试谈电子商务系统的网络设施.pptx

1、第三讲第三讲 电子商务系统的网络设施电子商务系统的网络设施1主要内容：主要内容：n1、网络设施、网络设施n2、电子商务系统与、电子商务系统与Internet的连接方式的连接方式n3、防火墙、防火墙21、网络设施、网络设施nInternetnIntranetnExtranet3主要内容：主要内容：n1、网络设施、网络设施n2、电子商务系统与、电子商务系统与Internet的连接方式的连接方式n3、防火墙、防火墙42、电子商务系统与、电子商务系统与Internet的连接方式的连接方式n2.1 专线接入专线接入n2.2 服务器托管服务器托管n2.3 虚拟主机虚拟主机n2.4 数据中心数据中心52.1

2、 专线接入专线接入n通过专门的线路将企业的工作环境接入到通过专门的线路将企业的工作环境接入到Internet。这里的专线是指所有能够连接这里的专线是指所有能够连接Internet的连接线路的连接线路方式，包括方式，包括DDN专线、帧中继专线、帧中继FR、光纤等形式。、光纤等形式。n缺点：专线方式是所有的接入方式中最昂贵的，除缺点：专线方式是所有的接入方式中最昂贵的，除了连接线路的费用之外，还需要有自己的路由器和了连接线路的费用之外，还需要有自己的路由器和服务器。此外根据网站访问量的大小，对服务器的服务器。此外根据网站访问量的大小，对服务器的要求也大不一样，从几万元到几十万元不等，甚至要求也大不

3、一样，从几万元到几十万元不等，甚至百万元以上。百万元以上。62.1 专线接入专线接入n优点：服务器在自己企业的工作环境中，所以开优点：服务器在自己企业的工作环境中，所以开发和维护非常方便，同时，一条专线可以连接多发和维护非常方便，同时，一条专线可以连接多种服务，也就是说可以同时拥有自己的种服务，也就是说可以同时拥有自己的E-mail服服务器、务器、SSH服务器以及代理服务器等，整个企业服务器以及代理服务器等，整个企业的计算机都可以通过一条专线上网，所以对于某的计算机都可以通过一条专线上网，所以对于某些内部上网需求量大的单位，专线接入应该是一些内部上网需求量大的单位，专线接入应该是一种最节约的方

4、式。种最节约的方式。72.2 服务器托管服务器托管n服务器托管（主机托管）是指为了提高网站的访服务器托管（主机托管）是指为了提高网站的访问速度，将企业的服务器及相关设备托管到具有问速度，将企业的服务器及相关设备托管到具有完善机房设施、高品质网络环境、丰富带宽资源完善机房设施、高品质网络环境、丰富带宽资源和运营经验、可对用户的网络和设备进行实时监和运营经验、可对用户的网络和设备进行实时监控的网络数据中心内（如电信局或其他提供托管控的网络数据中心内（如电信局或其他提供托管服务的网络公司），以此使系统达到安全、可靠、服务的网络公司），以此使系统达到安全、可靠、稳定、高效运行的目的。稳定、高效运行的目

5、的。n托管的服务器可以由企业自己进行维护，也可以托管的服务器可以由企业自己进行维护，也可以由其它的授权人进行远程维护。由其它的授权人进行远程维护。 8n当企业有意建设自己的当企业有意建设自己的Web、E-mail、FTP服服务器，并且企业网站的应用很复杂或网站的访务器，并且企业网站的应用很复杂或网站的访问率很高时，企业可以选择自已购买服务器，问率很高时，企业可以选择自已购买服务器，进行整机托管。进行整机托管。n优点：收费与专线接入的费用比较起来要低得优点：收费与专线接入的费用比较起来要低得多，而且能提供这项服务的地方一般都有较高多，而且能提供这项服务的地方一般都有较高的网络带宽，可以提供很好的

6、访问速度。的网络带宽，可以提供很好的访问速度。2.2 服务器托管服务器托管92.3 虚拟主机虚拟主机n许多许多ISP不仅有富余的网络带宽，而且还有剩余磁不仅有富余的网络带宽，而且还有剩余磁盘空间租用给用户。虚拟主机，就是在网络服务器盘空间租用给用户。虚拟主机，就是在网络服务器上划分出一定的磁盘空间供用户放置站点、应用组上划分出一定的磁盘空间供用户放置站点、应用组件等，提供必要的站点功能与数据存放、传输功能。件等，提供必要的站点功能与数据存放、传输功能。n优点：可以省去自己购买服务器的开支，并且同样优点：可以省去自己购买服务器的开支，并且同样可以获得较高的访问速度。可以获得较高的访问速度。n缺点

7、：由于没有对服务器的自主权，所受的限制也缺点：由于没有对服务器的自主权，所受的限制也就特别多，例如远程管理有限、软件不便安装等。就特别多，例如远程管理有限、软件不便安装等。10 什么是虚拟主机？什么是虚拟主机？nInternet上联有上亿台计算机，这些计算机不管是什么上联有上亿台计算机，这些计算机不管是什么机型、运行什么操作系统、使用什么软件，都可以归结机型、运行什么操作系统、使用什么软件，都可以归结为两大类：客户机和服务器。为两大类：客户机和服务器。 n客户机是访问别人信息的机器。当通过电信或其他客户机是访问别人信息的机器。当通过电信或其他ISP上网时，电脑就被临时分配了一个上网时，电脑就被

8、临时分配了一个IP地址，利用这个临地址，利用这个临时身份证，就可以在时身份证，就可以在Internet上获取信息，断线后，电上获取信息，断线后，电脑就脱离了脑就脱离了Internet，IP地址也被收回。地址也被收回。n服务器是提供信息让别人访问的机器，通常称为主机。服务器是提供信息让别人访问的机器，通常称为主机。由于人们任何时候都可能访问它，因此作为主机必须每由于人们任何时候都可能访问它，因此作为主机必须每时每刻都连接在时每刻都连接在Internet上，拥有自己永久的上，拥有自己永久的IP地址。地址。为此不仅得设置专用的电脑硬件，还得租用昂贵的数据为此不仅得设置专用的电脑硬件，还得租用昂贵的数

9、据专线，再加上各种维护费用如房租、人工、电费等，企专线，再加上各种维护费用如房租、人工、电费等，企业较难承受。业较难承受。 11 什么是虚拟主机？什么是虚拟主机？12 什么是虚拟主机？什么是虚拟主机？n虚拟主机的优势是费用低廉。由于多台虚拟主机虚拟主机的优势是费用低廉。由于多台虚拟主机共享一台真实主机的资源，每个虚拟主机用户承共享一台真实主机的资源，每个虚拟主机用户承受的硬件费用、网络维护费用、线路通信费用均受的硬件费用、网络维护费用、线路通信费用均大幅度降低。大幅度降低。 n目前，许多企业建立网站都采用这种方法，这样目前，许多企业建立网站都采用这种方法，这样不仅大大节省了购买机器和租用专线的

10、费用，同不仅大大节省了购买机器和租用专线的费用，同时也不必为使用和维护服务器的技术问题担心，时也不必为使用和维护服务器的技术问题担心，更不必聘用专门的管理人员。更不必聘用专门的管理人员。132.4 数据中心数据中心n为了更好的支持主机托管和虚拟主机服务，为了更好的支持主机托管和虚拟主机服务，ISP建立起环境更为优越的数据中心。建立起环境更为优越的数据中心。n数据中心拥有更大的机房面积，可以存放上千台数据中心拥有更大的机房面积，可以存放上千台主机，不仅提供普通市电，还提供主机，不仅提供普通市电，还提供UPS甚至发电甚至发电机组，大功率的空调保证机房内恒温恒湿，另外机组，大功率的空调保证机房内恒温

11、恒湿，另外还提供消防和保安防护系统。还提供消防和保安防护系统。14 UPS（不间断电源）（不间断电源）nUPS（Uninterruptible Power Supply）不间断电源，）不间断电源，是能够提供持续、稳定、不间断的电源供应的重要是能够提供持续、稳定、不间断的电源供应的重要外部设备。它可以保障计算机系统在停电之后继续外部设备。它可以保障计算机系统在停电之后继续工作一段时间以使用户能够紧急存盘，不致因停电工作一段时间以使用户能够紧急存盘，不致因停电而影响工作或丢失数据。而影响工作或丢失数据。nUPS在计算机系统和网络应用中，主要起到两个作在计算机系统和网络应用中，主要起到两个作用：一是

12、应急使用，防止突然断电而影响正常工作，用：一是应急使用，防止突然断电而影响正常工作，给计算机造成损害；二是消除市电上的电涌、瞬间给计算机造成损害；二是消除市电上的电涌、瞬间高高/低电压、电线噪声等低电压、电线噪声等“电源污染电源污染”，改善电源质量，改善电源质量，为计算机系统提供高质量的电源。为计算机系统提供高质量的电源。152.4 数据中心数据中心n网络接入方面，数据中心提供高带宽（网络接入方面，数据中心提供高带宽（100M以以上）接入到互联主干网。为保证用户的访问速上）接入到互联主干网。为保证用户的访问速度，可以在各地分别设立分数据中心或者各个度，可以在各地分别设立分数据中心或者各个数据中

13、心进行合作，互为对方用户主机建立镜数据中心进行合作，互为对方用户主机建立镜像，最大限度地提高服务质量。像，最大限度地提高服务质量。n为了保证网络安全，数据中心还设立了防火墙为了保证网络安全，数据中心还设立了防火墙及防病毒系统，最大限度地保证用户网络软件及防病毒系统，最大限度地保证用户网络软件平台的安全。平台的安全。16主要内容：主要内容：n1、网络设施、网络设施n2、电子商务系统与、电子商务系统与Internet的连接方式的连接方式n3、防火墙、防火墙173、防火墙、防火墙n3.1 防火墙的基本概念防火墙的基本概念n3.2 防火墙的功能防火墙的功能n3.3 防火墙的分类防火墙的分类n3.4 防

14、火墙的选择原则防火墙的选择原则183.1 防火墙的基本概念防火墙的基本概念n防火墙是一组软、硬件设备的组合，它在内部网络防火墙是一组软、硬件设备的组合，它在内部网络（专用网络）与外部网络（公用网络）之间形成一道（专用网络）与外部网络（公用网络）之间形成一道安全保护屏障，以防止非法用户访问内部网络上的资安全保护屏障，以防止非法用户访问内部网络上的资源和非法向外传递内部信息，同时也防止这类非法和源和非法向外传递内部信息，同时也防止这类非法和恶意的网络行为导致内部网络的运行遭到破坏。恶意的网络行为导致内部网络的运行遭到破坏。n防火墙能增强组织内部网络的安全性。防火墙系统决防火墙能增强组织内部网络的安

15、全性。防火墙系统决定了外界可以访问哪些内部服务；外界的哪些人可以定了外界可以访问哪些内部服务；外界的哪些人可以访问内部服务；内部人员可以访问哪些外部服务。防访问内部服务；内部人员可以访问哪些外部服务。防火墙必须只允许授权的数据通过，而且防火墙本身也火墙必须只允许授权的数据通过，而且防火墙本身也必须能够免于渗透。必须能够免于渗透。193.2 防火墙的功能防火墙的功能（1）网络安全控制）网络安全控制 防火墙能够过滤掉不安全的服务和请求，从而降低网络防火墙能够过滤掉不安全的服务和请求，从而降低网络安全的风险。能够监测、限制信息流从一个安全控制点安全的风险。能够监测、限制信息流从一个安全控制点进入或离

16、开。允许网络管理员定义一个中心点来防止非进入或离开。允许网络管理员定义一个中心点来防止非法用户进入内部网络。法用户进入内部网络。（2）屏蔽内部信息）屏蔽内部信息 使用防火墙就是要使内部网络与外部网络隔断，让外部使用防火墙就是要使内部网络与外部网络隔断，让外部网络的用户在未经授权的情况下不能访问内部网络，尽网络的用户在未经授权的情况下不能访问内部网络，尽可能的隐藏内部的信息、结构和运行情况。通过防火墙可能的隐藏内部的信息、结构和运行情况。通过防火墙对内部网络的划分，还可以实现对重点网络的隔离。对内部网络的划分，还可以实现对重点网络的隔离。20213.2 防火墙的功能防火墙的功能（3）提供日志和审

17、计功能）提供日志和审计功能 通过防火墙的所有访问都应该能够记录到日志文件中，通过防火墙的所有访问都应该能够记录到日志文件中，同时也应该提供网络流量以及使用情况的统计数据。同时也应该提供网络流量以及使用情况的统计数据。提供计费服务。提供计费服务。（4）提供报警服务）提供报警服务 当有潜在的威胁的访问或请求经过防火墙时，防火墙当有潜在的威胁的访问或请求经过防火墙时，防火墙不仅应该记录其动作，还应及时向系统管理报警。不仅应该记录其动作，还应及时向系统管理报警。（5）部署）部署NAT 将有限的将有限的IP地址动态或静态的与内部的地址动态或静态的与内部的IP地址对应起地址对应起来，用来缓解地址空间短缺的

18、问题。来，用来缓解地址空间短缺的问题。22 NATn在一个网络内部，根据需要可以随意自定义在一个网络内部，根据需要可以随意自定义IP地址地址而不需要经过申请，网络内部各计算机间通过内部而不需要经过申请，网络内部各计算机间通过内部的的IP地址进行通讯。而当内部的计算机要与外部地址进行通讯。而当内部的计算机要与外部Internet网络进行通讯时，具有网络进行通讯时，具有NAT功能的设备负责功能的设备负责将其内部的将其内部的IP地址转换为合法的地址转换为合法的IP地址进行通信。地址进行通信。 23 NATnNAT（Network Address Translation，网络地址转，网络地址转换），是

19、一种把内部网络的私有换），是一种把内部网络的私有IP地址（如企业内地址（如企业内部网部网Intranet）翻译成合法网络）翻译成合法网络IP地址（如互联网地址（如互联网Internet） 的技术。的技术。n通过在内部使用非注册的通过在内部使用非注册的 IP 地址，并将它们转换地址，并将它们转换为一小部分外部注册的为一小部分外部注册的 IP 地址，从而减少地址，从而减少IP 地址地址注册的费用，也可以有效解决目前网络环境中注册的费用，也可以有效解决目前网络环境中IP地地址短缺的问题，节省目前越来越缺乏的地址空间址短缺的问题，节省目前越来越缺乏的地址空间（IPv4）。同时，这也对外隐藏了内部网络结

20、构，）。同时，这也对外隐藏了内部网络结构，从而降低了内部网络受到攻击的风险。从而降低了内部网络受到攻击的风险。 24IPv4n目前的全球因特网所采用的协议族是目前的全球因特网所采用的协议族是TCP/IP协议族。协议族。IP是是TCP/IP协议族中网络层的协议，是协议族中网络层的协议，是TCP/IP协议协议族的核心协议。目前族的核心协议。目前IP协议的版本号是协议的版本号是4（简称为（简称为IPv4，vversion版本），核心技术属于美国。版本），核心技术属于美国。nIPv4的地址位数为的地址位数为32位，其最大问题是网络地址资源位，其最大问题是网络地址资源有限，从理论上讲，有限，从理论上讲，

21、IPv4技术可使用的技术可使用的IP地址有地址有43亿亿个，其中北美占有个，其中北美占有3/4，约，约30亿个，而人口最多的亚亿个，而人口最多的亚洲只有不到洲只有不到4亿个，中国只有亿个，中国只有3千多万个，只相当于美千多万个，只相当于美国麻省理工学院的数量。地址不足，严重地制约了我国麻省理工学院的数量。地址不足，严重地制约了我国及其他国家互联网的应用和发展。国及其他国家互联网的应用和发展。25IPv6nIPv6（Internet Protocol Version 6，互联网协议第，互联网协议第6版），版），采用采用128位地址长度，按保守方法估算位地址长度，按保守方法估算IPv6实际可分配的

22、实际可分配的地址，整个地球的每平方米面积上仍可分配地址，整个地球的每平方米面积上仍可分配1000多个地多个地址。在址。在IPv6的设计过程中除了一劳永逸地解决了地址短的设计过程中除了一劳永逸地解决了地址短缺问题以外，还考虑了在缺问题以外，还考虑了在IPv4中解决不好的其它问题，中解决不好的其它问题，主要有端到端主要有端到端IP连接、服务质量（连接、服务质量（QoS）、安全性、多）、安全性、多播、移动性、即插即用等。播、移动性、即插即用等。26IPv6nIPv6也会造成大量的也会造成大量的IP地址浪费。使用地址浪费。使用IPv6的网络并没有的网络并没有2128-1个能充分利用的地址。首先，要实现

23、个能充分利用的地址。首先，要实现IP地址的自动地址的自动配置，局域网所使用的子网的前缀必须等于配置，局域网所使用的子网的前缀必须等于64，但是很少，但是很少有一个局域网能容纳有一个局域网能容纳264个网络终端；其次，由于个网络终端；其次，由于IPv6的地的地址分配必须遵循聚类的原则，地址的浪费在所难免。址分配必须遵循聚类的原则，地址的浪费在所难免。n但是，如果说但是，如果说IPv4实现的只是人机对话，而实现的只是人机对话，而IPv6则扩展到则扩展到任意事物之间的对话，它不仅可以为人类服务，还将服务任意事物之间的对话，它不仅可以为人类服务，还将服务于众多硬件设备，如家用电器、传感器、远程照相机、

24、汽于众多硬件设备，如家用电器、传感器、远程照相机、汽车等，它将是无时不在、无处不在的深入社会每个角落的车等，它将是无时不在、无处不在的深入社会每个角落的真正的宽带网，而且它所带来的经济效益将非常巨大。真正的宽带网，而且它所带来的经济效益将非常巨大。27 NATNAT 的应用环境：的应用环境：n情况情况1：一个企业不想让外部网络用户知道自己的网：一个企业不想让外部网络用户知道自己的网络内部结构，可以通过络内部结构，可以通过NAT将内部网络与外部将内部网络与外部Internet 隔离开，则外部用户根本不知道通过隔离开，则外部用户根本不知道通过NAT设设置的内部置的内部IP地址。地址。 n情况情况2

25、：一个企业申请的合法：一个企业申请的合法Internet IP地址很少，而地址很少，而内部网络用户很多。可以通过内部网络用户很多。可以通过NAT功能实现多个用户功能实现多个用户同时公用一个合法同时公用一个合法IP与外部与外部Internet 进行通信。进行通信。 283.3 防火墙的分类防火墙的分类v 包过滤型包过滤型v 代理服务器型代理服务器型29包过滤型防火墙包过滤型防火墙n包过滤型的技术依据是网络中的分包传输技术。网络上包过滤型的技术依据是网络中的分包传输技术。网络上的数据都是以的数据都是以“数据包数据包”为单位进行传输的，数据被分割为单位进行传输的，数据被分割成一定大小的数据包，每一个

26、数据包中都包含诸如数据成一定大小的数据包，每一个数据包中都包含诸如数据源地址、目标地址、源地址、目标地址、TCP/UDP端口号等特定信息。端口号等特定信息。n包过滤型防火墙在网络间相互连接的设备上加载允许包过滤型防火墙在网络间相互连接的设备上加载允许（或禁止）来自某些特定的源地址、目标地址、（或禁止）来自某些特定的源地址、目标地址、TCP端端口号等规则，通过读取数据包中的信息并与系统管理员口号等规则，通过读取数据包中的信息并与系统管理员制定的规则表进行对比，对通过设备的数据包进行检查，制定的规则表进行对比，对通过设备的数据包进行检查，限制数据包进出内部网络。限制数据包进出内部网络。 30包过滤

27、型防火墙包过滤型防火墙优点：优点： 廉价廉价 逻辑简单，易于安装和使用逻辑简单，易于安装和使用31包过滤型防火墙包过滤型防火墙缺点：缺点：安全控制层次在网络层，只能根据数据包的安全控制层次在网络层，只能根据数据包的源地址、源地址、目标地址和端口号等信息进行判断，不能判断高级协目标地址和端口号等信息进行判断，不能判断高级协议里的数据是否有害，无法识别基于应用层的恶意入议里的数据是否有害，无法识别基于应用层的恶意入侵，例如侵，例如恶意的恶意的Java小程序小程序以及现在比较流行的通过以及现在比较流行的通过电子邮件中附带病毒等。电子邮件中附带病毒等。因为数据包的源地址、目标地址、端口号等信息在数因为

28、数据包的源地址、目标地址、端口号等信息在数据包的头部，有经验的黑客很容易通过窃听和假冒，据包的头部，有经验的黑客很容易通过窃听和假冒，骗过包过滤型的防火墙。所以包过滤型防火墙只能进骗过包过滤型的防火墙。所以包过滤型防火墙只能进行较为初步的安全控制。行较为初步的安全控制。32代理服务器型防火墙代理服务器型防火墙n代理服务器作为一个为用户保密或者突破访问限制的数代理服务器作为一个为用户保密或者突破访问限制的数据转发通道，在网络上应用广泛。据转发通道，在网络上应用广泛。n一个完整的代理设备包含一个服务端和客户端，服务端一个完整的代理设备包含一个服务端和客户端，服务端接收来自用户的请求，调用自身的客户

29、端模拟一个基于接收来自用户的请求，调用自身的客户端模拟一个基于用户请求的连接到目标服务器，再把目标服务器返回的用户请求的连接到目标服务器，再把目标服务器返回的数据转发给用户，完成一次代理工作过程。数据转发给用户，完成一次代理工作过程。n在一台代理设备的服务端和客户端之间连接一个过滤措在一台代理设备的服务端和客户端之间连接一个过滤措施的思想造就了施的思想造就了“应用代理应用代理”防火墙，这种防火墙实际上防火墙，这种防火墙实际上就是一台小型的带有数据检测过滤功能的透明代理服务就是一台小型的带有数据检测过滤功能的透明代理服务器，但是它并不是单纯的在一个代理设备中嵌入包过滤器，但是它并不是单纯的在一个

30、代理设备中嵌入包过滤技术，而是一种被称为技术，而是一种被称为“应用协议分析应用协议分析” 的新技术。的新技术。33代理服务器型防火墙代理服务器型防火墙优点：优点：“应用协议分析应用协议分析”技术工作在技术工作在OSI模型的最高层模型的最高层应用应用层，在这一层里能接触到的所有数据都是最终形式，也层，在这一层里能接触到的所有数据都是最终形式，也就是说，代理防火墙就是说，代理防火墙“看到看到”的数据和我们看到的是一样的数据和我们看到的是一样的，而不是一个个带着地址、端口协议等原始内容的数的，而不是一个个带着地址、端口协议等原始内容的数据包，因而它可以实现更高级的数据检测过程。代理防据包，因而它可以

31、实现更高级的数据检测过程。代理防火墙不仅能根据数据层提供的信息判断数据，更能像管火墙不仅能根据数据层提供的信息判断数据，更能像管理员分析服务器日志那样理员分析服务器日志那样“看看” 内容辨危害。内容辨危害。34由于工作在应用层，防火墙还可以实现双向限制，在过由于工作在应用层，防火墙还可以实现双向限制，在过滤外部网络有害数据的同时也监控着内部网络的信息，滤外部网络有害数据的同时也监控着内部网络的信息，管理员可以配置防火墙实现一个身份验证和连接时限的管理员可以配置防火墙实现一个身份验证和连接时限的功能，进一步防止内部网络信息泄漏的隐患。功能，进一步防止内部网络信息泄漏的隐患。由于代理防火墙采取代理

32、机制进行工作，内外部网络之由于代理防火墙采取代理机制进行工作，内外部网络之间的通信都需先经过代理服务器审核，通过后再由代理间的通信都需先经过代理服务器审核，通过后再由代理服务器连接，根本没有给分隔在内外部网络两边的计算服务器连接，根本没有给分隔在内外部网络两边的计算机直接会话的机会，可以避免入侵者使用机直接会话的机会，可以避免入侵者使用“数据驱动数据驱动”攻攻击方式（一种能通过包过滤型防火墙规则的数据报文，击方式（一种能通过包过滤型防火墙规则的数据报文，但是当它进入计算机处理后，却变成能够修改系统设置但是当它进入计算机处理后，却变成能够修改系统设置和用户数据的恶意代码）渗透内部网络，可以说，和

33、用户数据的恶意代码）渗透内部网络，可以说，“应应用代理用代理”是比包过滤技术更完善的防火墙技术。是比包过滤技术更完善的防火墙技术。35代理服务器型防火墙代理服务器型防火墙缺点：缺点：n由于基于代理技术，通过防火墙的每个连接都必须建立在为由于基于代理技术，通过防火墙的每个连接都必须建立在为之创建的代理程序进程上，代理进程自身就要消耗一定时间，之创建的代理程序进程上，代理进程自身就要消耗一定时间，更何况代理进程里还有一套复杂的协议分析机制在同时工作，更何况代理进程里还有一套复杂的协议分析机制在同时工作，于是数据在通过代理防火墙时不可避免的发生数据迟滞现象。于是数据在通过代理防火墙时不可避免的发生数

34、据迟滞现象。代理防火墙是以牺牲速度为代价换取了比包过滤防火墙更高代理防火墙是以牺牲速度为代价换取了比包过滤防火墙更高的安全性能，在网络吞吐量不是很大的情况下，也许用户不的安全性能，在网络吞吐量不是很大的情况下，也许用户不会察觉到什么，但是在数据交换频繁时，代理防火墙就成了会察觉到什么，但是在数据交换频繁时，代理防火墙就成了整个网络的瓶颈，而且一旦防火墙的硬件配置支撑不住高强整个网络的瓶颈，而且一旦防火墙的硬件配置支撑不住高强度的数据流量而发生罢工，整个网络可能会因此瘫痪。度的数据流量而发生罢工，整个网络可能会因此瘫痪。n所以，代理防火墙的普及范围还远远不及包过滤型防火墙，所以，代理防火墙的普及

35、范围还远远不及包过滤型防火墙，而在软件防火墙方面更是几乎没见过类似产品而在软件防火墙方面更是几乎没见过类似产品单机并不单机并不具备代理技术所需的条件，所以就目前庞大的软件防火墙市具备代理技术所需的条件，所以就目前庞大的软件防火墙市场来说，代理防火墙很难有立足之地。场来说，代理防火墙很难有立足之地。363.4 防火墙的选择原则防火墙的选择原则v 一、购买成本一、购买成本n其总拥有成本不应该超过受保护的网络系统可能遭其总拥有成本不应该超过受保护的网络系统可能遭受的最大损失。受的最大损失。n充分考虑性能价格比，应该根据自己系统的具体应充分考虑性能价格比，应该根据自己系统的具体应用和要求来选购防火墙产

36、品，避免大材小用，一般用和要求来选购防火墙产品，避免大材小用，一般小型电子商务系统使用包过滤型防火墙就可以了，小型电子商务系统使用包过滤型防火墙就可以了，但是当建设一个大型的电子商务系统时，就需要考但是当建设一个大型的电子商务系统时，就需要考虑使用代理服务器型的防火墙。虑使用代理服务器型的防火墙。373.4 防火墙的选择原则防火墙的选择原则v 二、服务和培训二、服务和培训n人员培训和日常维护费用通常在总成本中占据了人员培训和日常维护费用通常在总成本中占据了较大的比例，一个优秀的防火墙产品供应商必须较大的比例，一个优秀的防火墙产品供应商必须为其用户提供良好的培训和售后服务。为其用户提供良好的培训

37、和售后服务。383.4 防火墙的选择原则防火墙的选择原则v 三、可管理性和可扩展性三、可管理性和可扩展性n防火墙产品的方便易用性对一个网络安全系统来说也是极防火墙产品的方便易用性对一个网络安全系统来说也是极为重要的，它可以大大减轻系统管理人员的工作强度。为重要的，它可以大大减轻系统管理人员的工作强度。n在系统建设初期，由于规模较小，遭受攻击的损失不大，在系统建设初期，由于规模较小，遭受攻击的损失不大，所以不需要购买过于复杂和昂贵的防火墙产品。随着系统所以不需要购买过于复杂和昂贵的防火墙产品。随着系统规模不断扩大，风险成本随之增加，需要配置具有更高安规模不断扩大，风险成本随之增加，需要配置具有更

38、高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性全性的防火墙产品。如果早期购置的防火墙没有可扩充性或扩充性不强的话，将造成投资的极大浪费。好的防火墙或扩充性不强的话，将造成投资的极大浪费。好的防火墙产品应该留给用户足够的弹性空间，使用户能够根据自己产品应该留给用户足够的弹性空间，使用户能够根据自己的需要选择合适的产品，这样不仅保护了用户的投资，而的需要选择合适的产品，这样不仅保护了用户的投资，而且也扩大了产品的覆盖面。且也扩大了产品的覆盖面。393.4 防火墙的选择原则防火墙的选择原则v 四、四、NATNAT技术技术n防火墙产品应能支持所有的防火墙产品应能支持所有的NAT技术，对内部地址进技术，对内部地址进行转换，使外部网络无法了解内部网络的结构。同时，行转换，使外部网络无法了解内部网络的结构。同时，使用使用NAT技术的网络与外部网络的连接只能由内部网技术的网络与外部网络的连接只能由内部网络提出，极大提高了内部网络的安全性。络提出，极大提高了内部网络的安全性。40主要内容：主要内容：n1、网络设施、网络设施n2、电子商务系统与、电子商务系统与Internet的连接方式的连接方式n3、防火墙、防火墙41演讲完毕，谢谢观看！