安全网关:应用网络的七层协议-中文百科频道

简介

安全网关支持两种网络接入模式：一种是网桥模式，一种是网关模式。网关模式下有ADSL拨号、静态路由、DHCPclient端三种外网接入类型。如果安全网关采用网桥模式，通常情况下应该部署在企业接入设备（防火墙或者路由器）的后面。安全网关的两个网口（内网口和外网口）连接的是同一网段的两个部分,用户只需给安全网关配置一个本网段的IP地址，不需要改变网络拓扑以及其它配置，透明接入网络。

如果安全网关采用网关模式，通常情况下应该部署在企业网络出口处，做为宽带网络接入设备，保护整个内部网络。

对于企业连接不同地域网络的需求，安全网关提供了VPN功能，企业可以通过Internet连接不同地域的网络。

安全网关提供IPSEC和PPTPVPN接入方法。安全网关的VPN功能适用于网关接入模式下。

构成

由一个路由器和一个处理机构成的安全网关，两个部件结合在一起后，它们可以提供协议、链路和应用级保护。这种专用的网关不象其它种类的网关一样，需要提供转换功能。作为网络边缘的网关，它们的责任是控制出入的数据流。显然的，由这种网关联接的内网与外网都使用IP协议，因此不需要做协议转换，过滤是最重要的。保护内网不被非授权的外部网络访问的原因是显然的。控制向外访问的原因就不那么明显了。在某些情况下，是需要过滤发向外部的数据的。例如，用户基于浏览的增值业务可能产生大量的WAN流量，如果不加控制，很容易影响网络运载其它应用的能力，因此有必要全部或部分地阻塞此类数据。

联网的主要协议IP是个开放的协议，它被设计用于实现网段间的通信。这既是其主要的力量所在，同时也是其最大的弱点。为两个IP网提供互连在本质上创建了一个大的IP网，保卫网络边缘的卫士——防火墙的任务就是在合法的数据和欺骗性数据之间进行分辨。

优势

与传统的网络防病毒软件相比，安全网关在病毒过滤方面具有以下优势：

1、将病毒拦截在企业网络之外，不让病毒进入内部网络。

2、专用的硬件设备，不会占用服务器或桌面PC机的资源。

3、管理简便，只需要对安全网关设备进行管理就行。

4、升级方便，能够及时地、自动地更新最新的病毒特征库，每天数次病毒特征库升级减少对企业网络带宽造成影响。

策略

实现中的考虑实现一个安全网关并不是个容易的任务,其成功靠需求定义、仔细设计及无漏洞的实现。首要任务是建立全面的规则，在深入理解安全和开销的基础上定义可接受的折衷方案，这些规则建立了安全策略。安全策略可以是宽松的、严格的或介于二者之间。在一个极端情况下，安全策略的基始承诺是允许所有数据通过，例外很少，很易管理，这些例外明确地加到安全体制中。这种策略很容易实现，不需要预见性考虑，保证即使业余人员也能做到最小的保护。

另一个极端则极其严格，这种策略要求所有要通过的数据明确指出被允许，这需要仔细、着意的设计，其维护的代价很大，但是对网络安全有无形的价值。从安全策略的角度看，这是唯一可接受的方案。在这两种极端之间存在许多方案，它们在易于实现、使用和维护代价之间做出了折衷，正确的权衡需要对危险和代价做出仔细的评估。安全网关是各种技术有趣的融合，具有重要且独特的保护作用，其范围从协议级过滤到十分复杂的应用级过滤。

应用协议

安全网关在：

OSI是一个开放性的通行系统互连参考模型，他是一个定义的非常好的协议规范。OSI模型有7层结构，每层都可以有几个子层。

下面我简单的介绍一下这7层及其功能。

OSI的7层从上到下分别是

7应用层

6表示层

5会话层

4传输层

3网络层

2数据链路层

1物理层

其中高层，即7、6、5、4层定义了应用程序的功能，下面3层，即3、2、1层主要面向通过网络的端到端的数据流。

安全网关在应用层和网络层上面都有防火墙的身，影，在第三层上面还能看到VPN作用。防毒墙这种安全网关作用在第二层。根据七层的级别限制，高等级协议能够掌管低等级协议的原则，安全网关的发展正在走向高等级协议的路线。

网关与路由器的区别：

网关是访问路由器的IP，其他的电脑必须和网关一个IP段才能访问路由器，比如说路由器的IP是192.168.0.1（这个就是网关）也是进路由器必须的地址，其他的主机也必须是192.168.0.X（2—254之间任意一个数字）这样才能访问路由器也就是说这样才能上网，电脑上的网关地址就要填写192.168.0.1。

功能特点

智能接入，完美可靠

产品支持ADSL、光纤等多种方式宽带接入方案，实现了灵活扩展带宽和廉价接入。通过路由、NAT、多链路复用及检测等功能为企业解决灵活扩展带宽和廉价接入的接入方案。

健康网络，应用安全

产品通过自身具有的防火墙、防病毒、入侵检测、用户接入主动认证等功能，为企业提供全方位的局域网接入安全管理方案。通过自身具有的DHCP服务器、ARP防火墙、DDNS等功能为企业提供全方位的局域网管理方案。

移动办公，快速安全

产品中带有的SSLVPN、IPSEC、PPTP、L2TP等VPN功能，能够让用户通过一键式操作，方便快捷的建立价格低廉的广域网上专用网络，为企业提供广域网安全业务传输通道，便利的实现了企业总部与移动工作人员、分公司、合作伙伴、产品供应商、客户间的连接，提高与分公司、客户、供应商和合作伙伴开展业务的能力。