網(wǎng)絡(luò)及其網(wǎng)絡(luò)安全培訓(xùn)

SOC網(wǎng)絡(luò)基礎(chǔ)福建富士通網(wǎng)安培訓(xùn)教材鄭本飛21234目錄5673VLAN原理VLAN概述

VLAN是虛擬局域網(wǎng)（VirtualLocalAreaNetwork）的簡稱，它是在一個物理網(wǎng)絡(luò)上劃分出來的邏輯網(wǎng)絡(luò)。VLAN的劃分不受網(wǎng)絡(luò)端口的實際物理位置的限制。VLAN除了沒有物理位置的限制，它和普通局域網(wǎng)一樣。二層的單播、廣播和多播幀在不同的VLAN之間隔離。所以，如果一個端口所連接的主機想要和其它VLAN的主機通訊，則必須通過一個三層設(shè)備。如下圖所示：

4VLAN作用

隔離廣播方便管理提高安全性VLAN原理5VLAN劃分基于子網(wǎng)基于協(xié)議基于端口基于MAC地址VLAN劃分方式VLAN原理針對交換機的端口進行VLAN的劃分,不受接入主機變化的影響在一個物理網(wǎng)絡(luò)中針對不同的網(wǎng)絡(luò)層協(xié)議進行VLAN的劃分基于主機的MAC地址進行VLAN劃分，主機可以任意在網(wǎng)絡(luò)移動而不需要重新劃分針對不同的用戶分配不同子網(wǎng)的IP地址，從而隔離用戶主機，一般情況下結(jié)合基于端口的VLAN進行應(yīng)用6按業(yè)務(wù)規(guī)劃按部門規(guī)劃可分為工程部、市場部、財務(wù)部等按地理位置規(guī)劃按應(yīng)用規(guī)劃VLAN規(guī)劃原則VLAN原理7VLAN成員口模式

Access口一個Trunk口，它可以屬于多個VLAN，能夠轉(zhuǎn)發(fā)帶不同VLAN標簽的幀。可通過設(shè)置許可VLAN列表來控制帶許可VLAN標簽的幀通過。一個Access端口，只能屬于一個VLAN，并且是通過手工設(shè)置指定VLAN的。Trunk口Access口用于和用戶相連Trunk口用于交換機之間的互連VLAN原理8端口類型收發(fā)處理描述Access收幀判斷幀是否帶VLAN標簽：如果不帶則封裝Access口的PVID，如果有則判斷該幀的VLAN標簽是否和Access口的PVID相同，如果相同，則接收，否則丟棄。發(fā)幀將幀的VLAN標簽剝離后，直接發(fā)送。Trunk收幀判斷幀是否帶VLAN標簽：如果不帶則封裝端口的PVID，如果有則判斷Trunk口是否允許帶該VLAN標簽的幀進入，如果允許則接收，否則丟棄。發(fā)幀判斷Tunk端口是否允許帶該VLAN標簽的數(shù)據(jù)轉(zhuǎn)發(fā)，如果允許則比較該幀的VLAN標簽是否和Trunk口的PVID相同，如果相同則剝離幀的VLAN標簽后轉(zhuǎn)發(fā)，如果不相同則帶著VLAN標簽在鏈路轉(zhuǎn)發(fā)。如果Trunk口不允許帶該VLAN標簽的數(shù)據(jù)轉(zhuǎn)發(fā)，則丟棄該幀。端口對數(shù)據(jù)幀的處理

VLAN原理9VLAN之間通信

VLAN是建立在物理網(wǎng)絡(luò)基礎(chǔ)上的一種邏輯子網(wǎng)，因此建立VLAN需要相應(yīng)的支持VLAN技術(shù)的網(wǎng)絡(luò)設(shè)備。當網(wǎng)絡(luò)中的不同VLAN間進行相互通信時，需要三層中繼功能，既可采用路由器，也可采用三層交換機來完成。

三層交換單臂路由VLAN之間路由的方法VLAN原理路由口，子接口封裝dot1qvlan單臂路由實現(xiàn)VLAN間路由192.168.1.0/24VLAN10192.168.2.0/24VLAN20Gi2/0.10Gi2/0.2010VLAN原理三層交換機實現(xiàn)VLAN間路由192.168.1.0/24VLAN10192.168.2.0/24VLAN20192.168.3.0/24VLAN30192.168.4.0/24VLAN40SVI10：192.168.1.1/24SVI20：192.168.2.1/24SVI30：192.168.3.1/24SVI40：192.168.4.1/2411Trunk口，端口屬于VLAN10和20Trunk口，端口屬于VLAN30和40VLAN原理12以太網(wǎng)幀格式

DASATypeDataCRC標準以太網(wǎng)幀DASATypeDataCRCtagTPIDPriorityCFIVLAN

IDTCI帶有IEEE802.1Q標記的以太網(wǎng)幀VLAN原理13VLAN標簽作用TPID(TagProtocolIdentifier)IEEE定義的類型，共16位，取值為0x8100時表示802.1QTag幀。Priority這3位指明幀的優(yōu)先級，一共有8種優(yōu)先級，0－7，用于QOS。CanonicalFormatIndicator(CFI)值為0說明是規(guī)范格式，為1是非規(guī)范格式。在以太網(wǎng)交換機中，規(guī)范格式指示器總是被設(shè)置為0。由于兼容特性，CFI常用于以太網(wǎng)類型網(wǎng)絡(luò)和令牌環(huán)類型網(wǎng)絡(luò)。VLANIdentified(VLANID)這12位的域，指明VLAN的ID，共有4096個VLAN。VLAN標簽格式說明

VLAN原理14802.1qVLAN原理示意圖

HOSTAHOSTBVLAN原理正常以太網(wǎng)幀802.1Q幀Trunk正常以太網(wǎng)幀accessaccess802.1Q幀SW1SW215802.1q處理過程

VLAN原理16活躍的拓撲增強這一步是根據(jù)端口的狀態(tài)來確定幀可不可以被轉(zhuǎn)發(fā)，哪些端口有轉(zhuǎn)發(fā)的可能。主要有四點規(guī)則：VLAN原理接收幀的端口處于生成樹的轉(zhuǎn)發(fā)狀態(tài)，才有可能轉(zhuǎn)發(fā)幀發(fā)送幀的端口處于生成樹的轉(zhuǎn)發(fā)狀態(tài)，才有可能轉(zhuǎn)發(fā)幀接收幀端口和發(fā)送幀端口不可能是同一個端口入口規(guī)則檢查17VLAN原理18幀過濾規(guī)則VLAN原理19

根據(jù)過濾數(shù)據(jù)庫信息對幀進行過濾。根據(jù)目的mac地址和vid值來查過濾數(shù)據(jù)庫表，確定幀要被轉(zhuǎn)發(fā)到哪些端口中去。如果幀是廣播幀，就廣播出去如果是多播幀，按組播地址進行轉(zhuǎn)發(fā)如果是未知名單播幀，就泛洪如果是知名單播幀，轉(zhuǎn)發(fā)到特定端口過濾數(shù)據(jù)庫的規(guī)則VLAN原理20出口規(guī)則VLAN原理21流分類和計量

流分類明確地識別具有相同處理幀的子集，流分類規(guī)則可根據(jù)：目的MAC地址VLANID優(yōu)先級幀長幀排隊轉(zhuǎn)發(fā)進程為排隊的幀提供存儲，等待機會傳輸，在同一端口應(yīng)當保

存：單播幀VID，優(yōu)先級，目的地址和源地址的組合組播幀VID，優(yōu)先級，目的地址隊列管理

確定哪些幀將從隊列中移除，不被傳輸傳輸選擇

默認采用算法是，先傳輸優(yōu)先級別高的幀，再傳輸級別低的。對于

同一優(yōu)先級的幀，采用先來先傳輸?shù)脑瓌t

VLAN原理22SOC網(wǎng)絡(luò)中的VLAN劃分為配合安全域劃分，進行數(shù)據(jù)互訪控制以及隔離廣播風(fēng)暴等，SOC平臺實施VLAN劃分，各省根據(jù)互訪隔離需求，將有著相同安全需求的服務(wù)器的劃分到同一VLAN。各省SOC平臺工程建議采用基于端口的VLAN劃分方法。VLAN原理2323思考回顧根據(jù)802.1q原理思考為什么服務(wù)器雙網(wǎng)卡綁定在SOC拓撲模型中不可以采用負載均衡模式？什么組網(wǎng)模型下服務(wù)器雙網(wǎng)卡綁定可以采用負載均衡模式？根據(jù)802.1q原理，分析如下兩臺服務(wù)器是否可以通信？為什么？VLAN原理241234目錄567路由原理及靜態(tài)路由路由器作用實現(xiàn)不同子網(wǎng)互連路由尋址，數(shù)據(jù)轉(zhuǎn)發(fā)25路由原理及靜態(tài)路由路由即數(shù)據(jù)包從一個子網(wǎng)轉(zhuǎn)發(fā)到另一個子網(wǎng)使用路由協(xié)議傳送IP路由信息或靜態(tài)指定路由信息基于IP包的目標地址進行數(shù)據(jù)轉(zhuǎn)發(fā)IP包每經(jīng)過一個路由器都需要進行路由表的查詢26HOSTA192.168.1.010.10.1.0HOSTB將數(shù)據(jù)包轉(zhuǎn)發(fā)到正確的目的地，并在轉(zhuǎn)發(fā)過程中選擇最佳路徑26R1R2R3R4直連路由通過接口感知到的直連網(wǎng)絡(luò)；接口配置IP，該接口的物理層和數(shù)據(jù)鏈路層UP路由原理及靜態(tài)路由路由表網(wǎng)段接口f0/0f0/1172.16.20.0/24101.1.1.0/30172.16.20.1/24f0/0f0/120.0.0.0/8101.1.1.1/3027101.1.1.2/30Internet靜態(tài)路由使用靜態(tài)路由命令手工配置，是單向的。配置簡單，可靠，網(wǎng)絡(luò)安全保密性高，靈活性差。路由原理及靜態(tài)路由28S0S0192.168.1.0/24AB192.168.2.2192.168.2.1目的地為192.168.1.0時，需將數(shù)據(jù)包轉(zhuǎn)發(fā)給防火墻B的192.168.2.1的接口B默認路由在沒有找到匹配的路由表條目時才使用的路由。即只有當沒有合適的路由時，缺省路由才被使用。默認路由在網(wǎng)絡(luò)中是非常有用的路由。默認路由并不一定都是手工配置的靜態(tài)路由。路由原理及靜態(tài)路由29S0S0192.168.1.0/24AB192.168.2.2192.168.2.1目的地為ANY時，可將數(shù)據(jù)包轉(zhuǎn)發(fā)給路由器A的192.168.2.2的接口B浮動靜態(tài)路由浮動靜態(tài)路由就是配置去往同一目的網(wǎng)絡(luò)的多條靜態(tài)路由，它們有不同的路由優(yōu)先級。鏈路冗余備份作用，優(yōu)先級高的為主。路由原理及靜態(tài)路由30S0S0192.168.1.0/24AB首選優(yōu)先級高的路由條目對應(yīng)的端口，當此主鏈路出現(xiàn)故障時選擇次低優(yōu)先級的路由條目進行轉(zhuǎn)發(fā)S1S1B動態(tài)路由適應(yīng)網(wǎng)絡(luò)變化，動態(tài)計算路由。每臺網(wǎng)絡(luò)設(shè)備都將已知的路由相關(guān)信息發(fā)給相鄰的設(shè)備。動態(tài)路由協(xié)議有RIP、OSPF、IS-IS、IGRP、EIGRP、BGP路由原理及靜態(tài)路由31S0S0192.168.1.0/24AB防火墻B通過路由協(xié)議將已知路由信息通告給路由器AS1S1路由器A通過路由協(xié)議將已知路由信息通告給防火墻B目的地址下一跳地址網(wǎng)絡(luò)掩碼出接口路由表主要內(nèi)容用來標識IP包的目的地址或目的網(wǎng)絡(luò)和目的地址一起來標識目的主機或路由器所在的網(wǎng)段的地址去往目的地址或目的網(wǎng)絡(luò)的設(shè)備的下一個IP地址說明IP包將從該路由器哪個接口轉(zhuǎn)發(fā)路由原理及靜態(tài)路由32路由表主要內(nèi)容路由原理及靜態(tài)路由路由器轉(zhuǎn)發(fā)數(shù)據(jù)包的封裝過程HostAHostBABE0E1E0E1192.168.1.2/2400-11-12-21-11-11192.168.1.1/2400-11-12-21-22-2210.1.1.1/800-11-12-21-33-3310.1.1.2/800-11-12-21-44-44192.168.2.1/2400-11-12-21-55-55192.168.2.2/2400-11-12-21-66-6600-11-12-21-55-5500-11-12-21-66-66SA:192.168.1.2/24DA:192.168.2.2/2400-11-12-21-33-3300-11-12-21-44-44SA:192.168.1.2/24DA:192.168.2.2/2400-11-12-21-22-2200-11-12-21-11-11SA:192.168.1.2/24DA:192.168.2.2/243334ARP數(shù)據(jù)包結(jié)構(gòu)路由原理及靜態(tài)路由35路由原理及靜態(tài)路由IP數(shù)據(jù)包結(jié)構(gòu)源、目的主機是否同一子網(wǎng)解析網(wǎng)關(guān)/下一跳MAC解析目的主機MACYESNO源主機要發(fā)送IP包ARP緩存中是否有IP-MAC條目NOYES發(fā)送ARP請求并在本地建立臨時條目根據(jù)接收的ARP報文建立IP-MAC映射條目根據(jù)ARP表中IP-MAC映射條目封裝成幀發(fā)送路由原理及靜態(tài)路由ARP地址解析過程36NOYESNO報文封裝

YES查找路由匹配下一跳是否在直連鏈路上IP數(shù)據(jù)包入站以下一跳作為目的地址送往接口轉(zhuǎn)發(fā)路由原理及靜態(tài)路由路由選路過程37是否存在默認路由丟棄YESNO路由原理及靜態(tài)路由路由決策原則38最長匹配原則路由管理距離路由度量值指IP網(wǎng)絡(luò)中當路由表中有多條條目可以匹配目的ip時，采用掩碼最長的一條作為匹配項并確定下一跳。如果目的IP地址的掩碼長度一樣，則比較管理距離，管理距離越小，路由越優(yōu)先。如果目的IP地址的掩碼長度一樣，管理距離也一樣，則比較度量值，度量值越小，路由越優(yōu)先。路由原理及靜態(tài)路由39靜態(tài)路由一般配置步驟404040思考回顧路由器功能，路由概念？路由選路過程，路由決策原則？ARP解析過程？思考以下網(wǎng)絡(luò)配置是否可通？為什么？路由原理及靜態(tài)路由RT1RT2RT3PC1PC2Fa0/1Fa0/2Fa0/1Fa0/2Fa0/1Fa0/210.1.1.1/2410.1.1.254/2420.1.1.1/3020.1.1.2/3030.1.1.1/3030.1.1.2/3040.1.1.254/2440.1.1.1/24RT1路由配置：Iproute0.0.0.00.0.0.0fa0/2RT2路由配置：Iproute10.1.1.0255.255.255.020.1.1.1Iproute40.1.1.1255.255.255.030.1.1.2配置：Iproute10.1.1.0255.255.2550fa0/2411234目錄56742VRRP協(xié)議VRRP(VirtualRouterRedundancyProtocol，虛擬路由器冗余協(xié)議)用于動態(tài)的從一組VRRP路由器中選舉一個主路由器，并關(guān)聯(lián)到一個虛擬路由器，做為所連接網(wǎng)段的默認網(wǎng)關(guān)。VRRP是一種容錯協(xié)議，在提高可靠性的同時，簡化了主機的配置。172.16.1.1/2442HOSTAHOSTBHOSTC172.16.1.2/24172.16.1.3/24VirtualIP:172.16.1.254/24Internet主備主在3個周期內(nèi)沒收到主設(shè)備的通告報文43VRRP協(xié)議43VRRP路由器是指運行VRRP的路由器，是物理實體虛擬路由器是指VRRP協(xié)議創(chuàng)建的，是邏輯概念主控路由器和備份路由器一個VRRP組中有且只有一臺處于主控角色的路由器，可以有一個或者多個處于備份角色的路由器VRRP協(xié)議使用選擇策略從路由器組中選出一臺作為主控，負責ARP響應(yīng)和轉(zhuǎn)發(fā)IP數(shù)據(jù)包，組中的其它路由器作為備份的角色處于待命狀態(tài)。VRRP報文VRRP控制報文只有一種：VRRP通告（advertisement)。它使用IP多播數(shù)據(jù)包進行封裝，組地址為224.0.0.18，該地址只在本地鏈路有效，不可被路由。VRRP報文的TTL值必須為255，路由器應(yīng)當丟棄TTL值不為255的VRRP報文。協(xié)議號為0x70。44VRRP協(xié)議44VRRP搶占模式在VRRP搶占模式下，如果Backup的優(yōu)先級比當前Master的優(yōu)先級高，將主動將自己升級成Master。在VRRP非搶占模式下，即便Backup的優(yōu)先級高于當前Master的優(yōu)先級，也不會升級成Master，除非當前Master故障。優(yōu)先級取值范圍為1~254。如果VRRP虛擬IP地址與接口IP地址一致，其優(yōu)先級就為255，此時無論VRRP是否處于搶占模式，對應(yīng)的VRRP組都會自動處于Master狀態(tài)。VRRP選舉VRRP協(xié)議采用簡單競選的方法選擇主設(shè)備。首先比較同一個VRRP組內(nèi)的各臺設(shè)備對應(yīng)接口上設(shè)置的VRRP優(yōu)先級的大小，優(yōu)先級最大的為主路由設(shè)備。若優(yōu)先級相同，則比較對應(yīng)網(wǎng)絡(luò)接口的IP地址大小，IP地址大的為主路由設(shè)備。VRRP協(xié)議VRRP協(xié)議數(shù)據(jù)包格式45只有一種報文類型——VRRP通告（ADVERTISEMENT）只有Master才能發(fā)送VRRP通告4600005E0001VRID虛擬路由器的MAC地址的最后一個字節(jié)是該虛擬路由器的VRIDVRRP協(xié)議虛擬路由器的MAC地址INITIALIZEMASTERBACKUPVRRP協(xié)議VRRP狀態(tài)機收到shutdown消息收到startdup消息，且優(yōu)先級是255收到一個比本地優(yōu)先級大的VRRP包MASTER_DOWN_TIMER超時收到startup消息，且優(yōu)先級小于255收到shutdown消息474848VRRP協(xié)議48Initialize狀態(tài)系統(tǒng)啟動后進入此狀態(tài)，當收到接口startup的消息，將轉(zhuǎn)入Backup（優(yōu)先級不為255時)或Master狀態(tài)(優(yōu)先級為255時)。在此狀態(tài)時，路由器不會對VRRP報文做任何處理。InternetRouterinInitialState115.239.148.2/27RouterinInitialState115.239.148.3/27VirtualRouter115.239.148.1/274949VRRP協(xié)議49Master狀態(tài)定期發(fā)送VRRP組播報文，發(fā)送免費（gratuitous）ARP報文響應(yīng)對虛擬IP地址的ARP請求，并且響應(yīng)的是虛擬MAC地址，而不是接口的真實MAC地址。轉(zhuǎn)發(fā)目的MAC地址為虛擬MAC地址的IP報文在Master狀態(tài)中只有接收到比自己的優(yōu)先級大的VRRP報文時，才會轉(zhuǎn)為Backup。只有當接收到接口的Shutdown事件時才會轉(zhuǎn)為Initialize。InternetRouterinMasterState115.239.148.2/27RouterinBackupState115.239.148.3/27VirtualRouter115.239.148.1/2750VRRP協(xié)議50Backup狀態(tài)接收Master發(fā)送的VRRP報文，從中了解Master的狀態(tài)響應(yīng)對虛擬IP地址的ARP請求，不做響應(yīng)丟棄目的MAC地址為虛擬MAC地址的IP報文丟棄目的IP地址為虛擬IP地址的IP報文InternetRouterinMasterState115.239.148.2/27RouterinBackupState115.239.148.3/27VirtualRouter115.239.148.1/2751VRRP協(xié)議HOSTA192.168.1.110.10.1.1HOSTBVRRP監(jiān)測功能根據(jù)上行鏈路的狀態(tài)，改變路由器的優(yōu)先級。當上行鏈路出現(xiàn)故障，局域網(wǎng)內(nèi)的主機無法通過路由器訪問外部網(wǎng)絡(luò)時，被監(jiān)視Track項的狀態(tài)為Negative，并將路由器的優(yōu)先級降低指定的數(shù)額。從而，使得備份組內(nèi)其它路由器的優(yōu)先級高于這個路由器的優(yōu)先級，成為Master路由器，保證局域網(wǎng)內(nèi)主機與外部網(wǎng)絡(luò)的通信不會中斷。在Backup路由器上監(jiān)視Master路由器的狀態(tài)。當Master路由器出現(xiàn)故障時，工作在切換模式的Backup路由器能夠迅速成為Master路由器，以保證通信不會中斷。RTA主RTB備結(jié)合SOC網(wǎng)絡(luò)思考何時需要使用VRRP監(jiān)測功能，何時不需要？52VRRP協(xié)議VRRP在SOC工程中的應(yīng)用VRRP+VRRP端口監(jiān)測+路由子接口或路由口VRRP+動態(tài)路由+路由子接口或路由口VRRP+SVI口+STP

VRRP+MPLSL2VPN+VPN三層虛接口+路由

53PC1VRRP協(xié)議RT1RT2SW1SW2SWRT1SWRT2思考回顧VRRP怎么選舉主路由器？VRRP工作過程？根據(jù)下圖，SWRT和RT之間鏈路備份有何方案？541234目錄56755兩個安全域之間通信流的唯一通道安全域1HostAHostB安全域2HostC

HostD

防火墻原理防火墻基本概念一種高級訪問控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間，它通過相關(guān)的安全策略來控制（允許、拒絕、監(jiān)視、記錄）進出網(wǎng)絡(luò)的訪問行為。

UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolActionSource根據(jù)安全策略規(guī)則決定進出網(wǎng)絡(luò)的行為56防火墻原理防火墻主要作用強化網(wǎng)絡(luò)安全策略有效的記錄及監(jiān)控網(wǎng)絡(luò)間的通迅活動防止內(nèi)部使用者不當?shù)氖褂镁W(wǎng)絡(luò)防止來自非信任網(wǎng)絡(luò)的非法訪問位于信任網(wǎng)絡(luò)與非信任之間的系統(tǒng)，避免信任網(wǎng)絡(luò)直接暴露在外面HostAHostB防火墻內(nèi)部網(wǎng)絡(luò)HostC

HostD

防火墻外部網(wǎng)絡(luò)57防火墻原理防火墻工作模式透明模式：也稱“交換模式”或“網(wǎng)橋模式”，在該模式下防火墻的類似二層的交換設(shè)備。防火墻的物理接口上不需配IP，只需在網(wǎng)橋的橋接口上配個的用于管理的IP。該模式一般用于相同網(wǎng)段的網(wǎng)絡(luò)之間的隔離，不用配置業(yè)務(wù)IP，只需要配置管理IP。10.1.1.1/810.1.1.2/8處于同一廣播域中58防火墻原理防火墻工作模式路由模式：該模式下防火墻類似三層的路由設(shè)備，能夠?qū)崿F(xiàn)不同網(wǎng)段之間的路由轉(zhuǎn)發(fā)和NAT等功能。用于不同網(wǎng)段的不同網(wǎng)絡(luò)之間的隔離，提供路由功能。10.1.1.1/8Internet10.1.1.2/8115.239.148.0/30處于同一廣播域中59防火墻原理防火墻工作模式混合模式：透明模式和路由模式的結(jié)合，防火墻有的接口加入網(wǎng)橋，再把網(wǎng)橋接口與其它接口實現(xiàn)路由轉(zhuǎn)發(fā)。網(wǎng)絡(luò)結(jié)構(gòu)較為復(fù)雜的特殊環(huán)境,既有相同網(wǎng)段也有不同網(wǎng)段的網(wǎng)絡(luò)環(huán)境。10.1.1.1/810.1.1.2/8Internet115.239.148.0/30處于同一廣播域中處于不同廣播域中60防火墻原理防火墻安全域安全區(qū)域是防火墻區(qū)別于普通網(wǎng)絡(luò)設(shè)備的基本特征之一。以接口為邊界，將業(yè)務(wù)劃分成若干區(qū)域，防火墻的安全策略在區(qū)域或者區(qū)域之間下發(fā)。以接口為邊界進行安全域劃分UNTRUST區(qū)域TRUST區(qū)域DMZ區(qū)域61防火墻原理防火墻流和回話流：是一個單方向的概念，根據(jù)報文所攜帶的三元組或者五元組唯一標識。根據(jù)IP層協(xié)議的不同，流分為四大類：TCP流：通過五元組唯一標識UDP流：通過五元組唯一標識ICMP流：通過三元組+ICMPtype+ICMPcode唯一標識RAWIP流：不屬于上述協(xié)議的，通過三元組標識回話：以一個雙向的概念，一個會話通常關(guān)聯(lián)兩個方向的流，一個為會話發(fā)起方（Initiator），另外一個為會話響應(yīng)方（Responder）。通過會話所屬的任一方向的流特征都可以唯一確定該會話，以及方向。路由器是基于路由表來轉(zhuǎn)發(fā)數(shù)據(jù)，而防火墻是基于會話表來轉(zhuǎn)發(fā)數(shù)據(jù)62防火墻原理地址轉(zhuǎn)換NAT功能網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation）簡稱為NAT，是將IP數(shù)據(jù)包包頭中的IP地址轉(zhuǎn)換為另一個IP地址。隱藏了內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)內(nèi)部網(wǎng)絡(luò)可以使用私有IP地址公網(wǎng)地址不足的網(wǎng)絡(luò)可以使用這種方式提供IP復(fù)用功能Internet202.102.93.54HostAHostB192.168.1.24Eth2：192.168.1.23Eth0：101.211.23.1數(shù)據(jù)IP報頭數(shù)據(jù)IP報頭源地址：192.168.1.24目地址：202.102.93.54源地址：101.211.23.1目地址：202.102.93.54101.211.23.26363防火墻原理防火墻SNAT轉(zhuǎn)換10.1.1.1/8Internet10.1.1.2/8115.239.148.1/30HOSTBHOSTA125.29.18.10/24125.29.18.1010.1.1.1:3678125.29.18.1010.1.1.2:5536115.239.148.1:1025125.29.18.10115.239.148.1:1026125.29.18.10125.29.18.1010.1.1.1125.29.18.1010.1.1.2115.239.148.5125.29.18.10115.239.148.6125.29.18.10SNAT動態(tài)端口SNAT靜態(tài)SADASADASADASADA6464防火墻原理防火墻DNAT轉(zhuǎn)換10.1.1.1/8Internet10.1.1.2/8115.239.148.1/30HOSTBHOSTA125.29.18.10/2410.1.1.1:22125.29.18.1010.1.1.2:80125.29.18.10125.29.18.10135.19.38.10:22125.29.18.10135.19.38.10:8010.1.1.1125.29.18.1010.1.1.2125.29.18.10125.29.18.10135.19.38.11125.29.18.10135.19.38.12DNAT端口映射DNAT

IP映射SADASADASADASADA65防火墻原理防火墻安全策略策略是網(wǎng)絡(luò)安全設(shè)備的基本功能。默認情況下，安全設(shè)備會拒絕設(shè)備上所有安全域之間的信息傳輸。而策略則通過策略規(guī)則(PolicyRule)決定從一個安全域到另一個安全域的哪些流量該被允許，哪些流量該被拒絕。哪些網(wǎng)絡(luò)流量允許通過。10.1.1.1/8Internet10.1.1.2/8115.239.148.0/30ANYBlockInternetHostBTCPPassInternetHostADestinationProtocolActionSourceHOSTBHOSTA66防火墻原理防火墻SCVPN為解決遠程用戶安全訪問私網(wǎng)數(shù)據(jù)的問題，安全網(wǎng)關(guān)提供基于SSL的遠程登錄解決方案——SecureConnectVPN，簡稱為SCVPN。SCVPN功能可以通過簡單易用的方法實現(xiàn)信息的遠程連通。Internet內(nèi)網(wǎng)網(wǎng)段：172.16.20.0/24SSLVPN隧道Eth1:222.1.1.2/24Zone:untrustEth0:172.16.20.1/24Zone:trust外網(wǎng)網(wǎng)關(guān)：222.1.1.1外網(wǎng)用戶通過Internet使用SSLVPN接入內(nèi)網(wǎng)67防火墻原理外網(wǎng)或者不信任域內(nèi)部網(wǎng)絡(luò)Eth0Eth0Eth1Eth1Eth2Eth2心跳線ActiveFWStandbyFW檢測ActiveFirewall的狀態(tài)發(fā)現(xiàn)出故障，立即接管其工作

正常情況下由主防火墻工作主防火墻出故障以后，接管它的工作高可用性--雙機熱備功能68防火墻原理防火墻基本轉(zhuǎn)發(fā)流程數(shù)據(jù)流入口是否找到已有回話直接轉(zhuǎn)發(fā)YESNO路由是否可達NO直接丟棄YES策略是否允許通過NOYES創(chuàng)建回話并轉(zhuǎn)發(fā)防火墻原理69數(shù)據(jù)轉(zhuǎn)發(fā)基本過程70PC1FW1FW2SW1SW2SWRT1SWRT2思考回顧簡述防火墻基本轉(zhuǎn)發(fā)流程？簡述SNAT和DNAT的區(qū)別？根據(jù)下圖，SWRT和FW之間鏈路備份有何方案？防火墻原理711234目錄56772用戶投訴！用戶滿意度下降找不到攻擊源呀未能掌握流量分布和變化！DDoS攻擊和暴力攻擊等不定期經(jīng)常發(fā)生造成局部癱瘓或服務(wù)質(zhì)量嚴重下降無法找到攻擊者，攻擊將長期存在未能掌握整網(wǎng)流量分布和變化情況未能提供個性報表，分析網(wǎng)絡(luò)流量情況……異常流量監(jiān)控為什么需要異常流量監(jiān)控73異常流量監(jiān)控異常流量監(jiān)控系統(tǒng)簡述

異常流量監(jiān)控系統(tǒng)是一款具有功能強大的流量流向分析以及異常流量檢測的系統(tǒng)，通過對網(wǎng)絡(luò)流量信息和系統(tǒng)信息的收集，提供了智能型的流量檢測、分析、實時監(jiān)控等，能夠檢測網(wǎng)絡(luò)中DoS/DDoS攻擊、蠕蟲病毒及其他網(wǎng)絡(luò)異常事件，能夠迅速且準確地分類出各類網(wǎng)絡(luò)流量，做出恰當?shù)姆治觯⒆詣赢a(chǎn)生各類相關(guān)的內(nèi)建流量報表。數(shù)據(jù)流量異常流量監(jiān)控系統(tǒng)基于流量鏡像協(xié)議分析基于SNMP的流量監(jiān)測技術(shù)基于硬件探針的監(jiān)測技術(shù)基于NetFlow的流量分析技術(shù)異常流量監(jiān)控74流量檢測技術(shù)流量檢測技術(shù)75異常流量監(jiān)控數(shù)據(jù)流啟用NetFlow的路由器NetFlow定義NetFlow是是由7個關(guān)鍵字段標識單方向的連接，Netflow流量信息采集是基于網(wǎng)絡(luò)設(shè)備提供的Netflow機制實現(xiàn)的網(wǎng)絡(luò)流量信息采集，在此基礎(chǔ)上實現(xiàn)的流量信息采集效率和效果均能夠滿足網(wǎng)絡(luò)流量監(jiān)測的需求。1.SourceAddress2.DestinationAddress3.SourcePort4.DestinationPort5.Layer3Protocol6.TOSByte(DSCP)7.InputInterfaceUDPNetFlow76異常流量監(jiān)控NetFlow處理流程預(yù)處理對不同類型數(shù)據(jù)流進行區(qū)分和準確計量后處理數(shù)據(jù)包抽樣過濾IPIngress&EgressMulticastMPLSIpv6統(tǒng)計數(shù)據(jù)自動匯聚輸出預(yù)處理階段：NetFlow首先對特定級別的數(shù)據(jù)流進行過濾或?qū)Ω咚倬W(wǎng)絡(luò)端口進行數(shù)據(jù)包抽樣。后處理階段：NetFlow可以把采集到的數(shù)據(jù)流原始統(tǒng)計信息全部輸出，或者也可以選擇由網(wǎng)絡(luò)設(shè)備自身對原始統(tǒng)計信息進行多種形式的數(shù)據(jù)匯聚，只把匯總后的統(tǒng)計結(jié)果發(fā)送給上層管理服務(wù)器。77異常流量監(jiān)控ClientServerRequestResponseTWOflowsforONETCPconnectionClientServerContentONEflowforONEUDPStreamFlowCacheActiveTimeoutInactivetimeoutNetFlow兩個關(guān)鍵組件NetFlowCacheNetFlowExpert

78SourceIPAddressDestinationIPAddressNextHopAddressSourceASNumberDest.ASNumberSourcePrefixMaskDest.PrefixMaskInputInterfacePortOutputInterfacePortTypeofServiceTCPFlagsProtocolPacketCountByteCountStartTimestampEndTimestampSourceTCP/UDPPortDestinationTCP/UDPPort使用情況QoS時間端口路由和鄰居接口利用率何去何從異常流量監(jiān)控NetFlow數(shù)據(jù)記錄79NetFlow采樣異常流量監(jiān)控確定式采樣固定的

每N個報文采第N個，

N由用戶指定。隨機采樣則每N個報文

隨機采其中一個，N由

用戶指定。被認為是最佳的包采

樣技術(shù)。定時采樣每N毫秒

采樣一個包，N由

用戶指定。DeterministicSamplingRandomSamplingTimebasedSampling80異常流量分析系統(tǒng)部署結(jié)構(gòu)

異常流量監(jiān)控NetFow/sFlowPacketsManagementChannelCollectorCustomer3CollectorControllerCollectorRegionalNetworkBackbone

NetworkCustomer1Collector81智能流量模型如

本域網(wǎng)絡(luò),相鄰網(wǎng)絡(luò),子網(wǎng),骨干網(wǎng),服務(wù)器,系統(tǒng)能夠自動依次產(chǎn)生流量報表。Needs了解流量的流向和量值.分析流量產(chǎn)生報表.Benefits通過少量的配置，從預(yù)定義報表中獲取大量的數(shù)據(jù)。自動優(yōu)化和排除重復(fù)收集的流量數(shù)據(jù)。

全面的數(shù)據(jù)報表異常流量監(jiān)控網(wǎng)絡(luò)流量分析

82異常流量監(jiān)控定制的流量監(jiān)測和TOPN排名報表User-definedTopNUser-definedFilterNeeds預(yù)定義的報表不能完全滿足

ISP’s需求.e.g.一個

IDC想知道訪問他們?nèi)縒EB服務(wù)器的IP網(wǎng)段。Benefits方便的利用圖形界面配置。可以利用參數(shù)和邏輯表達式來進行彈性定制多種

TopN數(shù)據(jù)83異常流量監(jiān)控在線實時的流量分析不同范圍的深入挖掘分析，實時的提供TopN的流量報表為故障處理服務(wù)。并且能提供ACL的命令的配置建議。InfoDrill-downintothe

real-timetraffic…Flow

dataSnapshotSnapshotCacheTop-NAnalysis84異常流量監(jiān)控異常流量檢測多數(shù)的DDoS攻擊者通過產(chǎn)生巨大的協(xié)議異常的流量來擁塞網(wǎng)絡(luò)帶寬或者提供服務(wù)的主機進程。多數(shù)的黑客發(fā)起

DDoS攻擊是通過濫用

TCP/UDP/ICMP等協(xié)議.當在一個很短的時間主機收到大量的包，它將會被識別為一個DDos攻擊的犧牲者。Protocol-Misuse:DDoSApplicationAnomaly:WormTrafficAnomaly:Zero-DayAttacksDarkIP:DoSbackscatterInterfaceAnomalyCollectorCollectorControllerCustomer1R1R2R3R4R6R51.2.3.4UDPflood1.2.3.4UDPFlood1.2.3.4UDPflood?!?!?!85Group3Group1Group2TrafficMonitoringAnomalyTrafficMonitoringTop-N/SnapshotAnomalyConsoleMSP(ManagementServiceProvider)功能

異常流量監(jiān)控86異常流量監(jiān)控攻擊緩解方法訪問控制列表(AccessControlListEntries)：根據(jù)不同的威脅，這些ACLs能被用于網(wǎng)絡(luò)范圍里任何節(jié)點上，從對小型攻擊來講用戶匯聚的路由器，到針對路由基礎(chǔ)設(shè)施攻擊的對等路由器接口。Blackhole：在網(wǎng)絡(luò)的具體節(jié)點上注入無效路由把目的IP地址或者源IP地址流量轉(zhuǎn)移到“黑洞”里。與第三方智能過濾設(shè)備相配合。……

87異常流量監(jiān)控異常流量監(jiān)控系統(tǒng)異常流量清洗系統(tǒng)客戶2

SOC平臺124發(fā)送netlfow正常流量發(fā)回客戶發(fā)現(xiàn)攻擊通知SOC平臺3通知流量清洗系統(tǒng)啟動清洗流程流量牽引流量回注牽引流量,對異常流量進行清洗5攻擊停止，通知SOC平臺客戶31發(fā)送netlow客戶156異常流量清洗流程

881提供網(wǎng)絡(luò)流量統(tǒng)計分析流量應(yīng)用組成以及如何被利用23監(jiān)測網(wǎng)絡(luò)流量異常，并找到感染主機或攻擊源網(wǎng)絡(luò)故障實時診斷，提供故障定位45異常流量監(jiān)控系統(tǒng)主要應(yīng)用系統(tǒng)分權(quán)分域功能7

6攻擊緩解以及告警通知異常流量監(jiān)控異常流量分析系統(tǒng)主要應(yīng)用提供詳細的各種統(tǒng)計分析圖表數(shù)據(jù)報表89異常流量監(jiān)控異常流量分析系統(tǒng)基本配置flow原始數(shù)據(jù)獲取被監(jiān)測設(shè)備SNMP信息獲取BGP路由信息獲取90思考回顧Netflow包含哪七個元素？Netflow工作原理？

異常流量監(jiān)控系統(tǒng)有哪些作用？

異常流量清洗的工作流程？

異常流量監(jiān)控系統(tǒng)部署模式？異常流量監(jiān)控91911234目錄56792攻擊溯源

流量分析DDOS攻擊檢測實時流量分析實時處理性能高快速、準確DDOS攻擊檢測運營商現(xiàn)有流量分析系統(tǒng)特點運營商現(xiàn)有流量分析系統(tǒng)功能運營商現(xiàn)有流量分析系統(tǒng)功能及特點93攻擊溯源運營商現(xiàn)有流量分析系統(tǒng)問題只存儲分析結(jié)果，不存儲Netflow原始數(shù)據(jù)不分析歷史Netflow數(shù)據(jù)基于用戶定制的條件對流量進行分析，用戶未提前定制條件的流量事后無法分析未檢測到的攻擊無法進行分析分析結(jié)果樣式固定，缺乏個性化分析功能適合對大流量的對象進行分析，缺乏基于每個IP地址的分析功能94攻擊溯源溯源分析系統(tǒng)和現(xiàn)有流量分析系統(tǒng)的區(qū)別定制規(guī)則流量實時分析保存分析結(jié)果，丟棄原始數(shù)據(jù)存儲流量信息用戶定制分析規(guī)則對歷史流量進行分析溯源分析系統(tǒng)的使用方法現(xiàn)有流量分析系統(tǒng)的使用方法95攻擊溯源唯一可行的對互聯(lián)網(wǎng)流量信息保存技術(shù)方式網(wǎng)絡(luò)故障DDOS攻擊分析網(wǎng)絡(luò)流量分析對互聯(lián)網(wǎng)流量信息的保存對互聯(lián)網(wǎng)流量的事后分析溯源分析系統(tǒng)的意義96攻擊溯源溯源分析系統(tǒng)和現(xiàn)有流量分析系統(tǒng)的定位現(xiàn)有流量分析系統(tǒng)異常流量檢測系統(tǒng)流量實時分析溯源系統(tǒng)故障分析Arbor/Genie未檢測到的攻擊分析歷史流量分析Arbor/Genie攻擊告警統(tǒng)計溯源分析系統(tǒng)是現(xiàn)有流量分析系統(tǒng)的補充溯源分析系統(tǒng)不等于利用現(xiàn)有流量分析系統(tǒng)的功能分析歷史流量97攻擊溯源城域網(wǎng)其它省網(wǎng)其它ISP省網(wǎng)流量分析系統(tǒng)控制器城域網(wǎng)C路由器D路由器。。。。CHINANET骨干網(wǎng)SyslogSNMPNetflow數(shù)據(jù)轉(zhuǎn)發(fā)Netflow數(shù)據(jù)采集器磁盤陣列互聯(lián)網(wǎng)流量溯源分析系統(tǒng)溯源分析系統(tǒng)部署方案98攻擊溯源攻擊溯源系統(tǒng)部署方法系統(tǒng)數(shù)據(jù)源Netflow數(shù)據(jù)來源Arbor/NTG轉(zhuǎn)發(fā)或者直接接受路由器Netflow數(shù)據(jù)攻擊告警接受Arbor/NTG告警syslog信息路由器信息直接通過SNMP讀取路由器端口/IP地址等信息

網(wǎng)絡(luò)連接與Arbor/NTG網(wǎng)絡(luò)可達每臺服務(wù)器配置1-2個FE/GE端口99攻擊溯源溯源分析系統(tǒng)主要應(yīng)用提供DDOS攻擊的詳細分析報告100攻擊溯源1NetFlow數(shù)據(jù)存儲NetFlow溯源回溯分析2溯源分析系統(tǒng)功能介紹3DDos攻擊分析DDos攻擊源地址分析45DDos攻擊統(tǒng)計網(wǎng)絡(luò)安全深入分析6101攻擊溯源省網(wǎng)互聯(lián)網(wǎng)溯源系統(tǒng)監(jiān)控范圍建議監(jiān)控省網(wǎng)出入流量監(jiān)控各城域網(wǎng)流量.能夠準確識別所分析流量的出入端口監(jiān)控未進入C/D路由器的流量監(jiān)控針對路由器本身的流量監(jiān)控關(guān)鍵業(yè)務(wù)流量各城域網(wǎng)出口路由器關(guān)鍵業(yè)務(wù)路由器省網(wǎng)出口D路由器102攻擊溯源思考回顧

攻擊溯源系統(tǒng)與異常流量監(jiān)控系統(tǒng)的區(qū)別？

攻擊溯源系統(tǒng)的主要功能？1031031234目錄567安全域劃分、邊界整合和安全防護定義104安全域劃分、邊界整合和安全防護安全域劃分的必要性相關(guān)網(wǎng)絡(luò)和系統(tǒng)在建設(shè)中缺乏科學(xué)合理的安全建設(shè)思路中國電信互聯(lián)網(wǎng)及相關(guān)網(wǎng)絡(luò)的建設(shè)是由于不斷增長的業(yè)務(wù)需求驅(qū)動建設(shè)而成的，初始的網(wǎng)絡(luò)建設(shè)大多沒有統(tǒng)一規(guī)劃，有些系統(tǒng)是獨立的網(wǎng)絡(luò)，有些系統(tǒng)又是共用一個網(wǎng)絡(luò)。而這些系統(tǒng)的業(yè)務(wù)特性、安全需求和等級、使用的對象、面對的威脅和風(fēng)險各不相同；當前中國電信相關(guān)網(wǎng)絡(luò)系統(tǒng)是一個龐大復(fù)雜的系統(tǒng)，在支持業(yè)務(wù)不斷發(fā)展的前提下，如何保證系統(tǒng)的安全性是一個巨大的挑戰(zhàn)，對系統(tǒng)進行區(qū)域劃分，進行層次化、有重點的保護是保證系統(tǒng)與網(wǎng)絡(luò)和信息安全的有效手段。網(wǎng)絡(luò)和系統(tǒng)結(jié)構(gòu)復(fù)雜，導(dǎo)致相關(guān)網(wǎng)絡(luò)和系統(tǒng)的安全建設(shè)成效較低部分網(wǎng)絡(luò)和系統(tǒng)存在邊界不清晰、網(wǎng)絡(luò)出口混亂的問題業(yè)務(wù)領(lǐng)域之間的連接比較混亂，互連互通沒有統(tǒng)一控制規(guī)范105安全域劃分、邊界整合和安全防護安全域劃分原則++業(yè)務(wù)保障原則++等級保護原則++結(jié)構(gòu)簡化原則++生命周期原則結(jié)合承載網(wǎng)、業(yè)務(wù)系統(tǒng)及各支撐系統(tǒng)的現(xiàn)狀，建立持續(xù)保障機制，能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證業(yè)務(wù)正常運行的前提下，保護相關(guān)網(wǎng)絡(luò)及系統(tǒng)的安全明確防護需求，對系統(tǒng)的風(fēng)險、安全需求進行分析和修正，把復(fù)雜巨大的系統(tǒng)分解為簡單而結(jié)構(gòu)化的小區(qū)域，以便于防護和管理。安全域劃分并不是粒度越細越好，安全域數(shù)量過多過雜往往會導(dǎo)致安全域的管理過于復(fù)雜和困難。屬于同一安全域內(nèi)的系統(tǒng)應(yīng)互相信任，即保護需求相同。建立評估與監(jiān)控機制，設(shè)計防護機制的強度和保護等級。要做到每個安全域的信息資產(chǎn)價值相近，具有相同或相近的安全等級、安全環(huán)境、安全策略等安全域的劃分還要考慮到由于需求、環(huán)境不斷變化帶來的影響。因此，安全域的劃分還需要考慮在相關(guān)網(wǎng)絡(luò)及系統(tǒng)的需求設(shè)計、建設(shè)、運行維護等各個階段進行審查，以保證安全域的有效性。106安全域劃分、邊界整合和安全防護安全域劃分方法根據(jù)上述原則，數(shù)據(jù)業(yè)務(wù)系統(tǒng)可將安全域劃分為交互網(wǎng)絡(luò)域、計算

域、維護域、服務(wù)域等四個安全子域。107安全域劃分、邊界整合和安全防護安全域劃分方法(續(xù))交互網(wǎng)絡(luò)域：交互網(wǎng)絡(luò)域是由連接具有相同安全等級的計算域、維護域和服務(wù)域的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)拓撲組成，作為安全子域與IP承載網(wǎng)的統(tǒng)一接口區(qū)域，一般分為互聯(lián)網(wǎng)接入?yún)^(qū)、專線接入?yún)^(qū)和內(nèi)網(wǎng)接入?yún)^(qū)。交互網(wǎng)絡(luò)域通常包括路由器、交換機、防火墻等設(shè)備，是安全域的承載子域。指上聯(lián)互聯(lián)網(wǎng)的邏輯接入分區(qū)VPN或者專線網(wǎng)絡(luò)接入IP承載網(wǎng)的邏輯接入分區(qū)直連到公司內(nèi)部網(wǎng)絡(luò)（例如DCN等）的邏輯接入分區(qū)互聯(lián)網(wǎng)接入?yún)^(qū)專線接入?yún)^(qū)內(nèi)網(wǎng)接入?yún)^(qū)108安全域劃分、邊界整合和安全防護安全域劃分方法(續(xù))指安全域內(nèi)部的計算域、服務(wù)域、維護域業(yè)務(wù)域計算域指在安全域范圍內(nèi)負責存儲、傳輸、處理業(yè)務(wù)數(shù)據(jù)的計算機（主機/服務(wù)器）或集群組成的區(qū)域，例如應(yīng)用服務(wù)器、數(shù)