A. 什么是网关,有什么用,该怎么设置
什么是网关
顾名思义,网关(Gateway)就是一个网络连接到另一个网络的“关口”。
按照不同的分类标准,网关也有很多种。TCP/IP协议里的网关是最常用的,在这里我们所讲的“网关”均指TCP/IP协议下的网关。
那么网关到底是什么呢?网关实质上是一个网络通向其他网络的IP地址。比如有网络A和网络B,网络A的IP地址范围为“192.168.1.1~192. 168.1.254”,子网掩码为255.255.255.0;网络B的IP地址范围为“192.168.2.1~192.168.2.254”,子网掩码为255.255.255.0。在没有路由器的情况下,两个网络之间是不能进行TCP/IP通信的,即使是两个网络连接在同一台交换机(或集线器)上,TCP/IP协议也会根据子网掩码(255.255.255.0)判定两个网络中的主机处在不同的网络里。而要实现这两个网络之间的通信,则必须通过网关。如果网络A中的主机发现数据包的目的主机不在本地网络中,就把数据包转发给它自己的网关,再由网关转发给网络B的网关,网络B的网关再转发给网络B的某个主机。网络B向网络A转发数据包的过程也是如此。
所以说,只有设置好网关的IP地址,TCP/IP协议才能实现不同网络之间的相互通信。那么这个IP地址是哪台机器的IP地址呢?网关的IP地址是具有路由功能的设备的IP地址,具有路由功能的设备有路由器、启用了路由协议的服务器(实质上相当于一台路由器)、代理服务器(也相当于一台路由器)。
什么是默认网关
如果搞清了什么是网关,默认网关也就好理解了。就好像一个房间可以有多扇门一样,一台主机可以有多个网关。默认网关的意思是一台主机如果找不到可用的网关,就把数据包发给默认指定的网关,由这个网关来处理数据包。现在主机使用的网关,一般指的是默认网关。
如何设置默认网关
一台电脑的默认网关是不可以随随便便指定的,必须正确地指定,否则一台电脑就会将数据包发给不是网关的电脑,从而无法与其他网络的电脑通信。默认网关的设定有手动设置和自动设置两种方式。
1. 手动设置
手动设置适用于电脑数量比较少、TCP/IP参数基本不变的情况,比如只有几台到十几台电脑。因为这种方法需要在联入网络的每台电脑上设置“默认网关”,非常费劲,一旦因为迁移等原因导致必须修改默认网关的IP地址,就会给网管带来很大的麻烦,所以不推荐使用。
在Windows 9x中,设置默认网关的方法是在“网上邻居”上右击,在弹出的菜单中点击“属性”,在网络属性对话框中选择“TCP/IP协议”,点击“属性”,在“默认网关”选项卡中填写新的默认网关的IP地址就可以了。
需要特别注意的是:默认网关必须是电脑自己所在的网段中的IP地址,而不能填写其他网段中的IP地址。
2. 自动设置
自动设置就是利用DHCP服务器来自动给网络中的电脑分配IP地址、子网掩码和默认网关。这样做的好处是一旦网络的默认网关发生了变化时,只要更改了DHCP服务器中默认网关的设置,那么网络中所有的电脑均获得了新的默认网关的IP地址。这种方法适用于网络规模较大、TCP/IP参数有可能变动的网络。
另外一种自动获得网关的办法是通过安装代理服务器软件(如MS Proxy)的客户端程序来自动获得,其原理和方法和DHCP有相似之处。
B. 如何部署网关服务器
[本主题是预发布文档,在以后的发布中可能需要更改。 空的主题以占位符形式包括在内。]
若要监视信任边界的不使用网关服务器的管理服务器之外的计算机,您需要安装和手动维护管理服务器和要监视的计算机上的证书。而不是使用网关服务器使用此配置时,附加的端口必须打开代理与管理服务器通信。所需的所有端口的列表,请参阅 System Center 2012--操作管理器的系统要求。过程概述请求代理,网关服务器,管理服务器链中的任何计算机的证书。这些证书导入到的目标计算机使用 MOMCertImport.exe 工具。将分发到管理服务器 Microsoft.EnterpriseManagement.GatewayApprovalTool.exe。运行Microsoft.EnterpriseManagement.GatewayApprovalTool.exe 工具,以启动管理服务器与网关之间的通信安装网关服务器。准备安装在开始之前网关服务器的部署所需的证书。您需要有权访问证书颁发机构 (CA)。这可以是公用 CA (如 verisign),也可以使用 Microsoft 证书服务。此过程提供的步骤申请、 获得,并从 Microsoft 证书服务将证书导入。代理管理的计算机之间的网关服务器和网关服务器和管理服务器之间必须存在可靠的名称解析。此名称解析通常通过 DNS。但是,如果不可能通过 DNS 中获得正确的名称解析,则可能需要手动在每台计算机的主机文件中创建条目。注释 Hosts 文件位于 \Windows\system32\drivers\ 目录中,并且包含有关如何配置的说明。
从Microsoft 证书服务获取计算机证书有关详细信息,请参阅Windows 计算机的身份验证和数据加密。分发Microsoft.EnterpriseManagement.GatewayApprovalToolMicrosoft.EnterpriseManagement.GatewayApprovalTool.exe 工具需要只有在管理服务器上,并只具有运行一次。要将Microsoft.EnterpriseManagement.GatewayApprovalTool.exe 复制到管理服务器从目标管理服务器,打开Operations Manager安装媒体 \SupportTools 目录。从安装介质中复制 Microsoft.EnterpriseManagement.GatewayApprovalTool.exe Operations Manager的安装目录。注册与管理组的网关此过程将注册的网关服务器的管理组中,并完成此操作后,网关服务器的管理组中已发现的库存视图中将显示。若要运行网关审核工具在管理服务器上所针对在网关服务器安装过程中,在使用登录Operations Manager管理员帐户。打开命令提示窗口,然后定位到Operations Manager安装目录或复制到 Microsoft.EnterpriseManagement.gatewayApprovalTool.exe 目录。在命令提示符下,运行Microsoft.EnterpriseManagement.gatewayApprovalTool.exe /ManagementServerName= /GatewayName= /Action=Create如果审核成功,您将看到 The approval of server completed successfully.如果您需要从管理组删除的网关服务器,运行相同的命令,但替换/Action=Delete标志的 /Action=Create标志。打开[监控] 视图操作控制台。选择发现清单视图,网关服务器存在。 安装网关服务器该过程安装网关服务器。将网关服务器是服务器应与将向其报告代理管理的计算机位于同一域的成员。提示 (例如,双击 MOMGateway.msi 安装网关服务器) 启动 Windows 安装程序时,安装将会失败如果本地安全策略的用户帐户控制:所有管理员批准模式中的管理员已都启用运行。
若要从命令提示符窗口运行操作管理器网关 Windows 安装程序在Windows 桌面上,请单击开始,指向 程序,指向 附件,用鼠标右键单击 命令提示符处,然后单击 以管理员身份运行。 在管理员:命令提示符处 窗口中,定位到本地驱动器,承载 Operations Manager的安装媒体。 定位到.msi 文件所在的目录键入.msi 文件的名称,然后按 enter 键。若要安装网关服务器登录到具有管理员权限的网关服务器上。从Operations Manager开始安装媒体中, Setup.exe。在安装 区域中,单击 网关管理服务器链接。在欢迎 屏幕中,单击 下。在目标文件夹 页面,接受默认值,或单击 更改 以选择一个不同的安装目录,然后单击 下。在管理组配置 页上,键入目标管理组的名称中 管理组名称 字段中,键入中的目标管理服务器名称 管理服务器 字段中,检查 管理服务器端口 字段是 5723,然后单击 下一步。如果您已启用另一个端口的管理在操作控制台中的服务器通信,则可以更改此端口。在网关操作帐户 页面上,选择 本地系统帐户选项,除非您专门创建基于域或本地计算机基于的网关操作帐户。单击“下一步”。在Microsoft 更新 页面上,还可以指示您是否要使用 Microsoft 更新,然后单击 下。在“已准备好安装”页上,单击“安装”。在正在完成 页面上,单击 完成。若要使用命令提示符窗口来安装网关服务器登录到具有管理员权限的网关服务器上。使用“以管理员身份运行”选项打开命令提示符窗口。运行以下命令,其中 path\Directory Momgateway.msi,位置和 path\Logs 是想要保存日志文件的位置。可以在中找到 Momgateway.msi Operations Manager的安装媒体。 %WinDir%\System32\msiexec.exe /i path\Directory\MOMGateway.msi /qn /l*v path\Logs\GatewayInstall.log ADDLOCAL=MOMGateway MANAGEMENT_GROUP="" IS_ROOT_HEALTH_SERVER=0 ROOT_MANAGEMENT_SERVER_AD= ROOT_MANAGEMENT_SERVER_DNS= ACTIONS_USE_COMPUTER_ACCOUNT=0 ACTIONSDOMAIN= ACTIONSUSER= ACTIONSPASSWORD= ROOT_MANAGEMENT_SERVER_PORT=5723 [INSTALLDIR=] 使用MOMCertImport.exe 工具导入证书执行此操作,每个网关服务器,管理服务器和将代理管理,即不受信任的域中的计算机上。若要通过使用 MOMCertImport.exe 导入计算机证书将MOMCertImport.exe 工具复制从安装媒体 \SupportTools\(x86 或 ia64) 目录根或到目标服务器的Operations Manager如果目标服务器是管理服务器安装目录。作为管理员,打开命令提示符窗口,并将目录更改为 MOMCertImport.exe 所在的目录,然后运行 momcertimport.exe /SubjectName .这会使证书可用的 Operations Manager.为管理服务器之间的故障转移配置网关服务器虽然网关服务器可以使用管理组中的任何管理服务器通信,必须配置此。在这种情况下,辅助管理服务器标识为网关服务器故障切换的目标。使用集中-开始管理服务器-gatewayManagementServer 命令中的 Operations Manager 外壳,如配置网关服务器故障转移到多个管理服务器在下面的示例所示。可以从任何管理组中的命令外壳程序运行这些命令。若要配置管理服务器之间的网关服务器故障切换登录到管理服务器是管理组的管理员角色的成员的帐户上。在Windows 桌面上,请单击开始,指向 程序,指向 系统中心运营经理,然后单击 命令行解释器。在命令外壳程序,请按照下一节中介绍的示例。描述下面的示例可用于配置网关的服务器故障切换到多台管理服务器。代码 $GatewayServer = Get-SCOMGatewayManagementServer –Name “ComputerName.Contoso.com” $FailoverServer = Get-SCOMManagementServer –Name “ManagementServer.Contoso.com”,”ManagementServer2.Contoso.com” Set-SCOMParentManagementServer -GatewayServer $GatewayServer -FailoverServer $FailoverServer 注释机器翻译免责声明:本文由计算机系统在未经人为干预的情况下翻译。Microsoft 提供机器翻译来帮助非英语用户阅读有关 Microsoft 产品、服务和技术的内容。由于本文为机器翻译,因此可能包含词汇、句法或语法方面的错误。
C. 请问什么是网关软件如何使用我们老师出的问题
运行在网关的软件
D. 一台电脑我想同时使用两个网关,电脑上有两个程序需要走两个不同的网关地址,怎么设置呢
自动选择貌似不可能,替代方案有几个:
1.使用更改IP的软件,分别保存两套配置,需要用到哪个网关的时候,先使用软件切换网关;
2.这个比较简单,再安装一块网卡,设置为第二网关的网址,打开程序时即可自动连接;
3.使用虚拟机运行其中之一或这两个软件,好处是虚拟网卡随便加,设置好之后由于到这两个网关的网络都是通的,也无需手动切换网关了
E. 在局域网内,如何分发软件(用批处理怎么做)
如果是在同一个网段内,则可以使用*.bat来做这事。里边写上代码:
x 本地路径 每个客户端保存路径 /s/y
说明:本地路径需有个文件夹,把要发送的东西放到文件夹里
F. 网管如何利用网络来分发和部署应用软件
若一个企业有近百台主机的话,那网络管理员的大部分工作在做什么呢?就是各个部门的跑,帮他们解决应用软件上的难题。一会儿有个用户说他的EXCLE软件出问题了;一会儿又有员工报告说他的打印软件出现了故障,等等。网络管理员就四处的去救火。一天下来,自己累个半死,而且,都是在做这些没有多少价值的工作。网络管理员如何才能从这些繁琐的日常事务中解脱出来,开始一些网络设计与规划等等更加有价值的工作上来呢?若能够通过网络来管理应用软件,则必将可以节省网络管理员大部分的时间。 假设现在有个员工A,他向网络管理员求助,说他们的EXCLE程序出现了问题,请帮忙解决。此时,网络管理员难道还要“千里迢迢”的跑过去解决吗?其实不然。利用软件网络部署功能,当应用软件出现问题的时候,系统会自动从服务器上下载相关的内容,对应用软件进行修复。要实现这个目的其实不难,且听我一步步的道来。 一、软件分发点的设置 软件分发点,其实就是软件源程序的存放位置。若想要操作系统自动修复损坏的应用软件或者自动安装它所需要的软件,则首先我们网络管理员必须要先提供应用软件的安装程序。如此的话,操作系统才有可能完成软件的自动安装或者自动修复工作。 这个软件分为点对于实现网络自动安装或者修复应用软件来说,显得非常的重要。我们想一想,若这个源头,这个安装程序本身就存在一定的问题,则后续的软件安装或者恢复当然也难免会出现故障。所以,我们网络管理员若想实现网络自动部署应用软件的功能的话,则就需要首先保障整个共享文件的安全性。为此,笔者有以下建议: 1、对该文件夹设置合理的访问权限。一般来说,只要给这个文件夹只读与运行的权限即可。如此的话,就可以防止员工有意、无意的对该文件中的内容进行修改;同时,也可以防止病毒对该文件夹中的安装程序进行破坏。所以,在设置这个文件夹的时候,笔者建议,只要给其只读与运行的权限即可。当然,作为网络的管理员,可以专门设置一个账户,具有修改的权限。不然你要增加安装程序都没这个权限了。也就是说,对于这个共享文件夹,要设置两种访问的类型。对于普通员工来说,只需要只读以及运行的权限即可;而对于网络管理员来说,需要有一个独立的帐户,具有完全控制权限,来对这个文件夹进行必要的维护。 2、把该文件夹设置为隐藏。由于该文件夹的安装程序是由操作系统自动访问的,而不需要企业员工去指定。所以,为了该文件夹中安装程序的安全性考虑,最好把这个文件夹的属性设置为隐藏。如此的话,员工就不能看到这个文件夹,有利于提高整个安装程序的安全性。 3、最后,为了后续管理的方便,最好一个程序一个文件夹。有些管理员不喜欢一个程序一个文件夹,觉得这太罗嗦;而喜欢把所有的安装程序都放在同一个文件夹下。这对于后续的网络软件部署是非常不方便的。
G. 何谓网关该怎么设置
网关的英文名字是Gateway,最初的意思是连接两个协议差别很大的计算机网络时使用的设备。通过网关可以将不同体系结构的计算机网络连接在一起,例如IBM的SNA服务器要和DEC公司的网络交流信息,就可以通过网关来实现,它完成复杂的协议转换工作,并将数据重新分组发送。在OSI中,网关属于最高层(应用层)的设备。网关本身不具有Cache(缓存),只是协议的转换或者转发。
网关(Gateway)以及网桥(Gate Bridge)均指不同网络之间的通讯接口设备和程序,只不过两者针对的网络层次不同。网关是网络连接设备的重要组成部分,它不仅具有路由的功能,而且能在两个不同的协议集之间进行转换,从而使不同的网络之间进行互联。例如:一个Netware局域网通过网关可以访问IBM的SNA网络,这样使用IPX协议的PC就可和SNA网络上的IBM主机进行通信。现在Internet技术上越来越少用这两个词汇,而由Router (路由器)统指此类接口设备和程序。
如果搞清了什么是网关,默认网关也就好理解了。就好像一个房间可以有多扇门一样,一台主机可以有多个网关。默认网关的意思是一台主机如果找不到可用的网关,就把数据包发给默认指定的网关,由这个网关来处理数据包。现在主机使用的网关,一般指的是默认网关。
如何设置默认网关
一台电脑的默认网关是不可以随随便便指定的,必须正确地指定,否则一台电脑就会将数据包发给不是网关的电脑,从而无法与其他网络的电脑通信。默认网关的设定有手动设置和自动设置两种方式。
1. 手动设置
手动设置适用于电脑数量比较少、TCP/IP参数基本不变的情况,比如只有几台到十几台电脑。因为这种方法需要在联入网络的每台电脑上设置“默认网关”,非常费劲,一旦因为迁移等原因导致必须修改默认网关的IP地址,就会给网管带来很大的麻烦,所以不推荐使用。
在Windows 9x中,设置默认网关的方法是在“网上邻居”上右击,在弹出的菜单中点击“属性”,在网络属性对话框中选择“TCP/IP协议”,点击“属性”,在“默认网关”选项卡中填写新的默认网关的IP地址就可以了。
需要特别注意的是:默认网关必须是电脑自己所在的网段中的IP地址,而不能填写其他网段中的IP地址。
2. 自动设置
自动设置就是利用DHCP服务器来自动给网络中的电脑分配IP地址、子网掩码和默认网关。这样做的好处是一旦网络的默认网关发生了变化时,只要更改了DHCP服务器中默认网关的设置,那么网络中所有的电脑均获得了新的默认网关的IP地址。这种方法适用于网络规模较大、TCP/IP参数有可能变动的网络。
另外一种自动获得网关的办法是通过安装代理服务器软件(如MS Proxy)的客户端程序来自动获得,其原理和方法和DHCP有相似之处.
H. 什么是网关如何设立网关是不是需要软件来设立
网关曾经是很容易理解的概念。在早期的因特网中,术语网关即指路由器。路由器是网络中超越本地网络的标记, 这个走向未知的“大门”曾经、现在仍然用于计算路由并把分组数据转发到源始网络之外的部分,因此, 它被认为是通向因特网的大门。随着时间的推移,路由器不再神奇,公共的基于IP的广域网的出现和成熟促进了路由器的成长。 现在路由功能也能由主机和交换集线器来行使,网关不再是神秘的概念。现在,路由器变成了多功能的网络设备, 它能将局域网分割成若干网段、互连私有广域网中相关的局域网以及将各广域网互连而形成了因特网, 这样路由器就失去了原有的网关概念。然而术语网关仍然沿用了下来,它不断地应用到多种不同的功能中, 定义网关已经不再是件容易的事。
目前,主要有三种网关:
·协议网关 WNx"N
·应用网关 o:JWN
·安全网关 E-c
唯一保留的通用意义是作为两个不同的域或系统间中介的网关,要克服的差异本质决定了需要的网关类型。
什么是网关
网关曾经是很容易理解的概念。在早期的因特网中,术语网关即指路由器。路由器是网络中超越本地网络的标记, 这个走向未知的“大门”曾经、现在仍然用于计算路由并把分组数据转发到源始网络之外的部分,因此, 它被认为是通向因特网的大门。随着时间的推移,路由器不再神奇,公共的基于IP的广域网的出现和成熟促进了路由器的成长。 现在路由功能也能由主机和交换集线器来行使,网关不再是神秘的概念。现在,路由器变成了多功能的网络设备, 它能将局域网分割成若干网段、互连私有广域网中相关的局域网以及将各广域网互连而形成了因特网, 这样路由器就失去了原有的网关概念。然而术语网关仍然沿用了下来,它不断地应用到多种不同的功能中, 定义网关已经不再是件容易的事。
目前,主要有三种网关:
·协议网关 WNx"N
·应用网关 o:JWN
·安全网关 E-c
唯一保留的通用意义是作为两个不同的域或系统间中介的网关,要克服的差异本质决定了需要的网关类型。
一、协议网关
协议网关通常在使用不同协议的网络区域间做协议转换。这一转换过程可以发生在OSI参考模型的第2层、第3层或2、3层之间。 但是有两种协议网关不提供转换的功能:安全网关和管道。由于两个互连的网络区域的逻辑差异, 安全网关是两个技术上相似的网络区域间的必要中介。如私有广域网和公有的因特网。这一特例在后续的“组合过滤网关”中讨论, 此部分中集中于实行物理的协议转换的协议网关。
1、管道网关
管道是通过不兼容的网络区域传输数据的比较通用的技术。数据分组被封装在可以被传输网络识别的帧中,到达目的地时, 接收主机解开封装,把封装信息丢弃,这样分组就被恢复到了原先的格式。
管道技术只能用于3层协议,从SNA到IPv6。虽然管道技术有能够克服特定网络拓扑限制的优点,它也有缺点。 管道的本质可以隐藏不该接受的分组,简单来说,管道可以通过封装来攻破防火墙,把本该过滤掉的数据传给私有的网络区域。
2、专用网关
很多的专用网关能够在传统的大型机系统和迅速发展的分布式处理系统间建立桥梁。 典型的专用网关用于把基于PC的客户端连到局域网边缘的转换器。该转换器通过X.25网络提供对大型机系统的访问。 shoO
这些网关通常是需要安装在连接到局域网的计算机上的便宜、单功能的电路板,这使其价格很低且很容易升级。在上图的例子中, 该单功能的网关将大型机时代的硬连线的终端和终端服务器升级为PC机和局域网。
3、2层协议网关
2层协议网关提供局域网到局域网的转换,它们通常被称为翻译网桥而不是协议网关。 在使用不同帧类型或时钟频率的局域网间互连可能就需要这种转换。
(1)帧格式差异 IEEE802兼容的局域网共享公共的介质访问层,但是它们的帧结构和介质访问机制使它们不能直接互通。
翻译网桥利用了2层的共同点,如MAC地址,提供帧结构不同部分的动态翻译,使它们的互通成为了可能。 第一代局域网需要独立的设备来提供翻译网桥,如今的多协议交换集线器通常提供高带宽主干, 在不同帧类型间可作为翻译网桥,现在翻译网桥的幕后性质使这种协议转换变得模糊,独立的翻译设备不再需要, 多功能交换集线器天生就具有2层协议转换网关的功能。
替代使用仅涉及2层的设备如翻译网桥或多协议交换集线器的另一种选择是使用3层设备:路由器。 长期以来路由器就是局域网主干的重要组成部分。如果路由器用于互连局域网和广域网, 它们通常都支持标准的局域网接口,经过适当的配置,路由器很容易提供不同帧类型的翻译。 这种方案的缺点是如果使用3层设备路由器需要表查询,这是软件功能,而象交换机和集线器等2层设备的功能由硬件来实现, 从而可以运行得更快。
(2)传输率差异
很多过去的局域网技术已经提升了传输速率,例如,IEEE 802.3以太网现在有 10Mbps、100Mbps和1bps的版本, 它们的帧结构是相同的, 主要的区别在于物理层以及介质访问机制,在各种区别中,传输速率是最明显的差异。令牌环网也提升了传输速率, 早期版本工作在4Mbps速率下,现在的版本速率为16Mbps,100Mbps的FDDI是直接从令牌环发展来的,通常用作令牌环网的主干。 这些仅有时钟频率不同的局域网技术需要一种机制在两个其它方面都兼容的局域网间提供缓冲的接口,现今的多协议、 高带宽的交换集线器提供了能够缓冲速率差异的健壮的背板.1494!
2 什么是网关
如今的多协议局域网可以为同一局域网技术的不同速率版本提供内部速率缓冲,还可以为不同的802兼容的局域网提供2层帧转换。 路由器也可以做速率差异的缓冲工作,它们相对于交换集线器的长处是它们的内存是可扩展的。 其内存缓存进入和流出分组到一定程度以决定是否有相应的访问列表(过滤)要应用,以及决定下一跳, 该内存还可以用于缓存可能存在于各种网络拓扑间的速率差异.
二、应用网关
应用网关是在使用不同数据格式间翻译数据的系统。典型的应用网关接收一种格式的输入,将之翻译, 然后以新的格式发送。输入和输出接口可以是分立的也可以使用同一网络连接。
一种应用可以有多种应用网关。如Email可以以多种格式实现,提供Email的服务器可能需要与各种格式的邮件服务器交互, 实现此功能唯一的方法是支持多个网关接口。
应用网关也可以用于将局域网客户机与外部数据源相连,这种网关为本地主机提供了与远程交互式应用的连接。 将应用的逻辑和执行代码置于局域网中客户端避免了低带宽、高延迟的广域网的缺点,这就使得客户端的响应时间更短。 应用网关将请求发送给相应的计算机,获取数据,如果需要就把数据格式转换成客户机所要求的格式。
本文不对所有的应用网关配置作详尽的描述,这些例子应该概括了应用网关的各种分支。它们通常位于网络数据的交汇点, 为了充分地支持这样的交汇点,需要包括局域网、广域网在内的多种网络技术的结合。Tys
三、安全网关
安全网关是各种技术有趣的融合,具有重要且独特的保护作用,其范围从协议级过滤到十分复杂的应用级过滤。防火墙主要有三类: 分组过滤 电路网关 应用网关
注意:三种中只有一种是过滤器,其余都是网关。 这三种机制通常结合使用。过滤器是映射机制,可区分合法的和欺骗包。每种方法都有各自的能力和限制,要根据安全的需要仔细评价。
1、包过滤器
包过滤是安全映射最基本的形式,路由软件可根据包的源地址、目的地址或端口号建立许可权, 对众所周知的端口号的过滤可以阻止或允许网际协议如 FTP、rlogin等。过滤器可对进入和/或流出的数据操作, 在网络层实现过滤意味着路由器可以为所有应用提供安全映射功能。作为(逻辑意义上的)路由器的常驻部分, 这种过滤可在任何可路由的网络中自由使用,但不要把它误解为万能的,包过滤有很多弱点,但总比没有好。
包过滤很难做好,尤其当安全需求定义得不好且不细致的时候更是如此。这种过滤也很容易被攻破。包过滤比较每个数据包, 基于包头信息与路由器的访问列表的比较来做出通过/不通过的决定,这种技术存在许多潜在的弱点。首先, 它直接依赖路由器管理员正确地编制权限集,这种情况下,拼写的错误是致命的, 可以在防线中造成不需要任何特殊技术就可以攻破的漏洞。即使管理员准确地设计了权限,其逻辑也必须毫无破绽才行。 虽然设计路由似乎很简单,但开发和维护一长套复杂的权限也是很麻烦的, 必须根据防火墙的权限集理解和评估每天的变化,新添加的服务器如果没有明确地被保护,可能就会成为攻破点。
随着时间的推移,访问权限的查找会降低路由器的转发速度。每当路由器收到一个分组, 它必须识别该分组要到达目的地需经由的下一跳地址,这必将伴随着另一个很耗费CPU的工作: 检查访问列表以确定其是否被允许到达该目的地。访问列表越长,此过程要花的时间就越多。
包过滤的第二个缺陷是它认为包头信息是有效的,无法验证该包的源头。 头信息很容易被精通网络的人篡改, 这种篡改通常称为“欺骗”。
包过滤的种种弱点使它不足以保护你的网络资源,最好与其它更复杂的过滤机制联合使用,而不要单独使用。
2、链路网关
链路级网关对于保护源自私有、安全的网络环境的请求是很理想的。这种网关拦截TCP请求,甚至某些UDP请求, 然后代表数据源来获取所请求的信息。该代理服务器接收对万维网上的信息的请求,并代表数据源完成请求。实际上, 此网关就象一条将源与目的连在一起的线,但使源避免了穿过不安全的网络区域所带来的风险。
3 什么是网关
这种方式的请求代理简化了边缘网关的安全管理,如果做好了访问控制,除了代理服务器外所有出去的数据流都被阻塞。 理想情况下,此服务器有唯一的地址,不属于任何内部使用的网段。这绝对使无意中微妙地暴露给不安全区域的信息量最小化, 只有代理服务器的网络地址可被外部得到,而不是安全区域中每个联网的计算机的网络地址。
3、应用网关
应用网关是包过滤最极端的反面。包过滤实现的是对所有穿过网络层包过滤设备的数据的通用保护, 而应用网关在每个需要保护的主机上放置高度专用的应用软件,它防止了包过滤的陷阱,实现了每个主机的坚固的安全。
应用网关的一个例子是病毒扫描器,这种专用软件已经成了桌面计算的主要产品之一。它在启动时调入内存并驻留在后台, 持续地监视文件不受已知病毒的感染,甚至是系统文件的改变。 病毒扫描器被设计用于在危害可能产生前保护用户不受到病毒的潜在损害。
这种保护级别不可能在网络层实现,那将需要检查每个分组的内容,验证其来源,确定其正确的网络路径, 并确定其内容是有意义的还是欺骗性的。这一过程将产生无法负担的过载,严重影响网络性能。
4、组合过滤网关
使用组合过滤方案的网关通过冗余、重叠的过滤器提供相当坚固的访问控制,可以包括包、链路和应用级的过滤机制。 这样的安全网关最普通的实现是象岗哨一样保护私有网段边缘的出入点,通常称为边缘网关或防火墙。 这一重要的责任通常需要多种过滤技术以提供足够的防卫。下图所示为由两个组件构成的安全网关:一个路由器和一个处理机。 结合在一起后,它们可以提供协议、链路和应用级保护。
这种专用的网关不象其它种类的网关一样,需要提供转换功能。作为网络边缘的网关,它们的责任是控制出入的数据流。 显然的,由这种网关联接的内网与外网都使用IP协议,因此不需要做协议转换,过滤是最重要的。
保护内网不被非授权的外部网络访问的原因是显然的。控制向外访问的原因就不那么明显了。在某些情况下, 是需要过滤发向外部的数据的。例如,用户基于浏览的增值业务可能产生大量的WAN流量,如果不加控制, 很容易影响网络运载其它应用的能力,因此有必要全部或部分地阻塞此类数据。
联网的主要协议IP是个开放的协议,它被设计用于实现网段间的通信。这既是其主要的力量所在,同时也是其最大的弱点。 为两个IP网提供互连在本质上创建了一个大的IP网, 保卫网络边缘的卫士--防火墙--的任务就是在合法的数据和欺骗性数据之间进行分辨。
5、实现中的考虑
实现一个安全网关并不是个容易的任务,其成功靠需求定义、仔细设计及无漏洞的实现。首要任务是建立全面的规则, 在深入理解安全和开销的基础上定义可接受的折衷方案,这些规则建立了安全策略。
安全策略可以是宽松的、严格的或介于二者之间。在一个极端情况下,安全策略的基始承诺是允许所有数据通过,例外很少, 很易管理,这些例外明确地加到安全体制中。这种策略很容易实现,不需要预见性考虑,保证即使业余人员也能做到最小的保护。 另一个极端则极其严格,这种策略要求所有要通过的数据明确指出被允许,这需要仔细、着意的设计,其维护的代价很大, 但是对网络安全有无形的价值。从安全策略的角度看,这是唯一可接受的方案。在这两种极端之间存在许多方案,它们在易于实现、 使用和维护代价之间做出了折衷,正确的权衡需要对危险和代价做出仔细的评估。 </DIV><DIV class=gray align=right>回答者:wfchenjin - 魔法师 五级 11-24 10:48</DIV><DIV id=Lg></DIV><DIV class=f14>网关是互连网络中操作在OSI运输层之上的设施,所以称为设施, 是因为网关不一定是一台设备,有可能在一台主机中实现网关功能。当然也不排除使用一台计算机来专门实现网关具有的协议转换功能。
由于网关是实现互连、互通和应用互操作的设施。通常又多是用来连接专用系统,所以市场上从未有过出售网关的广告或公司。因此,在这种意义上,网关是一种概念,或一种功能的抽象。网关的范围很宽,在TCP/IP网络中,网关有时所指的就是路由器,而在MHS系统中,为实现CCITTX.400和SMTPL简单邮件运输协议间的互操作,也有网关的概念。SMTP是TCP/IP环境中使用的电子邮件,其标准为RFC- 822,而符合国际标准的CCITTX.400发展较晚,但受到以欧州为先锋的世界范围的支持。为将两种系统互连,TCP/IP标准制定团体专门定义了X.400和RFC-822 之间的变换标准RFC987(适用于1984年X.400),以及RFC1148(适用于1988年X.400)。 实现上述变换标准的设施也称之为网关
I. 如何安装网关软件及设置
不需要装什么软件,双网卡 ,一个网卡做外网使用,IP 就是你的那个IP,另一个就是在内网中用了,内网中的IP 你自己设一个,以及网关,其余的电脑就按内网设置,就行了
J. 请问如何在网关电脑上设置聚生网管软件
正好 我在用聚生网管的软件你的是什么版本?首先打开软件选择网卡..这就不用说了进入软件后选择监控模式 我是选择主动引导模式的进入主机列表之后对所有主机进行扫描这样所有的机器IP-MAC地址..都出来了然后就开始进行策略设置选择新建出来之后太多了我就不全说了你看了就明白了我先说主要的 对带宽限制,P2P下载限制.流量限制.聊天限制,游戏限制...最主要的是ACL规则设置选择添加你可以对单个IP做规则也可以对所有的IP做规则填上适当的端口选择确定软件的设置基本完成,回到主机列表就可以对每个IP进行设置在用户上面鼠标副建点击出现策略编辑 有断开主机公网连接,为主机选择策略...选择完之后点击应用设置即可生效 还可以对每台电脑屏幕上设置文字//如:现在是工作时间,你的访问被禁止。 大致我说完了如果对本软件还不明白的话可以加我515127863