布线你知道吗?(一)
网络是将独立的设备连接在一起,并使它们可以共享信息和资源的连接系统。正确的设计和实施一个网络系统可以提高通信的速度和可靠性,从而使得一个系统工作起来更加富有效率。网络的建设应该满足已公布的国家和国际标准的要求,并应能够根据商业要求的改变进行不断的进化和升级。
随着计算机的大量使用,人们越来越关注网络和布线的话题。以前,IT经理们对通信系统的关心只限于电话。反观现在,他们不得不面对更复杂,变化更快的计算和信息系统。在过去,台式计算机通常都是独立进行工作,。现在这种情况已经发生了变化。目前约有超过50%的商用计算机连在局域网中,它们可以 大大的提高工作效率。局域网可以将计算机与服务器和外设连接在一起,或者为传感器、照 相机、 监视器以及其他电子设备提供信号通道。如果这些链路是以临时为基 础,那么,工作区将很快就堆满了各种无法辨别的电缆,对它们进行故障排除和维护几乎是不可能的。
将那些用于完成计算、建筑物安全以及环境控制等任务的电子设备集成到一个集成系统中去将会产生更大的效益。当这些独立设备的数量增加时,这些设备协同工作的优点就越发明显。当然,对设备链路的需求也将相应的增加。对于那些已经拥有了复杂计算机系统的公司来说,情况同样也在改变。从传统的主机和微型计算机到客户机 /服务器系统的转变意味着专用网络必将被开放系统所取代。
网络的使用也正在被扩展到新的领域。许多管理者将第一次面对如何为网络安全系统、视频会议系统以及多媒体信息系统制定布线策略的问题。由于网络的地位在不断地以这种方式进行扩展,因此,所有的管理层人员都需要了解网络的知识。
* 网络建设的策略
对网络和电缆类型的选择主要是由需要连接的设备的类型、它们的位置和它们的使用方式来决定的。在开始规划以前,给出关于网络潜在的负载说明是非常有必要的。当一个网络为多个系统服务时,应对它们的混合数据流量的峰值进行仔细的考虑。
对于一个完整的新系统来说,负载评估的主要工作是计算网络节点数量,询问各部门在"最坏情况 "下的使用要求。当对一个已存在的系统进行更换时,在计划更换之前,应对系统的使用方式进行一个星期或更长一段时间的监测。当软件的升级也是系统升级的一部分时,例如将计算机从 DOS 环境 升级到Windows 环境,对网络进行复杂的评估将是很困难的。然而软件供应商这时也许会给出一个关于网络通信流量的评估。在规划阶段,对未来需求的规划和对现在需求的规划应放在同等重要的地位上。
布线系统的平均目标生命周期为 15 年,它与主要建筑物的整修周期是 一致的。在这段时间内,系统的计算机硬件、软件和使用方式都将发生重大的变化。网络的吞吐量、可靠性和安全性的要求肯定都要增加。
在网络建设的初期, 作为工作的重要组成部分, 专业人员还应为网络制定详细的技术指标。为网络和布线制定粗略的技术指标是IT管理员常犯的错误。不成熟的网络可能导致系统崩溃,代价将十分高昂,因此在网络的安装阶段过度地节省资金是一个不明智的做法。
在制定网络详细技术指标时应考虑以下一些关键因素:
·使用方式,包括所有应用的混合数据流流量大小和峰值负载持续时间
·用户的数量和可能的增长速度
·用户的位置及他们之间的最长距离
·用户位置发生变化的可能的概率
·与当前和今后计算机及软件的连接
·电缆布线的可用空间
·网络拥有者的总投资
·法规及安全性要求
·防止服务丢失和数据泄密的重要性
* 网络配置的选择要旨
目前常用的数据网络拓扑结构有三种。它们是环形网、总线形网和星形网。环形网,正如名字所描述的那样,是使用一个连续的环将每台设备连接在一起。它能够保证一台设备上发送的信号可以被环上其他所有的设备都看到。在简单的环形网中,网络中任何部件的损坏都将导致系统出现故障,这样将阻碍整个系统进行正常工作。而具有高级结构的环形网则在很大程度上改善了这一缺陷。
令牌环
环形网络的一个例子是令牌环局域网,它的传输速率为 4Mbit/s 和16Mbit/s,这种网络结构最早由 IBM 推出,但现在被其他厂家采用。在令牌 环网络中,拥有"令牌"的设备允许在网络中传输数据。这样可以保证在某一时间内网络中只有一台设备可以传送信息。
总线形网络
总线形网络使用一定长度的电缆,也就是必要的高速通信链路将设备连接在一起。设备可以在不影响系统中其他设备工作的情况下从总线中取下。总线形网络中最主要的实现就是以太网,它目前已经成为局域网的标准。连接在总线上的设备通过监察总线上传送的信息来检查发给自己的数据。当两个设备想在同一时间内发送数据时,以太网上将发生碰撞现象,但是使用一种叫作载波侦听多重访问/碰撞监测(CSMA/CD) 的协议可以将碰撞的 负面影响降到最低。
星形网
星形网的组成通过中心设备将许多点到点连接。在电话网络中,这种中心结构是PABX。在数据网络中,这种设备是主机或集线器。在星形网中,可以在不影响系统其他设备工作的情况下,非常容易地增加和减少设备。(待续)
* 布线名词
·100Base-T4 使用 4 线对 3 类电缆的 100 Mbit/s 快速以太网。
·100Base-TX 使用 2 线对 5 类电缆的 100 Mbit/s 快速以太网。
·100VG-AnyLAN 最早由惠普公司和 AT&T 共同开发的使用需求优先级协议的 100 Mbit/s 局域 网。
·10 Base-T 使用非屏蔽双绞线 (UTP) 电缆,满足电子和电气工程师协会 (IEEE) 802.3 标准(与以太网相同)传输速率为 10 Mbps 的局域网。
·临时布线系统 将多家厂商生产的不同类型的布线部件来实现布线系统的布线系统方案。
·模拟传输 使用连续变量和直接物理测量值(比如电压等)来表示信号的信号传输方式。
·应用 一种系统,与其相关连的传输方式受到电信布线系统的支持。
·应用层 开放式系统互连模型(OSI)的最高层 (第 7层)。这一层主要是用于支持用户应 用程序和负责管理应用程序之间的通信,例如电子邮件应用、文件传输应用等。
·异步 两个或多个信号源使用独立的时钟信号,因此它们具有不同的频率和相位。
·异步数据传输 一种传输数据的方式,需要传送的数字或字母符号(由7到8位二进制数字表 示)前面加上开始或结束位,从而形成一种 7/8 位方式在(数字)传输媒介上 实现数据传输。
·异步转移模式 (ATM) 一种高速的,以单元(cell)为基础的交换技术,它采用多种技术将语音、数据和视频等信号放在长度固定的数据包(单元)内。这些单元沿着交换路径传输,它们并不是按照固定的顺序达到接收方 (因此使用了异步这个术语)。
·衰减 随着传输线长度或无线电波传输距离的不断增加造成信号减小的现象。
·干线 综合布线系统的一个组成部分,包括一个用于支持从设备间到楼上、或同一层楼内配线间连接的主电缆布线及相应设施。
·平衡电路 用于产生相同和相反信号的电路,它将这些信号送入两个导线。电路的平衡特性越好,信号的散射就越小,它的噪声抑制特性也越好 (因此它的 EMC 性能就越好)。
·平衡双绞线电缆 包括一对或多对金属对称电缆单元(双绞线或四绞线)的电缆。
·不平衡变压器 用于在平衡和非平衡线路之间实现阻抗匹配的设备,通常是用于双绞线和同轴电缆之间。
·带宽 在一个信道上用于传输信息的可用频率范围。它是用来表示信道传输能力的指标。因此,带宽越宽,电路能够传输的信息量就越大。带宽的单位为 Hz 、bit/s 或 MHz.km (用于光纤)。
布线你知道吗?(二)
上期我们所提到的, 不论是令牌网, 总线网或是星形网, 主要指的是网络的逻辑拓扑结构。然而在实际应用中,所有这些网络的物理拓扑结构一般都采用星形连接,星形连接在将用户接入网络时具有更大的灵活性。当系统不断发展或系统发生重大变化时,这种优点将变得更加突出。星形、总线形和环形网络都有各自的特点,对于网络结构的最终选择在很大程度上取决于当前的应用。然而星形物理拓扑结构是目前工业和商业网络中被普遍采用的一种物理拓扑结构。
目前最流 行的10Base-T以太网是运行在平衡UTP铜缆上的,它的数据传输速率为10 Mbit/s。这种形式的以太网在大多数办公和工业应用中颇受欢迎。10Base-T 网络采用星形物理拓扑结构,在中心集线器上有少量的总线。同其他局域网系统一样,连接在 10Base-T上的计算机和其他有源设备 必须配有网卡 。
作为10Base-T的升级形式,100Base-T的数据传输速率为 100Mbit/s,它是一种速率更高的以太网。100Base-T具有更广泛应用范围。从 10Base-T 升级到速度更快速版本 的以太网需要更换网卡、集线器,在某些情况下也可能需要更换新型电缆。
ATM使用快速包交换技术在星形网中传输对延迟敏感的数据,它的传 输速度可以高达 622Mbit/s或更高。而光纤分布数据接口(FDDI)是一种高速令牌环网络,它在光纤上数据传输速率为100Mbit/s。FDDI系统可以有两个完整的光纤环,在恶劣环境中可以提供一定程度的冗余保护。使用平衡UTP电缆可以达到与FDDI相同的100Mbit/s 传输速率。这种网络被称为 TP-PMD (基于双绞线物理媒介)。
而专用系统是第三种类型的网络通用结构。这种网络通常在基于标准的网络建立以前推出,专用网络系统通常只使用特定网络产品供应商的产品。大多数这类产品都出自 IBM 和王安电脑公司,这些网络采用星形拓扑结构。 这些网络最初使用昂贵的双轴或同轴屏蔽电缆。现在,在许多情况下,它们能够在带有平衡适配器(通常成为不平衡变压器)的平衡UTP电缆上进行操作。
另外一种布线系统是串行通信系统。它们的通常是用来完成将终端和计算机直接与小型机、主机和外设连接在一起的任务,其速率较低。严格的说, 这类连接并不是真正的网络。然而,串行通信可以接入结构化布线系统并可通过集线器和干线进行走线。为了实现这一点,需要使用一个无源适配器或有源接口设备。串行通信主要有两种形式。异步串行通信以 38.4 Kbit/s 的速率进行工作,而同步串行通信以64kbit/s 的速率工作。这两种类型都需要通过串口进行连接。
在网络建设中, 使用干线电缆将网络的多个网段连接在一起,这样可以在不增加布线的情况下使网络在更大的区域内提供服务。使用主干线可以将独立的集线器集合在一起,作为一个单元进行工作的高速链路。如果干线发生故障,单独的子网将可以继续独立的进行工作。干线电缆可以使用粗缆、细缆、UTP双绞线电缆或光缆。然而,在通 用布线标准中,推荐使用多膜光纤或UTP双绞线电缆作为干线电缆。为了组建大型网络,可以将任意类型的独立的局域网通过干线电缆、网桥或路由器连接在一起。在以太网中,出于安全和方便的考虑,通常将集线器集中在一个单独的房间内。在这种情况下,主干线的长度最短,系统经常被认为是一种折叠干线网络。象以太网一样,可以将令牌环网络连接起来组成大型网络, 而两个令牌环网络之间则需要路由器来连接。
在许多布线系统的安装中,用户可以选择安装一个全新的网络或是对一个已经存在的网络进行整修。后一种方案通常可以节省很多投资,但它依赖现有布线系统与新网络的接入方法。然而,由于历史原因或投资原因而使用混合布线系统的临时网络具有很大的缺陷。如今的结构化布线系统可以使用一系列适配器来与所有主要硬件设备实现互连。这将使得已经建成的网络和新建的网络都可以从最新的布线技术中获益。
布线的选择
布线是任何网络系统的关键部件之一,因此决策人员必须准备将网络总投资的 10%用于这一领域。由于不良的设计和不合格的安装而造成的网络 故障是最常见的,同时代价也是非常昂贵的,因此对高质量的布线和网络设计方面的投资绝对是物有所值。
连接在网络中设备类型以及电缆上所承载的通信负载是选择电缆的关键因素。同时,在进行电缆选择时还应考虑以下因素:
·网络集线器和节点(信息口)之间的最大距离
·在管道和地板/天花板中的布线可用空间
·电磁干扰(EMI) 的程度
·为系统服务的设备的可能的变化情况和它们的使用方式
·系统复元力的水平
·网络要求的生命周期
·电缆走线的限制和电缆弯曲半径的限制
·具有潜在重复性使用可能的现有电缆安装情况
电缆的选择应综合考虑上述因素,但在布线系统中应首先确定是使用屏蔽电缆、非屏蔽电缆、光缆,还是将它们接合在一起使用。电缆通常使用带有绝缘层的导线并使用一层或多层塑料外皮。电缆中通常由2到1800个线对组成。大对数电缆通常用于主干布线系统,它们特别适合在话音和低速率数据应用中使用。
这些电缆在干线和水平(集线器到桌面)布线系统应用中的最大长度在国际标准ISO/IEC IS11801中有详细的说明。需要注意的是这些最大长度限制适用于所有的媒介。它们并没有考虑由于网络使用的电缆类型和协议类型的不同而造成性能方面的差异的影响。实际上,最大电缆长度将取决于系统的应用、网络类型 (例如 10Base-T) 和 电缆的质量。在特定的网络中,好的电缆供应商和施工人员将可以就布线系统能力给出相应的建议。
在确定电缆类型前,对电缆走线的可用空间进行检查也是非常重要的一点。尺寸、重量和屏蔽灵活性等因素主要取决于电缆是否采用金属箔或编制护层,以及电缆中使用了多少导线。这些因素与电缆所使用的屏蔽/反射材料一起将决定电缆对抗电磁干扰 (EMI) 能力。在选择电缆之前,考虑电缆使用的屏蔽/反射材料也是至关重要的。
在最近几年中,对非屏蔽双绞线对(UTP)电缆研究取得的突破使得它 们可以在622Mbit/s或更高的传输速率上传输数据。这样就使得人们可以在原来只能使用屏蔽型电缆的应用中使用这种价格更低、体积更小的电缆。UTP电缆通过将电缆线对进行更紧密的匹配来减小EMI干扰。这种电缆被称为平衡电路。在理想的平衡电路中,导体中引入的噪声电压的和是零,这样线对之间的信号传输将没有干扰。然而这种理想情况是无法完全实现的,电缆的信噪比(SNR)是用来测量电缆中在存在噪声信号的情况下信号质量的指标 。屏蔽电缆中由于存在屏蔽,因此它的平衡特性较差,因此良好的屏蔽完整性和良好的接地对屏蔽电缆来说是非常重要的。高质量的UTP电缆在不需要接地或整个电路不需要屏蔽的情况下可以实现良好的平衡电路特性。由于光纤通过光波传输信号,因此它不受任何形式的电磁屏蔽影响。
在传输速率要求超过155Mbit/s和需要更长传输距离的应用中,光纤通常是最佳选择。光纤具有体积小、耐用等优点,但目前它的成本要比其他类型的电缆高。大多数在局域网中使用的光缆是多膜光纤。它比高性能的单膜光纤更容易安装。在大多数网络中,一般都采用光缆作为干线,而使用UTP电缆来水平。然而,随着通信速率的提高和设备价格的下降,使用光纤直接到桌面的网络数量也在不断增长。对于那些由于受安装时间、空间或其他限制而不易安装电缆的系统来说,无线局域网可以作为一种可替代的方案。在无线局域网中使用无线电波替代物理连接来实现信号的传输,它们特别适合于在老建筑物中网络的安装。(待续)
结构化布线综述
刘卫东
本文系统阐述了结构化布线系统的基本概念及发展历程,同时也对结构化布线系统的测试作了简单介绍。
一、结构化布线系统简介
随着计算机和通信技术的飞速发展,网络应用成为人们日益增长的一种需求,结构化布线是网络实现的基础,它能够支持数据、话音及图形图像等的传输要求,成为现今和未来的计算机网络和通信系统的有力支撑环境。
结构化布线系统与智能大厦的发展紧密相关,是智能大厦的实现基础。智能大厦具有舒适性、安全性、方便性、经济性和先进性等特点,一般包括:中央计算机控制系统、楼宇自动控制系统、办公自动化系统、通信自动化系统、消防自动化系统、保安自动化系统结构化布线系统等,它通过对建筑物的四个基本要素(结构、系统、服务和管理)以及它们内在联系最优化的设计,提供一个投资合理、同时又拥有高效率的优雅舒适、便利快捷、高度安全的环境空间。结构化布线系统正是实现这一目标的基础。
二、结构化布线的发展
结构化布线的最初实施,距今已有十几个年头。
1984年,世界上第一座智能大厦产生。人们对美国哈特福特市的一座是式大楼进行改造,对空调、电梯、照明、防火防盗系统等采用计算机监控,为客户提供话音通讯、文字处理、电子了件以及情报资料等信息服务。同时,多家公司转入布线领域,但各厂家之间产品兼容性差。
1985年初,计算机工业协会(CCIA)提出对大楼布线系统标准化的倡仪,美国电子工业协会
(EIA)和美国电信工业协会(TIA)开始标准化制定工作。
1991年7月,ANSI/EIA/TIA568即《商业大楼电信布线标准》问世,同时,与布线通道及空间、管理、电缆性能及连接硬件性能等有关的相关标准也同时推出。
1995年底,EIA/TIA 568标准正式更新为EIA/TI A/568A,同时,国际标准化组织(ISO)标准出相应标准ISO/IEC/IS11801。
制定EIA/TIA568A标准基于下述目的:
*建立一种支持多供应商环境的通用电信布线系统;
*可以进行商业大楼的结构化布线系统的设计和安装;
*建立和种布线系统配置的性能和技术标准。
该标准基本上包括以下内容:
*办公环境中电信布线的最低要求;
*建议的拓扑结构和距离;
*决定性能的介质参数;
*连接器和引脚功能分配,确保互通性;
*电信布线系统要求有超过十年的使用寿命。
三、结构化布线的概念
1.定义
结构化布线系统是一个能够支持任何用户选择的话音、数据、图形图像应用的电信布线系统。系统应能支持话音、图形、图像、数据多媒体、安全监控、传感等各种信息的传输,支持UTP、光纤、STP、同轴电缆等各种传输载体,支持多用户多类型产品的应用,支持高速网络的应用。
2.特点
结构化布线系统具有以下特点:
1)实用性:能支持多种数据通信、多媒体技术及信息管理系统等,能够适应现代和未来技术的发展;
2)灵活性:任意信息点能够连接不同类型的设备,如微机、打印机、终端、服务器、监视器等;
3)开放性:能够支持任何厂家的任意网络产品,支持任意网络结构,如总线形、星形、环型等;
4)模块化:所有的接插件都是积木式的标准件,方便使用、管理和扩充;
5)扩展性:实施后的结构化布线系统是可扩充的,以便将来有更大需求时,很容易将设备安装接入;
6)经济性:一次性投资,长期受益,维护费用低,使整体投资达到最少。
3.布线系统的构成
按照一般划分,结构化布线系统包括六个子系统:工作区子系统、水平支干线子系统、管理子系统、垂直主干子系统、设备子系统和建筑群主干子系统。
1)建筑群主干子系统
提供外部建筑物与大楼内布线的连接点。EIA/TIA569标准规定了网络接口的物理规格,实现建筑群之间的连接。
2)设备子系统
EIA/TIA569标准规定了设备间的设备布线。它是布线系统最主要的管理区域,所有楼层的资料都由电缆或光纤电缆传送至此。通常,此系统安装在计算机系统、网络系统和程控机系统的主机房内。
3)垂直主干子系统
它连接通讯室、设备间和入口设备,包括主干电缆、中间交换和主交接、机械终端和用于主干到主干交换的接插线或插头。主干布线要采用星形拓扑结构,接地应符合EIA/TIA607规定的要求。
4)管理子系统
此部分放置电信布线系统设备,包括水平和主干布线系统的机械终端和1或交换。
5)水平支干线子系统
连接管理子系统至工作区,包括水平布线、信息插座、电缆终端及交换。指定的拓扑结构为星形拓扑。
水平布线可选择的介质有三种(100欧姆UTP电缆、150欧姆STP电缆及62.5/125微米光缆),最远的延伸距离为90米,除了90米水平电缆外,工作区与管理子系统的接插线和跨接线电缆的总长可达10米。
6)工作区子系统
工作区由信息插座延伸至站设备。工作区布线要求相对简单,这样就容易移动、添加和变更设备。
4.介质及连接硬件的性能规格
在结构化布线系统中,布线硬件主要包括:配线架、传输介质、通信插座、插座板、线槽和管道等。
1)介质
主要有双绞线和光纤,在我国主要采用无屏蔽双绞线与光缆混合使用的方法。光纤主要用于高质量信息传输及主干连接,按信号传送方式可分为多模光纤和单模光纤两种,线径为62.5/125微米。在水平连接上主要使用多模光纤,在垂直主干上主要使用单模光纤。现在,使用100欧姆无屏蔽双绞线已成为一种共识,它分为3类、4类和5类三种。
2)接头及插座
在每个工作区至少应有两个信息插座,一个用于语音,一个用于数据。插座的管脚组合为
:1&2、3&6、4&5、7&8。
3)屏蔽占非屏蔽系统的选择
我国基本上采用北美的结构化布线策略,即使用无屏蔽双绞线十光纤的混合布线方式。
(1)屏蔽的含义
屏蔽系统是为了保证在有干扰环境下系统的传输性能。抗干扰性能包括两个方面,即系统抵御外来电磁干扰的能力和系统本身向外插射电磁干扰的能力,对于后者,欧洲通过了电磁兼容性测试标准EMC规范。实现屏蔽的一般方法是在连接硬件外层包上金属屏蔽,层以滤除不必要的电磁波。现已有STP及SCTP两种不同结构的屏蔽线供选择。
(2)屏蔽系统的缺陷
A.接地问题
屏蔽系统的屏蔽层应该接地。在频率低于1MHz时,一点接地即可。当频率高于1MHz时,EMC认为最好在多个位置接地。通常的做法是在每隔波长十分之一的长度处接地,且接地线的长度应小于波长的十二分之一。如果接地不良(接地电阻过大、拦地电位不均衡等),会产生电势差,这样,将构成保证屏蔽系统性能的最大障碍和隐患。
B.系统整体性
屏蔽电缆不能决定系统的整体EMC性能。屏蔽系统的整体性取决于系统中最弱的元器伯。如跳接面板、连接器信息口、设备等。因此,若屏蔽线在安装过程中出现袭缝,则构成子屏蔽系统中最危险的环节。
C.屏幕子流的抗干扰性能
屏蔽系统的屏蔽层并不能低御频率较低的噪声,在低频时,屏蔽系统的噪音至少与非屏蔽系统一样。
而且,由于屏蔽式8芯模块插头无统一标准,无现场测试屏蔽有效程序的方法等原因,人们一般不采用屏蔽双绞线。
四、布线测试
局域网的安装从电缆开始,电缆是整个网络系统的基础。对结构化布线系统的测试,实质上就是对线缆的测试。据统计,约有一半以上的网络故障与电缆有关,电缆本身的质量及电缆安装的质量都直接影响到网络能否健康地运行。而且,线缆一且施工完毕,想要维护很困难。
现在,普遍采用5类无屏蔽双绞线完成结构化布线。用户当前的应用环境大多体现在10M网络基础上,因此,有必要对结构化布线系统的性能运行测试,以保证将来应用。
对于电缆的测试,一般遵循"随装随测"的原则。根据TSB67的定义,现场测试一般包括:接线图、链路长度、衰减和近端串扰(NEXT)等几部分。
1.接线图
这一测试验证链路的正确连接。它不仅是一个简单的逻辑连接测试,而且要确认链路一端的每一个针与另一端相应的针连接,同时,对串绕问题进行测试,发现问题并及时更正。保证线对正确绞接是非常重要的测试项目。
2.链路长度
根据T1A/E1A606标准的规定,每一条链路长度都应记录在管理系统中。链路的长度可以用电子长度测量来估算,电子长度测量是基于链路的传输延迟和电缆的NVP值来实现的。由于
NVP具有10%的误差,在测量中应考虑稳定因素。
3.衰减
衰减是沿链路的信号损失的测量。衰减随频率的变化而变化,所以应测量应用范围内的全部频率上的衰减,一般步长最大为1MHz。
TSB-67定义了一个链路衰减的公式,并给了了两种测量模式的衰减允许值表。它定义了在20℃时的允许值。
4.近端串扰(NEXT)损耗
NEXT损耗是测量在一条链路中从一对线对另一对线的信号耦合,也就是当信号在一对线上运行时,同时会感应一小部分信号到其他线对,这种现象就是串扰。
TSB-67标准规定,5类链路必须在1-10 MHz的频宽内测试,测试步长为:
*在1-31.25MHz频率范围内,最大步长为0.1MHz;
*在31.26—100MHz频率内,最大步长为0.25MHz。
所有测试均要进行线时间测试。如4对线要进行6组测试。
同时,对NEXT的测试要在两端测试。NEXT并不是测量在近端点产生的串扰值,它只是着乐
在近端点所测量的串扰数值。这个量值会随着电缆长度的衰减而变小,同时远端的信号也会衰减,对其它线对的串扰也相对变小。实验证明:只有在40米内量得的NEXT是较真实的,如果另一端是远于40米的信息插座而它会产生一定程度的串扰,但测量仪器可能就无法测到这个串扰值,因此,必须进行双向测试。
缩略语
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
A
AAL ATM适配层 ATM Adaptation Layer
ABR 可用比特率 Available Bit Rate
ACR 衰减串扰比
ADPCM 自适应差分PCM
ADSL 非对称数字环路 Asymmetric Digital Subscriber Line
AMI ATM Management Interface
AMPS 先进型移动电话系统 Advanced Mobile Phone System
ANS 高级网络与服务 Advanced Networks and Services
ANSI 美国国家标准协会 American National Standard Institute
APON 无源光纤网络
ARP 地址解析协议 Address Resolution Protocol
ARQ 自动重发请求 Automatic Repeat Request
AS 自制系统 Autonomous System
ASIC Application Specific Integrated Circuit(Chip)
ASN.1 Abstract Syntax Notation One
ATD 异步时分复用 Asynchronous Time Division
ATM 异步传输模式 Asynchronous Transfer Mode
B
BBS 电子公告板 Bulletin Board System
BER 误比特率 bit error rate
BGP 边界网关协议 Border Gateway Protocol
BICMOS 双极型CMOS
BIP-8 Bit Interleaved Parity-8
B-ISDN 宽带综合业务数字网 Broadband Integrated Services Digital Network
BMI Bus-Memory Interface
BOOTP 引导协议 BOOTstrapping Protocol
BRI 单一ISDN基本速率
BUS 广播和未知服务器 Broadcast/Unknown Server
C
CAC 连接接纳控制 Connection Admission Control
CATV 公用天线电视
CBDS 无连接宽带数据服务
CBR 连续比特率 Continuous Bit Rate
CCITT 国际电话电报咨询委员会
CD Carrier Detect
CDB Configuration Database
CDMA 码分多址 Code Division Multiple Access
CDPD 蜂窝数字分组数据 Cellular Digital Packet Data
CDV 信元延时变化 Cell Delay Variation
CEC Common Equipment Card
CERNET 中国教育科研网
CIDR 无类型域间路由 Classless InterDomain Routing
CLIP Classical IP
CLP 信元丢失优先级
CMIS/CMIP the Common Management Information Service/Protocol
CMOS 互补型金属氧化物半导体
CMOT CMIS/CMIP on TCP/IP
CNOM 网络营运与管理专业委员会 Committee of Network Operation and Management
CORBA 公共对象请求代理结构 Common Object Request Broker Architecture
CPAN Comprehensive Perl archieve Network
CPE Customer Premises Equipment
CPCS 公共部分会聚子层 Common Part Convergence Sublayer
CR Carriage Return
CS 会聚子层 Convergence Sublayer
CSDN 电路交换数据网
CSMA/CD 载波侦听多路访问/冲突检测 Carrier Sense Multi-Access/Collision
Detection
D
DAC Dual Attach Concentrator
DAS Dual Attach Station
DCD Data Carrier Detect
DCE 数据电路端接设备 Digital Circuit-terminating Equipment
DHCP 动态主机控制协议
DIME 直接内存执行 Direct Memory Execute
DME 分布式管理环境 Distributed Management Environment
DNS 域名系统 Domain Name System
DPI 每英寸可打印的点数 Dot Per Inch
DQDB 分布式队列双总线 Distributed Queue Dual Bus
DS-3 Digital Standard-3
DSMA 数字侦听多重访问 Digital Sense Multiple Access
DSP Digital Signal Processing
DTE 数据终端设备 Data Terminal Equipment
DTR Data Terminal Ready
DVMRP 距离向量多目路径协议 Distance Vector Multicast Routing Protocol
E
ECL 硅双极型
ECSRN 华东南地区网
EGP 外部网关协议 Exterior Gateway Protocol
EIA/TIA Electronic Industries Association and the Telecommunication
Industries Association
EMA 以太网卡 Ethernet Media Adapter
E-mail 电子邮件 Electronic Mail
EPD 提前舍弃分组数据包
F
FAQ 常见问题解答 Frequently Answer Question
FCS 快速电路交换 Fast Circuit Switching
FDDI 光纤分布式数据接口 Fiber Distributed Data Interface
FDM 频分多路复用 Frequency Division Multiplexing
FEC 前向差错纠正 Forward Error Correction
FEMA 快速以太网卡 Fast Ethernet Media Adapter
FEXT 远端串扰
FITL 光纤环路
FMA FDDI网卡 FDDI Media Adapter
FOIRL Fiber Optic Inter-repeater Link
FTP 文件传输协议 File Transfer Protocol
FTTC 光纤到楼群 Fiber To The Curb
FTTH 光纤到户 Fiber To The Home
G
GCRA 通用信元速率算法 Generic Cell Rate Algorithm
GGP 网关-网关协议 Gateway-Gateway Protocol
GSM 移动通信全球系统(全球通) Global Systems for Mobile communications
H
HEC 信头错误控制 Header Error Control
HCS 头校验序列 Header Check Sequence
HDLC 高级数据链路控制(协议) High-Level Data Link Control
HDTV 数字高清晰度电视 High Definition TeleVision
HFC 混合光纤同轴 Hybrid Fiber Coax
HIPPI 高性能并行接口 High Performance Parallel Interface
HOL 队头阻塞
HTTP 超文本传输协议 HyperText Transfer Protocol
Hub 集线器
I
IAB 因特网结构委员会 Internet Architecture Board
IAP 因特网接入提供商 Internet Access Provider
ICCB Internet控制与配置委员会 Internet Control and Configuration Board
ICMP 因特网控制信息协议 Internet Control Message Protocol
ICP Internet Content Provider
ICX 部件间交换 Inter-Cartridge Exchange
IDP 网间数据报协议 Internetwork Datagram Protocol
IDU 接口数据单元 Interface Data Unit
IEEE 电子和电气工程师协会 Institute of Electrical and Electronics Engineers
IETF 因特网工程特别任务组 Internet Engineering Task Force
IGMP Internet组管理协议 Internet Group Management Protocol
IGP 内部网关协议 Interior Gateway Protocol
IISP 间歇交换机信令协议
ILMI 过渡性局域管理界面(?)
IMP 接口信息处理机 Interface Message Processor
IMTS 改进型移动电话系统 Emproved Mobile Telephone System
IP 因特网协议 Internet Protocol
IRC Internet Relay Chat
IRTF 因特网研究特别任务组 Internet Research Task Force
ISDN 综合业务数字网 Integrated Services Digital Network
ISO 国际标准化组织 International Organization for Standardization
(或简称International Standard Organization)
ISP 因特网服务提供商 Internet Service Proveder
IT 信息技术 Information Technology
ITU 国际电信联盟 International Telecommunications Union
J
JPEG 图像专家联合小组 Joint Photographic Experts Group
L
L2F 第二层转发
L2TP 第二层隧道协议
LAN 局域网 Local Area Network
LANE 局域网仿真 LAN Emulation
LAP 链路访问过程 Link Access Procedure
LCP 链路控制协议 Link Control Protocol
LE_ARP LAN仿真地址转换协议
LEC 局域网仿真客户端 LAN Emulation Client
LECS 局域网仿真配置服务 LAN Emulation Configure Service
LED 发光二极管
LES 局域网仿真服务器 LAN Emulation Server
LF Line Feed
LI 长度指示
LIM 插件板
LLC 逻辑链路控制 Logical Link Control
M
MAC 介质访问控制 Media Access Control
MAN 城域网 Metropolitan Area Network
MACA 避免冲突的多路访问(协议)
(IEEE802.11无线局域网标准的基础) Multiple Access with Access Avoidance
MAU Medium Access Unit
MIB 管理信息库 Management Information Base
MIC Media interface connector
Modem 调制解调器
MOTD 当日消息 Message Of The Day
MPC MPOA Client
MPEG 活动图像专家组 Motion Picture Experts Group
MRFCS 多速率快速电路交换 Multirate Fast Circuit Switching
MPOA Multi-Protocol Over ATM
MPS MPOA Server
MRCS 多速率电路交换 Multirate Circuit Switching
MSC 移动交换中心 Mobile Switching Center
MTBF 两次故障间的平均时间 Media Time Between Faults
MTOR 故障修复所需平均时间 Media Time of Repair
MTP 邮件传输协议 Mail Transfer Protocol
MTSO 移动电话交换站 Mobile Telephone Switching Office
MTTD 故障诊断所需平均时间 Media Time to Diagnose
MTU 最大传输单元 Maximum Transfer Unit
N
NAP 网络接入点 Network Access Point
NCA 网络计算结构 Network Computing Architecture
NCFC 中国国家计算机网络设施,
国内也称中关村网 The National Computing and Network Facility of China
NCP 网络控制协议 Network Control Protocol
NCP 网络核心协议 Network Core Protocol
NEXT 近端串扰
NFS 网络文件系统 Network File System
NHRP 下一个节点路由协议
NHS NHRP Server
NIC Null-Attach Concentrator
NIC 网卡 Network Interface Card
NIC 网络信息中心 Network Information Centre
NIM 网络接口模块 Network Interface Module
NISDN 窄带ISDN Narrowband Integrited Services Digital Network
NLAM 网络层地址管理
NNI 网络-网络接口 Network-Network Interface
NOMS 网络营运与管理专题讨论会 Network Operation and Management Symposium
NREN (美国)国家研究和教育网 National Research and Education Network
NSAP 网络服务接入点 Network Service Access Point
NSF (美国)国会科学基金会
NVRAM Non-volatile RAM
NVT 网络虚拟终端 Network Virtual Terminal
O
OAM 操作与维护 Operation And Maintenance
ODBC 开放数据库互连 Open Database Connection
ORB 对象请求代理 Object REquest Broker
OSF 开放软件基金会 Open Software Fundation
OSI 开放系统互联 Open System Interconnection
OSPF 开放最短路径优先(协议) Open Shortest Path First
P
PBX 用户交换机 Private Branch eXchange
PCM 脉冲编码调制 Pulse Code Modulation
PCN 个人通信网络 Personal Communications Network
PCR 峰值信元速率 Peak Cell Rate
PCS 个人通信服务 Personal Communications Service
PDH 准同步数字系列
PDA 个人数字助理 Personal Digital Assistant
PDN 公用数据网 Public Data Network
PDU 协议数据单元 Protocol Data Unit
PER 分组差错率 packet error rate
PEM Port Expansion Module
PIR 分组插入率 packet insertion rate
PI/SO Primary In/Secondary Out
PLCP 物理层会聚协议 Physical Layer Convergence Protocol
PLR 分组丢失率 packet loss rate
PMD 物理媒体相关(子层) Physical Medium Dependent
POH 通道开销
PON 无源光纤网
POP Post Office Protocol
PO/SI Primary Out/Secondary In
POTS 普通老式电话业务 Plain Old Telephone Service
PPD 部分舍弃分组数据包 Partial Packet Discard
PPP 点到点协议 Point to Point Protocol
PPTP 点对点隧道协议
PRM 每分钟可打印输出的页数 Page Per Minute
PRM 协议参考模型 Protocol Reference Model
PRN 分组无线网 Packet Radio Network
PSN 分组交换节点 Packet Switch Node
PSDN 分组交换数据网
PSTN 公用电话交换网 Public Switched Telephone Network
PVC 永久虚电路(包括PVPC和PVCC) Permanent Virtual Circuit
PVPC permanent virtual path connection
PVCC permanent virtual channel connection
PVP 永久虚路径 Permanent Virtual Path
Q
QoS 服务质量 Quality of Service
R
RADIUS 远端授权拨号上网用户服务
RARP 逆向地址解析协议 Reverse Address Resolution Protocol
RAS 远程访问服务器
RFC 请求评注 Request for Comments
RFT Request for Technology
RIP Routing Information Protocol
RMON 远程网络管理
Router 路由器
RPC 远程过程调用 Remote Procedure Call
RSVP 资源重复利用协议
RTMP Routing Table Maintenance Protocol(用于Appletalk)
RTP 接收和发送端口
RTS 往返样本 Round Trip Sample
RTS 剩余时间标签
S
SAP 业务接入点 Service Access Point
SAP 服务公告协议 Service Advertising Protocol
SAR 分段和重组(子层) Segmentation and Reassembly
SAS Single Attached Station
SC Stick and Click connector
SCR 信号串扰比
SCR 持续信元速率 Sustained Cell Rate
SCS 交换控制软件
SDH 同步数字系列 Synchronous Digital Hierarchy
SDLC 同步数据链路控制(协议) Advanced Data Communication Control Procedure
SDTV 标准数字电视
SDU 业务数据单元 Service Data Unit
SIPP 增强的简单因特网协议 Simple Internet Protocol Plus
SLIP 串行线路IP Serial Line Interface Protocol
SMDS 交换式多兆比特数据业务 Switched Multimegabit Data Services
SMF 单模光纤 Single-mode Fiber
SMI Structure of Management Information(MIB的结构)
SMT 站点管理 Station Management
SMTP 简单邮件传输协议 Simple Mail Transfer Protocol
SNA 系统网络体系结构 System Network Architecture
SNMP 简单网络管理协议 Simple Network Management Protocol
SNR 信噪比 Signal-Noise ratio
SOH 段开销
SONET 同步光纤网络 Synchronous Optical Network
SPE 同步净荷包 Synchronous Payload Envelope
SPP 定序分组协议
(XNS中,相当于TCP) Sequential Packet Protocol
SRTS 同步剩余时间标签法
SSCS 业务特定部分会聚子层
SSI 服务器端包含 Server Side Include
ST Stick and Turn connector
STM 同步传输方式 Synchronous Transfer Mode
STP 屏蔽双绞线 Shielded Twisted Pair
STS 同步传输信号 Synchronous Transport Signal
SVC 交换虚电路 Switched Virtual Circuit
Switch 交换机
T
TAC Technical Assistance Center
TAST 时间分配话音插空技术 Time Assignment by Speech Interpolation
TC 传输汇集(子层) Transmission Convergence
TCP 传输控制协议 Transmission Control Protocol
TDM 时分多路复用 Time Division Multiplexing
TFTP 单纯文件传输协议 Trivial File Transfer protocol
TIP 终端接口处理机 Terminal Interface Processor
TP 双绞线 Twisted Pair
TSAP 传输层服务访问点 Transport Service Access Point
TTL 生存时间 Time To Live
TTR 定时令牌旋转
U
UBR 未定义比特率 Undefined Bit Rate
UEM 通用以太网模块 Universal Ethernet Module
UDP 用户数据报协议 User Datagram Protocol
UI Unix国际
UNI 用户-网络接口 User-Network Interface
UPC 使用参数控制 Usage Parameter Control
URL 统一资源定位 Universal Resource Locator
USB 通用串行总线 Universal Serial Bus
UTP 非屏蔽双绞线 Unshielded Twisted Pair
UUCP Unix to Unix Copy Program
V
VAN 增值网 Value Added Network
VBR 可变比特率 Variable Bit Rate
VCC 虚信道连接 Virtual Channel Connection
VCI virtual channel identifier
V-D 向量 距离(算法)
又叫Bellman-Ford算法) vector-distance
VLAN Virtual LAN
VLSI 超大规模集成电路
VOD 点播图像 Video on Demand
VPC 虚路径连接 Virtual Path Connection
VPI 虚路径标识 virtual path identifier
VPN 虚拟专用网络 Virtual Private Network
VRML 虚拟现实造型语言 Virtual Reality Modeling Language
VTP 虚拟隧道协议
W
WAN 广域网 Wide Area Network
WDM 波分多路复用 Wavelength Division Multiplexing
WDMA 波分多路访问 Wavelength Division Multiple Access
WRB Web请求代理 Web Request Broker
WWW 万维网 World Wide Web
X
XNS Xerox Network System
一些网络标准
IEEE 802.1、802.2(LLC) 关于以太网接口标准
IEEE 802.3 CSMA/CD
IEEE 802.3z 千兆以太网
IEEE 802.4 令牌总线
IEEE 802.5 令牌环
IEEE 802.6 MAN
IEEE 802.7 FDDI
ITU-T I.432.2 155.52Mbps UNI接口
ITU-T G.707 155.52Mbps NNI接口
ITU-T G.957 155.52Mbps光接口
ITU-T I.361 ATM层UNI/NNI接口
ITU-T I.365.5 SAR、CPCS子层
ITU-T Q.2110 SSCOP子层
ITU-T Q.2130/Q.2140 SSCF关于UNI/NNI子层
ITU-T Q.2931、Q.2971 UNI接口信令
ITU-T Q.704及Q.2761-2764 NNI接口信令
ITU-T G.703/704 E1接口及桢结构标准
RFC 193 TCP
RFC768 UDP
RFC1577 CLIP over ATM
RFC1483 NSAP encapsulation(bridged PVC)
CCITT建议:
G.702 数字系列比特率
G.703 数字系列接口的物理/电气特性
G.704 用于一次群和二次群等级的同步帧结构
G.706 关于G.704建议中基本帧同步和循环冗余检验(CRC)过程
G.707 同步数字系列比特率
G.708 同步数字系列的网络节点接口
G.709 同步复用结构
I. 113 ISDN宽带方面的术语词汇
I.121 宽带ISDN概貌
I.150 BISDN的ATM功能特性
I.211 BISDN的业务概貌
I.311 BISDN的一般网络概貌
I.321 BISDN的协议参考模型及其应用
I.327 BISDN的网络功能体系
I.361 BISDN的ATM层规范
I.362 BISDN的ATM适配层(AAL)功能描述
I.363 BISDN的ATM适配层(AAL)规范
I.364 BISDN中对宽带无连接数据业务的支持
I.371 BISDN中的流量和拥塞控制
I.413 BISDN用户-网络接口
I.414 ISDN和BISDN用户接入的第1层建议概貌
I.430 一次群速率用户-网络接口的第1层规范
I.431 BISDN用户-网络接口物理层规范
I.441 ISDN用户-网络接口数据链路层规范
I.600 维护原理在ISDN用户接入和用户安装上的应用
I.610 BISDN接入的OAM原理
M.20 电信网的维护原理
M.30 电信管理网的原理
M.36 ISDN的维护原理
防火墙
防火墙简介
防火墙的特点
实现防火墙的技术
防火墙的体系结构及组合形式
内部防火墙
防火墙的未来发展趋势
防火墙简介
防火墙是一类防范措施的总称,它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。防火墙简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。
防火墙的功能有:
1、过滤掉不安全服务和非法用户
2、控制对特殊站点的访问
3、提供监视Internet安全和预警的方便端点
由于互连网的开放性,有许多防范功能的防火墙也有一些防范不到的地方:
1、防火墙不能防范不经由防火墙的攻击。例如,如果允许从受保护网内部不受限制的向外拨号,一些用户可以形成与Internet的直接的连接,从而绕过防火墙,造成一个潜在的后门攻击渠道。
2、防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。
3、防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Internet主机上并被执行而发起攻击时,就会发生数据驱动攻击。
因此,防火墙只是一种整体安全防范政策的一部分。这种安全政策必须包括公开的、以便用户知道自身责任的安全准则、职员培训计划以及与网络访问、当地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护的有关政策。
防火墙的特点
一般防火墙具备以下特点:
1、广泛的服务支持:通过将动态的、应用层的过滤能力和认证相结合,可实现WWW浏览器、HTTP服务器、 FTP等;
2、对私有数据的加密支持:保证通过Internet进行虚拟私人网络和商务活动不受损坏;
3、客户端认证只允许指定的用户访问内部网络或选择服务:企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分;
4、反欺骗:欺骗是从外部获取网络访问权的常用手段,它使数据包好似来自网络内部。防火墙能监视这样的数据包并能扔掉它们;
5、C/S模式和跨平台支持:能使运行在一平台的管理模块控制运行在另一平台的监视模块。
实现防火墙的技术
防火墙的实现从层次上大体上可以分两种:报文过滤和应用层网关。
报文过滤是在IP层实现的,因此,它可以只用路由器完成。报文过滤根据报文的源IP地址、目的IP地址、源端口、目的端口及报文传递方向等报头信息来判断是否允许报文通过。现在也出现了一种可以分析报文数据区内容的智能型报文过滤器。
报文过滤器的应用非常广泛,因为CPU用来处理报文过滤的时间可以忽略不计。而且这种防护措施对用户透明,合法用户在进出网络时,根本感觉不到它的存在,使用起来很方便。报文过滤另一个也是很关键的弱点是不能在用户级别上进行过滤,即不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设成一个合法主机的IP地址,就可以很轻易地通过报文过滤器。
报文过滤的弱点可以用应用层网关解决。在应用层实现防火墙,方式多种多样,下面是几种应用层防火墙的设计实现。
1、应用代理服务器(Application Gateway Proxy)
在网络应用层提供授权检查及代理服务。当外部某台主机试图访问受保护网络时,必须先在防火墙上经过身份认证。通过身份认证后,防火墙运行一个专门为该网络设计的程序,把外部主机与内部主机连接。在这个过程中,防火墙可以限制用户访问的主机、访问时间及访问的方式。同样,受保护网络内部用户访问外部网时也需先登录到防火墙上,通过验证后,才可访问。
应用网关代理的优点是既可以隐藏内部IP地址,也可以给单个用户授权,即使攻击者盗用了一个合法的IP地址,也通不过严格的身份认证。因此应用网关比报文过滤具有更高的安全性。但是这种认证使得应用网关不透明,用户每次连接都要受到认证,这给用户带来许多不便。这种代理技术需要为每个应用写专门的程序。
2、回路级代理服务器
即通常意义的代理服务器,它适用于多个协议,但不能解释应用协议,需要通过其他方式来获得信息,所以,回路级代理服务器通常要求修改过的用户程序。
套接字服务器(Sockets Server)就是回路级代理服务器。套接字(Sockets)是一种网络应用层的国际标准。当受保护网络客户机需要与外部网交互信息时,在防火墙上的套服务器检查客户的User ID、IP源地址和IP目的地址,经过确认后,套服务器才与外部的服务器建立连接。对用户来说,受保护网与外部网的信息交换是透明的,感觉不到防火墙的存在,那是因为网络用户不需要登录到防火墙上。但是客户端的应用软件必须支持 “Socketsified API”,受保护网络用户访问公共网所使用的IP地址也都是防火墙的IP地址。
3、代管服务器
代管服务器技术是把不安全的服务如FTP、Telnet等放到防火墙上,使它同时充当服务器,对外部的请求作出回答。与应用层代理实现相比,代管服务器技术不必为每种服务专门写程序。而且,受保护网内部用户想对外部网访问时,也需先登录到防火墙上,再向外提出请求,这样从外部网向内就只能看到防火墙,从而隐藏了内部地址,提高了安全性。
4、IP通道(IP Tunnels)
如果一个大公司的两个子公司相隔较远,通过Internet通信。这种情况下,可以采用IP Tunnels来防止Internet上的黑客截取信息,从而在Internet上形成一个虚拟的企业网。
5、网络地址转换器(NAT Network Address Translate)
当受保护网连到Internet上时,受保护网用户若要访问Internet,必须使用一个合法的IP地址。但由于合法Internet IP地址有限,而且受保护网络往往有自己的一套IP地址规划(非正式IP地址)。网络地址转换器就是在防火墙上装一个合法IP地址集。当内部某一用户要访问Internet时,防火墙动态地从地址集中选一个未分配的地址分配给该用户,该用户即可使用这个合法地址进行通信。同时,对于内部的某些服务器如Web服务器,网络地址转换器允许为其分配一个固定的合法地址。外部网络的用户就可通过防火墙来访问内部的服务器。这种技术既缓解了少量的IP地址和大量的主机之间的矛盾,又对外隐藏了内部主机的IP地址,提高了安全性。
6、隔离域名服务器(Split Domain Name Server )
这种技术是通过防火墙将受保护网络的域名服务器与外部网的域名服务器隔离,使外部网的域名服务器只能看到防火墙的IP地址,无法了解受保护网络的具体情况,这样可以保证受保护网络的IP地址不被外部网络知悉。
7、邮件技术(Mail Forwarding)
当防火墙采用上面所提到的几种技术使得外部网络只知道防火墙的IP地址和域名时,从外部网络发来的邮件,就只能送到防火墙上。这时防火墙对邮件进行检查,只有当发送邮件的源主机是被允许通过的,防火墙才对邮件的目的地址进行转换,送到内部的邮件服务器,由其进行转发。
防火墙的体系结构及组合形式
1、屏蔽路由器(Screening Router)
这是防火墙最基本的构件。它可以由厂家专门生产的路由器实现,也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道,要求所有的报文都必须在此通过检查。路由器上可以装基于IP层的报文过滤软件,实现报文过滤功能。许多路由器本身带有报文过滤配置选项,但一般比较简单。
单纯由屏蔽路由器构成的防火墙的危险带包括路由器本身及路由器允许访问的主机。它的缺点是一旦被攻陷后很难发现,而且不能识别不同的用户。
2、双穴主机网关(Dual Homed Gateway)
这种配置是用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自与受保护网和外部网相连。堡垒主机上运行着防火墙软件,可以转发应用程序,提供服务等。
双穴主机网关优于屏蔽路由器的地方是:堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。这对于日后的检查很有用。但这不能帮助网络管理者确认内网中哪些主机可能已被黑客入侵。
双穴主机网关的一个致命弱点是:一旦入侵者侵入堡垒主机并使其只具有路由功能,则任何网上用户均可以随便访问内网。
3、被屏蔽主机网关(Screened Host Gateway)
屏蔽主机网关易于实现也很安全,因此应用广泛。例如,一个分组过滤路由器连接外部网络,同时一个堡垒主机安装在内部网络上,通常在路由器上设立过滤规则,并使这个堡垒主机成为从外部网络唯一可直接到达的主机,这确保了内部网络不受未被授权的外部用户的攻击。
如果受保护网是一个虚拟扩展的本地网,即没有子网和路由器,那么内网的变化不影响堡垒主机和屏蔽路由器的配置。危险带限制在堡垒主机和屏蔽路由器。网关的基本控制策略由安装在上面的软件决定。如果攻击者设法登录到它上面,内网中的其余主机就会受到很大威胁。这与双穴主机网关受攻击时的情形差不多。
4、被屏蔽子网 (Screened Subnet)
这种方法是在内部网络和外部网络之间建立一个被隔离的子网,用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现中,两个分组过滤路由器放在子网的两端,在子网内构成一个“非军事区”DMZ。有的屏蔽子网中还设有一堡垒主机作为唯一可访问点,支持终端交互或作为应用网关代理。这种配置的危险带仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。
如果攻击者试图完全破坏防火墙,他必须重新配置连接三个网的路由器,既不切断连接又不要把自己锁在外面,同时又不使自己被发现,这样也还是可能的。但若禁止网络访问路由器或只允许内网中的某些主机访问它,则攻击会变得很困难。在这种情况下,攻击者得先侵入堡垒主机,然后进入内网主机,再返回来破坏屏蔽路由器,整个过程中不能引发警报。
建造防火墙时,一般很少采用单一的技术,通常是多种解决不同问题的技术的组合。这种组合主要取决于网管中心向用户提供什么样的服务,以及网管中心能接受什么等级风险。采用哪种技术主要取决于经费,投资的大小或技术人员的技术、时间等因素。一般有以下几种形式:
1、使用多堡垒主机;
2、合并内部路由器与外部路由器;
3、合并堡垒主机与外部路由器;
4、合并堡垒主机与内部路由器;
5、使用多台内部路由器;
6、使用多台外部路由器;
7、使用多个周边网络;
8、使用双重宿主主机与屏蔽子网。
内部防火墙
建立防火墙的目的在于保护内部网免受外部网的侵扰。有时为了某些原因,我们还需要对内部网的部分站点再加以保护以免受内部的其它站点的侵袭。因此,有时我们需要在同一结构的两个部分之间,或者在同一内部网的两个不同组织结构之间再建立防火墙(也被称为内部防火墙)。
防火墙的未来发展趋势
目前,防火墙技术已经引起了人们的注意,随着新技术的发展,混合使用包过滤技术、代理服务技术和其它一些新技术的防火墙正向我们走来。
越来越多的客户端和服务器端的应用程序本身就支持代理服务方式。比如,许多WWW 客户服务软件包就具有代理能力,而许多象SOCKS 这样的软件在运行编译时也支持类代理服务。
包过滤系统向着更具柔性和多功能的方向发展。比如动态包过滤系统,在CheckPoint Firewall-1、Karl Brige/Karl Brouter 以 及 Morning Star Secure Connect router 中的包过滤规则可由路由器灵活、快速的来设置。一个输出的UDP 数据包可以引起对应的允许应答UDP 创立一个临时的包过滤规则,允许其对应的UDP 包进入内部网。
被称为“ 第三代”产品的第一批系统已开始进入市场。如Border 网络技术公司的Border 产品和Truest 信息系统公司的Gauntlet 3.0 产品从外部向内看起来像是代理服务(任何外部服务请求都来自于同一主机),而由内部向外看像一个包过滤系统(内部用户认为他们直接与外部网交互)。这些产品通过对大量内部网的外向连接请求的计帐系统和包的批次修改对防火墙的内外提供相关的伪像。Karl Bridge/Karl Brouter 产品拓展了包过滤的范围,它对应用层上的包过滤和授权进行了扩展。这比传统的包过滤要精细得多。
目前,人们正在设计新的IP 协议(也被称为IP version 6)。IP 协议的变化将对防火墙的建立与运行产生深刻的影响。同时,目前大多数网络上的机器的信息流都有可能被偷看到,但更新式的网络技术如帧中继,异步传输模式(ATM)可将数据包源地址直接发送给目的地址,从而防止信息流在传输中途被泄露。