网闸工作原理
安全隔离网闸是一组具有多种控制功能的软硬件组成的网络安全设备,它在电路上切断了网络之间的链路层连接,并能够在网络间进行安全的应用数据交换。第二代网闸通过专用交换通道、高速硬件通信卡、私有通信协议和加密签名机制来实现高速、安全的内外网数据交换,使得处理能力较一代大大提高,能够适应复杂网络对隔离应用的需求;私有通信协议和加密签名机制保证了内外处理单元之间数据交换的机密性、完整性和可信性。
与同类产品比较,网闸具有更高的安全性和可靠性,作为目前业界公认的较为成熟可靠的网络隔离解决方案,在政府部门信息化建设中逐渐受到青睐。网闸通过内部控制系统连接两个独立网络,利用内嵌软件完成切换操作,并且增加了安全审查程序。作为数据传递“中介”,网闸在保证重要网络与其他网络隔离的同时进行数据安全交换。
由于互联网是基于TCP/IP协议实现连接,因此入侵攻击都依赖于OSI七层数据通信模型的一层或多层。理论上讲,如果断开OSI数据模型的所有层,就可以消除来自网络的潜在攻击。网闸正是依照此原理实现了信息安全传递,它不依靠网络协议的数据包转发,只有数据的无协议“摆渡”,阻断了基于OSI协议的潜在攻击,从而保证了系统安全。
网闸工作的原理在于:中断两侧网络的直接相连,剥离网络协议并将其还原成原始数据,用特殊的内部协议封装后传输到对端网络。同时,网闸可通过附加检测模块对数据进行扫描,从而防止恶意代码和病毒,甚至可以设置特殊的数据属性结构实现通过限制。网闸不依赖于TCP/IP和操作系统,而由内嵌仲裁系统对OSI的七层协议进行全面分析,在异构介质上重组所有的数据,实现了“协议落地、内容检测”。因此,网闸真正实现了网络隔离,在阻断各种网络攻击的前提下,为用户提供安全的网络操作、邮件访问以及基于文件和数据库的数据交换。
1.网闸与防火墙的对比分析
防火墙与网闸同属网络安全产品类别,但它与网闸是截然不同的。防火墙是基于访问控制技术,即通过限制或开放网络中某种协议或端口的访问来保证系统安全,主要包括静态包过滤、网络地址转换、状态检测包过滤、电路代理、应用代理等方法来进行安全控制,通过对IP包的处理,实现对TCP会话的控制,并
通过访问控制的方式允许合法的数据包进入内部网络,从而防止非法用户获取内部重要信息,阻止黑客入侵。表1是对两者在各方面的对比:
防火墙在使用中存在以下问题:首先,防火墙侧重于网络层至应用层的策略隔离,在使用前需要对网络攻击特征规则库进行复杂的配置和动态维护,并及时更新安全策略才能满足用户安全需要;其次,多数防火墙是基于路由器的数据包分组过滤类型,防护能力较差。
通过性能对比,防火墙与网闸存在的区别在于:
首先,防火墙是访问控制类产品,它不能实现完全隔离,必须在网络互通的情况下进行访问控制。防火墙工作依赖于TCP/IP协议,在网络层对数据包作安全检查,因此无法保证数据安全性;而隔离网闸是在网络断开的情况下,以非网络方式进行数据交换,实现信息的共享。网闸数据交换不依赖于OSI模型,通过隔离硬件将内外网络在链路层断开,由仲裁系统在内外网对应节点上进行切换,在剥离协议并重新封装原始数据后,对硬件上的存储芯片进行读写来完成数据的交换,因此网闸实现了内外网完全隔离。
其次,防火墙常用于保证网络层安全的边界安全(如DMZ区),而网闸主要保
护内部网络的安全。防火墙通常用网络地址翻译及存取列表来限定某个地址范围或端口协议的访问。例如,防火墙应用代理的典型安全威胁是:木马程序通常利用操作系统漏洞绕过防火墙入侵应用代理服务器;而隔离网闸能够很好的解决高性能、高安全性、易用性之间的矛盾,网闸无需升级即可防止入侵,它切断所有的TCP连接,包括UDP、ICMP等其他各种协议,使各种木马程序无法通过网闸进行通讯。
2、应用案例介绍
杭州市建委在信息化建设中,为了规范行业管理,体现政务公开,通过网闸隔离系统实现了内部OA系统和直属单位联网协同管理平台“杭州建设信用网”的信息交互。网络实现如图一所示:
系统采用金电网安
Ferryway2.0作为信息安全交互平台。该硬件产品采用三机模型设计,使建委WEB发布系统、内部OA、直属单位业务系统之间通过IP和端口设定实现了安全数据交互。以工程招投标管理流程为例说明:
1.业主单位发出招标申请后,统一编号的工程招标项目信息进入招标办业务系统;招标系统结束内部流程后将投标企业和人员的诚信信息传至信用网。
2.网闸外网机接收数据后将所有的协议剥离,并发起非TCP/IP协议的数据连接。当数据全部写入仲裁机存储介质后,外网机连接中断。
3.内网机收到数据后,实现TCP/IP和应用协议的封装,发送给内网诚信信息管理系统;在完成数据交换任务之后,仲裁系统立即切断与内部主机的直接连接,恢复到网络断开状态。
1、引言 随着公司一些局端应用系统的在各地的部署、上线,大家越来越多听说或者接触到网闸的概念,也基本都知道网闸能进行物理隔离的原理,大致就是相当于三台机器,在两个网络之间进行高速切换,以安全、高效的摆渡数据,其原理大致如下: 硬件结构原理图 Copyright Reserved by 天行网安2000-2002 但是,随着一些业务系统对实时性要求的提高,传统网闸的文件搬运已经无法满足大多数应用的需要,所以越来越多的出现所谓的“穿透性的网闸”,简单说就是对于内外网的应用来说,网闸基本可以看做是透明的,从某种角度看,和防火墙差不多,简单描绘如下: 因此局端系统的设计,也经常需要考虑网闸的这种穿透的特性,讨论应用程序针对性设计,那么在讨论过程中,就发现很多人有疑惑:这种穿透性网闸和防火墙在原理上到底有没有区别?能达到一定的安全性吗?否则为什么客户要花钱买这种设备呢? 注:本文重点不在于描述网闸的物理隔离、摆渡、搬运等内部的原理,这方面读者有兴趣的话,自行找资料深入研究即可; 另注:由于各品牌网闸的穿透原理不尽相同,而且各品牌在对外宣传上都不会突出“穿透”字眼,毕竟没有摆渡方式安全,所以我们接触过的相关网闸技术资料中,即使有穿透,也都是描述如何配置、如何操作的层面,没有相关原理的描述,所以本文的描述是基于我们
某位很有钻研精神的同事在陕西部署系统之际,通过与某品牌网闸工程师的沟通,我们自己汇总出来的,也许与实际并不相符,但这种描述,理论上貌似是可行的,谨供参考。 2、网闸穿透原理 2.1支持几种协议穿透 如上文所述,穿透性网闸,支持好多种网络协议,比如http、ftp等,下面以ftp协议的穿透为例,描述一下其具体的原理: 从图中可以明显看出,网闸对FTP协议的穿透,关键就在于两点:一是利用FTP协议的规范性,就可以模拟FTP服务器端,接受并解析请求,然后再一层层转发该请求直到真实的服务器端;二是通过这种转发,其内部实现可以利用自己的固有的安全协议,对数据进行分片、传递和重组; 2.2支持数据库同步 另外穿透性网闸,一般也都支持数据库同步,其实质并不是真的数据库穿透,也就是说网闸一边的系统,是肯定不能直接访问到另一边的数据库,其同步的原理,大致就是通过相关设置,使得数据库中某张表的数据一旦变更(增、删、改),就能够被网闸检测到,并能将其按一定规则组织成数据包交换到网闸的另一侧,同时网闸另一侧能够根据相关设置,主动去更新目标数据库中对应表的数据,具体示意图如下:
最新互联网金融运行原理 (一)互联网金融概述 以互联网为代表的现代信息科技,特别是移动支付和第三方支付、大数据、社交网络、搜索引擎和云计算等,将对人类金融模式产生颠覆性影晌,会出现比传统金融中介和市场更先进的互联网金融。在互联网金融下,支付便捷,超级集中支付系统和个体移动支付统一;信息处理和风险评估以大数据分析和高速算法为基础,并通过网络化方式进行,信息不对称程度非常低;资金供需双方在资金期限匹配、风险分担等上的成本非常低,可以不经过银行、证券公司和交易所等传统金融中介和市场,直接在网上发行和交易贷款、股票、债券等;市场充分有效,接近瓦尔拉斯一般均衡对应的无金融中介或市场情形,可以超越传统金融中介和市场的资源配置效率,在促进经济增长的同时,还能大幅减少交易成本。 (二)互联网金融的运行原理 1.以移动支付方式为基础 互联网金融的支付以移动支付为基础(从长期看,第三方支付将逐步走向移动端)。移动支付是通过移动通信设备、利用无线通信技术来转移货币价值以清偿债权债务关系。移动支付的发展,体现了支付的三大发展趋势:第一,终端离散化。从银行柜台机,到A T M机和P O S机,再到无处不在的互联网和移动適信设备;第二,身份数字化;第三,服务通用化。移动支付的核心是,不需每个人都有银行卡,但手机里有一个类似支付宝的第三方支付账号就可以。由此,人类基本的交易方式改变了。 移动支付的基础是移动通信技术和设备的发展,特别是智能手机和掌上电脑(比如i P h o n e和i P a d)的普及。高盛公司估计,全球移动支付总金额,2011年为1 059亿美元,预计未来5年将以年均42%的速度增长,2016年将达到6169亿美元;移动支付占全球支付市场的比例,2011年约 1.0%, 2015年将达到 2.2%。移动互联网和多网融合将进一步促进移动支付发展。
网络安全的基本原理 作者:Christopher Leidigh 第 101号白皮书
摘要 安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高,因此,必须采取安全措施来保护网络。如今,为了安全地部署和管理网络,数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本白皮书阐述了网络系统的基本安全知识,包括防火墙、网络拓扑和安全协议等。此外,还给出了最佳方案,向读者介绍了在保护网络安全中某些比较关键的方面。
简介 要保护现代商业网络和 IT 基础设施的安全,不仅需要端对端的方法,还必须充分了解网络中所存在的弱点以及相关的保护措施。虽然这些知识并不足以阻挡住所有网络入侵或系统攻击企图,但可以使网络工程师排除某些常见问题,大量减少潜在的危害并迅速检测出安全性漏洞。随着攻击数量的日益增加以及复杂程度的不断提高,无论是大企业还是小公司,都必须采取谨慎的步骤来确保安全性。图 1 显示了历年来安全事故次数的显著上升趋势,数据取自 CERT? Coordination Center (一家互联网安全专业技术中心)。 图 1 – 历年来发生的安全事故次数 – https://www.doczj.com/doc/15532337.html, 本白皮书除介绍安全基础知识之外,还提供了一些有关网络、计算机主机和网络基础设施元素的最佳方案。由于不存在“确保安全的唯一方法”,因此,哪些措施最为合适要由读者/工程人员自己做出最正确的判断。 ? 1998-2003 by Carnegie Mellon University 年份 报告的安全事故次数 82,094 55,100 21,756 9,859 3,734 2,134 2,573 2,412 2,340 199519961997199819992000200120022003 90,00085,00080,000 75,000 70,00065,00055,000 50,000 60,00045,00040,00030,000 25,000 35,00020,00015,0005,000 10,000100,000 95,000
网闸工作原理 安全隔离网闸是一组具有多种控制功能的软硬件组成的网络安全设备,它在电路上切断了网络之间的链路层连接,并能够在网络间进行安全的应用数据交换。第二代网闸通过专用交换通道、高速硬件通信卡、私有通信协议和加密签名机制来实现高速、安全的内外网数据交换,使得处理能力较一代大大提高,能够适应复杂网络对隔离应用的需求;私有通信协议和加密签名机制保证了内外处理单元之间数据交换的机密性、完整性和可信性。 与同类产品比较,网闸具有更高的安全性和可靠性,作为目前业界公认的较为成熟可靠的网络隔离解决方案,在政府部门信息化建设中逐渐受到青睐。网闸通过内部控制系统连接两个独立网络,利用内嵌软件完成切换操作,并且增加了安全审查程序。作为数据传递“中介”,网闸在保证重要网络与其他网络隔离的同时进行数据安全交换。 由于互联网是基于TCP/IP协议实现连接,因此入侵攻击都依赖于OSI七层数据通信模型的一层或多层。理论上讲,如果断开OSI数据模型的所有层,就可以消除来自网络的潜在攻击。网闸正是依照此原理实现了信息安全传递,它不依靠网络协议的数据包转发,只有数据的无协议“摆渡”,阻断了基于OSI协议的潜在攻击,从而保证了系统安全。 网闸工作的原理在于:中断两侧网络的直接相连,剥离网络协议并将其还原成原始数据,用特殊的内部协议封装后传输到对端网络。同时,网闸可通过附加检测模块对数据进行扫描,从而防止恶意代码和病毒,甚至可以设置特殊的数据属性结构实现通过限制。网闸不依赖于TCP/IP和操作系统,而由内嵌仲裁系统对OSI的七层协议进行全面分析,在异构介质上重组所有的数据,实现了“协议落地、内容检测”。因此,网闸真正实现了网络隔离,在阻断各种网络攻击的前提下,为用户提供安全的网络操作、邮件访问以及基于文件和数据库的数据交换。 1.网闸与防火墙的对比分析 防火墙与网闸同属网络安全产品类别,但它与网闸是截然不同的。防火墙是基于访问控制技术,即通过限制或开放网络中某种协议或端口的访问来保证系统安全,主要包括静态包过滤、网络地址转换、状态检测包过滤、电路代理、应用代理等方法来进行安全控制,通过对IP包的处理,实现对TCP会话的控制,并
我们先说说下一代防火墙的原理 网络拓扑: 说明:这是一个典型的防火墙组网,防火墙一般常用的功能有:ACL、VPN、IPS、防病毒、DDoS防护等等。 基本处理流程: 数据包从Internet进入防火墙,防火墙经过以下动作: (1)首先匹配ACL进行包过滤,检查是否符合ACL设置的允许规则。 (2)进行严格的状态化监测,主要是TCP/UDP/ICMP协议。 (3)利用已有的IPS规则对数据包内容进行匹配,检查数据包是否合法。 (4)其他略。 产品定位: 部署位置:网络边界 作用:可以防止一些已知威胁,不能保证绝对的安全。 我们再来看看网闸的原理 网络拓扑:
说明:这是一个典型的网闸使用拓扑,在办公网和业务网之间使用网闸进行隔离交换。 基本处理流程: 数据包在办公网和业务网之间交换,以办公网传送数据到业务网为例 (1)办公网的数据首先到达网闸的外网处理单元,被剥离了IP头部只保留原始数据。(2)通过防病毒、入侵检测模块对原始数据进行检查。 (3)通过预订设置的白名单、过滤规则(文件字、文件名等)等安全策略进行检查。(4)通过摆渡芯片(类似U盘的过程),把原始数据传输到内网,由内网处理单元重新封包发给客户端。 产品定位: 部署位置:网络边界(涉密与非涉密、高安全与低安全区域) 作用:防止泄密,按预设的规则进行摆渡数据交换。
总结: 通过以上原理说明和对比,不难发现两个产品的定位是不同的,不存在网闸和防火墙区别是什么的问题,因为两种产品本身就是不同东西,他们为解决客户不同的问题而生,不存在替代性关系,一个机构的安全既需要防火墙也需要网闸,只有系统性的设计规划网络,才能保
5.4 BP神经网络的基本原理 BP(Back Propagation)网络是1986年由Rinehart和 McClelland为首的科学家小组提出,是一种按误差逆传播算 法训练的多层前馈网络,是目前应用最广泛的神经网络模型 之一。BP网络能学习和存贮大量的输入-输出模式映射关系, 而无需事前揭示描述这种映射关系的数学方程。它的学习规 则是使用最速下降法,通过反向传播来不断调整网络的权值 和阈值,使网络的误差平方和最小。BP神经网络模型拓扑结 构包括输入层(input)、隐层(hide layer)和输出层(output layer)(如图5.2所示)。 5.4.1 BP神经元 图5.3给出了第j个基本BP神经元(节点),它只模仿了生物神经元所具有的三个最基本 也是最重要的功能:加权、求和与转移。其中x1、x2…x i…x n分别代表来自神经元1、2…i…n的输入;w j1、w j2…w ji…w jn则分别表示神经元1、2…i…n与第j个神经元的连接强度,即权值;b j为阈值;f(·)为传递函数;y j为第j个神经元的输出。 第j个神经元的净输入值为: (5.12) 其中: 若视,,即令及包括及,则
于是节点j的净输入可表示为: (5.13)净输入通过传递函数(Transfer Function)f (·)后,便得到第j个神经元的输出: (5.14) 式中f(·)是单调上升函数,而且必须是有界函数,因为细胞传递的信号不可能无限增加, 必有一最大值。 5.4.2 BP网络 BP算法由数据流的前向计算(正向传播)和误差信号的反向传播两个过程构成。正向传播 时,传播方向为输入层→隐层→输出层,每层神经元的状态只影响下一层神经元。若在输出层得不到期望的输出,则转向误差信号的反向传播流程。通过这两个过程的交替进行, 在权向量空间执行误差函数梯度下降策略,动态迭代搜索一组权向量,使网络误差函数达 到最小值,从而完成信息提取和记忆过程。 设 BP网络的输入层有n个节点,隐层有q个节点,输出层有m个节点,输入层与隐层之间 的权值为,隐层与输出层之间的权值为,如图5.4所示。隐层的传递函数为f1(·),输出层的传递函数为f2(·),则隐层节点的输出为(将阈值写入求和项中):
“单向网闸”技术介绍 一、信息安全的要求 按照信息保密的技术要求,涉密网络不能与互联网直接连通;涉密网络与非涉密网络连接时,若非涉密网络与互联网物理隔离,则采用双向网闸隔离涉密网络与非涉密网络;若非涉密网络与互联网是逻辑隔离的,则采用单向网闸隔离涉密网络与非涉密网络,保证涉密数据不从高密级网络流向低密级网络。 二、网闸的作用 网闸的隔离作用是基于定向地“摆渡”数据,网闸的原理是模拟人工的数据“拷贝”,不建立两个网络的“物理通路”,所以网闸的一般形式是把应用的数据“剥离”,摆渡到另外一方后,再通过正常的通讯方式送到目的地,因此从安全的角度,网闸摆渡的数据中格式信息越少越好,当然是没有任何格式的原始数据就更好了,因为没有格式信息的文本就没有办法隐藏其他的非数据的东西,减少了携带“病毒”的载体。 网闸是切断了上层业务的通讯协议,看到了原始的数据,为了达到“隔离”的效果,采用私有通讯协议,或采用存储协议,都是为了表明要彻底剥离所有的协议附加信息,让摆渡的数据是最“干净”的。但为了方便地“摆渡业务”,在网闸的两边建立了业务的代理服务器,从逻辑上把业务连通。 网闸虽然传递的是实际的数据,但代理协议建议后,每次摆渡的可能不再是一个完整数据内容,为安全检查带来困难,攻击者可以把一个“蠕虫”分成若干的片段分别传递,甚至小到单个的命令,不恢复原状就很难知道它是什么;若传递“可执行代码”的二进制文件,网闸就很难区分数据与攻击。 网闸对陌生的业务是采用关闭策略,只开通自己认为需要的、可控的业务服务,所以网闸在不同密级网络之间的隔离作用还是有一定效果的。 在涉密信息的保密要求中,要求高密级网络中的高密级数据不能流向低密级网络,但低密级数据可以流向高密级网络(数据机密性要求),这就提出了数据的单向流动的要求,若我们只保留单向的数据流,就可以实现数据保密性要求,这种情况下产生了单向网闸的需求。
网络游戏工作原理 网络上数据的传输过程和现实中是非常类似的,我们可以来想象一下: 我现在有一批水果,准备运到罗马。如果我想实现这个目标,我需要什么条件? (1)首先我要有一条路,不管是马路还是铁路,这条路要能从出发点连接到目标点。 (2)路是有了,我要保证这条路是通畅的,不能说走进死胡同,我要保证这条路能够通车,假设我是用火车来运的话,不会出现半路出轨的现象 (3)路永远不会只有一条。条条道路通罗马,那么,我要保证我要走的道路能最快,最省钱的到达目的地。因此,我要选择一条近路。 路已经有了,基本条件已经具备,我们现在可以开始送东西了,但是是不是有了路就万无一失了。我们还需要有什么? (4)路是有了,我们现在坐火车把东西送过去,结果送到半中间被强盗打劫了,或者是被人偷了,所以我们要保证在送过去的途中要原封不动的送到,少一个都不行
(5)好象一切都准备好了,现在我们准备出发了,但是等等,这条路上只能通一辆火车,万一罗马那正好也有一辆火车从那边开过来,路上撞到了怎么办,那么我们要和他们先沟通好。 (6)沟通好了,现在发货,我们坐着火车到了罗马,决定送过去,但是发现,我们听不懂罗马人的话,罗马人也不知道我们在说什么,这个时候我们非常有必要带一个翻译官,当然这并不是最好的选择,如果我们和罗马人说的是同样的语言就好了。不管怎么样,来接纳的人总算能和我们沟通了,当然,这是人和人的沟通,不是人和货物的沟通。 (7)真正的货物终于送到了,完成了。 把这对应的7层,放到网络游戏之中。我们就可以了解了一个游戏运作的原理。首先,我要有一个游戏,这个游戏外表上看起来华丽无比,这就是第7层,应用层,也就是我们平时所用的所有的网络上的软件,游戏等等。 接下来到第6层,游戏有了,在玩的过程中,我们要想把数据发送到服务器去,但是服务器不可能用眼睛看着我们玩游戏,因此我们要把游戏里的数据打包,包装好,用统一的格式发出去,这个叫“封包”。这就是第6层,表示层。 我们在玩游戏的时候,有一个人从屏幕边上跑过来,我的游戏上为什么会显示?原因在于服务器把数据发给我,告诉我有一个人
第三章第二节课题:3.2 网络通信的工作原理 教学目标:1.了解OSI模型中的各个层次;2.了解TCP/IP协议在OSI模型的位置;3.了解数据交换技术的电路交换、报文交换、分组交换的工作原理,能进行不同的数据交换技术比较;4.使用数据交换技术的电路交换、报文交换、分组交换的工作原理解释生活中技术问题,培养学生探究能力,合作能力、观察能力;5.通过体验、感悟电路交换、报文交换、分组交换的工作原理的学习过程,体验技术发展的过程和思维,体验突破技术,改造技术、创新技术的成就感。 教学重点:OSI模型的理解、TCP/IP协议的重要地位、电路交换、报文交换、分组交换三者的特点与区别 教学难点:OSI模型的理解 课时安排:2课时 教学方法:演示法,讲授法,任务驱动法 教学过程: 第一课时:数据传输过程 一、OSI参考模型 1、很多同学都非常喜欢玩网络游戏,比如魔兽世界,梦幻西游。不知道同学们想不想了解这些网络游戏在网上的一个工作原理,了解游戏是如何在网上运作的。 2、在了解游戏之前,我们先来看看现实生活中的邮政系统,参照这个邮政系统能加快我们对网络游戏的一个理解。课本上的P55页上3.2.1数据传输过程中,图3-3 邮政系统的分层模型。大家可以想象一下我们平时的写信寄信的一个过程。首先我们写好信后,要让这封信能寄出去,我们就得贴邮票。而邮票,就是我们和邮政局的约定,我交8毛钱给你邮政局,那么你要负责帮我把信送到。而邮政局呢,也和运输部门有个类似的约定。通过这一系列的约定,我们可以保证我们所写的信能送到我们想要送到的目的地。但是这里注意一个问题:邮票做为约定不是一成不变的。比如说,刚刚解放前,也许送信只需要几分前。而现在人民的生活富裕了,相应的,一封信是8毛钱。也就是说,协议,或者约定完全是按照当时的情况做出的适当的处理。如果情况出现变化,协议一样可以随着情况而做出改变。 3、实际上,网络上数据的传输过程和现实中是非常类似的,我们可以来想象一下: 我现在有一批水果,准备运到罗马。如果我想实现这个目标,我需要什么条件? (1)首先我要有一条路,不管是马路还是铁路,这条路要能从出发点连接到目标点。 (2)路是有了,我要保证这条路是通畅的,不能说走进死胡同,我要保证这条路能够通车,假设我是用火车来运的话,不会出现半路出轨的现象 (3)路永远不会只有一条。条条道路通罗马,那么,我要保证我要走的道路能最快,最省钱的到达目的地。因此,我要选择一条近路。 路已经有了,基本条件已经具备,我们现在可以开始送东西了,但是是不是有了路就万无一失了。我们还需要有什么?
以太网网卡结构和工作原理 网络适配器又称网卡或网络接口卡(NIC),英文名NetworkInterfaceCard。它是使计算机联网的设备。平常所说的网卡就是将PC机和LAN连接的网络适配器。网卡(NIC)插在计算机主板插槽中,负责将用户要传递的数据转换为网络上其它设备能够识别的格式,通过网络介质传输。它的主要技术参数为带宽、总线方式、电气接口方式等。它的基本功能为:从并行到串行的数据转换,包的装配和拆装,网络存取控制,数据缓存和网络信号。目前主要是8位和16位网卡。 网卡必须具备两大技术:网卡驱动程序和I/O技术。驱动程序使网卡和网络操作系统兼容,实现PC机与网络的通信。I/O技术可以通过数据总线实现PC和网卡之间的通信。网卡是计算机网络中最基本的元素。在计算机局域网络中,如果有一台计算机没有网卡,那么这台计算机将不能和其他计算机通信,也就是说,这台计算机和网络是孤立的。 网卡的不同分类:根据网络技术的不同,网卡的分类也有所不同,如大家所熟知的ATM网卡、令牌环网卡和以太网网卡等。据统计,目前约有80%的局域网采用以太网技术。根据工作对象的不同务器的工作特点而专门设计的,价格较贵,但性能很好。就兼容网卡而言,目前,网卡一般分为普通工作站网卡和服务器专用网卡。服务器专用网卡是为了适应网络服种类较多,性能也有差异,可按以下的标准进行分类:按网卡所支持带宽的不同可分为10M网卡、100M网卡、 10/100M自适应网卡、1000M网卡几种;根据网卡总线类型的不同,主要分为ISA网卡、EISA网卡和PCI网卡三大类,其中ISA网卡和PCI网卡较常使用。ISA总线网卡的带宽一般为10M,PCI总线网卡的带宽从10M到1000M都有。同样是10M网卡,因为ISA总线为16位,而PCI总线为32位,所以PCI网卡要比ISA网卡快。 网卡的接口类型:根据传输介质的不同,网卡出现了AUI接口(粗缆接口)、BNC接口(细缆接口)和RJ-45接口(双绞线接口)三种接口类型。所以在选用网卡时,应注意网卡所支持的接口类型,否则可能不适用于你的网络。市面上常见的10M网卡主要有单口网卡(RJ-45接口或BNC接口)和双口网卡(RJ-45和BNC两种接口),带有AUI粗缆接口的网卡较少。而100M和1000M网卡一般为单口卡(RJ-45接口)。除网卡的接口外,我们在选用网卡时还常常要注意网卡是否支持无盘启动。必要时还要考虑网卡是否支持光纤连接。 网卡的选购:据统计,目前绝大多数的局域网采用以太网技术,因而重点以以太网网卡为例,讲一些选购网卡时应注意的问题。购买时应注意以下几个重点: 网卡的应用领域----目前,以太网网卡有10M、100M、10M/100M及千兆网卡。对于大数据量网络来说,服务器应该采用千兆以太网网卡,这种网卡多用于服务器与交换机之间的连接,以提高整体系统的响应速率。而10M、100M和 10M/100M网卡则属人们经常购买且常用的网络设备,这三种产品的价格相差不大。所谓10M/100M自适应是指网卡可以与远端网络设备(集线器或交换机)
网闸常见问题解答 问题: 网闸的工作原理是什么? 解答: 网闸的基本原理是:切断网络之间的通用协议连接;将数据包进行分解或重组为静态数据;对静态数据进行安全审查,包括网络协议检查和代码扫描等;确认后的安全数据流入内部单元;内部用户通过严格的身份认证机制获取所需数据。 问题: 什么是网闸? 解答: 网闸是在两个不同安全域之间,通过协议转换的手段,以信息摆渡的方式实现数据交换,且只有被系统明确要求传输的信息才可以通过。其信息流一般为通用应用服务。注:网闸的“闸”字取自于船闸的意思,在信息摆渡的过程中内外网(上下游)从未发生物理连接,所以网闸产品必须要有至少两套主机和一个物理隔离部件才可完成物理隔离任务。现在市场上出现的的单主机网闸或单主机中有两个及多个处理引擎的过滤产品不是真正的网闸产品,不符合物理隔离标准。其只是一个包过滤的安全产品,类似防火墙。注:单主机网闸多以单向网闸来掩人耳目。 问题: 隔离网闸是什么设备? 解答: 隔离网闸是一种由专用硬件在电路上切断网络之间的链路层连接,能够在物理隔离的网络之间进行适度的安全数据交换的网络安全设备。 问题: 隔离网闸是硬件设备还是软件设备? 解答: 隔离网闸是由软件和硬件组成的设备。 问题: 隔离网闸硬件设备是由几部分组成? 解答: 隔离网闸的硬件设备由三部分组成:外部处理单元、内部处理单元、隔离硬件。 问题: 单向传输用单主机网闸可以吗? 解答: 隔离网闸的组成必须是由物理的三部分组成,所以单主机(包括多处理器)的安全产品并不是网闸产品,无法完成物理隔离任务。其所谓的单向传输只是基于数据包的过滤,类似防火墙产品,并不是物理隔离产品。 问题:
物理隔离网闸简介 二零零四年三月
目录 1.物理隔离网闸的定位 (3) 2.物理隔离要解决的问题 (3) 3.TCP/IP的漏洞 (3) 4.防火墙的漏洞 (4) 5.物理隔离的技术原理 (4) 6.物理隔离网闸常见技术问题解答 (8) 6.1.物理隔离网闸一定要采用专用开关集成电路吗? (8) 6.2.物理隔离网闸是如何利用SCSI来实现开关技术的? (9) 6.3.物理隔离网闸可以采用USB,火线和以太来实现软开关吗? (9) 6.4.为什么SCSI可以,而USB、火线和以太就不行? (10) 6.5.物理隔离网闸的开关的速度很慢吗? (10) 6.6.物理隔离网闸工作在OSI模型的那一层? (10) 6.7.物理隔离网闸在OSI模型第5层是如何工作的? (11) 6.8.物理隔离网闸在OSI模型第七层是如何工作的? (12) 6.9.信息安全交换系统是如何工作的? (12) 6.10.安全隔离网闸在OSI模型里是如何工作? (13) 6.11.采用了协议转换,是物理隔离吗? (15) 6.12.基于协议转换的双主机结构有哪些类型和形式? (15) 6.13.物理隔离网闸的每一个应用都需要相应的代理? (17) 6.14.物理隔离网闸的应用代理是否符合相关的RFC规范? (17) 6.15.从外网已经PING不通内网,是物理隔离网闸吗? (17) 6.16.从外网无法扫描内网的主机,是物理隔离网闸吗? (18) 6.17.通过开关来实现了包转发,是物理隔离网闸吗? (18) 6.18.为什么说即使入侵了网闸的外部主机,也无法入侵内部主机? (18) 6.19.物理隔离网闸的外部主机有哪些防止入侵的办法? (18) 6.20.为什么物理隔离网闸能阻止未知的攻击? (19) 6.21.物理隔离网闸的安全性是最高的吗? (19)
1、网闸全称是什么? 网闸的全称是安全隔离网闸。 2、网闸的英文名称是什么? 网闸的英文名称是"GAP"。 3、安全隔离网闸是什么? 安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。 4、安全隔离网闸是硬件设备还是软件设备? 安全隔离网闸是由软件和硬件组成。 5、安全隔离网闸硬件设备是由几部分组成? 安全隔离网闸的硬件设备由三部分组成:外部处理单元、内部处理单元、隔离硬件。 6、为什么要使用安全隔离网闸? 当用户的网络需要保证高强度的安全,同时又与其它不信任网络进行信息交换的情况下,如果采用物理隔离卡,信息交换的需求将无法满足;如果采用防火墙,则无法防止内部信息泄漏和外部病毒、黑客程序的渗入,安全性无法保证。在这种情况下,安全隔离网闸能够同时满足这两个要求,又避免了物理隔离卡和防火墙的不足之处,是最好的选择。 7、隔离了,怎么还可以交换数据? 对网络地隔离是通过网闸隔离硬件实现两个网络在链路层断开,但是为了交换数据,通过设计的隔离硬件在两个网络对应的上进行切换,通过对硬件上的存储芯片的读写,完成数据的交换。 8、安全隔离网闸能够交换什么样的数据? 安装了相应的应用模块之后,安全隔离网闸可以在保证安全的前提下,使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据,并可以在网络之间交换定制的文件。 9、安全隔离网闸的主要性能指标有那些? 性能指标包括: 网闸SCSI最大总带宽:5G(5120Mbit/s) 硬件切换时间:12.5ns 最大并发连接数:8192个 10、安全隔离网闸通常具备的安全功能模块有那些? 安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证 11、为什么说安全隔离网闸能够防止未知和已知木马攻击? 通常见到的木马大部分是基于TCP的,木马的客户端和服务器端需要建立连接,而安全隔离网闸从原理实现上就切断所有的TCP连接,包括UDP、ICMP等其他各种协议,使各种木马无法通过安全隔离网闸进行通讯。从而可以防止未知和已知的木马攻击。
无线网络工作原理 概念 科技的飞速发展,信息时代的网络互联已不再是简单地将计算机以物理的方式连接起来,取而代之的是合理地规划及设计整个网络体系、充分利用现有的各种资源,建立遵循标准的高效可靠、同时具备扩充性的网络系统。无线网络的诸多特性,正好符合了这一需求。 一般而言,凡采用无线传输的计算机网络都可称为无线网。从WLAN到蓝牙、从红外线到移动通信,所有的这一切都是无线网络的应用典范。就本文的主角——WLAN 而言,从其定义上可以看到,它是一种能让计算机在无线基站覆盖范围内的任何地点(包括户内户外)发送、接收数据的局域网形式,说得通俗点,就是局域网的无线连接形式。 接着,让我们来认识一下Wi-Fi。就目前的情况来看,Wi-Fi已被公认为WLAN的代名词。但要注意的是,这二者之间有着根本的差异:Wi-Fi是一种无线局域网产品的认证标准;而WLAN则是无线局域网的技术标准,二者都保持着同步更新的状态。 Wi-Fi的英文全称为“Wireless Fidelity”,即“无线相容性认证”。之所以说它是一种认证标准,是因为它并不是只针对某一WLAN规范的技术标准。例如,IEEE 802.11b是较早出台的无线局域网技术标准,因此当时人们就把IEEE 802.11b标准等同于Wi-Fi。但随着无线技术标准的多样
化,Wi-Fi的内涵也就相应地发生了变化,因为它针对的是整个WLAN领域。 由于无线技术标准的多样化出现,所使频段和调频方式的不尽相同,造成了各种标准的无线网络设备互不兼容,这就给无线接入技术的发展带来了相当大的不确定因素。为此。1999年8月组建的WECA(无线以太网兼容性联盟)推出了Wi-Fi标准,以此来统一和规范整个无线网络市场的产品认证。只有通过了WECA认证,厂家生产的无线产品才能使用Wi-Fi认证商标,有了Wi-Fi认证,一切兼容性问题就变得简单起来。用户只需认准Wi-Fi标签,便可保证他们所购买的无线AP、无线网卡等无线周边设备能够很好地协同工作。 原理 尽管各类无线网所遵循的标准和规范有所不同,但就其传输方式来看则不外两种,即无线电波方式和红外线方式。其中红外线传输方式是目前应用最广泛的一种无线网技术,我们所使用的家电遥控器几乎都是采用红外线传输技术。作为一种无线局域网的传输方式,红外线传输的最大优点是不受无线电波的干扰,而且红外线的使用也不会被国家无线电管理委员会加以限制。然而,红外线传输方式的传输质量受距离的影响非常大,并且红外线对非透明物体的穿透性也非常差,这就直接导致了红外线传输技术与计算机无线网的“主角地位”无缘;相比之下,无线电波传输方式的应用则广泛得多。基于本文的定位,在此笔者仅简单介绍无线电波的调制方式。
问题:网闸工作原理解答:网闸基本原理:切断网络间通用协议连接;数据包进行解或重组静态数据;静态数据进行安全审查包括网络协议检查代码扫描等;确认安全数据流入内部单元;内部用户通严格身份认证机制获取所需数据。 问题:网闸解答:网闸两同安全域间通协议转换手段信息摆渡式实现数据交换且系统明确要求传输信息才通其信息流般通用应用服务注:网闸闸字取自于船闸意思信息摆渡程内外网(游)未发物理连接所网闸产品必须要至少两套主机物理隔离部件才完物理隔离任务现市场现单主机网闸或单主机两及处理引擎滤产品真网闸产品符合物理隔离标准其包滤安全产品类似防火墙注:单主机网闸单向网闸掩耳目。 问题:隔离网闸设备解答:隔离网闸种由专用硬件电路切断网络间链路层连接能够物理隔离网络间进行适度安全数据交换网络安全设备。 问题:隔离网闸硬件设备软件设备解答:隔离网闸由软件硬件组设备。 问题:隔离网闸硬件设备由几部组解答:隔离网闸硬件设备由三部组:外部处理单元、内部处理单元、隔离硬件。 问题:单向传输用单主机网闸解答:隔离网闸组必须由物理三部组所单主机(包括处理器)安全产品并网闸产品完物理隔离任务其所谓单向传输基于数据包滤类似防火墙产品并物理隔离产品。 问题:要使用隔离网闸解答:用户网络需要保证高强度安全同与其信任网络进行信息交换情况采用物理隔离卡信息交换需求满足;采用防火墙则防止内部信息泄漏外部病毒、黑客程序渗入安全性保证种情况隔离网闸能够同满足两要求避免物理隔离卡防火墙足处物理隔离网络间数据交换佳选择。 问题:政府机关网计算机必须内外网物理隔离 解答:政府建立内部网工程安全保密问题直工程建设重点内容内部网信息涉密或内部信息家明确规定涉及家秘密计算机信息系统直接或间接与际互联网或其公共信息网络相联接必须实行物理隔离确保家秘密安全。 问题:隔离网闸与防火墙何同解答:主要几点同:A、隔离网闸采用双主机系统内端机与需要保护内部网络连接外端机与外网连接种双系统模式彻底内网保护起即使外网黑客攻击甚至瘫痪内网造伤害防火墙单主机系统 B、隔离网闸采用自身定义私通讯协议避免通用协议存漏洞防火墙采用通用通讯协议即
一、什么是网闸 网闸技术的需求来自内网与外网数据互通的要求,比如政府的电子政务是对公众服务,与互联网连通,而内网的政府办公网络,由于保密的要求,内网若与网连通,则面临来自公网的各种威胁。安全专家给出的建议是:由于目前的安全技术,无论防火墙、UTM等防护系统都不能保证攻击的一定阻断,入侵检测等监控系统也不能保证入侵行为完全捕获,所以最安全的方式就是物理的分开,所以在公安部的技术要求中,要求电子政务的内、外网络之间“物理隔离”。没有连接,来自外网对内网的攻击就无从谈起。 但是,网络的物理隔离,给数据的通讯带来很多不便,比如工作人员出差只能接入互联网,要取得内网的文件就没有办法,只能让办公室的人把文件放在外网上。另外,内网办公系统需要从外网提供的统计数据,由于服务隔离,数据的获取也很困难。因此,随着网络业务的日益成熟,数据交换的需求提议强烈。 最初的解决办法就是人工的“传递”,用U盘或光盘在内外网之间倒换数据。随着业务的增多,数据量的扩大,人工的方式显然成为很多业务的瓶颈,在内、外网之间建立一个既符合“物理隔离”安全要求,又能进行数据交换的设备或解决方案,这就诞生了网闸技术。 网闸实现的是个安全的概念,与防火墙等网络安全设备不同的地方是他阻断通讯的连接,只完成数据的交换,没有业务的连接,攻击就没有了载体,如同网络的“物理隔离”。网闸其实就是模拟人工数据倒换,利用中间数据倒换区,分时地与内外网连接,但一个时刻只与一个网络连接,保持“物理的分离”,实现数据的倒换。这就象从前长江上的摆渡船,既没有“物理的连接”大桥,也实现了货物的交换。 其实,除了电子政务内外网的交换需求,其他各种涉密网络与公用网络的互联都有这种需求,比如:广电的编播网和互联网、电力的控制网与办公网、海关的运行网和报关查询网络、银行的业务网与网上银行网络等等。 二、网闸的实现原理 网闸是实现两个相互业务隔离的网络之间的数据交换,通用的网闸模型设计一般分三个基本部分: 内网处理单元 外网处理单元 隔离与交换控制控制单元 三个单元都要求其软件的操作系统是安全的,也就是采用非通用的操作系统,或改造后的专用操作系统。一般为Unix BSD或Linux 的变种版本,或者其他是嵌入式操作系统VxWorks等,但都要对底层不需要的协议、服务删除,使用的协议优化改造,增加安全特性,同时提高效率。
如今,网络隔离技术已经得到越来越多用户的重视,重要的网络和部门均开始采用隔离网闸产品来保护内部网络和关键点的基础设施。目前世界上主要有三类隔离网闸技术,即SCSI技术,双端口RAM技术和物理单向传输技术。SCSI是典型的拷盘交换技术,双端口RAM也是模拟拷盘技术,物理单向传输技术则是二极管单向技术。 随着互联网上黑客病毒泛滥、信息恐怖、计算机犯罪等威胁日益严重,防火墙的攻破率不断上升,在政府、军队、企业等领域,由于核心部门的信息安全关系着国家安全、社会稳定,因此迫切需要比传统产品更为可靠的技术防护措施。物理隔离网闸最早出现在美国、以色列等国家的军方,用以解决涉密网络与公共网络连接时的安全。在电子政务建设中,我们会遇到安全域的问题,安全域是以信息涉密程度划分的网络空间。涉密域就是涉及国家秘密的网络空间。非涉密域就是不涉及国家的秘密,但是涉及到本单位,本部门或者本系统的工作秘密的网络空间。公共服务域是指不涉及国家秘密也不涉及工作秘密,是一个向互联网络完全开放的公共信息交换空间。国家有关文件就严格规定,政务的内网和政务的外网要实行严格的物理隔离。政务的外网和互联网络要实行逻辑隔离,按照安全域的划分,政府的内网就是涉密域,政府的外网就是非涉密域,互联网就是公共服务域。 国家有关研究机构已经研究了安全网闸技术,以后根据需求,还会有更好的网闸技术出现。通过安全网闸,把内网和外网联系起来;因此网闸成为电子政务信息系统必须配置的设备,由此开始,网闸产品与技术在我国快速兴起,成为我国信息安全产业发展的一个新的增长点。
网闸的概念 网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议"摆渡",且对固态存储介质只有"读"和"写"两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使"黑客"无法入侵、无法攻击、无法破坏,实现了真正的安全。 安全隔离与信息交换系统,即网闸,是新一代高安全度的企业级信息安全防护设备,它依托安全隔离技术为信息网络提供了更高层次的安全防护能力,不仅使得信息网络的抗攻击能力大大增强,而且有效地防范了信息外泄事件的发生。 第一代网闸的技术原理是利用单刀双掷开关使得内外网的处理单元分时存取共享存储设备来完成数据交换的,实现了在空气缝隙隔离(Air Gap)情况下的数据交换,安全原理是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果。 第二代网闸正是在吸取了第一代网闸优点的基础上,创造性地利用全新理念的专用交换通道PET(Private Exchange Tunnel)技术,在不降低安全性的前提下能够完成内外
第三章第二节 课题:3.2 网络通信的工作原理 教学目标:1.了解OSI模型中的各个层次;2.了解TCP/IP协议在OSI模型的位置; 3.了解数据交换技术的电路交换、报文交换、分组交换的工作原理,能进行不同的数据交换技术比较; 4.使用数据交换技术的电路交换、报文交换、分组交换的工作原理解释生活中技术问题,培养学生探究能力,合作能力、观察能力; 5.通过体验、感悟电路交换、报文交换、分组交换的工作原理的学习过程,体验技术发展的过程和思维,体验突破技术,改造技术、创新技术的成就感。 教学重点:OSI模型的理解、TCP/IP协议的重要地位、电路交换、报文交换、分组交换三者的特点与区别 教学难点:OSI模型的理解 课时安排:2课时 教学方法:演示法,讲授法,任务驱动法 教学过程: 第一课时:数据传输过程 一、OSI参考模型 1、很多同学都非常喜欢玩网络游戏,比如魔兽世界,梦幻西游。不知道同学们想不想了解这些网络游戏在网上的一个工作原理,了解游戏是如何在网上运作的。 2、在了解游戏之前,我们先来看看现实生活中的邮政系统,参照这个邮政系统能加快我们对网络游戏的一个理解。课本上的P55页上3.2.1数据传输过程中,图3-3 邮政系统的分层模型。大家可以想象一下我们平时的写信寄信的一个过程。
首先我们写好信后,要让这封信能寄出去,我们就得贴邮票。而邮票,就是我们和邮政局的约定,我交8毛钱给你邮政局,那么你要负责帮我把信送到。而邮政局呢,也和运输部门有个类似的约定。通过这一系列的约定,我们可以保证我们所写的信能送到我们想要送到的目的地。但是这里注意一个问题:邮票做为约定不是一成不变的。比如说,刚刚解放前,也许送信只需要几分前。而现在人民的生活富裕了,相应的,一封信是8毛钱。也就是说,协议,或者约定完全是按照当时的情况做出的适当的处理。如果情况出现变化,协议一样可以随着情况而做出改变。 3、实际上,网络上数据的传输过程和现实中是非常类似的,我们可以来想象一下: 我现在有一批水果,准备运到罗马。如果我想实现这个目标,我需要什么条件? (1)首先我要有一条路,不管是马路还是铁路,这条路要能从出发点连接到目标点。 (2)路是有了,我要保证这条路是通畅的,不能说走进死胡同,我要保证这条路能够通车,假设我是用火车来运的话,不会出现半路出轨的现象(3)路永远不会只有一条。条条道路通罗马,那么,我要保证我要走的道路能最快,最省钱的到达目的地。因此,我要选择一条近路。 路已经有了,基本条件已经具备,我们现在可以开始送东西了,但是是不是有了路就万无一失了。我们还需要有什么? (4)路是有了,我们现在坐火车把东西送过去,结果送到半中间被强盗打劫了,或者是被人偷了,所以我们要保证在送过去的途中要原封不动的送到,少一
基于SIP协议的IP电话通信系统的组 成原理 基于SIP协议的IP电话通信系统的组成原理 类别:通信网络 摘要:介绍了一种基于SIP协议的IP电话通信系统的组成原理,给出了一种独立式IP电话设计方案。该方案通过在S3C24lO微处理器上移植μC/0S-II操作系统来完成多任务管理,可使用一个RJ-45以太网接口直接连接Internet来实现和其他IP电话的通话。0 引言IP电话以其通话费率低、方便集成和智能化等优势而得到了众多消费者的极大认可,并因此而对原有固定电话运营者的长途电话和国际电话业务造成了巨大冲击。因此,随着以太网接口的直接入户,开发出一种带有RJ-45以太网接口并直接连入因特网,从而使使用更加方便的IP电话非常需要。利用这种IP电话,用户可以直接拨叫远端的电话号码,并通过关守(gate keeper)把所拨的电话号码转换成远端IP电话的IP地址,从而建立通话连接。事实上,新型IP电话终端已经可以直接把输入语音信号数字化,并按照G.728或G.729等一定的语音压缩编码算法来完成对输入语音信号的实时压缩,使带宽从64kbps降低到8kbps,从而大大提高了信道的利用率。IP电话终端通常遵循SIP(或者H.323)协议,并通过网关(gate way)实现IP电话和普通电话的互通。 1 IP电话系统组成 IP电话通信的基本原理是利用数字通信技术来对语音信号进行数字压缩编码处理,然后按TCP/IP标准进行打包,再经过互联网络把数据包发送到接收地。同时在接收端将这些语音数据包串起来。再经过解码解压处理,以使其恢复成原来的语音信号,从而达到由互联网传送语音的目的。IP电话的基本组成原理如图1所示。IP电话系统一般有机(IPPhone)、网关(Gateway)、多点控制单元MCU(MultipointControl Unit)和网闸(Gatekeeper)等四个基本组件。其中机是IP电话的客户终端,多以硬件形式出现,它可以直接连接在IP网上,以便进行实时的语音或多媒体通信;网关是通过IP网络提供PHONE-TO-PHONE语音通信的关键设备。是IP网络和PSTN/ISDN/PRX网络接口设备;多点控制单位(MCU)的功能在于利用IP网络实现多点通信,以使IP电话能够支持诸如网络会议这样一对多的通信;至于网闸,有时也称为网守或关守,主要用来提供对整个电话系统端点和呼叫的管理。网闸的主要功能包括地址翻译、呼叫接纳控制、呼叫管理以及呼叫权限等。在H.323建议中,网闸是一个可选部分,但是对于实际运行的局域网IP电话系统来说,网闸则是一个重要部件。本系统中,网闸设立在IP地址的一个终端上。通过网闸可对所有终端用户的姓名和IP地址进行统一登记和管理,并预先给每个终端用户分配一个类似电话分机的虚拟电话号码,以便其他终端用户进行呼叫。主叫用户无需知道被叫用户终端的IP地址,只需要输入其对应的虚拟电话号码或真实姓名即可。 2 IP电话单机的硬件设计IP电话分为接收方和呼叫方。发起通话请求的一端称为呼叫方,另一端为接收方。根据不同的应用场景,呼叫方和接收方可