流量攻击软件voip_流量攻击防护

导航：

• 1、VOIP是什么意思？
• 2、VoIP是什么意思？
• 3、详细介绍一下VOIP的本地落地网关?
• 4、DDOS攻击 流量攻击 DDOS软件怎么弄？
• 5、手机软件：移动VoIP软件中文版
• 6、VoIP 网关

VOIP是什么意思？

基于IP的语音传输（英语：Voice over Internet Protocol，缩写为VoIP）是一种语音通话技术，经由网际协议（IP）来达成语音通话与多媒体会议，也就是经由互联网来进行通信。

其他非正式的名称有IP电话（IP telephony）、互联网电话（Internet telephony）、宽带电话（broadband telephony）以及宽带电话服务（broadband phone service）。

VoIP可用于包括VoIP电话、智能手机、个人计算机在内的诸多互联网接入设备，通过蜂窝网络、Wi-Fi进行通话及发送短信。

扩展资料：

特点

1、无需电脑。不会像电脑一样，因为中病毒，或者操作系统故障，导致不能正确使用。

2、适合保障长时间在线。内网互打，关键是要保持在线。

3、加密通讯。

4、音质清晰。语音处理采用国际先进的语音处理芯片，有效解决回音消除，数据包丢失、网络抖动产生的问题。比软件电话的音质普遍要高。

5、 成本价格低廉，可以随意改号，显示号码。

6、可监控，可录音，支持三方通、密语、来电转接等功能。

VoIP是什么意思？

VoIP（Voice over Internet Protocol）简而言之就是将模拟声音讯号(Voice)数字化，以数据封包(Data Packet)的型式在 IP 数据网络 (IP Network)上做实时传递。 VoIP最大的优势是能广泛地采用Internet和全球IP互连的环境，提供比传统业务更多、更好的服务。 VoIP可以在IP网络上便宜的传送语音、传真、视频、和数据等业务，如统一消息、虚拟电话、虚拟语音/传真邮箱、查号业务、Internet呼叫中心、Internet呼叫管理、电视会议、电子商务、传真存储转发和各种信息的存储转发等。

VoIP(Voice over Internet Protocol)是一种以IP电话为主，并推出相应的增值业务的技术。 VoIP最大的优势是能广泛地采用Internet和全球IP互连的环境，提供比传统业务更多、更好的服务。VoIP相对比较便宜。为什么？ VoIP电话不过是互联网上的一种应用。网络电话不受管制。因此，从本质上说，VoIP电话与电子邮件，即时讯息或者网页没有什么不同，它们均能在经过了互联网连接的机器间进行传输。这些机器可以是电脑，或者无线设备，比如手机或者掌上设备等等。 为什么VoIP服务有些要收钱，有些却免费？ VoIP服务不仅能够沟通VoIP用户，而且也可以和电话用户通话，比如使用传统固话网络以及无线手机网络的用户。对这部分通话，VoIP服务商必须要给固话网络运营商以及无线通讯运营商支付通话费用。这部分的收费就会转到VoIP用户头上。网上的VoIP用户之间的通话可以是免费的。 使用VoIP，你需要做些什么？ 你需要有互联网连接。这可以是最基本的拨号上网服务，或者更理想的宽带服务，你的网络连接速度越快，VoIP的通话质量就越好。例如，高速宽带连接能够令你一面打电话，一面上网冲浪。 你还需要VoIP软件。用户可以选择一种VoIP软件软件安装至台式电脑或笔记本电脑上。然后，电脑就可以进行网上通话了。 如果用户想要将自己的家庭电话转化为VoIP拨号系统，他需要适配器的帮助。VoIP软件可以单独预装在一种名为“模拟电话适配器”（analog telephone adapter）的硬件设备中，模拟电话适配器主要安装于家庭电话与宽带调制解调器之间。

在未来的3到5年，2009年的中国VoIP市场流量将达到9950亿分钟，而具有更强大实力的新VoIP服务供应商也会涌入市场。无线VoIP在不久的将来会与传统无线通信实现并存和竞争的关系，而不是对传统无线通信的一种廉价替代物

编辑本段话音编码方案

目前世界多个标准组织和工业实体提出了很多话音编码方案。其中包括国际电信联盟的G.711(速率64kbps)，G.723.1(速率5.3kbps或者6.3kbps)，G.729A(速率8kbps)编码方案。微软、Intel等业界巨头也有自己的编码方案。

详细介绍一下VOIP的本地落地网关?

实际上，没有什么简单的解决方法可以有效确保VoIP的绝对安全，不过还是有些办法可以尽量减小风险、改进整体的安全策略。

安全问题对语音服务而言根本不是什么新鲜事。几十年来，传统电话系统就饱受话费欺诈之困扰。如今，一些企业出于对安全问题的担忧而对安装IP语音（VoIP）系统犹豫不决，而另一些企业却在没有解决安全问题的前提下贸然行事。大多数行业的分析师估计，今年企业新安装的语音电话至少有一半将会是VoIP手机，这意味着你可能很快就会面临语音安全问题，如果不正视这些问题，你的系统就会随时遭到攻击。

说到如何有效地确保VoIP 安全，根本没有灵丹妙药，但必须把这方面的安全作为整体安全策略的一部分来考虑。因为如今VoIP应用已成为IP网络的一部分，如果IP网络已经落实了良好的安全措施，整个网络安全系数越高，那么攻击者进行窃听、发动拒绝服务（DoS）攻击或者闯入VoIP系统中的操作系统或者应用系统的难度就会越大。

一开始就让安全小组参与VoIP项目也非常重要。语音小组和数据小组也根本犯不着卷入地盘之争。毕竟，现在它们应当作为一个团队开展工作。

遵守一系列的严格规定

主要的VoIP安全策略很简单: 首先，在你确保各种VoIP部件和因特网之间没有任何通信之前，不要把这些设备接入网络。其次，不要允许与因特网及VoIP系统进行联系的PC之间有任何通信。这是因为，PC特别容易受到攻击，可能会被用来闯入VoIP系统，或者对语音应用发动拒绝服务攻击。它们还会强行利用VoIP电话从事话费欺诈、暗中窃听或者冒充他人等勾当。

如果你无法遵守这项策略，就要确保每个人都知道其中的风险，并且落实了相应的对策以缓解风险。这就要求清楚地知道安全、系统架构以及有关的VoIP协议。

要实施安全策略，第一步就是把所有VoIP电话放在单独的虚拟局域网（VLAN）上，并且使用不可路由的RFC 1918地址。大多数VoIP电话都有内置的交换机，支持802.1p/Q虚拟局域网标准。这样一来，就有可能在桌面系统和距离最近的布线室交换机之间建立虚拟局域网，而布线室交换机可以通过网络进行延伸。

如果语音用户的PC被接到电话的交换机上，你就可以自始至终地让语音和数据在不同的虚拟局域网上传输。记住一点: 虚拟局域网无法彼此联系，除非彼此之间有路由，所以这是确保语音和数据分开的一个办法。你还可以使用访问控制列表（ACL）防止虚拟局域网之间进行通信，作为保护语音的另一道安全层。让语音和数据在不同的虚拟局域网上传输，还可以简化为VoIP流量配置服务质量（QoS）。随后只是为VoIP虚拟局域网赋予优先级的问题而已，如果你通过路由器传输，仍需要第三层服务质量。

服务质量通常与确保性能联系在一起，不过它在安全方面也起到关键作用。在不同逻辑虚拟局域网上传输的语音和数据仍使用相同的物理带宽。这意味着，即便PC被病毒或者蠕虫感染、这些PC进而向网络发送大批流量，VoIP流量仍能够在共同的物理带宽上获得优先权，因而就不会沦为拒绝服务攻击的受害者。与此同时，ACL和防火墙可以阻止VoIP系统访问因特网，反之亦然。

虚拟局域网还可以缓解有人窃听电话的现象。如果语音包被人用分析仪获取，重放语音就轻而易举。IP具有的移动性和灵活性使得它容易受到“中间人攻击”，即地址解析协议（ARP）被用来强制流量通过某台PC传输，然后就能获取这些流量。虚拟局域网可以阻止有人从外面发动攻击，但内部攻击比较难以预防。内部人只要把某台PC接入墙上的插座，对PC进行配置，成为VoIP虚拟局域网的一部分，就可以发动攻击。要防止这种破坏，最好的办法就是购买具有强加密功能的VoIP电话，而这种方法要奏效，每只电话都要有加密功能。

你还需要在电话和通向公共交换电话网络（PSTN）的网关之间进行加密。如今VoIP电话厂商开始把媒体加密和信令加密功能融入各自的设备当中。譬如说，Avaya声称它的所有电话现在都支持加密功能; 而北电网络公司声称，它的电话很快也具有同样的功能。加密还可以挫败需要对基础设施获得物理访问权的其他类型的窃听，譬如利用交换机的端口镜像，或者利用以太网接头接入某条以太网连接线。

当然，加密以增加时延为代价。这对普通局域网来说不成问题，但对广域网来说可能会成问题。要考虑的另一个因素就是，如果对电话之间传输的信号进行加密（这在应用层实现），工作在应用层的防火墙就很难对加密信号进行解密。

虽然防火墙必不可少，但别以为它们能够胜任各项工作。VoIP协议很难过滤。尽管会话初始化协议（SIP）是VoIP信号传输标准，但许多厂商采用的却是专有的信令协议，而防火墙必须理解这些协议。

实时协议（RTP）用于传输实际的语音媒体，不过有一系列众多的端口动态分配给了每路呼叫。信令协议会表明应使用哪个RTP端口用于某路呼叫。一款好的防火墙会从信令协议处接到该指示，随后开启某个端点的IP地址所必需的那个端口。然而，不是所有的防火墙都具有这种功能。有些只是开启某段范围的端口，所以要确保你对防火墙的运行情况了如指掌。

有些防火墙必须处理专用地址和网络地址转换（NAT），这样一来，保护VoIP的安全难度就更大了，如果处理的请求是针对采用专用地址的某个端点，更是如此。了解信令协议的防火墙能跟踪用户注册登记的最新地址，然后相应地为请求安排路由。Check Point软件技术公司声称，其最新款的FireWall-1具有这种功能，可以提供最低程度的安全接入。

另一个办法就是把防火墙放置在专门为IP语音设计的VoIP系统前面。譬如说，Ingate公司的防火墙就是为基于SIP的VoIP系统而设计。Ingate最近宣布，如今其产品已通过了认证，能够与Avaya公司的基于SIP的产品协同工作。确保你实施的VoIP系统基于SIP，那样以后需要安全选项功能时不至于只能求助于你现有的VoIP厂商。

另外还要当心，防火墙可能会带来时延，从而成为性能方面的一个瓶颈。

支持VoIP的服务器每个都有各自的操作系统，而这些操作系统又存在许多相关漏洞，所以你必须确保把服务器放到你的网络上之前，它们都已打上了补丁。注意时时打上最新补丁，还要认真限制对它们的访问。每个IP电话其实也是一台电脑，有着自己的应用软件和操作系统，所以对你的电话也要采取同样的防范措施，并确保电话带有良好的补丁管理系统。

一些例外情况

有些应用可能会让你考虑打开语音虚拟局域网和数据虚拟局域网之间的通信通道。譬如说，大多数VoIP厂商提供的桌面客户系统能够管理VoIP电话，并且提供丰富的用户状态信息。许多厂商提供的客户端还可以让你监控其他系统用户的电话和即时通信（IM）状态，并且发布你自己的状态信息。这些特性需要桌面系统和VoIP系统之间进行一定的直接联系，所以你要想办法安全地实现这项功能。

说到这里，使用防火墙最为稳妥。做法是，提供最低程度的接入权限，不允许PC在无意中成为用来搜寻VoIP系统中存在漏洞的平台。但如果蠕虫占用了网络上的大量带宽，PC和布线室之间的连接上所用的这些应用就无法得到保护，因为数据来自PC，因而会在数据虚拟局域网上传输。不过好消息是，VoIP电话的通信将得到保护，只要你实施了服务质量。但如果你在PC上使用的仅仅是软电话，就没有办法为PC和布线室交换机之间的语音包提供服务质量。

如果你的远程办公人员要通过因特网访问IP PBX，虚拟专用网（VPN）显然是防止窃听的解决办法。Zultys科技公司等VoIP厂商提供的产品旨在便于通过VPN访问IP PBX。Zultys的有些电话可以直接在电话到PBX之间建立一条VPN隧道。北电公司的Contivity VPN PC客户机则可以通过连接的PC，为其电话建立VPN隧道。

你最不希望把IP PBX暴露于因特网面前。如果你提供只能访问相关端口的功能，而且通过VPN进行验证，那么就可以尽量减小这个风险。当然，你还会希望在IP PBX和VPN网关之间安装一只防火墙，只允许访问被认为绝对有必要的端口。

另外，也很有必要落实相应机制，以保护你的VoIP系统免受针对应用的拒绝服务攻击。如果需要从虚拟局域网进行额外的一道验证，应当不会面临来自外部的重大危害; 但如果有人获得了访问权，从内部发动攻击可能会是个问题。譬如说，利用SIP，发送大量的“注册”请求会导致服务器无力处理请求。入侵防护系统（IPS）可以缓解这个问题，而如果IPS或者入侵检测系统（IDS）能理解SIP，就可以检测这些攻击。一款好的IPS还能够防止基于SIP的中间人攻击，以免通过另一个设备改变流量传输方向。

可以访问VoIP系统的任何桌面系统都必须加以保护。如今许多厂商提供集中管理的防火墙以及可以检查操作系统补丁及病毒更新状况的软件。这对使用IP软电话的远程办公人员来说尤为重要。

所以不要被VoIP安全问题捆住了手脚。有了可*的IP语音安全策略以及合理搭配的安全工具，没有理由错过VoIP具有的诸多优点。

DDOS攻击 流量攻击 DDOS软件怎么弄？

流量不是那么容易利用，这种软件可以学习开发的，计算机报文你懂多少代码

手机软件：移动VoIP软件中文版

软件本身是不收费的，只收流量费，给你推荐两个比较好的，Fring和talkonaut,这个两都可以语音通话的。

VoIP 网关

网关(Gateway)又称网间连接器、协议转换器。网关在传输层上以实现网络互连，是最复杂的网络互连设备，仅用于两个高层协议不同的网络互连。网关的结构也和路由器类似，不同的是互连层。网关既可以用于广域网互连，也可以用于局域网互连。网关可以说是在封包中加了TCP／IP地址协议，在软交换平台上找到对方．

网关曾经是很容易理解的概念。在早期的因特网中，术语网关即指路由器。路由器是网络中超越本地网络的标记， 这个走向未知的“大门”曾经、现在仍然用于计算路由并把分组数据转发到源始网络之外的部分，因此， 它被认为是通向因特网的大门。随着时间的推移，路由器不再神奇，公共的基于IP的广域网的出现和成熟促进了路由器的成长。 现在路由功能也能由主机和交换集线器来行使，网关不再是神秘的概念。现在，路由器变成了多功能的网络设备， 它能将局域网分割成若干网段、互连私有广域网中相关的局域网以及将各广域网互连而形成了因特网， 这样路由器就失去了原有的网关概念。然而术语网关仍然沿用了下来，它不断地应用到多种不同的功能中， 定义网关已经不再是件容易的事。

目前，主要有三种网关：

·协议网关 WNx"N

·应用网关 o:JWN

·安全网关 E-c

唯一保留的通用意义是作为两个不同的域或系统间中介的网关，要克服的差异本质决定了需要的网关类型。

什么是网关

网关曾经是很容易理解的概念。在早期的因特网中，术语网关即指路由器。路由器是网络中超越本地网络的标记， 这个走向未知的“大门”曾经、现在仍然用于计算路由并把分组数据转发到源始网络之外的部分，因此， 它被认为是通向因特网的大门。随着时间的推移，路由器不再神奇，公共的基于IP的广域网的出现和成熟促进了路由器的成长。 现在路由功能也能由主机和交换集线器来行使，网关不再是神秘的概念。现在，路由器变成了多功能的网络设备， 它能将局域网分割成若干网段、互连私有广域网中相关的局域网以及将各广域网互连而形成了因特网， 这样路由器就失去了原有的网关概念。然而术语网关仍然沿用了下来，它不断地应用到多种不同的功能中， 定义网关已经不再是件容易的事。

目前，主要有三种网关：

·协议网关 WNx"N

·应用网关 o:JWN

·安全网关 E-c

唯一保留的通用意义是作为两个不同的域或系统间中介的网关，要克服的差异本质决定了需要的网关类型。

一、协议网关

协议网关通常在使用不同协议的网络区域间做协议转换。这一转换过程可以发生在OSI参考模型的第2层、第3层或2、3层之间。 但是有两种协议网关不提供转换的功能：安全网关和管道。由于两个互连的网络区域的逻辑差异， 安全网关是两个技术上相似的网络区域间的必要中介。如私有广域网和公有的因特网。这一特例在后续的“组合过滤网关”中讨论， 此部分中集中于实行物理的协议转换的协议网关。

1、管道网关

管道是通过不兼容的网络区域传输数据的比较通用的技术。数据分组被封装在可以被传输网络识别的帧中，到达目的地时， 接收主机解开封装，把封装信息丢弃，这样分组就被恢复到了原先的格式。

管道技术只能用于3层协议，从SNA到IPv6。虽然管道技术有能够克服特定网络拓扑限制的优点，它也有缺点。 管道的本质可以隐藏不该接受的分组，简单来说，管道可以通过封装来攻破防火墙，把本该过滤掉的数据传给私有的网络区域。

2、专用网关

很多的专用网关能够在传统的大型机系统和迅速发展的分布式处理系统间建立桥梁。 典型的专用网关用于把基于PC的客户端连到局域网边缘的转换器。该转换器通过X.25网络提供对大型机系统的访问。 shoO

这些网关通常是需要安装在连接到局域网的计算机上的便宜、单功能的电路板，这使其价格很低且很容易升级。在上图的例子中， 该单功能的网关将大型机时代的硬连线的终端和终端服务器升级为PC机和局域网。

3、2层协议网关

2层协议网关提供局域网到局域网的转换，它们通常被称为翻译网桥而不是协议网关。 在使用不同帧类型或时钟频率的局域网间互连可能就需要这种转换。

(1)帧格式差异 IEEE802兼容的局域网共享公共的介质访问层，但是它们的帧结构和介质访问机制使它们不能直接互通。

翻译网桥利用了2层的共同点，如MAC地址，提供帧结构不同部分的动态翻译，使它们的互通成为了可能。 第一代局域网需要独立的设备来提供翻译网桥，如今的多协议交换集线器通常提供高带宽主干， 在不同帧类型间可作为翻译网桥，现在翻译网桥的幕后性质使这种协议转换变得模糊，独立的翻译设备不再需要， 多功能交换集线器天生就具有2层协议转换网关的功能。

替代使用仅涉及2层的设备如翻译网桥或多协议交换集线器的另一种选择是使用3层设备：路由器。 长期以来路由器就是局域网主干的重要组成部分。如果路由器用于互连局域网和广域网， 它们通常都支持标准的局域网接口，经过适当的配置，路由器很容易提供不同帧类型的翻译。 这种方案的缺点是如果使用3层设备路由器需要表查询，这是软件功能，而象交换机和集线器等2层设备的功能由硬件来实现， 从而可以运行得更快。

(2)传输率差异

很多过去的局域网技术已经提升了传输速率，例如，IEEE 802.3以太网现在有 10Mbps、100Mbps和1bps的版本， 它们的帧结构是相同的， 主要的区别在于物理层以及介质访问机制，在各种区别中，传输速率是最明显的差异。令牌环网也提升了传输速率， 早期版本工作在4Mbps速率下，现在的版本速率为16Mbps，100Mbps的FDDI是直接从令牌环发展来的，通常用作令牌环网的主干。 这些仅有时钟频率不同的局域网技术需要一种机制在两个其它方面都兼容的局域网间提供缓冲的接口，现今的多协议、 高带宽的交换集线器提供了能够缓冲速率差异的健壮的背板.1494!

2 什么是网关

如今的多协议局域网可以为同一局域网技术的不同速率版本提供内部速率缓冲，还可以为不同的802兼容的局域网提供2层帧转换。 路由器也可以做速率差异的缓冲工作，它们相对于交换集线器的长处是它们的内存是可扩展的。 其内存缓存进入和流出分组到一定程度以决定是否有相应的访问列表（过滤）要应用，以及决定下一跳， 该内存还可以用于缓存可能存在于各种网络拓扑间的速率差异.

二、应用网关

应用网关是在使用不同数据格式间翻译数据的系统。典型的应用网关接收一种格式的输入，将之翻译， 然后以新的格式发送。输入和输出接口可以是分立的也可以使用同一网络连接。

一种应用可以有多种应用网关。如Email可以以多种格式实现，提供Email的服务器可能需要与各种格式的邮件服务器交互， 实现此功能唯一的方法是支持多个网关接口。

应用网关也可以用于将局域网客户机与外部数据源相连，这种网关为本地主机提供了与远程交互式应用的连接。 将应用的逻辑和执行代码置于局域网中客户端避免了低带宽、高延迟的广域网的缺点，这就使得客户端的响应时间更短。 应用网关将请求发送给相应的计算机，获取数据，如果需要就把数据格式转换成客户机所要求的格式。

本文不对所有的应用网关配置作详尽的描述，这些例子应该概括了应用网关的各种分支。它们通常位于网络数据的交汇点， 为了充分地支持这样的交汇点，需要包括局域网、广域网在内的多种网络技术的结合。Tys

三、安全网关

安全网关是各种技术有趣的融合，具有重要且独特的保护作用，其范围从协议级过滤到十分复杂的应用级过滤。防火墙主要有三类： 分组过滤 电路网关 应用网关

注意：三种中只有一种是过滤器，其余都是网关。 这三种机制通常结合使用。过滤器是映射机制，可区分合法的和欺骗包。每种方法都有各自的能力和限制，要根据安全的需要仔细评价。

1、包过滤器

包过滤是安全映射最基本的形式，路由软件可根据包的源地址、目的地址或端口号建立许可权， 对众所周知的端口号的过滤可以阻止或允许网际协议如 FTP、rlogin等。过滤器可对进入和/或流出的数据操作， 在网络层实现过滤意味着路由器可以为所有应用提供安全映射功能。作为（逻辑意义上的）路由器的常驻部分， 这种过滤可在任何可路由的网络中自由使用，但不要把它误解为万能的，包过滤有很多弱点，但总比没有好。

包过滤很难做好，尤其当安全需求定义得不好且不细致的时候更是如此。这种过滤也很容易被攻破。包过滤比较每个数据包， 基于包头信息与路由器的访问列表的比较来做出通过/不通过的决定，这种技术存在许多潜在的弱点。首先， 它直接依赖路由器管理员正确地编制权限集，这种情况下，拼写的错误是致命的， 可以在防线中造成不需要任何特殊技术就可以攻破的漏洞。即使管理员准确地设计了权限，其逻辑也必须毫无破绽才行。 虽然设计路由似乎很简单，但开发和维护一长套复杂的权限也是很麻烦的， 必须根据防火墙的权限集理解和评估每天的变化，新添加的服务器如果没有明确地被保护，可能就会成为攻破点。

随着时间的推移，访问权限的查找会降低路由器的转发速度。每当路由器收到一个分组， 它必须识别该分组要到达目的地需经由的下一跳地址，这必将伴随着另一个很耗费CPU的工作： 检查访问列表以确定其是否被允许到达该目的地。访问列表越长，此过程要花的时间就越多。

包过滤的第二个缺陷是它认为包头信息是有效的，无法验证该包的源头。 头信息很容易被精通网络的人篡改， 这种篡改通常称为“欺骗”。

包过滤的种种弱点使它不足以保护你的网络资源，最好与其它更复杂的过滤机制联合使用，而不要单独使用。

2、链路网关

链路级网关对于保护源自私有、安全的网络环境的请求是很理想的。这种网关拦截TCP请求，甚至某些UDP请求， 然后代表数据源来获取所请求的信息。该代理服务器接收对万维网上的信息的请求，并代表数据源完成请求。实际上， 此网关就象一条将源与目的连在一起的线，但使源避免了穿过不安全的网络区域所带来的风险。

3 什么是网关

这种方式的请求代理简化了边缘网关的安全管理，如果做好了访问控制，除了代理服务器外所有出去的数据流都被阻塞。 理想情况下，此服务器有唯一的地址，不属于任何内部使用的网段。这绝对使无意中微妙地暴露给不安全区域的信息量最小化， 只有代理服务器的网络地址可被外部得到，而不是安全区域中每个联网的计算机的网络地址。

3、应用网关

应用网关是包过滤最极端的反面。包过滤实现的是对所有穿过网络层包过滤设备的数据的通用保护， 而应用网关在每个需要保护的主机上放置高度专用的应用软件，它防止了包过滤的陷阱，实现了每个主机的坚固的安全。

应用网关的一个例子是病毒扫描器，这种专用软件已经成了桌面计算的主要产品之一。它在启动时调入内存并驻留在后台， 持续地监视文件不受已知病毒的感染，甚至是系统文件的改变。 病毒扫描器被设计用于在危害可能产生前保护用户不受到病毒的潜在损害。

这种保护级别不可能在网络层实现，那将需要检查每个分组的内容，验证其来源，确定其正确的网络路径， 并确定其内容是有意义的还是欺骗性的。这一过程将产生无法负担的过载，严重影响网络性能。

4、组合过滤网关

使用组合过滤方案的网关通过冗余、重叠的过滤器提供相当坚固的访问控制，可以包括包、链路和应用级的过滤机制。 这样的安全网关最普通的实现是象岗哨一样保护私有网段边缘的出入点，通常称为边缘网关或防火墙。 这一重要的责任通常需要多种过滤技术以提供足够的防卫。下图所示为由两个组件构成的安全网关：一个路由器和一个处理机。 结合在一起后，它们可以提供协议、链路和应用级保护。

这种专用的网关不象其它种类的网关一样，需要提供转换功能。作为网络边缘的网关，它们的责任是控制出入的数据流。 显然的，由这种网关联接的内网与外网都使用IP协议，因此不需要做协议转换，过滤是最重要的。

保护内网不被非授权的外部网络访问的原因是显然的。控制向外访问的原因就不那么明显了。在某些情况下， 是需要过滤发向外部的数据的。例如，用户基于浏览的增值业务可能产生大量的WAN流量，如果不加控制， 很容易影响网络运载其它应用的能力，因此有必要全部或部分地阻塞此类数据。

联网的主要协议IP是个开放的协议，它被设计用于实现网段间的通信。这既是其主要的力量所在，同时也是其最大的弱点。 为两个IP网提供互连在本质上创建了一个大的IP网， 保卫网络边缘的卫士--防火墙--的任务就是在合法的数据和欺骗性数据之间进行分辨。

5、实现中的考虑

实现一个安全网关并不是个容易的任务,其成功靠需求定义、仔细设计及无漏洞的实现。首要任务是建立全面的规则， 在深入理解安全和开销的基础上定义可接受的折衷方案，这些规则建立了安全策略。

安全策略可以是宽松的、严格的或介于二者之间。在一个极端情况下，安全策略的基始承诺是允许所有数据通过，例外很少， 很易管理，这些例外明确地加到安全体制中。这种策略很容易实现，不需要预见性考虑，保证即使业余人员也能做到最小的保护。 另一个极端则极其严格，这种策略要求所有要通过的数据明确指出被允许，这需要仔细、着意的设计，其维护的代价很大， 但是对网络安全有无形的价值。从安全策略的角度看，这是唯一可接受的方案。在这两种极端之间存在许多方案，它们在易于实现、 使用和维护代价之间做出了折衷，正确的权衡需要对危险和代价做出仔细的评估。

回答者：wfchenjin - 魔法师 五级 11-24 10:48

--------------------------------------------------------------------------------

网关是互连网络中操作在OSI运输层之上的设施，所以称为设施， 是因为网关不一定是一台设备，有可能在一台主机中实现网关功能。当然也不排除使用一台计算机来专门实现网关具有的协议转换功能。

由于网关是实现互连、互通和应用互操作的设施。通常又多是用来连接专用系统，所以市场上从未有过出售网关的广告或公司。因此，在这种意义上，网关是一种概念，或一种功能的抽象。网关的范围很宽，在TCP/IP网络中，网关有时所指的就是路由器，而在MHS系统中，为实现CCITTX.400和SMTPL简单邮件运输协议间的互操作，也有网关的概念。SMTP是TCP/IP环境中使用的电子邮件，其标准为RFC- 822，而符合国际标准的CCITTX.400发展较晚，但受到以欧州为先锋的世界范围的支持。为将两种系统互连，TCP/IP标准制定团体专门定义了X.400和RFC－822 之间的变换标准RFC987(适用于1984年X.400)，以及RFC1148(适用于1988年X.400)。 实现上述变换标准的设施也称之为网关。

网关在MS－DOS进入超级终端后进行设置

标签：流量攻击软件voip