[ 收藏 ] [ 繁体中文 ]  
臺灣貨到付款、ATM、超商、信用卡PAYPAL付款,4-7個工作日送達,999元臺幣免運費   在線留言 商品價格為新臺幣 
首頁 電影 連續劇 音樂 圖書 女裝 男裝 童裝 內衣 百貨家居 包包 女鞋 男鞋 童鞋 計算機周邊

商品搜索

 类 别:
 关键字:
    

商品分类

  •  管理

     一般管理学
     市场/营销
     会计
     金融/投资
     经管音像
     电子商务
     创业企业与企业家
     生产与运作管理
     商务沟通
     战略管理
     商业史传
     MBA
     管理信息系统
     工具书
     外文原版/影印版
     管理类职称考试
     WTO
     英文原版书-管理
  •  投资理财

     证券/股票
     投资指南
     理财技巧
     女性理财
     期货
     基金
     黄金投资
     外汇
     彩票
     保险
     购房置业
     纳税
     英文原版书-投资理财
  •  经济

     经济学理论
     经济通俗读物
     中国经济
     国际经济
     各部门经济
     经济史
     财政税收
     区域经济
     统计 审计
     贸易政策
     保险
     经济数学
     各流派经济学说
     经济法
     工具书
     通货膨胀
     财税外贸保险类考试
     英文原版书-经济
  •  社会科学

     语言文字
     社会学
     文化人类学/人口学
     新闻传播出版
     社会科学总论
     图书馆学/档案学
     经典名家作品集
     教育
     英文原版书-社会科学
  •  哲学

     哲学知识读物
     中国古代哲学
     世界哲学
     哲学与人生
     周易
     哲学理论
     伦理学
     哲学史
     美学
     中国近现代哲学
     逻辑学
     儒家
     道家
     思维科学
     马克思主义哲学
     经典作品及研究
     科学哲学
     教育哲学
     语言哲学
     比较哲学
  •  宗教

  •  心理学

  •  古籍

  •  文化

  •  历史

     历史普及读物
     中国史
     世界史
     文物考古
     史家名著
     历史地理
     史料典籍
     历史随笔
     逸闻野史
     地方史志
     史学理论
     民族史
     专业史
     英文原版书-历史
     口述史
  •  传记

  •  文学

  •  艺术

     摄影
     绘画
     小人书/连环画
     书法/篆刻
     艺术设计
     影视/媒体艺术
     音乐
     艺术理论
     收藏/鉴赏
     建筑艺术
     工艺美术
     世界各国艺术概况
     民间艺术
     雕塑
     戏剧艺术/舞台艺术
     艺术舞蹈
     艺术类考试
     人体艺术
     英文原版书-艺术
  •  青春文学

  •  文学

     中国现当代随笔
     文集
     中国古诗词
     外国随笔
     文学理论
     纪实文学
     文学评论与鉴赏
     中国现当代诗歌
     外国诗歌
     名家作品
     民间文学
     戏剧
     中国古代随笔
     文学类考试
     英文原版书-文学
  •  法律

     小说
     世界名著
     作品集
     中国古典小说
     四大名著
     中国当代小说
     外国小说
     科幻小说
     侦探/悬疑/推理
     情感
     魔幻小说
     社会
     武侠
     惊悚/恐怖
     历史
     影视小说
     官场小说
     职场小说
     中国近现代小说
     财经
     军事
  •  童书

  •  成功/励志

  •  政治

  •  军事

  •  科普读物

  •  计算机/网络

     程序设计
     移动开发
     人工智能
     办公软件
     数据库
     操作系统/系统开发
     网络与数据通信
     CAD CAM CAE
     计算机理论
     行业软件及应用
     项目管理 IT人文
     计算机考试认证
     图形处理 图形图像多媒体
     信息安全
     硬件
     项目管理IT人文
     网络与数据通信
     软件工程
     家庭与办公室用书
  •  建筑

  •  医学

     中医
     内科学
     其他临床医学
     外科学
     药学
     医技学
     妇产科学
     临床医学理论
     护理学
     基础医学
     预防医学/卫生学
     儿科学
     医学/药学考试
     医院管理
     其他医学读物
     医学工具书
  •  自然科学

     数学
     生物科学
     物理学
     天文学
     地球科学
     力学
     科技史
     化学
     总论
     自然科学类考试
     英文原版书-自然科学
  •  工业技术

     环境科学
     电子通信
     机械/仪表工业
     汽车与交通运输
     电工技术
     轻工业/手工业
     化学工业
     能源与动力工程
     航空/航天
     水利工程
     金属学与金属工艺
     一般工业技术
     原子能技术
     安全科学
     冶金工业
     矿业工程
     工具书/标准
     石油/天然气工业
     原版书
     武器工业
     英文原版书-工业技
  •  农业/林业

  •  外语

  •  考试

  •  教材

  •  工具书

  •  中小学用书

  •  中小学教科书

  •  动漫/幽默

  •  烹饪/美食

  •  时尚/美妆

  •  旅游/地图

  •  家庭/家居

  •  亲子/家教

  •  两性关系

  •  育儿/早教

     保健/养生
     体育/运动
     手工/DIY
     休闲/爱好
     英文原版书
     港台图书
     研究生
     工学
     公共课
     经济管理
     理学
     农学
     文法类
     医学
  • 防火牆技術及應用
    該商品所屬分類:研究生 -> 工學
    【市場價】
    320-464
    【優惠價】
    200-290
    【作者】 楊東曉、張鋒、熊瑛、任曉賢、雷敏 
    【所屬類別】 圖書  教材  研究生/本科/專科教材  工學圖書  計算機/網絡  信息安全 
    【出版社】清華大學出版社 
    【ISBN】9787302519614
    【折扣說明】一次購物滿999元台幣免運費+贈品
    一次購物滿2000元台幣95折+免運費+贈品
    一次購物滿3000元台幣92折+免運費+贈品
    一次購物滿4000元台幣88折+免運費+贈品
    【本期贈品】①優質無紡布環保袋,做工棒!②品牌簽字筆 ③品牌手帕紙巾
    版本正版全新電子版PDF檔
    您已选择: 正版全新
    溫馨提示:如果有多種選項,請先選擇再點擊加入購物車。
    *. 電子圖書價格是0.69折,例如了得網價格是100元,電子書pdf的價格則是69元。
    *. 購買電子書不支持貨到付款,購買時選擇atm或者超商、PayPal付款。付款後1-24小時內通過郵件傳輸給您。
    *. 如果收到的電子書不滿意,可以聯絡我們退款。謝謝。
    內容介紹



    開本:16開
    紙張:膠版紙
    包裝:平裝-膠訂

    是否套裝:否
    國際標準書號ISBN:9787302519614
    叢書名:網絡空間安全重點規劃叢書

    作者:楊東曉、張鋒、熊瑛、任曉賢、雷敏
    出版社:清華大學出版社
    出版時間:2019年01月 


        
        
    "

    產品特色

    編輯推薦

    本書全面介紹防火牆技術及應用知識。全書共5章,主要內容包括防火牆基本知識、防火牆技術、防火牆網絡部署、防火牆安全功能應用和典型案例。每章*後提供了相應的思考題。
    本書既適合作為網絡空間安全、信息安全等專業的本科生相關專業基礎課程的教材,也適合作為網絡安全研究人員的入門基礎讀物。

     
    內容簡介

    本書全面介紹防火牆技術及應用知識。全書共5章,主要內容包括防火牆基本知識、防火牆技術、防火牆網絡部署、防火牆安全功能應用和典型案例。每章*後提供了相應的思考題。 本書由奇安信集團針對高校網絡空間安全專業的教學規劃組織編寫,既適合作為網絡空間安全、信息安全等專業的本科生相關專業基礎課程的教材,也適合作為網絡安全研究人員的入門基礎讀物。

    目錄
    目錄
    第1章防火牆基本知識1
    1.1防火牆概述1
    1.1.1防火牆產生的原因1
    1.1.2防火牆定義1
    1.1.3防火牆的作用2
    1.2防火牆的前世今生3
    1.2.1防火牆發展歷史及分類3
    1.2.2防火牆的新技術趨勢5
    1.3安全域和邊界防御思想6
    1.3.1安全域6
    1.3.2邊界防御思想7
    1.3.3防火牆部署方式8
    1.4防火牆產品標準10

    目錄
    第1章防火牆基本知識1
    1.1防火牆概述1
    1.1.1防火牆產生的原因1
    1.1.2防火牆定義1
    1.1.3防火牆的作用2
    1.2防火牆的前世今生3
    1.2.1防火牆發展歷史及分類3
    1.2.2防火牆的新技術趨勢5
    1.3安全域和邊界防御思想6
    1.3.1安全域6
    1.3.2邊界防御思想7
    1.3.3防火牆部署方式8
    1.4防火牆產品標準10
    1.4.1防火牆產品性能指標10
    1.4.2防火牆產品標準演進歷史11
    1.4.3GB/T 20281—2015簡介13
    1.5下一代防火牆產品架構14
    思考題15

    第2章防火牆技術16
    2.1包過濾技術16
    2.1.1包過濾技術原理16
    2.1.2包過濾技術的優缺點16
    2.2應用代理技術17
    2.2.1應用代理技術原理18
    2.2.2應用代理技術的優缺點19
    2.3會話機制和狀態檢測19
    2.3.1防火牆會話機制19
    2.3.2狀態檢測技術原理19
    2.3.3狀態檢測技術的優缺點20防火牆技術及應用目錄2.4應用識別技術21
    2.4.1DPI技術23
    2.4.2DFI技術24
    2.5內容檢查技術25
    2.5.1內容檢查技術原理25
    2.5.2內容檢查技術的優缺點27
    思考題27

    第3章防火牆網絡部署28
    3.1安全域和接口28
    3.2IP協議29
    3.2.1IP地址的基本概念29
    3.2.2IP協議31
    3.2.3IPv4向IPv6的過渡32
    3.3VLAN技術38
    3.3.1VLAN技術原理38
    3.3.2VLAN技術的優缺點41
    3.4路由41
    3.4.1靜態路由42
    3.4.2默認路由43
    3.4.3動態路由44
    3.4.4策略路由46
    3.4.5ISP路由及對稱路由49
    3.5二層透明網橋模式49
    3.6三層路由模式51
    3.7地址轉換53
    3.7.1靜態NAT技術55
    3.7.2動態NAT技術56
    3.7.3端口地址轉換技術57
    3.8混合模式58
    3.9旁路模式58
    3.10DHCP服務59
    3.11DNS透明代理61
    3.12代理ARP63
    3.13VPN65
    3.13.1IPSec VPN65
    3.13.2SSL VPN66
    3.14QoS67
    思考題69

    第4章防火牆安全功能應用70
    4.1安全策略概述70
    4.1.1基本概念70
    4.1.2一體化安全策略70
    4.1.3安全策略智能管理72
    4.2訪問控制策略73
    4.2.1行為管控74
    4.2.2關鍵字過濾75
    4.2.3內容過濾76
    4.2.4文件過濾76
    4.2.5郵件過濾78
    4.2.6URL過濾81
    4.3安全認證83
    4.3.1本地用戶認證83
    4.3.2AD用戶認證83
    4.3.3LDAP用戶認證84
    4.3.4RADIUS用戶認證85
    4.3.5IEEE 802.1x認證85
    4.4攻擊防御86
    4.4.1惡意掃描防御87
    4.4.2欺騙防御87
    4.4.3單包攻擊防御88
    4.4.4流量型攻擊防御90
    4.4.5應用層Flood攻擊防御93
    4.5入侵防御97
    4.5.1網絡入侵技術簡介98
    4.5.2入侵防御原理99
    4.5.3入侵防御功能核心技術102
    4.6病毒防御104
    4.6.1病毒基本概念104
    4.6.2病毒檢測105
    4.7SSL解密107
    4.8雲管端協同聯動108
    4.8.1雲管端概述108
    4.8.2雲管端動態協同防御109
    4.9基於網絡的檢測與響應110
    4.9.1NDR的基礎——數據驅動110
    4.9.2安全問題發現111
    4.9.3分析與響應中心113
    4.10安全運維管理113
    4.10.1運維管理113
    4.10.2安全審計114
    4.10.3高可用性115
    4.11虛擬防火牆120
    4.11.1虛擬繫統的基本組成120
    4.11.2虛擬繫統管理及配置120
    4.12集中管理121
    思考題122

    第5章典型案例124
    5.1企業互聯網邊界安全解決方案124
    5.1.1背景及需求124
    5.1.2解決方案及分析125
    5.2行業專網網絡安全解決方案128
    5.2.1背景及需求128
    5.2.2解決方案及分析129
    5.3企業級數據中心出口防護解決方案131
    5.3.1背景及需求131
    5.3.2解決方案及分析133
    5.4多分支企業組網及網絡安全解決方案136
    5.4.1背景及需求136
    5.4.2解決方案及分析137
    思考題140

    附錄A防火牆技術英文縮略語141

    參考文獻144

    前言

    網絡空間安全重點規劃叢書編審委員會顧問委員會主任: 瀋昌祥(中國工程院院士)
    特別顧問: 姚期智(美國國家科學院院士、美國人文及科學院院士、中國科學院院士、“圖靈獎”獲得者)
    何德全(中國工程院院士)蔡吉人(中國工程院院士)
    方濱興(中國工程院院士)吳建平(中國工程院院士)
    王小雲(中國科學院院士)
    主任: 封化民
    副主任: 韓臻李建華張煥國馮登國
    委員: (按姓氏拼音為序)


    網絡空間安全重點規劃叢書編審委員會顧問委員會主任: 瀋昌祥(中國工程院院士)
    特別顧問: 姚期智(美國國家科學院院士、美國人文及科學院院士、中國科學院院士、“圖靈獎”獲得者)
    何德全(中國工程院院士)蔡吉人(中國工程院院士)
    方濱興(中國工程院院士)吳建平(中國工程院院士)
    王小雲(中國科學院院士)
    主任: 封化民
    副主任: 韓臻李建華張煥國馮登國
    委員: (按姓氏拼音為序)
    蔡晶晶曹珍富陳克非陳興蜀杜瑞穎杜躍進
    段海新範紅高嶺宮力谷大武何大可
    侯整風胡愛黃繼武黃劉生荊繼武
    寇衛東來學嘉李暉劉建偉劉建亞馬建峰
    毛文波潘柱廷裴定一錢德沛秦玉海秦志光
    卿斯漢仇保利任奎石文昌汪烈軍王懷民
    王勁松王軍王麗娜王美琴王清賢王新梅
    王育民吳曉平吳雲坤徐明許進徐文淵
    嚴明楊波楊庚楊義先俞能海張功萱
    張紅旗張宏莉張敏情張玉清鄭東周福纔
    左英男
    叢書策劃: 張民21世紀是信息時代,信息已成為社會發展的重要戰略資源,社會的信息化已成為當今世界發展的潮流和核心,而信息安全在信息社會中將扮演極為重要的角色,它會直接關繫到國家安全、企業經營和人們的日常生活。 隨著信息安全產業的快速發展,全球對信息安全人纔的需求量不斷增加,但我國目前信息安全人纔極度匱乏,遠遠不能滿足金融、商業、公安、軍事和政府等部門的需求。要解決供需矛盾,必須加快信息安全人纔的培養,以滿足社會對信息安全人纔的需求。為此,繼2001年批準在武漢大學開設信息安全本科專業之後,又批準了多所高等院校設立信息安全本科專業,而且許多高校和科研院所已設立了信息安全方向的具有碩士和博士學位授予權的學科點。
    信息安全是計算機、通信、物理、數學等領域的交叉學科,對於這一新興學科的培養模式和課程設置,各高校普遍缺乏經驗,因此中國計算機學會教育專業委員會和清華大學出版社聯合主辦了“信息安全專業教育教學研討會”等一繫列研討活動,並成立了“高等院校信息安全專業繫列教材”編審委員會,由我國信息安全領域著名專家肖國鎮教授擔任編委會主任,指導“高等院校信息安全專業繫列教材”的編寫工作。編委會本著研究先行的指導原則,認真研討國內外高等院校信息安全專業的教學體繫和課程設置,進行了大量前瞻性的研究工作,而且這種研究工作將隨著我國信息安全專業的發展不斷深入。繫列教材的作者都是既在本專業領域有深厚的學術造詣、又在教學線有豐富的教學經驗的學者、專家。
    該繫列教材是我國套專門針對信息安全專業的教材,其特點是:
    ① 體繫完整、結構合理、內容先進。
    ② 適應面廣: 能夠滿足信息安全、計算機、通信工程等相關專業對信息安全領域課程的教材要求。
    ③ 立體配套: 除主教材外,還配有多媒體電子教案、習題與實驗指導等。
    ④ 版本更新及時,緊跟科學技術的新發展。
    在全力做好本版教材,滿足學生用書的基礎上,還經由專家的和審定,遴選了一批國外信息安全領域優秀的教材加入到繫列教材中,以進一步滿足大家對外版書的需求。“高等院校信息安全專業繫列教材”已於2006年年初正式列入普通高等教育“十一五”教材規劃。
    2007年6月,高等學校信息安全類專業教學指導委員會成立大會暨次會議在北京勝利召開。本次會議由高等學校信息安全類專業教學指導委員會主任單位北京工業大學和北京電子科技學院主辦,清華大學出版社協辦。高等學校信息安全類專業教學指導委員會的成立對我國信息安全專業的發展起到重要的指導和推動作用。2006年給武漢大學下達了“信息安全專業指導性專業規範研制”的教學科研項目。2007年起該項目由高等學校信息安全類專業教學指導委員會組織實施。在高教司和教指委的指導下,項目組團結一致,努力工作,克服困難,歷時5年,制定出我國個信息安全專業指導性專業規範,於2012年年底通過經高等教育司理工科教育處授權組織的專家組評審,並且已經得到武漢大學等許多高校的實際使用。2013年,新一屆“高等學校信息安全專業教學指導委員會”成立。經組織審查和研究決定,2014年以“高等學校信息安全專業教學指導委員會”的名義正式發布《高等學校信息安全專業指導性專業規範》(由清華大學出版社正式出版)。
    防火牆技術及應用出版說明2015年6月,國務院學位委員會、出臺增設“網絡空間安全”為一級學科的決定,將高校培養網絡空間安全人纔提到新的高度。2016年6月,中央網絡安全和信息化領導小組辦公室(下文簡稱中央網信辦)、國家發展和改革委員會、、科學技術部、工業和信息化部及人力資源和社會保障部六大部門聯合發布《關於加強網絡安全學科建設和人纔培養的意見》(中網辦發文〔2016〕4號)。為貫徹落實《關於加強網絡安全學科建設和人纔培養的意見》,進一步深化高等教育教學改革,促進網絡安全學科專業建設和人纔培養,促進網絡空間安全相關核心課程和教材建設,在高等學校信息安全專業教學指導委員會和中央網信辦資助的網絡空間安全教材建設課題組的指導下,啟動了“網絡空間安全重點規劃叢書”的工作,由高等學校信息安全專業教學指導委員會秘書長封化民校長擔任編委會主任。本規劃叢書基於“高等院校信息安全專業繫列教材”堅實的工作基礎和成果、陣容強大的編審委員會和優秀的作者隊伍,目前已經有多本圖書獲得和中央網信辦等機構評選的“普通高等教育本科規劃教材”“普通高等教育精品教材”“中國大學出版社圖書獎”和“國家網絡安全優秀教材獎”等多個獎項。
    “網絡空間安全重點規劃叢書”將根據《高等學校信息安全專業指導性專業規範》(及後續版本)和相關教材建設課題組的研究成果不斷更新和擴展,進一步體現科學性、繫統性和新穎性,及時反映教學改革和課程建設的新成果,並隨著我國網絡空間安全學科的發展不斷完善,力爭為我國網絡空間安全相關學科專業的本科和研究生教材建設、學術出版與人纔培養做出更大的貢獻。
    我們的Email地址是: zhangm@tup.tsinghua.edu.cn,聯繫人: 張民。

    “網絡空間安全重點規劃叢書”編審委員會沒有網絡安全,就沒有國家安全;沒有網絡安全人纔,就沒有網絡安全。
    為了更多、更快、更好地培養網絡安全人纔,如今許多學校都在努力培養網絡安全人纔,都在下大功夫、花大本錢,聘請優秀老師,招收優秀學生,建設一流的網絡空間安全專業。
    網絡空間安全專業建設需要體繫化的培養方案、繫統化的專業教材和專業化的師資隊伍。優秀教材是網絡空間安全專業人纔培養的關鍵。但是,這是一項十分艱巨的任務。原因有二: 其一,網絡空間安全的涉及面非常廣,至少包括密碼學、數學、計算機、通信工程、信息工程等多門學科,因此,其知識體繫龐雜,難以梳理;其二,網絡空間安全的實踐性很強,技術發展更新非常快,對環境和師資要求也很高。
    “防火牆技術及應用”是網絡空間安全和信息安全專業的基礎課程,全面介紹防火牆技術及應用知識。全書共5章。第1章介紹防火牆基本知識,第2章介紹防火牆技術,第3章介紹防火牆網絡部署,第4章介紹防火牆安全功能應用,第5章介紹典型案例。
    本書既適合作為網絡空間安全、信息安全等專業的本科生相關專業基礎課程的教材,也適合作為網絡安全研究人員的入門基礎讀物。本書將隨著新技術的發展而更新。
    由於作者水平有限,書中難免存在疏漏和不妥之處,歡迎讀者批評指正。

    作者2018年11月

    在線試讀
    第3章第3章防火牆網絡部署

    在介紹了防火牆的基本原理和技術之後,本章主要介紹防火牆的網絡部署,主要包括以下內容: 防火牆的幾種部署模式以及每種模式的實現過程;IP協議及IPv6技術,VLAN技術的原理及組網方式,劃分VLAN的原因及優缺點;各種路由協議概念及原理,DHCP服務、DNS透明代理,代理ARP、VPN、QoS等知識。
    3.13.1安全域和接口安全域是一個或多個接口的集合。防火牆通過安全域來劃分網絡,標識數據流動的“路線”。當數據在不同的安全域之間流動時,防火牆會根據安全域的安全策略決定數據包的情況。
    防火牆通過接口來連接網絡,將接口劃分到安全域後,通過接口就把安全域和網絡關聯起來,如圖31所示,通常說某個安全域,就可以表示該安全域中接口所連接的網絡。
    圖31安全域劃分示意圖
    防火牆可以預定義安全域,通常為受信域、DMZ和非受信域。用戶可以根據需要自行添加新的安全域。
    受信域內網絡的受信任程度高,通常用來定義內部用戶所在的網絡。
    DMZ內網絡的受信任程度中等,通常用來定義公開的服務器所在的網絡。
    非受信域代表的是不受信任的網絡,通常用來定義Internet等不安全的網絡。
    如圖32所示,假設接口1連接的是內部用戶,將這個接口劃分到受信域中;接口2連接內部服務器,將這個接口劃分到DMZ中;接口3連接Internet,將它劃分到非受信域。防火牆技術及應用第3章防火牆網絡部署圖32安全域示意圖
    在防火牆上,每個安全域都有一個的安全級別,用數字表示,數字越大,則代表該區域內的網絡越可信。
    防火牆在引入安全域概念的同時也引入了域間的概念。任何不同的安全域之間形成域間關繫,防火牆上大部分規則都在域間配置。為便於描述域間關繫,又引入了域間方向的概念:

    第3章第3章防火牆網絡部署



    在介紹了防火牆的基本原理和技術之後,本章主要介紹防火牆的網絡部署,主要包括以下內容: 防火牆的幾種部署模式以及每種模式的實現過程;IP協議及IPv6技術,VLAN技術的原理及組網方式,劃分VLAN的原因及優缺點;各種路由協議概念及原理,DHCP服務、DNS透明代理,代理ARP、VPN、QoS等知識。
    3.13.1安全域和接口安全域是一個或多個接口的集合。防火牆通過安全域來劃分網絡,標識數據流動的“路線”。當數據在不同的安全域之間流動時,防火牆會根據安全域的安全策略決定數據包的情況。
    防火牆通過接口來連接網絡,將接口劃分到安全域後,通過接口就把安全域和網絡關聯起來,如圖31所示,通常說某個安全域,就可以表示該安全域中接口所連接的網絡。
    圖31安全域劃分示意圖
    防火牆可以預定義安全域,通常為受信域、DMZ和非受信域。用戶可以根據需要自行添加新的安全域。
    受信域內網絡的受信任程度高,通常用來定義內部用戶所在的網絡。
    DMZ內網絡的受信任程度中等,通常用來定義公開的服務器所在的網絡。
    非受信域代表的是不受信任的網絡,通常用來定義Internet等不安全的網絡。
    如圖32所示,假設接口1連接的是內部用戶,將這個接口劃分到受信域中;接口2連接內部服務器,將這個接口劃分到DMZ中;接口3連接Internet,將它劃分到非受信域。防火牆技術及應用第3章防火牆網絡部署圖32安全域示意圖
    在防火牆上,每個安全域都有一個的安全級別,用數字表示,數字越大,則代表該區域內的網絡越可信。
    防火牆在引入安全域概念的同時也引入了域間的概念。任何不同的安全域之間形成域間關繫,防火牆上大部分規則都在域間配置。為便於描述域間關繫,又引入了域間方向的概念:
     報文從低級別的安全域向高級別的安全域流動時為入方向(Inbound)。
     報文從高級別的安全域向低級別的安全域流動時為出方向(Outbound)。
    當報文在兩個方向上流動時,將會觸發不同的安全檢查。圖33標明了本地域、受信域、DMZ和非受信域之間的域間方向。
    圖33域間方向
    通過安全域,防火牆劃分出等級森嚴、關繫明確的網絡,成為連接各個網絡的節點。以此為基礎,防火牆就可以對各個網絡之間流動的報文進行安全檢查和實施管控策略。
    3.23.2IP協議3.2.1IP地址的基本概念
    互聯網中需要有一個全局的地址繫統,它能夠給每一臺主機或路由器的網絡連接分配一個全局的地址。TCP/IP協議中網絡層使用的地址標識符叫作IP地址,是IP協議的重要組成部分,它可以識別接入互聯網中的任意一臺設備。IP地址可以分為IPv4和IPv6兩大類。
    IP地址采用分層結構,由網絡號(Net ID)與主機號(Host ID)兩部分組成。IPv4地址長度為32位,為點分十進制(dotted decimal)地址。在實際運用中,IP地址資源並不足以應對迅速增長的互聯網設備數量,因此從IP地址中拿出一部分作為私有IP地址,此類IP地址不能被路由到Internet骨干網上,需要使用網絡地址轉換(Network Address Translation,NAT)轉換為公有地址。根據不同的取值範圍,IP地址共分為5類:
    (1) A類IP地址。網絡號長度為8位,主機號長度為24位,地址範圍為0.0.0.0~127.255.255.255。網絡號為全0和位為0、其餘7位為全1(用十進制表示為0與127)的兩個地址保留用於特殊目的,因此實際允許有126個不同的A類網絡。A類IP地址結構適用於有大量主機的大型網絡。在A類IP地址中,私有IP地址範圍為10.0.0.0~10.255.255.255,即10.0.0.0/8。
    (2) B類IP地址。網絡號長度為16位,主機號長度為16位,地址範圍為128.0.0.0~191.255.255.255。B類IP地址適用於國際性大公司與政府機構等使用。在B類IP地址中,私有IP地址範圍為172.16.0.0~172.31.255.255,即172.16.0.0/12。
    (3) C類IP地址。網絡號長度為24位,主機號長度為8位,地址範圍為192.0.0.0~223.255.255.255。C類IP地址適用於小公司與普通的研究機構。在C類IP地址中,私有IP地址範圍為192.168.0.0~192.168.255.255,即192.168.0.0/16。
    (4) D類IP地址。不標識網絡,地址範圍為224.0.0.0~239.255.255.255,用於其他特殊的用途,如多播(multicasting)。
    (5) E類IP地址。地址範圍為240.0.0.0~255.255.255.255,E類地址保留給實驗和將來使用。
    IP地址的分配是一個政策性的問題。ICANN(Internet Corporation for Assigned Names and Numbers)是Internet的中心管理機構。ICANN的IANA(Internet Assigned Numbers Authority)部門負責將IP地址分配給5個區域性的互聯網注冊機構(Reginal Internet Registry,RIR)。RIR將地址進一步分配給當地的ISP,如中國電信和中國網通。ISP再根據自己的情況,將IP地址分配給機構或者直接分配給用戶。機構可以進一步在局域網內部將IP地址分配給各個主機。
    3.2.2IP協議
    IP(Internet Protocol,互聯網協議)是網絡層的主要協議之一,它是為了計算機網絡相互連接進行通信而設計的協議,規定了連接到互聯網上的所有計算機在通信時應遵守的規則。IP協議是一種不可靠、無連接的數據報傳送服務協議,是點對點網絡層通信協議。
    網絡層(network layer)是實現互聯網的重要的一層。正是在網絡層上,各個局域網根據IP協議相互連接,終構成覆蓋全球的互聯網。更高層的協議,無論是TCP還是UDP,必須通過網絡層的IP數據包來傳遞信息。
    IP數據包是符合IP協議的信息。IP包分為頭部(header)和數據(data)兩部分。頭部是為了能夠實現傳輸而附加的信息,數據部分是要傳送的信息。
    1. IPv4協議
    IPv4協議是IP協議的第4版,是個被廣泛使用,也是構成現今互聯網技術基石的協議。IPv4地址長度為32位,分為網絡地址和主機地址兩個部分。IPv4數據包由頭部和實際數據組成: 數據一般用來傳送其他協議;包頭主要包括版本、包頭長度、服務類型、包總長度等部分。IPv4數據包格式如圖34所示。
    圖34IPv4數據包格式
    2 IPv6協議
    隨著互聯網用戶的增多,32位地址資源已經不能滿足用戶的需求了。IPv6的優勢就在於它大大地擴展了地址的可用空間,其地址占16B,可以滿足互聯網發展的需要。IPv6地址有128位,通常寫成8組,每組為4個十六進制數的形式。IPv6還對包頭進行了簡化,提高了路由器的吞吐量,同時強化了安全功能,支持數據包的加密。
    IPv6網絡中仍需要使用防火牆、入侵檢測繫統等安全設備,但由於IPv6的一些新特點,IPv4網絡中現有的這些安全設備在IPv6網絡中不能直接使用,還需要做出一些改進。
    由於IPv6相對於IPv4在數據包頭上有了很大的改變,所以原來的防火牆產品在IPv6網絡上不能直接使用,必須做一些改進。針對IPv6的Socket(套接口)函數已經在RFC 3493: Basic Socket Interface Extensions for IPv6中定義,以前的應用程序都必須參考新的API做相應的改動。
    IPv4中防火牆過濾的依據是IP地址和TCP/UDP端口號。IPv4中IP頭部和TCP頭部是緊接在一起的,而且其長度是固定的,所以防火牆很容易找到頭部,並應用相應的策略。然而在IPv6中TCP/UDP頭部的位置有了根本的變化,它們不再是緊接在一起的,通常中間還間隔了其他擴展頭部,如路由選項頭部、AH/ESP頭部等。防火牆必須讀懂整個數據包纔能進行過濾操作,這對防火牆的處理性能會有很大的影響。
    3.2.3IPv4向IPv6的過渡
    2017年11月26日,中共中央辦公廳、國務院辦公廳印發了《推進互聯網協議第六版(IPv6)規模部署行動計劃》,並發出通知,要求各地區各部門結合實際認真貫徹落實。希望用5~10年時間,形成下一代互聯網自主技術體繫和產業生態,建成全球規模的IPv6商業應用網絡,實現下一代互聯網在經濟社會各領域深度融合應用,成為全球下一代互聯網發展的重要主導力量。
    目前,網絡上的絕大部分設備都是IPv4設備,若把這些設備全部換成IPv6設備,所需的成本巨大;另外,網絡的升級換代還要保證不中斷現有業務。綜合以上因素,從IPv4過渡到IPv6注定是一個漸進的過程,而且這一過程要持續相當長的時間。為了解決這些問題,IETF(Internet Engineering Task Force,互聯網工程任務組)設計了3種IPv4向IPv6過渡的技術:
    (1) 雙協議棧(dual stack): 節點上同時運行IPv4和IPv6兩套協議棧。
    (2) 隧道技術(tunneling): 該技術將IPv6的分組作為無結構意義的數據封裝在IPv4數據包中,並把這些封裝了的數據包通過IPv4網絡送往一個IPv4目的節點。
    (3) 附帶協議轉換器的網絡地址轉換器(Network Address TranslationProtocol Translation,NATPT): NATPT進行IPv4地址和IPv6地址轉換,並包括協議翻譯。
    1. 雙協議棧
    雙棧是指同時支持IPv4協議棧和IPv6協議棧。雙棧節點同時支持與IPv4和IPv6節點的通信,當和IPv4節點通信時需要采用IPv4協議棧,當和IPv6節點通信時需要采用IPv6協議棧。雙棧節點訪問業務時支持通過DNS解析結果選擇通信協議棧。即當域名解析結果返回IPv4或IPv6地址時,節點可用相應的協議棧與之通信。
    雙棧方式是一種直觀地解決IPv4/IPv6共存問題的方式,但隻有當通信雙方數據包通路上的所有節點設備都支持雙棧後,這種方式纔能充分發揮其作用。
    一個典型的IPv4/IPv6雙協議棧結構如圖35所示。在以太網中,數據包頭的協議字段分別用值0x86DD和0x0800來區分所采用的是IPv6還是IPv4。
    圖35IPv4/IPv6雙協議棧結構雙棧方式的工作機制可以簡單描述為: 鏈路層解析出接收到的數據包的數據段,拆開並檢查包頭。如果IPv4/IPv6包頭圖36IPv4和IPv6雙協議棧
    的工作過程
    中的個字段,即IP包的版本號是4,該包就由IPv4的協議棧來處理;如果版本號是6,則由IPv6的協議棧處理。
    IPv4/IPv6雙協議棧的工作過程如圖36所示。
    雙棧機制是使IPv6節點與IPv4節點兼容的直接的方式,互通性好,易於理解。但是雙協議棧的使用將增加內存開銷和CPU占用率,降低設備的性能,也不能解決地址緊缺問題。同時由於需要雙路由基礎設施,這種方式反而增加了網絡的復雜度。
    2. 隧道技術
    隨著IPv6網絡的發展,出現了許多局部的IPv6網絡。為了實現這些孤立的IPv6網絡之間的互通,人們采用了隧道技術。隧道技術是在IPv6網絡與IPv4網絡間的隧道入口處,由路由器將IPv6的數據分組封裝到IPv4分組中。IPv4分組的源地址和目的地址分別是隧道入口和出口的IPv4地址。在隧道的出口處拆封IPv4分組並剝離出IPv6數據包。
    隧道技術的優點在於隧道的透明性,IPv6主機之間的通信可以忽略隧道的存在,隧道隻起到物理通道的作用。在IPv6發展初期,隧道技術穿越現存IPv4網絡,實現了IPv6孤島間的互通,逐步擴大了IPv6的實現範圍,因而是IPv4向IPv6過渡初期易於采用的技術。但是隧道技術不能實現IPv4主機與IPv6主機的直接通信。
    IPv6網絡邊緣設備收到IPv6網絡的IPv6報文後,將IPv6報文封裝在IPv4報文中,成為一個IPv4報文,在IPv4網絡中傳輸到目的IPv6網絡的邊緣設備後,解封裝,即去掉外部IPv4頭,恢復原來的IPv6報文,進行IPv6轉發,如圖37所示。
    圖37IPv6報文穿越IPv4隧道
    用於IPv6穿越IPv4網絡的隧道技術主要有兩個。
    1)  IPv6手工配置隧道
    IPv6手工配置隧道的源和目的地址是手工指定的,它提供了一個點到點的連接。IPv6手工配置隧道可以建立在兩個邊界路由器之間,為被IPv4網絡分離的IPv6網絡提供穩定的連接;或建立在終端繫統與邊界路由器之間,為終端繫統訪問IPv6網絡提供連接。隧道的端點設備必須支持IPv4/IPv6雙協議棧。其他設備隻需實現單協議棧即可。
    IPv6手工配置隧道要求在設備上手工配置隧道的源地址和目的地址。如果一個邊界設備要與多個設備建立手工隧道,就需要在設備上配置多個隧道。所以手工隧道通常用於兩個邊界路由器之間,為兩個IPv6網絡提供連接。
    一個手工隧道在設備上以一個虛擬隧道接口的方式存在,從IPv6側收到一個IPv6報文後,根據IPv6報文的目的地址查找IPv6轉發表,如果該報文是從此虛擬隧道接口轉發出去的,則根據隧道接口配置的隧道源端和目的端的IPv4地址進行封裝。封裝後的報文變成一個IPv4報文,交給IPv4協議棧處理。報文通過IPv4網絡轉發到隧道的終點。
    隧道終點收到一個隧道協議報文後,進行隧道解封裝。並將解封裝後的報文交給IPv6協議棧處理。一個設備上不能配置兩個源和目的地址都相同的IPv6手工隧道。手動配置隧道如圖38所示。
    圖38手動配置隧道
    2) 6to4自動隧道
    6to4自動隧道也是使用內嵌在IPv6地址中的IPv4地址建立的。6to4自動隧道可以將多個IPv6域通過IPv4網絡連接到IPv6網絡。與IPv4兼容自動隧道不同,6to4自動隧道支持路由器到路由器、主機到路由器、路由器到主機、主機到主機。這是因為6to4地址用IPv4地址作為網絡標識,其地址格式如圖39所示。
    圖396to4自動隧道地址格式
    其格式前綴(FP)為二進制的001,這是可聚合全局單播地址的格式前綴;TLA為0x0002,這是聚合標識符。也就是說,6to4節點的IPv6地址前綴是統一的2002::/16地址空間,而一個6to4網絡可以表示為2002:IPv4地址::/48。
    通過6to4自動隧道,可以讓孤立的IPv6網絡之間通過IPv4網絡連接起來。6to4自動隧道是通過虛擬隧道接口實現的,6to4自動隧道入口的IPv4地址手工指定,隧道的目的地址根據通過隧道轉發的報文來決定。如果IPv6報文的目的地址是6to4隧道地址,則從報文的目的地址中提取出IPv4地址作為隧道的目的地址;如果IPv6報文的目的地址不是6to4隧道地址,但下一跳是6to4隧道地址,則從下一跳地址中取出IPv4地址作為隧道的目的地址,這也稱為6to4中繼。6to4隧道的工作過程如圖310所示。
    圖3106to4隧道的工作過程
    3. 附帶協議轉換器的網絡地址轉換器
    附帶協議轉換器的網絡地址轉換器允許隻支持IPv6協議的主機與隻支持IPv4協議的主機互聯,一個位於IPv4網絡和IPv6網絡邊界的設備負責在IPv4報文與IPv6報文之間進行轉換。NATPT把SIIT協議轉換技術和IPv4網絡的動態地址轉換技術結合在一起,它利用了SIIT技術的工作機制,同時又利用傳統的IPv4下的NAT技術來動態地給訪問IPv4節點的IPv6節點分配IPv4地址,很好地解決了SIIT技術中全局IPv4地址池規模有限的問題。同時,通過傳輸層端口轉換技術使多個IPv6主機共用一個IPv4地址。NATPT的工作原理如圖311所示。
    圖311NATPT的工作原理
    NATPT設備上需要設置IPv4主機的轉換規則、IPv6主機的轉換規則、IPv6主機使用的IPv4地址。報文經過NATPT設備時,根據NATPT的轉換規則對報文進行協議轉換。轉換規則分為如下幾種:
     IPv4主機的靜態規則: 一個IPv4主機對應一個虛擬的IPv6地址。
     IPv4主機的動態規則: 規定一組IPv4主機的地址如何映射成IPv6地址。通常是指定一個96位的前綴添加在原IPv4地址前面組成一個IPv6地址。
     IPv6主機的靜態轉換規則: 一個IPv6主機對應一個虛擬IPv4地址。
     IPv6主機的動態轉換規則: 規定一組IPv6主機與IPv4地址的對應關繫,IPv4地址是多個IPv6主機共享的資源。
    靜態NATPT 是由NATPT網關靜態配置IPv6和IPv4地址綁定關繫。當IPv4主機與IPv6主機之間互通時,其報文在經過NATPT網關時由網關根據配置的綁定關繫進行轉換。不管是IPv6主機還是IPv4主機,如果配置了靜態綁定關繫,則另一側的主機可以主動向其發起連接,如圖312所示。
    圖312靜態NATPT工作原理
    靜態配置對那些經常在線或需要提供穩定連接的主機比較適合。對於那些不經常使用的主機,可以采用動態配置的方法。
    如圖313所示,IPv4側主機采用了靜態映射,而IPv6側主機采用動態映射。當PC1向PC2發送報文時,其源地址為2001:db2::1,目的地址為2001:ad::1。此報文在到達NATPT網關時,目的地址符合IPv4靜態規則,IPv4報文的目的地址為101.1.1.1。而IPv6報文的源地址符合IPv6主機的動態規則,則從規則的地址池中選擇一個未使用的地址,假設是16.1.1.10,作為IPv4報文的源地址。那麼轉換後的IPv4報文就是源地址為16.1.1.10,目的地址為101.1.1.1。
    圖313動態NATPT示意圖
    在動態NATPT中,IPv4地址池中的地址可以復用,也就是若干個IPv6地址可以轉換為一個IPv4地址,它利用了上層協議(UDP/TCP的端口)映射的方法。
    動態NATPT改進了靜態NATPT配置復雜、消耗大量IPv4地址的缺點。由於它采用了上層協議映射的方法,所以隻用很少的IPv4地址就可以支持大量的IPv6地址到IPv4地址的轉換。但由於IPv6側的映射是動態的,如果IPv4主機向IPv6主機發起連接,由於不知道IPv6主機應用映射後的結果,所以無法直接與IPv6主機連接。這需要結合DNS ALG來實現。
    應用層網關(Application Level Gateway,ALG)通過使用DNS ALG,可以做到IPv4與IPv6網絡中任一方均可主動發起連接,隻需要配置一個DNS服務器的靜態映射即可。
    例如,IPv4主機要訪問IPv6主機www.abc.com,首先向IPv6網絡中的DNS發出名字解析請求,報文類型為A類查詢報文。這個請求到達NATPT後,NATPT對報文頭部按普通報文進行轉換。同時,由於DNS報文需要進行ALG處理,把A類查詢報文轉換成AAAA或A6類查詢報文,然後將此報文轉發給IPv6網絡內的DNS,如圖314所示。
    圖314NATPT DNS ALG示意圖
    IPv6網絡中的DNS收到報文後,查詢自己的記錄表,解析出主機www.abc.com的IPv6地址是2001:db2::1,回應查詢結果。NATPT對此報文的報文頭進行轉換,同時,DNS ALG將其中的DNS應答部分也進行修改,把AAAA或A6類應答轉成A類應答,並從IPv4地址池中分配一個地址17.1.1.11,替換應答中的IPv6地址2001:db22::1,並記錄二者之間的映射信息。
    IPv4主機在收到此DNS應答之後,就知道了主機www.abc.com的IPv4地址是17.1.1.11。於是發起到主機www.abc.com的連接。由於在NATPT中已經記錄了IPv4地址17.1.1.11與IPv6地址2001:db2::1之間的映射信息,因此可以對地址進行轉換。
    NATPT 不必修改已存在的IPv4網絡就可實現內部網絡IPv4主機對外部網絡IPv6主機的訪問,且通過上層協議映射使大量的IPv6主機使用同一個IPv4地址,了寶貴的IPv4地址,所以是一個很優秀的IPv4與IPv6網絡之間的過渡技術。但NATPT也有它的缺點,屬於同一會話的請求和響應都要通過同一NATPT設備,對NATPT設備的性能要求很高。
    3.33.3VLAN技術3.3.1VLAN技術原理
    虛擬局域網(Virtual Local Area Network,VLAN)是一種不受物理網絡分段或者傳統LAN限制的一組網絡服務。它可以根據企業或機構的組織結構的需要,基於功能、部門及應用等因素將交換網絡從邏輯上分段,而不受網絡用戶的物理位置限制,所有在同一個VLAN裡的主機可以共享資源,如圖315所示。
    圖315虛擬局域網示意圖
    VLAN工作在OSI網絡參考模型的第二層和第三層,一個VLAN就是一個廣播域,VLAN之間的通信是通過第三層的路由器來完成的。二層交換機不能讓VLAN之間互相訪問,VLAN之間的訪問隻能通過三層交換機來實現,所以在組建VLAN時一般要求要有三層交換機,這樣纔能實現不同VLAN之間的通信。一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN中。即使是兩臺計算機有著同樣的網段,但由於它們有不同的VLAN號,它們各自的廣播也不會相互轉發,從而有助於控制流量,減少設備投資,簡化網絡管理和提高網絡的安全性。
    在計算機網絡中,一個二層網絡可以被劃分為多個不同的廣播域,一個廣播域對應一個特定的用戶組,默認情況下這些不同的廣播域是相互隔離的。不同的廣播域之間通信時需通過一個或多個路由器。這樣的一個廣播域就稱為VLAN。
    VLAN的劃分方式共有4種: 基於端口的VLAN、基於MAC地址的VLAN、基於網絡層的VLAN和基於IP多播的VLAN。
    基於端口的VLAN也稱靜態VLAN,是簡單、有效的VLAN劃分方法,它按照局域網交換機端口來定義VLAN成員。VLAN從邏輯上劃分局域網交換機的端口,從而將終端繫統劃分為不同的部分,各部分相對獨立,在功能上模擬了傳統的局域網。屬於這種VLAN的端口通常通過交換機以命令行的形式加入VLAN,當交換機上某一個端口被加入到某一個VLAN之後,就固定不變,除非重新配置。配置完成以後,當主機連接到某一端口後,該主機就進入該端口所屬的VLAN,能與該VLAN中的主機相互通信。此種劃分方式如圖316所示。
    圖316基於端口的VLAN
    基於MAC地址的VLAN也稱為動態VLAN。它是用繫統的MAC地址定義的VLAN。這種方式的VLAN根據主機的MAC地址來劃分,所以所有用戶必須明確地分配一個VLAN。這種VLAN允許工作站移動到網絡的其他物理網段時自動保持原來的VLAN成員資格。該方案在網絡規模較小的時候是一個很好的選擇,並且其相對於靜態VLAN的優點在於: 當用戶的物理位置發生變化時,VLAN不用重新配置,用戶會自動保留其所屬VLAN組的成員身份。其缺點是: 隨著網絡規模的擴大和網絡設備、用戶的增加,其管理難度也會大大增加。此種劃分方式如圖317所示。
    圖317基於MAC地址的VLAN基於網絡層的VLAN有兩種方案: 一種是按網絡層協議來劃分;另一種則是按網絡地址來劃分。這種方法在新增節點時實現比較方便、簡單,交換機會根據IP 地址自動將其劃分到不同VLAN。但其缺點是涉及網絡層協議或網絡地址的處理,速度比較慢。此種劃分方式如圖318所示。
    圖318基於網絡層的VLAN
    基於IP多播的VLAN認為任何屬於同一IP多播組的主機都屬於同一VLAN。所有加入同一個廣播域的工作站均被視為同一個VLAN 的成員,並且成員身份可根據實際需要保留一定時間。這種方式帶來了巨大的靈活性和可延展性,可以將VLAN擴展到廣域網,但其效率不高。此種劃分方式如圖319所示。
    圖319基於IP多播的VLAN3.3.2VLAN技術的優缺點
    采用VLAN時可將某個交換機端口劃到某個VLAN中,而一個VLAN的廣播風暴不會影響其他VLAN的性能。並且VLAN能確保網絡的安全性。共享式局域網之所以很難保證網絡的安全性,是因為隻要用戶插入一個活動端口就能訪問網絡;而VLAN能限制個別用戶的訪問,控制廣播組的大小和位置,甚至能鎖定某臺設備的MAC地址。
    基於端口的VLAN的優點為: 由於一個端口就是一個獨立的局域網,所以,當數據在網絡中傳輸的時候,交換機就不會把數據包轉發給其他的端口。如果用戶需要將數據發送到其他的VLAN中,就需要先由交換機發往路由器,再由路由器發往其他端口;同時以端口為中心的VLAN中完全由用戶自由支配端口,無形之中就更利於管理。但是其不足之處在於: 當用戶位置改變時,往往也伴隨著網線的遷移。如果不會經常移動客戶機,這是一種較好的方式。
    靜態VLAN與基於端口的VLAN有一些相似之處,用戶可在交換機上讓一個或多個交換機端口形成一個略大一些的VLAN。從一定意義上講,靜態VLAN在某種程度上彌補了基於端口的VLAN的缺點。從缺陷方面來看,靜態 VLAN雖說是可以將多個端口設置成一個VLAN,但是假如兩個不同端口、不同VLAN的人員聚到一起協商一些事情,就會出現問題,因為端口及VLAN的不一致往往會直接導致某個VLAN的人員不能正常訪問他原先所在的VLAN(靜態VLAN的端口在同一時間隻能屬於同一個VLAN),這樣就需要網絡管理人員隨時配合,及時修改該線路上的端口。
    與以上兩種VLAN的劃分方式相比,動態VLAN具有很多優點。首先,它適用於當前的無線局域網技術。其次,當用戶需要對工作基點進行移動時,完全不用擔心在靜態VLAN與基於端口的VLAN出現的一些問題會在動態VLAN中出現,因為動態VLAN在建立初期已經由網絡管理員將整個網絡中的所有MAC地址都輸入到路由器中,同時由路由器通過MAC地址來自動區分每一臺計算機屬於哪一個VLAN,之後將這臺計算機連接到對應的VLAN中。與以上兩種VLAN的組成方式相比,動態VLAN的缺點較少,主要不便之處是: 在VLAN建立初期,網絡管理人員需將所有計算機的MAC地址進行登記,然後劃分出MAC地址對應計算機的不同權限。與傳統的局域網技術相比較,VLAN技術更加靈活。它具有以下優點: 網絡設備的移動、添加和修改的管理開銷小;可以控制廣播活動;可提高網絡的安全性。
    3.43.4路由在對防火牆設備進行初始化時,為其配置IP路由是基本的步驟。路由是防火牆設備判斷數據包轉發路徑的進程,路由表中包含了一個IP網絡地址列表,防火牆設備可以通過該列表提供路由轉發服務。當地址轉換和其他處理任務完成以後,路由條目可以判斷出為了把數據包發往特定目的網絡而應該將數據包交給哪個接口和網關。如果路由表中存在有效的路由條目,路由轉發機制使用數據包頭部的目的IP地址來決定是否要轉發這個數據包;如果路由表中沒有有效路由條目,防火牆設備就會丟棄這個數據包。
    360新一代智慧防火牆提供了全面、完善的路由功能,不僅支持IPv4靜態路由,還支持IPv6靜態路由,支持靜態多播路由及動態多播路由,支持多種動態路由,如RIP、OSPF、BGP、RIPng、OSPFv3、BGP4 ,擴大了防火牆繫統工作在路由模式下時的網絡適應能力及對IPv6網絡的適應能力。
    3.4.1靜態路由
    靜態路由是實現數據包轉發簡單的方式。靜態路由將去往特定目的網絡的流量轉發給路由條目中明確指定的某個下一跳直連設備。對於防火牆設備直連的網絡,無須配置任何路由條目來實現轉發。在透明模式下,對於由防火牆設備自身產生並去往非直連網絡的流量,需要指定靜態路由。
    靜態路由可以為防火牆設備提供路由信息,而不需要使用任何動態路由。靜態路由比任何動態路由的優先級都高,在設備需要將流量轉發到目的地時,靜態路由往往是轉發的選擇。靜態路由的管理距離默認為1,這就是說它的優先級高於所有的動態路由,僅次於直連路由。而直連路由的優先級高於所有動態和靜態路由。當有很多路由條目都可以匹配某個特定的MAC地址時,優先選擇長匹配的路由條目。長匹配的條目是指匹配路由掩碼位數多的那個條目。
    靜態路由需要由用戶或網絡管理員手工配置路由信息。當網絡的拓撲結構或鏈路的狀態發生變化時,網絡管理員需要手工修改路由表中相關的靜態路由信息。靜態路由信息在默認情況下是私有的,不會傳遞給其他的路由器。當然,網絡管理員也可以對路由器進行設置,使之成為共享的。靜態路由一般適用於比較簡單的網絡環境,在這樣的環境中,網絡管理員易於清楚地了解網絡的拓撲結構,便於設置正確的路由信息。靜態路由轉發過程如圖320所示。
    圖320靜態路由轉發過程
    在圖320中,當需要經過靜態路由A向主機發送數據時,就需要在路由器A中配置路由信息,修改路由表中的信息,例如使用命令ip route 172.16.1.0 255.255.255.0 172.16.2.1,在靜態路由A的路由表中添加一條向主機發送數據的路由信息。
    靜態路由具有以下特點:
    (1) 手動配置。靜態路由需要網絡管理員根據實際需要逐條手工配置,路由器不會自動生成所需的靜態路由。靜態路由中包括目的節點或目的網絡的IP地址,還可以包括下一跳IP地址(通常是下一個路由器與本地路由器連接的接口IP地址),以及在本路由器上使用該靜態路由時的數據包出接口等。
    (2) 路由路徑相對固定。因為靜態路由是手工配置的、靜態的,所以每個配置的靜態路由在本地路由器上的路徑基本上是不變的,除非由網絡管理員自己修改。另外,當網絡的拓撲結構或鏈路的狀態發生變化時,這些靜態路由也不能自動修改,需要網絡管理員手工修改路由表中相關的靜態路由信息。
    (3) 不可通告性。靜態路由信息在默認情況下是私有的,不會通告給其他路由器,也就是當在一個路由器上配置了某條靜態路由時,它不會被通告到網絡中相連的其他路由器上。但網絡管理員還是可以通過重發布靜態路由為其他動態路由,使得網絡中其他路由器也可獲得此靜態路由。
    (4) 單向性。靜態路由具有單向性,也就是它僅允許數據包沿著下一跳的方向進行路由,不提供反向路由。所以如果你使源節點與目的節點或網絡進行雙向通信,就必須同時配置回程靜態路由。如果配置了到達某節點的靜態路由,仍然ping不通目的地址,其中一個重要原因就是沒有配置回程靜態路由。
    3.4.2默認路由
    為避免分別為所有可能的目的網絡設置靜態路由條目,可以用默認路由對在路由表中找不到相應目的地址的數據包進行轉發。在一些拓撲結構中,設備沒有必要獲得所有具體的網絡信息,在這種情況下,默認路由可以限度地發揮作用。例如在末節網絡中或隻有單一路徑與外部網絡相連的時候,默認路由就是一條靜態路由,配置默認路由和配置靜態路由的方法一樣,都要使用route命令,默認路由常常指向外部網絡或外部接口。
    默認路由(default route)是一種特殊的靜態路由,當路由表中與包的目的地址之間沒有匹配的表項時,路由器能夠使用默認路由。如果沒有默認路由,那麼目的地址在路由表中沒有匹配表項的包將被丟棄。當設置了默認路由後,如果IP數據包中的目的地址在路由表中找不到路由時,路由器會選擇默認路由。
    默認路由為0.0.0.0,匹配IP地址時,0表示通配符,任何值都是可以的,所以0.0.0.0和任何目的地址匹配都會成功,實現默認路由要求的效果。
    默認路由的配置和靜態路由是一樣的,不過要將目的IP地址和子網掩碼改成0.0.0.0和0.0.0.0。
    如圖321所示,網絡2隻有一個到公網的出口,就是路由器B。於是可以通過配置默認路由使得從網絡2 內可以訪問網絡1內的所有IP地址,而不必逐個配置靜態路由。當主機172.16.1.0發送數據包的目的地址不在路由表裡時,就會使用默認路由B。默認路由B把目的IP地址和子網掩碼改成0.0.0.0和0.0.0.0,這樣就可以通過默認路由連接到網絡1中的目的地址。
    圖321默認路由轉發過程
    當數據包到達了一個知道如何到達目的地址的路由器時,這個路由器就會根據長匹配原則來選擇有效的路由。子網掩碼匹配目的IP地址而且位數多的網絡會被選擇。
    默認路由在某些時候非常有效,使用默認路由可以大大簡化路由器的配置,減輕路由器對路由表的維護工作量,從而降低內存和CPU的使用率,提高網絡性能。
    3.4.3動態路由
    動態路由指路由器能夠自動地建立路由表,並且能夠根據實際情況的變化適時地進行調整。如果路由更新信息表明發生了網絡拓撲變化,路由選擇軟件就會重新計算路由,發出路由的更新信息。這些信息通過各個網絡,引起各個路由器啟動其路由算法,並更新各自的路由表以動態地反映網絡拓撲變化。動態路由適用於網絡規模大、網絡拓撲復雜的情況。動態路由協議在一定程度上會占用網絡帶寬和CPU資源。
    常見的動態路由協議有RIP、RIPng、OSPF、BGP等。每種路由協議的工作方式、選路原則等都有所不同。
    1. RIP
    路由信息協議(Routing Information Protocol,RIP)作為一種較為簡單的動態路由協議有著廣泛的應用。RIP是一個應用於網關和主機之間交換路由器信息的距離矢量協議。
    RIP初是為Xerox網絡繫統的通用協議而設計的,是Internet中常用的路由協議。RIP采用距離向量算法,即路由器根據距離向量選擇路由,所以也稱為距離向量協議。路由器收集所有可到達目的地的不同路徑,並且保存到達每個目的地的少跳數的路由信息,除到達目的地的路由外,任何其他信息均予以丟棄。同時路由器也把所收集的路由信息通知相鄰的路由器,這樣,正確的路由信息就逐漸擴散到全網。RIP簡單、可靠,便於配置,但是RIP隻適用於小型的同構網絡。
    RIP使用UDP報文進行路由信息的交換,其包頭的格式如圖322所示。RIP使用跳數來衡量到達目的主機的距離,RIP認為路由器到與它直接相連的網絡的跳數為0,通過一個路由器可達的網絡的跳數為1。為限制收斂時間,RIP規定路由權取值為1~15,大於或等於16的跳數被定義為無窮大,即目的網絡或主機不可達。
    圖322RIP包頭
    2. RIPng
    考慮到RIP與IPv6的兼容性問題,IETF對現有技術進行改造,制定了IPv6下的RIP標準,即RIPng(RIP next generation)。RIPng是基於UDP的協議,並且使用端口521發送和接收數據報。RIPng報文大致可分為兩類: 選路信息報文和用於請求信息的報文。運行RIPng的路由器維持一個到所有可能目的網絡的路由表,路由器周期性地(RFC推薦為30s)向鄰居節點發送該路由器的路由表,接收方通過接收鄰居路由器的周期性通告來更新自己的路由表。RIPng的路由器工作過程如圖323所示。
    圖323RIPng的路由器工作過程
    在國際性網絡(如因特網)中,擁有很多應用於整個網絡的路由選擇協議。形成網絡的每一個自治繫統(AS)都有屬於自己的路由選擇技術,不同的自治繫統采用的路由選擇技術也不同。內部網關協議(Interior Gateway Protocol,IGP)是一種自治繫統內部的路由選擇協議。外部網關協議(Exterior Gateway Protocol,EGP)是一種用於在自治繫統之間傳輸路由選擇信息的協議。RIPng在中等規模的AS中被用作IGP協議。對於較復雜的網絡環境,RIPng不適用。
    3. OSPF
    20世紀80年代中期,RIP已不能適應大規模異構網絡的互聯,OSPF(Open Shortest Path First,開放式短路徑優先)隨之產生。它是因特網工程任務組織(IETF)的內部網關協議工作組為IP網絡而開發的一種路由協議。
    使用OSPF路由協議的路由器有責任和鄰居路由器會話,並獲悉它們的名字。每個路由器構建一個稱為鏈路狀態廣播(LinkState Advertisement,LSA)的包,該包列出了鄰居路由器的名字和到達這些鄰居路由器的開銷。LSA被傳送到所有路由器,每個路由器存儲了來自其他路由器的的LSA。每個路由器有了完整的拓撲圖後,計算出到每個目的地的路由。
    OSPF是一種基於鏈路狀態的路由協議,需要每個路由器向其同一管理域的所有其他路由器發送鏈路狀態廣播信息。在OSPF的鏈路狀態廣播中包括所有接口信息、所有的量度(metric)和其他一些變量。利用OSPF的路由器首先必須收集有關的鏈路狀態信息,並根據一定的算法計算出到每個節點的短路徑。而基於距離向量的路由協議僅向其鄰居路由器發送路由更新信息。OSPF基於路由器每一個接口指定的開銷來決定短路徑。路由的開銷是指沿著到達目的網絡的路由上所有出接口的開銷之和。OSPF的路由器工作過程如圖324所示,流入路由器A的帶寬為100Mb/s,所以此部分的開銷為cost=108/(100×106)=1;從路由器A到路由器B的帶寬也為100Mb/s,所以此部分的開銷也為cost=108/(100×106)=1;從路由器B到路由器C的帶寬為128kb/s,所以此部分的開銷為cost=108/(128×103)=781。因此,這段路徑的開銷為1+1+781=783。
    圖324OSPF的路由器工作過程
    與RIP不同,OSPF將一個自治域再劃分為區,相應地有兩種類型的路由選擇方式: 當源和目的地在同一區時,采用區內路由選擇;當源和目的地在不同區時,則采用區間路由選擇。這就大大減少了網絡開銷,並提高了網絡的穩定性。當一個區內的路由器出故障時,並不影響自治域內其他區間路由器的正常工作,這也給網絡的管理、維護帶來了方便。
    4. BGP
    BGP(Border Gateway Protocol,邊界網關協議)是為TCP/IP互聯網設計的外部網關協議,用於多個自治域之間。它既不是基於純粹的鏈路狀態算法,也不是基於純粹的距離向量算法。它的主要功能是與其他自治域的BGP交換網絡可達信息。各個自治域可以運行不同的內部網關協議。BGP更新信息包括網絡號和自治域路徑的成對信息,自治域路徑包括到達某個特定網絡需經過的自治域序列。這些更新信息通過TCP傳送出去,以保證傳輸的可靠性。
    3.4.4策略路由
    策略路由(policy route)是指在決定一個IP包的下一跳轉發地址或下一跳默認IP地址時,不是簡單地根據目的IP地址決定,而是綜合考慮多種因素。例如可以根據DSCP字段、源和目的端口號、源IP地址等來為數據包選擇路徑。策略路由可以在一定程度上實現流量工程,使不同服務質量的流或者不同性質的數據(語音、FTP)走不同的路徑。
    策略路由由以下兩部分組成:
    (1) 匹配條件。用於區分將要應用策略路由的流量。匹配條件包括報文源IP地址、目的IP地址、協議類型、應用類型等,不同的防火牆可以設置的匹配條件略有不同。在一條策略路由規則中可以包含多個匹配條件,各匹配條件之間是“與”的關繫,報文必須同時滿足所有匹配條件,纔可以執行後續定義的動作。
    (2) 動作。對符合匹配條件的流量采取的動作,包括指定出接口和下一跳。
    當有多條策略路由規則時,防火牆會按照匹配順序,先尋找條規則,如果滿足條規則的匹配條件,則按照其指定動作處理報文;否則會尋找下一條策略路由規則。如果所有的策略路由規則的匹配條件都無法滿足,報文按照路由表進行轉發。策略路由的匹配是在報文查找路由表之前完成的,也就是說策略路由比路由表中的路由的優先級高。策略路由工作流程如圖325所示。
    圖325策略路由工作流程
    策略路由根據一定的策略進行報文轉發,因此它是一種比目的路由更靈活的路由機制。在路由器轉發一個數據報文時,首先根據配置的規則對報文進行過濾,匹配成功則按照一定的轉發策略進行報文轉發。這種規則可以基於標準和擴展訪問控制列表,也可以基於報文的長度。而轉發策略則是控制報文按照指定的策略路由表進行轉發,也可以修改報文的IP優先字段。因此,策略路由是對傳統IP路由機制的有效增強。
    策略路由能滿足基於源IP地址、目的IP址、協議字段甚至TCP和UDP的源、目的端口等多種組合進行選路。使用策略路由的管理人員可以根據它提供的機制指定一個報文采取的具體路徑。策略路由工作原理如圖326所示。
    圖326策略路由工作原理
    策略路由按報文類型可以分為兩種: 單播策略路由,即隻針對單播報文進行控制;多播策略路由,即隻對多播報文進行控制。策略路由按報文分類的工作過程如圖327所示。
    圖327策略路由按報文分類的工作過程
    策略路由既可以應用於轉發的報文,此種應用稱為接口策略路由;又可以應用於路由器本地產生的報文,此種路由稱為本地策略路由。接口策略路由隻對轉發的報文起作用,對本地產生的報文(比如本地的ping報文)不起作用;而本地策略路由隻對本地產生的報文起作用,對轉發的報文不起作用。
    策略路由具有以下優點:

















     
    網友評論  我們期待著您對此商品發表評論
     
    相關商品
    在線留言 商品價格為新臺幣
    關於我們 送貨時間 安全付款 會員登入 加入會員 我的帳戶 網站聯盟
    DVD 連續劇 Copyright © 2024, Digital 了得網 Co., Ltd.
    返回頂部