前言:当我们遇到部署园区网络安全的场景的时候,作为合格的网络工程师应该怎么样去选择网络设备,那么接下来,我们就来看看,在平时的工作场景中都会有哪些常见的网络设备,那么这些网络设备又具备哪些功能。
No1:路由器,如下图所示
华为路由器示例
路由器是一个网络层设备;
功能:在不同的网络之间转发数据包;
工作过程:路由器链路层分析帧头,确认是发给自己的,发给网络层处理,网络侧根据网络层报头决定目的地址所在网络,查路由表从接口转发给下一跳路由器
路由选路:负责为数据包选择一条最优路径,并进行转发;路由器收到数据包后,会根据数据包中的目的IP地址选择一条最优的路径,并将数据包转发到下一个路由器,路径上最后的路由器负责将数据包送交目的主机。
No2:交换机:如下图所示
同网段或跨网段通信设备;工作在数据链路层,转发数据帧;
转发行为
泛洪(Flooding):某一端口进来的帧通过所有其他端口转发出去;
转发(Forwarding):某一端口进来的帧通过另一端口转发出去
丢弃(Discarding):某一端口进来的帧直接丢弃
单播帧-MAC地址表查找目的MAC地址-查不到MAC地址,则交换机执行泛洪操作-查到MAC地址-比较MAC地址在MAC地址表中对应的端口是不是这个帧进入交换机的那个端口-不是-转发-是-丢弃
广播帧-泛洪
交换机初始状态:MAC地址表为空;
学习MAC地址:交换机将收到的数据帧的源MAC地址和对应接口记录在MAC地址表中;
转发数据帧:当数据帧的目的MAC地址不在MAC表中,或者目的MAC地址为广播地址时,交换机会泛洪该帧;
目标主机回复:交换机根据MAC地址表将目标主机的回复信息单播转发给源主机。
No3:防火墙,如下图所示
作用:保护一个网络区域免受来自另一个网络区域的网络攻击和入侵行为;
部署位置:企业网络出口、大型网络内部子网隔离、数据中心边界。
交换机和路由器本质是转发,防火墙本质是控制
发展历史:包过滤(简单的访问控制)>应用代理(在应用层代理内部网络和外部网络之间的通信,安全性高,处理速度慢,针对每一种应用做代理服务很难,目前只针对少量应用提供代理支持)>状态检测(动态分析报文的状态决定对报文采取的动作,处理速度快而且安全性高)>(防火墙增加了一些功能,比如VPN;WAF针对web服务器安全)UTM(统一威胁管理,将传统防火墙、入侵检测、防病毒、URL过滤、应用程序控制、邮件过滤等功能融合到一台防火墙上,实现全面的安全防护)>下一代防火墙NGFW(多个功能同时运行性能不下降)
防火墙和交换机以及路由器功能会有一些区别,对于防火墙来讲,有一个安全区域的概念。
防火墙的安全区域
Zone是本地逻辑安全区域的概念;是一个或多个接口所连接的网络。
作用:安全策略都基于安全区域实施;同一安全区域数据流动不存在风险;不同区域需要实现安全策略;
缺省安全域以及安全区域的默认级别:Local 100;trust 85;dmz非军事化区域 50;unstrust 5。
课程咨询 :400-1024-400
欢迎添加,了解腾科课程体系介绍,可获取学习资源。
官方微博:腾科教育官微
官网:www.tk-edu.com
全国统一热线:400-1024-400
