硬件防火墙设备_硬件防火墙优缺点

1.防火墙分为哪两种类型？比较它们在维护网络安全方面的优缺点

2.苹果电脑现有硬件设施.的优缺点？

3.企业防火墙的种类有哪些？是什么，大概用在哪方面.如题 谢谢了

4..电子商务网站的安全防范技术

5.如何鉴别硬件防火墙性能的差异

建网站的投入可是很大的。

首先是申请免费个人主页空间（当然也可以申请付费的，看你自己的情况了）。你可以在搜索引擎中以"免费"为关键字进行搜索，在找到的网页中查看免费个人主页部分，进入提供免费个人主页的网站之后，再按步骤完成申请表格。然后是编辑个人网页。如果你是初学者，建议你使用FrontPage，因为它是一个所见即所得的网页编辑软件，也是微软OFFICE的一个组件，使用起来和WORD有很多类似之处。最后是上传网页。请按提供个人主页空间服务的网站上的上传说明中的方法上传你编辑好的网页。经过这些步骤，你的个人主页就建立了.

如何建立一个网站？

（信息来源：商翼网站策划 ）

一、引言

一个网站的整体规划和设计的好坏是它发展的重要之处， 也是它吸引人们浏览的所在之处。Internet/Intranet技术的日益发展，使人们认识到了Internet/Intranet的优势，更使得数据库与web的连接成为数据库开发方面的热门技术之一。

通常情况下，通过浏览器看到的网页大多是静态的。所谓“静态”，是指网站的网页内容“固定不变”， 当浏览器通过互联网的HTTP（Hypertext Transport Protocol）协议向Web服务器请求提供网页时，服务器仅仅是将原来设计好的静态HTML文档传给浏览器。其页面内容使用的仅仅是标准的HTML代码，最多再加上流行的GIF89A 格式的动态，比如产生几只小猫小狗跑来跑去的动画效果。 若网站维护者要更新网页的内容，就必须手动更新所有的HTML文档。静态网站的致命弱点就是不易维护。为了更新网页的内容， 网站维护者必须重复制作HTML文档，随着网站内容和信息量的日益扩增，可以想象这是多么复杂繁琐的工作。

那么，什么是站呢？所谓“动态”，并不是指放在网页上的会动，动态页面应具有以下几个特点：

（一）.交互性：即网页能根据客户的要求和选择而动态改变和响应，浏览器即作为客户端界面，这是今后Web发展的大势所趋。

（二）.自动更新：即无需手动更新HTML文档， 就能自动生成新的页面，从而大大减少工作量。

（三）.因时因人而变：即当不同的时间、不同的人访问同一网址时能产生不同的页面，这一点对于需要对使用者授权的网站尤其适用。

随着的Internet迅速发展，不管是专业的ISP(Internet服务提供者)和ICP(Internet内容提供者)，还是一般的机关、银行、交通部门、学校、医院、服务者，甚至是每个人，都在积极寻求在Internet上发布信息，提供新型的网上管理和服务。可以说，网站设计和网站的编辑正成为新兴的热门行业。

二、网站的系统分析

（一）.项目立项

我们接到客户的业务咨询，经过双方不断的接洽和了解，并通过基本的可行性讨论够，初步达成制作协议，这时就需要将项目立项。较好的做法是成立一个专门的项目小组，小组成员包括：项目经理，网页设计，程序员，测试员，编辑/文档等必须人员。

（二）.客户的需求说明书

第一步是需要客户提供一个完整的需求说明。很多客户对自己的需求并不是很清楚，需要您不断引导和帮助分析。有些客户可能对自己建什么样的网站根本就没有明确的目的，以及他的网站建好后来干什么也是一无所知，为了客户能有明确的目的我们需要耐心说明，仔细分析，挖掘出客户潜在的，真正的需求。这样对大家都有好处，我们的宗旨应该是“客户明明白白，双方高高兴兴。”对客户和自己都是一种负责。

配合客户写一份详细的，完整的需求说明会花很多时间，但这样做是值得的，而且一定要让客户满意，签字认可。把好这一关，可以杜绝很多因为需求不明或理解偏差造成的失误和项目失败。糟糕的需求说明不可能有高质量的网站。那么需求说明书要达到怎样的标准呢？简单说，包含下面几点：正确性：每个功能必须清楚描写交付的功能；可行性：确保在当前的开发能力和系统环境下可以实现每个需求；必要性：功能是否必须交付，是否可以推迟实现，是否可以在削减开支情况发生时"砍"掉；简明性：不要使用专业的网络术语；检测性：如果开发完毕，客户可以根据需求检测。

三、建设方案

（一）.建站理念

(1)预早筹划

设计主页未必很艰难。但这一工作与编制传统的宣传品一样，都需要我们谨慎处理和筹划。换言之，我们必须首先 确定自己需要传达的主要信息，然后细意斟酌、把所有意念合情合理地组织起来；之后是设计一个页面式样，试用于有代表性的用户，接着重复修订，务求尽善尽美。

(2)尽量精简

主页的作用好比一本书的封面，是为了吸引用户测览你的网址内容。因此，主页的设汁应以醒目为上、令人一目了然。切勿堆砌太多不必要的细节，或使画面过于复杂。在主页上清楚列出三项要点，例如机构名称、提供的产品或服务 、以及主页内容(亦即你的其他页面还载有什么资料)。应切记页面给人的第一观感最为重要。在网上到处浏览的人很多。如果你的主页真没有吸引力，很难令他们深入观赏。

(3)尽量简朴

现今大部分用户那是用调制解调器接驳万维网，所以他们一般都要花很多时间等待主页传送到自己的系统。主页上的图形应力求简朴， 避免耽搁用户的时间。图像愈大、颜色愈深，传送页面的时间愈长。这并不是说你要完全略去图像不用，只是提醒你要注注意使用图像所引起的效果。主页上的颜色最好不超过六十四种，页顶图像最好保持在大约10KB(千字节)以下。切勿禁不住诱惑,觉得非要放入大幅的图画不可；应考虑只用三两幅短小精悍的图像。主页整体上要能够迅速传送。如果载入的时间超过十至十五秒，很多用户就会等得不耐烦。如果情况许可，最好先测试你的主页在稍差的条件下的传送速率，14.4千波特的调制解调器，或透过 Prodigy 等网上服务接驳万维网等。

此外、还须注意配合最低档的设备，例如标准的小型显示器，不要设都用高解像度的大荧幕。运用先进浏览软件所提供的一些尖端功能是可以的、但应确保你的主页在次一级的浏览软件上(例如某些网上服务所提供的专用浏览软件)仍可畅顺地显现。

(4)善用图像

用户在网上四处漫游，你必须设法吸引和维护他们对你的主页的注意力。万维网的其中一个最重大是其多媒体能力，所以我们无论如何要善加利用。主页上最好有醒目的图像、新颖的画面、美观的字款，使其别具特色，令人过目不忘。图像的内容应有一定的实际作用，切忌虚饰浮夸。最佳的图像应集美观与传讯于一身。注意图画可以弥补文字之不足，但并不能够完全取代文字。很多用户把浏览软件设定为略去图像，以求节省时间他们只看文字。因此，制作主页时，必须注意将图像所带的重要信息或联接其他页面的指示用文字重复表达—次。用“纯文中”模式测试已制成的主页，确保其传达到所有信息。

(5)使主页易于漫游

主页的其中一个主要功能是作为漫游工具，指引用户查阅你存储在网址或其他地点的信息。尽量使漫游过程不费吹灰之力。基于清晰明确和速度的考虑，主页上的联接项目应只限于几个高级的类别，例如公司、产品、服务、支援等。用六至八个联接项目最为理想。

此外，你提供的信息不应埋藏在重重叠叠的页面之下。穿越五个以上的联接项目已足以令人厌烦。因此，你必须在广度和深度之间求取平衡。如果你的网址上有太多信息，你可能要编制较长的页面或使用更多联接项目，甚至可能要建立多个主页、 使每个主页载有不同的信息。如果能够让用户在主页上以关键字或词语查找所需的信息，肯定受用户欢迎。

若你有充足的，便应找一位专家来评估你设计的主页是否方便易用。设法找一些对主页陌生的用户，来试用你的初步制成品。

(6)提网协领

主页—般须载有以下事项：

标题,此标题须清楚无误地标示你的网站。标题可以是名称、标语徽号或图像。

电子邮件地址 ,以便用户有问题时，可以通知你。

版权资料,这是适用于主页内容的版权规定。你可以在主页上标示一句简短的版权声明，用联接方法带出另—个载有详细使用条款的页面,这样可以避免主页显得乱糟糟。

联络资料 ,列出通讯地址电话号码等。

(7)循环利用现有信息

制作主页时，通常都毋须从头做起，因为有许多现成的文字、图画等资料可供我们重用，例如宣传小册、公关文件、技术手册、资料库等。很多情况下，只要用少许功夫、就可把这些材料转到网页上使用。

(8)保持新鲜感

万维网上不断有新事物出现、每天都有新花样。如果你的主页从不改变，用户很快会厌倦。在主页上预告即将有新资料推出，可吸引用户再来浏览不妨在页头以大字标题宣布新消息。可以定期改变主页上的图像、或更改主页的式样。趣味性的事项可以持续或自动更新、例如列出会浏览你的网站的人次。

同样，为保持新鲜感，应时刻确保主页提供的是最新信息。将更新主页信息的工作纳入既定的公关及资料编制内，亦即当你使用传统方法(例如新闻稿)传递的新信息时出现在你的主页上。确保连接项目运作畅顺，以免用户在荧幕上收到“无法查阅所需档案”的信息而大感没趣。

(9)贯彻诺言

做不到的事情，千万不要轻易承诺。切勿随便叫用户做出回应行动，例如要求用户填交订贷表格，除非你已制订好处理这些订单的方法和交货程序。如果在网上列出联络电话,就要确保自己能够迅速解决来电者的问题。

(10)吸引用户浏览

既然绞尽脑汁把主页弄得美观实用，没有人来欣赏就太可惜了。为吸引所有网中人来浏览，必须使主页易于寻找。通知其他网站(例如题材相关的网站)，他们可能想连接你的主页。安排将自己的网址列在所有相关的网址目录、索引、查找程序和“What's new”页面上。尽量将网址传播开去，使之出现在 Internet和所有传统煤体上、例如书刊广告、公关文件、宣传品等。

在网站上，于每个页面设置“home”按键，方便用户随时返回主页。

万维网充满生命力、正在不断演进，所以一些现时适用的经验，将来未必合用。举例来说，将来家居用户有高速线路接驳Internet，就可以消除数据传输目前的所受的限制、使主页的篇幅可以更长，页面更华丽。新的浏览功能、例如Sun的 HotJa浏览软件所提供的先进功能、将使万维网更强劲和更方便沟通。 HotJa将主页由静态的文件转为动态的实体， 提供诸如即时制作动画、背景音乐、即时存入资料(例如不断更新股票价格)、话音广播等功能、为网上用户带来更多乐趣。有好的主页，还须有精良的设备支持。网站服务器不断推陈出新，使建设网站的工作愈来愈容易。

（二）.网站总体设计

在拿到客户的需求说明后，并不是直接开始制作，而是需要对项目进行总体设计，详细设计出一份网站建设方案给客户。总体设计是非常关键的一步。它主要确定：网站需要实现哪些功能；网站开发使用什么软件，在什么样的硬件环境；需要多少人，多少时间；需要遵循的规则和标准有哪些。同时需要写一份总体规划说明书，包括：网站的栏目和板块；网站的功能和相应的程序；网站的链接结构；如果有数据库，进行数据库的概念设计；网站的交互性和用户友好设计。

在总体设计出来后，一般需要给客户一个网站建设方案。很多网页制作公司在接洽业务时就被客户要求提供方案。那时的方案一般比较笼统，而且在客户需求不是十分明确的情况下提交方案，往往和实际制作后的结果会有很大差异。所以应该尽量取得客户的理解，在明确需求并总体设计后提交方案，这样对双方都有益处。网站建设方案的包括以下几个部分：.客户情况分析；网站需要实现的目的和目标；网站形象说明；网站的栏目板块和结构；网站内容的安排，相互链接关系；使用软件，硬件和技术分析说明；开发时间进度表；宣传推广方案；维护方案；制作费用；本公司简介：成功作品，技术，人才说明等。当您的方案通过客户的认可，那么可以开始动手制作网站了。但还不是真正意义上的制作，你需要进行详细设计。

（三）．网站详细设计

总体设计阶段以比较抽象概括的方式提出了解决问题的办法。详细设计阶段的任务就是把解法具体化。详细设计主要是针对程序开发部分来说的。但这个阶段的不是真正编写程序，而是设计出程序的详细规格说明。这种规格说明的作用很类似于其他工程领域中工程师经常使用的工程蓝图，它们应该 包含必要的细节，例如：程序界面，表单，需要的数据等。程序员可以根据它们写出实际的程序代码。我们这次主要用ASP来实现有关功能和解决有关问题的，例如，公告版BBS,聊天室，信息发布系统， 网上超市等都用ASP来实现人机交互功能的，其中也用到调用数据库的技术。

ASP (Active Server Pages)是Microsoft 公司推出的一种Web应用程序开发技术，也是服务器端的脚本（Script）运行环境，使用该技术可以开发动态的、交互的Web应用程序。

（四）.网站的制作规范探讨

(1)网站目录规范

目录建立的原则：以最少的层次提供最清晰简便的访问结构。

a.根目录。根目录指DNS域名服务器指向的索引文件的存放目录。根目录只允许存放index.html和main.html文件，以及其他必须的系统文件；

b.每个语言版本存放于独立的目录；

c.每个主要功能(主菜单)建立一个相应的独立目录；

d.当页面超过20页，每个目录下存放各自独立images目录，共用的放在根目录下的images目录下；

e.所有的js文件存放在根目录下统一目录script；

f.所有的CSS文件存放在各语言版本下的style目录

g.所有的CGI程序存放在根目录并列目录cgi_bin目录

(2)文件命名规范

文件命名的原则：以最少的字母达到最容易理解的意义。

a.索引文件统一使用index.html文件名(小写)。index.html文件统一作为“桥页”制作具体内容，仅仅作为跳转页和meta标签页。主内容页为main.htm；

b.菜单名称按菜单名的英语翻译为名称。例如：关于我们aboutus;信息反馈feedback 产 品product;所有单英文单词文件名都必须为小写，所有组合英文单词文件名第二个起第一个字母大写；

c.所有文件名字母间连线都为下划线;

d.命名原则以英语字母为名,大小原则写同上;

e.js的命名原则以功能的英语单词为名。例如：广告条的js文件名为:ad.js

f.所有的CGI文件后缀为.cgi。

(3)链接结构规范

链接结构的原则：用最少的链接，使得浏览最有效率。首页和一级页面之间用星状链接结构，一级和二级页面之间用树状链接结构。超过页面，在页面顶部设置导航条。

(4)尺寸规范

a.页面标准按800*600分辨率制作，实际尺寸为778*434px;

b.每个标准页面为A4幅面大小，即8.5X11英寸;

c.大banner为468*60px，小banner为88*31px。

(5) 首页HEAD区规范

a.公司版权注释

b.网页显示字符集

简体中文：

繁体中文：

英 语：

c.网页制作者信息

d.网站简介

e.搜索关键字

f.网页的css规范

g.网页标题

四、网站的设计制作

1.整体形象设计

在程序员进行详细设计的同时，网页设计师开始设计网站的整体形象和首页。

整体形象设计包括标准字，Logo，标准色彩，广告语等。 首页设计包括版面，色彩，图像，动态效果，图标等风格设计，也包括banner，菜单，标题，版权等模块设计。首页一般设计1-3个不同风格。

2.开发制作

本次网站规划设计用软件工程的设计方法，设计小组在系统分析和总体设计的基础上，将设计任务分解，分配到设计组的每个成员，各模块有设计组成员单独承担设计和调试，既有分工，又有协作，最后将各模块上载到服务器上，做链接和整体的调试。

3.调试完善

各模块初步完成后，上传到服务器，对网站进行全范围的测试。包括速度，兼容性，交互性，链接正确性，程序健壮性，超流量测试等，发现问题及时解决并记录下来。

网站建设实际上是一个不断充实和完善的过程，通过不断的发现问题，解决问题，修改，补充，使网站结构趋向合理，内容更加丰富，形式更富有感染力。

4.宣传推广

刚刚建成的网站就好像一个新注册的电话号码，没有人会自动找上门来，这时你就需要适当地做一些网站推广工作了,这里有很多方法，例如：

a.网页里设置适当的META标签；

b.交换友情链接。这是个免费而高效的办法，就好比在别人商店打上你的广告，在你的商店打上别人的广告，这样一来当网友参观别人的网站时就知道你的网站了，如果你的广告做的好，他一多半都会参观你的网站，这是件无须开支、互利互惠的好事情，推荐使用。

c. 在各大搜索网站（例如sohu yahoo）注册你的网站，这样当别人在搜索同类的信息时就会发现你的网站；

d.备新闻稿件在各新闻公告板发表；

e.合理使用Email邮件列表；

f.付费广告，这个办法最有效了，但它是付费的；

g.在论坛里贴条子。这个办法效率不高，也很累，有时也会被别人删除掉，所以不推荐。

另外还需要说明的是，请千万不要使用发垃圾邮件来推广个人主页，这样不但不会使别人喜欢你的网站，反而会引起别人的极度反感，这是一种不道德的行为。

至此，网站项目建设完毕。

5．维护

网站做好了是不是就打算一劳永逸呢？不是，如果网站做大的话，网站维护也是个艰巨的工作。当网站变得十分庞大时将会有不计其数的、网页文件等内容，如果它们有一个丢失或链接失败都会引起网页错误，想想我们做的多副如果少一副会是什么情景？所以我们一定要保证整个网站的“健康”和完整。为了使网站健康、完整，通常我们在做新网站之前，都应该在DW里建设一个“本地网站”，也就是自己电脑上的网站副本，这样才能有效减少网站错误，刚才我们制作网站时是先做网页后建网站，其实这种网站建设方法是错误的，正确的是先建网站后添加内容。另外就是要时常检查网站的链接是否有误，这里我们可以使用DW的SITE程序的SITE菜单中CHECK LINK SITEWIDE选项来检查网站中是否有断掉的链接，以便及时修复。

另外我们还应该科学地存放不同类型的文件，例如将网站中的都放在一个文件夹里，将网页放在另一个文件夹里。而且如果将来网站真的“肥沃”起来，我们甚至需要为每一个栏目建立一个文件夹，例如将有关MUSIC栏目的文件放在一个文件夹里，将PICTURES栏目的文件放在一个文件夹里，这样一来，会为我们的维护工作减少很多不必要的麻烦！

网站维护最后要说的就是网站的文件备份了，如果电脑发生了灾难，我们的网站就很可能要瘫痪了，所以时常备份网站文件也是很重要的。

网站成功推出后，长期的维护工作才刚刚开始，我们需要做到的是:及时响应客户反馈；例如可以取Email自动回复功能，然后尽快解决问题，再次回复；网站流量统计分析和相应对策；尽量推广和使用您的网址；网站内容的及时更新和维护。

五、网站安全问题及对策

防火墙是阻止外面的人对你的网络进行访问的任何设备，此设备通常是软件和硬件和组合体，它通常根据一些规则来挑选想要或不想要的地址。

首先绝大多数简单的身份验证过程都是以IP地址为根据的。IP地址是Internet网上最普遍的身份索引，它有静态和动态之分。 静态IP地址即固定不变的IP地址；它可以是某台连在Internet网上的主机地址。静态IP地址分在几类。其中一类能通过Whois查询命令得到；并且此类地址主要是Internet网上最高层的主机的IP地址，这些主机可以是域名服务器、Web服务器和“根”主机，并且在InterNIC的Whois数据库中都有它们的注册主机名。另一类静态IP地址被分配给Internet网中的第二和第三层主机（这些机器还有固定的物理地址），然而这些机器不一定拥有注册主机名。但不管怎样它们有注册的IP地址。动态IP地址是指每次强制分配给不同的上网主机的地址。ISP的拔号服务器中经常使用动态IP地址－－节点机每次拔号上网，都会被分配一个不同的IP地址。无论IP地址是静态还是动态的，它都被用于网络传输中。

防火墙最基本的构件既不是软件也不是硬件，而是构造防火墙的人的思想。目前存在着许多类型的防火墙，每种都有各自的优缺点，最常见的一种上称为“网络层防火墙”的防火墙。网络层防火墙通常以路由器为基础，换句话说路由器决定“谁”和“什么”能访问你的网络。这种方案用了一种所谓的“数据报过滤”技术，即检查到达路由器的外部数据报并作出选择的技术。

以路由器为基础的防火墙要对每个联结请求的源地址（即发出数据报的主机的IP地址）进行检查。确认了每个IP源地址后，防火墙构造者所制定的规则将被实施。基于路由器的防火墙有很快的速度，这是因为它草地检查一下源地址，没有发挥路由器的真正作用，并根本不判断地址是否是的或伪装的。然而速度的加快是有代价的，基于路由器防火墙将源地址作为索引，这就意味着带有伪造源地址的数据报能在一定程度对你的服务器进行访问。

为了网站的安全，除了在Internet服务管理器的Web站点属性中设置好目录安全性外，还应该选择保护性好的防火软件，由于时间关系，我们本次使用的是网络保护神LockDown 2000，它能清除目前已知（553种）和未知的所有特洛伊木马、邮件，防止网络攻击、在线检测和控制所有对本机的访问，还能跟踪入侵者，留下它的罪证。

LockDown2000是目前世界上针对Windows操作系统最有效、最完善的安全防护软件，它能非常智能化地追踪和识别未经允许的用户。LockDown2000可以使Internet用户免遭最老练黑客的攻击，阻止任何人闯入你的计算机，保护你的文件不被人偷看或删除。如果你要与他人共享你的，只须列出他们的地址，他们就可以访问你的计算机。LockDown2000的作用就像一道设在你计算机和Internet之间的防火墙，它会自动地为你实时查寻目前世界上的各种黑客程序。

如果你允许某些人访问你的计算机，LockDown2000会保存一份完整的记录并简要地报告联接到你计算机的用户的身份。通过反登录，详细地记载他们连接的时间和地址情况，以及十分详细地记录他们在你计算机里到底做了什么事情。

它的主要功能有：

1．能够完全关闭远程用户（很有可能这种用户就是黑客）对你计算机系统的访问；

2．实时监控和记录远程用户在你计算机里的活动情况；

3．自动追踪所有连接情况，记录黑客的IP地址、域名和计算机名称；

4．如果有人已经连接到了你的计算机或正在企图闯入，LockDown2000会用不同的声音发出警告。如果有人未经你的许可，就连接到你的计算机，它立刻会在屏幕上弹出警告窗口和实时监控窗口；

5．完全控制Internet或局域网的任何连接情况；

6．可以自动地任意断开与一个用户或所有用户的连接，这对于共享的计算机而言，是非常重要的；

7．能够记录以前连接到你的计算机的用户资料，能够限制与你计算机连接的数目；

8．如果你喜欢使用ICQ与外界联系，LockDown2000能够向黑客发送无效的文件包，从而使你的计算机免遭黑客的ICQ的攻击；

9．可以查出和中止偷偷运行在你限制的程序列表中的任何一个程序，这种程序很可能是一种不知名的黑客程序或。

此外，LockDown2000还有易于安装、与其它程序不发生任何冲突的特点。

防火墙分为哪两种类型？比较它们在维护网络安全方面的优缺点

防火墙的np架构

np可以说是介于两者之间的技术，np是专门为网络设备处理网络流量而设计的处理器，其体系结构和指令集对于防火墙常用的包过滤、转发等算法和操作都进行了专门的优化，可以高效地完成tcp/ip栈的常用操作，并对网络流量进行快速的并发处理。

硬件结构设计也大多用高速的接口技术和总线规范，具有较高的i/o能力。

它可以构建一种硬件加速的完全可编程的架构，这种架构的软硬件都易于升级，软件可以支持新的标准和协议，硬件设计支持更高网络速度，从而使产品的生命周期更长。

由于防火墙处理的就是网络数据包，所以基于np架构的防火墙与x86架构的防火墙相比，性能得到了很大的提高。

np通过专门的指令集和配套的软件开发系统，提供强大的编程能力，因而便于开发应用，支持可扩展的服务，而且研制周期短，成本较低。

但是，相比于x86架构，由于应用开发、功能扩展受到np的配套软件的限制，基于np技术的防火墙的灵活性要差一些。

由于依赖软件环境，所以在性能方面np不如asic。

np开发的难度和灵活性都介于asic和x86构架之间，应该说，np是x86架构和asic之间的一个折衷。

目前np的主要提供商是intel和motorola，国内基于np技术开发千兆防火墙的厂商最多，联想、紫光比威等都有相关产品推出。

从上面可以看出，x86架构、np和asic各有优缺点。

x86架构灵活性最高，新功能、新模块扩展容易，但性能肯定满足不了千兆需要。

asic性能最高，千兆、万兆吞吐速率均可实现，但灵活性最低，定型后再扩展十分困难。

np则介于两者之间，性能可满足千兆需要，同时也具有一定的灵活性。

三种架构综合比较

苹果电脑现有硬件设施.的优缺点？

按传统理论,防火墙可分为包过滤(Packetfiltering)和应用代理(ApplicationProxy)两种类型。

1、包过滤型(Packet Filter):包过滤通常安装在路由器上,并且大多数商用路由器都提供了包过滤的功能。另外, PC机上同样可以安装包过滤软件。包过滤规则以IP包信息为基础,对IP源地址、IP目标地址、封装协议(TCP/UDP/ICMPIP Tunnel)、端口号等进行筛选。

2、代理服务型(Proxy Service):代理服务型防火墙通常由两部分构成:服务器端程序和客户端程序。客户端程序与中间节点(Proxy Server)连接,中间节点再与要访问的外部服务器实际连接。与包过滤型防火墙不同的是,内部网与外部网之间不存在直接的连接,同时提供日志(Log)及审计(Audit)服务。

3、复合型(Hybrid)防火墙:把包过滤和代理服务两种方法结合起来,可以形成新的防火墙,所用主机称为堡垒主机(Bastion Host),负责提供代理服务。

4、其它防火墙:路由器和各种主机按其配置和功能可组成各种类型的防火墙。双端主机防火墙(Dyal-Homed Host Firewall)堡垒主机充当网关,并在其上运行防火墙软件。内部网与外部网之间不能直接进行通信,必须经过堡垒主机。屏蔽主机防火墙(Screened Host Firewall)一个包过滤路由器与外部网相连,同时,一个堡垒主机安装在内部网上,使堡垒主机成为外部网所能到达的唯一节点,确保内部网不受外部非授权用户的攻击。加密路由器(Encrypting Router):加密路由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进行解压缩和解密。

其实目前防火墙产品非常之多，划分的标准也比较杂。 主要分类如下：

1. 从软、硬件形式上分为 软件防火墙和硬件防火墙以及芯片级防火墙。

2.从防火墙技术分为 “包过滤型”和“应用代理型”两大类。

3.从防火墙结构分为 < 单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。

4. 按防火墙的应用部署位置分为 边界防火墙、个人防火墙和混合防火墙三大类。

5. 按防火墙性能分为 百兆级防火墙和千兆级防火墙两类。

企业防火墙的种类有哪些？是什么，大概用在哪方面.如题 谢谢了

可以从以下几个方面来看：

买电脑的目的和需要；

买机器本来就是为了使用，而使用则很大程度上涉及到软件问题。从软件角度上讲，苹果的Mac OS系统在业界享誉很高，长期以来，特别是在安全方面有着良好的记录。虽然近日苹果新系统的防火墙设置被安全人士一阵狠批以及一个苹果木马的出现为苹果系统安全蒙上了一层阴影，但是这些充其量也就算是安全隐患，而不是真正的安全威胁。?

2.配置；

就不同种的苹果机而言，无论台式机还是笔记本，机器的体积越大，所用的处理器的主频就越高，硬盘的容量也越大。?

每种苹果机的出厂配置都有高配和低配。而高配和低配的主要差别也在于CPU、硬盘、内存和光驱，显卡有时也有所不同。应该注意的是，虽然购买低配时，也可以同时或以后将硬盘或内存升级到高配甚至是高于高配出厂配置的水平，但CPU和显卡往往很难自行升级。?

3.品牌和价格；

如果用一台17″的Macbook Pro和一台具有同样的配置Dell 17″笔记本来比的话，Dell的价格会接近甚至高于苹果，而且，苹果让你远离各种乱七八糟的接线、笨重的机体和电源适配器。?

但是苹果电脑的价格还是很高的相对于其他的电脑。

4.硬件的可扩展性（就是该电脑是不是以后容易升级，以及可升级到什么程度）；

苹果机的CPU和母板无法升级。在老款的苹果电脑上，比如早期的G4台式机，还可以通过安装加速器给CPU提速，但在新型的苹果电脑上，连可以用来安装加速器的空间都没有，就更不要提是否有适用于这些电脑的加速器的存在了。除了Mac Pro以外的苹果机无法升级显卡，也不能加PCI或PCI-express卡。并且从内存的价格来说，苹果的原装内存售价奇高，而这些内存本身都是其他公司代工的，如果电脑适合个人升级内存(阅读该产品的用户手册，如果提到内存更换，就说明苹果允许个人升级内存)。

5.硬件的兼容性（也就是该电脑是否可以接插某些附件。当然，大多数情况下兼容性是依靠操作系统以及驱动来完成的，而从硬件角度来说，机器是否留有必备的插口则直接决定了是否能够接插某些附件）；

能够在苹果机上使用的上网卡很少，因此如果只能通过使用上网卡来上网，就应该先咨询一下网络服务商支持什么样的能在苹果机上使用的上网卡。另外，如果打算把电脑来电视连接起来，就应该阅读电视的说明书，检查接口，看看是否需要何种适配器才能跟你的苹果机相连。

6.售后服务问题。?

苹果公司规定产品在售出后14天内，在包装不被损坏的情况下才能退货。在售后一年内，用户的硬件有一定的质保。如果在售后一年内购买了AppleCare，可以延长质保三年。一般而言，三年内硬件部件需要更换的情况不是很高，但是，显卡、硬盘或笔记本电池需要更换的情况也有可能发生。售后还是很不错的。

.电子商务网站的安全防范技术

不同环境的网络，对于防火墙的要求各不一样。比如说IDS功能、***功能，对于一些小型的公司来说就不需要这些功能。再比如说流量和性能、处理能力之间的关系，究竟多大规模的网络，多大的流量需要多大的性能和多强的处理能力才算是合适呢?那么就需要选购者对于防火墙的选型方面仔细考虑了。 首先大概说一下防火墙的分类。就防火墙的组成结构而言，可分为以下三种： 第一种：软件防火墙 这里指的是网络版的软件防火墙而不是个人防火墙。个人防火墙在网上有很多可以的，不需要花钱买。软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。软件防火墙就象其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。 第二种：硬件防火墙 这里说的硬件防火墙是指所谓的硬件防火墙。之所以加上"所谓"二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，他们都基于PC架构，就是说，它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统，最常用的有老版本的Unix、Linux和FreeBSD系统。 第三种：芯片级防火墙 它们基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商莫过于NetScreen.其他的品牌还有FortiNet,算是后起之秀了。 对防火墙的分类有了初步的了解之后，选购者比较关心的就是下面所说的――这三种防火墙各自的优缺点以及这几种防火墙对于不同的网络环境的应用有何不同。弄清楚这些才能对防火墙本身有个比较好的了解，对于选购也是及其有帮助的。 在防火墙的应用上，除了防火墙的基本功能之外，还根据企业用户的需要添加了许多其他的扩展功能。 通常有NAT、DNS、***、IDS等。由于软件防火墙和硬件防火墙是运行于一定操作系统上的特定软件，所以一些防火墙所需要实现的功能就可以像大家普遍使用的软件一样，分成许多个模块。一些防火墙的厂商也是这样做的，他们将一些扩展的功能划分出来，如果需要使用则另行购买安装。例如IDS功能，有些公司已经购买了专业的IDS产品，那么防火墙上单加了一个IDS的功能则显得有些多余。那么就可以不再购买防火墙中IDS的部分。 芯片级防火墙的核心部分就是ASIC芯片，所有的功能都集成做在这一块小小的芯片上，可以选择这些功能是否被启用。由于有专用硬件的支持，在性能和处理速度上高出前两种防火墙很多，在拥有全部功能后处理速度还是比较令人满意的。 大多数人在选购防火墙的时候会着重于这个防火墙相对于其他防火墙都多出什么功能，性能高多少之类的问题。但对于防火墙来说，自身的安全性决定着全网的安全性。 由于软件防火墙和硬件防火墙的结构是软件运行于一定的操作系统之上，就决定了它的功能是可以随着客户的实际需要而做相应调整的，这一点比较灵活。当然了，在性能上来说，多添加一个扩展功能就会对防火墙处理数据的性能产生影响，添加的扩展功能越多，防火墙的性能就越下降。 由于前两种防火墙运行于操作系统之后，所以它的安全性很大程度上决定于操作系统自身的安全性。无论是UNIX、Linux、还是FreeBSD系统，它们都会有或多或少的漏洞，一旦被人取得了控制权，整个内网的安全性也就无从谈起了，黑客可以随意修改防火墙上的策略和访问权限，进入内网进行任意破坏。由于芯片级防火墙不存在这个问题，自身有很好的安全保护，所以较其他类型的防火墙安全性高一些。 芯片级防火墙专有的ASIC芯片，促使它们比其他种类的防火墙速度更快，处理能力更强。专用硬件和软件强大的结合提供了线速处理深层次信息包检查、坚固的加密、复杂内容和行为扫描功能的优化。不会在网络流量的处理上出现瓶颈。 防毒对于一个企业来说也是必不可少的。芯片级防火墙的后起之秀Fortinet就可以在网关处结合FortiContent技术为各种网络数据交易和企业网络进行高级别的安全防护,保护内部网络的安全。大部分防火墙都可以与防软件搭配实现扫毒功能，而扫毒功能通常是由其他的server来实现处理的。如此互动，与在防火墙在进行流量处理的同时就完成的扫毒功能相比自然是差了许多。 在小型且不需要其他特殊功能的网络来说，硬件防火墙无非是比较好的选择。由于不需要扩展功能，或者扩展功能用的比较少，另行购买的模块就少，在价格上和使用方面就比芯片级要合算。

如何鉴别硬件防火墙性能的差异

电子商务网站的安全措施

2.1 防火墙技术防火墙是指一个由硬件设备或软件、或软硬件组合而成的,在内部网与外部网之间构造的保护屏障。所有的内部网和外部网之间的连接都必须经过此保护层,并由它进行检查和连接。只有被授权的通信才能通过防火墙,从而使内部网络与外部网络在一定意义下隔离,防止非法入侵、非法使用系统、执行安全管制措施。防火墙基本分为两类:包过滤和基于代理的防火墙。包过滤防火墙对数据包进行分析、选择,依据系统内事先设定的过滤逻辑来确定是否允许该数据包通过。代理防火墙能够将网络通信链路分为两段,使内部网与Internet不直接通信,而是使用代理服务器作为数据转发的中转站,只有那些被认为可信赖的数据才允许通过。这两种防火墙各有其优缺点:包过滤器只能结合源地址、目标地址和端口号才能起作用,如果攻击者攻破了包过滤防火墙,整个网络就公开了。代理防火墙比包过滤器慢, 当网站访问量较大时会影响上网速度;代理防火墙在设立和维护规则集时比较复杂,有时会导致错误配置和安全漏洞。由于这两种防火墙各有优缺点,因而在实际应用中常将这两种防火墙组合使用。目前市场上最新的防火墙产品集成了代理和包过滤技术,提供了管理数据段和实现高吞吐速度的解决方案。这些混合型的设备在安全要求比吞吐速度有更高要求时,能实行代理验证服务,在需要高速度时,它们能灵活地用包过滤规则作为保护方法。

2.2 入侵检测系统防火墙是一种隔离控制技术,一旦入侵者进入了系统,他们便不受任何阻挡。它不能主动检测和分析网络内外的危险行为,捕捉侵入罪证。而入侵检测系统能够监视和跟踪系统、、安全记录和系统日志,以及网络中的数据包,识别出任何不希望有的活动,在入侵者对系统发生危害前,检测到入侵攻击,并利用报警与防护系统进行报警、阻断等响应。入侵检测系统所用的技术有: (1)特征检测:这一检测设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又网络时空不会将正常的活动包含进来。 (2)异常检测:设入侵者活动异于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。

2.3 网络漏洞扫描器没有绝对安全的网站,任何安全漏洞都可能导致风险产生。网络漏洞扫描器是一个漏洞和风险评估工具,用于发现、发掘和报告安全隐患和可能被黑客利用的网络安全漏洞。网络漏洞扫描器分为内部扫描和外部扫描两种工作方式: (1)外部扫描:通过远程检测目标主机TCP/IP不同端口的服务,记录目标给予的回答。通过这种方法,可以搜集到很多目标主机的各种信息,例如:是否能用匿名登录、是否有可写的FTP目录、是否能用TELNET等。然后与漏洞扫描系统提供的漏洞库进行匹配,满足匹配条件则视为漏洞。也可通过模拟黑客的进攻手法,对目标主机系统进行攻击性的安全漏洞扫描。如果模拟攻击成功,则可视为漏洞存在。 (2)内部扫描:漏洞扫描器以root身份登录目标主机, 记录系统配置的各项主要参数,将之与安全配置标准库进行比较和匹配,凡不满足者即视为漏洞。

2.4 防系统在网络中存储、传播、感染的途径多、速度快、方式各异,对网站的危害较大。因此,应利用全方位防产品, 实施“层层设防、集中控制、以防为主、防杀结合”的防策略,构建全面的防体系。常用的防技术有: (1)反扫描:通过对代码的分析找出能成为结构线索的唯一特征。扫描软件可搜索这些特征或其它能表示有某种存在的代码段。 (2)完整性检查:通过识别文件和系统的改变来发现。完整性检查程序只有当正在工作并做些什么事情时才能起作用,而网站可能在完整性检查程序开始检测之前已感染了,潜伏的也可以避开检查。 (3)行为封锁:行为封锁的目的是防止的破坏。这种技术试图在马上就要开始工作时阻止它。每当某一反常的事情将要发生时,行为封锁软件就会检测到并警告用户。

2.5 启用安全认证系统企业电子商务网站的安全除网站本身硬件和软件的安全外,还应包括传输信息的安全。对一些重要的的传输信息,应保证信息在传输过程中不被他人窃取、偷看或修改。因此,应在网站服务器中启用安全认证系统。安全认证系统对重要的信息用密码技术进行加密,使它成为一种不可理解的密文。接收方收到密文后再对它进行解密,将密文还原成原来可理解的形式。目前,在电子商务中普遍用SSL安全协议。SSL安全协议主要提供三方面的服务: (1)认证用户和服务器,使得它们能够确信数据将被发送到正确的客户机和服务器上。 (2)加密数据以隐藏被传送的数据。 (3)维护数据的完整性,确保数据在传输过程中不被改变。

3 结束语

任何一种安全措施都有其局限性,企业电子商务网站的设计人员必须在精心的安全分析、风险评估、商业需求分析和网站运行效率分析的基础上,制定出整体的安全解决方案。为保证整体安全解决方案的效率,各安全产品之间应该实现一种联动机制。当漏洞扫描器发觉安全问题时,就会通知系统管理员,及时取补漏措施;当入侵检测系统检测到攻击行为时,就会利用防火墙进行实时阻断;当防系统发现新时,也会及时更新入侵检测系统的攻击库,以提高入侵检测系统的检测效率;由于安全产品和服务器、安全产品与安全产品之间都需要进行必要的数据通信,为了保证这些通信的保密性和完整性,可以用安全认证手段。只有当各种安全产品真正实现联动时,网络安全才能得到保障。

有一些问题常令用户困惑:在产品的功能上，各个厂商的描述十分雷同，一些“后起之秀”与知名品牌极其相似。面对这种情况，该如何鉴别?描述得十分类似的产品，即使是同一个功能，在具体实现上、在可用性和易用性上，个体差异也十分明显。 一、网络层的访问控制 所有防火墙都必须具备此项功能，否则就不能称其为防火墙。当然，大多数的路由器也可以通过自身的ACL来实现此功能。 1.规则编辑 对网络层的访问控制主要表现在防火墙的规则编辑上，我们一定要考察:对网络层的访问控制是否可以通过规则表现出来?访问控制的粒度是否足够细?同样一条规则，是否提供了不同时间段的控制手段?规则配置是否提供了友善的界面?是否可以很容易地体现网管的安全意志? 2.IP/MAC地址绑定 同样是IP/MAC地址绑定功能，有一些细节必须考察，如防火墙能否实现IP地址和MAC地址的自动搜集?对违反了IP/MAC地址绑定规则的访问是否提供相应的报警机制?因为这些功能非常实用，如果防火墙不能提供IP地址和MAC地址的自动搜集，网管可能被迫取其他的手段获得所管辖用户的IP与MAC地址，这将是一件非常乏味的工作。 3、NAT(网络地址转换) 这一原本路由器具备的功能已逐渐演变成防火墙的标准功能之一。但对此一项功能，各厂家实现的差异非常大，许多厂家实现NAT功能存在很大的问题:难于配置和使用，这将会给网管员带来巨大的麻烦。我们必须学习NAT的工作原理，提高自身的网络知识水平，通过分析比较，找到一种在NAT配置和使用上简单处理的防火墙。 二、应用层的访问控制 这一功能是各个防火墙厂商的实力比拼点，也是最出彩的地方。因为很多基于免费操作系统实现的防火墙虽然可以具备状态监测模块(因为Linux、FreeBSD等的内核模块已经支持状态监测)，但是对应用层的控制却无法实现“拿来主义”，需要实实在在的编程。 对应用层的控制上，在选择防火墙时可以考察以下几点。 1.是否提供HTTP协议的内容过滤? 目前企业网络环境中，最主要的两种应用是WWW访问和收发电子邮件。能否对WWW访问进行细粒度的控制反映了一个防火墙的技术实力。 2.是否提供SMTP协议的内容过滤? 对电子邮件的攻击越来越多:邮件、邮件、泄漏机密信息等等，能否提供基于SMTP协议的内容过滤以及过滤的粒度粗细成了用户关注的焦点。 3. 是否提供FTP协议的内容过滤? 在考察这一功能时一定要细心加小心，很多厂家的防火墙都宣传说具备FTP的内容过滤，但细心对比就会发现，其中绝大多数仅实现了FTP协议中两个命令的控制:PUT和GET。好的防火墙应该可以对FTP其他所有的命令进行控制，包括CD、LS等，要提供基于命令级控制，实现对目录和文件的访问控制，全部过滤均支持通配符。 三、管理和认证 这是防火墙非常重要的功能。目前，防火墙管理分为基于WEB界面的WUI管理方式、基于图形用户界面的GUI管理方式和基于命令行CLI的管理方式。 各种管理方式中，基于命令行的CLI方式最不适合防火墙。 WUI和GUI的管理方式各有优缺点。 WUI的管理方式简单，不用专门的管理软件，只要配备浏览器就行;同时，WUI的管理界面非常适合远程管理，只要防火墙配置一个可达的IP，可实现在美国管理位于中国分公司的防火墙。 WUI形式的防火墙也有缺点:首先，WEB界面非常不适合进行复杂、动态的页面显示，一般的WUI界面很难显示丰富的统计图表，所以对于审计、统计功能要求比较苛刻的用户，尽量不要选择WUI方式;另外，它将导致防火墙管理安全威胁增大，如果用户在家里通过浏览器管理位于公司的防火墙，信任关系仅仅依赖于一个简单的用户名和口令，黑客很容易猜测到口令，这增加了安全威胁。 GUI是目前绝大多数防火墙普遍用的方式。这种方式的特点是专业，可以提供丰富的管理功能，便于管理员对防火墙进行配置。但缺点是需要专门的管理端软件，同时在远程和集中管理方面没有WUI管理方式灵活。 四、审计和日志以及存储方式 目前绝大多数防火墙都提供了审计和日志功能，区别是审计的粒度粗细不同、日志的存储方式和存储量不同。 很多防火墙的审计和日志功能很弱，这一点在那些以DOM、DOC等电子盘(并且不提供网络数据库支持)为存储介质的防火墙中体现得尤为明显，有些甚至没有区分日志和访问日志。如果需要丰富的审计和日志功能，就需要考察防火墙的存储方式，如果是DOM、DOC等Flash电子盘的存储方式，将可能限制审计和日志的功能效果。 目前绝大多数防火墙审计日志用硬盘存储的方式，这种方式的优点是可以存储大量的日志(几个G到几十个G)，但是在某些极端的情况下，如异常掉电，硬盘受到的损坏往往要比电子盘的损坏严重。 好的防火墙应该提供多种存储方式，便于用户灵活选择和使用。 五、如何区分包过滤和状态监测 一些小公司为了推销自己的防火墙产品，往往宣称用的是状态监测技术; 从表面上看，我们往往容易被迷惑。这里给出区分这两种技术的小技巧。 1. 是否提供实时连接状态查看? 状态监测防火墙可以提供查看当前连接状态的功能和界面，并且可以实时断掉当前连接，这个连接应该具有丰富的信息，包括连接双方的IP、端口、连接状态、连接时间等等，而简单包过滤却不具备这项功能。 2. 是否具备动态规则库? 某些应用协议不仅仅使用一个连接和一个端口，往往通过一系列相关联的连接完成一个应用层的操作。比如FTP协议，用户命令是通过对21端口的连接传输，而数据则通过另一个临时建立的连接(缺省的源端口是20，在PASSIVE模式下则是临时分配的端口)传输。对于这样的应用，包过滤防火墙很难简单设定一条安全规则，往往不得不开放所有源端口为20的访问。 状态监测防火墙则可以支持动态规则，通过跟踪应用层会话的过程自动允许合法的连接进入，禁止其他不符合会话状态的连接请求。对于FTP来说，只需防火墙中设定一条对21端口的访问规则，就可以保证FTP传输的正常，包括PASSIVE方式的数据传输。