校园网安全部署场景交换机转发动作交换机动作流程路由器防火墙交换路由器与防火墙的比较防火墙的发展历史防火墙区域
校园网安全部署方案
设备路由器在网段之间通信设备。 交换机和网段或网段之间的通信设备。 AntiDDoSDDoS防御系统通常位于网络的出口,位于防火墙的上游,用于减轻防火墙消息处理的负担。 NGFW新一代防火墙可以部署在网络出口处进行初步保护,也可以保护数据中心免受攻击。 vNGFW软件NGFW部署在虚拟机器(VM )上,与硬件防火墙功能类似。 NIP华为是新一代入侵防御系统、专业入侵检测和入侵防御设备,可以部署在数据中心以保护数据中心免受入侵。 Agile-Controller是一种基于用户和APP的网络资源自动化控制系统,通常部署在DMZ服务区,用于准入控制。 交换机是一种接入设备,可以满足以太网环境中大量用户的互联网连接需求。 交换机还在数据链路层根据MAC地址进行数据传输。 不需要像路由器那样确定网段的掩码相位,然后再与根条目匹配。 交换机传输速度简单地比路由器快,因为直接将MAC地址匹配就可以找到相应的条目。 也就是说,由于满足了众多用户接入的需求,同时又满足了高速传输速度,使得交换机在校园网中应用较多,而随着三层交换机的兴起,校园网中的核心层和出口设备的其他设备
交换机的转发动作
的三种转发行为分别是泛洪、转发和丢弃,当交换机接收到单播帧,但找不到MAC地址表中的相应条目时,会发生泛洪操作。 泛洪操作是指复制和发送从其他端口接收的数据(接收数据的端口除外)。 不仅在接收到单播帧但找不到条目时泛洪,而且交换机还在接收到广播帧时泛洪。 如果交换机接收到单播帧并在MAC地址表中找到相应的条目,则交换机将进行转发。 如果交换机接收到数据,并且根据MAC地址表知道该数据的下一跳是接收数据的端口,则交换机将丢弃该数据。
交换机操作流程
设备刚通电时,交换机的MAC地址表为空。 此时,主机a正在尝试与主机c开始通信。 主机a执行了一系列封装过程后,在到封装目标MAC地址时,发现在ARP表中找不到对方的MAC地址。 因此,主机a发起ARP请求,向交换机发送以广播地址为目标地址的数据帧。
交换机收到此消息后,不会直接进行泛洪,而是首先将其数据中的源MAC地址与接收数据的接口联系起来,放入MAC地址表中。 于是,交换机知道主机a的位置,接着看数据的目标MAC地址,发现目标地址是全f,执行泛洪操作,主机b和主机c双方都接收,但主机b在分割为arp数据时目标id 因此,在主机c收到数据后,第一步是将数据对应的源MAC地址和源IP地址绑定并保存到ARP表中。 主机b也是如此。 然后,如果看到数据中包含的信息,看到ARP数据中包含自己的IP地址,而且请求了消息,就会向主机a返回响应数据。 这个时候开始单播。
当交换机接收到单播数据时,第一步骤将首先将对应的源MAC地址绑定到所述接口,然后将其保存在MAC地址表中。 此时,交换机有主机a的条目和主机c的条目,后续的数据能够正常传输。
路由器是网络层设备,其主要功能是实现消息在不同网络之间的传输。 如图所示,不同网络(即不同链路上的HostA和HostB )相互通信。 与HostA相同的网络、即同一链路上的路由器接口接收从HostA发送来的数据帧,路由器的链路层分析帧头并判断为是发给自己的帧之后,将其发送给网络层进行处理。 网络层根据网络层报头确定目标地址所在网段,通过查找表从对应接口传输到下一跳,到达消息的目标HostA。
路由器收到包后,根据包中的目标IP地址选择最佳路径,并将包转发到下一个路由器。 路径上的最后一个路由器将数据包发送到目标主机。 网络上分组的转发就像体育中的中继,每个路由器将分组按照最佳路径转发给下一跳的路由器,通过多个路由器逐站中继,最终将分组按照最佳路径转发到目的地。 当然,由于实现了一些特殊的路由策略,数据包经过的路径可能并不总是最佳的。
路由器可确定数据消息的转发路径。 如果有多条路径可以到达目的地,路由器将通过计算确定最佳下一跳。 的计算原则取决于实际使用的路由协议。
防火墙“防火墙”一词起源于建筑领域,用于隔离火灾,阻止从一个地区蔓延到另一个地区。 引入通信领域后,防火墙这一具体设备通常用于两个网络之间清晰、逻辑的隔离。 当然,这个隔离很好。 隔离是“火”的蔓延,保证穿过“人”的墙壁。 这里的“火”是指网络上的各种攻击,“人”是指普通的通信消息。
在通信语言中定义,防火墙主要用于保护一个网络区域免受来自其他网络区域的网络攻击和网络入侵行为。 根据其隔离、防守属性,灵活应用于网络边界、子网隔离等位置,具体应用于企业网络出口、大规模网络内部子网隔离、数据中心边界等。
交换机与防火墙的对比路由器和交换机的本质是传输,而防火墙的本质是控制。
防火墙、路由器和交换机是不同的。 路由器连接到不同的网络,用于通过路由协议保证互连,确保消息转发到目的地的交换机通常用于构建局域网,是局域网通信的重要枢纽
界,对进出网络的访问行为进行控制,安全防护是其核心特性。路由器与交换机的本质是转发,防火墙的本质是控制。现阶段中低端路由器与防火墙有合一趋势,主要也是因为二者互相功能兼具,变成all in one的目标,华为也发布了一系列中低端设备。 防火墙的发展历史
1989年至1994年:
1989年产生了包过滤防火墙,实现简单的访问控制,称之为第一代防火墙。
随后出现了代理防火墙,在应用层代理内部网络和外部网络之间的通信,属于第二代防火墙。代理防火墙安全性较高,但处理速度慢,而且对每一种应用开发一个对应的代理服务是很难做到的,因此只能对少量的应用提供代理支持。
1994年业界发布了第一台基于状态检测技术的防火墙,通过动态分析报文的状态来决定对报文采取的动作,不需要为每个应用程序都进行代理,处理速度快而且安全性高。状态检测防火墙被称为第三代防火墙。
1995年至2004年:
在这一时期,状态检测防火墙已经成为趋势。除了访问控制功能之外,防火墙上也开始增加一些其他功能,如VPN。
同时,一些专用设备也在这一时期出现了雏形。例如,专门保护Web服务器安全的WAF(Web Application Firewall,Web应用防火墙)设备。
2004年业界提出了UTM(United Threat Management,统一威胁管理)的概念,将传统防火墙、入侵检测、防病毒、URL过滤、应用程序控制、邮件过滤等功能融合到一台防火墙上,实现全面的安全防护。
2005年至今:
2004年后,UTM市场得到了快速的发展,UTM产品如雨后春笋般涌现,但面临新的问题。首先是对应用层信息的检测程度受到限制,此时就需要更高级的检测手段,这使得DPI(Deep Packet Inspection,深度报文检测)技术得到广泛应用。其次是性能问题,多个功能同时运行,UTM设备的处理性能将会严重下降。
2008年业界发布了下一代防火墙,解决了多个功能同时运行时性能下降的问题。同时,还可以基于用户、应用和内容来进行管控。
2009年业界对下一代防火墙进行了定义,明确下一代防火墙应具备的功能特性。随后各个安全厂商也推出了各自的下一代防火墙产品,防火墙进入了一个新的时代。
安全区域(Security Zone),或者简称为区域(Zone)。防火墙可以根据接口进行区域的划分,多个接口可以划分到一个区域,而一个接口只能对应一个区域,一个区域内可以有多个接口。缺省情况下有4种区域:
安全区域、受信任程度与安全级别
安全区域安全级别说明Local100设备本身,包括设备的各接口本身。Trust85通常用于定义内网终端用户所在区域。DMZ50通常用于定义内网服务器所在区域。Untrust5通常用于定义Internet等不安全的网络。受信任程度:Local > Trust > DMZ > Untrust