局域网外部防火墙与内部防火墙概念.doc

局域网外部防火墙与内部防火墙概念我听说组建局域网的时候可以设置外部防火墙与内部防火墙。外部防火墙与内部防火墙之间是“安全隔离（DMZ）区”，外部防火墙的外面是路由器（接INTERNET），内部防火墙的后面就是内部网络区了。内部防火墙是接在哪的啊？（一）内部防火墙是不是直接拉一条线直接接在外部防火墙上，外部防火墙的其它的各个端口接各个主机（为安全隔离（DMZ）区的成员）；（二）还是说在外部防火墙的端口上先接一个交换机，在交换机的几个端口上各接一部主机（这些主机为安全隔离（DMZ）区的成员）并就在这个交换机的其中一个端口上接一部防火墙（这部就是内部防火墙），然后内部防火墙的各个端口就可以接内部网络的各部主机了。我这样的理解对不对啊？一、防火墙的概念 1. 最初含义：当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙 。 2. Rich Kosinski(Internet Security公司总裁）： 防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问。换句话说，防火墙是一道门槛，控制进/出两个方向的通信。 3. William Cheswick和Steve Beilovin（1994）： 防火墙是放置在两个网络之间的一组组件，这组组件共同具有下列性质： （1）只允许本地安全策略授权的通信信息通过； （2）双向通信信息必须通过防火墙； （3）防火墙本身不会影响信息的流通。 4. 防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。 注意：防火墙主要用于保护安全网络免受不安全网络的侵害。 典型情况：安全网络为企业内部网络，不安全网络为因特网。 但防火墙不只用于因特网，也可用于Intranet各部门网络之间。（内部防火墙）。E.g.：财务部与市场部之间。 5. 在逻辑上，防火墙是分离器，限制器，也是一个分析器，有效地监控了内部网和外部网之间的任何活动，保证了内部网络的安全。 在物理上，防火墙通常是一组硬件设备路由器、主计算机，或者是路由器、计算机和配有软件的网络的组合。 防火墙一般可分为多个部分，某些部分除了执行防火墙功能外还执行其它功能。E.g.：加密和解密VPN。 6. 防火墙的实质是一对矛盾（或称机制）：限制数据流通，允许数据流通。 两种极端的表现形式：除了非允许不可的都被禁止，安全但不好用。（限制政策）；除了非禁止不可的都被允许，好用但不安全。（宽松政策） 多数防火墙都在两种之间采取折衷。 在一个没有防火墙环境中，网络安全完全依赖于主机安全，并且在某种意义上所有主机都必须协同达到一个统一的高安全标准。基于主机的安全伸缩性不好：当一个站点上主机的数量增加时，确定每台主机处于高安全级别之上，势必会使性能下降。如果某个网络软件的薄弱点被发现，没有防火墙保护的站点必须尽可能快地更正每个暴露的系统，这并不现实，特别是在一些不同版本的操作系统正被使用时。 二、防火墙的作用 1. 网络安全的第一道防线（防盗门、战壕、交通警察、门卫） 2. 防火墙是阻塞点，可强迫所有进出信息都通过这个唯一狭窄的检查点，便于集中实施安全策略。 3. 防火墙可以实行强制的网络安全策略，E.g.：禁止不安全的协议NFS，禁止finger 。 4. 对网络存取和访问进行监控审计。E.g.:网络使用和滥用的记录统计。 5. 使用内部防火墙可以防止一个网段的问题传播到另一个网段。 三、防火墙体系结构 1. 基本原理 （1）防火墙是网络之间的一种特殊的访问控制设施，放置在网络的边界上，用于隔离Internet的一部分，限制其与Internet其他部分之间数据的自由流动，在不可靠的互连网络中建立一个可靠的子网。 （2）安全域：一个计算机子网中具有相同安全政策的计算机的集合。 （3）过滤器：本地安全政策的具体体现，对穿越的流量实施控制以阻止某一类别的流量。 2. 防火墙分类 （1）IP级防火墙，又称报文过滤防火墙。 原理：在路由软件中根据报文的信源、信宿及服务类型来实现报文过滤功能。 特点：网络性能好，透明、方便；不能针对特定用户和特定请求，粒度不够。 （2）应用级防火墙，又称代理防火墙。 原理：双穴主机隔离内外直接连接，为两端代理服务请求。 特点：不存在直接报文交换，安全性好，粒度精确完备；但效率低，只能针对专门服务，有局限性。 （3）链路级防火墙 原理：双穴主机提供通用的TCP/UDP连接中继服务。 3. 防火墙的使用 （1）一般原则 1）防火墙的使用是以额外的软硬件设备和系统性能的下降为代价的。 2）防火墙的设置取决于对网络的安全防卫要求和所能承受的经济能力，以及系统被攻破之后可能产生的后果的严重性。 3）防火墙适用于保护内部主机安全管理不太严格的大型组织机构。 （2）防火墙的使用形式 1）路由器过滤方式防火墙 在内部网与外部网的关键路径上设置一台带有报文过滤功能的路由器，通过设置过滤规则准确完备地表达本地网络的安全政策。 2）双穴信关方式防火墙 双穴主机使用两个接口分别连接内部和外部网络，并隔离两个网络之间的直接IP报文交换。分为代理服务和用户直接登录两种访问控制方式。 3）主机过滤方式防火墙 提供安全保护的堡垒主机仅与内部网相连，通过过滤路由器连接内部网和外部网，外部网只能访问堡垒主机。更具安全性和可操作性。 4）子网过滤方式防火墙：DMZ方式（非军事区方式） 在主机过滤的基础上增加子网过滤，用过滤子网隔离堡垒主机与内部网，减轻攻击者入侵堡垒主机后对内部网的冲击。 5）内部防火墙 用于大型网络内部子网分隔，以阻止访问控制中信赖关系的传递转移。 （3）使用防火墙的问题 1）灵活性差，不能满足网络互连的复杂形式。 2）防火墙重点防卫网络传输，不保证高层协议的安全。 3）防火墙必须设置在路由的关键点，且安全域内不能存在备份的迂回路由。 4. 防火墙的管理 （1）防火墙日志：用于安全追踪。 （2）备份：防火墙系统的所有配置文件和系统文件。 四、IP级防火墙 1. 工作原理 （1）多端口交换设备，根据报文报头执行过滤规则来进行报文转发。 （2）传输控制表 1）定义过滤规则，报文依次运用每一条规则直至匹配的规则，然后执行对应的操作。 2）传输控制表的建立：安全政策形式化描述防火墙软件语法格式 3）制定过滤规则：规则之间并不互斥，长前缀匹配优先。 4）不同的IP级防火墙产品有不同的传输控制表格式。 2. 报文过滤规则 （1）SMTP处理：服务器端口25，客户机端口1023 （2）POP处理：服务器端口110，客户机端口1023 （3）HTTP处理：服务器端口80，客户机端口1023 （4）FTP处理：服务器控制连接端口21，数据连接端口20，客户机端口1023 （5）Telnet处理：服务器端口23，客户机端口1023 （6）DNS处理：服务器端口53，客户机端口1023 （7）RPC处理：端口映射服务器111，不提倡在不安全环境中提供RPC服务 （8）UDP处理：很难控制和验证，通过应用级防火墙拒绝UDP报文 （9）ICMP处理：容易遭受DOS攻击，ICMP过滤范围取决于网络的管理域 （10）路由处理：应阻止内部路由信息出去，同时阻止外部路由信息进来 （11）IP分段报文处理：取决于网络的安全要求，必要时应设置上下文 （12）IP隧道：由于开销过大，一般IP级防火墙不对IP隧道进行过滤 3. 内部路由与防火墙的混合结构 内部网使用一个路由器同时处理内部路由和外部防火墙功能，此时防火墙的定义要针对路由器的端口进行，需要路由器各端口的路由表配合。 4. IP防火墙的政策控制 （1）鉴别：验证用户的标识 （2）授权：判定用户是否有权访问所申请的资源。 5. 源点鉴别 （1）目的：防止盗用资源和服务失效攻击 （2）验证形式：抽样检查 1）对报文流当场进行抽样检查 2）一边转发，一边抽样进行后台检查 3）将样本记入日志，事后进行审计 （3）鉴别方法：过滤标准，临时口令，报文摘录，报文签名 6. IP级防火墙技术评价 （1）优点（P191） （2）目前存在的问题（P192） 五、应用级防火墙 1. 基本原理 （1）在堡垒主机中使用应用代理服务器控制内部网络与外部网络的报文交换。 （2）优点 1）对特定的应用服务在内部网络内外的使用实施有效控制，具有很强的针对性和专用性。 2）内部网络中的用户名被防火墙中的名字取代，增加了攻击者寻找攻击对象的难度。 3）可以对过往操作进行检查和控制，禁止了不安全的行为。 4）提供报文过滤功能，还能实现对传输时间、带宽等进行控制的方法。 （3）缺点 1）通用性较差，需要为每个应用协议配置不同的代理服务器。 2）需要对正常的客户软件进行相应的调整或修改。 3）新服务的出现和对应代理的出现存在较大延迟，成为新的不安全因素。 （4）设计原则（P193） 1）不允许内部网络与外界直接的IP交互，要有边界防火墙。 2）允许内部用户发起向外的FTP和Email，但可以通过代理进行审计。 3）外部网络用户是不可信任的，要有鉴别功能。 4）内部用户所使用的涉及外部网络的服务应该是可控制的。 5）防火墙的功能是针对外部网络访问的你所说的手持终端其实相当无线网络行业所说的无线Client设备，你说的问题是一个无线漫游的问题。漫游其实都涉及到了断开再连接问题，只是这个过程的快慢是否合适。第一种方法是，你把你的终端设备内设置自动连接所有的无线AP设备，这样当终端设备在这些无线AP移动漫游时，其会自动漫游连接到信号较强的无线AP设备上。其中间断是感觉不到的。第二种方法，把你所有的无线AP的SSID设置成相同的，这样当终端设备在这些无线AP移动漫游时，其会自动漫游连接到信号较强的无线AP设备上。其中间断也是感觉不到的。如果传输的是视频信息的话，可能会这个过程感觉比较明显。如果是数据信息的话，此过程就感觉不到了。希望以上对你有帮助！有问题可以找我，我是一名无线网络技术，呵呵！可以再沟通无线路由器是单纯型AP与宽带路由器的一种结合体；AP、路由功能和交换机的集合体，支持有线无线组成同一子网，直接接上MODEM。 无线AP：AP为Access Point简称，一般翻译为“无线访问节点”，它主要是提供无线工作站对有线局域网和从有线局域网对无线工作站的访问，在访问接入点覆盖范围内的无线工作站可以通过它进行相互通信。 相当于一个无线交换机，接在有线交换机或路由器上，为跟它连接的无线网卡从路由器那里分得IP。比如，一个猫上能否连接三个无线AP，将这三个无线AP，延长，放置在不同的地方，来实现更广范围的无线覆盖，这样可以的吗？可以啊，3个ap分别是 A B C 猫连A A的WAN口设置拨号，设置好。 接着A连B（网线连接），给B的wan口 分配一个ip地址，设置好。再B连C（网线连接好），给c一个IP地址，设置好。 就能实现更广范围的无线覆盖无线AP（Access Point）即无线接入点，它是用于无线网络的无线交换机，也是无线网络的核心。无线AP是移动计算机用户进入有线网络的接入点，主要用于宽带家庭、大楼内部以及园区内部，典型距离覆盖几十米至上百米，目前主要技术为802.11系列。大多数无线AP还带有接入点客户端模式（AP client），可以和其它AP进行无线连接，延展网络的覆盖范围。无线AP百科名片无线AP（Access Point）即无线接入点，它是用于无线网络的无线交换机，也是无线网络的核心。无线AP是移动计算机用户进入有线网络的接入点，主要用于宽带家庭、大楼内部以及园区内部，典型距离覆盖几十米至上百米，目前主要技术为802.11系列。大多数无线AP还带有接入点客户端模式（AP client），可以和其它AP进行无线连接，延展网络的覆盖范围。目录基本简介单纯性无线AP无线AP与无线路由器的区别从功能上区分从应用上区分从组网拓扑图上分析从成本上来分析无线AP的组网方案1）AP模式2）AP客户端模式基本简介 单纯性无线AP 无线AP与无线路由器的区别 从功能上区分 从应用上区分 从组网拓扑图上分析 从成本上来分析无线AP的组网方案 1）AP模式 2）AP客户端模式展开 编辑本段基本简介无线AP（AP，Access Point，无线访问节点、会话点或存取桥接器）是一个包含很广的名称，它不仅包含单纯性无线接入点（无线AP），也同样是无线路由器（含无线网关、无线网桥）等类设备的统称 各种文章或厂家在面对无线AP时的称呼目前比较混乱，但随着无线路由器的普及，目前的情况下如没有特别的说明，我们一般还是只将所称呼的无线AP理解为单纯性无线AP，以示和无线路由器加以区分。它主要是提供无线工作站对有线局域网和从有线局域网对无线工作 无线AP站的访问，在访问接入点覆盖范围内的无线工作站可以通过它进行相互通信。编辑本段单纯性无线AP就是一个无线的交换机，提供无线信号发射接收的功能。单纯性无线AP的工作原理是将网络信号通过双绞线传送过来，经过AP产品的编译，将电信号转换成为无线电讯号发送出来，形成无线网的覆盖。根据不同的功率，其可以实现不同程度、不同范围的网络覆盖，一般无线AP的最大覆盖距离可达500米。 多数单纯性无线AP本身不具备路由功能，包括DNS、DHCP、Firewall在内的服务器功能都必须有独立的路由或是计算机来完成。目前大多数的无线AP都支持多用户（30-100台电脑）接入，数据加密，多速率发送等功能，在家庭、办公室内，一个无线AP便可实现所有电脑的无线接入。 单纯性无线AP亦可对装有无线网卡的电脑做必要的控制和管理。单纯性无线AP即可以通过10BASE-T（WAN）端口与内置路由功能的ADSL MODEM或CABLE MODEM（CM）直接相连，也可以在使用时通过交换机/集线器、宽带路由器再接入有线网络。 无线AP跟无线路由器类似，按照协议标准本身来说IEEE 802.11b和IEEE 802.11g的覆盖范围是室内100米、室外300米。这个数值仅是理论值，在实际应用中，会碰到各种障碍物，其中以玻璃、木板、石膏墙对无线信号的影响最小，而混凝土墙壁和铁对无线信号的屏蔽最大。所以通常实际使用范围是：室内30米、室外100米（没有障碍物）。 因此，作为无线网络中重要的环节无线接入点、无线网关也就是无线AP（Access Point），它的作用其实就类似于我们常用的有线网络中的集线器。在那些需要大量AP来进行大面积覆盖的公司使用得比较多，所有AP通过以太网连接起来并连到独立的。编辑本段无线AP与无线路由器的区别从功能上区分无线AP:AP为Access Point简称，一般翻译为“无线访问节点”，它主要是提供无线工作站对有线局域网和从有线局域网对无线工作站的访问，在访问接入点覆盖范围内的无线工作站可以通过它进行相互通信。通俗的讲，无线AP是无线网和有线网之间沟通的桥梁。由于无线AP的覆盖范围是一个向外扩散的圆形区域，因此，应当尽量把无线AP放置在无线网络的中心位置，而且各无线客户端与无线AP的直线距离最好不要超过30米，以避免因通讯信号衰减过多而导致通信失败。 无线路由器：无线路由器是单纯型AP与宽带路由器的一种结合体；它借助于路由器功能，可实现家庭无线网络中的Internet连接共享，实现ADSL和小区宽带的无线共享接入 ，另外，无线路由器可以把通过它进行无线和有线连接的终端都分配到一个子网，这样子网内的各种设备交换数据就非常方便。 可以这样说：无线路由器就是AP、路由功能和交换机的集合体，支持有线无线组成同一子网，直接接上MODEM。无线AP相当于一个无线交换机，接在有线交换机或路由器上，为跟它连接的无线网卡从路由器那里分得IP。从应用上区分 独立的AP在那些需要大量AP来进行大面积覆盖的公司使用得比较多，所有AP通过以太网连接起来并连到独立的无线局域网防火墙。 无线路由器在SOHO的环境中使用得比较多，在这种环境下，一个AP就足够了。这样的话，整合了宽带接入路由器和AP的无线路由器就提供了单个机器的解决方案，它比起两个分开的机器的方案要容易管理和便宜一些。无线路由器一般包括了网络地址转换（NAT）协议，以支持无线局域网用户的网络连接共享-这是SOHO环境中很好用的一个功能。它们也可能有基本的防火墙或者信息包过滤器来防止端口扫描软件和其他针对宽带连接的攻击。最后，大多数无线路由器包括一个四个端口的以太网转换器，可以连接几台有线的PC。这对于管理路由器或者把一台打印机连上局域网来说非常方便。从组网拓扑图上分析 AP不能直接跟ADSL MODEM相连，所以在使用时必须再添加一台交换机或者集线器：使用上面的拓扑架构时，AP和无线路由的用法是一样的。不过，大部分无线路由器由于具有宽带拨号的能力，因此可以直接跟ADSL MODEM连接进行宽带共享。从成本上来分析 802.11B的无线AP和无线路由器的价钱相差不多， 一般无线路由器会贵100元左右；802.11G则要看具体情况而言，根据品牌和附加功能的不同两者价格会有几百元不等的差距，不过便宜的产品差价也是100多元。编辑本段无线AP的组网方案1）AP模式AP（Access Point，接入点模式），这是我们无线AP的基本工作模式，用于构建以无线AP为中心的集中控制式网络，所有通信都通过AP来转发，类似于有线网络中的交换机的功能。这种模式下连接方式大致如下图所示： AP即可以和无线网卡建立无线连接，也可以和有线网卡通过网线建立有线连接。我们的501G只有一个LAN口，一般不用它来直接接电脑，而是用来与有线网络建立连接，直接连接前端的路由器或者是交换机。 在这种模式下，无线1到13。选择中应该注意的是，如果周围环境中还有其他的无线网络，尽量不要使用相同的频率段。然后选择501G工作的模式，我们的501G支持11Mbps带宽的802.11b、54Mbps带宽的802.11g模式（兼容802.11b模式）。同时注意开启无线功能，就是不要选中关闭无线功能的这个选项即可。选中Access Point选项，设置好SSID号即可。注意，通过无线方式与我们的无线AP建立连接的无线网卡上设置的SSID号必需与我们无线AP上设置的SSID号相同，否则无法接入网络。2）AP客户端模式 首先是设置该网络工作的频段，选择的范围从AP client模式下，即可以有线接入网络也可以无线接入网络，但此时接在无线