网络及其网络安全培训课件

SOCSOC网络基础网络基础福建富士通网安培训教材福建富士通网安培训教材21234目目录录5673VLAN原理原理VLANVLAN概述概述 VLAN是虚拟局域网（Virtual Local Area Network）的简称，它是在一个物理网络上划分出来的逻辑网络。VLAN的划分不受网络端口的实际物理位置的限制。VLAN除了没有物理位置的限制，它和普通局域网一样。二层的单播、广播和多播帧在不同的VLAN之间隔离。所以，如果一个端口所连接的主机想要和其它VLAN的主机通讯，则必须通过一个三层设备。如下图所示：4VLANVLAN作用作用隔离广播隔离广播方便管理方便管理提高安全性提高安全性VLAN原理原理5VLANVLAN划分划分基于基于子网子网基于协议基于基于端口端口基于基于MACMAC地址地址VLANVLAN划分方式划分方式VLAN原理原理针对交换机的端针对交换机的端口进行口进行VLANVLAN的划的划分分,不受接入主机不受接入主机变化的影响变化的影响在一个物理网络在一个物理网络中针对不同的网中针对不同的网络层协议进行络层协议进行VLANVLAN的划分的划分基于主机的基于主机的MACMAC地址进地址进行行VLANVLAN划分，主机可划分，主机可以任意在网络移动而以任意在网络移动而不需要重新划分不需要重新划分针对不同的用户分配不针对不同的用户分配不同子网的同子网的IPIP地址，从而地址，从而隔离用户主机，一般情隔离用户主机，一般情况下结合基于端口的况下结合基于端口的VLANVLAN进行应用进行应用6按业务规划按业务规划按部门规划按部门规划可分为工程部、市场部、财务部等可分为工程部、市场部、财务部等按地理位置规划按地理位置规划按应用规划按应用规划VLANVLAN规划原则规划原则VLAN原理原理7VLANVLAN成员口模式成员口模式AccessAccess口口一个一个TrunkTrunk口，它可以属于多个口，它可以属于多个VLANVLAN，能，能够转发带不同够转发带不同VLANVLAN标签的帧。可通过设置标签的帧。可通过设置许可许可VLANVLAN列表来控制带许可列表来控制带许可VLANVLAN标签的帧标签的帧通过。通过。一个一个AccessAccess端口，只能属于一个端口，只能属于一个VLANVLAN，并且，并且是通过手工设置指定是通过手工设置指定VLANVLAN的。的。TrunkTrunk口口VLAN原理原理8端口类型端口类型收发收发处理描述处理描述Access收帧判断帧是否带VLAN标签：如果不带则封装Access口的PVID，如果有则判断该帧的VLAN标签是否和Access口的PVID相同，如果相同，则接收，否则丢弃。发帧将帧的VLAN标签剥离后，直接发送。Trunk收帧判断帧是否带VLAN标签：如果不带则封装端口的PVID，如果有则判断Trunk口是否允许带该VLAN标签的帧进入，如果允许则接收，否则丢弃。发帧判断Tunk端口是否允许带该VLAN标签的数据转发，如果允许则比较该帧的VLAN标签是否和Trunk口的PVID相同，如果相同则剥离帧的VLAN标签后转发，如果不相同则带着VLAN标签在链路转发。如果Trunk口不允许带该VLAN标签的数据转发，则丢弃该帧。端口对数据帧的处理端口对数据帧的处理VLAN原理原理9VLANVLAN之间通信之间通信 VLAN是建立在物理网络基础上的一种逻辑子网，因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时，需要三层中继功能，既可采用路由器，也可采用三层交换机来完成。三层交换三层交换单臂路由单臂路由VLANVLAN之间路之间路由的方法由的方法VLAN原理原理路由口，子接口封装路由口，子接口封装dot1q vlan单臂路由实现单臂路由实现VLANVLAN间路由间路由在路由器上为在路由器上为每个每个VLANVLAN创建创建一个一个路由口的路由口的子接口子接口每个子接口配每个子接口配置置IPIP地址，作地址，作为对应为对应VLANVLAN内内主机的网关主机的网关交换机上联口交换机上联口配置为配置为TrunkTrunk交换机和子接交换机和子接口间交互口间交互802.1Q802.1Q帧192.168.1.0/24VLAN10192.168.2.0/24VLAN20Gi2/0.10Gi2/0.2010VLAN原理原理三层交换机实现三层交换机实现VLANVLAN间路由间路由在三层交换机在三层交换机分别创建每个分别创建每个VLANVLAN的的SVISVI接接口口在每个在每个SVISVI上上配置配置IPIP地址，地址，作为对应作为对应VLANVLAN内主机的网关内主机的网关在三层交换上在三层交换上利用路由功能利用路由功能解决解决VLANVLAN间通间通信信三层交换机和三层交换机和二层交换机通二层交换机通过过trunktrunk链路链路相连相连192.168.1.0/24VLAN10192.168.2.0/24VLAN20192.168.3.0/24VLAN30192.168.4.0/24VLAN40SVI10：192.168.1.1/24SVI20：192.168.2.1/24SVI30：192.168.3.1/24SVI40：192.168.4.1/2411Trunk口，端口属于口，端口属于VLAN10和和20Trunk口，端口属于口，端口属于VLAN30和和40VLAN原理原理12以太网帧格式以太网帧格式DADASASATypeTypeDataDataCRCCRC标准以太网帧标准以太网帧DADASASATypeTypeDataDataCRCCRCtagtagTPIDTPIDPriorityPriority CFICFI VLANVLAN IDIDTCITCI带有带有IEEE802.1Q标记标记的以太网帧的以太网帧VLAN原理原理13VLANVLAN标签标签作用作用TPID(Tag Protocol Identifier)IEEE定义的类型，共16位，取值为0 x8100时表示802.1Q Tag帧。Priority这3位指明帧的优先级，一共有8种优先级，07，用于QOS。Canonical Format Indicator(CFI)值为0说明是规范格式，为1是非规范格式。在以太网交换机中，规范格式指示器总是被设置为0。由于兼容特性，CFI 常用于以太网类型网络和令牌环类型网络。VLAN Identified(VLAN ID)这12位的域，指明VLAN的ID，共有4096个VLAN。VLANVLAN标签格式说明标签格式说明VLAN原理原理14802.1q VLAN802.1q VLAN原理示意图原理示意图HOST AHOST AHOST BHOST BVLAN原理原理正常以正常以太网帧太网帧802.1Q802.1Q帧帧TrunkTrunk正常以正常以太网帧太网帧accessaccessaccessaccess802.1Q802.1Q帧帧SW1SW1SW2SW215802.1q802.1q处理过程处理过程 VLAN原理原理16活跃的拓扑增强活跃的拓扑增强 这一步是根据端口的状态来确定帧可不可以被转发，哪些端口有转发的可能。主要有四点规则：VLAN原理原理接收帧的端口处于生成树的转发状态，才有可能转发帧接收帧的端口处于生成树的转发状态，才有可能转发帧发送帧的端口处于生成树的转发状态，才有可能转发帧发送帧的端口处于生成树的转发状态，才有可能转发帧接收帧端口和发送帧端口不可能是同一个端口接收帧端口和发送帧端口不可能是同一个端口入口规则检查入口规则检查17VLAN原理原理18帧过滤规则帧过滤规则VLAN原理原理19根据过滤数据库信息对帧进行过滤。根据过滤数据库信息对帧进行过滤。根据目的根据目的macmac地址和地址和vidvid值来查过滤数据库表，确定帧要被转发到哪些端值来查过滤数据库表，确定帧要被转发到哪些端口中去。口中去。如果帧是广播帧，就广播出去如果帧是广播帧，就广播出去如果是多播帧，按组播地址进行转发如果是多播帧，按组播地址进行转发如果是未知名单播帧，就泛洪如果是未知名单播帧，就泛洪如果是知名单播帧，转发到特定端口如果是知名单播帧，转发到特定端口过滤数据库过滤数据库的规则的规则VLAN原理原理20出口规则出口规则VLAN原理原理21 流分类和计量流分类和计量 流分类明确地识别具有相同处理帧的子集，流分类规则可根据：目的MAC地址VLAN ID优先级帧长 帧排队帧排队 转发进程为排队的帧提供存储，等待机会传输，在同一端口应当保 存：单播帧VID，优先级，目的地址和源地址的组合组播帧VID，优先级，目的地址 队列管理队列管理 确定哪些帧将从队列中移除，不被传输传输选择传输选择 默认采用算法是，先传输优先级别高的帧，再传输级别低的。对于 同一优先级的帧，采用先来先传输的原则VLAN原理原理22SOCSOC网络中的网络中的VLANVLAN划分划分 为配合安全域划分，进行数据互访控制以及隔离广播风暴等，SOC平台实施VLAN划分，各省根据互访隔离需求，将有着相同安全需求的服务器的划分到同一VLAN。各省SOC平台工程建议采用基于端口的VLAN划分方法。VLAN原理原理2323思考回顾思考回顾根据802.1q原理思考为什么服务器双网卡绑定在SOC拓扑模型中不可以采用负载均衡模式？什么组网模型下服务器双网卡绑定可以采用负载均衡模式？根据802.1q原理，分析如下两台服务器是否可以通信？为什么？VLAN原理原理241234目目录录567路由原理及静态路由路由原理及静态路由路由器作用路由器作用实现不同子网互连路由寻址，数据转发25路由原理及静态路由路由原理及静态路由路由即数据包从一个子网转发到另一个子网路由即数据包从一个子网转发到另一个子网使用路由协议传送IP路由信息或静态指定路由信息基于IP包的目标地址进行数据转发IP包每经过一个路由器都需要进行路由表的查询26HOST A192.168.1.010.10.1.0HOST B将数据包转发到正确的目的地，将数据包转发到正确的目的地，并在转发过程中选择最佳路径并在转发过程中选择最佳路径26R1R2R3R4直直连路由连路由通过接口感知到的直连网络；接口配置IP，该接口的物理层和数据链路层UP路由原理及静态路由路由原理及静态路由路由表路由表路由表路由表网段网段网段网段接口接口接口接口f0/0f0/0f0/1f0/1 172.16.20.0/24 101.1.1.0/30172.16.20.1/24f0/0f0/120.0.0.0/8101.1.1.1/3027101.1.1.2/30Internet静态路由静态路由使用静态路由命令手工配置，是单向的。配置简单，可靠，网络安全保密性高，灵活性差。路由原理及静态路由路由原理及静态路由28S0S0192.168.1.0/24AB192.168.2.2192.168.2.1目的地为目的地为192.168.1.0192.168.1.0时，需将数据包时，需将数据包转发给转发给防火墙防火墙B B的的192.168.2.1192.168.2.1的接口的接口B默认路由默认路由在没有找到匹配的路由表条目时才使用的路由。即只有当没有合适的路由时，缺省路由才被使用。默认路由在网络中是非常有用的路由。默认路由并不一定都是手工配置的静态路由。路由原理及静态路由路由原理及静态路由29S0S0192.168.1.0/24AB192.168.2.2192.168.2.1目的地为目的地为ANYANY时，可将数据包转发给时，可将数据包转发给路路由器由器A A的的192.168.2.2192.168.2.2的接口的接口B浮动静态路由浮动静态路由浮动静态路由就是配置去往同一目的网络的多条静态路由，它们有不同的路由优先级。链路冗余备份作用，优先级高的为主。路由原理及静态路由路由原理及静态路由30S0S0192.168.1.0/24AB首选优先级高的路由条目对应的端口，当此主链路首选优先级高的路由条目对应的端口，当此主链路出现故障时选择次低优先级的路由条目进行转发出现故障时选择次低优先级的路由条目进行转发S1S1B动态路由动态路由适应网络变化，动态计算路由。每台网络设备都将已知的路由相关信息发给相邻的设备。动态路由协议有RIP、OSPF、IS-IS、IGRP、EIGRP、BGP路由原理及静态路由路由原理及静态路由31S0S0192.168.1.0/24AB防火墙防火墙B B通过路由协议将已通过路由协议将已知路由信息通告给路由器知路由信息通告给路由器A AS1S1路由器路由器A A通过路由协议将已通过路由协议将已知路由信息通告给防火墙知路由信息通告给防火墙B B目的目的地址地址下一跳下一跳地址地址网络网络掩码掩码出接口出接口 路由表路由表主要内容主要内容用来标识用来标识IPIP包的包的目的地址或目的目的地址或目的网络网络和目的地址一起来和目的地址一起来标识目的主机或路标识目的主机或路由器所在的网段的由器所在的网段的地址地址去往目的地址或目去往目的地址或目的网络的设备的下的网络的设备的下一个一个IPIP地址地址说明说明IPIP包将从该路由器包将从该路由器哪个接口转发哪个接口转发路由原理及静态路由路由原理及静态路由32路由表主要内容路由表主要内容路由原理及静态路由路由原理及静态路由路由器转发数据包的封装过程路由器转发数据包的封装过程Host AHost BABE0E1E0E1192.168.1.2/2400-11-12-21-11-11192.168.1.1/2400-11-12-21-22-2210.1.1.1/800-11-12-21-33-3310.1.1.2/800-11-12-21-44-44192.168.2.1/2400-11-12-21-55-55192.168.2.2/2400-11-12-21-66-6600-11-12-21-55-5500-11-12-21-66-66SA:192.168.1.2/24DA:192.168.2.2/2400-11-12-21-33-3300-11-12-21-44-44SA:192.168.1.2/24DA:192.168.2.2/2400-11-12-21-22-2200-11-12-21-11-11SA:192.168.1.2/24DA:192.168.2.2/243334ARP数据包结构数据包结构路由原理及静态路由路由原理及静态路由35路由原理及静态路由路由原理及静态路由IP数据包结构数据包结构源、目的主机源、目的主机是否同一子网是否同一子网解析网关解析网关/下一跳下一跳MACMAC解析目的主机解析目的主机MACMACY YESESN NO O源主机源主机要发送要发送IPIP包包ARPARP缓存中缓存中是否有是否有IP-IP-MACMAC条目条目N NO OY YESES发送发送ARPARP请求并在请求并在本地建立临时条目本地建立临时条目根据接收的根据接收的ARPARP报文建立报文建立IP-MACIP-MAC映射条目映射条目根据根据ARPARP表中表中IP-MACIP-MAC映射条目封装成帧发送映射条目封装成帧发送路由原理及静态路由路由原理及静态路由ARP地址解析过程地址解析过程36NONOYESYESNONO报文封装报文封装 YESYES查找路由匹配查找路由匹配下一跳是否在下一跳是否在直连链路上直连链路上IPIP数据包入站数据包入站以下一跳作以下一跳作为目的地址为目的地址送往接口送往接口转发转发路由原理及静态路由路由原理及静态路由路由选路过程路由选路过程37 是否存在默认路由是否存在默认路由丢弃丢弃YESYESNONO路由原理及静态路由路由原理及静态路由路由决策原则路由决策原则38最长匹配原则最长匹配原则路由管理距离路由管理距离路由度量值路由度量值指IP网络中当路由表中有多条条目可以匹配目的ip时，采用掩码最长的一条作为匹配项并确定下一跳。如果目的IP地址的掩码长度一样，则比较管理距离，管理距离越小，路由越优先。如果目的IP地址的掩码长度一样，管理距离也一样，则比较度量值，度量值越小，路由越优先。路由原理及静态路由路由原理及静态路由39静态路由一般配置步骤静态路由一般配置步骤为路由器每个接口配置为路由器每个接口配置IPIP地址地址 确定本路由器有哪些直连网段的路由信息确定本路由器有哪些直连网段的路由信息 确定网络中有哪些属于本路由器的非直连网段确定网络中有哪些属于本路由器的非直连网段添 添添加本路由器的非直连网段相关的路由信息加本路由器的非直连网段相关的路由信息404040思考回顾思考回顾路由器功能，路由概念？路由选路过程，路由决策原则？ARP解析过程？思考以下网络配置是否可通？为什么？路由原理及静态路由路由原理及静态路由RT1RT1RT2RT2RT3RT3PC1PC1PC2PC2Fa0/1Fa0/1Fa0/2Fa0/2Fa0/1Fa0/1Fa0/2Fa0/2Fa0/1Fa0/1Fa0/2Fa0/210.1.1.1/2410.1.1.1/2410.1.1.254/2410.1.1.254/2420.1.1.1/3020.1.1.1/3020.1.1.2/3020.1.1.2/3030.1.1.1/3030.1.1.1/3030.1.1.2/3030.1.1.2/3040.1.1.254/2440.1.1.254/2440.1.1.1/2440.1.1.1/24RT1路由配置：路由配置：Ip route 0.0.0.0 0.0.0.0 fa0/2RT2路由配置：路由配置：Ip route 10.1.1.0 255.255.255.0 20.1.1.1Ip route 40.1.1.1 255.255.255.0 30.1.1.2配置：配置：Ip route 10.1.1.0 255.255.2550 fa0/2411234目目录录56742VRRP协议协议VRRP(Virtual Router Redundancy Protocol，虚拟路由，虚拟路由器冗余协议器冗余协议)用于动态的从一组用于动态的从一组VRRP路由器中选举一个主路由器中选举一个主路由器，并关联到一个虚拟路由器，做为所连接网段的默路由器，并关联到一个虚拟路由器，做为所连接网段的默认网关。认网关。VRRP是一种容错协议，在提高可靠性的同时，简化了主机是一种容错协议，在提高可靠性的同时，简化了主机的配置。的配置。172.16.1.1/2442HOST AHOST BHOST C172.16.1.2/24172.16.1.3/24Virtual IP:172.16.1.254/24Internet主主备备主主在在3个周期内没收到主个周期内没收到主设备的通告报文设备的通告报文43VRRP协议协议43VRRP路由器路由器是指运行VRRP的路由器，是物理实体虚拟路由器虚拟路由器是指VRRP协议创建的，是逻辑概念主控路由器和备份主控路由器和备份路由器路由器一个VRRP组中有且只有一台处于主控角色的路由器，可以有一个或者多个处于备份角色的路由器VRRP协议使用选择策略从路由器组中选出一台作为主控，负责ARP响应和转发IP数据包，组中的其它路由器作为备份的角色处于待命状态。VRRP报文报文VRRP控制报文只有一种：VRRP通告（advertisement)。它使用IP多播数据包进行封装，组地址为224.0.0.18，该地址只在本地链路有效，不可被路由。VRRP报文的TTL值必须为255，路由器应当丢弃TTL值不为255的VRRP报文。协议号为0 x70。44VRRP协议协议44VRRP抢占模式抢占模式在VRRP抢占模式下，如果Backup的优先级比当前Master的优先级高，将主动将自己升级成Master。在VRRP非抢占模式下，即便Backup的优先级高于当前Master的优先级，也不会升级成Master，除非当前Master故障。优先级取值范围为1254。如果VRRP虚拟IP地址与接口IP地址一致，其优先级就为255，此时无论VRRP是否处于抢占模式，对应的VRRP组都会自动处于Master状态。VRRP选举选举VRRP协议采用简单竞选的方法选择主设备。首先比较同一个VRRP组内的各台设备对应接口上设置的VRRP优先级的大小，优先级最大的为主路由设备。若优先级相同，则比较对应网络接口的IP地址大小，IP地址大的为主路由设备。VRRP协议协议VRRP协议数据包格式协议数据包格式454600005E0001VRID虚拟路由器的虚拟路由器的MAC地址的最后一个地址的最后一个字节是该虚拟路由器的字节是该虚拟路由器的VRIDVRRP协议协议虚拟路由器的虚拟路由器的MAC地址地址INITIALIZEMASTERBACKUPVRRP协议协议VRRP状态机状态机收到收到shutdown消息消息收到收到startdup消息，且优先级是消息，且优先级是255收到一个比本地优先级大的收到一个比本地优先级大的VRRP包包MASTER_DOWN_TIMER超时超时收到收到startup消息，且优先级小于消息，且优先级小于255收到收到shutdown消息消息474848VRRP协议协议48Initialize状态状态系统启动后进入此状态，当收到接口startup的消息，将转入Backup（优先级不为255时)或Master状态(优先级为255时)。在此状态时，路由器不会对VRRP报文做任何处理。InternetRouter in Initial State 115.239.148.2/27Router in Initial State 115.239.148.3/27Virtual Router 115.239.148.1/274949VRRP协议协议49Master状态状态定期发送VRRP组播报文，发送免费（gratuitous）ARP报文响应对虚拟IP地址的ARP请求，并且响应的是虚拟MAC地址，而不是接口的真实MAC地址。转发目的MAC地址为虚拟MAC地址的IP报文 在Master状态中只有接收到比自己的优先级大的VRRP报文时，才会转为Backup。只有当接收到接口的Shutdown事件时才会转为Initialize。InternetRouter in Master State 115.239.148.2/27Router in Backup State 115.239.148.3/27Virtual Router 115.239.148.1/2750VRRP协议协议50Backup状态状态接收Master发送的VRRP报文，从中了解Master的状态响应对虚拟IP地址的ARP请求，不做响应丢弃目的MAC地址为虚拟MAC地址的IP报文丢弃目的IP地址为虚拟IP地址的IP报文InternetRouter in Master State 115.239.148.2/27Router in Backup State 115.239.148.3/27Virtual Router 115.239.148.1/2751VRRP协议协议HOST A192.168.1.110.10.1.1HOST BVRRP监测功能监测功能根据上行链路的状态，改变路由器的优先级。当上行链路出现故障，局域网内的主机无法通过路由器访问外部网络时，被监视 Track 项的状态为 Negative，并将路由器的优先级降低指定的数额。从而，使得备份组内其它路由器的优先级高于这个路由器的优先级，成为 Master路由器，保证局域网内主机与外部网络的通信不会中断。在 Backup路由器上监视 Master路由器的状态。当 Master路由器出现故障时，工作在切换模式的 Backup路由器能够迅速成为 Master路由器，以保证通信不会中断。RT A 主主RT B 备备结合结合SOC网络思考何时网络思考何时需要使用需要使用VRRP监测功监测功能，何时不需要？能，何时不需要？52VRRP协议协议VRRP在在SOC工程中的应用工程中的应用 VRRP+VRRP端口监测+路由子接口或路由口 VRRP+动态路由+路由子接口或路由口 VRRP+SVI口+STP VRRP+MPLS L2VPN+VPN三层虚接口+路由 53PC1PC1VRRP协议协议RT1RT2SW1SW2SWRT1SWRT2思考回顾思考回顾VRRP怎么选举主路由器？VRRP工作过程？根据下图，SWRT和RT之间链路备份有何方案？541234目目录录56755两个安全域之间通两个安全域之间通信流的唯一通道信流的唯一通道安全域安全域1Host A Host B 安全域安全域2Host C Host D 防火墙原理防火墙原理防火防火墙基本概念墙基本概念一种高级访问控制设备，置于不同网络安全域之间，它通过相关的安全策略来控制（允许、拒绝、监视、记录）进出网络的访问行为。UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolActionSource根据安全策略规则决定进根据安全策略规则决定进出网络的行为出网络的行为56防火墙原理防火墙原理防火墙主要作用防火墙主要作用强化网络安全策略有效的记录及监控网络间的通迅活动防止内部使用者不当的使用网络防止来自非信任网络的非法访问位于信任网络与非信任之间的系统，避免信任网络直接暴露在外面Host A Host B 防火墙内部网络防火墙内部网络Host C Host D 防火墙外部网络防火墙外部网络57防火墙原理防火墙原理防火墙工作模式防火墙工作模式透明模式：也称“交换模式”或“网桥模式”，在该模式下防火墙的类似二层的交换设备。防火墙的物理接口上不需配IP，只需在网桥的桥接口上配个的用于管理的IP。该模式一般用于相同网段的网络之该模式一般用于相同网段的网络之间的隔离，不用配置业务间的隔离，不用配置业务IP，只需，只需要配置管理要配置管理IP。10.1.1.1/810.1.1.2/8处于同一广播域中处于同一广播域中58防火墙原理防火墙原理防火墙工作模式防火墙工作模式路由模式：该模式下防火墙类似三层的路由设备，能够实现不同网段之间的路由转发和NAT等功能。用于不同网段的不同网络之间的隔用于不同网段的不同网络之间的隔离，提供路由功能。离，提供路由功能。10.1.1.1/8Internet10.1.1.2/8115.239.148.0/30处于同一广播域中处于同一广播域中59防火墙原理防火墙原理防火墙工作模式防火墙工作模式混合模式：透明模式和路由模式的结合，防火墙有的接口加入网桥，再把网桥接口与其它接口实现路由转发。网络结构较为复杂的特殊环境网络结构较为复杂的特殊环境,既有既有相同网段也有不同网段的网络环境。相同网段也有不同网段的网络环境。10.1.1.1/810.1.1.2/8Internet115.239.148.0/30处于同一广播域中处于同一广播域中处于不同广播域中处于不同广播域中60防火墙原理防火墙原理防火墙安全域防火墙安全域安全区域是防火墙区别于普通网络设备的基本特征之一。以接口为边界，将业务划分成若干区域，防火墙的安全策略在区域或者区域之间下发。以接口为边界进以接口为边界进行安全域划分行安全域划分UNTRUST区域区域TRUST区域区域DMZ区域区域61防火墙原理防火墙原理防火墙流和回话防火墙流和回话流：是一个单方向的概念，根据报文所携带的三元组或者五元组唯一标识。根据IP层协议的不同，流分为四大类：TCP流：通过五元组唯一标识UDP流：通过五元组唯一标识ICMP流：通过三元组+ICMP type+ICMP code唯一标识RAW IP流：不属于上述协议的，通过三元组标识回话：以一个双向的概念，一个会话通常关联两个方向的流，一个为会话发起方（Initiator），另外一个为会话响应方（Responder）。通过会话所属的任一方向的流特征都可以唯一确定该会话，以及方向。路由器是基于路由表来转发数据，路由器是基于路由表来转发数据，而防火墙是基于会话表来转发数据而防火墙是基于会话表来转发数据62防火墙原理防火墙原理地址转换地址转换NAT功能功能网络地址转换（Network Address Translation）简称为NAT，是将IP数据包包头中的IP地址转换为另一个IP地址。隐藏了内部网络的结构内部网络可以使用私有IP地址公网地址不足的网络可以使用这种方式提供IP复用功能InternetInternet202.102.93.54Host AHost B 192.168.1.24Eth2：192.168.1.23Eth0：101.211.23.1数据数据IP报头报头数据数据IP报头报头源地址：源地址：192.168.1.24目地址：目地址：202.102.93.54源地址：源地址：101.211.23.1目地址：目地址：202.102.93.54101.211.23.26363防火墙原理防火墙原理防火墙防火墙SNAT转换转换10.1.1.1/8Internet10.1.1.2/8115.239.148.1/30HOST BHOST A125.29.18.10/24125.29.18.1010.1.1.1:3678125.29.18.1010.1.1.2:5536115.239.148.1:1025125.29.18.10115.239.148.1:1026125.29.18.10125.29.18.10 10.1.1.1125.29.18.10 10.1.1.2 115.239.148.5125.29.18.10 115.239.148.6125.29.18.10 SNAT动态端口动态端口 SNAT 静态静态 SA DA SA DA SA DA SA DA6464防火墙原理防火墙原理防火墙防火墙DNAT转换转换10.1.1.1/8Internet10.1.1.2/8115.239.148.1/30HOST BHOST A125.29.18.10/24 10.1.1.1:22 125.29.18.10 10.1.1.2:80 125.29.18.10125.29.18.10135.19.38.10:22125.29.18.10135.19.38.10:80 10.1.1.1 125.29.18.10 10.1.1.2 125.29.18.10125.29.18.10 135.19.38.11125.29.18.10 135.19.38.12 DNAT端口映射端口映射 DNAT IP映射映射 SA DA SA DA SA DA SA DA65防火墙原理防火墙原理防火墙安全策略防火墙安全策略策略是网络安全设备的基本功能。默认情况下，安全设备会拒绝设备上所有安全域之间的信息传输。而策略则通过策略规则(Policy Rule)决定从一个安全域到另一个安全域的哪些流量该被允许，哪些流量该被拒绝。哪些网络流量允许通过。哪些网络流量允许通过。10.1.1.1/8Internet10.1.1.2/8115.239.148.0/30ANYBlockInternetHost BTCPPassInternetHost ADestinationProtocolActionSourceHOST BHOST A66防火墙原理防火墙原理防火墙防火墙SCVPN为解决远程用户安全访问私网数据的问题，安全网关提供基于 SSL 的远程登录解决方案Secure Connect VPN，简称为 SCVPN。SCVPN 功能可以通过简单易用的方法实现信息的远程连通。Internet内网网段：172.16.20.0/24SSL VPN隧道Eth1:222.1.1.2/24Zone:untrustEth0:172.16.20.1/24Zone:trust外网网关：222.1.1.1外网用户通过外网用户通过Internet使用使用SSL VPN接入内网接入内网67防火墙原理防火墙原理外网或者不信任域外网或者不信任域内部网络内部网络Eth0Eth0Eth1Eth1Eth2Eth2心跳线心跳线Active FWStandby FW检测检测Active Firewall的状态的状态发现出故障，立即接管其工作发现出故障，立即接管其工作 正常情况下由正常情况下由主防火墙工作主防火墙工作主防火墙出故障以主防火墙出故障以后，接管它的工作后，接管它的工作高可用性高可用性-双机热备功能双机热备功能68防火墙原理防火墙原理防火墙基本转发流程防火墙基本转发流程数据流入口数据流入口是否找到是否找到已有回话已有回话直接转发直接转发YESYESNONO路由是否可达路由是否可达NONO直接丢弃直接丢弃YESYES策略是否策略是否允许通过允许通过NONOYESYES创建回话并转发创建回话并转发防火墙原理防火墙原理69数据转发基本过程数据转发基本过程70PC1PC1FW1FW2SW1SW2SWRT1SWRT2思考回顾思考回顾简述防火墙基本转发流程？简述防火墙基本转发流程？简述简述SNATSNAT和和DNATDNAT的区别？的区别？根据下图，根据下图，SWRTSWRT和和FWFW之间链路备份有何方案？之间链路备份有何方案？防火墙原理防火墙原理711234目目录录56772用户用户投诉！投诉！用户满意用户满意度下降度下降找不到攻找不到攻击源呀击源呀未能掌握未能掌握流量分布流量分布和变化！和变化！DDoSDDoS攻击和暴力攻击等不定期经常发生攻击和暴力攻击等不定期经常发生造成局部瘫痪或服务质量严重下降造成局部瘫痪或服务质量严重下降无法找到攻击者，攻击将长期存在无法找到攻击者，攻击将长期存在未能掌握整网流量分布和变化情况未能掌握整网流量分布和变化情况未能提供未能提供个性报表个性报表，分析网络流量情况，分析网络流量情况异常流量监控异常流量监控为什么需要异常流量监控为什么需要异常流量监控73异常流量监控异常流量监控异常流量监控系统简述异常流量监控系统简述 异常流量监控系统是一款具有功能强大的流量流向分析以及异常流量检测的系统，通过对网络流量信息和系统信息的收集，提供了智能型的流量检测、分析、实时监控等，能够检测网络中DoS/DDoS攻击、蠕虫病毒及其他网络异常事件，能够迅速且准确地分类出各类网络流量，做出恰当的分析，并自动产生各类相关的内建流量报表。数据流量数据流量异常流量监控系统异常流量监控系统基于流量基于流量镜像协议镜像协议分析分析基于基于SNMPSNMP的流量监的流量监测技术测技术基于硬件基于硬件探针的监探针的监测技术测技术基于基于NetFlowNetFlow的流量分的流量分析技术析技术 异常流量监控异常流量监控74流量检测技术流量检测技术流量检测流量检测 技术技术75异常流量监控异常流量监控数据流数据流启用启用NetFlowNetFlow的路由器的路由器NetFlowNetFlow定义定义 NetFlow是是由7个关键字段标识单方向的连接，Netflow流量信息采集是基于网络设备提供的Netflow机制实现的网络流量信息采集，在此基础上实现的流量信息采集效率和效果均能够满足网络流量监测的需求。1.Source Address2.Destination Address3.Source Port4.Destination Port5.Layer 3 Protocol6.TOS Byte(DSCP)7.Input InterfaceUDP NetFlowUDP NetFlow76异常流量监控异常流量监控NetFlow处理流程处理流程预处理预处理对不同类型数据流进行区分和准确计量后处理l数据包抽样数据包抽样l过滤过滤lIP Ingress&EgressIP Ingress&EgresslMulticastMulticastlMPLSMPLSlIpv6Ipv6l统计数据自动汇聚统计数据自动汇聚l输出输出预处理阶段：预处理阶段：NetFlow首先对特定级别的数据流进行过滤或对高速网络端口进行数据包抽样。后处理阶段：后处理阶段：NetFlow可以把采集到的数据流原始统计信息全部输出，或者也可以选择由网络设备自身对原始统计信息进行多种形式的数据汇聚，只把汇总后的统计结果发送给上层管理服务器。77异常流量监控异常流量监控ClientServerRequestResponseTWO flows for ONE TCP connectionTWO flows for ONE TCP connectionClientServerContentONE flow for ONE UDP StreamONE flow for ONE UDP StreamFlow Cache Active Timeout Inactive timeoutNetFlow两个关键组件两个关键组件NetFlow CacheNetFlow CacheNetFlow ExpertNetFlow Expert 78 Source IP AddressSource IP Address Destination IP AddressDestination IP Address Next Hop AddressNext Hop Address Source AS NumberSource AS Number Dest.AS NumberDest.AS Number Source Prefix MaskSource Prefix Mask Dest.Prefix MaskDest.Prefix Mask Input Interface PortInput Interface Port Output Interface PortOutput Interface Port Type of ServiceType of Service TCP FlagsTCP Flags ProtocolProtocol Packet CountPacket Count Byte CountByte Count Start TimestampStart Timestamp End TimestampEnd Timestamp Source TCP/UDP PortSource TCP/UDP Port Destination TCP/UDP PortDestination TCP/UDP Port使用情况使用情况QoSQoS时间时间端口端口路由和邻居路由和邻居接口利用率接口利用率何去何从何去何从异常流量监控异常流量监控NetFlow数据记录数据记录79NetFlowNetFlow采样采样异常流量监控异常流量监控u确定式采样固定的确定式采样固定的 每每N N个报文采第个报文采第N N个，个，N N由用户指定。由用户指定。u随机采样则每随机采样则每N N个报文个报文 随机采其中一个，随机采其中一个，N N由由 用户指定。用户指定。u被认为是最佳的包采被认为是最佳的包采 样技术。样技术。u定时采样每定时采样每N N毫秒毫秒 采样一个包，采样一个包，N N由由 用户指定。用户指定。Deterministic Deterministic SamplingSamplingRandom Random SamplingSamplingTime based Time based SamplingSampling80异常流量分析系统部署结构异常流量监控异常流量监控NetFow/sFlow PacketsManagement ChannelCollectorCustomer 3CollectorControllerCollectorRegionalNetworkBackbone NetworkCustomer 1Collector81智能流量模型如智能流量模型如 本域网络本域网络,相邻网络相邻网络,子网子网,骨干网骨干网,服务服务器器,系统能够自动依次产生流系统能够自动依次产生流量报表。量报表。NeedsNeedsn了解流量的流向了解流量的流向和量值和量值.n分析流量产生报分析流量产生报表表.Benefits Benefitsn通过少量的配置，通过少量的配置，从预定义报表中从预定义报表中获取大量的数据。获取大量的数据。n自动优化和排除自动优化和排除重复收集的流量重复收集的流量数据。数据。n全面的数据报表全面的数据报表异常流量监控异常流量监控网络流量分析网络流量分析82异常流量监控异常流量监控定制的流量监测和定制的流量监测和TOPN排名报表排名报表User-defined TopNUser-defined TopNUser-defined FilterUser-defined FilterNeedsNeedsn预定义的报表不预定义的报表不能完全满足能完全满足 ISPISPs s 需求需求.ne.g.e.g.一个一个 IDC IDC 想知道访问他们想知道访问他们全部全部WEBWEB服务器服务器的的IPIP网段。网段。Benefits Benefitsn方便的利用图形方便的利用图形界面配置。界面配置。n可以利用参数和可以利用参数和逻辑表达式来进逻辑表达式来进行弹性定制行弹性定制n多种多种 TopNTopN数据数据83异常流量监控异常流量监控在线实时的流量分析在线实时的流量分析不同范围的深入挖掘分析，实时的提供TopN的流量报表为故障处理服务。并且能提供ACL的命令的配置建议。Info Drill-down into the real-time trafficFlow dataSnapshotSnapshot CacheTop-N Analysis84异常流量监控异常流量监控异常流量检测异常流量检测多数的DDoS攻击者通过产生巨大的协议异常的流量来拥塞网络带宽或者提供服务的主机进程。多数的黑客发起 DDoS攻击是通过滥用 TCP/UDP/ICMP 等协议.当在一个很短的时间主机收到大量的包，它将会被识别为一个DDos攻击的牺牲者。Protocol-Misuse:DDoSApplication Anomaly:WormTraffic Anomaly:Zero-Day AttacksDark IP:DoS backscatterInterface AnomalyCollectorCollectorCollectorCollectorControllerControllerCustomer1R1R2R3R4R6R51.2.3.4UDP flood1.2.3.4UDP Flood1.2.3.4UDP flood?!?!?!?!?!?!85Group 3Group1Group2Traffic MonitoringAnomaly Traffic MonitoringTop-N/SnapshotAnomaly ConsoleMSP(Management Service Provider)功能功能 异常流量监控异常流量监控86异常流量监控异常流量监控攻击缓解方法攻击缓解方法访问控制列表(Access Control List Entries)：根据不同的威胁，这些ACLs 能被用于网络范围里任何节点上，从对小型攻击来讲用户汇聚的路由器，到针对路由基础设施攻击的对等路由器接口。Blackhole：在网络的具体节点上注入无效路由把目的IP 地址或者源IP 地址流量转移到“黑洞”里。与第三方智能过滤设备相配合。87异常流量监控异常流量监控异常流量监控系统异常流量监控系统异常流量清洗系统异常流量清洗系统客户客户2 2 SOCSOC平台平台1 12 24 4发送发送netlfownetlfow正常流量发回客户正常流量发回客户发现攻击通知发现攻击通知SOCSOC平台平台3 3通知流量清洗系通知流量清洗系统启动清洗流程统启动清洗流程流量牵引流量牵引流量回注流量回注牵引流量牵引流量,对异对异常流量进行清洗常流量进行清洗5 5攻击停止，攻击停止，通知通知SOCSOC平台平台客户客户3 31 1发送发送netlownetlow客户客户1 15 56 6异常流量清洗流程异常流量清洗流程 881提供网络流量统计提供网络流量统计分析流量应用组成以及如何被利用分析流量应用组成以及如何被利用23监测网络流量异常，并找到感染主机或攻击源监测网络流量异常，并找到感染主机或攻击源网络故障实时诊断，提供故障定位网络故障实时诊断，提供故障定位45异常流量异常流量监控系统监控系统主要应用主要应用系统分权分域功能系统分权分域功能7 6攻击缓解以及告警通知攻击缓解以及告警通知异常流量监控异常流量监控异常流量分析系统主要应用异常流量分析系统主要应用提供详细的各种统计分析图表数据报表提供详细的各种统计分析图表数据报表89异常流量监控异常流量监控异常流量分析系统基本配置异常流量分析系统基本配置flowflow原始数据获取原始数据获取被监测设备被监测设备SNMPSNMP信息获取信息获取BGPBGP路由信息获取路由信息获取90思考回顾思考回顾 Netflow包含哪七个元素？Netflow工作原理？异常流量监控系统有哪些作用？异常流量清洗的工作流程？异常流量监控系统部署模式？异常流量监控异常流量监控91911234目目录录56792攻击溯源攻击溯源 流量分析流量分析 DDOS DDOS攻击检测攻击检测实时流量分析实时流量分析实时处理性能高实时处理性能高快速、准确快速、准确DDOS攻击检攻击检测测运营商现有流量分析系统特点运营商现有流量分析系统特点运营商现有流量分析系统功能运营商现有流量分析系统功能运营商现有流量分析系统功能及特点运营商现有流量分析系统功能及特点93攻击溯源攻击溯源运营商现有流量分析系统问题运营商现有流量分析系统问题 只存储分析结果，不存储Netflow原始数据 不分析历史Netflow数据基于用户定制的条件对流量进行分析，用户未提前定制条件的流量事后无法分析未检测到的攻击无法进行分析 分析结果样式固定，缺乏个性化分析功能 适合对大流量的对象进行分析，缺乏基于每个IP地址的分析功能94攻击溯源攻击溯源溯源分析系统和现有流量分析系统的区别溯源分析系统和现有流量分析系统的区别定制规则定制规则流量实时分析流量实时分析保存分析结果，丢弃原始数保存分析结果，丢弃原始数据据存储流量信息存储流量信息用户定制分析规则用户定制分析规则对历史流量进行分析对历史流量进行分析溯源分析系统的使用方法溯源分析系统的使用方法现有流量分析系统的使用方法现有流量分析系统的使用方法95攻击溯源攻击溯源唯一可行的对互联网流量信唯一可行的对互联网流量信息保存技术方式息保存技术方式网络故障网络故障DDOSDDOS攻击分析攻击分析网络流量分析网络流量分析对互联网流量信息的保存对互联网流量信息的保存对互联网流量的事后分析对互联网流量的事后分析溯源分析系统的意义溯源分析系统的意义96攻击溯源攻击溯源溯源分析系统和现有流量分析系统的定位溯源分析系统和现有流量分析系统的定位 现有流量分析系统异常流量检测系统流量实时分析 溯源系统故障分析Arbor/Genie未检测到的攻击分析历史流量分析Arbor/Genie攻击告警统计 溯源分析系统是现有流量分析系统的补充 溯源分析系统不等于利用现有流量分析系统的功能分析历史流量97攻击溯源攻击溯源城域网其它省网其它省网其它其它ISP省网流量分析系统省网流量分析系统控制器城域网C路由器D路由器。CHINANET骨干网骨干网SyslogSNMPNetflow数据转发Netflow数据采集器磁盘阵列互联网流量溯源互联网流量溯源分析系统分析系统溯源分析系统部署方案溯源分析系统部署方案98攻击溯源攻击溯源攻击溯源系统部署方法攻击溯源系统部署方法 系统数据源Netflow数据来源pArbor/NTG转发或者直接接受路由器Netflow数据攻击告警p接受Arbor/NTG告警syslog信息路由器信息p直接通过SNMP读取路由器端口/IP地址等信息 网络连接与Arbor/NTG网络可达每台服务器配置1-2个FE/GE端口99攻击溯源攻击溯源溯源分析系统主要应用溯源分析系统主要应用提供提供DDOS攻击的详细分析报告攻击的详细分析报告100攻击溯源攻击溯源1 NetFlow数据存储数据存储 NetFlow溯源回溯分析溯源回溯分析2溯源分析系