对于端网防火墙这一网络安全概念进行探讨前，先了解一下与端网有关的一些信息。

   网络互联

   互联网、信息高速公路、远程数据交换、基于信息的管理等等都是90年代出现的热门话题，其吸引了几乎所有公众、政府和商业机构的关注，这些话题都与联网有关。联网的外延已从IMB 公司的“计算机相互连接”发展成为“网络互联”，成为20世纪人类科技最大成果之一。

   网络互联就是通过各种通信网络将相互独立的不同厂商制造的计算机连接在一起，从而实现计算机资源的共享。这里的通信网络既可以是公共网络，也可以是专用网络；既可以是本地网络，也可以是广域网。网络互联对于通信网络的运行效率有着至关重要的影响，其中间的原因很多，但它们都是与数据包限制（Packet Containment）的思想联系在一起。

   首先，对于一个企业来说，他们的网络不可能是单一的和同质的。这样，就存在网络间数据分发的需求，但这并不意味着网络中的每一个用户都希望接受来自整个网络的所有用户的数据。为此，必须为每个用户或用户组分配一个地址，让数据包可以根据这些地址来确定接受用户。

    其次，网络用户要求能够根据需要来决定不同网络间的连接和隔离，这对于保证网络的性能也十分重要。就拿网络隔离来说，当某个网络出现故障时，通过隔离措施可以使其不会影响到其他网络的运行。另外，不同的网络可能有不同的安全要求。我们通过在网络中采用适当的安全措施可以防止来自其他的网络的用户入侵。

   最后，有些网络的设计本身就是要使一个用户发送的信息能够被网络上所有用户接受到，我们  可以先将这些网络分割成一些独立的“域”，在利用网络互联单元（例如交换机）将这些网络连接在一起。这样，我们就可能对这些网络间的通信信号量加以限制了。

  网络互联单元（Internet working unit, IWU）

   网络互联单元是指在网络间执行通信中继或网络延伸功能的各种设备，网络互联单元不涉及用户应用层的功能，包括应用协议和数据应用等，其只专注于网络间通信流量管理。

   网桥（Bridge）运行在数据链路层（分层模型的第二层）。典型的网桥采用介质访问控制（MAC）地址数据的中继功能，从而完成一个局域网（LAN）到另一个局域网的数据包转发。网桥是一种功能很弱的设备。尽管有些网桥产品用于不同局域网（如FDDI LAN和以太网）的连接，但一般来说，它所连接的网络都是同质的（如以太网）。另外，网桥只能连接局域网，不能连接广域网。

   路由器（Router）运行在网络层（分层模型的第三层），它的网间数据包中继采用的是网络层   地址（如IP地址）。路由器的能力比网桥强大的多，它不仅具备流量控制能力，还可以提供诸如帧中继的网络接口。

   网关（Gateway），它所描述的是网络中的这样一种实体（一台机器或一个软件模块），它可以完成网络中的数据包中继，并具有协议变换和映射能力。

   网桥、路由器和网关的概念，三者之间虽然存在一些差别，但它们有一点是共同的，那就是实现网络通信的中继。为此，有人为了避免混淆而将这三者统称网络互联单元（IWU）。

   扁平网络与分层网络

   扁平网络（Flat network）是使用同一连接方式将所有计算机连接在一个网络中，如：使用以太网协议将所有PC机连接在集线器上的网络。分层网络是将不同质的计算机或应用划分成不同的网  络（子网）使用网络互联单元形成一个网域。分层网络对网络通讯效率、可扩展性和安全性等方面都有优势，但需要更高的网络技术和资金的投入。在分层网络中使用最普遍的网络互联单元是路由器，由多台路由器所连接的网域称为“路由域”。

   路由域

   路由域范围是指它所涉及的网络或子网的数量。路由域属于一种管理实体，尽管影响路由域范围的因素很多，但它最终是网络管理员决定的。一个小型的路由域可能只有几个子网构成；而大型路由域可能涉及多个网络。对于一个路由域来说，它的大小概念是相对的，建立路由的目的在于确定路由信息分发的边界，并最终实现对数据包数量的限制。如果一个域包含的网络数量较多，那么，它所涉及的路由交换的数据包数量也要多一些。

   另外，路由域的概念在网络的安全管理上也十分有用。例如，对于某个组织的路由域来说，它可能包括一些可信网络，既这些网络所采取的安全措施是十分有限的，它们通过位于路由域边界上的防火墙来过滤进出路由域的信息。事实上，路由域的安全策略可以禁止某种类型信息的通过。如果通信信息真正能够穿越某个特定的网络，则我们称这种网络是敞通（Pass-through）网络。

   对于某些网络来说，路由域还可以提供另外一种功能，既账户服务和计费服务。显然，如果网络管理员无法对路由域和通信量进行控制，他就根本不可能实现服务的收费。

   一般来说，为了优化路由通告，路由域通常都采用分层结构。对于某个通信来说，如果它的传输不超出路由域的范围（这对于一个企业专用网络来说是很常见的），它就无须了解该域以外的任何其他节点的信息，也无须对外通告自己的路由，这就达到了对数据包数量的限制目的。

   在多数情况下，路由器的作用就如同一个管道，它一方面负责域内终端用户的进出通信信息的传递，另一方面负责路由域之间的路由通告信息的传递。

   在许多的情况下，我们还可以指定某个路由器专门负责网络或路由域的路由通告任务。另外，当网络存在多个路由器时，我们还可以指定某个路由器为基本路由器。

   不同域之间的路由通告信息都是经过“过滤”的。也就是说，并不是域中的每一个通告数据包都会发送到另外一个域中去，取而代之的是他们的汇总或集聚合信息。这也正是分层路由域设计以及数据包限制思想背后的核心所在。

   分层的概念避免了扁平网络拓扑的弱点。在一个扁平网络结构中，网络中的每一个交换节点都需要维护一个有关整个路由域，甚至多个路由域的网络拓扑路由表。这对于一个大型网络几乎是不可能的。而路由分层的概念则大大改善了这种大型网络的伸缩能力。分层路由域是建立或实现网络互联的一种常用的方法。

    相互独立的网络可通过网络间的交换设备，即路由器连接在一起。路由器通过数据包目标地址与路由表表项的匹配过程，可以将数据包导向到适当的网络上。路由表表向所给出的是到达下一个网络或目标地址的最佳路由。

   自治系统（Autonomous System）

   尽管每个独立的网络都可以设置本地的网关结构，但它们通常更愿意把一组网络作为一个完整的系统进行管理，这就是所谓的自治系统。像我们经常提及的校园网、医院网、军用网等都是这种自制系统的例子。在这些场所中安装的各种网络都是通过路由器连接在一起的。由于这些路由器运行在同一个自治系统下，因此，它们通常都会选择最适合自己的路由机制。

   在自治系统中，每一个本地网管机构都就如何交换（通告）系统中各个主机的“可达性”信息存在着统一的认识。这种信息通告的责任可以由一个路由器来分担。

    每个自治系统都有一个唯一的自治系统编号，这个编号是由互联网授权的管理机构分配的。它的基本思想就是希望通过不同的编号来区分不同的自治系统。这样，当网络管理员不期望自己的通信数据通过某个自治系统时，这种编号方式就十分有用了。或许，该网络管理员的网络完全可以访问这个自治系统，但由于它可能是由竞争对手在管理，或是缺乏足够的安全机制，因此，可能要回避它。通过采用路由协议和自治系统编号，路由器就可以确定彼此间的路径和路由信息的交换方法。

    自治系统的编号范围是1到65535，其中1到65411是注册的互联网编号，65412到65535是专用网络编号。

    一个大型的自治系统常常可以划分成几个较小的路由域。就像自治系统可以配置一个或多个自治系统边界路由器一样，这些区域也可以配置一个或多个区域边界路由器。正如我们前面所提过的，路由域是一种管理实体，它的范围大小是由网络管理员决定的。一个小的路由域可能只有几个子网，而一个大的路由域可能包含许多网络。

    内部网关协议（Internet gateway protocol，IGP）和外部网关协议（External gateway protocol，EGP）

    在ARPAnet 初始建立的时候，它只有一个骨干网。随着互联网的出现，ARPAnet为了实现本地网的连接而设置了各种路由器，并在这些路由器上运行一种网关-网关协议（Gateway-To-Gateway Protocol，GGP），专门用于本地网信息在各路由器之间的交换。两个网络之间的通信信号至少会经过两个路由器，每个路由器都存储有另一个核心路由器的全部路由信息。因此，这些路由器是不需要缺省路由设置的。

    不过，随着互联网规模的增长，这种情况开始发生变化。再让一个路由器来保存整个互联网的全部路由信息显然是不明智的。

    为解决这一问题，人们开始考虑让路由器只负责部分互联网的路由处理。这样，路由器就可以不必直接了解互联网上所有其他路由器的情况，而依靠相邻路由器或其他自制系统中的路由器来解决这部分的路由信息。如果实在因路由信息缺乏而无法作出明确的路由决策，则路由器就简单地选用缺省路由。这种改变导致了两个术语的产生：这就是外部路由器（Exterior Route）及内部路由器（Interior Route）。所谓外部路由器就是支持不同自治系统间路由信息交换的路由器，所谓内部路由器就是负责同一自治系统内部路由信息交换的路由器。

    静态路由与缺省路由  

    静态路由就是通过手动配置的路由，它们是通过配置命令进入路由表的。对于一个网络来说，它除了静态路由之外可以不需要任何其他路由。

    对于静态路由来说，有些系统为了防止基本路由信息的失效而提供有备份静态路由，但也有不提供这种备份的，但不管怎么说，静态路由在某些情况下还是十分有效的，至少它不需要运行任何路由协议，因此，它不必承担因路由通告和路由表维护所带来的资源消耗。

    静态路由应用较多的网络就是端网（Stub），端网就是只有通信数据的起点或终点的网络。通信数据是不可能穿越端网的，它就好比是地铁的终点或是街道的死胡同一样。进行端网的路由通常是静态路由，它的出口一般是指向一个事先配置好的路由器。

    缺省路由是在路由表中找不到与目标地址匹配的路由的情况下的一种最后求助路由。在某些资料中，它又被称作最后求助网关（Gateway of last resort）。在端网中，它的缺省路由通常是指向集线路由器（HUB router），同样地，这种缺省路由也是不涉及任何路由信息协议的。

    端网（Stub）

    端网路由器是不必学习任何动态IP路由的，它们的配置通常是通过某个缺省路由指向一个非端网路由器。缺省路由器就像集线器一样将所有端网与其他路由域连接在一起。集线路由器必须通过配置来了解每个端网路由器与端网的关系。但对于一个大型路由域来说，可能存在大量的集线路由器和端网路由器，这种情况下的静态路由的配置工作量是十分繁重的。

    因此，大多数的高端路由器都是让网络管理员来负责端网的安装，而让集线路由器来负责端网路由的动态维护。此时的端网路由器必须负责其接口上连接的网络IP前缀的通告。既然这种方案可以支持地址前缀的通告，它也可以支持变长子网掩码。这样，集线路由器就可以根据这些信息将IP数据发送给端网路由器。 

    在今天的互联网中，路由域又被称做自治系统。自治系统内部使用的路由协议为内部网关协议，而自治系统之间使用的路由协议为外部网关协议。

    端网的安全

    无论是大型局域网、内联网、外联网或小型局域网实际上都可以看成是一个端网或多个端网的集合，而从计算机用户的角度来看，所有用户都是在端网中工作，因此，端网的安全性将决定着整个网络的内部安全强度。凡是有不希望他人了解的信息的机构在使用网络时都需要安全保护，然而，目前的情况是用户网络普遍是同质扁平网络，这与树型分层管理体制有严重的冲突，网络中的每个用户都可以在这类网络环境中入侵到他人的计算机中。从信息安全的角度看，对于多数使用同质扁平网络连接的机构而言，使用计算机实际上是放弃拥有机密的权利。更严重的是，如果这个网络与互联网相连，而在连接端无任何防火墙设置，无疑是鼓励内部人员将机构所拥有的机密向外出售，而无须承担法律责任！端网的使用可以将同质扁平网络拓扑改变成为适合实际管理和应用需要的树型分层网络。

     用户在使用端网来对其网络进行树型分层时需要购置端网设备，端网设备包括端网路由器和防火墙。端网路由器只需有IP路由功能即可，但其与上级集线路由器的连接速率必须达到10M以上，否则，端网路由器将成为通讯瓶颈，降低了网络的通讯效率。端网防火墙是为了防止端网外部对端网内部进行攻击的安全设备，同时也可以起到对端网内部用户访问端网外部进行限制。