园区网安全部署场景
| 设备 | 作用 |
|---|---|
| 路由器 | 跨网段通信设备。 |
| 交换机 | 同网段或跨网段通信设备。 |
| AntiDDoS | DDoS防御系统,通常旁挂部署于网络出口处,位于防火墙上游,用于减轻防火墙报文处理负担。 |
| NGFW | 下一代防火墙,可部署在网络出口处进行初步防护,或者保护数据中心不被攻击。 |
| vNGFW | 软件NGFW,部署在VM(Virtual Machine)中,与硬件防火墙功能相似。 |
| NIP | 华为下一代入侵防御系统,专业的入侵检测设备/入侵防御设备,可部署在数据中心保护数据中心不被入侵。 |
| Agile-Controller | 基于用户和应用的网络资源自动化控制系统,通常部署于DMZ服务区,用于准入控制。 |
交换机
交换机是接入设备,其大量的接口能满足以太网环境内大量用户的上网需求,且交换机工作在数据链路层根据MAC地址进行数据转发,而不必像路由器一样进行网段掩码相与然后再与路由条目匹配,MAC地址之间直接进行比对就可找到对应的条目,因此交换机就单纯的转发速度比路由器要快多了,即满足了大量的用户接入需求又满足了快速的转发速率,因此交换机在园区网内部被大量的应用,并且随着三层交换机的兴起园区网内出了核心层和出口设备其他设备都被三层交换机所替换。
交换机的转发行为
交换机的三种转发行为分别是泛洪、转发和丢弃,当交换机收到单播帧但是在MAC地址表中找不到对应的条目时就会执行泛洪操作,所谓的泛洪操作就是除了接收数据的端口,从其他端口复制一份接收的数据然后发送。除了在接收到单播帧找不到条目时泛洪,交换机在收到广播帧时也会泛洪。当交换机收到单播帧且在MAC地址表中找到对应的条目时,交换机就会执行转发的操作。而当交换机收到一个数据并且发现根据MAC地址表该数据下一跳是接收数据的端口时,交换机就会丢弃该数据。
交换机的工作过程
在设备刚开机的状态下交换机的MAC地址表是空的,这时候主机A想要与主机C发起通信,那么主机A在执行一系列封装过程后到封装目的MAC地址时发现在ARP表中找不到对端的MAC地址,因此主机A就会发起ARP请求并以广播地址为目的地址的数据帧发送给交换机。
交换机收到该消息后并不会直接进行泛洪,而是先将该数据中的源MAC地址与接收数据的接口进行绑定,放入MAC地址表中,这样交换机就知道了主机A的位置,然后再看下数据的目的MAC地址,发现目的地址是全F,因此执行泛洪操作,这样主机B和主机C都会收到,但是主机B在拆分到arp数据时发现目的IP地址不是自己,因此会丢弃,而主机C收到后第一步先将该数据对应的源MAC地址与源IP地址绑定存入ARP表中,主机B也是如此!然后才会查看数据包含的信息,看到ARP数据中是自己的IP地址并且是请求报文那么就回一个回应数据给主机A,这时候发起单播。
而交换机收到单播数据时第一步也是先将对应的源MAC地址与接口进行绑定然后存入MAC地址表中,这时候交换机即有了主机A的条目又有了主机C的条目,后续的数据就能正常的进行转发。
路由器
路由器是网络层设备,其主要功能是实现报文在不同网络之间的转发。如图所示,位于不同网络(即不同链路)上的HostA和HostB之间相互通信。与HostA在同一网络(即同一链路)上的路由器接口接收到HostA发出的数据帧,路由器的链路层分析帧头确定为发给自己的帧之后,发送给网络层处理,网络层根据网络层报文头以决定目的地址所在网段,然后通过查表从相应的接口转发给下一跳,直到到达报文的目的地HostA。
路由器收到数据包后,会根据数据包中的目的IP地址选择一条最优的路径,并将数据包转发到下一个路由器,路径上最后的路由器负责将数据包送交目的主机。数据包在网络上的传输就好像是体育运动中的接力赛一样,每一个路由器负责将数据包按照最优的路径向下一跳路由器进行转发,通过多个路由器一站一站的接力,最终将数据包通过最优路径转发到目的地。当然有时候由于实施了一些特别的路由策略,数据包通过的路径可能并不一定是最佳的。
路由器能够决定数据报文的转发路径。如果有多条路径可以到达目的地,则路由器会通过进行计算来决定最佳下一跳。计算的原则会随实际使用的路由协议不同而不同。
防火墙
“防火墙”一词起源于建筑领域,用来隔离火灾,阻止火势从一个区域蔓延到另一个区域。引入到通信领域,防火墙这一具体设备通常用于两个网络之间有针对性的、逻辑意义上的隔离。当然,这种隔离是高明的,隔离的是“火”的蔓延,而又保证“人”的穿墙而过。这里的“火”是指网络中的各种攻击,而“人”是指正常的通信报文。
用通信语言来定义,防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。因其隔离、防守的属性,灵活应用于网络边界、子网隔离等位置,具体如企业网络出口、大型网络内部子网隔离、数据中心边界等等。
交换机路由器与防火墙的对比
路由器与交换机的本质是转发,防火墙的本质是控制。
防火墙与路由器、交换机是有区别的。路由器用来连接不同的网络,通过路由协议保证互联互通,确保将报文转发到目的地;交换机则通常用来组建局域网,作为局域网通信的重要枢纽,通过二层/三层交换快速转发报文;而防火墙主要部署在网络边界,对进出网络的访问行为进行控制,安全防护是其核心特性。路由器与交换机的本质是转发,防火墙的本质是控制。
现阶段中低端路由器与防火墙有合一趋势,主要也是因为二者互相功能兼具,变成all in one的目标,华为也发布了一系列中低端设备。
防火墙的发展历史
1989年至1994年:
1989年产生了包过滤防火墙,实现简单的访问控制,称之为第一代防火墙。
随后出现了代理防火墙,在应用层代理内部网络和外部网络之间的通信,属于第二代防火墙。代理防火墙安全性较高,但处理速度慢,而且对每一种应用开发一个对应的代理服务是很难做到的,因此只能对少量的应用提供代理支持。
1994年业界发布了第一台基于状态检测技术的防火墙,通过动态分析报文的状态来决定对报文采取的动作,不需要为每个应用程序都进行代理,处理速度快而且安全性高。状态检测防火墙被称为第三代防火墙。
1995年至2004年:
在这一时期,状态检测防火墙已经成为趋势。除了访问控制功能之外,防火墙上也开始增加一些其他功能,如VPN。
同时,一些专用设备也在这一时期出现了雏形。例如,专门保护Web服务器安全的WAF(Web Application Firewall,Web应用防火墙)设备。
2004年业界提出了UTM(United Threat Management,统一威胁管理)的概念,将传统防火墙、入侵检测、防病毒、URL过滤、应用程序控制、邮件过滤等功能融合到一台防火墙上,实现全面的安全防护。
2005年至今:
2004年后,UTM市场得到了快速的发展,UTM产品如雨后春笋般涌现,但面临新的问题。首先是对应用层信息的检测程度受到限制,此时就需要更高级的检测手段,这使得DPI(Deep Packet Inspection,深度报文检测)技术得到广泛应用。其次是性能问题,多个功能同时运行,UTM设备的处理性能将会严重下降。
2008年业界发布了下一代防火墙,解决了多个功能同时运行时性能下降的问题。同时,还可以基于用户、应用和内容来进行管控。
2009年业界对下一代防火墙进行了定义,明确下一代防火墙应具备的功能特性。随后各个安全厂商也推出了各自的下一代防火墙产品,防火墙进入了一个新的时代。
防火墙区域
安全区域(Security Zone),或者简称为区域(Zone)。防火墙可以根据接口进行区域的划分,多个接口可以划分到一个区域,而一个接口只能对应一个区域,一个区域内可以有多个接口。缺省情况下有4种区域:
| 区域 | 作用 |
|---|---|
| 非受信区域Untrust | 该区域代表的是不受信任的网络,通常用来定义Internet等不安全的网络。 |
| 非军事化区域DMZ | 该区域内网络的受信任程度中等,通常用来定义内部服务器所在的网络。 |
| 受信区域Trust | 该区域内网络的受信任程度高,通常用来定义内部用户所在的网络。 |
| 本地区域Local | 凡是由防火墙主动发出的报文均可认为是从Local区域中发出,凡是需要防火墙响应并处理(而不是转发)的报文均可认为是由Local区域接收。 |
安全区域、受信任程度与安全级别
| 安全区域 | 安全级别 | 说明 |
|---|---|---|
| Local | 100 | 设备本身,包括设备的各接口本身。 |
| Trust | 85 | 通常用于定义内网终端用户所在区域。 |
| DMZ | 50 | 通常用于定义内网服务器所在区域。 |
| Untrust | 5 | 通常用于定义Internet等不安全的网络。 |
受信任程度:Local > Trust > DMZ > Untrust
2652
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
