作为秋天的最后一个节气，霜降的来临意味着天气渐冷，初霜出现，冬天即将开始。时逢秋暮露成霜，几份凝结几份阳。霜降时节，气温变冷，空气干燥，养生这件小事更万万不可忽略。
在此可输入您对该资料的评论~
(window.slotbydup = window.slotbydup || []).push({
id: '4540180',
container: s,
size: '250,200',
display: 'inlay-fix'
热门资料排行
添加成功至
资料评价：
所需积分：0这个不是他们来中国才发现的，来中国之前早就知道了，中国最有名的特色之一啊.....所以所有老外全部来中国之前都已经买好vpn了，或者买了一种特殊的全球sim卡到中国也不用vpn，总之来之前肯定解决好了。实在有没长心眼的（我没遇见过），来了以后也会立刻找老乡解决这个问题。&br&&br&因为对于他们来说这远远不止是一个社交网络的问题，最重要的是安全问题，到一个社会主义国家，社会运作方式大有不同，如果出了什么事，联系不到熟人是一件很可怕的事。
这个不是他们来中国才发现的，来中国之前早就知道了，中国最有名的特色之一啊.....所以所有老外全部来中国之前都已经买好vpn了，或者买了一种特殊的全球sim卡到中国也不用vpn，总之来之前肯定解决好了。实在有没长心眼的（我没遇见过），来了以后也会立刻找…
因为上面压根不知道这些游戏……
因为上面压根不知道这些游戏……
不要作死。公司发现了开除你是分分钟的事情。&br&不要抱侥幸心态认为公司发现不了，你要有这本事也不用上知乎来问了，是吧？
不要作死。公司发现了开除你是分分钟的事情。 不要抱侥幸心态认为公司发现不了，你要有这本事也不用上知乎来问了，是吧？
先简单说下结论：&br&&b&1.SSL/TLS + HTTP = HTTPs&/b&&br&&b&2.SSL/TLS + TCP and UDP = SSL VPN&/b&&br&&br&&b&一，什么是SSL/TLS&/b&&br&&a href=&///?target=https%3A//en.wikipedia.org/wiki/Transport_Layer_Security& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Transport Layer Security&i class=&icon-external&&&/i&&/a& ，直接参考wiki定义，全面又准确。&br&SSL/TLS基本上伴随了互联网的成长，到现在它仍然是具有非常活跃生命力的协议，例如今年起草的TLS1.3。&br&&br&&b&二，为什么是SSL/TLS&/b&&br&最初就是为了使HTTP传输更安全，HTTP变成了HTTPs。&br&&br&而随着技术发展，SSL/TLS不仅能为HTTP提供安全保障，也能为其他应用层协议提供保障例如mail，DNS，FTP等，这就是SSL VPN。&br&&br&所以SSL/TLS是一个安全协议，它能在不安全的网络上创建安全的连接，提供安全的数据交换，防止数据受到窃听及篡改。&br&&br&&b&三，SSL/TLS架构&/b&&br&&img src=&/v2-3f6e9d438d7cddad2fc8ae17e161630e_b.png& data-rawwidth=&1082& data-rawheight=&484& class=&origin_image zh-lightbox-thumb& width=&1082& data-original=&/v2-3f6e9d438d7cddad2fc8ae17e161630e_r.png&&&br&SSL/TLS所处的位置位于传输层（TCP/UDP）和应用层（Application）之间,如上图。所以意图很明显，就是要对上层应用提供安全保障。&br&&br&SSL/TLS自己本身的结构又分为两个协议，握手协议（Handshake Protocol）和记录协议（Record Layer Protocol），握手协议又分为三个子协议，握手协议（Handshake Protocol），改变密码规范协议（Change Cipher Spec Protocol）和告警协议（Alert Protocal）。SSL/TLS报文采用TLV编码方式，不同的值代表不同的报文，具体如下图，&br&&img src=&/v2-cde4f7b521_b.jpg& data-rawwidth=&1100& data-rawheight=&982& class=&origin_image zh-lightbox-thumb& width=&1100& data-original=&/v2-cde4f7b521_r.jpg&&&h4&Handshake Protocol 功能&/h4&&p&提供一些重要的安全功能。它执行认证（Authentication），协商加密（Negotiates the encryption），Hash和压缩算法（Compression algorithms）的交互&/p&&br&&h4&&ul&&li&Handshake Protocol&br&&/li&&/ul&&/h4&Content值22，包含“Client Hello”, “Server Hello”, “Certificate”和“Server Hello Done”, 4种消息类型，用于SSL/TLS连接建立&br&&h4&&ul&&li&Change Cipher Spec Protocol&br&&/li&&/ul&&/h4&Content值20, 它通知对端改变在Handshake阶段协商的加密信息,随后记录层协议都需要使用新的加密方法。&br&&h4&&ul&&li&The Alert Protocol&br&&/li&&/ul&&/h4&Content值21. 将错误信息或连接状态改变通告给对方。&br&&br&工作流程如下：&br&&img src=&/v2-369baed76b6660f51afa1c2de7e9d2c1_b.jpg& data-rawwidth=&1036& data-rawheight=&830& class=&origin_image zh-lightbox-thumb& width=&1036& data-original=&/v2-369baed76b6660f51afa1c2de7e9d2c1_r.jpg&&&br&&h4&Record Protocol 功能&/h4&&br&&p&从应用层接受和加密数据，然后将处理好的数据交给传输层。它将应用层数据进行加工，通过加密算法对数据进行适当大小的分片，压缩（可选）。如果是对接收的数据则进行解密和解压缩&/p&&br&这里就涉及到一个问题，Record Protocol如何处理上层应用的数据。&br&&br&&h4&&ul&&li&Application Protocol&br&&/li&&/ul&&/h4&Content值23,只用来传送data payload.&br&&br&工作流程如下：&br&&img src=&/v2-b707fa8cf26e961ba601a3_b.png& data-rawwidth=&1237& data-rawheight=&742& class=&origin_image zh-lightbox-thumb& width=&1237& data-original=&/v2-b707fa8cf26e961ba601a3_r.png&&&br&&b&四，SSL VPN&/b&&br&前面理论介绍完，要开始SSL VPN了。&br&&br&VPN，它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路。&br&&br&先以SSL + HTTP = HTTPs为例。原先没有SSL的时候，HTTP的连接是如下图的，&br&&img src=&/v2-abd92bc95eea_b.png& data-rawwidth=&1039& data-rawheight=&714& class=&origin_image zh-lightbox-thumb& width=&1039& data-original=&/v2-abd92bc95eea_r.png&&数据明文，传输过程不加密，不认证。但是加了SSL以后，连接如下图：&br&&img src=&/v2-34afd2b72ab2_b.png& data-rawwidth=&1065& data-rawheight=&728& class=&origin_image zh-lightbox-thumb& width=&1065& data-original=&/v2-34afd2b72ab2_r.png&&在TCP完成以后直接执行SSL/TLS层的过程，再开始传输数据。从而起到了加密的作用。&br&&br&以上是通过HTTPs访问网站的过程，但是如果现在要访问的是公司内部的服务器，那我们可以延伸一下，&br&&ul&&li&Web代理模式&br&&/li&&/ul&现在假设某用户在公司内部搭建了一个SSL VPN服务器，在服务器上建立一个Web网站（&a href=&///?target=https%3A//& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&https://&/span&&span class=&visible&&&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&），然后再将公司内部基于Web的应用（例如报表，订单等）映射到这个Web网站上。这时外部工作人员只需要通过Https登录这个网站，然后点击这个网站上的link，网站就会将https的连接解密后转换成Http连接，代理访问到内部的Web服务器，这样就可以安全的访问内部的Web资源了。这就是最基本的SSL VPN形式,Web代理模式。&br&&img src=&/v2-8f9c197eb4b_b.jpg& data-rawwidth=&1154& data-rawheight=&864& class=&origin_image zh-lightbox-thumb& width=&1154& data-original=&/v2-8f9c197eb4b_r.jpg&&但是这还是有点问题，这个方式只能访问Web或基于Web的应用，但如果内部的应用不是基于Web的，这种方式还能使用吗？例如，现在要访问FTP怎么办？所以这种方式就不灵了，必须采用其他的方式&br&&br&&ul&&li&端口映射&/li&&/ul&由于SSL只能封装在TCP之上，所以端口映射服务器只能针对内部的TCP应用，如FTP应用（tcp port 21）。TLS可以支持UDP。&br&&br&这里有两个地方需要做一些改变，&br&第一个改变在SSL VPN服务器，此时，SSL VPN服务器为内部FTP服务器做了端口映射，TCP 2021端口映射到FTP的TCP 21&br&&br&另一个地方在于公网用户PC上。如果PC直接发起TCP 21的连接，那么这将是一个明文的且没有SSL加密的访问，所以我们必须在客户端上安装一个小的SSL VPN的agent，用这个agent来代理FTP的访问，SSL VPN服务器会让公网用户PC自动加载SSL VPN agent程序。&br&&br&当PC访问FTP时，SSL VPN agent 会生成一个静态host映射表项，并告诉PC，访问FTP其实就是访问127.0.0.2，那么PC访问的是TCP 127.0.0.2:21，SSL VPN agent会监听这个内部地址，然后会对这个访问进行代理，变换成访问服务器TCP 6.16.5.6:2021，最后该TCP访问会使用SSL进行加密；&br&&br&访问过程如下：&br&&img src=&/v2-75d4f873fd_b.jpg& data-rawwidth=&1284& data-rawheight=&870& class=&origin_image zh-lightbox-thumb& width=&1284& data-original=&/v2-75d4f873fd_r.jpg&&&br&我们可以发现端口映射使整个访问过程由三段会话组成：使用者应用程序与SSL VPN客户端程序的普通TCP会话、SSL VPN客户端程序与服务器的SSL会话、服务器与内部站点的普通TCP会话。&br&&br&但是另外的问题又来了，如果用户想访问基于IP的应用，例如，我要直接ping内部的服务器。这个就得采用第三种方式了&br&&br&&ul&&li&IP连接&br&&/li&&/ul&这里仍然需要SSL VPN agent，此时的SSL VPN agent程序的目的是给用户PC创建一个虚拟网卡，然后虚拟网卡创建好后，SSL VPN服务器会给该用户从地址池中取一个地址分配给该用户，假设是192.168.1.2。&br&&br&此时，当PC发起对内部服务器（假设地址是10.6.16.1）的访问时，会先使用SSL VPN agent分配的地址192.168.1.2。该访问的数据包为Source IP：192.168.1.2--& Destination IP:10.6.16.1。然后SSL VPN agent会将这个访问当做应用层payload进行加密，然后在出口上封装公网IP，Source IP：2.17.0.2（PC公网IP）--& Destination IP:6.16.5.6（SSL VPN服务器公网IP）。&br&&br&当SSL VPN服务器接受到服务器的请求后，会拆掉外层包头Source IP：2.17.0.2--& Destination IP:6.16.5.6，解密数据包，发现是192.168.1.2--& Destination IP:10.6.16.1的数据包，然后转发该数据包给内部服务器。&br&&br&具体过程如下：&br&&img src=&/v2-4b20cdf806cfbdb305ec136_b.jpg& data-rawwidth=&1174& data-rawheight=&808& class=&origin_image zh-lightbox-thumb& width=&1174& data-original=&/v2-4b20cdf806cfbdb305ec136_r.jpg&&&br&五，总结&br&&br&最后针对以上的应用，SSL VPN对于客户端有三种不同的部署模式，&br&Web代理，针对Web或基于Web的应用，客户端采用无代理的模式（Clientless Mode）；&br&端口重定向，针对TCP或UDP（TLS支持）的应用，客户端采用轻代理的模式（Thin-Client Mode）&br&IP连接，针对直接支持IP的应用，客户端采用隧道的模式（Tunnel Mode）&br&&br&&img src=&/v2-af616fddc8f7403bbd4d6140_b.jpg& data-rawwidth=&1900& data-rawheight=&1034& class=&origin_image zh-lightbox-thumb& width=&1900& data-original=&/v2-af616fddc8f7403bbd4d6140_r.jpg&&
先简单说下结论： 1.SSL/TLS + HTTP = HTTPs 2.SSL/TLS + TCP and UDP = SSL VPN 一，什么是SSL/TLS
，直接参考wiki定义，全面又准确。 SSL/TLS基本上伴随了互联网的成长，到现在它仍然是具有非常活跃生命力的协议，例如今年起草…
谢邀。&br&&br&一个大客户项目里，要求创建180K个动态UDP隧道，需要在实验室验证成功，并需要对CPS、PPS、Throughput给出性能指标，流量要经过这18万个隧道，我恰好有这方面的经验。&br&&br&所谓“&b&CPS&/b&”，是“&b&Connection Per Second&/b&”，即一秒钟可以建立多少个隧道&br&&br&&b&PPS&/b&，“&b&Packet Per Second&/b&”，即一秒钟可以转发多少个包&br&&br&&b&Throughput&/b&，吞吐量，即一秒钟可以转发多少bit流量，这个最难以衡量！为何？因为这个严重依赖包的大小。&br&&br&测试包尺寸越大，这个吞吐量也会越高，为了让各个厂家有一个共同参照的衡量指标，会选择常用的几种包长度来衡量：64、200、500、，然后这五种尺寸的包按照相同的发送速率（PPS）穿越被测设备，流量慢慢增大，直到发现有流量丢失，在丢与没丢的边界就是最大的吞吐量。&br&&br&&b&丢包率&/b&&br&上文测试的最大吞吐量，是一个短期测试的过程，很容易得到结果。但丢包率却是一个长期测试的过程，比如在一定的负载（比如50%吞吐量，模拟现实网络），流量一直打一周、半个月，看看系统是否稳定，有没有出现报警日志，有没有崩溃，有没有丢包，如果丢包、丢包率是多少？&br&&br&这种丢包率都非常小，一般是低于10万分之一，所以只要不超过一个标准，这种丢包率都是可以接受的。&br&&br&归纳一下，吞吐量主要测试路由器最大的包转发能力，考察的是性能指标；而丢包率是测试路由器的稳定性，考察的是可靠性指标。&br&&br&另外，对于路由器，无论是TCP还是UDP，都是IP包，没有任何关系！&br&&br&对于防火墙，由于TCP时有状态的，防火墙要特殊处理，要记录TCP连接状态；而对于UDP则是无状态的，只需对端口号做允许、拒绝的操作，所以要分别测试、拿到各自的性能指标。
谢邀。 一个大客户项目里，要求创建180K个动态UDP隧道，需要在实验室验证成功，并需要对CPS、PPS、Throughput给出性能指标，流量要经过这18万个隧道，我恰好有这方面的经验。 所谓“CPS”，是“Connection Per Second”，即一秒钟可以建立多少个隧道 PPS，“…
那么请问你雨衣和防雨衣怕也是意思完全相反地咯？
那么请问你雨衣和防雨衣怕也是意思完全相反地咯？
&p&当交学费了，难退，不过你可以试试中个最近的Wannacry勒索病毒试试，或者中个其他病毒搞到电脑使用不了。&/p&&p&然后到店里找他们说：“&b&你们看看卖给我的是什么破JB防火墙，电脑开机就开着的防火墙一点病毒都防不住！！搞到现在电脑都用不了了，退钱！！&/b&”&/p&&p&试试吧。。&/p&
当交学费了，难退，不过你可以试试中个最近的Wannacry勒索病毒试试，或者中个其他病毒搞到电脑使用不了。然后到店里找他们说：“你们看看卖给我的是什么破JB防火墙，电脑开机就开着的防火墙一点病毒都防不住！！搞到现在电脑都用不了了，退钱！！”试试吧。。
没有。&br&&br&　　99.99+% 的网站都是个人，企业或民间团体设立的。政府无法屏蔽，也无权屏蔽。各级政府部门设立的网站，原则上讲政府可以屏蔽，可是为什么要屏蔽呢？&br&&br&　　有些网站是只对特定用户群体开放的，比如付费会员，公司的客户，供货商，经纪人，交易员等等。这是用户权限，不是屏蔽。&br&&br&　　还有些内部网站，比如公司的库存系统，订单系统等等只能在这个机构内部访问，这是信息安全的需要，不是屏蔽。
没有。 99.99+% 的网站都是个人，企业或民间团体设立的。政府无法屏蔽，也无权屏蔽。各级政府部门设立的网站，原则上讲政府可以屏蔽，可是为什么要屏蔽呢？ 有些网站是只对特定用户群体开放的，比如付费会员，公司的客户，供货商，经纪人，交易员等等。这是…
贴一个之前的回答，那个问题被删了，不知道这个问题能坚持多久：&br&&br&在之前的问题里，最先的说法是：&b&要把中国的所有IP都换成内网IP，我认为这是不可能的&/b&（评论里质疑这一点的，我只能说你们没仔细看了）。&br&&br&私有地址一共有三段：&br&&br&10.0.0.0 - 10.255.255.255：一共个&br&172.16.0.0 - 172.31.255.255：一共1040400个&br&192.168.0.0 - 192.168.255.255：一共65536个&br&&br&&b&总数加起来不够中国网民使用。&/b&&br&&br&我认为，如果&b&全面改造&/b&的话，从技术上说，&b&可能性不大&/b&。&br&&br&因为顶级的互联网结构都是以自治域(AS)为单位的，自治域之间互相是不了解内部的状态的，自治域与自治域之间通过BGP协议互相通告路由表，&b&自治域间路由表里的表项必须是全局的IP地址&/b&。如果收到目标地址或者源地址是内网IP的话，边界路由器的一般做法就是直接丢掉这些包（发送到Null
0口）。&br&&br&如果全网络改造成内网IP，首先需要面对的就是这么复杂的网络，如何保证内网的路由完全不泄露到外网上，虽然表面上看中国的网络很清晰，但实际上各个ISP之间公开或者私下里接入的VPN或者各种静态路由配置十分混乱，国家要想全面整理，几乎不可能。&br&&br&中国国内拥有的AS号大概有十几个的样子，这么多AS之间必须用全球IP，全部使用内网IP必然会让通信全面挂掉。&br&&br&中国的电信行业几个主要的ISP（电信、联通）不仅仅为个人服务，还为企业、政府等单位提供服务，这其中就包括租用线路给银行、医院等，这些一旦全面改造的话，风险非常大，一旦出问题，造成的损失恐怕不是电信能承担的起的。&br&&br&所以，我认为全面使用内网IP的话，可能性不大。&br&&br&但是，如果&b&仅仅只是给普通家庭宽带用户换内网IP的话，这种可能性是有的&/b&，而且&b&就算国家不发红头文件，慢慢的运营商肯定也会自己换的，因为IP地址不够&/b&。比如手机3G/4G上网，获得的IP地址就都是10开头的。&br&&br&那么，与其说是防止私自搭建服务器，倒不如说是运营商IP不够用，因为IPv4地址早就分完了。并且，从我个人的角度来判断，运营商们未必喜欢这么干。用内网IP就要加NAT，NAT是一个计算负载比较高的东西，需要改造接入端或者汇聚层的设备，这种改造成本并不低。&br&&br&如果真要改的话，我认为可能的情况是：&br&&br&1、家庭拨号用户，全面改为内网IP；&br&&br&2、企业、银行、政府等使用专线的机构仍然是公网IP；&br&&br&3、运营商仍然提供静态IP服务；&br&&br&4、教育网等IP地址资源比较多的单位仍然是公网IP；&br&&br&5、对于拨号用户，运营商使用内网IP最多到汇聚设备一层，再往上仍然是公网IP；&br&&br&6、对于网站（VPS、虚拟主机等）无影响；&br&&br&所以，我初步判断，&b&是这个微博表达有误，不会全面换内网IP的，改造只面向一般家庭用户&/b&，否则全网改造的话，这种网络变更的代价，谁也承受不起。&br&&br&那么，对于家庭用户来说，影响包括：&br&&br&1、花生壳这些就别想再用了（想想没准都是两三次NAT）；&br&&br&2、一些远程控制类的（比如有人在家里装了监控），都无法正常使用了；&br&&br&3、TCP点对点传输基本无解，大多数都要改成UDP并且要用公网的服务器协助；&br&&br&4、会影响一些VPN使用，但绝对不是全部，VPN有很多实现方法，有些跟内网IP没关系；&br&&br&5、部分点对点的软件（如BT/迅雷等）会受到不同程度的影响，但考虑到这些软件大部分都有内网穿透功能，所以不必太担心；
贴一个之前的回答，那个问题被删了，不知道这个问题能坚持多久： 在之前的问题里，最先的说法是：要把中国的所有IP都换成内网IP，我认为这是不可能的（评论里质疑这一点的，我只能说你们没仔细看了）。 私有地址一共有三段： 10.0.0.0 - 10.255.255.255：一…
首先，绿坝一直就没有死，而是处于一种蛰伏状态&br&其次，绿坝并不是因为老百姓反对意见太大而叫停的，&br&而是因为绿坝软件剽窃了美国人代码，美国公司看到绿坝巨大的商业前景，&br&上门来讨要专利费来了，版权问题才是绿坝休眠的原因。&br&&br&&p&美国密歇根大学计算机科学与工程学院的J.AlexHalderman等三位研究人员发布了绿坝的分析报告。他们的结论是：第一是绿坝本身十分脆弱，有严重安全漏洞，可能导致黑客远程控制电脑，泄露个人隐私，第二是绿坝部分代码与美国上网过滤软件CyberSitter重合。绿坝软件涉嫌窃取代码。&/p&&p&开发CyberSitter的Solid Oak软件公司就此进行核实，指出绿坝软件里面除了包括一些和这个公司软件相同的关键词列表、软件升级说明之外，竟然还保留了这个公司一条推广软件的旧新闻简报，公司总裁米尔伯恩还说：“绿坝使用了CyberSitter的dll文件后连名字都不改，更荒谬的是绿坝的更新还要访问我们服务器更新黑名单”“我99.99%地确定，就算不是整个软件，也有很大一部分是窃取了CyberSiitter的代码。”。他还进一步发挥说，中方从他们公司窃取了受知识产权保护的软件，又把这个软件拿到美国来，要求美国公司在销往中国的电脑里装上这种软件。&/p&&br&&br&&a href=&///?target=http%3A//.cn/i//.shtml& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&“绿坝”软件被指抄袭索赔22亿&i class=&icon-external&&&/i&&/a&&br&&p&　美国加州软件公司Cybersitter近日宣布，已向美国洛杉矶联邦法院起诉，控告“绿坝-花季护航”软件生产商郑州金惠公司与北京大正公司。而由于在电脑中预装了“绿坝”，索尼、戴尔等7家主要的电脑生产商不幸同样成为被告。 Cybersitter指控上述公司盗取商业机密、不公平竞争、侵犯版权及进行串谋活动，并向上述被告索赔22亿美元。&/p&&p&　　该软件公司在洛杉矶联邦法院起诉中称，绿坝软件非法复制了该公司一款程序的3000行代码，这款程序可以阻止儿童浏览网络上的色情与暴力内容。此外，绿坝生产商还与PC厂商共同在中国及其他汉语地区分销逾5600万张 “绿坝”软件拷贝，严重侵犯了该公司的知识产权，并给公司造成了巨大损失。&/p&&br&&br&&br&&b&现在又有死水微澜的迹象&/b&&br&&br&日，网信办正式发布《未成年人网络保护条例》（草案征求意见稿）&br&&br&第十条 国家鼓励并支持研发、生产和推广未成年人上网保护软件。&br&&br&
国家网信部门会同国务院工信等部门组织制定未成年人上网保护软件研发、生产和推广的政策并组织实施。&br&&br&
第十一条 学校、图书馆、文化馆、青少年宫等公益性场所为未成年人提供上网设施的，应当安装未成年人上网保护软件，避免未成年人接触违法信息和不适宜未成年人接触的信息。&br&&br&
第十二条 智能终端产品制造商在产品出厂时、智能终端产品进口商在产品销售前应当在产品上安装未成年人上网保护软件，或者为安装未成年人上网保护软件提供便利并采用显著方式告知用户安装渠道和方法。&br&&br&作者：陈舒璇&br&链接：&a href=&/p/& class=&internal&&网瘾即将合法化，绿坝将强奸全部智能设备 - 二狗的奇趣狗窝 - 知乎专栏&/a&&br&来源：知乎&br&著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。
首先，绿坝一直就没有死，而是处于一种蛰伏状态 其次，绿坝并不是因为老百姓反对意见太大而叫停的， 而是因为绿坝软件剽窃了美国人代码，美国公司看到绿坝巨大的商业前景， 上门来讨要专利费来了，版权问题才是绿坝休眠的原因。 美国密歇根大学计算机科学与…
鉴于题主有为应付习题才来提问的嫌疑，但问题本身并没问题，对于其他想了解防火墙区别的用户有作为问题的价值。那我就用无法抄上作业本的方式回答吧。&br&&br&【Windows防火墙】&br&&img src=&/af8e0f2dd4c982fdde66_b.jpg& data-rawwidth=&1116& data-rawheight=&630& class=&origin_image zh-lightbox-thumb& width=&1116& data-original=&/af8e0f2dd4c982fdde66_r.jpg&&&br&【第三方防火墙】&br&&img src=&/4a93f1118ccdeffac4a6d_b.jpg& data-rawwidth=&1119& data-rawheight=&631& class=&origin_image zh-lightbox-thumb& width=&1119& data-original=&/4a93f1118ccdeffac4a6d_r.jpg&&&br&【企业级硬件防火墙】&br&&img src=&/99d31e9e1c12eaecf116f9bf435f0e30_b.jpg& data-rawwidth=&595& data-rawheight=&335& class=&origin_image zh-lightbox-thumb& width=&595& data-original=&/99d31e9e1c12eaecf116f9bf435f0e30_r.jpg&&&br&【运营商级硬件防火墙】&br&&img src=&/d61680fcfc7fa4ec80b95a_b.jpg& data-rawwidth=&1280& data-rawheight=&720& class=&origin_image zh-lightbox-thumb& width=&1280& data-original=&/d61680fcfc7fa4ec80b95a_r.jpg&&
鉴于题主有为应付习题才来提问的嫌疑，但问题本身并没问题，对于其他想了解防火墙区别的用户有作为问题的价值。那我就用无法抄上作业本的方式回答吧。 【Windows防火墙】 【第三方防火墙】 【企业级硬件防火墙】 【运营商级硬件防火墙】
如果是正版 Windows 系统的话，微软自家的 Microsoft Security Essentials 非常不错，免费安装： &a href=&///?target=http%3A///security_essentials/& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://www.&/span&&span class=&visible&&/security_&/span&&span class=&invisible&&essentials/&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&
如果是正版 Windows 系统的话，微软自家的 Microsoft Security Essentials 非常不错，免费安装：
Windows自带的防火墙实际上对普通用户来说非常人性化，你想打开什么端口加进去就行，或者不知道用的什么端口那就把程序加进去，相当于AppArmor的强制访问控制，再加上iptables这类普通的包过滤器的功能。&br&&img src=&/047f3ea459b2b34cb1ddb_b.jpg& data-rawwidth=&513& data-rawheight=&379& class=&origin_image zh-lightbox-thumb& width=&513& data-original=&/047f3ea459b2b34cb1ddb_r.jpg&&&br&而其他的软件防火墙，可以是个简单的包过滤器，比如大家都很熟悉的iptables，或者CentOS和Fedora目前默认安装的Firewalld（功能比iptables更强大，如下图），又或者功能更加强大的甚至还有IDS、反垃圾邮件、URL过滤、内容过滤、防毒墙等等功能。优点是功能更加强大，但对于普通用户来说用起来会比较吃力，名词术语很多，也不如Windows自带防火墙那么直观。&br&&img src=&/f322fd1fa69fa4023f97c_b.jpg& data-rawwidth=&880& data-rawheight=&637& class=&origin_image zh-lightbox-thumb& width=&880& data-original=&/f322fd1fa69fa4023f97c_r.jpg&&&br&又或者可能买回来就是一块铁疙瘩，如下图。&br&除了具有防火墙的功能之外，还是一个功能完备路由器+交换机，运行的Junos操作系统基于FreeBSD（如果是Cisco的设备通常都运行IOS系统），可以把它看作是一台小电脑，与上文列举的软件防火墙产品不同的是，它做的并不是网络到计算机的防御，而是从网络到网络间的防御。功能繁杂，配置选项和参数有数百项，对不具备相关基础知识的普通用户来说简直就是天书。&br&它可以像普通路由器一样通过WEB管理界面配置，也可以ssh上去以命令行来控制（我个人是比较喜欢用WEB界面，自带的CLI Tools可以以直观的方式配置所有参数）。而某些UTM功能（相当于网游里需要氪金才能买的高级装备），比如IDS、反病毒、反垃圾邮件等都是需要另外给钱买授权。&br&&img src=&/fe07e382e290aedd297d15862eff01f9_b.jpg& data-rawwidth=&800& data-rawheight=&348& class=&origin_image zh-lightbox-thumb& width=&800& data-original=&/fe07e382e290aedd297d15862eff01f9_r.jpg&&&br&下图就是图形界面中配置Transmission的侦听端口的端口映射，它不像普通路由器那样有个叫“端口映射”的功能，而是直接配Destination NAT，然后再配置安全策略，最后再commit才生效。如果不满意配置的结果，可以选择回滚到之前的某个时间点，还能以文本的形式层级输出全部配置，对管理员来说非常方便（然而对普通用户来说可能是恶梦）。&br&&img src=&/d955d2acf94b21e462e79ebc_b.jpg& data-rawwidth=&1230& data-rawheight=&948& class=&origin_image zh-lightbox-thumb& width=&1230& data-original=&/d955d2acf94b21e462e79ebc_r.jpg&&&br&除此之外，还有更加高大上防火墙，比如跟我那台同个系列，但性能和价格都是另一个次元的SRX5800，最高可达2Tbps的防火墙流量（我那台950Mbps）。虽然性能是怪兽级的，但功能并没有低端设备那么花哨。&br&&img src=&/c39bcec4f27f9e5d60b379_b.jpg& data-rawwidth=&1019& data-rawheight=&708& class=&origin_image zh-lightbox-thumb& width=&1019& data-original=&/c39bcec4f27f9e5d60b379_r.jpg&&
Windows自带的防火墙实际上对普通用户来说非常人性化，你想打开什么端口加进去就行，或者不知道用的什么端口那就把程序加进去，相当于AppArmor的强制访问控制，再加上iptables这类普通的包过滤器的功能。 而其他的软件防火墙，可以是个简单的包过滤器，比如…
&a href=&///?target=https%3A//mp./s%3F__biz%3DMzA5Nzg3NzIzNQ%3D%3D%26mid%3D%26idx%3D1%26sn%3Dbb6b2e36e888& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&https://&/span&&span class=&visible&&mp./s?&/span&&span class=&invisible&&__biz=MzA5Nzg3NzIzNQ==&mid=&idx=1&sn=bb6b2e36e888&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&转篇文章，《我采访的鉴黄师是个软妹子》坐高铁的时候看到的。这妹子真是配得上一个加粗大写的污字啊。&br&&br&摘录一些妹子的经典语录，懒得看全文的可以观其大略，但还是强烈推荐去看原文，还有更多又污又萌的语录，记得看完之后回来点赞啊。&br&“（习惯之后）慢慢地就不会像当初那样觉得恶心奇葩了。所以现在我完全可以一边看图，一边吃着香蕉喝着奶了。”&br&&br&“但毕竟朋友之间没有什么是一个稀有种子不能解决的啦，如果有，那就两个。”&br&&br&“我从不拿图库里的一针一线，记下番号就可以了。而且我们都没有必要偷偷收集的哈，因为在公司都可以光明正大看的，回家要想再看，直接登陆后台看就得了，工作娱乐两不误 。”&br&&br&“然后我们这些“新司机”就“见黄－鉴黄－践黄－渐黄”了。”&br&&br&==============&br&没想到高铁上的杂志也挺好看的，这期我看的很仔细，涨了不少见识。果然手机没电是第一生产力啊。
转篇文章，《我采访的鉴黄师是个软妹子》坐高铁的时候看到的。这妹子真是配得上一个加粗大写的污字啊。 摘录一些妹子的经典语录，懒得看全文的可以观其大略，但还是强烈推荐去看原文，还有更多又污又萌的语录，记得看完之后回来点赞啊…
真理部可以审计微信的一字一句，&br&但是LINE的加密内容则完全没有办法。&br&&br&懂？
真理部可以审计微信的一字一句， 但是LINE的加密内容则完全没有办法。 懂？
已有帐号？
无法登录？
社交帐号登录}