目前,有三種主要的網關:
協議網關WNx "
應用網關o:JWN
安全網關電子商務
保留的唯壹共同含義是,作為兩個不同域或系統之間的網關,要克服的差異的性質決定了所需網關的類型。
什麽是網關?
網關曾經是壹個容易理解的概念。在互聯網的早期,術語網關是路由器。路由器是網絡超越本地網絡的標誌。這個未知的“網關”過去和現在都用於計算路由,並將數據包轉發到原始網絡之外的部分。因此,它被認為是通往互聯網的門戶。隨著時間的推移,路由器已經不再神奇,基於公共IP的廣域網的出現和成熟促進了路由器的成長。現在路由功能也可以由主機和交換集線器來行使,網關不再是壹個神秘的概念。現在,路由器變成了壹個多功能的網絡設備,可以把局域網分成幾個網段,把私有廣域網中的相關局域網互聯起來,把廣域網互聯起來組成互聯網,這樣路由器就失去了原來網關的概念。然而,術語“網關”仍然被使用,它經常被應用於許多不同的功能。定義網關不再容易。
目前,有三種主要的網關:
協議網關WNx "
應用網關o:JWN
安全網關電子商務
保留的唯壹共同含義是,作為兩個不同域或系統之間的網關,要克服的差異的性質決定了所需網關的類型。
壹.協議網關
協議網關通常在使用不同協議的網絡區域之間進行協議轉換。這種轉換過程可以發生在OSI參考模型的第2層、第3層或第2層和第3層之間。但是,有兩種協議網關不提供轉換的功能:安全網關和管道。由於兩個互連的網絡區域之間的邏輯差異,安全網關是兩個技術上相似的網絡區域之間的必要中介。如專用廣域網和公共互聯網。這個特例在下面的“組合過濾網關”中討論,重點是實現物理協議轉換的協議網關。
1,管道網關
管道是通過不兼容的網絡區域傳輸數據的常用技術。數據包被封裝在傳輸網絡可以識別的幀中。當數據包到達目的地時,接收主機會解包並丟棄封裝的信息,從而將數據包恢復為原始格式。
管道技術只能用於從SNA到IPv6的3層協議。盡管管道技術具有克服特定網絡拓撲限制的優點,但它也有缺點。流水線的本質可以隱藏不應該被接受的數據包。簡單來說,管道可以通過封裝突破防火墻,把本該過濾掉的數據傳輸到私網區域。
2.專用網關
許多專用網關可以在傳統的主機系統和快速發展的分布式處理系統之間建立橋梁。典型的專用網關用於將基於PC的客戶端連接到局域網邊緣的轉換器。轉換器通過X.25網絡提供對大型機系統的訪問。噓
這些網關通常是便宜的、功能單壹的電路板,需要安裝在連接到局域網的計算機上,這使得它們非常便宜且易於升級。上例中,單功能網關將大型機時代的硬連線終端和終端服務器升級為PC和局域網。
3、2層協議網關
第2層協議網關提供局域網到局域網的轉換。它們通常被稱為轉換橋,而不是協議網關。使用不同幀類型或時鐘頻率的局域網之間的互連可能需要這種轉換。
(1)不同的幀格式兼容IEEE802的局域網* * *共享共同的介質訪問層,但它們的幀結構和介質訪問機制使它們無法直接通信。
轉換橋利用兩層的相似性(如MAC地址)來提供幀結構不同部分的動態轉換,使它們能夠相互通信。第壹代局域網需要獨立的設備來提供轉換橋。今天的多協議交換集線器通常提供高帶寬主幹,可以用作不同幀類型之間的轉換橋。現在翻譯橋的幕後性質使得這種協議轉換變得模糊,不再需要獨立的翻譯設備。多功能交換集線器天生具有二層協議轉換網關的功能。
除了僅使用第2層設備(如轉換橋或多協議交換集線器)之外,另壹種選擇是使用第3層設備:路由器。路由器長期以來壹直是局域網主幹網的重要組成部分。如果路由器被用來互連局域網和廣域網,它們通常支持標準的局域網接口。通過適當的配置,路由器可以輕松轉換不同的幀類型。這種方案的缺點是,如果使用三層設備,路由器需要查表,這是軟件功能,而交換機、集線器等二層設備的功能是硬件實現的,所以可以運行得更快。
(2)傳輸速率差異
許多過去的局域網技術已經提高了傳輸速率。例如,IEEE 802.3以太網現在有10Mbps、100Mbps和1bps版本。它們的幀結構是相同的,主要區別在於物理層和媒體訪問機制。在各種差異中,傳輸速率是最明顯的差異。令牌環網也提高了傳輸速率。早期版本的工作速率為4Mbps,現在版本速率為16Mbps,100Mbps的FDDI直接從令牌環網發展而來,通常作為令牌環網的主幹。這些具有不同時鐘頻率的局域網技術需要壹種機制來提供在其他方面兼容的兩個局域網之間的緩沖接口。今天的多協議、高帶寬交換集線器提供了壹個強大的背板,可以緩沖速率差異!54438+0494!
2什麽是網關
現在的多協議局域網可以為同壹種局域網技術的不同速率版本提供內部速率緩沖,也可以為不同的802兼容局域網提供二層幀轉換。路由器也可以緩沖速率差異。與交換式集線器相比,它們的優勢在於內存是可擴展的。它的內存在壹定程度上緩存傳入和傳出的數據包,以確定是否有相應的訪問列表(過濾)要應用,並確定下壹跳。該存儲器還可以用於緩存各種網絡拓撲中可能存在的速率差異。
第二,應用網關
應用程序網關是壹個在不同數據格式之間轉換數據的系統。典型的應用程序網關接收壹種格式的輸入,翻譯它,然後以新的格式發送它。輸入和輸出接口可以是獨立的,也可以使用同壹網絡連接。
壹個應用程序可以有多個應用程序網關。如果郵件可以實現多種格式,那麽提供郵件的服務器可能需要與各種格式的郵件服務器進行交互,而實現這壹功能的唯壹途徑就是支持多種網關接口。
應用程序網關也可用於連接局域網客戶機和外部數據源,為本地主機提供與遠程交互式應用程序的連接。將應用邏輯和執行代碼放在局域網中,避免了廣域網低帶寬、高延遲的缺點,使得客戶端的響應時間更短。應用網關向相應的計算機發送請求,獲取數據,必要時將數據格式轉換成客戶端要求的格式。
本文沒有詳細描述所有的應用程序網關配置,但是這些例子應該總結了應用程序網關的各個分支。它們通常位於網絡數據的交叉點。為了完全支持這種交叉,需要結合包括局域網和廣域網在內的各種網絡技術。泰斯
第三,安全網關
安全網關是各種技術的有趣融合,它具有重要而獨特的保護功能,範圍從協議級過濾到非常復雜的應用程序級過濾。有三種主要類型的防火墻:包過濾電路網關和應用網關。
註意:三種類型中只有壹種是過濾器,其他都是網關。這三種機制通常結合使用。過濾器是壹種映射機制,可以區分合法數據包和欺騙數據包。每種方法都有其自身的能力和局限性,應根據安全需要仔細評估。
1,數據包篩選器
包過濾是最基本的安全映射形式。路由軟件可以根據數據包的源地址、目的地址或端口號建立權限。過濾眾所周知的端口號可以阻止或允許Internet協議,如FTP和rlogin。過濾器可以對傳入和/或傳出數據進行操作。在網絡層實施過濾意味著路由器可以為所有應用程序提供安全映射功能。作為路由器的常駐部分(邏輯意義上),這種過濾可以在任何可路由的網絡中自由使用,但不要誤解為萬能。包過濾有很多弱點,但總比沒有強。
包過濾很難做得很好,尤其是當安全要求沒有很好地定義和詳細說明時。這種過濾也容易被打破。包過濾會比較每個數據包,並根據包頭信息和路由器的訪問列表之間的比較做出通過/失敗的決定。這項技術有許多潛在的弱點。首先,它直接依賴於路由器管理員正確編譯權限集。在這種情況下,拼寫錯誤是致命的,可以在防禦線上制造漏洞,無需任何特殊技術就可以打破這些漏洞。即使管理員準確地設計了權限,其邏輯也必須完美無缺。雖然設計壹個路由看似簡單,但是開發和維護壹長串復雜的權限也是非常麻煩的。需要根據防火墻的權限集來了解和評估日常的變化。如果新增加的服務器沒有明確保護,可能會成為突破點。
隨著時間的推移,訪問權限的查找會降低路由器的轉發速度。路由器每次收到數據包時,都必須確定數據包到達目的地需要經過的下壹跳地址,這必然伴隨著另壹項消耗CPU的任務:檢查訪問列表以確定是否允許它到達目的地。訪問列表越長,這個過程需要的時間就越長。
包過濾的第二個缺陷是,它認為報頭信息是有效的,無法驗證數據包的來源。報頭信息很容易被精通網絡的人篡改。這種篡改通常被稱為“欺騙”。
包過濾的弱點使得它不足以保護您的網絡資源。最好將其與其他更復雜的過濾機制結合使用,而不是單獨使用。
2.鏈接網關
鏈路級網關是保護來自私有、安全網絡環境的請求的理想選擇。這個網關攔截TCP請求,甚至壹些UDP請求,然後代表數據源獲取所請求的信息。代理服務器接收對萬維網上信息的請求,並代表數據源完成該請求。實際上,這個網關就像壹條連接源和目的地的線,但它避免了源穿過不安全網絡區域的風險。
3什麽是網關
這種請求代理的方式簡化了邊緣網關的安全管理。如果訪問控制做得好,除了代理服務器之外,所有傳出的數據流都會被阻止。理想情況下,該服務器具有唯壹的地址,並且不屬於任何內部網段。這絕對最大限度地減少了不經意間潛移默化暴露在不安全區域的信息量,外部只能獲取代理服務器的網絡地址,而不是安全區域內每臺聯網計算機的網絡地址。
3.應用網關
應用網關是包過濾最極端的對立面。包過濾實現了對通過網絡層包過濾設備的所有數據的通用保護,應用網關在每臺需要保護的主機上放置高度專業化的應用軟件,防止了包過濾的陷阱,實現了每臺主機的牢固安全。
應用程序網關的壹個例子是病毒掃描器,它已經成為桌面計算的主要產品之壹。它在啟動時調用內存,並留在後臺,不斷監測文件被已知病毒感染,甚至是系統文件的變化。病毒掃描程序旨在保護用戶免受病毒的潛在損害,以免危害發生。
這種級別的保護無法在網絡層實現。它需要檢查每個數據包的內容,驗證其來源,確定其正確的網絡路徑,並確定其內容是有意義的還是欺騙性的。這個過程會產生難以承受的過載,嚴重影響網絡性能。
4.組合過濾網關
使用組合過濾方案的網關通過冗余和重疊的過濾器提供相當健壯的訪問控制,這些過濾器可以包括分組、鏈路和應用級過濾機制。這種安全網關最常見的實現是像哨兵壹樣保護私有網段邊緣的接入點,通常稱為邊緣網關或防火墻。這壹重要職責通常需要多種過濾技術來提供足夠的防禦。下圖顯示了由兩個組件組成的安全網關:路由器和處理器。它們壹起可以提供協議、鏈路和應用程序級別的保護。
與其他類型的網關不同,這種專用網關需要提供轉換功能。作為網絡邊緣的網關,它們的職責是控制傳入和傳出的數據流。很明顯,這個網關連接的內網和外網都是使用IP協議,不需要做協議轉換,過濾才是最重要的。
保護內部網免受未經授權的外部網絡訪問的原因是顯而易見的。控制出站訪問的原因不太明顯。在某些情況下,有必要過濾發送到外部的數據。比如用戶基於瀏覽的增值業務,可能會產生大量的廣域網流量,如果不加以控制,很容易影響網絡承載其他應用的能力,因此需要對這類數據進行整體或部分的屏蔽。
IP是網絡的主要協議,是壹個開放的協議,旨在實現網段之間的通信。這既是它的主要優勢,也是它最大的弱點。為兩個IP網絡提供互連實質上創建了壹個大型IP網絡,而守衛網絡邊緣的任務——防火墻——就是區分合法數據和欺騙性數據。
5.實施中的考慮因素
實現安全網關不是壹件容易的事情,它的成功取決於需求定義、精心設計和無縫實現。第壹項任務是在深入了解安全性和開銷的基礎上,建立全面的規則並定義可接受的折衷方案。這些規則建立了安全策略。
安全策略可以是寬松的、嚴格的或者介於兩者之間。在壹個極端的情況下,安全策略的基本承諾是允許所有數據通過,例外很少,易於管理,並且這些例外被明確地添加到安全系統中。這種策略很容易實現,而且不需要先見之明就能保證即使是業余選手也能達到最低限度的保護。另壹個極端,是極其嚴格。這種策略要求所有要傳遞的數據都明確表示是允許的,這需要精心、刻意的設計,其維護成本很高,但對網絡安全有無形的價值。從安全策略的角度來看,這是唯壹可以接受的解決方案。在這兩個極端之間有許多方案,它們折衷了易於實現、使用和維護的成本。正確的權衡需要仔細評估風險和成本。