网络风暴检测_一起从零开始学习网络架构设计-核心区设计

最新推荐文章于 2024-04-23 15:40:32 发布
最新推荐文章于 2024-04-23 15:40:32 发布
阅读量472 收藏 2
点赞数 2
文章标签: 网络风暴检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39734646/article/details/111394723
版权

一起从零开始学习网络架构设计-核心区设计

8886c9ac54a4b13202b39558cae2666f.png

整体网络拓扑

继上篇介绍完出口区的网络架构设计,这篇文章我将带着大家一起学习核心区的网络设计。

2fbaad19b38a767547e0f93a941c8ee3.png

核心区

核心区,顾名思义就是整个网络架构的核心区域,它连接着整个网络几乎所有区域,从图中我们可以看到它连接着出口区,安全管理区,终端接入区,云数据中心区。能充当核心交换机的设备在性能上都要求很高,如高包转发率、大缓存容量、大交换容量等,本文采用的是华为数据中心级的CE12800交换机,两台设备采用CSS私有堆叠技术做的横向虚拟化,所谓的横向虚拟化指两台相互冗余的物理设备虚拟为一台逻辑设备,在网络中呈现一个单节点,这样做的目的是简化网络管理和配置,同时提高了网络的可靠性。在通俗点讲就是,对于其他设备而言,他们感知的核心交换机只有一台,这样最大的好处是不需要采用传统的MSTP+VRRP技术去破环,解决传统技术收敛慢,以及生成树STP最大只支持50个节点数的限制。有的同学可能会问,什么是破环,破坏就是破坏环路,我们可以看下面这张图,假如不采用堆叠虚拟化技术,对外就是两个核心设备,下联两台汇聚交换机,构成口字形的环路,如果这时候同时不采取MSTP这样的生成树技术去破坏环路,那么数据包就会不断地在这个环路中循环转发,形成广播风暴。破环协议就是打破环路的协议,通过堵塞其中一个成员接口,打破环路。本文采用的虚拟化技术由于核心交换机和汇聚交换机均对外表现为一台逻辑设备,加之防火墙配置为主备模式,备墙平时不转发数据,这样一来也就不存在环路一说,平时的数据流量走左侧主链路,当主链路故障自动切换至备链路,实现设备和链路的双冗余设计。

f39f0220923485c801c92879c57b13f8.png

核心交换机介绍完,我们来看看旁挂在它上的3台安全设备,漏洞扫描、安全接入网关以及入侵检测系统。

743e9114bf5875b274e2a54d1d8ca251.png

旁挂核心的安全设备

首先我们一起学习下入侵检测。其实在出口区网络架构讲解时,我们已经简单说了入侵检测IDS和入侵防御IPS的区别,入侵检测是被动性的防御,我们可以比如为小区的摄像头,入侵防御是主动性防御,我们可以比如为小区里的保安。如果发现入侵,IDS只能被动的记录和报警,IPS却可以采取阻断动作。他们相辅相成,一般网络中均配备。IPS部署方式为串联,如果它采取旁挂部署,那么就等同于降低它的功能,变成IDS类似的功能。搞清楚他们的关系后,我们回归讲解IDS,IDS部署方式采用旁挂式核心交换机部署,通过在核心交换机上设置端口镜像,将镜像数据发送到IDS设备上进行分析检测,一旦发现攻击和威胁立即报警。可能有的同学没有听过端口镜像的概念,我简单介绍下,端口镜像是指设备复制一份从镜像端口流经的报文,并将此报文传送到指定的观察端口进行分析和监控。从下图可以清晰的理解,端口镜像分为观察口和镜像口,观察端口是连接监控设备的端口,用于输出从镜像端口复制过来的报文。镜像端口是被监控的端口,从镜像端口流经的所有报文均复制到观察端口。本文配置的监控设备便是入侵检测系统,镜像端口配置的是通往各个功能区的接口,本文设置的镜像端口是上下联接口以及连接终端接入交换机的接口,我们一般不建立把核心上通往各功能区的所有接口都设置为镜像端口,因为镜像流量会占用设备的转发带宽,降低设备的转发性能。比如本文的安全区就没有必要区监控,一般监控终端和部署应用的服务器流量必经的接口。

20dc515e955aadd37645d2c64595b950.png

端口镜像

最后我们再一同看看漏洞扫描设备。漏扫设备它是通过扫描的手段,对指定网段里的设备进行安全脆弱性检测,可以发现漏洞的一种安全检测的行为。扫描完后会产生相关的报告,提供漏洞修复意见。漏扫可以扫操作系统、数据库、网络设备,浏览器存在的漏洞,提醒用户及时更新升级打补丁。随时国家对网络安全越来越重视,现在许多系统上线都需要过等保测评,而等保测评里就明确要求是不能存在高危漏洞,这是一票否决项,所以以后的项目,这个设备配备的场景会越来越多。说到这里想必大家应该知道,为什么它采用旁挂的形式部署在核心上了吧,因为核心交换机有去往各个分区的路由,旁挂核心就可以方便扫描各个分区内的设备,假如放在其他功能区,扫描的范围就缩小了。下图我截取一部分漏扫报告的内容,让大家更直观的了解它。

229c92280045efdd23e9db93da3bc51a.png

漏扫报告

我们继续讲解核心区的防火墙,我们可以看到,核心交换机和汇聚交换机之间,部署了2种防火墙,一个是我们常见的边界防火墙,它的功能就是进行边界防护,我就不过多介绍,需要了解的朋友可以看出口区设计中对防火墙的介绍,今天我们主要介绍的是WAF(Web Application Firewall),即Web应用防火墙,它是专门针对web应用进行防护的防火墙设备,防护的对象就是网站及B/S架构的各类系统。主要针对 HTTP/HTTPS协议进行分析,对 SQL注入攻击、XSS攻击 Web攻击进行防护,并具备基于 URL 的访问控制; HTTP协议合规; Web敏感信息防护;文件上传下载控制; Web 表单关键字过滤以及 web应用交付等功能。部署在这里的目的是防护之后会介绍的云数据中心功能区内的应用系统。它支持透明模式部署、路由模式部署和反向代理模式部署,本文采用透明模式部署,主要考虑到这样部署的优点是网络改动小,部署配置简单。

f39f0220923485c801c92879c57b13f8.png

好了,今天的核心区网络架构介绍就告一段落,欢迎继续阅读其他功能区域的设计。

weixin_39734646
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络风暴检测_避免引起网络安全问题,6步完成华为设备风暴控制的配置
weixin_39970823的博客
12-15 2269
当二层设备的以太接口收到广播、组播或未知单播数据时,此时依据交换机基本工作原理,收到的数据将会进行洪泛。简单来讲,设备会向同一VLAN内的其他二层以太接口转发这些报文,这样可能导致广播风暴,严重的情况下,会损毁设备。使用流量抑制以及风暴控制技术的目的,就是为了防止此三类报文,避免引起网络安全问题。为防止广播、组播以及未知单播报文产生广播风暴网络造成影响,一般会采取风暴控制技术。在接口下一般会针对...
网络风暴检测_华为交换机,如何排除网络二层环路
weixin_39870155的博客
11-20 1万+
判断网络二层环路 当网络业务不可用、设备指示灯有规律的一起闪烁、登录设备出现卡顿等现象时,表明网络中可能存在二层环路。 网络中是否存在二层环路有以下几种方式进行确认:方法一:通过查看端口流量发现环路风暴,判断环路。在设备上执行命令: display interface brief | include up 通过查看发生异常流量的端口数目、流量方向等判断环路发生的具体位置和原因。注意:该方法只能看到...
2021-07-02
Raid02的博客
07-02 1382
@TOC第一章概述 本章最重要的内容: (1)互联网的边缘部分和核心部分的作用,其中包含分组交换的概念。 答案:边缘部分由所有连接在互联网上的主机组成。这部分是用户直接使用的,用来进行通信(传送数据、音频或视频) 和资源共享。 核心部分有大量的网络和连接这些网络的路由器组成。这部分是为边缘部分提供服务的(提供连通性和交换)。 分组交换的概念:采用存储转发技术,把一个报文划分为几个分组之后在进行传送,通常我们把要发送的整块数据称为一个报文。在发送报文之前,先把较长的报文划分成为一个个更小的等长的数据段,在每一
网络基础安全“6件套”:防火墙、WAF、IPS、上网行为管控、DDOS、蜜罐_配置防火墙了还需要配置行为管理吗
最新发布
cc123489ll的博客
04-23 705
前言,可基于已定义的安全规则控制网络流量流通,目的在于为安全、可信、可控的内部网络系统建立一道抵御外部不可信网络系统攻击的屏障,应用至今已形成较为成熟的技术模式。防火墙是作用就像一栋大楼的大门保安。这位保安会检查每一个进出大楼的人,确保只有持有有效证件或者被允许的人才能通过。同样,网络防火墙会检查每一个进出网络的数据包,根据预先设定的安全规则,判断这个数据包是否安全,从而决定是否允许它通过。例如,当我们在公司或学校网络中使用电脑时,防火墙会阻止来自外部网络的不良访问或恶意攻击,保护内部网络的安全。
常见安全设备总结(IDS、IPS、上网行为管理、网闸、漏扫、日志审计、数据库审计、堡垒机等)
顺其自然~专栏
11-01 1583
IPS功能或服务。
Web安全-企业网络架构
道阻且长,行则将至。
02-04 4866
网络架构 在大型企业网络架构中,有非常多的产品:交换机、路由器、防火墙、IDS、IPS、服务器等设备。 先来看看一个典型的企业网络拓朴图(图中防火墙和IPS需更换位置): 网络拓朴简析: 出口路由器由两个不同的运营商提供,提供对公网路由; 在网络出口处,还有IPS入侵防御系统,实时检测是否有异常攻击行为,并及时阻断; 边界防火墙主要是用来进行流量控制、流量过滤和进行内外网NAT转换; 防火墙、I...
网络基础安全“6件套”:防火墙、WAF、IPS、上网行为管控、DDOS、蜜罐
分享Python知识
01-09 978
网络基础安全“6件套”:防火墙、WAF、IPS、上网行为管控、DDOS、蜜罐
通信工程专业毕业设计(论文)-校园网络安全防护
03-27
因而本文在关于校园网络安全防护方案中,详细概述了从物理层、网络层、应用层及数据链路层等等几个层次的风险问题、安全需求及安全措施等,又充分利用安全技术实现了网络数据的加密传输、信息的访问控制、广播风暴的...
openstack网络架构(nova-network/neutron)
01-30
openstack网络体系中,网络技术没有创新,但用到的技术点很庞杂,包含bridge、vlan、gre、vxlan、ovs、openflow、sdn、iptables等,当然这里不会做具体技术介绍,概述技术,主要将其与openstack的结合点做具体分析。...
从零开始雷云风暴
05-20
从初中我们就一起玩游戏,那时侯阿伟家的游戏室是我们的最爱!现在升入大学了,我和阿伟住的是二人间,主要原因就是我这个人性格比较孤僻,除了阿伟我几乎没有朋友!我们现在是大一新生,现在暑假刚结束反正来早了要...
通信专业毕业设计(论文)-企业网通信方案设计
03-28
随着网络和科学技术的飞速发展,网络建设作为信息化建设的基础,也越来越受到企业的重视,网络结构和网络信息安全都是企业信息化建设中需要解决的重要问题。 本设计出于对众宇通讯公司长期稳定发展的考虑,针对公司...
网络广播风暴检测工具
08-13
NetworkActivPIAFCTMv2是一款检查网络内是否存在广播风暴的小软件
网络检测实用工具集
11-25
网络检测实用工具集,vb编写,功能强大到只能用令人发指来形容,含有完整代码,可随意添加信功能
计算机网络(三):网络核心
君陌的博客
03-23 4928
网络核心是由中转设备(路由器)组织起来的,覆盖很大域,其核心的问题是如何让数据从原路由器到目的路由器,网络核心就是互连的路由器网络,关键功能是路由(确定分组从源到目的传输路径)和转发(将分组从路由器的输入端口交换至正确的输出端口)。 网络核心通过数据交换实现数据从源主机通过网络核心送达目的主机。 端系统之间最直接的连接方式是两两直接物理链路相连(N2链路问题,需要链路N(N-1)/2)。所以需要...
【博客431】接入层 && 汇聚层 && 核心
qq_43684922的博客
07-23 5506
需要说明的是,对于核心层交换机、汇聚层交换机以及接入层交换机并没有固定要求,它们处于哪一层主要取决于网络环境的大小及设备的转发能力,也不是每个网络都必须有这三个结构,有些企业只有接入层交换机和核心层交换机,这种做法的其中一个目的就是可以节约成本。核心层、汇聚层、接入层这三层网络架构采用层次化模型设计,将复杂的网络设计分成几个层次,每个层次着重于某些特定的功能,这样就能够使一个复杂的大问题变成许多简单的小问题!1、核心交换机是部署于核心层的交换机,而汇聚交换机是部署于汇聚层的交换机;...
网测科技_单播风暴攻击测试案例
Netitest的博客
11-14 129
介绍单播风暴攻击测试案例
Java 8 函数式接口
stranger的博客
09-08 2710
Java 8 知识点 内置的4个函数式接口 /** * Java 8 内置四大核心函数式接口 * * 1.Consumer<T>: 消费性接口 * * 2.Supplier<T>: 供给型接口 * * 3.Function<T,R>: 函数式接口 * * 4.Predicate<T>: 断言型接口 */ public void test(){
OSPF协议把网络划分成4种域(Area)
热门推荐
g_curry的博客
09-12 1万+
为了限制路由信息传播的范围,OSPF协议把网络划分成4种域(Area),其中 (1) 的作用是连接各个域的传输网络, (2) 不接受本地自治系统以外的路由信息 A.不完全存根域 B.标准域 C.主干域 D.存根域 (1) C (2) D 如果将域看成一个节点,则OSPF是以主干域(ared0)为顶点,其他域为终端的星型拓扑结构。 OSPF的域...
3、网络核心
单俞浩的博客
02-26 1224
一、网络核心:路由器的网状网络 二、数据传输方式: 1、电路交换:也叫线路交换,为每个呼叫预留一条专有电路,即独享资源(不共享),所以每个呼叫一旦建立起来就能保证性能,但同样若没有使用,就会造成资源浪费。 a、通常被传统电话网络使用,不适用与计算机之间的通信,连接时间长,计算机之间的通信有突发性,使用线路交换则浪费的片比较多。 b、网络资源(如带宽)被分为片,为呼叫分配片:频分、时分、波分 2、**分组交换**:将要传输的数据分成一个个单位称之为**分组**;将分组从一个路由器传到相邻路由器(hop),一段
zynq-7000的以太网控制器抵御网络风暴
01-31
Zynq-7000的以太网控制器可通过多种方式抵御网络风暴。 首先,它具有硬件过滤功能,可根据MAC地址、IP地址和端口号等信息对数据包进行过滤。这可以防止无效或恶意的数据包进入系统,从而减少对网络风暴的敏感性。 其次,Zynq-7000的以太网控制器支持流量调节功能。通过限制每个连接的带宽和数据包数量,它可以防止单个主机或应用程序产生过多的数据流量,从而降低网络风暴发生的可能性。 此外,Zynq-7000的以太网控制器还支持链路聚合和热备份功能。链路聚合可以将多个物理链路捆绑在一起,提供更高的带宽和冗余备份,确保网络流量分散并能够更好地抵御网络风暴。而热备份可以在主链路故障时自动切换到备用链路,保证网络的连续性和可用性。 此外,Zynq-7000的以太网控制器还可以与其他网络设备和系统进行通信,实时监测网络状态和流量,识别潜在的网络风暴和异常情况,并及时采取相应的应对措施,如主动断开与异常设备的连接或限制其带宽使用等,以保护整个网络系统的稳定性和安全性。 综上所述,Zynq-7000的以太网控制器具备多重防护机制,包括硬件过滤、流量调节、链路聚合和热备份等,能够有效地抵御网络风暴的发生,保证网络的正常运行和数据的安全传输。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值