引入
园区网络安全部署场景
1、路由器: 跨网段通信设备 。
2、交换机: 同网段或跨网段通信设备。
3、AntiDDoS : DDoS 防御系统,通常旁挂部署于网络出口处, 位于防火墙上游,用于减轻防火墙报文处理负担。
4、NGFW :下一代防火墙,可部署在网络出口处进行初步防护,或者保护数据中心不被攻击。
5、vNGFW :软件 NGFW ,部署在 VM ( Virtual Machine )中, 与硬件防火墙功能相似。
6、NIP :华为下一代入侵防御系统,专业的入侵检测设备 / 入侵防御设备,可部署在数据中心保护数据中心不被入侵。
7、Agile-Controller :基于用户和应用的网络资源自动化控制系统,通常部署于 DMZ 服务区,用于准入控制。
1.1 网络基础设备
1.1.1 交换机
1、随着企业网络的发展, 越来越多的用户需要接入到网络 ,交换机提供的大量的接入端口能够很好地满足这种需求。同时, 交换机也彻底解决了 困扰早期 以太网的冲突问题 ,极大地提升了以太网的性能,同时也提高了以太网的安全性。
2、交换机工作在数据链路层,对数据帧进行操作。在收到数据帧后,交换机会根据数据帧的头部信息对数据帧进行转发。
3、接下来我们以小型交换网络为例,讲解交换机的基本工作原理。
交换机的转发行为
1、 交换机中有一个MAC地址表 ,里面 存放了MAC地址与交换机端口的映射关系 。 MAC 地址表也称为 CAM ( Content Addressable Memory )表。
2、如图所示,交换机对帧的转发操作行为一共有三种:
泛洪( Flooding ),转发( Forwarding ),丢弃( Discarding )。
泛洪:交换机把从某一端口进来的 帧通过所有其它的端口转发出去 (注意,“所有其它的端口”是指除了这个帧进入交换机的那个端口以外的所有端口)。
转发:交换机把从某一端口进来的帧通过另一个端口转发出去(注意,“另一个端口”不能是这个帧进入交换机的那个端口)。
丢弃:交换机把从某一端口进来的帧直接丢弃。
3、交换机的基本工作原理可以概括地描述如下:
4、如果进入交换机的是一个单播帧,则交换机会去 MAC 地址表中查找这个帧的目的 MAC 地址。
如果 查不到这个MAC地址 ,则 交换机执行泛洪 操作。
如果 查到了这个MAC地址 ,则比较这个 MAC 地址在 MAC 地址表中对应的端口是不是这个帧进入交换机的那个端口。如果不是,则交换机执行转发操作。如果是,则交换机执行丢弃操作。
5、如果进入交换机的是一个 广播帧 ,则交换机不会去查 MAC 地址表,而是 直接执行泛洪 操作。
6、如果进入交换机的是一个组播帧,则交换机的处理行为比较复杂,超出了这里的学习范围,所以略去不讲。另外,交换机还具有学习能力。当一个帧进入交换机后,交换机会检查这个帧的源 MAC 地址,并将该源 MAC 地址与这个帧进入交换机的那个端口进行映射,然后将这个映射关系存放进 MAC 地址表。
交换机的初始状态
初始状态下 , 交换机并不知道所连接主机的MAC地址,所以MAC地址表为空。 本例中, SWA 为初始状态,在收到主机 A 发送的数据帧之前, MAC 地址表中没有任何表项。
学习MAC地址
主机A发送数据给主机C时 ,一般会首先发送 ARP 请求来获取主机 C 的 MAC 地址,此 ARP 请求帧中的目的 MAC 地址是广播地址,源 MAC 地址是自己的 MAC 地址。 SWA 收到该帧后,会将源 MAC 地址和接收端口的映射关系添加到 MAC 地址表中。缺省情况下, X7 系列交换机学习到的 MAC 地址表项的老化时间为 300 秒。如果在老化时间内再次收到主机 A 发送的数据帧, SWA 中保存的主机 A 的 MAC 地址和 G0/0/1 的映射的老化时间会被刷新。此后,如果交换机收到目标 MAC 地址为 00-01-02-03-04-AA 的数据帧时,都将通过 G0/0/1 端口转发。
转发数据帧
当数据帧的目的MAC 地址不在 MAC 表中,或者目的 MAC 地址为广播地址时,交换机会泛洪该帧。
本例中主机A 发送的数据帧的目的 MAC 地址为广播地址,所以交换机会将此数据帧通过 G0/0/2 和 G0/0/3 端口广播到主机 B 和主机 C 。
目标主机回复
主机B 和主机 C 接收到此数据帧后,都会查看该 ARP 数据帧。但是主机 B 不会回复该帧,主机 C 会处理该帧并发送 ARP 回应,此回复数据帧的目的 MAC 地址为主机 A 的 MAC 地址,源 MAC 地址为主机 C 的 MAC 地址。 SWA 收到回复数据帧时,会将该帧的源 MAC 地址和接口的映射关系添加到 MAC 地址表中。如果此映射关系在 MAC 地址表已经存在,则会被刷新。然后 SWA 查询 MAC 地址表,根据帧的目的 MAC 地址找到对应的转发端口后,从 G0/0/1 转发此数据帧。
1.1.2 路由器
功能:在不同网络之间转发数据包
路由器是网络层设备 ,其主 要功能是实现报文在不同网络之间的转发 。如图所示,位于不同网络(即不同链路)上的HostA 和 HostB 之间相互通信。与 HostA 在同一网络(即同一链路)上的路由器接口接收到 HostA 发出的数据帧,路由器的链路层分析帧头确定为发给自己的帧之后,发送给网络层处理,网络层根据网络层报文头以决定目的地址所在网段,然后通过查表从相应的接口转发给下一跳,直到到达报文的目的地 HostA 。
路由选路
路由器负责为数据包选择一条最优路径,并进行转发。
1、 路由器收到数据包后,会根据数据包中的目的IP地址选择一条最优的路径,并将数据包转发到下一个路由器,路径上最后的路由器负责将数据包送交目的主机。 数据包在网络上的传输就好像是体育运动中的接力赛一样,每一个路由器负责将数据包按照最优的路径向下一跳路由器进行转发,通过多个路由器一站一站的接力,最终将数据包通过最优路径转发到目的地。当然有时候由于实施了一些特别的路由策略,数据包通过的路径可能并不一定是最佳的。
2、路由器能够决定数据 报文的转发路径。如果有多条路径可以到达目的地, 则 路由器会通过进行计算来决定最佳下一跳。计算的原则会随实际使用的路由协议不同而不同。
防火墙
防火墙主要 用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。
1、“防火墙”一词起源于建筑领域,用来隔离火灾,阻止火势从一个区域蔓延到另一个区域。引入到通信领域,防火墙这一具体设备通常用于两个网络之间有针对性的、逻辑意义上的隔离。当然,这种隔离是高明的,隔离的是“火”的蔓延,而又保证“人”的穿墙而过。这里的“火”是指网络中的各种攻击,而“人”是指正常的通信报文。
2、用通信语言来定义, 防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为 。因其隔离、防守的属性,灵活应用于网络边界、子网隔离等位置,具体如企业网络出口、大型网络内部子网隔离、数据中心边界等等。
防火墙与路由器、交换机对比
路由器与交换机 的本质是 转发 , 防火墙 的本质是 控制 。
1、防火墙与路由器、交换机是有区别的。 路由器用来连接不同的网络,通过路由协议保证互联互通,确保将报文转发到目的地;交换机则通常用来组建局域网,作为局域网通信的重要枢纽,通过二层/三层交换快速转发报文;而防火墙主要部署在网络边界,对进出网络的访问行为进行控制,安全防护是其核心特性。路由器与交换机的本质是转发,防火墙的本质是控制。
2、现阶段中低端路由器与防火墙有合一趋势,主要也是因为二者互相功能兼具,变成all in one 的目标,华为也发布了一系列中低端设备。
防火墙安全区域
1、Zone 的作用
(1) 安全策略都基于安全区域实施 ;
(2)在同一安全区域内部发生的数据流动是不存在安全风险的,不需要实施任何安全策略;
(3)只有当不同安全区域之间发生数据流动时,才会触发设备的安全检查,并实施相应的安全策略;
(4)在防火墙中,同一个接口所连网络的所有网络设备一定位于同一安全区域中,而一个安全区域可以包含多个接口所连的网络。
2、缺省安全区域
(1)非受信区域 Untrust
(2)非军事化区域DMZ
(3) 受信区域 Trust
(4) 本地区域 Local
防火墙安全区域与接口的关系
1、在防火墙中是以接口为单位来进行分类,即同一个接口所连网络的所有网络设备一定位于同一安全区域中,而一个安全区域可以包含多个接口所连的网络。这里的接口既可以是物理接口,也可以是逻辑接口。所以可以通过子接口或者VLAN IF 等逻辑接口实现将同一物理接口所连的不同网段的用户划入不同安全区域的功能。
2、思考:若不同接口均属于同一个安全区域的场景下,域间安全转发策略是否会生效?
1.1.3 设备初始介绍
VRP
VRP: Versatile Routing Platform ,通用路由平台。
网络操作系统
支撑多种设备的软件平台
提供TCP/IP 路由服务