而是由众多独立的组件组成,每个组件都有它们自己的URL,浏览器可以单独和独立地获取它们。其中每个组件都可以通过其URL 直接访问,因此也可能是过滤对象。
将内动态内容过滤可以通过设定URL中的关键词来过滤含此关键词的站点以确定用户是否应获取某一请求的URL,即便该URL 没有明确定义。比如,动态过滤可以拒绝访问URL 中有“porn”字样的所有站点。
理想的防火墙不仅应支持静态内容过滤,还应能让您选择一个可以自行决定阻塞的广泛类别列表,如拍卖、聊天、教育、就业搜索、儿童内容、免费页、游戏、仇恨/歧视、历史、玩笑、凶杀、裸体、新闻、股票、泳衣,等等。这种功能可使办公室管理员和父母允许或阻塞对任何站点类别的访问。而且,由于Internet 始终都在变化,因此应当定期用被归入站点类型的新URL更新类别列表。
5.虚拟私有网(VPN) 技术
将内VPN技术是指在公共的网络平台如Internet上搭建隧道传输用户私有的数据,从而使得在不安全的互联网上安全地传输私有数据来实现用户的广域互联。这种技术的效果类似于传统的租用专线联网方式,但其费用远比采用专线方式联网要便宜。
将内如下图所示,VPN可以看成是两个具VPN能力的设备(如PC或防火墙)通过Internet形成的一条安全的隧道。在隧道的开始端,用户的私有数据通过封装和加密之后在Internet上传输,到了隧道的终止端,接收到的数据经过解封和解密之后安全地到达用户的远端。
将内目前常见的VPN隧道协议分三种:点到点隧道协议PPTP,第二层隧道协议L2TP,网络层隧道协议IPSec。现在一般情况下的VPN设备都会支持IPSec协议。
将内常见的利用VPN技术的组网方式分三种(如下图所示):
远程访问(客户端到网关,Client to Gateway):
一般用于个人远程用户、出差用户等对公司集中资源的访问。
Intranet VPN(网关到网关,Gateway to Gateway):
一般用于企业不同分支机构之间的互连。
Extranet VPN(网关到网关,Gateway to Gateway):
用于合作伙伴/客户等与企业之间的安全互连。将
将内早期用于远程访问是VPN应用的主要类型,但随着宽带接入的快速发展,目前后两种VPN的应用已成为企业尤其是中小型企业利用Internet组建公司广域网的主流方式。
6.虚拟服务主机(Port Forwarding)技术
将内在默认情况下防火墙通过NAT技术将整个内网已隐藏起来了,对外网而言只显示为一个公网设备。所谓建立虚拟服务器指的是让某台使用局域网保留地址(非真实IP地址)的计算机上的相关服务(例如Web服务、FTP服务)可以被Internet上的用户使用。也可以指定内网中的某台计算机可以接收所有从外网主动发起的连接请求,则这台计算机就称为DMZ(非军事区)机。
将内如下图所示,具体的技术实现就是宽带路由器对来自外网的连接请求进行判断,如果符合内网某虚拟服务器的端口,则将该连接请求转向此计算机。称之为Port Forwarding 技术。
©本站发布的所有内容,包括但不限于文字、图片、音频、视频、图表、标志、标识、广告、商标、商号、域名、软件、程序等,除特别标明外,均来源于网络或用户投稿,版权归原作者或原出处所有。我们致力于保护原作者版权,若涉及版权问题,请及时联系我们进行处理。
