網(wǎng)絡(luò)及其網(wǎng)絡(luò)安全培訓(xùn)

SOC網(wǎng)絡(luò)基礎(chǔ)福建富士通網(wǎng)安培訓(xùn)教材鄭本飛21234目錄5673VLAN原理VLAN概述

VLAN是虛擬局域網(wǎng)（VirtualLocalAreaNetwork）的簡(jiǎn)稱，它是在一個(gè)物理網(wǎng)絡(luò)上劃分出來(lái)的邏輯網(wǎng)絡(luò)。VLAN的劃分不受網(wǎng)絡(luò)端口的實(shí)際物理位置的限制。VLAN除了沒(méi)有物理位置的限制，它和普通局域網(wǎng)一樣。二層的單播、廣播和多播幀在不同的VLAN之間隔離。所以，如果一個(gè)端口所連接的主機(jī)想要和其它VLAN的主機(jī)通訊，則必須通過(guò)一個(gè)三層設(shè)備。如下圖所示：

4VLAN作用

隔離廣播方便管理提高安全性VLAN原理5VLAN劃分基于子網(wǎng)基于協(xié)議基于端口基于MAC地址VLAN劃分方式VLAN原理針對(duì)交換機(jī)的端口進(jìn)行VLAN的劃分,不受接入主機(jī)變化的影響在一個(gè)物理網(wǎng)絡(luò)中針對(duì)不同的網(wǎng)絡(luò)層協(xié)議進(jìn)行VLAN的劃分基于主機(jī)的MAC地址進(jìn)行VLAN劃分，主機(jī)可以任意在網(wǎng)絡(luò)移動(dòng)而不需要重新劃分針對(duì)不同的用戶分配不同子網(wǎng)的IP地址，從而隔離用戶主機(jī)，一般情況下結(jié)合基于端口的VLAN進(jìn)行應(yīng)用6按業(yè)務(wù)規(guī)劃按部門規(guī)劃可分為工程部、市場(chǎng)部、財(cái)務(wù)部等按地理位置規(guī)劃按應(yīng)用規(guī)劃VLAN規(guī)劃原則VLAN原理7VLAN成員口模式

Access口一個(gè)Trunk口，它可以屬于多個(gè)VLAN，能夠轉(zhuǎn)發(fā)帶不同VLAN標(biāo)簽的幀。可通過(guò)設(shè)置許可VLAN列表來(lái)控制帶許可VLAN標(biāo)簽的幀通過(guò)。一個(gè)Access端口，只能屬于一個(gè)VLAN，并且是通過(guò)手工設(shè)置指定VLAN的。Trunk口Access口用于和用戶相連Trunk口用于交換機(jī)之間的互連VLAN原理8端口類型收發(fā)處理描述Access收幀判斷幀是否帶VLAN標(biāo)簽：如果不帶則封裝Access口的PVID，如果有則判斷該幀的VLAN標(biāo)簽是否和Access口的PVID相同，如果相同，則接收，否則丟棄。發(fā)幀將幀的VLAN標(biāo)簽剝離后，直接發(fā)送。Trunk收幀判斷幀是否帶VLAN標(biāo)簽：如果不帶則封裝端口的PVID，如果有則判斷Trunk口是否允許帶該VLAN標(biāo)簽的幀進(jìn)入，如果允許則接收，否則丟棄。發(fā)幀判斷Tunk端口是否允許帶該VLAN標(biāo)簽的數(shù)據(jù)轉(zhuǎn)發(fā)，如果允許則比較該幀的VLAN標(biāo)簽是否和Trunk口的PVID相同，如果相同則剝離幀的VLAN標(biāo)簽后轉(zhuǎn)發(fā)，如果不相同則帶著VLAN標(biāo)簽在鏈路轉(zhuǎn)發(fā)。如果Trunk口不允許帶該VLAN標(biāo)簽的數(shù)據(jù)轉(zhuǎn)發(fā)，則丟棄該幀。端口對(duì)數(shù)據(jù)幀的處理

VLAN原理9VLAN之間通信

VLAN是建立在物理網(wǎng)絡(luò)基礎(chǔ)上的一種邏輯子網(wǎng)，因此建立VLAN需要相應(yīng)的支持VLAN技術(shù)的網(wǎng)絡(luò)設(shè)備。當(dāng)網(wǎng)絡(luò)中的不同VLAN間進(jìn)行相互通信時(shí)，需要三層中繼功能，既可采用路由器，也可采用三層交換機(jī)來(lái)完成。

三層交換單臂路由VLAN之間路由的方法VLAN原理路由口，子接口封裝dot1qvlan單臂路由實(shí)現(xiàn)VLAN間路由192.168.1.0/24VLAN10192.168.2.0/24VLAN20Gi2/0.10Gi2/0.2010VLAN原理三層交換機(jī)實(shí)現(xiàn)VLAN間路由192.168.1.0/24VLAN10192.168.2.0/24VLAN20192.168.3.0/24VLAN30192.168.4.0/24VLAN40SVI10：192.168.1.1/24SVI20：192.168.2.1/24SVI30：192.168.3.1/24SVI40：192.168.4.1/2411Trunk口，端口屬于VLAN10和20Trunk口，端口屬于VLAN30和40VLAN原理12以太網(wǎng)幀格式

DASATypeDataCRC標(biāo)準(zhǔn)以太網(wǎng)幀DASATypeDataCRCtagTPIDPriorityCFIVLAN

IDTCI帶有IEEE802.1Q標(biāo)記的以太網(wǎng)幀VLAN原理13VLAN標(biāo)簽作用TPID(TagProtocolIdentifier)IEEE定義的類型，共16位，取值為0x8100時(shí)表示802.1QTag幀。Priority這3位指明幀的優(yōu)先級(jí)，一共有8種優(yōu)先級(jí)，0－7，用于QOS。CanonicalFormatIndicator(CFI)值為0說(shuō)明是規(guī)范格式，為1是非規(guī)范格式。在以太網(wǎng)交換機(jī)中，規(guī)范格式指示器總是被設(shè)置為0。由于兼容特性，CFI常用于以太網(wǎng)類型網(wǎng)絡(luò)和令牌環(huán)類型網(wǎng)絡(luò)。VLANIdentified(VLANID)這12位的域，指明VLAN的ID，共有4096個(gè)VLAN。VLAN標(biāo)簽格式說(shuō)明

VLAN原理14802.1qVLAN原理示意圖

HOSTAHOSTBVLAN原理正常以太網(wǎng)幀802.1Q幀Trunk正常以太網(wǎng)幀accessaccess802.1Q幀SW1SW215802.1q處理過(guò)程

VLAN原理16活躍的拓?fù)湓鰪?qiáng)這一步是根據(jù)端口的狀態(tài)來(lái)確定幀可不可以被轉(zhuǎn)發(fā)，哪些端口有轉(zhuǎn)發(fā)的可能。主要有四點(diǎn)規(guī)則：VLAN原理接收幀的端口處于生成樹的轉(zhuǎn)發(fā)狀態(tài)，才有可能轉(zhuǎn)發(fā)幀發(fā)送幀的端口處于生成樹的轉(zhuǎn)發(fā)狀態(tài)，才有可能轉(zhuǎn)發(fā)幀接收幀端口和發(fā)送幀端口不可能是同一個(gè)端口入口規(guī)則檢查17VLAN原理18幀過(guò)濾規(guī)則VLAN原理19

根據(jù)過(guò)濾數(shù)據(jù)庫(kù)信息對(duì)幀進(jìn)行過(guò)濾。根據(jù)目的mac地址和vid值來(lái)查過(guò)濾數(shù)據(jù)庫(kù)表，確定幀要被轉(zhuǎn)發(fā)到哪些端口中去。如果幀是廣播幀，就廣播出去如果是多播幀，按組播地址進(jìn)行轉(zhuǎn)發(fā)如果是未知名單播幀，就泛洪如果是知名單播幀，轉(zhuǎn)發(fā)到特定端口過(guò)濾數(shù)據(jù)庫(kù)的規(guī)則VLAN原理20出口規(guī)則VLAN原理21流分類和計(jì)量

流分類明確地識(shí)別具有相同處理幀的子集，流分類規(guī)則可根據(jù)：目的MAC地址VLANID優(yōu)先級(jí)幀長(zhǎng)幀排隊(duì)轉(zhuǎn)發(fā)進(jìn)程為排隊(duì)的幀提供存儲(chǔ)，等待機(jī)會(huì)傳輸，在同一端口應(yīng)當(dāng)保

存：?jiǎn)尾琕ID，優(yōu)先級(jí)，目的地址和源地址的組合組播幀VID，優(yōu)先級(jí)，目的地址隊(duì)列管理

確定哪些幀將從隊(duì)列中移除，不被傳輸傳輸選擇

默認(rèn)采用算法是，先傳輸優(yōu)先級(jí)別高的幀，再傳輸級(jí)別低的。對(duì)于

同一優(yōu)先級(jí)的幀，采用先來(lái)先傳輸?shù)脑瓌t

VLAN原理22SOC網(wǎng)絡(luò)中的VLAN劃分為配合安全域劃分，進(jìn)行數(shù)據(jù)互訪控制以及隔離廣播風(fēng)暴等，SOC平臺(tái)實(shí)施VLAN劃分，各省根據(jù)互訪隔離需求，將有著相同安全需求的服務(wù)器的劃分到同一VLAN。各省SOC平臺(tái)工程建議采用基于端口的VLAN劃分方法。VLAN原理2323思考回顧根據(jù)802.1q原理思考為什么服務(wù)器雙網(wǎng)卡綁定在SOC拓?fù)淠Ｐ椭胁豢梢圆捎秘?fù)載均衡模式？什么組網(wǎng)模型下服務(wù)器雙網(wǎng)卡綁定可以采用負(fù)載均衡模式？根據(jù)802.1q原理，分析如下兩臺(tái)服務(wù)器是否可以通信？為什么？VLAN原理241234目錄567路由原理及靜態(tài)路由路由器作用實(shí)現(xiàn)不同子網(wǎng)互連路由尋址，數(shù)據(jù)轉(zhuǎn)發(fā)25路由原理及靜態(tài)路由路由即數(shù)據(jù)包從一個(gè)子網(wǎng)轉(zhuǎn)發(fā)到另一個(gè)子網(wǎng)使用路由協(xié)議傳送IP路由信息或靜態(tài)指定路由信息基于IP包的目標(biāo)地址進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)IP包每經(jīng)過(guò)一個(gè)路由器都需要進(jìn)行路由表的查詢26HOSTA192.168.1.010.10.1.0HOSTB將數(shù)據(jù)包轉(zhuǎn)發(fā)到正確的目的地，并在轉(zhuǎn)發(fā)過(guò)程中選擇最佳路徑26R1R2R3R4直連路由通過(guò)接口感知到的直連網(wǎng)絡(luò)；接口配置IP，該接口的物理層和數(shù)據(jù)鏈路層UP路由原理及靜態(tài)路由路由表網(wǎng)段接口f0/0f0/1172.16.20.0/24101.1.1.0/30172.16.20.1/24f0/0f0/120.0.0.0/8101.1.1.1/3027101.1.1.2/30Internet靜態(tài)路由使用靜態(tài)路由命令手工配置，是單向的。配置簡(jiǎn)單，可靠，網(wǎng)絡(luò)安全保密性高，靈活性差。路由原理及靜態(tài)路由28S0S0192.168.1.0/24AB192.168.2.2192.168.2.1目的地為192.168.1.0時(shí)，需將數(shù)據(jù)包轉(zhuǎn)發(fā)給防火墻B的192.168.2.1的接口B默認(rèn)路由在沒(méi)有找到匹配的路由表?xiàng)l目時(shí)才使用的路由。即只有當(dāng)沒(méi)有合適的路由時(shí)，缺省路由才被使用。默認(rèn)路由在網(wǎng)絡(luò)中是非常有用的路由。默認(rèn)路由并不一定都是手工配置的靜態(tài)路由。路由原理及靜態(tài)路由29S0S0192.168.1.0/24AB192.168.2.2192.168.2.1目的地為ANY時(shí)，可將數(shù)據(jù)包轉(zhuǎn)發(fā)給路由器A的192.168.2.2的接口B浮動(dòng)靜態(tài)路由浮動(dòng)靜態(tài)路由就是配置去往同一目的網(wǎng)絡(luò)的多條靜態(tài)路由，它們有不同的路由優(yōu)先級(jí)。鏈路冗余備份作用，優(yōu)先級(jí)高的為主。路由原理及靜態(tài)路由30S0S0192.168.1.0/24AB首選優(yōu)先級(jí)高的路由條目對(duì)應(yīng)的端口，當(dāng)此主鏈路出現(xiàn)故障時(shí)選擇次低優(yōu)先級(jí)的路由條目進(jìn)行轉(zhuǎn)發(fā)S1S1B動(dòng)態(tài)路由適應(yīng)網(wǎng)絡(luò)變化，動(dòng)態(tài)計(jì)算路由。每臺(tái)網(wǎng)絡(luò)設(shè)備都將已知的路由相關(guān)信息發(fā)給相鄰的設(shè)備。動(dòng)態(tài)路由協(xié)議有RIP、OSPF、IS-IS、IGRP、EIGRP、BGP路由原理及靜態(tài)路由31S0S0192.168.1.0/24AB防火墻B通過(guò)路由協(xié)議將已知路由信息通告給路由器AS1S1路由器A通過(guò)路由協(xié)議將已知路由信息通告給防火墻B目的地址下一跳地址網(wǎng)絡(luò)掩碼出接口路由表主要內(nèi)容用來(lái)標(biāo)識(shí)IP包的目的地址或目的網(wǎng)絡(luò)和目的地址一起來(lái)標(biāo)識(shí)目的主機(jī)或路由器所在的網(wǎng)段的地址去往目的地址或目的網(wǎng)絡(luò)的設(shè)備的下一個(gè)IP地址說(shuō)明IP包將從該路由器哪個(gè)接口轉(zhuǎn)發(fā)路由原理及靜態(tài)路由32路由表主要內(nèi)容路由原理及靜態(tài)路由路由器轉(zhuǎn)發(fā)數(shù)據(jù)包的封裝過(guò)程HostAHostBABE0E1E0E1192.168.1.2/2400-11-12-21-11-11192.168.1.1/2400-11-12-21-22-2210.1.1.1/800-11-12-21-33-3310.1.1.2/800-11-12-21-44-44192.168.2.1/2400-11-12-21-55-55192.168.2.2/2400-11-12-21-66-6600-11-12-21-55-5500-11-12-21-66-66SA:192.168.1.2/24DA:192.168.2.2/2400-11-12-21-33-3300-11-12-21-44-44SA:192.168.1.2/24DA:192.168.2.2/2400-11-12-21-22-2200-11-12-21-11-11SA:192.168.1.2/24DA:192.168.2.2/243334ARP數(shù)據(jù)包結(jié)構(gòu)路由原理及靜態(tài)路由35路由原理及靜態(tài)路由IP數(shù)據(jù)包結(jié)構(gòu)源、目的主機(jī)是否同一子網(wǎng)解析網(wǎng)關(guān)/下一跳MAC解析目的主機(jī)MACYESNO源主機(jī)要發(fā)送IP包ARP緩存中是否有IP-MAC條目NOYES發(fā)送ARP請(qǐng)求并在本地建立臨時(shí)條目根據(jù)接收的ARP報(bào)文建立IP-MAC映射條目根據(jù)ARP表中IP-MAC映射條目封裝成幀發(fā)送路由原理及靜態(tài)路由ARP地址解析過(guò)程36NOYESNO報(bào)文封裝

YES查找路由匹配下一跳是否在直連鏈路上IP數(shù)據(jù)包入站以下一跳作為目的地址送往接口轉(zhuǎn)發(fā)路由原理及靜態(tài)路由路由選路過(guò)程37是否存在默認(rèn)路由丟棄YESNO路由原理及靜態(tài)路由路由決策原則38最長(zhǎng)匹配原則路由管理距離路由度量值指IP網(wǎng)絡(luò)中當(dāng)路由表中有多條條目可以匹配目的ip時(shí)，采用掩碼最長(zhǎng)的一條作為匹配項(xiàng)并確定下一跳。如果目的IP地址的掩碼長(zhǎng)度一樣，則比較管理距離，管理距離越小，路由越優(yōu)先。如果目的IP地址的掩碼長(zhǎng)度一樣，管理距離也一樣，則比較度量值，度量值越小，路由越優(yōu)先。路由原理及靜態(tài)路由39靜態(tài)路由一般配置步驟404040思考回顧路由器功能，路由概念？路由選路過(guò)程，路由決策原則？ARP解析過(guò)程？思考以下網(wǎng)絡(luò)配置是否可通？為什么？路由原理及靜態(tài)路由RT1RT2RT3PC1PC2Fa0/1Fa0/2Fa0/1Fa0/2Fa0/1Fa0/210.1.1.1/2410.1.1.254/2420.1.1.1/3020.1.1.2/3030.1.1.1/3030.1.1.2/3040.1.1.254/2440.1.1.1/24RT1路由配置：Iproute0.0.0.00.0.0.0fa0/2RT2路由配置：Iproute10.1.1.0255.255.255.020.1.1.1Iproute40.1.1.1255.255.255.030.1.1.2配置：Iproute10.1.1.0255.255.2550fa0/2411234目錄56742VRRP協(xié)議VRRP(VirtualRouterRedundancyProtocol，虛擬路由器冗余協(xié)議)用于動(dòng)態(tài)的從一組VRRP路由器中選舉一個(gè)主路由器，并關(guān)聯(lián)到一個(gè)虛擬路由器，做為所連接網(wǎng)段的默認(rèn)網(wǎng)關(guān)。VRRP是一種容錯(cuò)協(xié)議，在提高可靠性的同時(shí)，簡(jiǎn)化了主機(jī)的配置。172.16.1.1/2442HOSTAHOSTBHOSTC172.16.1.2/24172.16.1.3/24VirtualIP:172.16.1.254/24Internet主備主在3個(gè)周期內(nèi)沒(méi)收到主設(shè)備的通告報(bào)文43VRRP協(xié)議43VRRP路由器是指運(yùn)行VRRP的路由器，是物理實(shí)體虛擬路由器是指VRRP協(xié)議創(chuàng)建的，是邏輯概念主控路由器和備份路由器一個(gè)VRRP組中有且只有一臺(tái)處于主控角色的路由器，可以有一個(gè)或者多個(gè)處于備份角色的路由器VRRP協(xié)議使用選擇策略從路由器組中選出一臺(tái)作為主控，負(fù)責(zé)ARP響應(yīng)和轉(zhuǎn)發(fā)IP數(shù)據(jù)包，組中的其它路由器作為備份的角色處于待命狀態(tài)。VRRP報(bào)文VRRP控制報(bào)文只有一種：VRRP通告（advertisement)。它使用IP多播數(shù)據(jù)包進(jìn)行封裝，組地址為224.0.0.18，該地址只在本地鏈路有效，不可被路由。VRRP報(bào)文的TTL值必須為255，路由器應(yīng)當(dāng)丟棄TTL值不為255的VRRP報(bào)文。協(xié)議號(hào)為0x70。44VRRP協(xié)議44VRRP搶占模式在VRRP搶占模式下，如果Backup的優(yōu)先級(jí)比當(dāng)前Master的優(yōu)先級(jí)高，將主動(dòng)將自己升級(jí)成Master。在VRRP非搶占模式下，即便Backup的優(yōu)先級(jí)高于當(dāng)前Master的優(yōu)先級(jí)，也不會(huì)升級(jí)成Master，除非當(dāng)前Master故障。優(yōu)先級(jí)取值范圍為1~254。如果VRRP虛擬IP地址與接口IP地址一致，其優(yōu)先級(jí)就為255，此時(shí)無(wú)論VRRP是否處于搶占模式，對(duì)應(yīng)的VRRP組都會(huì)自動(dòng)處于Master狀態(tài)。VRRP選舉VRRP協(xié)議采用簡(jiǎn)單競(jìng)選的方法選擇主設(shè)備。首先比較同一個(gè)VRRP組內(nèi)的各臺(tái)設(shè)備對(duì)應(yīng)接口上設(shè)置的VRRP優(yōu)先級(jí)的大小，優(yōu)先級(jí)最大的為主路由設(shè)備。若優(yōu)先級(jí)相同，則比較對(duì)應(yīng)網(wǎng)絡(luò)接口的IP地址大小，IP地址大的為主路由設(shè)備。VRRP協(xié)議VRRP協(xié)議數(shù)據(jù)包格式45只有一種報(bào)文類型——VRRP通告（ADVERTISEMENT）只有Master才能發(fā)送VRRP通告4600005E0001VRID虛擬路由器的MAC地址的最后一個(gè)字節(jié)是該虛擬路由器的VRIDVRRP協(xié)議虛擬路由器的MAC地址INITIALIZEMASTERBACKUPVRRP協(xié)議VRRP狀態(tài)機(jī)收到shutdown消息收到startdup消息，且優(yōu)先級(jí)是255收到一個(gè)比本地優(yōu)先級(jí)大的VRRP包MASTER_DOWN_TIMER超時(shí)收到startup消息，且優(yōu)先級(jí)小于255收到shutdown消息474848VRRP協(xié)議48Initialize狀態(tài)系統(tǒng)啟動(dòng)后進(jìn)入此狀態(tài)，當(dāng)收到接口startup的消息，將轉(zhuǎn)入Backup（優(yōu)先級(jí)不為255時(shí))或Master狀態(tài)(優(yōu)先級(jí)為255時(shí))。在此狀態(tài)時(shí)，路由器不會(huì)對(duì)VRRP報(bào)文做任何處理。InternetRouterinInitialState115.239.148.2/27RouterinInitialState115.239.148.3/27VirtualRouter115.239.148.1/274949VRRP協(xié)議49Master狀態(tài)定期發(fā)送VRRP組播報(bào)文，發(fā)送免費(fèi)（gratuitous）ARP報(bào)文響應(yīng)對(duì)虛擬IP地址的ARP請(qǐng)求，并且響應(yīng)的是虛擬MAC地址，而不是接口的真實(shí)MAC地址。轉(zhuǎn)發(fā)目的MAC地址為虛擬MAC地址的IP報(bào)文在Master狀態(tài)中只有接收到比自己的優(yōu)先級(jí)大的VRRP報(bào)文時(shí)，才會(huì)轉(zhuǎn)為Backup。只有當(dāng)接收到接口的Shutdown事件時(shí)才會(huì)轉(zhuǎn)為Initialize。InternetRouterinMasterState115.239.148.2/27RouterinBackupState115.239.148.3/27VirtualRouter115.239.148.1/2750VRRP協(xié)議50Backup狀態(tài)接收Master發(fā)送的VRRP報(bào)文，從中了解Master的狀態(tài)響應(yīng)對(duì)虛擬IP地址的ARP請(qǐng)求，不做響應(yīng)丟棄目的MAC地址為虛擬MAC地址的IP報(bào)文丟棄目的IP地址為虛擬IP地址的IP報(bào)文InternetRouterinMasterState115.239.148.2/27RouterinBackupState115.239.148.3/27VirtualRouter115.239.148.1/2751VRRP協(xié)議HOSTA192.168.1.110.10.1.1HOSTBVRRP監(jiān)測(cè)功能根據(jù)上行鏈路的狀態(tài)，改變路由器的優(yōu)先級(jí)。當(dāng)上行鏈路出現(xiàn)故障，局域網(wǎng)內(nèi)的主機(jī)無(wú)法通過(guò)路由器訪問(wèn)外部網(wǎng)絡(luò)時(shí)，被監(jiān)視Track項(xiàng)的狀態(tài)為Negative，并將路由器的優(yōu)先級(jí)降低指定的數(shù)額。從而，使得備份組內(nèi)其它路由器的優(yōu)先級(jí)高于這個(gè)路由器的優(yōu)先級(jí)，成為Master路由器，保證局域網(wǎng)內(nèi)主機(jī)與外部網(wǎng)絡(luò)的通信不會(huì)中斷。在Backup路由器上監(jiān)視Master路由器的狀態(tài)。當(dāng)Master路由器出現(xiàn)故障時(shí)，工作在切換模式的Backup路由器能夠迅速成為Master路由器，以保證通信不會(huì)中斷。RTA主RTB備結(jié)合SOC網(wǎng)絡(luò)思考何時(shí)需要使用VRRP監(jiān)測(cè)功能，何時(shí)不需要？52VRRP協(xié)議VRRP在SOC工程中的應(yīng)用VRRP+VRRP端口監(jiān)測(cè)+路由子接口或路由口VRRP+動(dòng)態(tài)路由+路由子接口或路由口VRRP+SVI口+STP

VRRP+MPLSL2VPN+VPN三層虛接口+路由

53PC1VRRP協(xié)議RT1RT2SW1SW2SWRT1SWRT2思考回顧VRRP怎么選舉主路由器？VRRP工作過(guò)程？根據(jù)下圖，SWRT和RT之間鏈路備份有何方案？541234目錄56755兩個(gè)安全域之間通信流的唯一通道安全域1HostAHostB安全域2HostC

HostD

防火墻原理防火墻基本概念一種高級(jí)訪問(wèn)控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間，它通過(guò)相關(guān)的安全策略來(lái)控制（允許、拒絕、監(jiān)視、記錄）進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為。

UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolActionSource根據(jù)安全策略規(guī)則決定進(jìn)出網(wǎng)絡(luò)的行為56防火墻原理防火墻主要作用強(qiáng)化網(wǎng)絡(luò)安全策略有效的記錄及監(jiān)控網(wǎng)絡(luò)間的通迅活動(dòng)防止內(nèi)部使用者不當(dāng)?shù)氖褂镁W(wǎng)絡(luò)防止來(lái)自非信任網(wǎng)絡(luò)的非法訪問(wèn)位于信任網(wǎng)絡(luò)與非信任之間的系統(tǒng)，避免信任網(wǎng)絡(luò)直接暴露在外面HostAHostB防火墻內(nèi)部網(wǎng)絡(luò)HostC

HostD

防火墻外部網(wǎng)絡(luò)57防火墻原理防火墻工作模式透明模式：也稱“交換模式”或“網(wǎng)橋模式”，在該模式下防火墻的類似二層的交換設(shè)備。防火墻的物理接口上不需配IP，只需在網(wǎng)橋的橋接口上配個(gè)的用于管理的IP。該模式一般用于相同網(wǎng)段的網(wǎng)絡(luò)之間的隔離，不用配置業(yè)務(wù)IP，只需要配置管理IP。10.1.1.1/810.1.1.2/8處于同一廣播域中58防火墻原理防火墻工作模式路由模式：該模式下防火墻類似三層的路由設(shè)備，能夠?qū)崿F(xiàn)不同網(wǎng)段之間的路由轉(zhuǎn)發(fā)和NAT等功能。用于不同網(wǎng)段的不同網(wǎng)絡(luò)之間的隔離，提供路由功能。10.1.1.1/8Internet10.1.1.2/8115.239.148.0/30處于同一廣播域中59防火墻原理防火墻工作模式混合模式：透明模式和路由模式的結(jié)合，防火墻有的接口加入網(wǎng)橋，再把網(wǎng)橋接口與其它接口實(shí)現(xiàn)路由轉(zhuǎn)發(fā)。網(wǎng)絡(luò)結(jié)構(gòu)較為復(fù)雜的特殊環(huán)境,既有相同網(wǎng)段也有不同網(wǎng)段的網(wǎng)絡(luò)環(huán)境。10.1.1.1/810.1.1.2/8Internet115.239.148.0/30處于同一廣播域中處于不同廣播域中60防火墻原理防火墻安全域安全區(qū)域是防火墻區(qū)別于普通網(wǎng)絡(luò)設(shè)備的基本特征之一。以接口為邊界，將業(yè)務(wù)劃分成若干區(qū)域，防火墻的安全策略在區(qū)域或者區(qū)域之間下發(fā)。以接口為邊界進(jìn)行安全域劃分UNTRUST區(qū)域TRUST區(qū)域DMZ區(qū)域61防火墻原理防火墻流和回話流：是一個(gè)單方向的概念，根據(jù)報(bào)文所攜帶的三元組或者五元組唯一標(biāo)識(shí)。根據(jù)IP層協(xié)議的不同，流分為四大類：TCP流：通過(guò)五元組唯一標(biāo)識(shí)UDP流：通過(guò)五元組唯一標(biāo)識(shí)ICMP流：通過(guò)三元組+ICMPtype+ICMPcode唯一標(biāo)識(shí)RAWIP流：不屬于上述協(xié)議的，通過(guò)三元組標(biāo)識(shí)回話：以一個(gè)雙向的概念，一個(gè)會(huì)話通常關(guān)聯(lián)兩個(gè)方向的流，一個(gè)為會(huì)話發(fā)起方（Initiator），另外一個(gè)為會(huì)話響應(yīng)方（Responder）。通過(guò)會(huì)話所屬的任一方向的流特征都可以唯一確定該會(huì)話，以及方向。路由器是基于路由表來(lái)轉(zhuǎn)發(fā)數(shù)據(jù)，而防火墻是基于會(huì)話表來(lái)轉(zhuǎn)發(fā)數(shù)據(jù)62防火墻原理地址轉(zhuǎn)換NAT功能網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation）簡(jiǎn)稱為NAT，是將IP數(shù)據(jù)包包頭中的IP地址轉(zhuǎn)換為另一個(gè)IP地址。隱藏了內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)內(nèi)部網(wǎng)絡(luò)可以使用私有IP地址公網(wǎng)地址不足的網(wǎng)絡(luò)可以使用這種方式提供IP復(fù)用功能Internet202.102.93.54HostAHostB192.168.1.24Eth2：192.168.1.23Eth0：101.211.23.1數(shù)據(jù)IP報(bào)頭數(shù)據(jù)IP報(bào)頭源地址：192.168.1.24目地址：202.102.93.54源地址：101.211.23.1目地址：202.102.93.54101.211.23.26363防火墻原理防火墻SNAT轉(zhuǎn)換10.1.1.1/8Internet10.1.1.2/8115.239.148.1/30HOSTBHOSTA125.29.18.10/24125.29.18.1010.1.1.1:3678125.29.18.1010.1.1.2:5536115.239.148.1:1025125.29.18.10115.239.148.1:1026125.29.18.10125.29.18.1010.1.1.1125.29.18.1010.1.1.2115.239.148.5125.29.18.10115.239.148.6125.29.18.10SNAT動(dòng)態(tài)端口SNAT靜態(tài)SADASADASADASADA6464防火墻原理防火墻DNAT轉(zhuǎn)換10.1.1.1/8Internet10.1.1.2/8115.239.148.1/30HOSTBHOSTA125.29.18.10/2410.1.1.1:22125.29.18.1010.1.1.2:80125.29.18.10125.29.18.10135.19.38.10:22125.29.18.10135.19.38.10:8010.1.1.1125.29.18.1010.1.1.2125.29.18.10125.29.18.10135.19.38.11125.29.18.10135.19.38.12DNAT端口映射DNAT

IP映射SADASADASADASADA65防火墻原理防火墻安全策略策略是網(wǎng)絡(luò)安全設(shè)備的基本功能。默認(rèn)情況下，安全設(shè)備會(huì)拒絕設(shè)備上所有安全域之間的信息傳輸。而策略則通過(guò)策略規(guī)則(PolicyRule)決定從一個(gè)安全域到另一個(gè)安全域的哪些流量該被允許，哪些流量該被拒絕。哪些網(wǎng)絡(luò)流量允許通過(guò)。10.1.1.1/8Internet10.1.1.2/8115.239.148.0/30ANYBlockInternetHostBTCPPassInternetHostADestinationProtocolActionSourceHOSTBHOSTA66防火墻原理防火墻SCVPN為解決遠(yuǎn)程用戶安全訪問(wèn)私網(wǎng)數(shù)據(jù)的問(wèn)題，安全網(wǎng)關(guān)提供基于SSL的遠(yuǎn)程登錄解決方案——SecureConnectVPN，簡(jiǎn)稱為SCVPN。SCVPN功能可以通過(guò)簡(jiǎn)單易用的方法實(shí)現(xiàn)信息的遠(yuǎn)程連通。Internet內(nèi)網(wǎng)網(wǎng)段：172.16.20.0/24SSLVPN隧道Eth1:222.1.1.2/24Zone:untrustEth0:172.16.20.1/24Zone:trust外網(wǎng)網(wǎng)關(guān)：222.1.1.1外網(wǎng)用戶通過(guò)Internet使用SSLVPN接入內(nèi)網(wǎng)67防火墻原理外網(wǎng)或者不信任域內(nèi)部網(wǎng)絡(luò)Eth0Eth0Eth1Eth1Eth2Eth2心跳線ActiveFWStandbyFW檢測(cè)ActiveFirewall的狀態(tài)發(fā)現(xiàn)出故障，立即接管其工作

正常情況下由主防火墻工作主防火墻出故障以后，接管它的工作高可用性--雙機(jī)熱備功能68防火墻原理防火墻基本轉(zhuǎn)發(fā)流程數(shù)據(jù)流入口是否找到已有回話直接轉(zhuǎn)發(fā)YESNO路由是否可達(dá)NO直接丟棄YES策略是否允許通過(guò)NOYES創(chuàng)建回話并轉(zhuǎn)發(fā)防火墻原理69數(shù)據(jù)轉(zhuǎn)發(fā)基本過(guò)程70PC1FW1FW2SW1SW2SWRT1SWRT2思考回顧簡(jiǎn)述防火墻基本轉(zhuǎn)發(fā)流程？簡(jiǎn)述SNAT和DNAT的區(qū)別？根據(jù)下圖，SWRT和FW之間鏈路備份有何方案？防火墻原理711234目錄56772用戶投訴！用戶滿意度下降找不到攻擊源呀未能掌握流量分布和變化！DDoS攻擊和暴力攻擊等不定期經(jīng)常發(fā)生造成局部癱瘓或服務(wù)質(zhì)量嚴(yán)重下降無(wú)法找到攻擊者，攻擊將長(zhǎng)期存在未能掌握整網(wǎng)流量分布和變化情況未能提供個(gè)性報(bào)表，分析網(wǎng)絡(luò)流量情況……異常流量監(jiān)控為什么需要異常流量監(jiān)控73異常流量監(jiān)控異常流量監(jiān)控系統(tǒng)簡(jiǎn)述

異常流量監(jiān)控系統(tǒng)是一款具有功能強(qiáng)大的流量流向分析以及異常流量檢測(cè)的系統(tǒng)，通過(guò)對(duì)網(wǎng)絡(luò)流量信息和系統(tǒng)信息的收集，提供了智能型的流量檢測(cè)、分析、實(shí)時(shí)監(jiān)控等，能夠檢測(cè)網(wǎng)絡(luò)中DoS/DDoS攻擊、蠕蟲病毒及其他網(wǎng)絡(luò)異常事件，能夠迅速且準(zhǔn)確地分類出各類網(wǎng)絡(luò)流量，做出恰當(dāng)?shù)姆治?，并自?dòng)產(chǎn)生各類相關(guān)的內(nèi)建流量報(bào)表。數(shù)據(jù)流量異常流量監(jiān)控系統(tǒng)基于流量鏡像協(xié)議分析基于SNMP的流量監(jiān)測(cè)技術(shù)基于硬件探針的監(jiān)測(cè)技術(shù)基于NetFlow的流量分析技術(shù)異常流量監(jiān)控74流量檢測(cè)技術(shù)流量檢測(cè)技術(shù)75異常流量監(jiān)控?cái)?shù)據(jù)流啟用NetFlow的路由器NetFlow定義NetFlow是是由7個(gè)關(guān)鍵字段標(biāo)識(shí)單方向的連接，Netflow流量信息采集是基于網(wǎng)絡(luò)設(shè)備提供的Netflow機(jī)制實(shí)現(xiàn)的網(wǎng)絡(luò)流量信息采集，在此基礎(chǔ)上實(shí)現(xiàn)的流量信息采集效率和效果均能夠滿足網(wǎng)絡(luò)流量監(jiān)測(cè)的需求。1.SourceAddress2.DestinationAddress3.SourcePort4.DestinationPort5.Layer3Protocol6.TOSByte(DSCP)7.InputInterfaceUDPNetFlow76異常流量監(jiān)控NetFlow處理流程預(yù)處理對(duì)不同類型數(shù)據(jù)流進(jìn)行區(qū)分和準(zhǔn)確計(jì)量后處理數(shù)據(jù)包抽樣過(guò)濾IPIngress&EgressMulticastMPLSIpv6統(tǒng)計(jì)數(shù)據(jù)自動(dòng)匯聚輸出預(yù)處理階段：NetFlow首先對(duì)特定級(jí)別的數(shù)據(jù)流進(jìn)行過(guò)濾或?qū)Ω咚倬W(wǎng)絡(luò)端口進(jìn)行數(shù)據(jù)包抽樣。后處理階段：NetFlow可以把采集到的數(shù)據(jù)流原始統(tǒng)計(jì)信息全部輸出，或者也可以選擇由網(wǎng)絡(luò)設(shè)備自身對(duì)原始統(tǒng)計(jì)信息進(jìn)行多種形式的數(shù)據(jù)匯聚，只把匯總后的統(tǒng)計(jì)結(jié)果發(fā)送給上層管理服務(wù)器。77異常流量監(jiān)控ClientServerRequestResponseTWOflowsforONETCPconnectionClientServerContentONEflowforONEUDPStreamFlowCacheActiveTimeoutInactivetimeoutNetFlow兩個(gè)關(guān)鍵組件NetFlowCacheNetFlowExpert

78SourceIPAddressDestinationIPAddressNextHopAddressSourceASNumberDest.ASNumberSourcePrefixMaskDest.PrefixMaskInputInterfacePortOutputInterfacePortTypeofServiceTCPFlagsProtocolPacketCountByteCountStartTimestampEndTimestampSourceTCP/UDPPortDestinationTCP/UDPPort使用情況QoS時(shí)間端口路由和鄰居接口利用率何去何從異常流量監(jiān)控NetFlow數(shù)據(jù)記錄79NetFlow采樣異常流量監(jiān)控確定式采樣固定的

每N個(gè)報(bào)文采第N個(gè)，

N由用戶指定。隨機(jī)采樣則每N個(gè)報(bào)文

隨機(jī)采其中一個(gè)，N由

用戶指定。被認(rèn)為是最佳的包采

樣技術(shù)。定時(shí)采樣每N毫秒

采樣一個(gè)包，N由

用戶指定。DeterministicSamplingRandomSamplingTimebasedSampling80異常流量分析系統(tǒng)部署結(jié)構(gòu)

異常流量監(jiān)控NetFow/sFlowPacketsManagementChannelCollectorCustomer3CollectorControllerCollectorRegionalNetworkBackbone

NetworkCustomer1Collector81智能流量模型如

本域網(wǎng)絡(luò),相鄰網(wǎng)絡(luò),子網(wǎng),骨干網(wǎng),服務(wù)器,系統(tǒng)能夠自動(dòng)依次產(chǎn)生流量報(bào)表。Needs了解流量的流向和量值.分析流量產(chǎn)生報(bào)表.Benefits通過(guò)少量的配置，從預(yù)定義報(bào)表中獲取大量的數(shù)據(jù)。自動(dòng)優(yōu)化和排除重復(fù)收集的流量數(shù)據(jù)。

全面的數(shù)據(jù)報(bào)表異常流量監(jiān)控網(wǎng)絡(luò)流量分析

82異常流量監(jiān)控定制的流量監(jiān)測(cè)和TOPN排名報(bào)表User-definedTopNUser-definedFilterNeeds預(yù)定義的報(bào)表不能完全滿足

ISP’s需求.e.g.一個(gè)

IDC想知道訪問(wèn)他們?nèi)縒EB服務(wù)器的IP網(wǎng)段。Benefits方便的利用圖形界面配置?？梢岳脜?shù)和邏輯表達(dá)式來(lái)進(jìn)行彈性定制多種

TopN數(shù)據(jù)83異常流量監(jiān)控在線實(shí)時(shí)的流量分析不同范圍的深入挖掘分析，實(shí)時(shí)的提供TopN的流量報(bào)表為故障處理服務(wù)。并且能提供ACL的命令的配置建議。InfoDrill-downintothe

real-timetraffic…Flow

dataSnapshotSnapshotCacheTop-NAnalysis84異常流量監(jiān)控異常流量檢測(cè)多數(shù)的DDoS攻擊者通過(guò)產(chǎn)生巨大的協(xié)議異常的流量來(lái)?yè)砣W(wǎng)絡(luò)帶寬或者提供服務(wù)的主機(jī)進(jìn)程。多數(shù)的黑客發(fā)起

DDoS攻擊是通過(guò)濫用

TCP/UDP/ICMP等協(xié)議.當(dāng)在一個(gè)很短的時(shí)間主機(jī)收到大量的包，它將會(huì)被識(shí)別為一個(gè)DDos攻擊的犧牲者。Protocol-Misuse:DDoSApplicationAnomaly:WormTrafficAnomaly:Zero-DayAttacksDarkIP:DoSbackscatterInterfaceAnomalyCollectorCollectorControllerCustomer1R1R2R3R4R6R51.2.3.4UDPflood1.2.3.4UDPFlood1.2.3.4UDPflood?!?!?!85Group3Group1Group2TrafficMonitoringAnomalyTrafficMonitoringTop-N/SnapshotAnomalyConsoleMSP(ManagementServiceProvider)功能

異常流量監(jiān)控86異常流量監(jiān)控攻擊緩解方法訪問(wèn)控制列表(AccessControlListEntries)：根據(jù)不同的威脅，這些ACLs能被用于網(wǎng)絡(luò)范圍里任何節(jié)點(diǎn)上，從對(duì)小型攻擊來(lái)講用戶匯聚的路由器，到針對(duì)路由基礎(chǔ)設(shè)施攻擊的對(duì)等路由器接口。Blackhole：在網(wǎng)絡(luò)的具體節(jié)點(diǎn)上注入無(wú)效路由把目的IP地址或者源IP地址流量轉(zhuǎn)移到“黑洞”里。與第三方智能過(guò)濾設(shè)備相配合?！?/p>

87異常流量監(jiān)控異常流量監(jiān)控系統(tǒng)異常流量清洗系統(tǒng)客戶2

SOC平臺(tái)124發(fā)送netlfow正常流量發(fā)回客戶發(fā)現(xiàn)攻擊通知SOC平臺(tái)3通知流量清洗系統(tǒng)啟動(dòng)清洗流程流量牽引流量回注牽引流量,對(duì)異常流量進(jìn)行清洗5攻擊停止，通知SOC平臺(tái)客戶31發(fā)送netlow客戶156異常流量清洗流程

881提供網(wǎng)絡(luò)流量統(tǒng)計(jì)分析流量應(yīng)用組成以及如何被利用23監(jiān)測(cè)網(wǎng)絡(luò)流量異常，并找到感染主機(jī)或攻擊源網(wǎng)絡(luò)故障實(shí)時(shí)診斷，提供故障定位45異常流量監(jiān)控系統(tǒng)主要應(yīng)用系統(tǒng)分權(quán)分域功能7

6攻擊緩解以及告警通知異常流量監(jiān)控異常流量分析系統(tǒng)主要應(yīng)用提供詳細(xì)的各種統(tǒng)計(jì)分析圖表數(shù)據(jù)報(bào)表89異常流量監(jiān)控異常流量分析系統(tǒng)基本配置flow原始數(shù)據(jù)獲取被監(jiān)測(cè)設(shè)備SNMP信息獲取BGP路由信息獲取90思考回顧Netflow包含哪七個(gè)元素？Netflow工作原理？

異常流量監(jiān)控系統(tǒng)有哪些作用？

異常流量清洗的工作流程？

異常流量監(jiān)控系統(tǒng)部署模式？異常流量監(jiān)控91911234目錄56792攻擊溯源

流量分析DDOS攻擊檢測(cè)實(shí)時(shí)流量分析實(shí)時(shí)處理性能高快速、準(zhǔn)確DDOS攻擊檢測(cè)運(yùn)營(yíng)商現(xiàn)有流量分析系統(tǒng)特點(diǎn)運(yùn)營(yíng)商現(xiàn)有流量分析系統(tǒng)功能運(yùn)營(yíng)商現(xiàn)有流量分析系統(tǒng)功能及特點(diǎn)93攻擊溯源運(yùn)營(yíng)商現(xiàn)有流量分析系統(tǒng)問(wèn)題只存儲(chǔ)分析結(jié)果，不存儲(chǔ)Netflow原始數(shù)據(jù)不分析歷史Netflow數(shù)據(jù)基于用戶定制的條件對(duì)流量進(jìn)行分析，用戶未提前定制條件的流量事后無(wú)法分析未檢測(cè)到的攻擊無(wú)法進(jìn)行分析分析結(jié)果樣式固定，缺乏個(gè)性化分析功能適合對(duì)大流量的對(duì)象進(jìn)行分析，缺乏基于每個(gè)IP地址的分析功能94攻擊溯源溯源分析系統(tǒng)和現(xiàn)有流量分析系統(tǒng)的區(qū)別定制規(guī)則流量實(shí)時(shí)分析保存分析結(jié)果，丟棄原始數(shù)據(jù)存儲(chǔ)流量信息用戶定制分析規(guī)則對(duì)歷史流量進(jìn)行分析溯源分析系統(tǒng)的使用方法現(xiàn)有流量分析系統(tǒng)的使用方法95攻擊溯源唯一可行的對(duì)互聯(lián)網(wǎng)流量信息保存技術(shù)方式網(wǎng)絡(luò)故障DDOS攻擊分析網(wǎng)絡(luò)流量分析對(duì)互聯(lián)網(wǎng)流量信息的保存對(duì)互聯(lián)網(wǎng)流量的事后分析溯源分析系統(tǒng)的意義96攻擊溯源溯源分析系統(tǒng)和現(xiàn)有流量分析系統(tǒng)的定位現(xiàn)有流量分析系統(tǒng)異常流量檢測(cè)系統(tǒng)流量實(shí)時(shí)分析溯源系統(tǒng)故障分析Arbor/Genie未檢測(cè)到的攻擊分析歷史流量分析Arbor/Genie攻擊告警統(tǒng)計(jì)溯源分析系統(tǒng)是現(xiàn)有流量分析系統(tǒng)的補(bǔ)充溯源分析系統(tǒng)不等于利用現(xiàn)有流量分析系統(tǒng)的功能分析歷史流量97攻擊溯源城域網(wǎng)其它省網(wǎng)其它ISP省網(wǎng)流量分析系統(tǒng)控制器城域網(wǎng)C路由器D路由器。。。。CHINANET骨干網(wǎng)SyslogSNMPNetflow數(shù)據(jù)轉(zhuǎn)發(fā)Netflow數(shù)據(jù)采集器磁盤陣列互聯(lián)網(wǎng)流量溯源分析系統(tǒng)溯源分析系統(tǒng)部署方案98攻擊溯源攻擊溯源系統(tǒng)部署方法系統(tǒng)數(shù)據(jù)源Netflow數(shù)據(jù)來(lái)源Arbor/NTG轉(zhuǎn)發(fā)或者直接接受路由器Netflow數(shù)據(jù)攻擊告警接受Arbor/NTG告警syslog信息路由器信息直接通過(guò)SNMP讀取路由器端口/IP地址等信息

網(wǎng)絡(luò)連接與Arbor/NTG網(wǎng)絡(luò)可達(dá)每臺(tái)服務(wù)器配置1-2個(gè)FE/GE端口99攻擊溯源溯源分析系統(tǒng)主要應(yīng)用提供DDOS攻擊的詳細(xì)分析報(bào)告100攻擊溯源1NetFlow數(shù)據(jù)存儲(chǔ)NetFlow溯源回溯分析2溯源分析系統(tǒng)功能介紹3DDos攻擊分析DDos攻擊源地址分析45DDos攻擊統(tǒng)計(jì)網(wǎng)絡(luò)安全深入分析6101攻擊溯源省網(wǎng)互聯(lián)網(wǎng)溯源系統(tǒng)監(jiān)控范圍建議監(jiān)控省網(wǎng)出入流量監(jiān)控各城域網(wǎng)流量.能夠準(zhǔn)確識(shí)別所分析流量的出入端口監(jiān)控未進(jìn)入C/D路由器的流量監(jiān)控針對(duì)路由器本身的流量監(jiān)控關(guān)鍵業(yè)務(wù)流量各城域網(wǎng)出口路由器關(guān)鍵業(yè)務(wù)路由器省網(wǎng)出口D路由器102攻擊溯源思考回顧

攻擊溯源系統(tǒng)與異常流量監(jiān)控系統(tǒng)的區(qū)別？

攻擊溯源系統(tǒng)的主要功能？1031031234目錄567安全域劃分、邊界整合和安全防護(hù)定義104安全域劃分、邊界整合和安全防護(hù)安全域劃分的必要性相關(guān)網(wǎng)絡(luò)和系統(tǒng)在建設(shè)中缺乏科學(xué)合理的安全建設(shè)思路中國(guó)電信互聯(lián)網(wǎng)及相關(guān)網(wǎng)絡(luò)的建設(shè)是由于不斷增長(zhǎng)的業(yè)務(wù)需求驅(qū)動(dòng)建設(shè)而成的，初始的網(wǎng)絡(luò)建設(shè)大多沒(méi)有統(tǒng)一規(guī)劃，有些系統(tǒng)是獨(dú)立的網(wǎng)絡(luò)，有些系統(tǒng)又是共用一個(gè)網(wǎng)絡(luò)。而這些系統(tǒng)的業(yè)務(wù)特性、安全需求和等級(jí)、使用的對(duì)象、面對(duì)的威脅和風(fēng)險(xiǎn)各不相同；當(dāng)前中國(guó)電信相關(guān)網(wǎng)絡(luò)系統(tǒng)是一個(gè)龐大復(fù)雜的系統(tǒng)，在支持業(yè)務(wù)不斷發(fā)展的前提下，如何保證系統(tǒng)的安全性是一個(gè)巨大的挑戰(zhàn)，對(duì)系統(tǒng)進(jìn)行區(qū)域劃分，進(jìn)行層次化、有重點(diǎn)的保護(hù)是保證系統(tǒng)與網(wǎng)絡(luò)和信息安全的有效手段。網(wǎng)絡(luò)和系統(tǒng)結(jié)構(gòu)復(fù)雜，導(dǎo)致相關(guān)網(wǎng)絡(luò)和系統(tǒng)的安全建設(shè)成效較低部分網(wǎng)絡(luò)和系統(tǒng)存在邊界不清晰、網(wǎng)絡(luò)出口混亂的問(wèn)題業(yè)務(wù)領(lǐng)域之間的連接比較混亂，互連互通沒(méi)有統(tǒng)一控制規(guī)范105安全域劃分、邊界整合和安全防護(hù)安全域劃分原則++業(yè)務(wù)保障原則++等級(jí)保護(hù)原則++結(jié)構(gòu)簡(jiǎn)化原則++生命周期原則結(jié)合承載網(wǎng)、業(yè)務(wù)系統(tǒng)及各支撐系統(tǒng)的現(xiàn)狀，建立持續(xù)保障機(jī)制，能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證業(yè)務(wù)正常運(yùn)行的前提下，保護(hù)相關(guān)網(wǎng)絡(luò)及系統(tǒng)的安全明確防護(hù)需求，對(duì)系統(tǒng)的風(fēng)險(xiǎn)、安全需求進(jìn)行分析和修正，把復(fù)雜巨大的系統(tǒng)分解為簡(jiǎn)單而結(jié)構(gòu)化的小區(qū)域，以便于防護(hù)和管理。安全域劃分并不是粒度越細(xì)越好，安全域數(shù)量過(guò)多過(guò)雜往往會(huì)導(dǎo)致安全域的管理過(guò)于復(fù)雜和困難。屬于同一安全域內(nèi)的系統(tǒng)應(yīng)互相信任，即保護(hù)需求相同。建立評(píng)估與監(jiān)控機(jī)制，設(shè)計(jì)防護(hù)機(jī)制的強(qiáng)度和保護(hù)等級(jí)。要做到每個(gè)安全域的信息資產(chǎn)價(jià)值相近，具有相同或相近的安全等級(jí)、安全環(huán)境、安全策略等安全域的劃分還要考慮到由于需求、環(huán)境不斷變化帶來(lái)的影響。因此，安全域的劃分還需要考慮在相關(guān)網(wǎng)絡(luò)及系統(tǒng)的需求設(shè)計(jì)、建設(shè)、運(yùn)行維護(hù)等各個(gè)階段進(jìn)行審查，以保證安全域的有效性。106安全域劃分、邊界整合和安全防護(hù)安全域劃分方法根據(jù)上述原則，數(shù)據(jù)業(yè)務(wù)系統(tǒng)可將安全域劃分為交互網(wǎng)絡(luò)域、計(jì)算

域、維護(hù)域、服務(wù)域等四個(gè)安全子域。107安全域劃分、邊界整合和安全防護(hù)安全域劃分方法(續(xù))交互網(wǎng)絡(luò)域：交互網(wǎng)絡(luò)域是由連接具有相同安全等級(jí)的計(jì)算域、維護(hù)域和服務(wù)域的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)拓?fù)浣M成，作為安全子域與IP承載網(wǎng)的統(tǒng)一接口區(qū)域，一般分為互聯(lián)網(wǎng)接入?yún)^(qū)、專線接入?yún)^(qū)和內(nèi)網(wǎng)接入?yún)^(qū)。交互網(wǎng)絡(luò)域通常包括路由器、交換機(jī)、防火墻等設(shè)備，是安全域的承載子域。指上聯(lián)互聯(lián)網(wǎng)的邏輯接入分區(qū)VPN或者專線網(wǎng)絡(luò)接入IP承載網(wǎng)的邏輯接入分區(qū)直連到公司內(nèi)部網(wǎng)絡(luò)（例如DCN等）的邏輯接入分區(qū)互聯(lián)網(wǎng)接入?yún)^(qū)專線接入?yún)^(qū)內(nèi)網(wǎng)接入?yún)^(qū)108安全域劃分、邊界整合和安全防護(hù)安全域劃分方法(續(xù))指安全域內(nèi)部的計(jì)算域、服務(wù)域、維護(hù)域業(yè)務(wù)域計(jì)算域指在安全域范圍內(nèi)負(fù)責(zé)存儲(chǔ)、傳輸、處理業(yè)務(wù)數(shù)據(jù)的計(jì)算機(jī)（主機(jī)/服務(wù)器）或集群組成的區(qū)域，例如應(yīng)用服務(wù)器、數(shù)