对于端网防火墙这一网络安全概念进行探讨前，先了解一下与端网有关的一些信息。

　　网络互联

　　互联网、信息高速公路、远程数据交换、基于信息的管理等等都是90年代出现的热门话题，其吸引了几乎所有公众、政府和商业机构的关注，这些话题都与联网有关。联网的外延已从IMB公司的“计算机相互连接”发展成为“网络互联”，成为20世纪人类科技最大成果之一。

　　网络互联就是通过各种通信网络将相互独立的不同厂商制造的计算机连接在一起，从而实现计算机资源的共享。这里的通信网络既可以是公共网络，也可以是专用网络；既可以是本地网络，也可以是广域网。网络互联对于通信网络的运行效率有着至关重要的影响，其中间的原因很多，但它们都是与数据包限制（Packet Containment）的思想联系在一起。

　　首先，对于一个企业来说，他们的网络不可能是单一的和同质的。这样，就存在网络间数据分发的需求，但这并不意味着网络中的每一个用户都希望接受来自整个网络的所有用户的数据。为此，必须为每个用户或用户组分配一个地址，让数据包可以根据这些地址来确定接受用户。

　　其次，网络用户要求能够根据需要来决定不同网络间的连接和隔离，这对于保证网络的性能也十分重要。就拿网络隔离来说，当某个网络出现故障时，通过隔离措施可以使其不会影响到其他网络的运行。另外，不同的网络可能有不同的安全要求。我们通过在网络中采用适当的安全措施可以防止来自其他的网络的用户入侵。

　　最后，有些网络的设计本身就是要使一个用户发送的信息能够被网络上所有用户接受到，我们可以先将这些网络分割成一些独立的“域”，在利用网络互联单元（例如交换机）将这些网络连接在一起。这样，我们就可能对这些网络间的通信信号量加以限制了。

　　网络互联单元（Internet working unit, IWU）

　　?缁チピ侵冈谕缂渲葱型ㄐ胖屑袒蛲缪由旃δ艿母髦稚璞福缁チピ簧婕坝没вτ貌愕墓δ埽ㄓτ眯楹褪萦τ玫龋渲蛔ㄗ⒂谕缂渫ㄐ帕髁抗芾怼?

　　网桥（Bridge）运行在数据链路层（分层模型的第二层）。典?偷耐挪捎媒橹史梦士刂疲∕AC）地址数据的中继功能，从而完成一个局域网（LAN）到另一个局域网的数据包转发。网桥是一种功能很弱的设备。尽管有些网桥产品用于不同局域网（如FDDI LAN和以太网）的连接，但一般来说，它所连接的网络都是同质的（如以太网）。另外，网桥只能连接局域网，不能连接广域网。

　　路由器（Router）运行在网络层（分层模型的第三层），它的网间数据包中继采用的是网络层地址（如IP地址）。路由器的能力比网桥强大的多，它不仅具备流量控制能力，还可以提供诸如帧中继的网络接口。

　　网关（Gateway），它所描述的是网络中的这样一种实体（一台机器或一个软件模块），它可以完成网络中的数据包中继，并具有协议变换和映射能力。

　　网桥、路由器和网关的概念，三者之间虽然存在一些差别，但它们有一点是共同的，那就是实现网络通信的中继。为此，有人为了避免混淆而将这三者统称网络互联单元（IWU）。

　　扁平网络与分层网络

　　扁平网络（Flat network）是使用同一连接方式将所有计算机连接在一个网络中，如：使用以太网协议将所有PC机连接在集线器上的网络。分层网络是将不同质的计算机或应用划分成不同的网络（子网）使用网络互联单元形成一个网域。分层网络对网络通讯效率、可扩展性和安全性等方面都有优势，但需要更高的网络技术和资金的投入。在分层网络中使用最普遍的网络互联单元是路由器，由多台路由器所连接的网域称为“路由域”。

　　路由域

　　路由域范围是指它所涉及的网络或子网的数量。路由域属于一种管理实体，尽管影响路由域范围的因素很多，但它最终是网络管理员决定的。一个小型的路由域可能只有几个子网构成；而大型路由域可能涉及多个网络。对于一个路由域来说，它的大小概念是相对的，建立路由的目的在于确定路由信息分发的边界，并最终实现对数据包数量的限制。如果一个域包含的网络数量较多，那么，它所涉及的路由交换的数据包数量也要多一些。

　　另外，路由域的概念在网络的安全管理上也十分有用。例如，对于某个组织的路由域来说，它可能包括一些可信网络，既这些网络所采取的安全措施是十分有限的，它们通过位于路由域边界上的防火墙来过滤进出路由域的信息。事实上，路由域的安全策略可以禁止某种类型信息的通过。如果通信信息真正能够穿越某个特定的网络，则我们称这种网络是敞通（Pass-through）网络。

　　对于某些网络来说，路由域还可以提供另外一种功能，既账户服务和计费服务。显然，如果网络管理员无法对路由域和通信量进行控制，他就根本不可能实现服务的收费。

　　一般来说，为了优化路由通告，路由域通常都采用分层结构。对于某个通信来说，如果它的传输不超出路由域的范围（这对于一个企业专用网络来说是很常见的），它就无须了解该域以外的任何其他节点的信息，也无须对外通告自己的路由，这就达到了对数据包数量的限制目的。

　　在多数情况下，路由器的作用就如同一个管道，它一方面负责域内终端用户的进出通信信息的传递，另一方面负责路由域之间的路由通告信息的传递。

　　在许多的情况下，我们还可以指定某个路由器专门负责网络或路由域的路由通告任务。另外，当网络存在多个路由器时，我们还可以指定某个路由器为基本路由器。

　　不同域之间的路由通告信息都是经过“过滤”的。也就是说，并不是域中的每一个通告数据包都会发送到另外一个域中去，取而代之的是他们的汇总或集聚合信息。这也正是分层路由域设计以及数据包限制思想背后的核心所在。

　　分层的概念避免了扁平网络拓扑的弱点。在一个扁平网络结构中，网络中的每一个交换节点都需要维护一个有关整个路由域，甚至多个路由域的网络拓扑路由表。这对于一个大型网络几乎是不可能的。而路由分层的概念则大大改善了这种大型网络的伸缩能力。分层路由域是建立或实现网络互联的一种常用的方法。

　　相互独立的网络可通过网络间的交换设备，即路由器连接在一起。路由器通过数据包目标地址与路由表表项的匹配过程，可以将数据包导向到适当的网络上。路由表表向所给出的是到达下一个网络或目标地址的非常好的路由。

　　自治系统（Autonomous System）

　　尽管每个独立的网络都可以设置本地的网关结构，但它们通常更愿意把一组网络作为一个完整的系统进行管理，这就是所谓的自治系统。像我们经常提及的校园网、医院网、军用网等都是这种自制系统的例子。在这些场所中安装的各种网络都是通过路由器连接在一起的。由于这些路由器运行在同一个自治系统下，因此，它们通常都会选择最适合自己的路由机制。

　　在自治系统中，每一个本地网管机构都就如何交换（通告）系统中各个主机的“可达性”信息存在着统一的认识。这种信息通告的责任可以由一个路由器来分担。

　　每个自治系统都有一个唯一的自治系统编号，这个编号是由互?谌ǖ墓芾砘狗峙涞摹Ｋ幕舅枷刖褪窍Ｍü煌谋嗪爬辞植煌淖灾蜗低场Ｕ庋蓖绻芾碓辈黄谕约旱耐ㄐ攀萃ü掣鲎灾蜗低呈保庵直嗪欧绞骄褪钟杏昧恕；蛐恚猛绻芾碓钡耐缤耆梢苑梦收飧鲎灾蜗低常捎谒赡苁怯删赫允衷诠芾恚蚴侨狈ψ愎坏陌踩疲虼耍赡芤乇芩Ｍü捎寐酚尚楹妥灾蜗低潮嗪牛酚善骶涂梢匀范ū舜思涞穆肪逗吐酚尚畔⒌慕换环椒ā?

　　自治系统的编号范围是1到65535，其中1到65411是注册的互联网编号，65412到65535是专用网络编号。

　　一个大型的自治系统常常可以划分成几个较小的路由域。就像自治系统可以配置一个或多个自治系统边界路由器一样，这些区域也可以配置一个或多个区域边界路由器。正如我们前面所提过的，路由域是一种管理实体，它的范围大小是由网络管理员决定的。一个小的路由域可能只有几个子网，而一个大的路由域可能包含许多网络。

　　内部网关协议（Internet gateway protocol，IGP）和外部网关协议（External gateway protocol，EGP）

　　在ARPAnet 初始建立的时候，它只有一个骨干网。随着互联网的出现，ARPAnet为了实现本地网的连接而设置了各种路由器，并在这些路由器上运行一种网关-网关协议（Gateway-To-Gateway Protocol，GGP），专门用于本地网信息在各路由器之间的交换。两个网络之间的通信信号至少会经过两个路由器，每个路由器都存储有另一个核心路由器的全部路由信息。因此，这些路由器是不需要缺省路由设置的。

　　不过，随着互联网规模的增长，这种情况开始发生变化。再让一个路由器来保存整个互联网的全部路由信息显然是不明智的。

　　为解决这一问题，人们开始考虑让路由器只负责部分互联网的路由处理。这样，路由器就可以不必直接了解互联网上所有其他路由器的情况，而依靠相邻路由器或其他自制系统中的路由器来解决这部分的路由信息。如果实在因路由信息缺乏而无法作出明确的路由决策，则路由器就简单地选用缺省路由。这种改变导致了两个术语的产生：这就是外部路由器（Exterior Route）及内部路由器（Interior Route）。所谓外部路由器就是支持不同自治系统间路由信息交换的路由器，所谓内部路由器就是负责同一自治系统内部路由信息交换的路由器。

　　静态路由与缺省路由

　　静态路由就是通过手动配置的路由，它们是通过配置命令进入路由表的。对于一个网络来说，它除了静态路由之外可以不需要任何其他路由。