交换机，网关、路由器、服务器、防火墙几者之间的关系是怎样

这会我就不名词解释了，百度一下都出来；

交换机：把各个网络用户连接在一起的设备，属于星行连接（对应的有环行连接）；与交换机类似的是HUB，区别是HUB是广播的。交换机有很多种。

网关：这是一个”接口“，你要把包发向不同的网络（段），首先是发向这个最近的”口“

路由器：连接不同网络（段）的设备，路由器将不同的网段的包做转发。比如你买的理由器，将电信与你的网络连接。现在提到的路由器可能包括了猫、光猫、交换机、wifi，防火墙功能、DHCP服务、WEB服务、速度控制、上网控制。

服务器：运行着“服务”的设备，一般是电脑。有人用PC当服务器，因为它运行着服务程序。“服务器”的稳定性指标要高。

防火墙：这个是用来在网络入口，对出、入、转发的包做限制的机制（或说规则），可以是纯软件（比如你机器上的防火墙），也可能是硬件（包含了软件的）的独立设备。

重复一下：名词解释、定义请去百度这些概念、定义。

关系：比如你家里，电信线进来，先接的是路由器（一般包含了拨号功能），这个也是你的（却省、默认）网关，路由器上有多RJ45接口，这是内置的交换机了，接口不够你用的可以另外加接别的交换机（那叫集联），为了保护你的网络，路由器上可能被你设置了一些规则（防火墙规则），为方便设置，你使用了路由器上的DHCP来给设备分配IP等参数，那么这个路由器起到了DHCP服务器的职责，说是DHCP服务器一点也不为过。

1、交换机用来拓展网络数量和划分网络用，还有交换机不同类型功能不同

2、路由器一般是网络的核心设备，主要起到网络数据包的转发和解析

3、服务器一般的网络基本用不到，大部分使用在网吧，企业等等大型网络内

4、防火墙不知道你说的是PC防火墙还是网络防火墙，前者用来防御网络木马等攻击，后者用来应付整个网络的攻击

方法如下：

　　web服务器置于防火墙之内：

　　将web服务器放在防火墙内部的好处是它得到了很好的安全保护，不容易被黑客所入侵，但缺点是，不容易被外界所应用。

　　举个例子，如果web服务器是对外宣传自己的，那么这样配置显然是不合理的，这样客户就不能很好的去访问web服务器，所以具体情况还要具体的分析。

web服务器置于防火墙之外：

　　这个的好处是解决了上述所说的这个问题。这样配置的好处是内部网被很好的保护，就算是黑客入侵了web服务器，内部网络还是安全的。缺点就是这种配置对web服务器起不到任何防护作用。

web服务器置于防火墙之上：

　　一些管理者为了提高web服务器的安全性能，将防火墙加在web服务器上，以增强web服务器的安全性能，这样做的缺点就是，一旦web服务器出现问题，整个组织网络就暴露在危险之中了。

所有的防火墙配置都要根据实际情况来操作，不能一概而论，也可以综合多种情况出一个合理的规划。

1、选定合适的线路IP

线路主要分单线、双线、多线BGP单线一般默认电信线路，国内电信线路是比较成熟的，无论是带宽和防御都做得很到位，一般都是电信机房。双线，就是两条线路组合，现在主流的双线是电信+联通、电信+网络两种，前者比后者因为线路的访问成本和质量关系租用价格稍高。线路的选择主要考虑，您现在站点的访问业务人群主要是在什么地方，南方访客占据大多数而北方访客比较少的话建议用电信单线就行，要是南北方访客都差不多，而且处于业务需要想做全国的业务，那双线就是最合适的选择

2、选择合适的服务商

在选择高防服务器租用时首要便是要从选择服务商开始。一定是要选择比较知名的，有实力，有保障的运营商，这样能保障其高防服务器的日常维护和提供专业的防御建议，并及时由专家介入灵活调整防御策略。高防服务器租用市场上种类繁多，要挑选机房硬件防火墙设备至少到达10G以上，也能为单个用户提供安全保护。 推荐阅读云服务器死机怎么办？

而作为高防机房，是必须确保本机房能有足够的出口带宽，由于大多数网络攻击都是通过带宽网络进行攻击，只有满足充足的带宽资源机房，才能承受住较大的网络攻击。而服务商提供的服务器的稳定性也是关键，因为只有服务器拥有高质量的稳定性才能使网站正常运转，如果服务器稳定性较差时常出现宕机或其它情况，这就会对网站的运转造成严重损失。

3、查看服务器的防御能力

在选择高防服务器的过程中，一定要认真的去了解这里的具体的防御方面的能力，我们对于服务器的租赁看起来简单，但是真正做的过程中并不容易，一定要认真的去了解到了各个方面的实际情况，只有对这个服务器有着更多的了解之后，这样在作出选择的过程中才能够有所保障，同时也可以有效的去避免了其他的麻烦。

防火墙（Firewall），也称防护墙，是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网（US5606668（A）1993-12-15）。它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。 防火墙的发明者是吉尔·舍伍德。

所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。

在网络中，所谓“防火墙”，是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

什么是防火墙

XP系统相比于以往的Windows系统新增了许多的网络功能（Windows 7的防火墙一样很强大，可以很方便地定义过滤掉数据包），例如Internet连接防火墙（ICF），它就是用一段"代码墙"把电脑和Internet分隔开，时刻检查出入防火墙的所有数据包，决定拦截或是放行那些数据包。防火墙可以是一种硬件、固件或者软件，例如专用防火墙设备就是硬件形式的防火墙，包过滤路由器是嵌有防火墙固件的路由器，而代理服务器等软件就是软件形式的防火墙。

ICF工作原理

ICF被视为状态防火墙，状态防火墙可监视通过其路径的所有通讯，并且检查所处理的每个消息的源和目标地址。为了防止来自连接公用端的未经请求的通信进入专用端，ICF保留了所有源自ICF计算机的通讯表。在单独的计算机中，ICF将跟踪源自该计算机的通信。与ICS一起使用时，ICF将跟踪所有源自ICF/ICS计算机的通信和所有源自专用网络计算机的通信。所有Internet传入通信都会针对于该表中的各项进行比较。只有当表中有匹配项时（这说明通讯交换是从计算机或专用网络内部开始的），才允许将传入Internet通信传送给网络中的计算机。

源自外部源ICF计算机的通讯（如Internet）将被防火墙阻止，除非在“服务”选项卡上设置允许该通讯通过。ICF不会向你发送活动通知，而是静态地阻止未经请求的通讯，防止像端口扫描这样的常见黑客袭击。

防火墙的种类防火墙从诞生开始，已经历了四个发展阶段：基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。常见的防火墙属于具有安全操作系统的防火墙，例如NETEYE、NETSCREEN、TALENTIT等。

从结构上来分，防火墙有两种：即代理主机结构和路由器+过滤器结构，后一种结构如下所示：内部网络过滤器（Filter）路由器（Router）Internet

从原理上来分，防火墙则可以分成4种类型：特殊设计的硬件防火墙、数据包过滤型、电路层网关和应用级网关。安全性能高的防火墙系统都是组合运用多种类型防火墙，构筑多道防火墙“防御工事”。

1、带宽大小

现有的很多网络攻击采取的攻击方式都是消耗带宽型，所以带宽大小是判定是否为高防服务器的标准之一，带宽资源越大，支持服务器的防御能力就越大。

2、防御范围大小

高防服务器的数据中心都会安装防火墙设备，观测防火墙设备是否在100G以上。现如今非常少服务提供商能提供的总硬防会超出100G，在挑选的时候要擦亮眼睛，服务提供商的真正防御能力标准还是要客户利用测试工具来开展具体的测试。

3、看高防服务器可防御的攻击类型

选择高防服务器的时候要注意可否应对常见的网络层SYN、UDP、IMCP等泛洪攻击类型，可否支持HTTP特征过滤、URI过滤、host过滤等web应用防护功能，可否对frag flood，stream flood，land flood等畸形报文攻击产生有效防御。

总体上讲可以称之为安全网关。涉及到的功能主要是：防火墙、垃圾邮件过滤、网页过滤、***、防病毒等。

可以通过防火墙设置，使Internet或外部网用户无法访问内部网络，或者对这种访问配备更多的限定条件。在网络系统与外部网络接口处应设置防火墙设备；服务器必须放在防火墙后面。

还包括密码芯片、加密卡、身份识别卡、电话密码机、传真密码机、异步数据密码机、安全服务器、安全加密套件、金融加密机/卡、安全中间件、公开密钥基础设施（PKI)系统、授权证书（CA)系统、安全操作系统、防病毒软件。

网络安全的屏障：

一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络。

这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

-网络安全设备