1、企業(yè)網(wǎng)絡介紹,課程適用范圍說明,本課程適用于有以下基礎(chǔ)的學員學習：需要通過網(wǎng)絡基礎(chǔ)培訓。推薦書籍網(wǎng)絡工程原理與實踐教程（人民郵電出版社出版，公司培訓部書籍編號TD-257）,課程提綱,內(nèi)容： 一、企業(yè)網(wǎng)絡的架構(gòu) 二、企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù),企業(yè)網(wǎng)絡的架構(gòu),,根據(jù)企業(yè)的大小網(wǎng)絡構(gòu)架可分為： 中小型企業(yè)的網(wǎng)絡構(gòu)架 大型企業(yè)的網(wǎng)絡構(gòu)架,企業(yè)網(wǎng)絡的架構(gòu),,1、中小型企業(yè)的網(wǎng)絡構(gòu)架（類

2、型1）。,,,,互聯(lián)網(wǎng),,集線器/交換機/寬帶路由器,應用服務器,ADSL貓,,局域網(wǎng),企業(yè)網(wǎng)絡的架構(gòu),,2、中小型企業(yè)的網(wǎng)絡結(jié)構(gòu)介紹（類型1）。 這類中小型企業(yè)一般是指人數(shù)不多，通常不存在駐外機構(gòu)的企業(yè)。 目前在這類中小型企業(yè)的局域網(wǎng)中用普通集線器或便宜的以太網(wǎng)交換機或?qū)拵酚善鱽斫M建網(wǎng)絡，除配置辦公用的個人電腦（PC）外，通常會搭建一個簡單的辦公用服務器，如文件共享服務器。另外為了獲取互聯(lián)網(wǎng)信息，通常會租

3、用ADSL通過撥號上網(wǎng)或小區(qū)寬帶共享方式上網(wǎng)。 小區(qū)寬帶共享方式是指一個小區(qū)所有用戶共享一條專線（通常為10Mb/s），這種情況下當小區(qū)內(nèi)很多用戶在同時上網(wǎng)時容易造成網(wǎng)絡擁塞。而ADSL方式通常下載帶寬在2Mb/s，上傳為512Kb/s，但它是單個用戶獨享，因此更能提供可靠帶寬保證。 這類中小型企業(yè)最主要的應用為： 1）內(nèi)部網(wǎng)絡互聯(lián)、資源共享和辦公自動化（OA）。 2）

4、登錄Internet，獲取外部資源。,企業(yè)網(wǎng)絡的架構(gòu),,3、中小型企業(yè)的網(wǎng)絡構(gòu)架（類型2）。,,,,,,,,,互聯(lián)網(wǎng),,,,,,NAT服務器/防火墻,公司總部,交換機,應用服務器,ADSL貓,寬帶路由器,辦事處1,辦事處2,小區(qū)寬帶,企業(yè)網(wǎng)絡的架構(gòu),,4、中小型企業(yè)的網(wǎng)絡結(jié)構(gòu)介紹（類型2）。 這類中小型企業(yè)一般是指人數(shù)在500人以下，存在少量駐外機構(gòu)，如辦事處等的企業(yè)。 在企業(yè)總部的局域網(wǎng)中用普通以太網(wǎng)交換機

5、來組建網(wǎng)絡，除配置辦公用的個人電腦（PC）外，通常會搭建一個或幾個簡單的服務器，如文件共享服務器，文件傳輸服務器，網(wǎng)頁服務器等。另外為了方便的利用互聯(lián)網(wǎng)，通常會租用專線上網(wǎng)，并獲取一個固定的公網(wǎng)地址，企業(yè)內(nèi)部服務器通常會向互聯(lián)網(wǎng)發(fā)布，在局域網(wǎng)與互聯(lián)網(wǎng)間搭建NAT服務器，并在NAT服務器起用基本的防火墻功能。局域網(wǎng)中的電腦通過NAT服務器上互聯(lián)網(wǎng)。 企業(yè)的駐外機構(gòu)，目前通常采用ADSL或小區(qū)寬帶共享方式上網(wǎng)，為了讓多人同時上

6、網(wǎng)，采用集線器、便宜的交換機、寬帶路由器連接多臺電腦。 在企業(yè)總部由于人員數(shù)量較多，通常會配備一個小型的程控交換機來滿足企業(yè)內(nèi)部人員電話聯(lián)系的需要。,企業(yè)網(wǎng)絡的架構(gòu),,5、中小型企業(yè)的網(wǎng)絡結(jié)構(gòu)介紹（類型2續(xù)）。 這類中小型企業(yè)最主要的應用為： 1）內(nèi)部網(wǎng)絡互聯(lián)、資源共享和辦公自動化（OA）。 2）登錄Internet，獲取外部資源。 3）通過互聯(lián)網(wǎng)

7、對外提供服務。 4）駐外機構(gòu)的遠程接入和互聯(lián)。,企業(yè)網(wǎng)絡的架構(gòu),,6、中小型企業(yè)的網(wǎng)絡構(gòu)架（類型3）。,,,,,,,,,互聯(lián)網(wǎng),數(shù)字數(shù)據(jù)網(wǎng),,,,,,NAT服務器/防火墻,公司總部,三層交換機或路由器,寬帶路由器,辦事處1,辦事處2,小區(qū)寬帶,應用服務器組,,,,,重要分支機構(gòu),ADSL貓,企業(yè)網(wǎng)絡的架構(gòu),,7、中小型企業(yè)的網(wǎng)絡結(jié)構(gòu)介紹（類型3）。 這類中小型企業(yè)一般是指人數(shù)在500人以上，存在較多的駐外機

8、構(gòu)及少數(shù)重要分支機構(gòu)的企業(yè)。 在企業(yè)總部的部門較多，在其局域網(wǎng)中通常辦公用的電腦也較多，需要用具有三層功能的交換機或路由器作為骨干通信設(shè)備，普通以太網(wǎng)交換機來接入不同樓層或部門的電腦組建網(wǎng)絡，通常會搭建多個服務器，而且應用也更復雜，如會自己搭建并管理本企業(yè)的郵件服務器等。為了充分的利用互聯(lián)網(wǎng)，通常會租用專線與互聯(lián)網(wǎng)連接，并獲取一個或一組固定的公網(wǎng)地址。企業(yè)內(nèi)部服務器通常會向互聯(lián)網(wǎng)發(fā)布，以滿足經(jīng)營及駐外機構(gòu)與公司聯(lián)系的需要。

9、在局域網(wǎng)與互聯(lián)網(wǎng)間搭建NAT服務器，并會配置專業(yè)的防火墻來保護內(nèi)部局域網(wǎng)。這樣局域網(wǎng)中的電腦就能比較安全通過NAT服務器上互聯(lián)網(wǎng)。 企業(yè)重要的駐外分支機構(gòu)考慮到重要性及通信要求，通常租用DDN專線直接與企業(yè)總部相連，相當于企業(yè)總部局域網(wǎng)的延伸。 企業(yè)的其它駐外機構(gòu)，目前通常采用ADSL或小區(qū)寬帶共享方式上網(wǎng)，為了讓多人同時上網(wǎng)，采用集線器、便宜的交換機、寬帶路由器連接多臺電腦。,企業(yè)網(wǎng)絡的架構(gòu),,根據(jù)企業(yè)的大

10、小網(wǎng)絡構(gòu)架可分為： 中小型企業(yè)的網(wǎng)絡構(gòu)架 大型企業(yè)的網(wǎng)絡構(gòu)架,企業(yè)網(wǎng)絡的架構(gòu),,1、大型企業(yè)的網(wǎng)絡構(gòu)架。,,,,,,,,,互聯(lián)網(wǎng),,,,,,NAT服務器/防火墻,公司總部,三層交換機或路由器,專賣店,辦事處,小區(qū)寬帶,,,,,分公司/區(qū)域總部,數(shù)字數(shù)據(jù)網(wǎng),,,,應用服務器組,ADSL貓,寬帶路由器,企業(yè)網(wǎng)絡的架構(gòu),,2、大型企業(yè)的網(wǎng)絡結(jié)構(gòu)介紹。 大型企業(yè)一般是指人數(shù)在1000人以上，存在很多的駐

11、外機構(gòu)及較多的重要分支機構(gòu)或分公司或區(qū)域總部的企業(yè)。 在企業(yè)總部的部門多，在其局域網(wǎng)中通常辦公用的電腦也較多，需要用具有三層功能的高端交換機或路由器作為骨干通信設(shè)備，普通以太網(wǎng)交換機來接入不同樓層或部門的電腦組建網(wǎng)絡，通常會搭建很多的應用服務器，而且應用復雜。為了充分的利用互聯(lián)網(wǎng)，通常會租用專線與互聯(lián)網(wǎng)連接，并獲取一組固定的公網(wǎng)地址。企業(yè)內(nèi)部服務器通常會向互聯(lián)網(wǎng)發(fā)布或直接掛在互聯(lián)網(wǎng)上，以滿足經(jīng)營及駐外各類機構(gòu)與公司聯(lián)系的需

12、要。在局域網(wǎng)與互聯(lián)網(wǎng)間搭建NAT服務器，并會配置各類專業(yè)的防火墻來保護內(nèi)部局域網(wǎng)。這樣局域網(wǎng)中的電腦就能比較安全通過NAT服務器上互聯(lián)網(wǎng)。 企業(yè)重要的駐外分支機構(gòu)或分公司考慮到重要性及通信要求，通常租用DDN專線直接與企業(yè)總部相連，相當于企業(yè)總部局域網(wǎng)的延伸，另也會租用專線直接與互聯(lián)網(wǎng)相聯(lián)。分公司或區(qū)域總部也可能會有自己的駐外機構(gòu)，相當于一個中型企業(yè)。,企業(yè)網(wǎng)絡的架構(gòu),,3、大型企業(yè)的網(wǎng)絡結(jié)構(gòu)介紹（續(xù)）。 企

13、業(yè)的其它駐外機構(gòu)，如專賣店、辦事處、銷售點、營業(yè)網(wǎng)點，目前通常采用ADSL或小區(qū)寬帶共享方式上網(wǎng)，為了讓多人同時上網(wǎng)，采用集線器、便宜的交換機、寬帶路由器連接多臺電腦。為了信息安全可能會采用VPN技術(shù)與總部、分公司或區(qū)域總部連接。,企業(yè)網(wǎng)絡的架構(gòu),,4、企業(yè)網(wǎng)中常用術(shù)語介紹。 LAN：Local Area Network 局域網(wǎng) HUB：集線器 SWITCH：通常指以太網(wǎng)交換機

14、 SOHO：Small Office and Home Office 小型辦公及家庭辦公 SOHO ROUTER：小型辦公及家庭辦公用路由器，通常指寬帶路由器 ADSL：Asymmetric Digital Subscriber Loop 不對稱數(shù)字用戶服務線 ADSL MODEM：ADSL貓 APPLICATION SERVER：泛指企業(yè)的應用服務器，如：辦公用的

15、共享服務器等。 INTERNET：互聯(lián)網(wǎng) PSTN：Public Switch Telephone Network 公共交換電話網(wǎng),企業(yè)網(wǎng)絡的架構(gòu),,5、企業(yè)網(wǎng)中常用術(shù)語介紹。（續(xù)） L3：Layer 3 OSI的第三層即網(wǎng)絡層 L3 SWITCH：三層交換機，指具有IP路由功能的以太網(wǎng)交換機 ROUTER：路由器，指企業(yè)用處理能力較強，功能效多的路由器

16、。 APPLICATION SERVER CLUSTER：應用服務器組，一般由共享服務器、WWW服務器、FTP服務器、SMTP/POP3郵件服務器等組成。 NAT：Network Adress Translation 網(wǎng)絡地址轉(zhuǎn)換 FIREWALL：防火墻 DDN：Digital Data Network 數(shù)字數(shù)據(jù)網(wǎng) VPN：Virtual Private

17、 Network 虛擬私有網(wǎng)絡,課程提綱,內(nèi)容： 一、企業(yè)網(wǎng)絡的架構(gòu) 二、企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù),企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù),,常用術(shù)語介紹。 私網(wǎng)：通常指企業(yè)的內(nèi)部局域網(wǎng)，也稱內(nèi)網(wǎng)。 公網(wǎng)：通常指互聯(lián)網(wǎng)，也稱外網(wǎng)。 IP：Internet Protocol 互聯(lián)網(wǎng)協(xié)議 TCP：Transfer Control Protocol 傳

18、輸控制協(xié)議 UDP：User Datagram Protocol 用戶數(shù)據(jù)報協(xié)議,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù),,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)： DHCP DNS/DDNS NAT FIREWALL PROXY IDS/IPS GAP QoS VPN PPPOE,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)(DHCP),,

19、1、DHCP的概念與用途。 DHCP的英文全名為Dynamic Host Configuration Protocol，中文意思為動態(tài)主機配置協(xié)議。 通過在企業(yè)網(wǎng)內(nèi)搭建DHCP服務器，可為企業(yè)內(nèi)的每臺電腦（即主機）動態(tài)的分配IP、子網(wǎng)掩碼(Netmask)、網(wǎng)關(guān)(Gateway)等等。 DHCP服務器還可以將一些IP保留下來給一些特殊用途的機器使用；也可以按照MAC地址來分配固定的IP地址。

20、,,DHCP Client,DHCP Server,請求主機配置信息,,回復主機配置信息,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)(DHCP),,2、DHCP的優(yōu)缺點。 DHCP服務的優(yōu)點： 1）網(wǎng)絡管理員可以方便的設(shè)置電腦的IP地址和其它參數(shù)，而不用一個一個設(shè)置； 2）DHCP不會同時租借相同的IP地址給兩臺主機； 3）DHCP管理員可以約束特定的計算機使用特定的IP地址； 4

21、）可以為每個DHCP作用域設(shè)置很多選項； 5）客戶機在不同子網(wǎng)間移動時不需要重新設(shè)置IP地址?！　HCP服務的缺點： 1）DHCP服務器不能發(fā)現(xiàn)網(wǎng)絡上非DHCP客戶機已經(jīng)在使用的IP地址，無法解決用戶自行配置IP地址的問題； 2）當網(wǎng)絡上存在多個DHCP服務器時，一個DHCP服務器不能查出已被其它服務器租出去的IP地址； 3）DHCP服務器不能跨路由器與客戶機通信，除

22、非路由器起用DHCP代理轉(zhuǎn)發(fā)。,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)(DHCP),,3、思考。 主機能從DHCP服務器獲取哪些配置信息？,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù),,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)： DHCP DNS/DDNS NAT FIREWALL PROXY IDS/IPS GAP QoS VPN PPPOE

23、,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)(DNS/DDNS),,1、DNS的概念與用途。 DNS的英文全名為Domain Name System，中文意思為域名管理系統(tǒng)，系統(tǒng)提供域名注冊、解析、查詢服務。 域名通常是指Internet上用來尋找網(wǎng)站或主機所用的名字，是Internet 上的重要標識，他比IP地址更容易記憶，但網(wǎng)絡不能直接識別域名。 通過DNS服務器能把域名轉(zhuǎn)換成為網(wǎng)絡可以識別的 IP 地址，

24、這一過程稱為正向查詢。比如：我們上網(wǎng)時輸入的www.163.com可能會自動轉(zhuǎn)換成為 202.108.42.72 。因此DNS服務主要讓人們通過容易記憶的名字（域名）而不是直接用難記的IP地址來訪問互連網(wǎng)。DNS服務器也能進行反向查詢，通過已知的IP地址來確定其域名，反向查詢主要用來確認域名的正確性。 在Internet 上通常需要一組專門的服務器及組織來負責域名服務管理，且域名需要向?qū)ｉT的域名管理機構(gòu)先申請才能使用。企業(yè)

25、內(nèi)部也可以部署自己DNS服務器來負責企業(yè)內(nèi)部的域名服務。,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)(DNS/DDNS),,2、DDNS的概念與用途。 DDNS的英文全名為Dynamic Domain Name System，中文意思為動態(tài)域名管理系統(tǒng)。 DNS只能查詢域名與固定IP地址間的關(guān)系。 有些情況下，獲取的互聯(lián)網(wǎng)地址是不斷變動的，如用ADSL撥號上網(wǎng)時。在這種情況下要在互聯(lián)網(wǎng)上發(fā)布申請好的域名，讓其他人來

26、訪問，需要要由域名轉(zhuǎn)換得到網(wǎng)絡可識別的動態(tài)變化的IP地址，這時只有DDNS才可以作到。它使在公司或家里構(gòu)建的主機，雖然每次接入互聯(lián)網(wǎng)的地址不同，但仍能通過域名方式與其他用戶交流。,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)(DNS/DDNS),,3、DNS/DDNS的優(yōu)缺點。 DNS/DDNS的優(yōu)點： 1）可以通過容易記憶的名字來互相訪問交流信息。 2）另外主機有域名后，主機IP地址變更并注冊后，其他用戶仍能通

27、過域名方式訪問。 DNS/DDNS的缺點： 1）互聯(lián)網(wǎng)上的域名通常需要花一定費用注冊后才能使用。 2）動態(tài)DNS系統(tǒng)對內(nèi)網(wǎng)用戶系統(tǒng)支持能力不足，現(xiàn)在對于內(nèi)網(wǎng)用戶的支持絕大部分都是采用登入服務器方式，用戶網(wǎng)站的所有信息都必須先通過提供商的服務器再傳輸出去，給用戶帶來許多不便。 3）由于DNS特有的本地保存DNS信息特點（需要一段時間才能更新），可能出現(xiàn)一種現(xiàn)象，用戶由于重新

28、登入，在DNS服務器的IP記錄已經(jīng)更改，但是在本地仍然保留原有的IP地址，造成了IP地址指向出現(xiàn)錯誤。,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)(DNS/DDNS),,4、思考。 為什么要用DNS？,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù),,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)： DHCP DNS/DDNS NAT FIREWALL PROXY IDS/IPS GAP

29、 QoS VPN PPPOE,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)(NAT),,1、NAT的概念與用途。 NAT的英文全名為Netwok Address Translation，中文意思為網(wǎng)絡地址轉(zhuǎn)換或網(wǎng)絡地址翻譯，是一種將IP地址從一個編址域映射到另外一個編址域的方法。 NAT主要是解決互聯(lián)網(wǎng)地址短缺問題，最典型的應用是把私有IP地址映射到Internet所使用的公有IP地址，達到私網(wǎng)（內(nèi)

30、網(wǎng)）用戶不用擁有公有（外網(wǎng)）IP地址也能訪問Internet的目的。 為達到網(wǎng)絡地址轉(zhuǎn)換的目的，在NAT服務器上需要配置兩塊網(wǎng)卡，分別配置與私網(wǎng)連接的地址及與公網(wǎng)連接的地址，公網(wǎng)地址可能是一個或一組。,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)(NAT),,2、NAT的分類。 傳統(tǒng)NAT可分為： 基本NAT與NAPT（Netwok Address Port Translation網(wǎng)絡地址端口翻譯），其中NAPT是目

31、前主要的應用型式。,傳統(tǒng)NAT,,基本NAT,NAPT,,,,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)(NAT),,3、NAT的分類（續(xù)1）。 基本NAT擁有多個公開IP地址，當位于內(nèi)部網(wǎng)絡的主機向外部主機發(fā)起會話請求時，把內(nèi)部地址翻譯成全球惟一的公開IP地址。如果內(nèi)部網(wǎng)絡中主機的數(shù)目不大于NAT所擁有的公開IP地址的數(shù)目，則可以保證每個內(nèi)部地址都可以映射到一個公開的IP地址，否則允許同時連接到外部網(wǎng)絡的內(nèi)部主機的數(shù)目會受到NAT公開IP

32、地址數(shù)量的限制。 基本NAT只對IP地址相關(guān)的部分做轉(zhuǎn)換，對傳輸層的端口不做轉(zhuǎn)換。如果強制將固定外網(wǎng)地址映射為固定內(nèi)網(wǎng)地址，則可稱為靜態(tài)NAT映射，既把特定內(nèi)部主機映射為一個特定的外部地址，保證了外部對內(nèi)部主機的訪問。 NAPT對IP地址及端口都做轉(zhuǎn)換。如果強制將外網(wǎng)地址的某個固定端口映射為固定內(nèi)網(wǎng)地址的某個固定端口則可稱為靜態(tài)端口映射，保證了外部通過特定端口對內(nèi)部主機特定端口的訪問。目前內(nèi)網(wǎng)應用服務器的

33、對外發(fā)布通常采用該方式。,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)(NAT),,4、NAT的實現(xiàn)過程。 1）首先在NAT服務器上啟用NAT服務器，本例192.168.0.254為NAT服務器上的內(nèi)網(wǎng)地址，202.0.0.2為NAT服務器上的外網(wǎng)地址。 2）內(nèi)網(wǎng)Host A發(fā)起外網(wǎng)訪問，如192.168.0.1:1700發(fā)數(shù)據(jù)包給任意外網(wǎng)Host B（地址X:端口P），首先會將數(shù)據(jù)包發(fā)給NAT服務器上的內(nèi)網(wǎng)地址192.168.0.

34、254。 3）NAT服務器收到Host A的數(shù)據(jù)包會將數(shù)據(jù)包的源地址及源端口替換，如替換為202.0.0.2:2000（該端口由NAT服務器根據(jù)規(guī)則指定）；并發(fā)給外網(wǎng)Host B（地址X:端口P），并在NAT服務器中建立并維護了一個源地址:端口+替換后的源地址:端口+目標地址:端口間的映射關(guān)系表： 192.168.0.1:1700202.0.0.2:2000地址X:端口P,NAT Server,,,,Int

35、ernet,,,外網(wǎng)Host B,內(nèi)網(wǎng)Host A,192.168.0.1：1700,202.0.0.2：2000,地址X:端口P,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)(NAT),,5、NAT的實現(xiàn)過程（續(xù)）。 4）地址X:端口P發(fā)數(shù)據(jù)包給202.0.0.2:2000時，NAT服務器將數(shù)據(jù)包的目的地址及目的端口202.0.0.2:2000替換為192.168.0.1:1700并發(fā)給192.168.0.1:1700。,NAT Server,

36、,,,,,,外網(wǎng)Host,私網(wǎng)Host A,192.168.0.1：1700,202.0.0.2：2000,任何外網(wǎng)地址:任意端口,Internet,,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)(NAT),,6、NAT的優(yōu)缺點。 NAT的優(yōu)點： 1）在互聯(lián)網(wǎng)地址目前緊張的情況下，節(jié)省了互聯(lián)網(wǎng)地址（IPv4）空間。 NAT的缺點： 1）破壞了Internet最基本的“端到端的透明性”的設(shè)計理念，

37、增加了網(wǎng)絡的復雜性，阻礙了業(yè)務的創(chuàng)新與應用。 2）通過NAT造成地址欺騙也給網(wǎng)絡帶來安全性問題。,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)(NAT),,7、思考。 常見的NAT是那種類型?NAT模式下外網(wǎng)主機能否直接訪問內(nèi)網(wǎng)主機?,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù),,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)： DHCP DNS/DDNS NAT FIREWALL PROXY

38、IDS/IPS GAP QoS VPN PPPOE,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)(FIREWALL),,1、FIREWALL的概念與用途。 FIREWALL的中文意思為防火墻。 通常防火墻搭建在內(nèi)網(wǎng)與外網(wǎng)之間，具有以下特點： 1）防火墻默認禁止所有訪問?！?2）只有本地安全策略所定義的合法訪問才被允許通過它； 3

39、）由內(nèi)到外和由外到內(nèi)的所有訪問都必須通過它； 因此防火墻可以防止外來入侵，過濾不安全服務，過濾非法用戶和非法訪問。 防火墻通常都具有NAT功能。,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)(FIREWALL),,2、FIREWALL的分類。 防火墻可分為： 包過濾防火墻 （Packet Filtering Firewall） 應用代理防火墻（Application Pr

40、oxy Firewall） 狀態(tài)監(jiān)視防火墻（Stateful Inspection Firewall） 包過濾防火墻通常工作在網(wǎng)絡及傳輸層，通過預先設(shè)定好的網(wǎng)絡地址、端口、協(xié)議類型等規(guī)則進行過濾。 應用代理防火墻工作在應用層，它可以對網(wǎng)絡中任何一層數(shù)據(jù)通信進行篩選保護，采用應用協(xié)議分析技術(shù)對數(shù)據(jù)進行分析，而不是像包過濾那樣，只是對網(wǎng)絡及傳輸層的數(shù)據(jù)進行過濾。 狀態(tài)監(jiān)視防火墻在每

41、個連接建立時，防火墻會為這個連接構(gòu)造一個會話狀態(tài)，里面包含了這個連接數(shù)據(jù)包的所有信息；結(jié)合了包過濾技術(shù)和應用代理技術(shù)。 目前常見的防火墻都具有包過濾與應用代理的功能。,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)(FIREWALL),,3、FIREWALL的實現(xiàn)過程。 1）內(nèi)網(wǎng)與外網(wǎng)間的數(shù)據(jù)都需要通過防火墻； 2）讓滿足本地安全策略所定義的合法數(shù)據(jù)通過； 3）其他數(shù)據(jù)丟棄。,FIREWALL,,,,Int

42、ernet,,,外網(wǎng)Host B,內(nèi)網(wǎng)Host A,,,讓合法數(shù)據(jù)通過,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)(FIREWALL),,4、FIREWALL的優(yōu)缺點。 每類防火墻都有自己的優(yōu)缺點。 包過濾防火墻最大的優(yōu)點： 1）價格較低、對用戶透明、對網(wǎng)絡性能的影響很小、速度快、易于維護。 包過濾防火墻的缺點： 1）包過濾配置起來比較復雜、它只能依據(jù)包頭信息，而不能對用戶身份進行驗證，

43、很容易受到“地址欺騙型”攻擊、它沒有用戶的使用記錄，這樣就不能從訪問記錄中發(fā)現(xiàn)黑客的攻擊記錄。 應用代理防火墻的優(yōu)點： 1）安全，可以將被保護的網(wǎng)絡內(nèi)部結(jié)構(gòu)屏蔽起來，增強網(wǎng)絡的安全性； 2）可用于實施較強的數(shù)據(jù)流監(jiān)控、過濾、記錄和報告等。,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)(FIREWALL),,5、FIREWALL的優(yōu)缺點。 應用代理防火墻的缺點： 1）訪問速度相對比較慢，容易

44、會成為內(nèi)外部網(wǎng)絡之間的瓶頸，因為它不允許內(nèi)部用戶直接訪問外部網(wǎng)絡； 2）應用級網(wǎng)關(guān)需要針對每一個特定的服務安裝相應的代理服務器軟件，這會帶來兼容性問題。 狀態(tài)監(jiān)視器防火墻的優(yōu)點： 1）檢測模塊支持多種協(xié)議和應用程序，并可以很容易地實現(xiàn)應用和服務的擴充； 2）防范攻擊較堅固。 狀態(tài)監(jiān)視器防火墻的缺點： 1）配置非常復雜、會降低網(wǎng)絡的速度。,企業(yè)網(wǎng)常用的

45、網(wǎng)絡技術(shù)(FIREWALL),,6、思考。 怎樣才能穿過防火墻？,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù),,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)： DHCP DNS/DDNS NAT FIREWALL PROXY IDS/IPS GAP QoS VPN PPPOE,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)(PROXY),,1、PROXY的

46、概念與用途。 PROXY的中文意思為代理，即你的要求由他人代為處理的意思。 通常代理服務器搭建在內(nèi)網(wǎng)與外網(wǎng)之間，它接收或解釋客戶端連接并發(fā)起到服務器的新連接。它是客戶端/服務器關(guān)系的中間人。它可用于多個目的，最基本的功能是連接，此外還包括安全性、緩存、內(nèi)容過濾、訪問控制管理等功能。主要有以下特點： 1) 可通過一個公用IP地址供多個用戶同時訪問Internet 2) 在內(nèi)部網(wǎng)絡和外

47、部網(wǎng)絡之間構(gòu)筑起防火墻 3) 通過緩存區(qū)的使用降低網(wǎng)絡通信費用 4) 對局域網(wǎng)用戶進行訪問權(quán)限和信息流量計費管理 5) 對進入局域網(wǎng)的Internet信息實現(xiàn)訪問內(nèi)容控制 6) 在確保局域網(wǎng)安全的環(huán)境下提供Internet信息服務,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)(PROXY),,2、PROXY的分類。 根據(jù)代理服務器工作的層次，一般可分為： 應用層代理、傳輸層代

48、理和SOCKS代理。 應用層代理工作在TCP/IP模型的應用層之上，它只能用于支持代理的應用層協(xié)議（如HTTP，F(xiàn)TP）。它提供的控制最多，但是不靈活，必須要有相應的協(xié)議支持。 如果協(xié)議不支持代理（如SMTP和POP），那就只能在應用層以下代理，也即傳輸層代理。傳輸層代理直接與TCP層交互，更加靈活。要求代理服務器具有部分真正服務器的功能：監(jiān)聽特定TCP或UDP端口，接收客戶端的請求同時向客戶

49、端發(fā)出相應的響應。 SOCKS代理需要改變客戶端的IP棧，它是可用的最強大、最靈活的代理標準協(xié)議，它與具體的應用無關(guān)。SOCK V4允許代理服務器內(nèi)部的客戶端完全地連接到外部的服務器，SOCK V5增加了UDP端口代理及對客戶端的授權(quán)和認證，因此它是一種安全性較高的代理。SOCKS代理介于應用層和傳輸層之間。,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)(PROXY),,3、PROXY的實現(xiàn)過程。 內(nèi)網(wǎng)客戶端需要訪問外網(wǎng)服務器：

50、 1）內(nèi)網(wǎng)客戶端發(fā)出請求1到代理服務器，提出訪問外網(wǎng)服務器要求； 2）代理服務器根據(jù)設(shè)置判定請求1是否合法，不合法則終止，如合法則由代理服務器解釋請求1并代替內(nèi)網(wǎng)客戶端向外網(wǎng)服務器發(fā)出訪問請求2。 3）外網(wǎng)服務器收到請求2后，回復應答1給代理服務器。 4）代理服務器收到應答1后，解釋應答1內(nèi)容，并回復應答2給客戶端。,,,,Internet,,,外網(wǎng)服務器：Host B,內(nèi)網(wǎng)客戶端：

51、Host A,,,請求1,請求2,應答1,應答2,代理服務器：PROXY,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)(PROXY),,4、PROXY的優(yōu)缺點。 每類代理都有自己的優(yōu)缺點。 PROXY的優(yōu)點： 1）可以進行安全人證、記錄； 2）可做到內(nèi)網(wǎng)客戶端不與外網(wǎng)服務器直接接觸； 3）快速的存取動作、降低網(wǎng)絡的負荷，因為代理服務器具有解釋客戶端要求能力，如代理服務器內(nèi)剛好有你要的資料，將

52、會直接傳給你。 PROXY的缺點： 1）訪問速度相對比較慢，容易會成為內(nèi)外部網(wǎng)絡之間的瓶頸，因為它不允許內(nèi)部用戶直接訪問外部網(wǎng)絡。,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)(PROXY),,5、思考。 PROXY與NAT有什么區(qū)別？,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù),,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)： DHCP DNS/DDNS NAT FIREWALL PROXY

53、 IDS/IPS GAP QoS VPN PPPOE,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)(IDS/IPS),,1、IDS/IPS介紹。 IDS的英文全名為Instrusion Detection System，中文意思為入侵檢測系統(tǒng)。主要功能包括：監(jiān)測并分析用戶和系統(tǒng)的活動；核查系統(tǒng)配置和漏洞；評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；識別已知的攻擊行為；統(tǒng)計分析異常行為；

54、操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動等。IDS通過旁路監(jiān)聽的方式不間斷的收取網(wǎng)絡數(shù)據(jù)，對網(wǎng)絡的運行和性能無任何影響，同時判斷其中是否含有攻擊的企圖，通過各種手段向管理員報警。但絕大多數(shù)IDS 系統(tǒng)都是被動的，在攻擊實際發(fā)生之前，IDS 往往無法預先發(fā)出警報。,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)(IDS/IPS),,2、IDS/IPS介紹（續(xù)）。 IPS的英文全名為Instrusion Prevention System，中文意

55、思為入侵防御系統(tǒng)。IPS則傾向于提供主動性的防護，其設(shè)計旨在預先對入侵活動和攻擊性網(wǎng)絡流量進行攔截，避免其造成任何損失，而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報。IPS是通過直接嵌入到網(wǎng)絡流量中而實現(xiàn)這一功能的，即通過一個網(wǎng)絡端口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認其中不包含異常活動或可疑內(nèi)容后，再通過另外一個端口將它傳送到內(nèi)部系統(tǒng)中。這樣一來，有問題的數(shù)據(jù)包，以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能夠在IPS設(shè)備中被清除掉。

56、 性能與誤報率是評價IDS/IPS的主要指標。,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù),,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)： DHCP DNS/DDNS NAT FIREWALL PROXY IDS/IPS GAP QoS VPN PPPOE,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)(GAP),,1、GAP介紹。 GAP的中

57、文意思為隔離網(wǎng)閘，GAP技術(shù)也叫安全隔離與信息交換技術(shù)。GAP技術(shù)進行“積極”防御：將正常需要傳輸和交換的、合法的數(shù)據(jù)經(jīng)過明確定義列入“白名單”，在網(wǎng)絡的邊界僅允許“白名單”所定義的應用數(shù)據(jù)通過，任何其它未知的數(shù)據(jù)傳輸一律阻斷，并把這一機制用可信的防篡改的專用硬件固化下來。 GAP方式的信息和數(shù)據(jù)交換過程為：首先保證網(wǎng)絡之間的隔離，然后根據(jù)業(yè)務需求，以“白名單”方式定義在網(wǎng)絡間需要交換的數(shù)據(jù)，再通過主動請求或?qū)Ｓ媒涌诘姆?/p>

58、式獲取數(shù)據(jù)，并且對所交換數(shù)據(jù)進行格式和內(nèi)容的檢查，最后將數(shù)據(jù)安全發(fā)送到目的地。 GAP技術(shù)隔斷了從物理層到應用層所有網(wǎng)絡層次的協(xié)議通信，因此，可以把GAP理解成“the Gap of All Protocol”的縮寫。,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)(GAP),,2、思考。 GAP與PROXY有什么區(qū)別？,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù),,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)： DHCP DNS/DDNS

59、 NAT FIREWALL PROXY IDS/IPS GAP QoS VPN PPPOE,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)(QoS),,1、QoS的概念與用途。 QoS的英文全名為Quality of Service，中文意思為服務質(zhì)量，具體是指怎樣按要求保證服務質(zhì)量。 QoS需要網(wǎng)絡設(shè)備的支持，通過起用QoS機制，

60、網(wǎng)絡對特定的數(shù)據(jù)流采取特殊的措施，來保證數(shù)據(jù)流的網(wǎng)絡傳輸質(zhì)量。,,,,,優(yōu)先級高主機,優(yōu)先級低主機,,,,,,,紅色數(shù)據(jù)流優(yōu)先轉(zhuǎn)發(fā),紅色數(shù)據(jù)流優(yōu)先轉(zhuǎn)發(fā),網(wǎng)絡設(shè)備,網(wǎng)絡設(shè)備,接收數(shù)據(jù)主機,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)(QoS),,2、優(yōu)先級標記分類： 網(wǎng)絡設(shè)備可根據(jù)數(shù)據(jù)包中的優(yōu)先級標記區(qū)分數(shù)據(jù)流的優(yōu)先級，企業(yè)網(wǎng)設(shè)備主要可能用到二層標記、三層標記，通常標記的值越大表示優(yōu)先級越高。,優(yōu)先級標記,,DSCP標記,TOS 標記,IP

61、 優(yōu)先級標記,三層標記,MPLS,,,,,,,,,二層標記,,802.1p標記,,,MPLS-EXP標記,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)(QoS),,3、QoS的優(yōu)缺點。 QoS服務的優(yōu)點： 1）能對不同的數(shù)據(jù)流（或業(yè)務）采取不同的措施來保證其傳輸質(zhì)量。　　QoS服務的缺點： 1）由于要對數(shù)據(jù)包進行區(qū)別，QoS服務對網(wǎng)絡設(shè)備的處理能力有較高要求。 2）如果QoS設(shè)置或使用不當可能

62、造成優(yōu)先級低的數(shù)據(jù)流永遠得不服務。 3）QoS服務實現(xiàn)的過程中數(shù)據(jù)流所經(jīng)過的所有網(wǎng)絡設(shè)備都需要相應的配置；通常互聯(lián)網(wǎng)不支持QoS服務，大部企業(yè)網(wǎng)絡默認也不支持QoS服務。,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù),,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)： DHCP DNS/DDNS NAT FIREWALL PROXY IDS/IPS GAP Q

63、oS VPN PPPOE,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)(VPN),,1、VPN介紹。 VPN的英文全名為Virtual Private Network，中文意思為虛擬專用網(wǎng)。 VPN是專用網(wǎng)絡在公共網(wǎng)絡如Internet上的擴展。VPN通過私有隧道技術(shù)在公共網(wǎng)絡上仿真一條點到點的專線，從而達到安全的數(shù)據(jù)傳輸目的。為保證傳輸數(shù)據(jù)的安全，通常還要對數(shù)據(jù)進行加密處理。VPN連接必須同時包含數(shù)據(jù)

64、封裝和加密兩方面。 如下圖，內(nèi)網(wǎng)A與內(nèi)網(wǎng)B間建立VPN后，則內(nèi)網(wǎng)A與內(nèi)網(wǎng)B相當于在同一專網(wǎng)內(nèi)。,VPN Server,,,,Internet,,VPN Client,內(nèi)網(wǎng)A,VPN隧道,,,內(nèi)網(wǎng)B,,,VPN,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)(VPN),,2、VPN介紹（續(xù)）。 VPN采用技術(shù)的網(wǎng)絡層次可分為：二層隧道VPN、三層隧道VPN和多協(xié)議標簽交換VPN（MPLS-VPN）。 下圖這種情況下VPN

65、客戶端只是一臺普通電腦，不具備雙網(wǎng)卡，因此只有它能通過VPN訪問內(nèi)網(wǎng)A，其他設(shè)備不能通過它訪問內(nèi)網(wǎng)A。,VPN Server,,,,Internet,,VPN Client,內(nèi)網(wǎng)A,VPN隧道,,,VPN,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)(VPN),,3、思考。 VPN與真實的專網(wǎng)有什么區(qū)別？上網(wǎng)專線與傳統(tǒng)意義上的傳輸專線有什么區(qū)別？,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù),,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)： DHCP DNS/DDN

66、S NAT FIREWALL PROXY IDS/IPS GAP QoS VPN PPPOE,企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)(PPPOE),,1、PPPOE的概念與用途。 PPPOE的英文全名為Point to Point Protocol over Ethernet，中文意思為基于以太網(wǎng)的點對點通信協(xié)議。

67、PPPOE協(xié)議是為了滿足越來越多的寬帶上網(wǎng)設(shè)備( 即 ADSL , 無線等 )和越來越快的網(wǎng)絡之間的通訊而最新制定開發(fā)的標準，它基于兩個廣泛接受的標準即：局域網(wǎng)Ethernet和PPP點對點撥號協(xié)議。,ADSL Modem,,Internet,接入服務器,用戶主機,,PSTN,,,,撥號驗證通過后上互聯(lián)網(wǎng),企業(yè)網(wǎng)常用的網(wǎng)絡技術(shù)(PPPOE),,2、PPPOE的優(yōu)缺點。 PPPOE的優(yōu)點： 1）PPPoE的實

68、質(zhì)是以太網(wǎng)和撥號網(wǎng)絡之間的一個中繼協(xié)議，他繼承了以太網(wǎng)的快速和PPP撥號的簡單，用戶驗證，IP分配等優(yōu)勢。 2）PPPoE方式的用戶管理、安全管理、業(yè)務（主要是帶寬）管理都比較方便、計費靈活。 3）PPPoE可以提供動態(tài)IP地址分配方式，用戶無需任何配置，網(wǎng)管維護簡單，無需添加設(shè)備就可解決IP地址短缺問題，同時根據(jù)分配的IP地址，可以很好地定位用戶在本網(wǎng)內(nèi)的活動。 PPPOE的缺點：