A. 什麼是網關,有什麼用,該怎麼設置
什麼是網關
顧名思義,網關(Gateway)就是一個網路連接到另一個網路的「關口」。
按照不同的分類標准,網關也有很多種。TCP/IP協議里的網關是最常用的,在這里我們所講的「網關」均指TCP/IP協議下的網關。
那麼網關到底是什麼呢?網關實質上是一個網路通向其他網路的IP地址。比如有網路A和網路B,網路A的IP地址范圍為「192.168.1.1~192. 168.1.254」,子網掩碼為255.255.255.0;網路B的IP地址范圍為「192.168.2.1~192.168.2.254」,子網掩碼為255.255.255.0。在沒有路由器的情況下,兩個網路之間是不能進行TCP/IP通信的,即使是兩個網路連接在同一台交換機(或集線器)上,TCP/IP協議也會根據子網掩碼(255.255.255.0)判定兩個網路中的主機處在不同的網路里。而要實現這兩個網路之間的通信,則必須通過網關。如果網路A中的主機發現數據包的目的主機不在本地網路中,就把數據包轉發給它自己的網關,再由網關轉發給網路B的網關,網路B的網關再轉發給網路B的某個主機。網路B向網路A轉發數據包的過程也是如此。
所以說,只有設置好網關的IP地址,TCP/IP協議才能實現不同網路之間的相互通信。那麼這個IP地址是哪台機器的IP地址呢?網關的IP地址是具有路由功能的設備的IP地址,具有路由功能的設備有路由器、啟用了路由協議的伺服器(實質上相當於一台路由器)、代理伺服器(也相當於一台路由器)。
什麼是默認網關
如果搞清了什麼是網關,默認網關也就好理解了。就好像一個房間可以有多扇門一樣,一台主機可以有多個網關。默認網關的意思是一台主機如果找不到可用的網關,就把數據包發給默認指定的網關,由這個網關來處理數據包。現在主機使用的網關,一般指的是默認網關。
如何設置默認網關
一台電腦的默認網關是不可以隨隨便便指定的,必須正確地指定,否則一台電腦就會將數據包發給不是網關的電腦,從而無法與其他網路的電腦通信。默認網關的設定有手動設置和自動設置兩種方式。
1. 手動設置
手動設置適用於電腦數量比較少、TCP/IP參數基本不變的情況,比如只有幾台到十幾台電腦。因為這種方法需要在聯入網路的每台電腦上設置「默認網關」,非常費勁,一旦因為遷移等原因導致必須修改默認網關的IP地址,就會給網管帶來很大的麻煩,所以不推薦使用。
在Windows 9x中,設置默認網關的方法是在「網上鄰居」上右擊,在彈出的菜單中點擊「屬性」,在網路屬性對話框中選擇「TCP/IP協議」,點擊「屬性」,在「默認網關」選項卡中填寫新的默認網關的IP地址就可以了。
需要特別注意的是:默認網關必須是電腦自己所在的網段中的IP地址,而不能填寫其他網段中的IP地址。
2. 自動設置
自動設置就是利用DHCP伺服器來自動給網路中的電腦分配IP地址、子網掩碼和默認網關。這樣做的好處是一旦網路的默認網關發生了變化時,只要更改了DHCP伺服器中默認網關的設置,那麼網路中所有的電腦均獲得了新的默認網關的IP地址。這種方法適用於網路規模較大、TCP/IP參數有可能變動的網路。
另外一種自動獲得網關的辦法是通過安裝代理伺服器軟體(如MS Proxy)的客戶端程序來自動獲得,其原理和方法和DHCP有相似之處。
B. 如何部署網關伺服器
[本主題是預發布文檔,在以後的發布中可能需要更改。 空的主題以佔位符形式包括在內。]
若要監視信任邊界的不使用網關伺服器的管理伺服器之外的計算機,您需要安裝和手動維護管理伺服器和要監視的計算機上的證書。而不是使用網關伺服器使用此配置時,附加的埠必須打開代理與管理伺服器通信。所需的所有埠的列表,請參閱 System Center 2012--操作管理器的系統要求。過程概述請求代理,網關伺服器,管理伺服器鏈中的任何計算機的證書。這些證書導入到的目標計算機使用 MOMCertImport.exe 工具。將分發到管理伺服器 Microsoft.EnterpriseManagement.GatewayApprovalTool.exe。運行Microsoft.EnterpriseManagement.GatewayApprovalTool.exe 工具,以啟動管理伺服器與網關之間的通信安裝網關伺服器。准備安裝在開始之前網關伺服器的部署所需的證書。您需要有權訪問證書頒發機構 (CA)。這可以是公用 CA (如 verisign),也可以使用 Microsoft 證書服務。此過程提供的步驟申請、 獲得,並從 Microsoft 證書服務將證書導入。代理管理的計算機之間的網關伺服器和網關伺服器和管理伺服器之間必須存在可靠的名稱解析。此名稱解析通常通過 DNS。但是,如果不可能通過 DNS 中獲得正確的名稱解析,則可能需要手動在每台計算機的主機文件中創建條目。注釋 Hosts 文件位於 \Windows\system32\drivers\ 目錄中,並且包含有關如何配置的說明。
從Microsoft 證書服務獲取計算機證書有關詳細信息,請參閱Windows 計算機的身份驗證和數據加密。分發Microsoft.EnterpriseManagement.GatewayApprovalToolMicrosoft.EnterpriseManagement.GatewayApprovalTool.exe 工具需要只有在管理伺服器上,並只具有運行一次。要將Microsoft.EnterpriseManagement.GatewayApprovalTool.exe 復制到管理伺服器從目標管理伺服器,打開Operations Manager安裝媒體 \SupportTools 目錄。從安裝介質中復制 Microsoft.EnterpriseManagement.GatewayApprovalTool.exe Operations Manager的安裝目錄。注冊與管理組的網關此過程將注冊的網關伺服器的管理組中,並完成此操作後,網關伺服器的管理組中已發現的庫存視圖中將顯示。若要運行網關審核工具在管理伺服器上所針對在網關伺服器安裝過程中,在使用登錄Operations Manager管理員帳戶。打開命令提示窗口,然後定位到Operations Manager安裝目錄或復制到 Microsoft.EnterpriseManagement.gatewayApprovalTool.exe 目錄。在命令提示符下,運行Microsoft.EnterpriseManagement.gatewayApprovalTool.exe /ManagementServerName= /GatewayName= /Action=Create如果審核成功,您將看到 The approval of server completed successfully.如果您需要從管理組刪除的網關伺服器,運行相同的命令,但替換/Action=Delete標志的 /Action=Create標志。打開[監控] 視圖操作控制台。選擇發現清單視圖,網關伺服器存在。 安裝網關伺服器該過程安裝網關伺服器。將網關伺服器是伺服器應與將向其報告代理管理的計算機位於同一域的成員。提示 (例如,雙擊 MOMGateway.msi 安裝網關伺服器) 啟動 Windows 安裝程序時,安裝將會失敗如果本地安全策略的用戶帳戶控制:所有管理員批准模式中的管理員已都啟用運行。
若要從命令提示符窗口運行操作管理器網關 Windows 安裝程序在Windows 桌面上,請單擊開始,指向 程序,指向 附件,用滑鼠右鍵單擊 命令提示符處,然後單擊 以管理員身份運行。 在管理員:命令提示符處 窗口中,定位到本地驅動器,承載 Operations Manager的安裝媒體。 定位到.msi 文件所在的目錄鍵入.msi 文件的名稱,然後按 enter 鍵。若要安裝網關伺服器登錄到具有管理員許可權的網關伺服器上。從Operations Manager開始安裝媒體中, Setup.exe。在安裝 區域中,單擊 網關管理伺服器鏈接。在歡迎 屏幕中,單擊 下。在目標文件夾 頁面,接受默認值,或單擊 更改 以選擇一個不同的安裝目錄,然後單擊 下。在管理組配置 頁上,鍵入目標管理組的名稱中 管理組名稱 欄位中,鍵入中的目標管理伺服器名稱 管理伺服器 欄位中,檢查 管理伺服器埠 欄位是 5723,然後單擊 下一步。如果您已啟用另一個埠的管理在操作控制台中的伺服器通信,則可以更改此埠。在網關操作帳戶 頁面上,選擇 本地系統帳戶選項,除非您專門創建基於域或本地計算機基於的網關操作帳戶。單擊「下一步」。在Microsoft 更新 頁面上,還可以指示您是否要使用 Microsoft 更新,然後單擊 下。在「已准備好安裝」頁上,單擊「安裝」。在正在完成 頁面上,單擊 完成。若要使用命令提示符窗口來安裝網關伺服器登錄到具有管理員許可權的網關伺服器上。使用「以管理員身份運行」選項打開命令提示符窗口。運行以下命令,其中 path\Directory Momgateway.msi,位置和 path\Logs 是想要保存日誌文件的位置。可以在中找到 Momgateway.msi Operations Manager的安裝媒體。 %WinDir%\System32\msiexec.exe /i path\Directory\MOMGateway.msi /qn /l*v path\Logs\GatewayInstall.log ADDLOCAL=MOMGateway MANAGEMENT_GROUP="" IS_ROOT_HEALTH_SERVER=0 ROOT_MANAGEMENT_SERVER_AD= ROOT_MANAGEMENT_SERVER_DNS= ACTIONS_USE_COMPUTER_ACCOUNT=0 ACTIONSDOMAIN= ACTIONSUSER= ACTIONSPASSWORD= ROOT_MANAGEMENT_SERVER_PORT=5723 [INSTALLDIR=] 使用MOMCertImport.exe 工具導入證書執行此操作,每個網關伺服器,管理伺服器和將代理管理,即不受信任的域中的計算機上。若要通過使用 MOMCertImport.exe 導入計算機證書將MOMCertImport.exe 工具復制從安裝媒體 \SupportTools\(x86 或 ia64) 目錄根或到目標伺服器的Operations Manager如果目標伺服器是管理伺服器安裝目錄。作為管理員,打開命令提示符窗口,並將目錄更改為 MOMCertImport.exe 所在的目錄,然後運行 momcertimport.exe /SubjectName .這會使證書可用的 Operations Manager.為管理伺服器之間的故障轉移配置網關伺服器雖然網關伺服器可以使用管理組中的任何管理伺服器通信,必須配置此。在這種情況下,輔助管理伺服器標識為網關伺服器故障切換的目標。使用集中-開始管理伺服器-gatewayManagementServer 命令中的 Operations Manager 外殼,如配置網關伺服器故障轉移到多個管理伺服器在下面的示例所示。可以從任何管理組中的命令外殼程序運行這些命令。若要配置管理伺服器之間的網關伺服器故障切換登錄到管理伺服器是管理組的管理員角色的成員的帳戶上。在Windows 桌面上,請單擊開始,指向 程序,指向 系統中心運營經理,然後單擊 命令行解釋器。在命令外殼程序,請按照下一節中介紹的示例。描述下面的示例可用於配置網關的伺服器故障切換到多台管理伺服器。代碼 $GatewayServer = Get-SCOMGatewayManagementServer –Name 「ComputerName.Contoso.com」 $FailoverServer = Get-SCOMManagementServer –Name 「ManagementServer.Contoso.com」,」ManagementServer2.Contoso.com」 Set-SCOMParentManagementServer -GatewayServer $GatewayServer -FailoverServer $FailoverServer 注釋機器翻譯免責聲明:本文由計算機系統在未經人為干預的情況下翻譯。Microsoft 提供機器翻譯來幫助非英語用戶閱讀有關 Microsoft 產品、服務和技術的內容。由於本文為機器翻譯,因此可能包含詞彙、句法或語法方面的錯誤。
C. 請問什麼是網關軟體如何使用我們老師出的問題
運行在網關的軟體
D. 一台電腦我想同時使用兩個網關,電腦上有兩個程序需要走兩個不同的網關地址,怎麼設置呢
自動選擇貌似不可能,替代方案有幾個:
1.使用更改IP的軟體,分別保存兩套配置,需要用到哪個網關的時候,先使用軟體切換網關;
2.這個比較簡單,再安裝一塊網卡,設置為第二網關的網址,打開程序時即可自動連接;
3.使用虛擬機運行其中之一或這兩個軟體,好處是虛擬網卡隨便加,設置好之後由於到這兩個網關的網路都是通的,也無需手動切換網關了
E. 在區域網內,如何分發軟體(用批處理怎麼做)
如果是在同一個網段內,則可以使用*.bat來做這事。里邊寫上代碼:
x 本地路徑 每個客戶端保存路徑 /s/y
說明:本地路徑需有個文件夾,把要發送的東西放到文件夾里
F. 網管如何利用網路來分發和部署應用軟體
若一個企業有近百台主機的話,那網路管理員的大部分工作在做什麼呢?就是各個部門的跑,幫他們解決應用軟體上的難題。一會兒有個用戶說他的EXCLE軟體出問題了;一會兒又有員工報告說他的列印軟體出現了故障,等等。網路管理員就四處的去救火。一天下來,自己累個半死,而且,都是在做這些沒有多少價值的工作。網路管理員如何才能從這些繁瑣的日常事務中解脫出來,開始一些網路設計與規劃等等更加有價值的工作上來呢?若能夠通過網路來管理應用軟體,則必將可以節省網路管理員大部分的時間。 假設現在有個員工A,他向網路管理員求助,說他們的EXCLE程序出現了問題,請幫忙解決。此時,網路管理員難道還要「千里迢迢」的跑過去解決嗎?其實不然。利用軟體網路部署功能,當應用軟體出現問題的時候,系統會自動從伺服器上下載相關的內容,對應用軟體進行修復。要實現這個目的其實不難,且聽我一步步的道來。 一、軟體分發點的設置 軟體分發點,其實就是軟體源程序的存放位置。若想要操作系統自動修復損壞的應用軟體或者自動安裝它所需要的軟體,則首先我們網路管理員必須要先提供應用軟體的安裝程序。如此的話,操作系統才有可能完成軟體的自動安裝或者自動修復工作。 這個軟體分為點對於實現網路自動安裝或者修復應用軟體來說,顯得非常的重要。我們想一想,若這個源頭,這個安裝程序本身就存在一定的問題,則後續的軟體安裝或者恢復當然也難免會出現故障。所以,我們網路管理員若想實現網路自動部署應用軟體的功能的話,則就需要首先保障整個共享文件的安全性。為此,筆者有以下建議: 1、對該文件夾設置合理的訪問許可權。一般來說,只要給這個文件夾只讀與運行的許可權即可。如此的話,就可以防止員工有意、無意的對該文件中的內容進行修改;同時,也可以防止病毒對該文件夾中的安裝程序進行破壞。所以,在設置這個文件夾的時候,筆者建議,只要給其只讀與運行的許可權即可。當然,作為網路的管理員,可以專門設置一個賬戶,具有修改的許可權。不然你要增加安裝程序都沒這個許可權了。也就是說,對於這個共享文件夾,要設置兩種訪問的類型。對於普通員工來說,只需要只讀以及運行的許可權即可;而對於網路管理員來說,需要有一個獨立的帳戶,具有完全控制許可權,來對這個文件夾進行必要的維護。 2、把該文件夾設置為隱藏。由於該文件夾的安裝程序是由操作系統自動訪問的,而不需要企業員工去指定。所以,為了該文件夾中安裝程序的安全性考慮,最好把這個文件夾的屬性設置為隱藏。如此的話,員工就不能看到這個文件夾,有利於提高整個安裝程序的安全性。 3、最後,為了後續管理的方便,最好一個程序一個文件夾。有些管理員不喜歡一個程序一個文件夾,覺得這太羅嗦;而喜歡把所有的安裝程序都放在同一個文件夾下。這對於後續的網路軟體部署是非常不方便的。
G. 何謂網關該怎麼設置
網關的英文名字是Gateway,最初的意思是連接兩個協議差別很大的計算機網路時使用的設備。通過網關可以將不同體系結構的計算機網路連接在一起,例如IBM的SNA伺服器要和DEC公司的網路交流信息,就可以通過網關來實現,它完成復雜的協議轉換工作,並將數據重新分組發送。在OSI中,網關屬於最高層(應用層)的設備。網關本身不具有Cache(緩存),只是協議的轉換或者轉發。
網關(Gateway)以及網橋(Gate Bridge)均指不同網路之間的通訊介面設備和程序,只不過兩者針對的網路層次不同。網關是網路連接設備的重要組成部分,它不僅具有路由的功能,而且能在兩個不同的協議集之間進行轉換,從而使不同的網路之間進行互聯。例如:一個Netware區域網通過網關可以訪問IBM的SNA網路,這樣使用IPX協議的PC就可和SNA網路上的IBM主機進行通信。現在Internet技術上越來越少用這兩個詞彙,而由Router (路由器)統指此類介面設備和程序。
如果搞清了什麼是網關,默認網關也就好理解了。就好像一個房間可以有多扇門一樣,一台主機可以有多個網關。默認網關的意思是一台主機如果找不到可用的網關,就把數據包發給默認指定的網關,由這個網關來處理數據包。現在主機使用的網關,一般指的是默認網關。
如何設置默認網關
一台電腦的默認網關是不可以隨隨便便指定的,必須正確地指定,否則一台電腦就會將數據包發給不是網關的電腦,從而無法與其他網路的電腦通信。默認網關的設定有手動設置和自動設置兩種方式。
1. 手動設置
手動設置適用於電腦數量比較少、TCP/IP參數基本不變的情況,比如只有幾台到十幾台電腦。因為這種方法需要在聯入網路的每台電腦上設置「默認網關」,非常費勁,一旦因為遷移等原因導致必須修改默認網關的IP地址,就會給網管帶來很大的麻煩,所以不推薦使用。
在Windows 9x中,設置默認網關的方法是在「網上鄰居」上右擊,在彈出的菜單中點擊「屬性」,在網路屬性對話框中選擇「TCP/IP協議」,點擊「屬性」,在「默認網關」選項卡中填寫新的默認網關的IP地址就可以了。
需要特別注意的是:默認網關必須是電腦自己所在的網段中的IP地址,而不能填寫其他網段中的IP地址。
2. 自動設置
自動設置就是利用DHCP伺服器來自動給網路中的電腦分配IP地址、子網掩碼和默認網關。這樣做的好處是一旦網路的默認網關發生了變化時,只要更改了DHCP伺服器中默認網關的設置,那麼網路中所有的電腦均獲得了新的默認網關的IP地址。這種方法適用於網路規模較大、TCP/IP參數有可能變動的網路。
另外一種自動獲得網關的辦法是通過安裝代理伺服器軟體(如MS Proxy)的客戶端程序來自動獲得,其原理和方法和DHCP有相似之處.
H. 什麼是網關如何設立網關是不是需要軟體來設立
網關曾經是很容易理解的概念。在早期的網際網路中,術語網關即指路由器。路由器是網路中超越本地網路的標記, 這個走向未知的「大門」曾經、現在仍然用於計算路由並把分組數據轉發到源始網路之外的部分,因此, 它被認為是通向網際網路的大門。隨著時間的推移,路由器不再神奇,公共的基於IP的廣域網的出現和成熟促進了路由器的成長。 現在路由功能也能由主機和交換集線器來行使,網關不再是神秘的概念。現在,路由器變成了多功能的網路設備, 它能將區域網分割成若干網段、互連私有廣域網中相關的區域網以及將各廣域網互連而形成了網際網路, 這樣路由器就失去了原有的網關概念。然而術語網關仍然沿用了下來,它不斷地應用到多種不同的功能中, 定義網關已經不再是件容易的事。
目前,主要有三種網關:
·協議網關 WNx"N
·應用網關 o:JWN
·安全網關 E-c
唯一保留的通用意義是作為兩個不同的域或系統間中介的網關,要克服的差異本質決定了需要的網關類型。
什麼是網關
網關曾經是很容易理解的概念。在早期的網際網路中,術語網關即指路由器。路由器是網路中超越本地網路的標記, 這個走向未知的「大門」曾經、現在仍然用於計算路由並把分組數據轉發到源始網路之外的部分,因此, 它被認為是通向網際網路的大門。隨著時間的推移,路由器不再神奇,公共的基於IP的廣域網的出現和成熟促進了路由器的成長。 現在路由功能也能由主機和交換集線器來行使,網關不再是神秘的概念。現在,路由器變成了多功能的網路設備, 它能將區域網分割成若干網段、互連私有廣域網中相關的區域網以及將各廣域網互連而形成了網際網路, 這樣路由器就失去了原有的網關概念。然而術語網關仍然沿用了下來,它不斷地應用到多種不同的功能中, 定義網關已經不再是件容易的事。
目前,主要有三種網關:
·協議網關 WNx"N
·應用網關 o:JWN
·安全網關 E-c
唯一保留的通用意義是作為兩個不同的域或系統間中介的網關,要克服的差異本質決定了需要的網關類型。
一、協議網關
協議網關通常在使用不同協議的網路區域間做協議轉換。這一轉換過程可以發生在OSI參考模型的第2層、第3層或2、3層之間。 但是有兩種協議網關不提供轉換的功能:安全網關和管道。由於兩個互連的網路區域的邏輯差異, 安全網關是兩個技術上相似的網路區域間的必要中介。如私有廣域網和公有的網際網路。這一特例在後續的「組合過濾網關」中討論, 此部分中集中於實行物理的協議轉換的協議網關。
1、管道網關
管道是通過不兼容的網路區域傳輸數據的比較通用的技術。數據分組被封裝在可以被傳輸網路識別的幀中,到達目的地時, 接收主機解開封裝,把封裝信息丟棄,這樣分組就被恢復到了原先的格式。
管道技術只能用於3層協議,從SNA到IPv6。雖然管道技術有能夠克服特定網路拓撲限制的優點,它也有缺點。 管道的本質可以隱藏不該接受的分組,簡單來說,管道可以通過封裝來攻破防火牆,把本該過濾掉的數據傳給私有的網路區域。
2、專用網關
很多的專用網關能夠在傳統的大型機系統和迅速發展的分布式處理系統間建立橋梁。 典型的專用網關用於把基於PC的客戶端連到區域網邊緣的轉換器。該轉換器通過X.25網路提供對大型機系統的訪問。 shoO
這些網關通常是需要安裝在連接到區域網的計算機上的便宜、單功能的電路板,這使其價格很低且很容易升級。在上圖的例子中, 該單功能的網關將大型機時代的硬連線的終端和終端伺服器升級為PC機和區域網。
3、2層協議網關
2層協議網關提供區域網到區域網的轉換,它們通常被稱為翻譯網橋而不是協議網關。 在使用不同幀類型或時鍾頻率的區域網間互連可能就需要這種轉換。
(1)幀格式差異 IEEE802兼容的區域網共享公共的介質訪問層,但是它們的幀結構和介質訪問機制使它們不能直接互通。
翻譯網橋利用了2層的共同點,如MAC地址,提供幀結構不同部分的動態翻譯,使它們的互通成為了可能。 第一代區域網需要獨立的設備來提供翻譯網橋,如今的多協議交換集線器通常提供高帶寬主幹, 在不同幀類型間可作為翻譯網橋,現在翻譯網橋的幕後性質使這種協議轉換變得模糊,獨立的翻譯設備不再需要, 多功能交換集線器天生就具有2層協議轉換網關的功能。
替代使用僅涉及2層的設備如翻譯網橋或多協議交換集線器的另一種選擇是使用3層設備:路由器。 長期以來路由器就是區域網主幹的重要組成部分。如果路由器用於互連區域網和廣域網, 它們通常都支持標準的區域網介面,經過適當的配置,路由器很容易提供不同幀類型的翻譯。 這種方案的缺點是如果使用3層設備路由器需要表查詢,這是軟體功能,而象交換機和集線器等2層設備的功能由硬體來實現, 從而可以運行得更快。
(2)傳輸率差異
很多過去的區域網技術已經提升了傳輸速率,例如,IEEE 802.3乙太網現在有 10Mbps、100Mbps和1bps的版本, 它們的幀結構是相同的, 主要的區別在於物理層以及介質訪問機制,在各種區別中,傳輸速率是最明顯的差異。令牌環網也提升了傳輸速率, 早期版本工作在4Mbps速率下,現在的版本速率為16Mbps,100Mbps的FDDI是直接從令牌環發展來的,通常用作令牌環網的主幹。 這些僅有時鍾頻率不同的區域網技術需要一種機制在兩個其它方面都兼容的區域網間提供緩沖的介面,現今的多協議、 高帶寬的交換集線器提供了能夠緩沖速率差異的健壯的背板.1494!
2 什麼是網關
如今的多協議區域網可以為同一區域網技術的不同速率版本提供內部速率緩沖,還可以為不同的802兼容的區域網提供2層幀轉換。 路由器也可以做速率差異的緩沖工作,它們相對於交換集線器的長處是它們的內存是可擴展的。 其內存緩存進入和流出分組到一定程度以決定是否有相應的訪問列表(過濾)要應用,以及決定下一跳, 該內存還可以用於緩存可能存在於各種網路拓撲間的速率差異.
二、應用網關
應用網關是在使用不同數據格式間翻譯數據的系統。典型的應用網關接收一種格式的輸入,將之翻譯, 然後以新的格式發送。輸入和輸出介面可以是分立的也可以使用同一網路連接。
一種應用可以有多種應用網關。如Email可以以多種格式實現,提供Email的伺服器可能需要與各種格式的郵件伺服器交互, 實現此功能唯一的方法是支持多個網關介面。
應用網關也可以用於將區域網客戶機與外部數據源相連,這種網關為本地主機提供了與遠程互動式應用的連接。 將應用的邏輯和執行代碼置於區域網中客戶端避免了低帶寬、高延遲的廣域網的缺點,這就使得客戶端的響應時間更短。 應用網關將請求發送給相應的計算機,獲取數據,如果需要就把數據格式轉換成客戶機所要求的格式。
本文不對所有的應用網關配置作詳盡的描述,這些例子應該概括了應用網關的各種分支。它們通常位於網路數據的交匯點, 為了充分地支持這樣的交匯點,需要包括區域網、廣域網在內的多種網路技術的結合。Tys
三、安全網關
安全網關是各種技術有趣的融合,具有重要且獨特的保護作用,其范圍從協議級過濾到十分復雜的應用級過濾。防火牆主要有三類: 分組過濾 電路網關 應用網關
注意:三種中只有一種是過濾器,其餘都是網關。 這三種機制通常結合使用。過濾器是映射機制,可區分合法的和欺騙包。每種方法都有各自的能力和限制,要根據安全的需要仔細評價。
1、包過濾器
包過濾是安全映射最基本的形式,路由軟體可根據包的源地址、目的地址或埠號建立許可權, 對眾所周知的埠號的過濾可以阻止或允許網際協議如 FTP、rlogin等。過濾器可對進入和/或流出的數據操作, 在網路層實現過濾意味著路由器可以為所有應用提供安全映射功能。作為(邏輯意義上的)路由器的常駐部分, 這種過濾可在任何可路由的網路中自由使用,但不要把它誤解為萬能的,包過濾有很多弱點,但總比沒有好。
包過濾很難做好,尤其當安全需求定義得不好且不細致的時候更是如此。這種過濾也很容易被攻破。包過濾比較每個數據包, 基於包頭信息與路由器的訪問列表的比較來做出通過/不通過的決定,這種技術存在許多潛在的弱點。首先, 它直接依賴路由器管理員正確地編制許可權集,這種情況下,拼寫的錯誤是致命的, 可以在防線中造成不需要任何特殊技術就可以攻破的漏洞。即使管理員准確地設計了許可權,其邏輯也必須毫無破綻才行。 雖然設計路由似乎很簡單,但開發和維護一長套復雜的許可權也是很麻煩的, 必須根據防火牆的許可權集理解和評估每天的變化,新添加的伺服器如果沒有明確地被保護,可能就會成為攻破點。
隨著時間的推移,訪問許可權的查找會降低路由器的轉發速度。每當路由器收到一個分組, 它必須識別該分組要到達目的地需經由的下一跳地址,這必將伴隨著另一個很耗費CPU的工作: 檢查訪問列表以確定其是否被允許到達該目的地。訪問列表越長,此過程要花的時間就越多。
包過濾的第二個缺陷是它認為包頭信息是有效的,無法驗證該包的源頭。 頭信息很容易被精通網路的人篡改, 這種篡改通常稱為「欺騙」。
包過濾的種種弱點使它不足以保護你的網路資源,最好與其它更復雜的過濾機制聯合使用,而不要單獨使用。
2、鏈路網關
鏈路級網關對於保護源自私有、安全的網路環境的請求是很理想的。這種網關攔截TCP請求,甚至某些UDP請求, 然後代表數據源來獲取所請求的信息。該代理伺服器接收對萬維網上的信息的請求,並代表數據源完成請求。實際上, 此網關就象一條將源與目的連在一起的線,但使源避免了穿過不安全的網路區域所帶來的風險。
3 什麼是網關
這種方式的請求代理簡化了邊緣網關的安全管理,如果做好了訪問控制,除了代理伺服器外所有出去的數據流都被阻塞。 理想情況下,此伺服器有唯一的地址,不屬於任何內部使用的網段。這絕對使無意中微妙地暴露給不安全區域的信息量最小化, 只有代理伺服器的網路地址可被外部得到,而不是安全區域中每個聯網的計算機的網路地址。
3、應用網關
應用網關是包過濾最極端的反面。包過濾實現的是對所有穿過網路層包過濾設備的數據的通用保護, 而應用網關在每個需要保護的主機上放置高度專用的應用軟體,它防止了包過濾的陷阱,實現了每個主機的堅固的安全。
應用網關的一個例子是病毒掃描器,這種專用軟體已經成了桌面計算的主要產品之一。它在啟動時調入內存並駐留在後台, 持續地監視文件不受已知病毒的感染,甚至是系統文件的改變。 病毒掃描器被設計用於在危害可能產生前保護用戶不受到病毒的潛在損害。
這種保護級別不可能在網路層實現,那將需要檢查每個分組的內容,驗證其來源,確定其正確的網路路徑, 並確定其內容是有意義的還是欺騙性的。這一過程將產生無法負擔的過載,嚴重影響網路性能。
4、組合過濾網關
使用組合過濾方案的網關通過冗餘、重疊的過濾器提供相當堅固的訪問控制,可以包括包、鏈路和應用級的過濾機制。 這樣的安全網關最普通的實現是象崗哨一樣保護私有網段邊緣的出入點,通常稱為邊緣網關或防火牆。 這一重要的責任通常需要多種過濾技術以提供足夠的防衛。下圖所示為由兩個組件構成的安全網關:一個路由器和一個處理機。 結合在一起後,它們可以提供協議、鏈路和應用級保護。
這種專用的網關不象其它種類的網關一樣,需要提供轉換功能。作為網路邊緣的網關,它們的責任是控制出入的數據流。 顯然的,由這種網關聯接的內網與外網都使用IP協議,因此不需要做協議轉換,過濾是最重要的。
保護內網不被非授權的外部網路訪問的原因是顯然的。控制向外訪問的原因就不那麼明顯了。在某些情況下, 是需要過濾發向外部的數據的。例如,用戶基於瀏覽的增值業務可能產生大量的WAN流量,如果不加控制, 很容易影響網路運載其它應用的能力,因此有必要全部或部分地阻塞此類數據。
聯網的主要協議IP是個開放的協議,它被設計用於實現網段間的通信。這既是其主要的力量所在,同時也是其最大的弱點。 為兩個IP網提供互連在本質上創建了一個大的IP網, 保衛網路邊緣的衛士--防火牆--的任務就是在合法的數據和欺騙性數據之間進行分辨。
5、實現中的考慮
實現一個安全網關並不是個容易的任務,其成功靠需求定義、仔細設計及無漏洞的實現。首要任務是建立全面的規則, 在深入理解安全和開銷的基礎上定義可接受的折衷方案,這些規則建立了安全策略。
安全策略可以是寬松的、嚴格的或介於二者之間。在一個極端情況下,安全策略的基始承諾是允許所有數據通過,例外很少, 很易管理,這些例外明確地加到安全體制中。這種策略很容易實現,不需要預見性考慮,保證即使業餘人員也能做到最小的保護。 另一個極端則極其嚴格,這種策略要求所有要通過的數據明確指出被允許,這需要仔細、著意的設計,其維護的代價很大, 但是對網路安全有無形的價值。從安全策略的角度看,這是唯一可接受的方案。在這兩種極端之間存在許多方案,它們在易於實現、 使用和維護代價之間做出了折衷,正確的權衡需要對危險和代價做出仔細的評估。 </DIV><DIV class=gray align=right>回答者:wfchenjin - 魔法師 五級 11-24 10:48</DIV><DIV id=Lg></DIV><DIV class=f14>網關是互連網路中操作在OSI運輸層之上的設施,所以稱為設施, 是因為網關不一定是一台設備,有可能在一台主機中實現網關功能。當然也不排除使用一台計算機來專門實現網關具有的協議轉換功能。
由於網關是實現互連、互通和應用互操作的設施。通常又多是用來連接專用系統,所以市場上從未有過出售網關的廣告或公司。因此,在這種意義上,網關是一種概念,或一種功能的抽象。網關的范圍很寬,在TCP/IP網路中,網關有時所指的就是路由器,而在MHS系統中,為實現CCITTX.400和SMTPL簡單郵件運輸協議間的互操作,也有網關的概念。SMTP是TCP/IP環境中使用的電子郵件,其標准為RFC- 822,而符合國際標準的CCITTX.400發展較晚,但受到以歐州為先鋒的世界范圍的支持。為將兩種系統互連,TCP/IP標准制定團體專門定義了X.400和RFC-822 之間的變換標准RFC987(適用於1984年X.400),以及RFC1148(適用於1988年X.400)。 實現上述變換標準的設施也稱之為網關
I. 如何安裝網關軟體及設置
不需要裝什麼軟體,雙網卡 ,一個網卡做外網使用,IP 就是你的那個IP,另一個就是在內網中用了,內網中的IP 你自己設一個,以及網關,其餘的電腦就按內網設置,就行了
J. 請問如何在網關電腦上設置聚生網管軟體
正好 我在用聚生網管的軟體你的是什麼版本?首先打開軟體選擇網卡..這就不用說了進入軟體後選擇監控模式 我是選擇主動引導模式的進入主機列表之後對所有主機進行掃描這樣所有的機器IP-MAC地址..都出來瞭然後就開始進行策略設置選擇新建出來之後太多了我就不全說了你看了就明白了我先說主要的 對帶寬限制,P2P下載限制.流量限制.聊天限制,游戲限制...最主要的是ACL規則設置選擇添加你可以對單個IP做規則也可以對所有的IP做規則填上適當的埠選擇確定軟體的設置基本完成,回到主機列表就可以對每個IP進行設置在用戶上面滑鼠副建點擊出現策略編輯 有斷開主機公網連接,為主機選擇策略...選擇完之後點擊應用設置即可生效 還可以對每台電腦屏幕上設置文字//如:現在是工作時間,你的訪問被禁止。 大致我說完了如果對本軟體還不明白的話可以加我515127863