(4)防火墙要设在网络的要塞点上,它是达到网络安全的有效手段之一,因此,应尽可能将安全措施都集中到这一点上。
(5)防火墙应具有强制安全策略实施的能力。
(6)根据工作需要,防火墙可以记录网络内、外通信时所发生的一切信息。
总之,防火墙限制了可能产生的网络安全问题,避免了整个网络灾难的发生。
二、防火墙技术
防火墙技术在OSI参考模型中可分为上下两类:即网络层和应用层。
网络层技术保护整个网络不受非法入侵。网络层技术的一个范例就是包过滤技术,它简单地检查所有进入网络的信息,并将不符合标准的数据丢掉。网络层防火墙采用的另一种技术就是授权服务器,由它来验证用户登录的身份。
应用层技术主要控制对应用程序的访问,采用代理服务器技术。代理服务器允许对某些程序的访问,如HTTP;而阻止对其他应用程序的访问,如FTP等。
逐包检查
“包”是什么?简单说,“包”是信息流动的一种单位。在网络上信息流动可以用比特计量、可以用字节计量、也可以用包计量等。一个“包”含有多个字节,“包”是信息传输的主要计量单位。
你知道邮包吗?信息包与邮包是相似的,只不过邮包中是物品,通过邮局邮寄;而信息包中是信息,通过互联网传递。
在网络文件信息传送中,当一个文件从一台计算机传递到另一台计算机上时是把这个文件分成一串包来实现的。不同网络系统采用不同的网络技术,所以,它的包大小也是不一样的。包被传送到目的地之后,可按事先的约定重新组合成文件。
每个包由两部分组成:文件的数据部分和标头。打个比方,假设“包”是一封信,数据就是信封里的信,而信封上的收信人的地址就是标头。像邮局按信封上的地址分发信件一样,包过滤器是按标头中的信息来分发(称过滤)包的。
从技术上讲,一个包应有三个标头信息,每一个标头信息对应七层网络协议中下三层协议的某一层协议。
(1)传输层。它包括传输控制协议(TCP),用户数据报协议(UDP)或Internet控制信息协议(ICMP)。
(2)Internet层包括Internet协议(IP)。
(3)网络访问层。它包括以太网、FDDI网等包过滤器使用的IP报头。
路由器通过将报头信息与网络管理员在路由器上设定的“规则表”进行比较来确定是否把包送到目的地;如果有一条规则不允许发送某个包,则路由器便将它丢弃。
路由器设置在内网和外网(通常为Internet,但也可能是内部网络的一部分)之间,它用来过滤某一方向或双向的网络通信。信息包从被保护网络中发到网络外界的传输信息包叫做外发包,反方向发来的信息包叫做进入包。
路由器按路由表中设定的规则对每一个包进行检查,从第一条规则开始,直到找到对该包合适的一条规则或直到用完所有规则为止。
如在一个路由器的路由表中设置了三条规则:
(1)如果有一条规则阻塞该包传输或接收,则不允许该包通过(不允许接收任何到Wang Tao的包)。
(2)如果有一条规则允许包传输或接收:则允许该包通过(接收所有发到Ling Li处的包)。
(3)如果有不满足上述任何一条规则的包进入,则该包可能被阻塞,也可能被通过。这取决于上述两条是否明确被禁止或被允许(如果该包是发给Liu Fang的,则允许通过)。
我们看一下,包过滤是如何实现的。
(1)路由器收到一个发给Ling Li的数据包,路由器检查规则1,此包不符合这条规则,然后再检查规则2,符合这一条规则,路由器便将这个包传输到目的地,而不必再检查余下的规则。
(2)当查完所有规则而都不符合时,不同的路由器有不同的做法。有些路由器的做法是放弃这些包,而有些路由器则不放弃。为安全起见,应该在表中设立最后一条规则:放弃任何不符合上述规则的信息包。
在实际应用中,“规则表”中可能有许多规则,有的可达几百条规则,这些规则可能以更多的标头信息元素为基础。这些规则只用于进入包。
由于路由器是介于内部局域网和外部网络之间的设备,外部信息进入内部网络的信息包和内部网络进入外部网络的包都要经过路由器,所以,包过滤对内部网络系统的信息包和对外部的信息包都要过滤。但是,包过滤的设计原则是有利于内部网络的,所以,在包过滤装置两侧所执行的过滤规则是不相同的,就是说,包规则是不对称的。
下面我们给出包过滤规则表的一个简单范例。
假定规则表如下:
规则1:不允许来自特定主机(经验证明有这样或那样问题的计算机系统,下称“有问题计算机”)上的信息包通过。
规则2:允许位于主机上的端口25连接进入邮件网关(用SMPT)。
规则3:阻止一切包通过。
一个信息包到达路由器时,工作过程如下:
(1)包过滤器从信息包的标头中取出需要的信息。
(2)包过滤器将这些信息与“规则表”中的规则相比较。
(3)如果这个包来自某些特定主机(即“有问题的计算机”系统),无论它的目的地是哪里,都将被丢弃。
(4)如果信息包通过了第一条规则(信息包不是来自“有问题的计算机”系统),检查它是否到我们的SMTP-.Mail主机,如果是去SMTP-Mail主机的信息包,则将它送到目的地,否则将包丢弃。
(5)如果前两条规则都不符合,根据规则3,这个包将被丢弃。
注意!在这里,路由器上的规则顺序是非常重要的,如果规则顺序不一样,则可能出现完全不同的信息包传送结果。
请看!
如果我们把规则1和规则2的顺序调换一下,则情况如下:
来自“有问题的计算机”的信息包去到SMTP-Mail主机端口25。
该包首先因为符合规则1的标准而获得通过。但它违背了拒绝所有来自“有问题计算机”的包的规则。
代理服务器
防火墙技术的另一个类别是应用层技术,这一类的设备称为应用网关。
代理服务器是代表一个应用程序而运行的软件,这个应用程序实现从一个网络到另一个网络的通信,代理服务器软件可以独立地在一台计算机上运行,也可以与其他软件(诸如包过滤器)在同一台计算机上运行。
代理服务器如同一个内部网络与外部网络之间的边界检查站,两边都可以通过代理服务器相互通信,但它们不能越过代理服务器而自行进行通信,代理服务器接收来自两边的通信,检查并确认这一通信是否授权通过,如果授权通过,则启动到达通信目标的连接,否则关闭到达通信目标的连接。
应用网关还有另外的功能。它能记录通过它们的一切信息,如什么样的用户在什么时间连接了什么站点,这对识别网络间谍是十分有价值的信息。
应用网关还能存储Internet上被频繁使用的页面。当用户请求的页面在服务器的缓存中时,服务器本身就能提供这些页面,从而使网络响应用户服务的速度更快。
代理服务器甚至可以检查信息包的内容,并根据用户想干什么来决定允许或拒绝连接。代理服务器需要一台高性能的计算机系统,否则将可能形成网络通信的瓶颈。
没有工人的工厂
工人为工厂工作,工厂的部分价值要维持工人的生活,剩余价值扩大再生产,并上缴利税,这便是工厂利润的一般分配方法。
现在,有些工人下岗,一部分是因为企业在竞争中不景气,利润维持不了开销,所以,工人才不得不下岗。
你可知道,还有的工厂,经过改进,全部自动化,过去要几千人,现在只要几十人,甚至几个人。那么余下的人就只好自谋出路了。
日本富士通纳克公司,坐落在富士山脚下,工厂生产很红火,但是没有噪音。这座机械厂生产数控机床、电火花切割机床和机械手。走进工厂人们看到的是,机械手在进行装配,自动搬运车按照各自的路线往返穿梭地搬运原料和零件,运行有头有序,互不干扰。在生产线上,许多计算机控制的机器人,能快速而准确地完成各种各样操作,而且不知疲劳,也不会大意和马虎。
那么,这样的工厂怎样进行自动化生产呢?
在计算机的应用中,有一个领域叫做计算机控制,它主要研究工业生产怎样应用计算机来控制各种生产设备,使自动化程度提高,能够全面自动化生产。
计算机自动化控制系统,一般分为三个部分。
一部分是自动检测,或者叫做数据传感。例如,计算机要控制机床,在机床加工零件时,它不断检查需要的零件形状、尺寸,看看是否达到标准要求。
第二部分是数据处理。计算机将检测的数据进行分析,通过这些数据来了解零件处于什么状态,然后决定怎样操作。
第三部分是控制操作,就是计算机的控制线。它和机器上的各种开关相连,使计算机能根据不同情况,对机器的操作进行控制。
富士通纳克公司的这座自动化工厂,每月生产数控机床100台,电火花机床100台,各种机械50台,年产值达到180亿日元。
这座工厂除了一千多名设计、营销和负责技术监督和设备维修的技术人员外就没有别的工人,然而完成的任务却比其他工厂还好。你瞧,如果工人没有高的素质,根本操作不了。电子出版系统
蔡伦发明了造纸术,毕昇发明了活字印刷。纸的发明,送走了竹简和丝帛记事的时代;活字印刷,改变了雕版印刷的落后局面。这是中国古代对世界的重大贡献。胶泥活字以后出现了铅字,使出版业大大进步;出现了机器印刷,使出版业迅速发展。
小平版机、轮转机以及现用的胶印机等,加速了出版业的发展。
现代出版工作包括出版、印刷、发行三个部分,每个部分也都运用了计算机,就是发行,不是也可以用互联网吗?
今天我们说的出版系统,是指报刊、图书编辑部门的工作,主要包括组稿、审稿、编辑加工、出版设计和校对等各项工作。
那么电子出版系统是怎样工作呢?
电子出版系统由电子计算机、图像扫描仪和激光打印机(或精密照排机)等组成。
电子出版系统能够完成从文稿录入、编辑排版,直到纸张或底片输出符合编辑意图和出版计划要求的版面。
那么,电子出版系统有什么优点呢?
电子出版系统能输出质量高,字体、字号、花边齐全能满足各种要求的版面。
现在,用电子计算机处理版面,还可以直接印刷,实际上就是一种复印过程。
数字式印刷系统大大加快了印刷速度,有的印刷速度在1小时2000张以上,有的高达1小时8000张,能直接制版和打样。
你看,现代出版系统多么高级。
电脑织机
过去,我们穿一件毛衫,要用手工去织。一个熟练的织工织一件毛衫也要三五天的时间。
出现了手工织机以后,编织毛衫的速度快多了。但是,仍旧需要人工拖拉,不但笨重,而且编制的花样也此较单调,同时浪费了劳动力。
电子计算机的出现,在织机上发挥了应有的作用。
电脑控制的织机,速度很快,几十分钟甚至十几分钟就可以织出一件毛衫,而且可以编制任意的图形,并能放大或缩小。这种织机一旦要变换产品花样,只要改变存储信息,立即就可以完成。
不仅如此,电脑织机还可以对生产情况进行监督,如果发生断线或者不合规格,会立即提出修正。这种织机已广泛用于人造毛皮及毛衫提花等织物。
一些制衣厂采用电脑织机,不仅节约了劳动力,而且使织物更加合乎理想要求,使生产成本降低,提高了市场的竞争力。
令人眼花缭乱的是,一台计算机可以控制一群(几台到几十台)针织机。每台织机可以编织出不同的织物。例如,有的可以编织袜子,有的可以织帽子,还有的可以编织内衣等等。
缝纫机曾经是制衣厂的主要机器,也是家庭妇女的理想帮手。但是,过去要人工用脚去蹬使其转动。使用机器以后,可以少消耗体力,转速均匀,大大提高了效率。但是,花样品种仍旧需要人控制。
电脑缝纫机问世以后,储存着多种图案和花样,只要触按你所需要的花样键盘,缝纫机就会按要求自动缝制顾客满意的衣服式样,而且,图案可以放大或缩小,还可以相互组合。使用时,只要根据需要,输入缝制方式或花样序号,便可以按人的意愿出成品。
电脑织机不仅在工厂广泛使用,也可以在家庭使用。如果你拥有一台电脑织机,不仅随时为自己缝织一件合体的衣服,而且还可以对外加工,赚取惠利。
电脑的确为人们开辟了生财之道。
