网络中用于过滤非法数据的设备是

㈠ 防火墙是什么在网络环境中的应用

防火墙（英语：Firewall）在计算机科学领域中是一个架设在互联网与企业内网之间的信息安全系统，根据企业预定的策略来监控往来的传输。

防火墙可能是一台专属的网络设备或是运行于主机上来检查各个网络接口上的网络传输。它是目前最重要的一种网络防护设备，从专业角度来说，防火墙是位于两个(或多个)网络间，实行网络间访问或控制的一组组件集合之硬件或软件。

功能

防火墙最基本的功能就是隔离网络，透过将网络划分成不同的区域（通常情况下称为ZONE），制定出不同区域之间的访问控制策略来控制不同信任程度区域间传送的数据流。例如互联网是不可信任的区域，而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信。

它有控制信息基本的任务在不同信任的区域。 典型信任的区域包括互联网(一个没有信任的区域) 和一个内部网络(一个高信任的区域) 。 最终目标是:根据最小特权原则，在不同水平的信任区域，透过连通安全政策的运行，提供受控制的连通性。

例如：TCP/IPPort 135~139是Microsoft Windows的【网上邻居】所使用的。

如果电脑有使用【网上邻居】的【共享文件夹】，羡雹氏又没使用任何防火墙相关的防护措施的话，就等于把自己的【共享文件兄散夹】公开到Internet，使得任何人都有机会浏览目录内的文件。

且早期版本的Windows有【网上邻居】系统溢出的无密码保护的漏洞（这里是指【共享文件夹】有设密码，但可经由此系统漏洞，达到无须密码便能浏览文件夹的需求）。

防火墙的本义，是指古代构筑和使用木制结构房屋时，为防止火灾发生及蔓延，人们将坚固石块堆砌在房屋周围做为屏障，这种防护结构建筑就被称为防火墙。

现代网络时代引用此喻意，指隔离本地网络与外界网络或是局域网间与互联网或互联网的一道防御系统，借由控制过滤限制消息来保护内部网资料的安全。

(1)网络中用于过滤非法数据的设备是扩展阅读：

防火墙的重肆兆要性

1、记录计算机网络之中的数据信息

数据信息对于计算机网络建设工作有着积极的促进作用，同时其对于计算机网络安全也有着一定程度上的影响。

通过防火墙技术能够收集计算机网络在运行的过程当中的数据传输、信息访问等多方面的内容，同时对收集的信息进行分类分组，借此找出其中存在安全隐患的数据信息，采取针对性的措施进行解决，有效防止这些数据信息影响到计算机网络的安全。

除此之外，工作人员在对防火墙之中记录的数据信息进行总结之后，能够明确不同类型的异常数据信息的特点，借此能够有效提高计算机网络风险防控工作的效率和质量。

2、防止工作人员访问存在安全隐患的网站

计算机网络安全问题之中有相当一部分是由工作人员进入了存在安全隐患的网站所导致的。通过应用防火墙技术能够对工作人员的操作进行实时监控，一旦发现工作人员即将进入存在安全隐患的网站，防火墙就会立刻发出警报，借此有效防止工作人员误入存在安全隐患的网站，有效提高访问工作的安全性。

3、控制不安全服务

计算机网络在运行的过程当中会出现许多不安全服务，这些不安全服务会严重影响到计算机网络的安全。通过应用防火墙技术能够有效降低工作人员的实际操作风险，其能够将不安全服务有效拦截下来，有效防止非法攻击对计算机网络安全造成影响。

此外，通过防火墙技术还能够实现对计算机网络之中的各项工作进行实施监控，借此使得计算机用户的各项工作能够在一个安全可靠的环境之下进行，有效防止因为计算机网络问题给用户带来经济损失。

缺点

正常状况下，所有互联网的数据包软件都应经过防火墙的过滤，这将造成网络交通的瓶颈。例如在攻击性数据包出现时，攻击者会不时寄出数据包，让防火墙疲于过滤数据包，而使一些合法数据包软件亦无法正常进出防火墙。

㈡ 【交换机进入安全时代】 国威时代交换机

编者按 不知道从什么时候开始，交换机作为网络中的主要连通单元，被赋予了保卫网络安全的新职责。因为，人们逐渐发现，交换机已经成为网络中的最薄弱环节，当病毒爆发时，它往往成为病毒传播的主要工具。于是，近年来，几乎所有的网络设备厂商都开始推出安全交换机的概念和产品。在抗击网络攻击的队伍中，又加入了一支新的生力军。

交换机是一种技术、市场相对成熟稳定的产品，但是通过增加新的安全元素，又开始焕发出新的生命活力。
所谓安全交换机，就是当交换机作为网络结点加入到网络中时，网络的脆弱性不会增加。相比之下，传统的非安全交换机加入到网络中时，除了做数据转发外，往往还成为病毒等网络不安全因素的主要传播工具。在遭受攻击时，还会因为自身的脆弱而影响网络的正常运行。运营商在改造和规划网络时，CIO们希望加入的任何一个结点都是安全的，并要求在交换机等汇聚层设备上（当然最好在接入层设备上，越靠近用户越好）有一层安全屏障。而对于企业网，很多病毒和攻击都是从内部发起和传播的，这时候防火墙往往无能为力。这就需要企业内部网的交段铅换机能够提供一定程度的安全防护功能。在这种需求驱动下，安全性成为新一代交换机的必备属性，具有这种属性的交换机通常被人们称做安全交换机。
安全交换机并不是一个虚幻的神话，也不是厂商玩弄的概念“噱头”，而是用户实实在在的需求，也是网络发展的必然结果。其安全特性最终将会在具体的网络应用环境中得到检验。

交换机的新职责

在传统的交换功能的基础上，安全交换机融入了以下关于网络安全的因素。

1．病毒过滤
目前的互联网上充斥着各种各样的病毒，对网络设备和最终用户造成了很大的危害：它们造成了设备资源被病毒包大量消耗，设备不能正常收发协议包，导致网络业务的中断。在控制网络病毒的传播以保护网络安全上，启用2～7层灵活多样的ACL功能是比较有效的。ACL条目多达1000条，可以根据病毒特征灵活地进行控制以过滤病毒，达到有效地控制网络的访问、控制网络流量、优化网络配置、提供安全接入控制的目标。
对于交换机的ACL功能，首先要看是在三层交换机还是二层交换机上实现。三层交换机上实现比较容易，而支持ACL的二层交换机则不多。另外，ACL的实现还要看是基于硬件还是基于CPU实现，前者效率高，对交换机的握消好交换转发性能影响小;后者则对交换机的性能造成重大影响，特别是在配置ACL条目较多的情况下。在安全交换机中，基于硬件的内置的ACL已经成为一个重要的组成部分。

2． 基于ACL的报文过滤
ACL通过对网络资源进行访问输入和输出控制，确保网络设备不被非法访问或被用做攻击跳板。ACL是一张规则表，交换机按照桥做顺序执行这些规则，并且处理每一个进入端口的数据包。每条规则根据数据包的属性(如源地址、目的地址和协议)要么允许，要么拒绝数据包通过。由于规则是按照一定顺序处理的，因此每条规则的相对位置对于确定允许和不允许什么样的数据包通过网络至关重要。
ACL的一个用途是可用于防DoS攻击，采用预分类方法通过分析网络流量、自动过滤非法数据，免除对控制平面造成的非法攻击，从硬件和软件等多方面有效防范和解决该类问题，使得设备对大量扫描予以防护和拒绝。

3．CPU过载保护
如果交换机的CPU被恶意攻击或者因病毒发作而瘫痪，那么就可能导致网络数据转发的中断，造成整个网络的瘫痪;同时网络管理员也要能够通过telnet、集群网管、web网管等手段管理网络中的交换机。而交换机与网络管理员的数据交互需要交换机上CPU进行应答，如果交换机的CPU被恶意攻击、病毒攻击而瘫痪，那么该交换机对管理员而言，就处于不可管状态。基于上面的这些原因，需要对CPU进行攻击防护。在网络出现严重问题或病毒大规模爆发的恶劣情况下，安全交换机必须采用CPU保护技术，使交换机设备本身更聪明，能够学习识别恶意数据和正常数据，并保证设备的核心――CPU的正常工作，保护设备心脏只接受和执行有效命令，交换机也就能不间断地转发和处理正常流量和协议，有效规避CPU负担过重导致的停机或死机。

4． 广播风暴控制
以太网交换机进行数据转发的一个特点就是广播包会在VLAN内除了包的入端口之外的所有端口进行转发，广播包在网络中大量传递，就会在网络中形成广播风暴，占用大量带宽，影响正常数据的转发，在组环网的时候这种情况尤其严重。广播包太多也会对交换机的CPU造成负荷过重，如果对广播风暴不加以控制会给网络的稳定和安全带来很大的危害。
另外，查找不到目的MAC地址的单播数据(DLF)在网络中也是以广播方式传输的，这样的数据也一样可以导致广播风暴。

安全交换机则提供了多种解决广播风暴的方法：
（1）提供硬件级的广播包、DLF数据限速功能，例如可以限制交换机每秒钟只转发100个广播包。
（2）通过虚拟局域网（VLAN）的划分来限制广播包的传递范围，缩小广播域。例如可以把交换机的每个端口分别配置在不同的VLAN内。
（3）对于组二层环网的情况，可以用以太网环或生成树（STP）技术来组网，通过阻塞环上的某一端口在逻辑上把环给断开，在被阻塞的端口上是不收发数据包的。
（4）对于广播包送CPU的情况，只把协议包和应该处理的广播包送CPU，并且通过预判断机制来过滤恶意攻击包。

表 各种安全交换机功能对比

5．虚拟局域网（VLAN）
虚拟局域网络是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。VLAN可以在二层或者三层交换机上实现有限的广播域，它可以覆盖多个网络设备，与它们的物理位置无关，设备之间好像在同一个网络间通信一样，这样使得企业的网络管理变得简单、直观。
虚拟局域网可以用来把用户划分成若干小组，仅仅允许用户使用他们划分的网络资源。VLAN基于端口的VLAN、MAC地址及路由访问列表等原则划分，限制了各个不同VLAN之间的非授权访问，而且可以设置IP/MAC地址绑定功能限制用户的非授权网络访问，从而提高交换式网络的整体性能和安全性。而且通过对VLAN的创建，隔离了广播风暴，缩小了广播范围，可以控制广播风暴的产生。对于采用VLAN技术的网络来说，一个VLAN可以根据部门职能、对象组或者应用等将不同地理位置的网络用户划分为一个逻辑网段。

6．基于802.1x的接入控制
802.1x协议是一个符合IEEE 802协议集的局域网接入控制协议，其全称为基于端口的访问控制协议。它能在利用IEEE 802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段，达到了接受合法用户接入，保护网络安全的目的。

7．交换机与IDS的联动
企业交换机与入侵检测系统（IDS）的联动是一个非常实际而又不会增加投资费用的理想方案。由于黑客和病毒都是依赖网络平台进行攻击，将IDS作为监控系统，与交换机进行联动，就能在网络平台上切断黑客和病毒的传播途径，实现意想不到的安全效果。具体来说，企业交换机与IDS系统的联动是指在运行的过程中，交换机将各种数据流的信息上报给安全设备，IDS可以根据上报信息和数据流内容进行检测，在发现网络安全事件的时候，进行有针对性的操作，并将这些对安全事件反应的动作发送到交换机上，由交换机来实现精确的端口断开操作。这项技术得到了绝大多数用户的认可，但在实践中还没有得到广泛的应用。

只选适合的

从理论上来说，任何一个使用传统交换机的网络结点均可以用安全交换机进行替换。并且，安全交换机具有传统交换机的所有功能，可以作为一个独立的网元存在于运营商网络和企业网中。加入安全交换机之后，可以有效地遏制非法流量在网络中的传播，既可以节省运营网络资源，又可以保证网络的畅通无阻。最重要的一点是，安全交换机自身拥有攻击免疫能力，在遭受攻击的时候，如DoS攻击，它通过驱动抗攻击模块，保障设备的正常运用。不会像传统的交换机那样由于自身的脆弱影响网络的健壮性。
目前市场上交换机的品种多样，安全交换机和传统交换机均混杂其中。这给人们的选购带来了一定的困难。但要进行区分还是有一定办法的。用户应该首先查看相关的手册，并通过超级终端等工具进行基本配置，看是否具有这些功能。当应用到具体的网络环境中时，可以通过查看相关的统计记录看这些条目是否发生作用。在有病毒的环境中，安全交换机的表现非常明显，它依然能够正常工作，不会出现死机或瘫痪。还可以通过端口的自环来检测抗广播风暴的能力，安全交换机抗广播风暴的能力很强，它可以通过广播速率限制抑制广播风暴，或可以通过环路检测直接解除环路。总之，在相同的环境中，安全交换机和传统交换机的表现差别是非常明显的。
安全交换机已经成为一些主流设备厂商开拓市场的杀手锏，但是由于各厂商对安全交换机的理解有不同，所推出的的安全交换机特色各有偏重。因此，在采购的过程中，应该根据自身的网络特征和需求来进行选择。如Cisco安全LAN交换体系强调VLAN技术的合理灵活运用、ACL技术对IP访问控制和协议的过滤、端口安全、802.1x认证等，另外Cisco还提出了NAC（Network Admission Control）技术。惠普网络在 “适应性边缘架构”技术策略中将安全作为适应性边缘架构的关键一环，它采用Virus Throttle技术，可以在流量进入LAN和通过网络交换机时侦测到“蠕虫”病毒的活动，及时“遏制”病毒传染。而华为3Com则在其三层交换机S3500系列上集中体现了其交换机的安全特性，为用户实现特定的安全策略、探测与防范非法攻击以及事后分析，提供了报文过滤、流量限速、端口隔离、地址绑定、广播风暴抑制、安全访问、日志等全方位的安全手段，另外华为3com交换机的安全功能还支持交换机和IDS设备的联动。烽火网络安全交换机的特色在于除其三层交换机具有安全功能外，针对靠近用户的二层交换机的安全需要更为迫切的情况，其S2000系列二层交换机的安全功能尤为突出。具有智能行为检测技术，保证系统攻击时，重要数据还可以被系统处理。
尽管融入了安全的因素，但是主流厂商并没有因为安全功能的提升而提高设备的价格，相反，经过几年的发展，安全交换机的价格正不断呈现下降的趋势。可以预见，那些不具备安全功能的传统交换机在较短的一段时间内将会退出市场。

观点:安全交换机不能取代防火墙

安全是一个非常复杂的概念，狭义的安全包括VPN、防火墙、IDS；而广义的安全则比较宽泛，表示这个网络中具备安全的基因（如认证授权、病毒抵御、设备自愈）。交换机的本质是交换而非安全，交换机的性能是高速交换，只有当交换机的性能已经达到用户认为比较满意的速度时，大家才会逐步把智能与安全的基因融合做上去。因此，安全交换机是一个动态的概念，没有定义的标准，而安全只是其追加功能。
就目前的安全交换机而言，在交换机这个层面上，低端产品根本做不到融合防火墙和VPN等安全功能，高端交换机虽然依靠其自身体系架构的优势，可以通过模块来叠加安全功能，但国内能够提供高端交换机的厂商本来就寥寥无几。从这个意义上讲，厂商所讲的低端安全交换机，大部分比较牵强。
其次，成熟的用户往往很清楚，网络安全是一个整体安全的概念，而不可能仅仅依靠设备的安全来保证网络安全，他们需要的是一个端对端的安全解决方案，这个方案包括了VPN、防火墙、客户端，甚至杀毒软件，包括交换机在内的网络设备和软件之间要能做到安全联动。
交换机和一些低端的网络安全设备已经很便宜，用户不可能为了一个看上去时髦和先进的模糊概念，放弃具有明显的性价比优势的网络安全解决方案。
就目前来看，具有防火墙和VPN功能的安全交换机也不能取代防火墙。原因有两个方面：其一，所放的位置不同，所起的安全作用也不一样，防火墙主要是放在网络接入层出口，防止外来攻击,而带有防火墙功能的交换机则往往在网络的核心处，而不是在汇聚层和接入层，其目的是通过核心的智能来提高安全性。其二，在一个网络安全解决方案中，选择在交换机中插入安全模块，还是外置安全产品，取决于用户自身的应用需求。(赵晓轩)

㈢ 什么是防火墙它的作用是什么

1、极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。

由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

2、对网络存取和访问进行监控审计。

当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。

可以清楚知道防火墙能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足，网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

3、防止内部信息的外泄。

通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。

使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。

(3)网络中用于过滤非法数据的设备是扩展阅读：

主要类型

1、网络层防火墙：可视为一种 IP 封包过滤器，运作在底层的TCP/IP协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。

2、应用层防火墙：是在 TCP/IP 堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包。

3、数据库防火墙：是一款基于数据库协议分析与控制技术的数据库安全防护系统。基于主动防御机制，实现数据库的访问行为控制、危险操作阻断、可疑行为审计。

㈣ 常有的网络设备有哪些

常用网络设备有：
1）集线器
集线器也称Hub，是将计算机等设备接入网络的物理层设备之一。
集线器的工作特桥仔点是：共享带宽，广播所有数据。
2）交换机
（1）二层交换机
二层交换机是局域网中的主要设备之一，常作为网络接入设备使用，是链路层设备。
（2）三层交换机
三层交换机是网络层设备之一，主要作为局域网中汇聚层设备或核心层设备使用，起到网络汇聚或核心连接作用。
3）路由器
路由器也是网络层设备之一，常在局域网与其他网缓消烂络连接处使用，用于网络之间互联。
4）防火墙
防火墙（FireWall）是常用的网络安全设备之一。它一方面保护内网受到来自因特网未授权或未验证的访问，另一方面控制内部网络用户对因特网访问等。防火墙也常常用在内网中隔离敏感区域受到非法用户的访问或攻击。
5）IDS/IPS
IDS/IPS是专门针对病毒和入侵而设计的网络安全设备，它们对非法的数据是非常敏感的。不同之处是：IDS对于发现的非法数扰漏据只能发出警报而不能自动防御；而IPS可以将检测到的非法数据直接过滤。

㈤ 什么是防火墙防火墙的类型有哪些

一、所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。
二、主要类型

1、网络层防火墙
网络层防火墙可视为一种 IP 封包过滤器，运作在底层的TCP/IP协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙（病毒除外，防火墙不能防止病毒侵入）。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。
我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。操作系统及网络设备大多已内置防火墙功能。
较新的防火墙能利用封包的多样属性来进行过滤，例如：来源 IP地址、来源端口号、目的 IP 地址或端口号、服务类型（如 HTTP 或是 FTP）。也能经由通信协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。

2、应用层防火墙
应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包（通常是直接将封包丢弃）。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。
防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。不过就实现而言，这个方法既烦且杂（软件有千千百百种啊），所以大部分的防火墙都不会考虑以这种方法设计。
XML 防火墙是一种新型态的应用层防火墙。
[2] 根据侧重不同，可分为：包过滤型防火墙、应用层网关型防火墙、服务器型防火墙。

3、数据库防火墙
数据库防火墙是一款基于数据库协议分析与控制技术的数据库安全防护系统。基于主动防御机制，实现数据库的访问行为控制、危险操作阻断、可疑行为审计。
数据库防火墙通过SQL协议分析，根据预定义的禁止和许可策略让合法的SQL操作通过，阻断非法违规操作，形成数据库的外围防御圈，实现SQL危险操作的主动预防、实时审计。
数据库防火墙面对来自于外部的入侵行为，提供SQL注入禁止和数据库虚拟补丁包功能。

㈥ 实时记录内网用户的上网行为,过滤不良信息的安全设备是什么

防火墙。
所谓“防火墙”是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，隔离技术。越来越多地应用于专用网络与公用网络的互联环境之中，尤其以接入Internet网络为最甚。
防火墙主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障，从而实现对计算机不安全网络因素的阻断。只有在防火墙同意情况下，用户才能够进入计算机内，如果不同意就会被阻挡于外，防火墙技术的警报功能十分强大，在外部的用户要进入到计算机内时，防火墙就会迅速的发出相应的警报，并提醒用户的行为，并进行自我的判断来决定是否允许外部的用户进入到内部，只要是在网络环境内的用户，这种防火墙都能够进行有效的查询，同时把查到信息朝用户进行显示，然后用户需要按照自身需要对防火墙实施相应设置，对不允许的用户行为进行阻断。通过防火墙还能够对信息数据的流量实施有效查看，并且还能够对数据信息的上传和下载速度进行掌握，便于用户对计算机使用的情况具有良好的控制判断，计算机的内部情况也可以通过这种防火墙进行查看，还具有启动与关闭程序的功能，而计算机系统的内部中具有的日志功能，其实也是防火墙对计算机的内部系统实时安全情况与每日流量情况进行的总结和整理。
防火墙是在两个网络通讯时执行的一种访问控制尺度，能最大限度阻止网络中的黑客访问你的网络。是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。