网桥过滤

1. gateway是什么设备

网关的英文名字是Gateway，最初的意思是连接两个协议差别很大的计算机网络时使用的设备。通过网关可以将不同体系结构的计算机网络连接在一起，例如IBM的SNA服务器要和DEC公司的网络交流信息，就可以通过网关来实现，它完成复杂的协议转换工作，并将数据重新分组发送。在OSI中，网关属于最高层（应用层）的设备。网关本身不具有Cache（缓存），只是协议的转换或者转发。
网关(Gateway)以及网桥(Gate Bridge)均指不同网络之间的通讯接口设备和程序，只不过两者针对的网络层次不同。网关是网络连接设备的重要组成部分，它不仅具有路由的功能，而且能在两个不同的协议集之间进行转换，从而使不同的网络之间进行互联。例如：一个Netware局域网通过网关可以访问IBM的SNA网络，这样使用IPX协议的PC就可和SNA网络上的IBM主机进行通信。现在Internet技术上越来越少用这两个词汇，而由Router (路由器)统指此类接口设备和程序。

如果搞清了什么是网关，默认网关也就好理解了。就好像一个房间可以有多扇门一样，一台主机可以有多个网关。默认网关的意思是一台主机如果找不到可用的网关，就把数据包发给默认指定的网关，由这个网关来处理数据包。现在主机使用的网关，一般指的是默认网关。
如何设置默认网关

一台电脑的默认网关是不可以随随便便指定的，必须正确地指定，否则一台电脑就会将数据包发给不是网关的电脑，从而无法与其他网络的电脑通信。默认网关的设定有手动设置和自动设置两种方式。

1. 手动设置

手动设置适用于电脑数量比较少、TCP/IP参数基本不变的情况，比如只有几台到十几台电脑。因为这种方法需要在联入网络的每台电脑上设置“默认网关”，非常费劲，一旦因为迁移等原因导致必须修改默认网关的IP地址，就会给网管带来很大的麻烦，所以不推荐使用。

在Windows 9x中，设置默认网关的方法是在“网上邻居”上右击，在弹出的菜单中点击“属性”，在网络属性对话框中选择“TCP/IP协议”，点击“属性”，在“默认网关”选项卡中填写新的默认网关的IP地址就可以了。

需要特别注意的是：默认网关必须是电脑自己所在的网段中的IP地址，而不能填写其他网段中的IP地址。

2. 自动设置

自动设置就是利用DHCP服务器来自动给网络中的电脑分配IP地址、子网掩码和默认网关。这样做的好处是一旦网络的默认网关发生了变化时，只要更改了DHCP服务器中默认网关的设置，那么网络中所有的电脑均获得了新的默认网关的IP地址。这种方法适用于网络规模较大、TCP/IP参数有可能变动的网络。

另外一种自动获得网关的办法是通过安装代理服务器软件（如MS Proxy）的客户端程序来自动获得，其原理和方法和DHCP有相似之处.
参考资料：互联网

2. 什么是路由下一跳地址，能解释详细点

路由下一跳地址就是网关的IP地址。网关的IP地址是具有路由功能的设备的IP地址，具有路由功能的设备有路由器、启用了路由协议的服务器（实质上相当于一台路由器）、代理服务器（也相当于一台路由器）。这样一来就有以下两种设置方式：

1、手动设置适用于电脑数量比较少、TCP/IP参数基本不变的情况，比如只有几台到十几台电脑。这种方法需要在联入网络的每台电脑上设置“默认网关”，非常费劲。一旦因为迁移等原因导致必须修改默认网关的IP地址，就会给网管带来很大的麻烦，所以不推荐使用。

2、自动设置适用于网络规模较大、TCP/IP参数有可能变动的情况，即利用DHCP服务器来自动给网络中的电脑分配IP地址、子网掩码和默认网关。这样做的好处是一旦网络的默认网关发生了变化时，只要更改了DHCP服务器中默认网关的设置，那么网络中所有的电脑就均获得了新的默认网关的IP地址。

(2)网桥过滤扩展阅读

路由下一跳地址的网关性质

1、网关又称网间连接器、协议转换器。网关在网络层以上实现网络互连，是最复杂的网络互连设备，仅用于两个高层协议不同的网络互连。

2、网关既可以用于广域网互连，也可以用于局域网互连。 网关是一种充当转换重任的计算机系统或设备。

3、在使用不同的通信协议、数据格式或语言，甚至体系结构完全不同的两种系统之间，网关是一个翻译器。与网桥只是简单地传达信息不同，网关对收到的信息要重新打包，以适应目的系统的需求。

4、当然与此同时，网关也可以提供过滤和安全功能。大多数网关运行在OSI这个7层协议的顶层——应用层。

3. 邮件网关的网关类型

市场上的邮件网关也很多，按照不同的分类标准，划分的种类的也不一样：一种是可以分为：硬件网关产品、托管式邮件网关、软件网关产品，这是一类划分方法；还有一种划分是分为：协议网关 WNxN ·应用网关 o:JWN ·安全网关 E-c 唯一保留的通用意义是作为两个不同的域或系统间中介的网关，要克服的差异本质决定了需要的网关类型。下面我们先来看第一种分类：软件网关产品、硬件网关产品、托管式邮件网关。 协议网关通常在使用不同协议的网络区域间做协议转换。这一转换过程可以发生在OSI参考模型的第2层、第3层或2、3层之间。 但是有两种协议网关不提供转换的功能：安全网关和管道。由于两个互连的网络区域的逻辑差异，安全网关是两个技术上相似的网络区域间的必要中介。如私有广域网和公有的因特网。这一特例在后续的“组合过滤网关”中讨论， 此部分中集中于实行物理的协议转换的协议网关。
1、管道网关管道是通过不兼容的网络区域传输数据的比较通用的技术。数据分组被封装在可以被传输网络识别的帧中，到达目的地时， 接收主机解开封装，把封装信息丢弃，这样分组就被恢复到了原先的格式。 管道技术只能用于3层协议，从SNA到IPv6。虽然管道技术有能够克服特定网络拓扑限制的优点，它也有缺点。 管道的本质可以隐藏不该接受的分组，简单来说，管道可以通过封装来攻破防火墙，把本该过滤掉的数据传给私有的网络区域。
2、专用网关很多的专用网关能够在传统的大型机系统和迅速发展的分布式处理系统间建立桥梁。 典型的专用网关用于把基于PC的客户端连到局域网边缘的转换器。该转换器通过X.25网络提供对大型机系统的访问。 shoO 这些网关通常是需要安装在连接到局域网的计算机上的便宜、单功能的电路板，这使其价格很低且很容易升级。在上图的例子中， 该单功能的网关将大型机时代的硬连线的终端和终端服务器升级为PC机和局域网。
3、2层协议网关2层协议网关提供局域网到局域网的转换，它们通常被称为翻译网桥而不是协议网关。 在使用不同帧类型或时钟频率的局域网间互连可能就需要这种转换。 (1)帧格式差异 IEEE802兼容的局域网共享公共的介质访问层，但是它们的帧结构和介质访问机制使它们不能直接互通。 翻译网桥利用了2层的共同点，如MAC地址，提供帧结构不同部分的动态翻译，使它们的互通成为了可能。 第一代局域网需要独立的设备来提供翻译网桥，如今的多协议交换集线器通常提供高带宽主干， 在不同帧类型间可作为翻译网桥，翻译网桥的幕后性质使这种协议转换变得模糊，独立的翻译设备不再需要， 多功能交换集线器天生就具有2层协议转换网关的功能。 替代使用仅涉及2层的设备如翻译网桥或多协议交换集线器的另一种选择是使用3层设备：路由器。 长期以来路由器就是局域网主干的重要组成部分。如果路由器用于互连局域网和广域网， 它们通常都支持标准的局域网接口，经过适当的配置，路由器很容易提供不同帧类型的翻译。 这种方案的缺点是如果使用3层设备路由器需要表查询，这是软件功能，而象交换机和集线器等2层设备的功能由硬件来实现， 从而可以运行得更快。 (2)传输率差异 很多过去的局域网技术已经提升了传输速率，例如，IEEE 802.3以太网有10Mbps、100Mbps和1bps的版本， 它们的帧结构是相同的， 主要的区别在于物理层以及介质访问机制，在各种区别中，传输速率是最明显的差异。令牌环网也提升了传输速率， 早期版本工作在4Mbps速率下，的版本速率为16Mbps，100Mbps的FDDI是直接从令牌环发展来的，通常用作令牌环网的主干。 这些仅有时钟频率不同的局域网技术需要一种机制在两个其它方面都兼容的局域网间提供缓冲的接口，现今的多协议、 高带宽的交换集线器提供了能够缓冲速率差异的健壮的背板.1494! 2 什么是网关 如今的多协议局域网可以为同一局域网技术的不同速率版本提供内部速率缓冲，还可以为不同的802兼容的局域网提供2层帧转换。路由器也可以做速率差异的缓冲工作，它们相对于交换集线器的长处是它们的内存是可扩展的。 其内存缓存进入和流出分组到一定程度以决定是否有相应的访问列表（过滤）要应用，以及决定下一跳， 该内存还可以用于缓存可能存在于各种网络拓扑间的速率差异. 安全网关是各种技术有趣的融合，具有重要且独特的保护作用，其范围从协议级过滤到十分复杂的应用级过滤。防火墙主要有三类： 分组过滤 电路网关 应用网关 注意：三种中只有一种是过滤器，其余都是网关。 这三种机制通常结合使用。过滤器是映射机制，可区分合法的和欺骗包。每种方法都有各自的能力和限制，要根据安全的需要仔细评价。
1、包过滤器包过滤是安全映射最基本的形式，路由软件可根据包的源地址、目的地址或端口号建立许可权， 对众所周知的端口号的过滤可以阻止或允许网际协议如FTP、rlogin等。过滤器可对进入和/或流出的数据操作， 在网络层实现过滤意味着路由器可以为所有应用提供安全映射功能。作为（逻辑意义上的）路由器的常驻部分， 这种过滤可在任何可路由的网络中自由使用，但不要把它误解为万能的，包过滤有很多弱点，但总比没有好。包过滤很难做好，尤其当安全需求定义得不好且不细致的时候更是如此。这种过滤也很容易被攻破。包过滤比较每个数据包， 基于包头信息与路由器的访问列表的比较来做出通过/不通过的决定，这种技术存在许多潜在的弱点。首先， 它直接依赖路由器管理员正确地编制权限集，这种情况下，拼写的错误是致命的， 可以在防线中造成不需要任何特殊技术就可以攻破的漏洞。即使管理员准确地设计了权限，其逻辑也必须毫无破绽才行。 虽然设计路由似乎很简单，但开发和维护一长套复杂的权限也是很麻烦的， 必须根据防火墙的权限集理解和评估每天的变化，新添加的服务器如果没有明确地被保护，可能就会成为攻破点。 随着时间的推移，访问权限的查找会降低路由器的转发速度。每当路由器收到一个分组， 它必须识别该分组要到达目的地需经由的下一跳地址，这必将伴随着另一个很耗费CPU的工作： 检查访问列表以确定其是否被允许到达该目的地。访问列表越长，此过程要花的时间就越多。包过滤的第二个缺陷是它认为包头信息是有效的，无法验证该包的源头。 头信息很容易被精通网络的人篡改， 这种篡改通常称为“欺骗”。包过滤的种种弱点使它不足以保护你的网络资源，最好与其它更复杂的过滤机制联合使用，而不要单独使用。
2、链路网关链路级网关对于保护源自私有、安全的网络环境的请求是很理想的。这种网关拦截TCP请求，甚至某些UDP请求， 然后代表数据源来获取所请求的信息。该代理服务器接收对万维网上的信息的请求，并代表数据源完成请求。实际上， 此网关就象一条将源与目的连在一起的线，但使源避免了穿过不安全的网络区域所带来的风险。
什么是网关 这种方式的请求代理简化了边缘网关的安全管理，如果做好了访问控制，除了代理服务器外所有出去的数据流都被阻塞。 理想情况下，此服务器有唯一的地址，不属于任何内部使用的网段。这绝对使无意中微妙地暴露给不安全区域的信息量最小化， 只有代理服务器的网络地址可被外部得到，而不是安全区域中每个联网的计算机的网络地址。
3、应用网关应用网关是包过滤最极端的反面。包过滤实现的是对所有穿过网络层包过滤设备的数据的通用保护， 而应用网关在每个需要保护的主机上放置高度专用的应用软件，它防止了包过滤的陷阱，实现了每个主机的坚固的安全。应用网关的一个例子是病毒扫描器，这种专用软件已经成了桌面计算的主要产品之一。它在启动时调入内存并驻留在后台， 持续地监视文件不受已知病毒的感染，甚至是系统文件的改变。 病毒扫描器被设计用于在危害可能产生前保护用户不受到病毒的潜在损害。 这种保护级别不可能在网络层实现，那将需要检查每个分组的内容，验证其来源，确定其正确的网络路径， 并确定其内容是有意义的还是欺骗性的。这一过程将产生无法负担的过载，严重影响网络性能。
4、组合过滤网关使用组合过滤方案的网关通过冗余、重叠的过滤器提供相当坚固的访问控制，可以包括包、链路和应用级的过滤机制。 这样的安全网关最普通的实现是象岗哨一样保护私有网段边缘的出入点，通常称为边缘网关或防火墙。 这一重要的责任通常需要多种过滤技术以提供足够的防卫。下图所示为由两个组件构成的安全网关：一个路由器和一个处理机。 结合在一起后，它们可以提供协议、链路和应用级保护。 这种专用的网关不象其它种类的网关一样，需要提供转换功能。作为网络边缘的网关，它们的责任是控制出入的数据流。 显然的，由这种网关联接的内网与外网都使用IP协议，因此不需要做协议转换，过滤是最重要的。 保护内网不被非授权的外部网络访问的原因是显然的。控制向外访问的原因就不那么明显了。在某些情况下， 是需要过滤发向外部的数据的。例如，用户基于浏览的增值业务可能产生大量的WAN流量，如果不加控制， 很容易影响网络运载其它应用的能力，因此有必要全部或部分地阻塞此类数据。 联网的主要协议IP是个开放的协议，它被设计用于实现网段间的通信。这既是其主要的力量所在，同时也是其最大的弱点。 为两个IP网提供互连在本质上创建了一个大的IP网， 保卫网络边缘的卫士--防火墙--的任务就是在合法的数据和欺骗性数据之间进行分辨。
5、实现中的考虑 实现一个安全网关并不是个容易的任务,其成功靠需求定义、仔细设计及无漏洞的实现。首要任务是建立全面的规则， 在深入理解安全和开销的基础上定义可接受的折衷方案，这些规则建立了安全策略。安全策略可以是宽松的、严格的或介于二者之间。在一个极端情况下，安全策略的基始承诺是允许所有数据通过，例外很少， 很易管理，这些例外明确地加到安全体制中。这种策略很容易实现，不需要预见性考虑，保证即使业余人员也能做到最小的保护。 另一个极端则极其严格，这种策略要求所有要通过的数据明确指出被允许，这需要仔细、着意的设计，其维护的代价很大， 但是对网络安全有无形的价值。从安全策略的角度看，这是唯一可接受的方案。在这两种极端之间存在许多方案，它们在易于实现、 使用和维护代价之间做出了折衷，正确的权衡需要对危险和代价做出仔细的评估。 邮件网关与邮件中心之间应采用专线方式互联。对邮件中心应进行改造，改造的主要内容是：
协议上在原来的SMPP 3.3的基础上扩充功能，使邮件消息扩展实体（SME）一即邮件网关有办法得到邮件消息发送成功与否的结果，以便邮件网关进行计费记录，以及采用CMPP将发送成功与否的信息传递给SP。 提供业务只需连接到互联网上，通过邮件网关就可以与互联网连接。
由于邮件网关需要负责到SP的路由查询，原则上一家SP的业务只能从一个邮件网关接入，以免邮件信息点播业务的上行邮件发送到SP时出现路由混乱的情况。
对于特大型SP，如新浪网等，允许其接入多个邮件网关，以分流邮件业务量。在这种情况下，SP对信息点播业务将采用分区提供服务的方式。比如假设新浪分别连接了北京、广州两处邮件网关，则北京网关负责北方的业务，广州网关负责南方的业务。当天津的邮件网关向汇接网关查询新浪的路由时，汇接网关将返回北京邮件网关的地址作为前转网关的地址当广西的邮件网关向汇接网关查询新浪的路由时，汇接网关将返回广州邮件网关的地址作为前转网关的地址。

4. 集线器（HUB）、交换机和路由器的区别是什么

一、集线器（），“Hub”是“中心”的意思，用于对信号整形、放大，以扩大传输距离。集线器与网卡、网线等传输介质一样，属于局域网中的基础设备，采用介质访问控制机制，收到1就转发1，收到0就转发0，不进行碰撞检测。

二、交换机（Switch），“Switch”是“开关”的意思，用于电（光）信号转发的网络设备，可以为任意两个网络节点提供独享的电信号通路。包括网络、语音、光纤交换机等，最常见的是以太网交换机。交换机工作于OSI参考模型的第二层，即数据链路层。交换机会将MAC地址和端口对应，形成一张MAC地址表，发往该MAC地址的数据包将仅送往其对应的端口，而不是所有的端口。因此，交换机可用于划分数据链路层广播，即冲突域；但它不能划分网络层广播，即广播域。

三、路由器（Router），是互联网络的枢纽，"交通警察"，用于各局域网、广域网，它会以最佳路径，按前后顺序发送信号。

四、集线器（HUB），交换机，和路由器的主要区别。

（一）工作层次不同。

1. 集线器（HUB）工作于OSI参考模型第一层，即“物理层”。

2. 交换机工作在OSI参考模型的数据链路层，也就是第二层，

3. 路由器工作在OSI的第三层（网络层），可以得到更多的协议信息，路由器可以做出更加智能的转发决策。

（二）数据转发所依据的对象不同。

1. 交换机是利用物理地址或者说MAC地址来确定转发数据的目的地址。

2. 路由器利用IP地址来确定数据转发的地址。

（三）功能不同。

1. 交换机只能分割冲突域，不能分割广播域；由交换机连接的网段仍属于同一个广播域，广播数据包会在交换机连接的所有网段上传播，在某些情况下会导致通信拥挤和安全漏洞。

2. 路由器可以分割广播域，虽然工作在三层以上的交换机也可以分割广播域，但是各子广播域之间是不能通信交流的，它们之间的交流仍然需要路由器。

3. 路由器能提供防火墙服务。路由器仅仅转发特定地址的数据包，不传送不支持路由协议的数据包传送和未知目标网络数据包的传送，从而可以防止广播风暴。

5. 解释网桥过滤

一般包的头部包含的内容是包的类型（TCP，UDP等），源IP地址，源TCP/UDP端口，目的IP地址，和专目的TCP/UDP端口。
查询包的头然后应用表属中的各项规则来决定路由包还是丢弃包。
一般，包过滤规则是决定路由或丢弃包时所应用的一些条件和操作

6. 网桥在局域网中有过滤通信量的作用吗 急求

目的地址过滤、源地址过滤、协议过滤。

7. 透明网桥把流量分成了若干段，它是基于什么来对流量进行过滤的

MAC地址