net_net—大全

31.简述DHCP实现的过程。 DHCP的工作原理 1、DHCP的工作过程 　　DHCP工作时要求客户机和服务器进行交互，由客户机通过广播向服务器发起申请IP地址的请求，然后由服务器分配一个IP地址以及其他的TCP/IP设置信息。整个过程可以分为以下步骤： 　　IP地址租用申请：DHCP客户机的TCP/IP首次启动时，就要执行DHCP客户程序，以进行TCP/IP 的设置。由于此时客户机的TCP/IP还没有设置完毕，就只能使用广播的方式发送DHCP请求信息包，广播包使用 UDP端口67和68进行发送，广播信息中包括了客户机的网络界面的硬件地址和计算机名字，以提供DHCP服务器进行分配。 　　IP地址租用提供：当接收到DHCP客户机的广播信息之后，所有的DHCP服务器均为这个客户机分配一个合适的IP地址，将这些IP地址、网络掩码、租用时间等信息，按照DHCP客户提供的硬件地址发送回DHCP客户机。这个过程中对DHCP服务器没有对客户计算机进行限制，因此客户机能收到多个IP地址提供信息。 　　IP地址租用选择：由于客户机接收到多个服务器发送的多个IP地址提供信息，客户机将选择一个IP地址，拒绝其他提供的IP地址，以便这些地址能分配给其他客户。客户机将向它选择的服务器发送选择租用信息。 　　IP地址租用确认：服务器将收到客户的选择信息，如果也没有例外发生，将回应一个确认信息，将这个IP地址真正分配给这个客户机。客户机就能使用这个IP地址及相关的TCP/IP数据，来设置自己的TCP/IP堆栈。 　　更新租用：DHCP中，每个IP地址是有一定租期的，若租期已到，DHCP服务器就能够将这个IP地址重新分配给其他计算机。因此每个客户计算机应该提前不断续租它已经租用的IP地址，服务器将回应客户机的请求并更新该客户机的租期设置。一旦服务器返回不能续租的信息，那么DHCP客户机只能在租期到达时放弃原有的IP地址，重新申请一个新 IP地址。为了避免发生问，续租在租期达到50%时就将启动，如果没有成功将不断启动续租请求过程。 释放IP地址租用：客户机可以主动释放自己的IP地址请求，也可以不释放，但也不续租，等待租期过期而释放占用的IP地址资源。 2、DHCP中继 由于DHCP依赖于广播信息，因此一般的情况下，客户机和服务器应该位于同一个网络之内。然而可以设置网络中的路由器为可以转发BootP广播包，使得服务器和客户机可以位于两个不同的网络中。然而配置转发广播信息，不是一个很好的解决办法，更好的办法为使用DHCP中继。DHCP中继既可以是一台计算机，也可以是一台路由器。对我们来说，是用一台路由器来实现DHCP中继。DHCP中继路由器和DHCP客户机位于同一个网络中，来回应客户机的租用请求，然而它不维护DHCP数据和拥有IP地址资源，它只是将请求通过TCP/IP转发给位于另一个网络上的DHCP服务器，进行实际的IP地址分配和确认。 3、DHCP客户代理 如果你想拔号上网，那么将由你连接到的这台路由器为你动态分配一个IP地址。这个动态分配的任务可能不是DHCP的职责，而是PPP本身的责任。它实现的功能是，一旦客户拔号上网，就代理客户向DHCP服务器申请IP地址的请求，然后由服务器分配一个IP地址以及其他的TCP/IP设置信息。最后通过PPP地址协商，使客户机获得动态地址，方便客户上网。当然，这对拔号上网的客户来说是透明的，他无需关心分配得IP地址是由路由器的地址池分配得，或是代理客户向DHCP服务器申请获得的，或是静态地址分配的。 32.什么是私有地址？简述它产生的背景和作用。 NAT英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准，允许一个整体机构以一个公用IP（Internet Protocol）地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。 简单的说，NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关（可以理解为出口，打个比方就像院子的门一样）处，将内部地址替换成公用地址，从而在外部公网（internet）上正常使用，NAT可以使多台计算机共享Internet连接，这一功能很好地解决了公共IP地址紧缺的问题。通过这种方法，您可以只申请一个合法IP地址，就把整个局域网中的计算机接入Internet中。这时，NAT屏蔽了内部网络，所有内部网计算机对于公共网络来说是不可见的，而内部网计算机用户通常不会意识到NAT的存在。如图2所示。这里提到的内部地址，是指在内部网络中分配给节点的私有IP地址，这个地址只能在内部网络中使用，不能被路由（一种网络技术，可以实现不同路径转发）。虽然内部地址可以随机挑选，但是通常使用的是下面的地址：10.0.0.0~10.255.255.255，172.16.0.0~172.16.255.255，192.168.0.0~192.168.255.255。NAT将这些无法在互联网上使用的保留IP地址翻译成可以在互联网上使用的合法IP地址。而全局地址，是指合法的IP地址，它是由NIC（网络信息中心）或者ISP(网络服务提供商)分配的地址，对外代表一个或多个内部局部地址，是全球统一的可寻址的地址。 私有地址 定义 　　私有地址（Private address）属于非注册地址，专门为组织机构内部使用。 分类 　　以下表列出留用的内部寻址地址 　　A类 10.0.0.0 --10.255.255.255 　　B类 172.16.0.0--172.31.255.255 　　C类 192.168.0.0--192.168.255.255 34.传统NAT包括哪两种类型，两者区别何在？ 传统NAT(Traditional NAT) 在多数情况下，传统NAT允许位于内部网络的主机(采用RFC1918地址)透明地访问外部网络中的主机，把从外部网络到内部网络的访问作为一种特例，为事先选择好的特定内部主机做静态地址映射。外部网络中主机的IP地址在外部网络以及内部网络中是惟一的和有效的，但内部网络主机的IP地址只有在内部网络中才是惟一的，在外部网络中不一定有效。换言之，NAT不会向外部编址域通告内部网络的地址，但有可能向内部网络通告外部网络的地址。内部网络使用的地址一定不能与外部网络的地址重叠，任何一个地址是一个内部地址或外部地址，不能同时是内部和外部地址。 有关传统NAT的详细描述见RFC1631和RFC3022。传统NAT包括基本NAT和NAPT两大类。 （1）基本NAT NAT拥有多个公开IP地址，当位于内部网络的主机向外部主机发起会话请求时，把内部地址翻译成全球惟一的公开IP地址。对于从内部网络中外出的IP包，翻译源IP地址以及相关的字段，如IP/TCP/UDP/ICMP头校验和。对于进入内部网络的IP包，翻译目的IP地址以及与上面所罗列的相关字段。如果内部网络中主机的数目不大于NAT所拥有的公开IP地址的数目，则可以保证每个内部地址都可以映射到一个公开的IP地址，否则允许同时连接到外部网络的内部主机的数目会受到NAT公开IP地址数量的限制。可以使用静态映射的方式，把特定内部主机映射为一个特定的全球惟一的地址，保证了外部对内部主机的访问。一个内部主机可以利用相同的地址映射同时发起多个会话。 （2）NAPT NAPT(网络地址端口翻译)把“基本NAT”翻译的概念延伸了一步，翻译地址的同时也翻译传输层标志(如TCP/UDP的端口号，ICMP的查询ID)，从而把多个内部主机的传输层标志复用为一个惟一的外部地址。NAPT使得一组主机可以共享一个惟一的外部地址。在实际使用中可以把NAPT和基本NAT结合起来，将一组外部地址与端口翻译关联起来。 对于从内部网络向外的访问请求，NAPT翻译源IP地址、源传输层标志以及相关的字段，如IP，TCP，UDP和ICMP头校验和。对于进入内部网络的包，翻译目的IP地址、目的传输层标志以及IP层和传输层头校验和。传输层标志可以是TCP/UDP端口号或ICMP查询ID中的任意一种。 35.NAT的优缺点有哪些？ 优点：1、缓解地址空间不足 2、对外隐藏内网 缺点：1、每个数据都要经过nat检查，导致延时 2、无法实现端到端跟踪，有些应用会受影响 36.DNS的作用是什么?它是怎么起作用的（简要说明即可）？DDNS与DNS有什么区别？ DNS 是计算机域名 (Domain Name System) 的缩写，它是由解析 器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的 域名和对应IP地址，并具有将域名转换为IP地址功能的服务器。其中 域名必须对应一个IP地址，而IP地址不一定有域名。域名系统采用类 似目录树的等级结构。域名服务器为客户机/服务器模式中的服务器 方，它主要有两种形式：主服务器和转发服务器。将域名映射为IP地 址的过程就称为“域名解析”。在Internet上域名与IP地址之间是一 对一（或者多对一）的，域名虽然便于人们记忆，但机器之间只能互 相认识IP地址，它们之间的转换工作称为域名解析，域名解析需要由 专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。 DNS 命名用于 Internet等 TCP/IP 网络中，通过用户友好的名称查找 计算机和服务。当用户在应用程序中输入 DNS 名称时，DNS 服务可 以将此名称解析为与之相关的其他信息，如 IP 地址。因为，你在上网时 输入的网址，是通过域名解析系统解析找到了相对应的IP地址，这样 才能上网。其实，域名的最终指向是IPDDNS。 DNS的工作原理  　　DNS分为Client和Server，Client扮演发问的角色，也就是问Server一个Domain Name，而Server必须要回答此Domain Name的真正IP地址。而当地的DNS先会查自己的资料库。如果自己的资料库没有，则会往该DNS上所设的的DNS询问，依此得到之后，将收到的答案存起来，并回答客户。 　　DNS服务器会根据不同的授权区(Zone)，记录所属该网域下的各名称资料，这个资料包括网域下的次网域名称及主机名称。     　　在每一个名称服务器中都有一个快取缓存区(Cache)，这个快取缓存区的主要目的是将该名称服务器所查询出来的名称及相对的IP地址记录在快取缓存区中，这样当下一次还有另外一个客户端到次服务器上去查询相同的名称 时，服务器就不用在到别台主机上去寻找，而直接可以从缓存区中找到该笔名称记录资料，传回给客户端，加速客户端对名称查询的速度。例如： 　　当DNS客户端向指定的DNS服务器查询网际网路上的某一台主机名称 DNS服务器会在该资料库中找寻用户所指定的名称 如果没有，该服务器会先在自己的快取缓存区中查询有无该笔纪录，如果找到该笔名称记录后，会从DNS服务器直接将所对应到的IP地址传回给客户端 ，如果名称服务器在资料记录查不到且快取缓存区中也没有时，服务器首先会才会向别的名称服务器查询所要的名称。例如：   　　DNS客户端向指定的DNS服务器查询网际网路上某台主机名称，当DNS服务器在该资料记录找不到用户所指定的名称时，会转向该服务器的快取缓存区找寻是否有该资料 ，当快取缓存区也找不到时，会向最接近的名称服务器去要求帮忙找寻该名称的IP地址 ，在另一台服务器上也有相同的动作的查询，当查询到后会回复原本要求查询的服务器，该DNS服务器在接收到另一台DNS服务器查询的结果后，先将所查询到的主机名称及对应IP地址记录到快取缓存区中 ，最后在将所查询到的结果回复给客户端 。  DDNS与DNS区别： DDNS（Dynamic Domain Name Server）是动态域名服务的缩写！ DDNS是将用户的动态IP地址映射到一个固定的域名解析服务上，用 户每次连接网络的时候客户端程序就会通过信息传递把该主机的动态 IP地址传送给位于服务商主机上的服务器程序，服务器程序负责提供 DNS服务并实现动态域名解析。就是说DDNS捕获用户每次变化的IP 地址，然后将其与域名相对应，这样其他上网用户就可以通过域名来 进行交流。动态域名服务的对象是指IP是动态的，是变动的。普通的DNS都是基 于静态IP的，有可能是一对多或多对多，IP都是固定的一个或多个。 但DDNS的IP是变动的、随机的。 37.WAN端主机是否可以管理路由器？如何管理？通过WAN端管理与通过LAN端管理又没有区别？ 38.又没有共享上网的经历?如何共享上网，一般用什么网络设备来实现？ 硬件共享上网 　　通常使用共享上网路由器，该类设备通常除具有共享上网的功能外，还具有HUB的功能。它们通过内置的硬件芯片来完成互联网和局域网之间数据包的交换管理，实质也就是在芯片中固化了共享上网软件，当然功能强大的大型路由器不在此列。由于是硬件工作不依赖于操作系统所以稳定性较好，但是可更新性相对软件显得差一些，并且需要另外投资购买，据笔者了解，一般的共享上网路由器也就200元上下，花销也不是很大。 软件共享上网 　　软件共享上网就是在办公室局域网中的一台具有互联网连接线路的计算机上安装共享上网软件后实现整个局域网的共享Internet。软件共享上网的优势在于花费低廉，并且有些共享上网软件甚至是免费的，而且软件更新较快，可以比较快的适应互联网新的接入技术和应用，缺点就是需要专门使用一台电脑来作为共享上网服务器，为其他计算机提供上网能力，并且这台电脑的性能不能太低，另外它依赖于操作系统，是一个标准的应用程序所以稳定性相对硬件方式略差。 无论是软件还是硬件方式其工作原理都是把局域网内部的网络请求做转换处理以后从连接互联网的线路发送到互联网，然后把从互联网接收到的数据在处理以后发送到发出该请求的内部计算机上，其基本的网络结构如下图所示。 由于软件方式只需要在现有办公室局域网上增加一个软件，不需要额外的资金投入，所以目前是主流的共享上网方式。 39.主干路由器和家用路由器的主要区别是什么？家用路由器的主要作用是什么？ 40.  ADSL /光纤 41.防火墙和杀毒软件有什么不同？防火墙的本质是什么？ 1.防火墙是位于计算机和它所连接的网络之间的软件，安装了防火墙的计算机流入流出的所有网络通信均要经过此防火墙。使用防火墙是保障网络安全的第一步，选择一款合适的防火墙，是保护信息安全不可或缺的一道屏障。闪吧新社区&M W n*K ~ o-] V 2.因为杀毒软件和防火墙软件本身定位不同，所以在安装反病毒软件之后，还不能阻止黑客攻击，用户需要再安装防火墙类软件来保护系统安全。闪吧新社区#g P0v ? N.c 3.杀毒软件主要用来防病毒，防火墙软件用来防黑客攻击。 K D)C e K;p8P {2Y&F0闪吧新社区5@$e g3g h E 4.病毒为可执行代码，黑客攻击为数据包形式。/BY ~ B p+J Y0闪吧新社区 v ~F/s G l'} z 5.病毒通常自动执行，黑客攻击是被动的。 b d5r7F‑I C t0闪吧新社区 h A f {8v;X n w 6.病毒主要利用系统功能，黑客更注重系统漏洞。't F9g w X*E v k q }0闪吧新社区0b!D B3b3])i&i Z ?&q N 7.当遇到黑客攻击时反病毒软件无法对系统进行保护。 {$z3E b x v08.对于初级用户，可以选择使用防火墙软件配置好的安全级别。 y:x _(w4r!r Q0闪吧新社区 E)r R R3w D ^ 9.防火墙软件需要对具体应用进行规格配置。 +^ f M a U }1H%^ j010.防火墙不处理病毒 42..防火墙的种类有哪些？分别有什么作用？ 防火墙分类1 如果从防火墙的软、硬件形式来分的话，防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。 第一种：软件防火墙 软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙，需要网管对所工作的操作系统平台比较熟悉。 第二种：硬件防火墙 这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上"所谓"二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的 硬件防火墙，他们都基于PC架构，就是说，它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统，最常用的有老版本的Unix、Linux和 FreeBSD系统。 值得注意的是，由于此类防火墙采用的依然是别人的内核，因此依然会受到OS（操作系统）本身的安全性影响。 传统硬件防火墙一般至少应具备三个端口，分别接内网，外网和DMZ区（非军事化区），现在一些新的硬件防火墙往往扩展了端口，常见四端口防火墙一般将第四个端口做为配置口、管理端口。很多防火墙还可以进一步扩展端口数目。 第三种：芯片级防火墙 芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、 Cisco等。这类防火墙由于是专用OS（操作系统）,因此防火墙本身的漏洞比较少，不过价格相对比较高昂。 防火墙技术虽然出现了许多，但总体来讲可分为“包过滤型”和“应用代理型”两大类。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表，后者以美国NAI公司的Gauntlet防火墙为代表。 (1). 包过滤(Packet filtering)型 包过滤型防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。 包过滤方式是一种通用、廉价和有效的安全手段。之所以通用，是因为它不是针对各个具体的网络服务采取特殊的处理方式，适用于所有网络服务；之所以廉价，是因为大多数路由器都提供数据包过滤功能，所以这类防火墙多数是由路由器集成的；之所以有效，是因为它能很大程度上满足了绝大多数企业安全要求。 在整个防火墙技术的发展过程中，包过滤技术出现了两种不同版本，称为“第一代静态包过滤”和“第二代动态包过滤”。 ●第一代静态包过滤类型防火墙 这类防火墙几乎是与路由器同时产生的，它是根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。 ●第二代动态包过滤类型防火墙 这类防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为包状态监测(Stateful Inspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。 包过滤方式的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也是明显的：过滤判别的依据只是网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大地影响；由于缺少上下文关联信息，不能有效地过滤如UDP、RPC（远程过程调用）一类的协议；另外，大多数过滤器中缺少审计和报警机制，它只能依据包头信息，而不能对用户身份进行验证，很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。 (2). 应用代理(Application Proxy)型应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全"阻隔"了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。其典型网络结构。 在代理型防火墙技术的发展过程中，它也经历了两个不同的版本，即：第一代应用网关型代理防火和第二代自适应代理防火墙。 第一代应用网关(Application Gateway)型防火墙 这类防火墙是通过一种代理(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。 第二代自适应代理(Adaptive proxy)型防火墙 它是近几年才得到广泛应用的一种新防火墙类型。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。 组成这种类型防火墙的基本要素有两个：自适应代理服务器(Adaptive Proxy Server)与动态包过滤器(Dynamic Packet filter)。 在“自适应代理服务器”与“动态包过滤器”之间存在一个控制通道。在对防火墙进行配置时，用户仅仅将所需要的服务类型、安全级别等信息通过相应Proxy的管理界面进行设置就可以了。然后，自适应代理就可以根据用户的配置信息，决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者，它将动态地通知包过滤器增减过滤规则，满足用户对速度和安全性的双重要求。 代理类型防火墙的最突出的优点就是安全。由于它工作于最高层，所以它可以对网络中任何一层数据通信进行筛选保护，而不是像包过滤那样，只是对网络层的数据进行过滤。 另外代理型防火墙采取是一种代理机制，它可以为每一种应用服务建立一个专门的代理，所以内外部网络之间的通信不是直接的，而都需先经过代理服务器审核，通过后再由代理服务器代为连接，根本没有给内、外部网络计算机任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。 代理防火墙的最大缺点就是速度相对比较慢，当用户对内外部网络网关的吞吐量要求比较高时，代理防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的代理服务，在自己的代理程序为内、外部网络用户建立连接时需要时间，所以给系统性能带来了一些负面影响，但通常不会很明显。 防火墙分类3 从防火墙结构上分，防火墙主要有：单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。单一主机防火墙是最为传统的防火墙，独立于其它网络设备，它位于网络边界。这种防火墙其实与一台计算机结构差不多（如下图），同样包括CPU、内存、硬盘等基本组件，当然主板更是不能少了，且主板上也有南、北桥芯片。它与一般计算机最主要的区别就是一般防火墙都集成了两个以上的以太网卡，因为它需要连接一个以上的内、外部网络。其中的硬盘就是用来存储防火墙所用的基本程序，如包过滤程序和代理服务器程序等，有的防火墙还把日志记录也记录在此硬盘上。虽然如此，但我们不能说它就与我们平常的PC机一样，因为它的工作性质，决定了它要具备非常高的稳定性、实用性，具备非常高的系统吞吐性能。正因如此，看似与PC机差不多的配置，价格甚远。 随着防火墙技术的发展及应用需求的提高，原来作为单一主机的防火墙现在已发生了许多变化。最明显的变化就是现在许多中、高档的路由器中已集成了防火墙功能，还有的防火墙已不再是一个独立的硬件实体，而是由多个软、硬件组成的系统，这种防火墙，俗称“分布式防火墙”。原来单一主机的防火墙由于价格非常昂贵，仅有少数大型企业才能承受得起，为了降低企业网络投资，现在许多中、高档路由器中集成了防火墙功能。如Cisco IOS防火墙系列。但这种防火墙通常是较低级的包过滤型。这样企业就不用再同时购买路由器和防火墙，大大降低了网络设备购买成本。分布式防火墙再也不是只是位于网络边界，而是渗透于网络的每一台主机，对整个内部网络的主机实施保护。在网络服务器中，通常会安装一个用于防火墙系统管理软件，在服务器及各主机上安装有集成网卡功能的PCI防火墙卡 ，这样一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。各主机把任何其它主机发送的通信连接都视为“不可信”的，都需要严格过滤。而不是传统边界防火墙那样，仅对外部网络发出的通信请求“不信任”。 防火墙分类4 如果按防火墙的应用部署位置分，可以分为边界防火墙、个人防火墙和混合防火墙三大类。 边界防火墙是最为传统的那种，它们于内、外部网络的边界，所起的作用的对内、外部网络实施隔离，保 护边界内部网络。这类防火墙一般都是硬件类型的，价格较贵，性能较好。 个人防火墙安装于单台主机中，防护的也只是单台主机。这类防火墙应用于广大的个人用户，通常为软件 防火墙，价格最便宜，性能也最差。 混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”，它是一整套防火墙系统，由若干个软、 硬件组件组成，分布于内、外部网络边界和内部各主机之间，既对内、外部网络之间通信进行过滤，又对 网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一，性能最好，价格也最贵。 防火墙分类5 如果按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。 因为防火墙通常位于网络边界，所以不可能只是十兆级的。这主要是指防火的通道带宽(Bandwidth)，或者 说是吞吐率。当然通道带宽越宽，性能越高，这样的防火墙因包过滤或应用代理所产生的延时也越小，对 整个网络通信性能的影响也就越小。