网关

网关（通用11篇）

网关 篇1

1、网关是什么

按照不同的分类标准，网关也有很多种，TCP/IP协议里的网关是最常用的，在这里我们所讲的“网关”均指TCP/IP协议下的网关。 网关是什么呢?网关实质上是一个网络通向其他网络的IP地址。比如有网络A和网络B，网络A的IP地址范围为“192.168.1.1~192. 168.1.254”，子网掩码为255.255.255.0;网络B的IP地址范围为“192.168.2.1~192.168.2.254”，子网掩 码为255.255.255.0。在没有路由器的情况下，两个网络之间是不能进行TCP/IP通信的，即使是两个网络连接在同一台交换机(或集线器) 上，TCP/IP协议也会根据子网掩码(255.255.255.0)判定两个网络中的主机处在不同的网络里。而要实现这两个网络之间的通信，则必须通过 网关。如果网络A中的主机发现数据包的目的主机不在本地网络中，就把数据包转发给它自己的网关，再由网关转发给网络B的网关，网络B的网关再转发给网络B 的某个主机(如附图所示)。网络B向网络A转发数据包的过程也是如此。 所以说，只有设置好网关的IP地址，TCP/IP协议才能实现不同网络之间的相互通信。那么这个IP地址是哪台机器的IP地址呢?网关的IP地址是具有路 由功能的设备的IP地址，具有路由功能的设备有路由器、启用了路由协议的服务器(实质上相当于一台路由器)、代理服务器(也相当于一台路由器)。

网关是互连网络中操作在OSI运输层之上的设施，所以称为设施， 是因为网关不一定是一台设备，有可能在一台主机中实现网关功能。当然也不排除使用一台计算机来专门实现网关具有的协议转换功能。

由于网关是实现互连、互通和应用互操作的设施。通常又多是用来连接专用系统，所以市场上从未有过出售网关的广告或公司。因此，在这种意义上，网 关是一种概念，或一种功能的抽象，

网关的范围很宽，在TCP/IP网络中，网关有时所指的就是路由器，而在MHS系统中，为实现CCITTX.400和 SMTPL简单邮件运输协议间的互操作，也有网关的概念。SMTP是TCP/IP环境中使用的电子邮件，其标准为RFC- 822，而符合国际标准的CCITTX.400发展较晚，但受到以欧州为先锋的世界范围的支持。为将两种系统互连，TCP/IP标准制定团体专门定义了 X.400和RFC-822 之间的变换标准RFC987(适用于1984年X.400)，以及RFC1148(适用于1988年X.400)。 实现上述变换标准的设施也称之为网关。

2、常见网关类型

(1)因特网网关：在因特网中，以往的网关现在称为路由器。网关现在是指一种系统，这种系统进行网络和应用协议的转换，使TCP/IP网和非 TCP/IP网上的用户和应用可以相互通信。网关也指应用程序之间的翻译设备。代理服务器网关是一种防火墙，允许内部网的用户访问因特网，同时禁止因特网 用户访问内部网。功能齐全的防火墙提供高级的甄别、验证和代理功能，以防止 和攻击者进入内部系统。

(2)LAN网关：LAN网关提供LAN之间数据传送的通道。通常居间的LAN因使用不同的协议，数据需要做些转换才能通过。不少路由器提供以 太网与FDDI的连接，可以充当此任。另外，有提供AppleTalk与TCP/IP、IPX与TCP/IP等协议转换的网关。

(3)IBM主机网关：把LAN上工作站与IBM主机系统连接起来。最早的网关模拟IBM主机的320终端，使LAN的工作站成为主机的终端。 复杂一点的网关允许PC机与主机之间传输文件，或者以客户机/服务器运行模式，允许PC机访问主机的数据库。IBM的APPN协议提供了同层联网服务，使 主机成为网络的一部分。当前的趋势是主机也支持TCP/IP，直接与TCP/IP或通过Web服务器与用户连接起来，不再需要专门的网关。

(4)电子邮件网关：负责不同厂商应用软件之间邮件信息的转换，使用户在网上能共享不同的电子邮件应用程序所发出的信件。常见的电子邮件网关把专用信息格式转换成X.400格式。

网关 篇2

因特网和3C(电脑,通信,消费电子)技术的发展带来数字家庭的概念,目前在国内已经由发展初期进入成长期,其核心部件包括网关,机顶盒,各类信息家电等[1,2]。

网关作为数字家庭的中枢主要满足如广播、安全、娱乐、通信、家庭自动化控制等日益增长的用户需求。概括为两部分:连接不同数字设备组成家庭网络,将家庭网络连接到公共接入网。俗称“最后一米”的宽带接入问题,家庭内外网络带宽的协调也是网关着重解决的对象[3]。在本文中,我们摒弃常用的PC机,宽带调制解调器等实现方法,采用更智能化的机顶盒来实现网关,讨论和研究其实现方案和技术难点。

多功能的整合已成为电子产品的发展趋势。人们普遍认为机顶盒是一种将数字电视信号转换为模拟信号的过渡产品,在本文中,提取网关和机顶盒的共性,机顶盒不仅仅被动地接收服务,而是更多地扮演主动发布服务的提供者角色。通过将两者的功能整合到一个设备中,使用更少资源、提供更快的响应速度、容错性和兼容性等指标[4]。

1 挑战与解决方案

家庭网关主要协助网络终端用户从电信或服务提供商处获取服务,机顶盒用来转换电视信号格式,但它们功能上存在交叉点,如何提取看似不相关的两个设备间共同功能特性是本章的讨论重点。

1.1 功能需求

网络电话(IP电话)是必不可少的服务之一,在此过程中,网关机顶盒扩展成一个声音适配器,根据服务商类别作出不同反应[5]。通过获取在线服务商的信息,在通话服务开始前就提前配置如SIP(会话初始化协议)等通话控制协议(如图1所示)。

视频分发服务有两种:一是基于单播通信的视频点播,可以让用户随时获取所需视频节目;二是基于多播通信的IP电视广播。网关机顶盒必须支持IGMP(因特网组播管理协议)协议等以保证机顶盒和多播路由之间的通信(如图2所示),需要对支持视频功能提前配置。家庭安全监控和远程访问控制也是网关机顶盒必须提供的服务(如图3所示)。综上所述,网关机顶盒其实是将数字家庭中的视频流、音频流、数据流汇聚一起,做到真正的“三流合一”。

1.2 用户体验

数字家庭中繁多的电子设备给使用者带来操作的不便,不同的设备配备不同的控制板、显示屏、指示灯,让人无法轻松管理,更阻碍了数字家庭的普及。网关机顶盒可以很好地解决这个问题:通过将众多的信息设备自动地组成家庭网络;将家庭网络与使用总线技术的家庭控制网络连接起来;如有需要再将他们与外部因特网连接。最终,用户通过易操作的遥控器或者简易的网上页面远程控制连接在网络中的任何一个设备,体验真正的数字家庭。

1.3 成本与消耗

家庭网关需要长时间稳定地工作,而PC架构的网关不仅配置和维护费用高,稳定性也不够,因此基于实时操作系统的嵌入式设备是实现网关的最佳解决方案。网关机顶盒采用双处理器(CPU+DSP)的架构,在完成机顶盒编解码功能的基础上,剩余足够的计算能力完成网关的功能,降低了成本和消耗,提高了稳定性。

2 设计和关键技术

网关机顶盒采用DSP专门处理H.264与MPEG-4 AAC格式的音视频信号解码,采用低耗高效的ARM9微处理器完成剩余的任务。外部集成多种标准接口比如红外、USB接口、100/10 M以太网口、IEEE 1394接口等。硬件层之上采用嵌入式Linux实时操作系统和UPnP等中间件,屏蔽掉底层硬件差异,提供API给上层应用软件。

图4给出使用网关机顶盒的数字家庭网络蓝图所示,网关机顶盒将IEEE 1394连接的多媒体网络和总线连接的控制网络汇聚在本身,并连接到外部因特网。

2.1 系统架构

图5是网关机顶盒的系统和硬件架构图,并采用模块化思想进行划分,主要包括以下几个模块:中间的核心处理模块包括两个处理器,它们分工不同并通过SPI相互协调,CPU处理操作系统、中间件、网络计算、图形界面、浏览器等应用,DSP处理音视频解码算法;虚线框中的音视频处理模块完成传统机顶盒的功能部分;在此基础上集成无线网络模块、IEEE1394 模块、以太网交换模块和语音电话模块。值得注意的是,音视频处理模块和语音电话模块通过系统总线与核心处理模块交互,而无线网络模块和IEEE1394 模块通过PCI总线跟与核心处理模块交互。以太网交换模块一端以MII接口与CPU相连,另一端连接不同的宽带接入网,另外包含两个以太网端口用来连接以太网。例如使用EPON ONT(光纤网络终端)接口的接入方式就是通过GMII(吉兆介质无关接口)。

2.2 软件层次

图6是网关机顶盒的软件结构图,主要包括三部分:启动程序,实时操作系统嵌入式Linux,设备驱动等系统软件;IPv4/IPv6(因特网协议),ICMP(因特网控制报文协议),ARP/RARP(地址解析/反地址解析协议)DHCP(动态主机分配协议)等网络软件;语音电话,嵌入式浏览器等应用软件。

下面重点说明网关机顶盒如何实现IPTV服务,这个是网关与机顶盒两者联系的关键。为支持IPTV服务,网关机顶盒必须接收包含IPTV广播流的IP数据包,并转交音视频处理模块处理。IP数据包被直接转发到目标端口,而不是通过传统的网络地址解析操作。 值得强调的是,这些包在以太网交换模块中被允许穿行在接入网与家庭网络之间。这种直接转发是基于介质访问控制表实现的,而这些表则由ARM处理器操控的IGMP(因特网组播协议)探寻管理器和IGMP代理来管理[6]。

首先,作为一个网关,网关机顶盒提供IGMP代理功能使它成为最近接入路由和机顶盒之间的多播路由。其次,作为一个机顶盒,它实现IGMP协议来接收IPTV。IGMP代理功能主要包括:

· IGMP 路由功能

· IGMP 主机功能

· 对多播成员数据库的管理功能

· 对管理多播主机成员管理的记时功能

IGMP探寻管理器主要用于以太网交换模块。尽管以太网交换模块是网关机顶盒的枢纽部件,但因为它属于下层设备不能访问到数据包上层的信息,所以它不能直接支持IP多播。这里我们使用IGMP探寻管理器来代替直接的IP多播处理。此时ARM处理器管理为操作系统开辟出MFC(多播转发缓冲区)来存放介质访问控制表[7]。具体如图7所示。

由图7可知,在网关机顶盒内部,来自外部接入网的IP数据流被直接转发到连接在以太网交换模块的多播组的客户端。这样外部进入的IPTV数据流可以最低延迟地到达机顶盒音视频处理模块。通过无线网络或IEEE1394接口接入的客户端则接收经过操作系统缓冲过的IP多播数据流。总之,这种直接转发机制大大减低了处理器的负荷,在转发和保存内容上节省了处理能力。

2.3 设备互连中间件

诸如UPnP(通用即插即用),HAVI等家庭网络中间件日趋成熟,它们提供家庭网络设备间的互相连接和操作。UPnP论坛根据UPnP技术公布了UPnP AV体系结构作为多媒体标准[8],并定义多媒体服务的具体功能。

下面详细阐述UPnP AV体系结构在网关机顶盒中的使用。它由媒体服务器、媒体接收者、音视频控制点组成,如图8所示。

媒体服务器是一个UPnP设备,包含内容目录服务、连接管理服务、音视频传送服务三个部分。媒体接收者则由接收控制服务、连接管理服务、音视频传送服务三个部分组成。音视频控制点则通过SOAP协议(简单对象访问协议)来控制协调服务器和接收者之间的操作。控制点通过调用内容目录服务的标准行为来展示多媒体内容,当用户选择了具体内容,控制点通过调用连接管理服务在服务器和接收者之间建立连接,然后通过调用音视频传送服务的标准行为发送被选中的内容。多媒体内容的实际传输并不是用UPnP协议,控制点仅仅控制传输的操作,改正传输协议中的错误,调整文件格式等。传输过程可以是同步或异步,或采取拉或推的方式。

2.4 丰富的外部接口

作为数字家庭的中枢,网关机顶盒集成丰富的外部接口来满足不同的需求,主要包括以下几类:

· 调制解调接口:这部分实际是以太网交换模块的扩展,来适应不同的宽带接入方式,包括PSTN、ADSL、CM 等。

· 高速多媒体接口:IEEE 1394、RS232、USB 2.0等,尤其通过IEEE 1394家用设备可以高速高质量地连接起来。

· 无线连接接口:红外、蓝牙、WiFi、802.11系列等无线连接方式也得到支持,并逐步取代有线连接方式。

· 存储接口:这部分包括IDE 硬盘接口来支持外部存储,个人视频录像、视频点播、回放功能等。随着家用数码产品的增多,这部分接口越来越必不可少。

3 新型服务

3.1 数字设备互连和控制

网关机顶盒通过不同的连接机制将家庭电子设备无缝连接成网络,可以控制在线的任何设备甚至电子窗帘、灯具、防盗门、摄像头等。这里采用了三种连接方式:有线连接(IEEE 1394, 以太网, USB),总线连接,无线连接(IEEE 802.11, 红外,蓝牙)。

另外,不同的因特网接入机制采用不同的网络协议,通过TCP/IP 协议或总线连接的家庭网络需要在有IP和无IP协议之间的转换,以及私有IP(家庭内部)和公有IP(家庭外部)之间的解析。网关机顶盒屏蔽掉这些差异,使用户操作简单化。

3.2 内容流通与格式转换

数字家庭中的网关机顶盒收集、存储、发布、解压缩并处理各种格式的图片、视频、音频及其他多媒体内容,并通过控制面板、遥控等不同的终端与用户交互,因此不同的文件格式阻碍了它们在不同设备间的流通与共享。通过IEEE 1394或SD存储卡,多媒体内容可以在高清电视,DVD录放机、数码相机、打印机、家庭服务器等之间流通,另外通过提供专门的转换软件可以将MPEG2格式的音视频转换为MPEG4格式,或将DV格式转换为 MPEG4。

3.3 友好的用户界面与易配置

采用简易的GUI界面和嵌入式浏览器技术,用户可以轻松跟网关机顶盒交互,远程用户登录到网关的主页即可控制接入家庭网络的设备,室内用户通过特别的红外遥控器也可以完成同样的操作。

为了整合更多的功能只需要更少的人工干预,通过保存在SRAM中的预先设置好的配置信息,每次启动会自动配置,减少人工设置,需要改动时,通过页面的配置操作也很简易。

3.4 服务质量

数字家庭的环境很复杂,不同类别的信息流在网络中传输,而且不同的用户需求决定了操作的优先级,增加了冲突和干扰的机率。服务质量监控对于网关机顶盒必不可少,根据用途区分出流的类别并标记,并合理安排数据进入队列的顺序,保证网络设备间的高质量互连[9]。

4 总结与展望

“处处计算,处处连接”是数字家庭最终目标,而家庭网关的实现是关键。随着机顶盒的普及,性能提高而成本下降,用机顶盒来实现网关的时机已经成熟。本文所讨论的网关机顶盒正是将两者功能合二为一,并增加新的服务,不仅满足用户IPTV需求,还将数字家庭内部数字设备连接并统一管理。在功能设计和实现上采用众多新的技术,采用双核心的架构并集成众多外部接口来满足计算,网络和扩展能力,通过裁减实时操作系统并引入中间件,为上层丰富的应用软件提供接口。它的实现比传统技术实现的网关功能更强、更可靠、且节约资源。经过模拟实验证明此解决方案可行,随着数字化的进程,相信网关机顶盒的成熟产品在数字家庭中定有好的市场前景。

参考文献

[1]郑期彤,程宇.数字家庭网络市场向成长期迈进[J],电子设计应用,2006,10.

[2]Owen.数字机顶盒的架构与设计关键[J].电子产品世界,2006,9.

[3]Satish Satish Gupta.Home Gateway.White Paper of Wipro Technolo-gies,Aug.2004

[4]任苙萍.媒体汇流殊途同归机顶盒[J].电子与电脑,2006,8.

[5]Satish Satish Gupta.Home Gateway.White Paper of Wipro Technolo-gies,Aug.2004.

[6]Motoyuki Takizawa,Toru Minato,Takahiro Furukawa.Future ServicePlatform and Home Gateway.IEEE,Aug.2006.

[7]Wan Ki Park,Chang Sic Choi,Youn Kwae Jeong,Intark Han.An Im-plementation of the Broadband Home Gateway supporting Multi-Chan-nel IPTV Service.IEEE,1-4244-0216-6/06/.

[8]Internet Engineering Task Force.Considerations for IGMP and MLDsnooping Switches.Internet Draft,May,2004.

[9]Dong Oh Kang,Kyuchang Kang,Sunggi Choi,Jeunwoo Lee.UPnP AVArchitectural Multimedia System with a Home Gateway Powered by theOSGi Platform.IEEE 0098 3063/05/2005.

方正VPN安全网关 篇3

评选理由：鞭的由来与锏相同，惟戬必双用，鞭则有单双软硬之分，但是现在普遍所见都是软鞭。鞭要求演习者在身法上转折圆活，刚柔合度；步伐轻捷奋迅，与手法紧密配合。软鞭是软硬兼施的兵器，其特点是身械协调性强，演练者强，既要有击打速度，又要体现灵巧的方法。尤其舞动时，上下翻飞，相击作响，如银蛇飞舞，使人眼光撩乱。方正VPN安全网关是集VPN（虚拟专用网）和防火墙功能于一体的硬件网关设备，同时具有VPN客户端和集中管理软件，整个系统采用先进的认证、加密、访问控制和隧道封装技术，支持策略集中统一管理，可谓软硬兼施，灵活方便。

产品简介：方正VPN安全网关是集VPN（虚拟专用网）和防火墙功能于一体的硬件网关设备，是采用先进的认证、加密、访问控制和隧道封装技术，支持策略集中统一管理，能满足企业总部和分支之间、企业和合作伙伴之间、移动办公用户和企业之间安全连接的需求，还可作为专线的备份线路。适用于静态地址、动态地址、NAT穿越等各种应用环境。适用于静态地址、动态地址、NAT穿越等各种应用环境，能够满足从大型企业集团到中小型企业、政府机关、行业用户的各种组网要求。

方正VPN系统由三部分组成：VPN安全网关、安全管理中心SecuwayCenter2000和VPN客户端SecuwayClient2000。整个系统采用模块化设计，用户可以根据实际需要灵活配置。对于中小企业，由于VPN设备不多，也可以不采用SecuwayCenter2000，直接采用网关自带的GateAdminPro管理软件进行安装、配置，从而最大限度地节省用户的投资，减少系统的维护量。

方正VPN安全网关特点：

独创的芯片级设计思想

独创的芯片级设计是方正VPN在稳定性、安全性和性能方面得以出色表现的坚实基础。它独特的体系结构消除了传统VPN系统中由于使用通用处理器、通用操作系统而导致的自身安全漏洞、稳定隐患和性能瓶颈，同时依然提供了基于完全状态检测的网络通信安全。

使用超级VPN加速芯片

采用芯片级的设计，极大地提高了自身的可靠性和效率。 使用针对VPN高强度运算优化的超级芯片，VPN通讯速度达到软件模拟的10倍以上。

获得专利的黑区安全体系

可灵活提供了一个安全的监视区域，并提供与其他网络安全技术的联动接口。黑区可帮助管理员对整个网络进行安全监控，能够与众多主流入侵检测系统无缝联动，并联合其他安全产品形成立体网络安全体系。

强大的集中管理功能

利用SecuwayCenter2000安全管理中心可对VPN策略、VPN隧道、VPN客户端进行有效的管理。同时SecuwayCenter2000还是证书分发中心、身份认证中心、日志信息收集和分析中心。通过SecuwayCenter2000对VPN网络进行有效的管理。安全管理中心包括SecuwayCenter2000管理中心、SQLServer 数据库和Radius服务器。

独一无二的自毁保护

提供国际先进理念的物理安全，可保证不因人为的物理损坏而导致策略失效和敏感信息泄密，符合国际和国内标准所规定的安全系统本身高安全性的要求。

多ISP线路接入

内部网关协议RIP 篇4

1.工作原理

路由信息协议RIP（Routing Information Protocol）是内部网关协议IGP中最先得到广泛使用的协议。RIP是一种分布式的基于距离向量的路由选择协议，是因特网的标准协议，最大优点就是简单。

RIP协议要求网络中的每一个路由器都要维护从他自己到其他每一个目的网络的距离记录。RIP协议的内容即跳数，跳数越少就说明距离越短，RIP协议允许一条路径最多只能包含15个路由器。因此距离等于16就相当于不到达。因此可见，RIP协议只适合小型的互联网。需要注意的是，到直接连接的网络的距离也可以定义为0，但是两种不同的定义对实现RIP协议并无影响。因为所有距离都加1或者都减1，对最佳的路由选择是一样的。

RIP协议不能再两个网络之间同时使用多条路由。RIP会选择一条有最少路由器的路由，就是最短路由。而不会选择路由器较多的路由，哪怕他的速度更高。

RIP协议的特点是：

只是和相邻的路由器交换信息

路由器交换的信息是当前路由器所知道的全部信息，即自己的路由表。

按固定的时间间隔交换路由信息。

（这里需要说的是路由器的工作过程是从了解与他直接相连的网络的距离，经过若干次的交换信息，更新信息之后，所有的路由器最终会知道到达本自治心痛的任何一个网络的最短距离和下一跳路由的地址。路由器的交换更细信息是非常快的。）

路由表中最重要的信息就是到达某个网络的最短距离，以及应该经过的下一跳地址。路由表的更新原则就是找到每一个目的网络的最短距离。这种算法就是距离向量算法

2.距离算法

应用安全网关　不同企业如何选择 篇5

应用安全网关 不同企业如何选择

。一个企业的公开招标，可以看到有至少10家不同类型的厂商参与投标。用户会产生很大的困惑，究竟什么样的产品才是最符合需求呢?在下面的内容里，将从网络安全的发展角度、用户的需求偏重点、功能、性能等几个方面做具体的探讨。

下面，将从网络安全的发展角度分析这几种网关产品的由来以及发展趋势。

如果说路由器实现了企业内部网与Internet的互联互通，那么网络层防火墙就是企业内部网与Internet互联互通上的过滤岗哨，它根据数据包的性质(数据包的性质有目地和源IP地址、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等。)进行包过滤，主要发挥在网络层的访问控制保障作用。网络层防火墙在20世纪90年代推向市场，设计策略遵循安全防范的基本原则是“除非明确允许，否则就禁止”。为了实现企业内部网与Internet的互联互通，以满足企业基本Internet应用的需求，通常网络层防火墙对外开放了80、443、25、110和21等http、https、smtp、pop3和FTP这几种协议常用的标准端口。然而，如今随着网络技术的发展，80、443、25、110和21端口不再仅仅是常用的http、https、smtp、pop3和FTP等应用协议使用的专利，越来越多的应用可以自动扫描防火墙的开放端口进行通信，例如IM、P2P、流媒体、网络游戏、网络炒股等Internet应用，同时网络威胁的散布与攻击技术也不再限于网络层，而上升到基于http、https、smtp、pop3和FTP等应用协议的数据包中。这样一来传统网络层防火墙基于数据包性质的过滤规则，就没法检测数据包的内容，也就无法分析检测过滤出其中的网络应用威胁。于是为了防御网络层防火墙通常所开放的这5个常用Internet应用协议所带来的网络威胁，像木马、病毒、间谍软件等，出现了防病毒网关(这是国内的叫法，国外叫Anti-malware网关)。同时出现的还有上网行为管理产品，对IM，P2P，流媒体，网络游戏，网络炒股、web2.0站点等加以管控，他的强项在于对于网络应用的管理，而并非防御网络应用威胁，

《应用安全网关 不同企业如何选择》()。Web安全网关最早出现是在防病毒网关的基础上增加了对URL的分类过滤，主要实现对http、https、FTP、SMTP、POP3等应用协议的安全与web内容的过滤管控。随着Internet应用技术的发展变化，为了实现全面的Internet应用安全与管理，web安全网关在防病毒的基础上又集成了应用控制、带宽管理等上网行为管理类产品的大部分功能。除了上面应用层的网关厂商，传统的防火墙厂商也在拓展其功能。在传统的网络层访问控制的基础上增加了网络应用的识别与管控，具有了应用控制、带宽管理甚至URL过滤等功能，叫法也变成了应用防火墙。功能最全面的应用网关是UTM，它包括网络层防火墙、垃圾邮件过滤、IPS、防病毒，URL过滤、应用控制和带宽管理等一系列的功能。

但是，面对以上众多功能有相互融合和渗透的产品，用户该如何选购?

大企业的选择――偏重于安全

蓝牙技术在音频网关中的应用 篇6

关键词：音频网关（AG） 蓝牙 Bluestack协议栈 耳麦

蓝牙是一种近距离无线通信技术规范，用来描述和规定各种电子信息产品相互之间是如何用短距离无线电系统进行连接的。蓝牙技术的主要用途是取代电缆。由于蓝牙具有比802.11b、HomeRF、红外等无线技术高得多的性能价格比，蓝牙技术应用具有非常广阔的前景。

目前已有不少公司生产出高集成度的蓝牙芯片组，例如朗讯的W7020+W7400芯片组、飞利浦的LMX3162芯片、Atmel的T2901和AT76C551芯片等。利用这些芯片可进一步方便地进行蓝牙产品的开发、同时，也有许多公司还开发出了高层协议栈及相应的API。开发者基于这些高级协议栈，可不必对蓝牙技术作深入的研究就可以方便地开发基于蓝牙的应用。本文讨论一个基于CSR的BlueCore01b芯片和CCL的BlueStack协议栈的嵌入式音频网关的实现实例。

(本网网收集整理)

网关 篇7

关键词：CCSDS AOS,协议网关,卫星通信

0 引言

随着我国载人航天、深空探测等领域的发展,天地信息交换和卫星载荷容量日益增加,航天应用呈现向多元化发展的趋势。由此,基于天地一体化设计的信息传输系统研究在建设我国航空航天通信系统中起着至关重要的作用。

当前地面通信网络和天基通信网络是相互独立运行的2种网络,各自采用不同的通信协议,这为实现空间 - 地面任务端到端的数据传输带来了很大的困难[1]。TCP/IP协议发展至今,已成为事实上地面通信网的标准协议[2],若天地通信采用此协议,可实现端对端的天地通信,但该协议无法适应长延时、高误码的卫星通信网络[3,4]。为此,必须在通信网络中部署IP OVER CCSDS( 空间数据系统咨询委员会) 协议网关,实现地面网络IP协议与天基网络CCSDS协议间的相互转换,最终实现地面通信网与天基通信网的互联互通。

本文参考IP OVER CCSDS Space Links等相关CCSDS建议草案[5,6],在太网物理层接口芯片和FPGA TEMAC物理层接口IP内核的基础上,提出了一种IP OVER CCSDS协议网关的设计方案[7],并进行了设计实现和试验验证。

1 CCSDS 协议

CCSDS组织共定义了4种数据链路层协议: 遥测( TM) 、遥控( TC) 、临近空间( Prox - 1) 和高级在轨系统( AOS) 协议。在不同的应用场景,用户可采用不同数据链路层协议。AOS数据链路协议适用于高速业务前、返向( 用户到中心为返向,中心到用户为前向) 传输,应用于空 - 空和空 - 地测控和通信系统,可满足双向、高速率和大容量的数据传输用户[8,9]。

本文设计的IP OVER CCSDS协议网关,满足对高速率、大容量的数据传输地面用户的需要。设计的协议网关主要指标如下:

返向速率: 10 ~ 150 Mbps;

前向速率: 1 ~ 10 Mbps;

RS编码: RS( 255,239) ,RS( 255,223) ;

信道利用率≥80% ( 不含AOS和IP协议的开销) 。

2 方案设计

协议网关设备分为硬件设备和软件设计两大部分。

2. 1 硬件设计

设备硬件组成示意如图1所示。

协议网关硬件主要由协议转换单元、监控单元、接口单元和电源单元等几部分组成,下面对各单元功能进行介绍。

协议转换单元完成千兆以太网异步、突发数据帧与CCSDS AOS同步、连续传输帧的相互转换,并完成传输帧的RS编译码。

监控单元完成的功能主要有:

1监视返( 前) 向速率、返( 前) 向有效帧和无效帧计数、入口帧数、转发帧数以及内核电压、温度等信息;

2完成编译码方式等信息的配置。

接口单元主要包括同步接口、RS422接口和以太网接口等,各接口的功能如下:

1同步接口: 与信道设备接口,实现与调制解调器的通信;

2以太网接口: 与用户终端接口,主要用来接收和发送以太网帧;

3 RS422接口: 与远程监控设备接口,实现本机的远程监视和控制。

2. 2 软件设计

2. 2. 1 帧结构设计

在CCSDS建议的AOS数据结构的基础上,设计了用于协议网关数据传输的帧结构,如图2所示。

传输结构由同步字、数据帧和RS校验码构成。为了实现简单和可靠的同步,在服务于同一物理信道时,帧长度设定为固定值。

同步字: 在传输帧前附加同步字用于接收端解调后实现帧同步。

数据帧: 用户需要传输的信息数据。

RS校验码: 用于RS编码,附加在传输帧的末端。

2. 2. 2 返向协议转换

协议网关返向速率支持10 ~ 150 Mbps,编码方式支持RS( 255,239) ,RS( 255,223)[10]。返向协议转换原理框图如图3所示。

数据帧形成: 1利用以太网物理层接口芯片将接收的以太网帧缓存至MAC FIFO存储器中; 2控制状态机FSM_1控制多路器选择版本号、VCID_0( 无效) 或VCID_1( 有效) 、有效或无效帧计数值、信令域和串口FIFO中数据组成数据帧头; 控制状态机读取千兆网单元数据缓冲MAC FIFO中的数据作为数据帧数据域,若以太网数据长度小于数据域的长度,则循环补固定的参数数据值,经过上述处理后,FSM_1输出符合规定的数据帧。

传输帧形成: 数据帧通过RS编码器进行编码,校验码放在数据帧之后; 在数据帧前插入帧同步标志后组成传输帧。

传输帧送入FIFO中进行传输帧缓冲和总线宽度变换,由FIFO输出经过总线变换后的传输帧输出至调制器[11]。

2. 2. 3 前向协议转换

协议网关前向速率支持1 ~ 10 Mbps,编码方式支持RS( 255,239) ,RS( 255,223) 。前向协议转换原理框图如图4所示。

传输帧恢复: 1解调器输 出的传输 帧经过FIFO缓冲并进行总线宽度变换,总线宽度变换后,传输帧送入帧同步单元; 2帧同步单元检测规定的同步字节,输出相应的同步标志和控制信号; 3帧同步单元输出的传输帧送入RS译码单元进行信道译码,完成数据纠错功能,恢复传输帧。经过RS译码后的传输帧送入控制状态机FSM,控制状态机FSM检测信息区中的VCID字段,判断接收的传输帧是否为有效帧,并设置有效帧标志。

解帧: 拆帧单元检测有效帧标志,若传输帧为无效帧,则将数据帧内容直接丢弃。若为有效帧,拆帧单元完成传输帧的解帧功能,将数值帧帧头内的版本号、VCID、帧计数值和信令域等字段分别保存在对应的寄存器中; 根据帧长度字段,将数据区内容送入千兆网数据缓存FIFO中。

2. 3 结构设计

2. 3. 1 系统核心构架

系统核心构架采取“FPGA板 + 监控板”的方式。这种构架方式一方面通过对工控机上运行的上位机软件的编写,可以较好地满足整个系统运行中需要的参数修改、配置以及相关显示功能要求; 另一方面可根据具体需要,对FGPA的配置文件进行动态加载,从而实现不同功能,具有较强的灵活性和可扩展性。

2. 3. 2 机箱构架

采用1U高度19英寸上架式标准机箱,64位4槽CPCI背板,用于带80 ms后走线I / O的CPCI板,双250 W CPCI模块电源和电源背板,内置机箱散热风扇。

3 试验结果分析

协议网关在研制完成后,利用现有的传输系统进行了试验,试验场景示意图如图5所示,主要测试了协议网关在实际通信系统中的传输性能。测试中卫星信道采用OQPSK调制方式、1 /2编码 + RS,返向150 Mbit/s、前向10 Mbit/s的信息速率。

通过传输软件在用户数据传输终端和服务中心的传输终端之间传输数据文件,记录传输文件大小和传输时间,计算带宽利用率。通过测试,返向传输带宽利用率为80. 93% ,前向传输带宽利用率为80. 70% 。测试原始数据如表1和表2所示。

试验结果表明,在返向10 ~ 150 Mbps、前向1 ~10 Mbps速率下,信道利用率优于80% ( 不含AOS和IP协议的开销) 设计要求,接近于84. 4% 的理论效率值,达到了预期效果。

4 结束语

网御星云探路全业务安全网关 篇8

“全业务融合安全网关克服了大多数安全产品设计统一化程度低、分离防护引擎对性能影响过大等缺陷，实现了性能、功能、操作等方面的高度统一。”网御星云产品营销部产品经理刘建军告诉记者。

据刘建军介绍，该系列产品具有多项技术亮点：首先提出了“业务融合”模型，该模型由各种面向业务的功能模块组成，可灵活拆分。而且，该产品还采用了多核多线程的技术手段，极大地提升了产品的性能，可轻松应对10Gbps以上的网络流量。此外，由于该产品在代码级就是高度集成的，并且留有扩展接口，所以未来增加的功能模块都可以无缝集成进入这个模型的框架中，几乎不影响系统性能。

“该产品的另一个突出特点是进一步提升了用户体验。用户可以在一个统一的界面中完成各种功能模块的配置和管理。同时，产品还预设了高中低三种安全等级，可以让用户免于配置之苦。”刘建军表示。

网关 篇9

梁小宇 潘贵敦 钟晓建 马亲民

华中师范大学物理系（430079）

摘要：本文讨论用ADSL作宽带接入设备，另一侧接局域网用户（可以是有线或无线），实现小型办公室和家庭（SOHO）共享带宽上网的网关设计的一个实例：在该网关中，硬件上采用嵌入式体系结构，用AMD公司的ElanSC520作协议处理器和网络处理器，ADSL模块部分采用Itex公司的Apollo3芯片组。我们对该ADSL SOHO网关电路及其功能进行了总体概述。

关键词：ADSL SOHO

网关  ElanSC520  Apollo3芯片组

a Design Example of ADSL

SOHOGateway Based on ATM

Liang Xiaoyu   Pan Guidun   Zhongxiaojian   Ma qinming

Central China Normal University Physics Department (430079)

Abstract: In this article, we discussed a design example of ADSL SOHO gateway based on ATM to share the internet bandwith，in which we use ADSL as the broadband accessing equipment and on the other end we use LAN as the network model. We adopted the embedded system as the hardware solution by using AMD ElanSC520 as the network and protocol processor,using Itex Apollo3 chipset as the ADSL module.We analyse the whole circuit of the ADSL SOHO Gateway and it’s function.

Keywords: AD

SL SOHO Gateway   ElanSC520   Apollo3 chipset

1引言

智能家庭网络是信息时代带给人们的又一个高科技产物。它借助现有的计算机网络技术，将家庭内各种家电和设备连网，实现一种SOHO（Small Office Home Office）网，通过网络为人们提供各种丰富、多样化、个性化、方便、舒适、安全和高效的服务。实现家庭内部信息与家庭外部信息的交换，无疑是家庭连网的目的所在。然而随着上网需求的增加，带宽和IP地址不足的问题更显突出。而信息时代的来临，使得家庭或办公室的个人计算机都想上网，信息及档案共享也成了时势所趋。无疑我们需要解决带宽和IP地址不足的问题。IP地址不足的问题可以通过一个网关来实现代理，使局域网内用户共享一个IP；带宽的解决也已经有了很好的解决办法，这就是ADSL(不对称数字用户环路)技术，利用电话线上高于话音频带的带宽（4K～

1.1MHz），采用离散多音频调制来调制高速数字信号（传统的Modem是用话音频带来调制数字信号的）,下行速率可达8Mbit/s，上行可达1.5Mbit/s。这样我们将各种技术结合起来，这就形成了我们的ADSL SOHO 网关，既解决了多用户上网IP地址不足的问题，又大大提高了上网速度，还可以解决SOHO 网内用户的安全问题。

ADSL网关采用Itex的Apollo 3， ADSL PCI解决方案作Internet的接入部分，另一侧用以太网或无线局域网接多用户，可以广泛应用于家庭、小型办公室的接入,实现灵活的`组网方式。

2 SOHO网关硬件体系设计

我们设计实现的网关硬件上采用了嵌入式体系结构，用AMD公司的ElanSC520作协议处理器和网络处理器，ADSL模块部分采用了Itex公司的Apollo3芯片组。整个网关对外有三个接口：与ADSL线路即电话线的RJ11接口；与以太网RJ45接口；与无线局域网的接口，这部分接插无线网卡，再与无线局域网中的接入访问点AP（Access Point）相联系。整个系统结构框图如图1所示，按功能主要分成四个相对独立的模块：520模块、ADSL

模块(即Apollo3芯片组)、8029模块、PCMCIA模块。信号的流程是由电话线输入该系统，由ADSL模块处理，由电话线进来的是模拟信号，Apollo3芯片组完成A/D,D/A变换,采用FFT/IFFT作DMT和卷积编码调制，既实现了高带宽利用率，又保证了传输的低误码特性。结果通过PCI BUS送520进行协议处理，将ATM 信元转换成 Ethernet帧，然后送8029或PCMCIA分别以802.3

短消息平台网关接口的设计与实现 篇10

关键词:SMGP;SQL;ASP

中图分类号:N945.23文献标识码:A文章编号:1007-9599 (2010) 09-0000-01

The Design&Realizing of the Short Messages Platform Gateway Interface

Hong Kui

(Anhui Bengbu Electrical&Mechanical Technician Institute,Bengbu233010,China)

Abstract:The platform uses the B/S mode,based on SMGP/TCP/IP protocol,use IIS to provide WEB services,mobile phone users on the site send/receive short message service,web-based platform for implementation of Internet and mobile phone short message exchange.

keywords:SMGP;SQL;ASP

一、系统架构

(一)系统结构与模块

系统模主要组成及功能是:通信模块负责与短消息网关(SMG)通信[1];日志模块用于记录通信模块的动作为系统监控、管理提供依据;数据库接口模块提供通用的数据库操作方法,与数据库类型的选择无关;用户管理模块对短消息用户的信息、状态、个性化设置以及注册的维护管理;WEB服务器为系统管理员和手机用户提供基于浏览器的访问方式。

(二)短消息模式

本系统所采用的数据模式如下:客户端发来的短消息--进行有效性验证--屏蔽掉无效和干扰信息--给短消息解码--分离出发送方信息和实际数据---通过网关发送。本系统采用ASP作为后台程序,调用“月影短信委托发送器”。

(三)网关接口

鉴于ASP不支持标准DLL调用,可以使用《月影短信委托发送》调用方式,提别提供COM接口(Kkstar_com.dll)供ASP加密XML文件。运行程序后可以在WINDOWS目录中(或WINNT目录中)找到KKSTAR-SMS.INI文件,该文件包含所有网关代号。

二、系统实现

(一)开发工具

基于B/S模式的短消息服务平台系统是以ASP为后台程序,使用SQL语言实现网页数据库操作,使用《月影短信委托管理发送器》实现网关接口。

ASP的优势:

Active Server Pages[2]:“动态服务器网页”,基于ASP程序开发工具的方便性、语言相容性高、隐密安全性高、易于操控数据库、面向对象学习容易以及代码可移植性高而采用这个服务器端编程程序。

本系统使用的Access数据库为关系型数据库,数据库引擎为MS Jet,使用的SQL语言是依据ANSI-89 Level版的SQL语法而建立的。

服务器软件环境配置:

1.Windows 2000 server/2003 Server操作系统。

2.IIS/5.0(Win2000)/6.0(Win2003)。

(二)管理模块的设计

管理模块包括数据库模块、用户体验模块、短消息接口模块,包括有对手机用户的管理(登陆认证、注册、编写自制短信等),从合理性方面设计两个库:data(message表用于在WEB服务器中存储用户发送和接收的短消息、對方号码、对方呢称、发送时间、阅读标记等信息;phonenum表用于在WEB服务器中存储手机用户注册信息);Server库用于在WEB服务器中存储用户个性化设置以及系统的内置信息。

(三)通信模块的设计

通信模块主要负责客户端向网关的短消息发送。由于ASP不能直接调用DLL的函数,所以可以使用ASP调用月影短信委托发送调用接口(XML文件调用)。设计思想是在当地客户端将所有信息通过ASP程序生成所能委托发送的XML文件发送出去。代码主要如下:

<%

'//创建kkstar_com.SmsObject对象,以便加密敏感内容,保护个人信息安全

'//所有内容都可以加密,包括登录账号、登录密码、接收方手机号码、短信息内容等等

set rs=Server.CreateObject("kkstar_com.SmsObject")

'//生成发送的XML文件,包括发送日期、发送时间、网关代号、登陆账号、登陆密码、手机号码、短信内容、使用昵称、国际区号

Set fso=Server.CreateObject("Scripting.FileSystemObject")

Set txtfile=fso.CreateTextFile(Server.mappath("sms_xml/"+rndxmlid+".xml"))

txtfile.write html

(四)安全性相关

本程序使用的动态链接库kkstar_sms提供了一个EncodeString的函数,专业用于加密重要的字符串,例如短信网关登陆账号、登陆密码、短消息内容等等。但是ASP却不能直接调用DLL,为此我们提供了一个COM接口;Kkstar_com.dll,供ASP加密重要字符串,然后才写入XML文件,通过Regsvr32.exe,把kkstar_com.dll注册到windows系统中,Asp通过COM对象的EncodeString方法加密字符串,

……

Set sms=server.createobject(“kkstar_com.smsobject”)

Set newstring=sms.encodestring(“登陆密码”)

……

三、结束语

当今世界,网络技术发展迅猛,网络的应用日益广泛,如何将本系统在跨平台跨服务商的进一步完善,是我们面临的下一个任务,WEB应用平台的日趋完善必将为信息化在生活领域起到积极的推动作用。

参考文献:

[1]中国电信集团公司.短消息网关(SMGP)协议v1.3,2002,4

[2]云舟工作室.精通ASP3.0网络编程.北京:人民邮电出版社,2001,10:98-101

探寻下一代安全网关 篇11

安全网关按照功能和用途划分, 可以分为防火墙、VPN网关、UTM、IPS、防病毒网关、防垃圾邮件网关、抗DDoS网关等各种类型。

这个时期的防火墙, 其实更像一个内置了安全功能的多网卡服务器, 硬件一般是采用x86 CPU做核心处理器;软件功能则在包过滤技术和应用代理技术的基础上, 采用了状态检测技术。

随着防火墙技术的日益成熟和更多的安全威胁出现, 安全网关从单一的防火墙开始分化成各种各样的形态, 以单一功能为主的如WEB防护防火墙、抗DDoS安全网关、VPN网关, 以功能综合为代表的则是UTM统一威胁管理系统。

二、安全网关发展的趋势和存在问题

近些年来, 伴随网络及时的快速发展, 安全网关市场竞争明显加剧, 安全厂商也开始做不同的尝试。目标是试图突破安全网关的技术瓶颈, 这主要集中在两个焦点上:硬件构架之争、安全网关胖瘦之分。

硬件构架之争, 其本质是安全网关核心处理芯片的选择。现在主要有三类处理芯片:X86 CPU、ASIC、NP。传统安全网关大多采用X86 CPU作为安全网关功能的处理芯片, CPU完成了数据转发、状态检测、应用深度分析一系列工作;ASIC则是专用处理芯片, 在硬件芯片中, 利用逻辑实现网络数据的快速处理;NP网络处理器, 则是专用的网络处理器, 一般内部有多个网络引擎, 指令上经过专门优化, 从而实现对网络数据的快速转发。

但是三种硬件构架的芯片都面临着自己的难题, X86计算能力较强, 可以做任何安全网关的功能, 但是其网络转发算法没有任何特殊优化, 而且设计上经常受PCI总线带宽的限制, 很容易在高端网络遇到性能瓶颈;NP和ASIC安全网关类似, 都是为解决安全网关性能瓶颈所出现的, 但是无论是ASIC的硬件逻辑, 还是NP的微码引擎, 都是专注于网络IP层的数据转发, 受制于计算能力, 在对应用协议处理, 报文深度分析上, 则显出不足。

安全网关胖瘦之分, 则来自于UTM统一威胁管理概念提出, 在UTM安全网关里面, 除了传统防火墙的状态检测、访问控制、VPN等功能, 还将防病毒、防垃圾邮件、IPS、网页过滤等众多的安全功能集中于此, 这就是胖安全网关, 它很好的解决了网络安全威胁多样性的问题, 在一个网关处, 统一解决各种安全攻击, 从而使用户节省投资并且可以实现多种安全策略的统一协调。

另一类观点则支持瘦安全网关, 即在安全网关上, 不应有过多功能。因为多而不精, 对于一些小型安全厂商来说, 其技术实力无法面面俱到, 将各个功能都充分做好, 这使得很多技术实力不足小厂商的UTM产品都会有功能短板;其二是性能问题, UTM推出时在应用级防护——如防病毒、IPS出现巨大的性能下降, 使得UTM打上了性能不足的标签。

三、什么是下一代安全网关

毫无疑问, 近些年来这些安全网关的技术变化, 虽然有其不足之处, 但还是对现在安全问题的一个反映, 有其合理之处。对于未来安全网关的发展方向, 可以从未来需求趋势做一下探讨。笔者认为未来是网络将会从“路由器为核心”的转发型网络, 向以“服务和数据为核心”的应用网络转变, 因此未来网络攻击会有一些明显的需求特征:

(1) 传统4层防火墙的普遍应用, 使得攻击技术会转而面向传统安全网关的盲区——应用安全, 针对某些应用的专项攻击、或者利用某些应用作为攻击通道将会成为主流;

(2) 视频、语音等大数据业务会决定网络带宽继续扩大, 对安全网关转发性能的需求是持续的;

(3) 电子商务、网上银行、投资理财、虚拟交易等应用会使网络攻击更加具有吸引力, 攻击频率会加大, 攻击方式也会多样化;

(4) 传统局域网内网的扩大和复杂, 使得网络内部攻击和泄密更加严重。

因此, 下一代安全网关——NGSG, 应该是面向这些网络威胁新趋势, 专注于应用层防护的高性能安全网关, 它具有一系列特点, 以适应未来3~5年的网络威胁防护发展趋势。

四、N G S G应该专注应用安全

应用安全防护是未来NGSG的重中之重, 对应用安全的防护好坏决定了N G S G能否真正解决安全实际问题。针对WEB服务、电子邮件、数据服务器、电子商务、VoIP和视频会议的抗DDoS攻击、P2P的监控、IM的监控, 内容审计都会是未来应用安全防护的重点。相对于TCP/IP协议的整齐划一, 应用协议最大特点是应用协议多样性、多变性, 例如Smart Tunnel技术, 使得很多P2P软件具有变端口能力, 一般安全网关的协议端口判断根本无法检测到这类P2P软件。

当然, 新一代的专注应用安全网关不会是传统的应用代理防火墙, 应用代理技术有着无法解决的性能问题和应用协议过于单一的问题。NGSG的应用防护技术的基础应该是高准确率的应用协议识别技术——例如智能协议识别技术, 不依赖于端口或者某些协议特征, 而且具备更强的行为关联分析能力, 从而可以对应用级安全威胁做到准确灵活的判断, 并为应用级防护阻断做好准备。

五、N G S G应该是多核构架为主的高性能网关

硬件构架是为功能服务的, NGSG选择了多核, 其根本原因还是因为NGSG要承担应用级防护重任。高性能处理芯片ASIC和NP受制于应用协议计算能力不足, 很多ASIC和NP构架的安全网关通常还会内置一颗X86 CPU做辅助, 对于防病毒、IPS等应用协议防护的计算还是需要X86完成, 这大大降低了ASIC或者NP作为未来主流安全网关芯片的可能性。

CPU的多核技术是X86 CPU的一次重大变化, 它使得在CPU频率无法继续大幅提升的情况下, 利用并行计算, 使性能再次有了提高。从原理上看, 多核CPU很像NP处理器, 一颗CPU上集成了多个处理核心, 很多多核CPU通常还会对在网络转发的指令或者机制做专门优化, 但是同NP不同的是, 多核CPU的计算能力依旧保持了传统X86 CPU的优势, 采用并行计算处理应用级防护, 并可能最终解决早期UTM的性能问题。

六、N G S G应该是动静防御的完美结合

在网络攻击日益复杂的今天, 攻击者不断尝试着各种新型攻击手段, 零日攻击普遍出现, 最终用户经常没有机会为主机打补丁, 或者无法经常变更防护策略。而传统安全网关防护通常是静态防护, 设定固定的安全区域, 对固定协议端口号进行判断, 设置固定的防护规则, 调整困难使得静态防御机制很难独立应对未来高速多变的网络攻防的需要。

动态防御的机制则是指NGSG应该具有可升级的防护规则, 可以检测攻击动态特征, 甚至发现部分未知攻击, 并能主动消除防护隐患。NGSG是同时拥有这动静两种机制, 既可以对一般安全问题进行静态统一防护, 也可以对随时变化甚至尚未出现的威胁做出反应。

七、NGSG应该是网络统一防护系统的一个有机组成部分

在一个典型的局域网中, 通常会有一系列安全相关的产品:安全网关、主机防病毒软件、内网主机安全软件、路由器、交换机、IDS……。安全网关在网络防护中会占据最重要的地位, 但不可能是全部。如果网络中众多安全组件只是独立的执行各自的安全任务, 组件之间没有协调, 无法统一防护, 其实是在浪费各自的资源, 而且降低安全防护的效果。

如何同其他产品实现协同一致实现防护策略的统一下发, 多系统联动防御威胁, 是NGSG需要实现的基本功能。这可以采用统一安全管理中心, 将安全策略自动分解为不同产品的设置, 并且能实现多个安全产品之间的信息通信, 在威胁来临的时候, 对攻击做到全网联防联治。

八、总结

随着网络威胁的变化, 很多技术领先型的安全网关厂商在NGSG下一代安全网关领域中已经有了实质性的进展。例如:很多NP、ASIC安全网关厂商开始发布基于多核处理器的高性能安全网关, WEB应用防火墙、P2P监控设备等应用安全级别的安全网关开始出现, IPS/IDS的协议识别技术的发展更是为NGSG解决了重要的安全防护技术壁垒。