构建网络的目的:就是为了相互之间能够通信,而通信的目的就是为了传达信息。(信息传达和信息接收的安全性。)
企业网络的目的:是作为企业业务的支撑平台,是企业的信息中枢。
- 网络:被称为计算机网络,它是计算机技术和通信技术相结合的产物。
- 节点:这里的节点就是一个个的机房以及机房里面的设备(路由器、交换机、防火墙、PC…)
- 链路:就是有线和无线,有线:网络、光纤、电缆等等…
网络中常见的协议:
- 静态:设置好路由器和主机并将路由信息固定的一种方法。
- 动态:路由协议在进行过程中自动的设置路由控制信息的一种方法
静态路由通常手工配置,网络发生故障时需要管理员手动修改,动态路由协议可以在由其他路可达目的主机的前题下自动学习路由,绕过故障节点。
一、内部网关协议:
内部网关协议(IGP:Interior Gateway Protocol),适用于单个ISP的统一路由协议的运行,一般由一个ISP运营的网络位于一个AS(自治系统)内,有统一的AS number(自治系统号),用来处理内部路由。
RIP、IGRP(Cisco私有协议)、EIGRP(Cisco私有协议)、OSPF、IS-IS等都是内部网关协议。
1、RIP(Routing Information Protocol):路由信息协议。
是一种比较简单的内部网关协议,主要用于规模较小的网络,比如校园网以及结构较简单的地区性网络。对于更为复杂的环境和大型网络,一般不使用RIP。
RIP是一种基于距离矢量(Distance-Vector)算法的协议,它通过UDP报文进行路由信息的交换,使用的端口号为520。其使用跳数来衡量到达目的地址的距离,为了限制收敛时间,RIP规定度量值(该值等于从本网络到达目的网络间的路由器数量)为0到15之间的整数,大于等于16的跳数将会定义为网络或主机不可达,因此RIP不适合大型网络。
RIP有两个版本:RIP V1(有类别路由协议)和RIP V2(无分类路由协议)。
2、IGRP(Interior Gateway Routing Protool):内部网关路由协议。
属于Cisco的私有协议,最大跳数默认为100,现已被Cisco独立开发的EIGRP协议取代。
3、OSPF(Open Shortest Path First):开放式最短路径优先协议。
属于链路状态路由协议,OSPF提出了“区域(area)”的概念,每个区域中所有路由器维护着一个相同的链路状态数据库 (LSDB),其使用链路状态数据库,通过最短生成树算法(SPF算法)计算得到路由表,因此其收敛速度较快。目前OSPF协议在各种网络中广泛部署,目前针对IPv4协议使用的是OSPF Version 2(RFC2328);针对IPv6协议使用OSPF Version 3(RFC2740)。
4、IS-IS(Intermediate System-to-Intermediate System):中间系统到中间系统路由协议。
属于链路状态路由协议。与OSPF协议相似,其使用最短路径优先SPF(Shortest Path First)算法进行路由计算。
二、域间路由协议
BGP(Border Gateway Protocol):边界网关协议。
为了维护各个ISP的独立利益,标准化组织制定了ISP间的路由协议BGP,其用来处理各ISP之间的路由传递。
与内部网关协议不同的是,其不在于发现和计算路由,而在于控制路由的传播和选择最佳路由。
传统的网络层次结构是OSI七层模型,但在现实中采用的是TCP/IP协议。
(一)OSI七层模型
(1)物理层
设备之间原始数据传输,数据格式比特流。
(2)数据链路层
将原始比特流转换成逻辑传输数据,mac地址寻址,数据格式帧。
(3)网络层
最复杂的一层,通信子网最高层。通过路由算法提供最佳传输路径。数据格式IP数据包。
数据链路层解决同一网络节点间数据传输,网络层解决不同子网间通信。
(4)传输层
拆分数据包,提供端对端不同主机用户进程间传输数据,提供可靠或不可靠传输及流量控制,是连接通信子网和资源子网的桥梁。数据格式TCP数据包。
(5)会话层
不同机器用户间建立或解除会话关系。
(6)表示层
数据的表示方式(格式处理及编码转换)及特定功能实现(加解密、解压缩等)。
(7)应用层
向用户提供服务,完成用户在网络上想完成的工作。如上网、发邮件、下载ftp等。
(1)链路层
包括物理层和数据链路层链路层是通过mac地址传输数据的。
(2)网络层
包括多种协议。
IP协议:通过路由选择将数据封装后交给链路层。
ICMP协议:用于主机和路由器直接传递控制消息,常用的ping就是用这个协议。
ARP协议:是正向地址解析协议,通过IP查找mac地址。
RARP协议:是反向地址解析协议,通过mac地址查找IP。
(3)传输层
TCP协议:传输控制协议,面向连接的、可靠的、基于IP的传输层协议。
UDP协议:用户数据报协议,提供面向事务的简单不可靠信息传送协议。
(4)应用层
FTP协议:文件传输协议,用于文件的上传下载。
Telnet协议:用户远程登录服务。
DNS协议:域名解析协议,提供域名到IP的解析。
SMTP协议:简单的邮件传送协议,用于控制信件的发送中转。
NFS协议:网络文件系统,用于不同主机间文件共享。
HTTP协议:超文本传输协议,用于实现互联网访问功能。
模型结构:
网络拓扑结构类型:
- 总线拓扑
总线拓扑结构是将网络中的所有设备通过相应的硬件接口直接连接到公共总线上,结点之间按广播方式通信,一个结点发出的信息,总线上的其它结点均可“收听”到。
优点:结构简单、布线容易、可靠性较高,易于扩充,是局域网常采用的拓扑结构。
缺点:所有的数据都需经过总线传送,总线成为整个网络的瓶颈;出现故障诊断较为困难。最著名的总线拓扑结构是以太网(Ethernet)。
3.环形拓扑
各结点通过通信线路组成闭合回路,环中数据只能单向传输。
优点:结构简单、容易实现,适合使用光纤,传输距离远,传输延迟确定。
缺点:环网中的每个结点均成为网络可靠性的瓶颈,任意结点出现故障都会造成网络瘫痪,另外故障诊断也较困难。最著名的环形拓扑结构网络是令牌环网(Token Ring)
- 树型拓扑
是一种层次结构,结点按层次连结,信息交换主要在上下结点之间进行,相邻结点或同层结点之间一般不进行数据交换。
优点:连结简单,维护方便,适用于汇集信息的应用要求。
缺点:资源共享能力较低,可靠性不高,任何一个工作站或链路的故障都会影响整个网络的运行。
5.网状拓扑
又称作无规则结构,结点之间的联结是任意的,没有规律。
优点:系统可靠性高,比较容易扩展,但是结构复杂,每一结点都与多点进行连结,因此必须采用路由算法和流量控制方法。目前广域网基本上采用网状拓扑结构。
缺点:由于结点也多个结点连接,故结点的路由选择由选择和流量控制难度大,管理软件复杂,硬件成本高。
广域网与局域网所使用的网络拓扑结构有所不同。广域网多采用分布式或树型结构,局域网常用总线型、环型、星型或树型结构
网络设计的基本原则
可靠性:要求网络在发生一定的故障时,仍然能够保证承载的业务不中断
可扩展性:要求网络能够支持不断增加的业务量。
可运营性:保证网络的运行和维护
可管理性:要求网络提供标准的管理手段,便于监控和维护
成本问题:综合考虑,选择性价比高的网络设计方案。
模块化设计原则:根据所承载的功能区域来划分不同的模块;
层次化设计原则:根据企业需求设计网络,选用二层,三层网络模型;
性价比:
高性能:
可靠性:
安全性:
层次化设计的优点:
节约成本、容易理解、有利于模块化、有利于故障隔离;
模块化设计优点:
将一个企业网络按照功能的不同,分为了不同的模块,不同的模块有不同的需求和特点;
每一个模块相对独立,可以单独构建这个模块里面需要的一些结构,模块之间相互没有影响;
便于扩容、管理,不同模块有不同的安全策略;
DMZ:非军事区域(官方称呼),互联网服务区或者互联网隔离区(民间称呼);
模块的安全等级:
安全等级由低到高:
陌生访客–>分支机构–>DMZ–>数据中心/服务器群–>管理中心;
分支机构一般有固定的地址;
管理中心存储着高权限的账号,一旦被入侵,对整个网络危害最大;
三层网络架构:接入层–>汇聚层–>核心层;
适用场景–通常用于大型网络的构建,需要通过IP路由实现跨网段的通讯;
二层网络架构:接入层–>汇聚层或者核心层;
它的组网能力是非常有限的,一般用于中小型局域网;
一般企业网络使用三层网络结构:
企业网络的经典结构就是基于安全域的网络结构,一般包括企业数据中心,企业办公内网,DMZ区,广域网和Internet几个部分。
企业网络各个区域之间通信受到限制,区域内部通信多不进行限制。
为了保障企业的信息安全,我们应该从哪几个方面入手?
1、终端计算机
2、互联网出入口
3、广域网出入口
4、公司对外发布服务的DMZ服务器
5、VPN和类似远程连接设备。
上述五个方面,基本涵盖了公司网络边界的几个方面。
对公司网络边界进行防护,仅仅是做好公司信息安全防护工作的第一步。
那么接下来我们应该考虑什么呢?
当然是如果上述五个方面被黑客攻陷了,那么我们还拿什么进行防护?
这就涉及到了黑客攻击的几个步骤,黑客提权或者拿到设备权限之后,第一件事就是想知道我们的内网是什么样子的。
那么,他们一定会进行内网扫描。而网络扫描这种事情,又是一种特征非常明显的网络攻击行为,非常易于识别。
这就要求我们企业安全管理人员要重点关注内网扫描,做好被攻击后的进一步防护工作。
由于上述5个方面易于被黑客攻陷,易于产生信息安全问题,那么我们就不能让这些区域可直接访问我们的核心资源。因此,需要进行安全域划分。同时,我们也要在各个高风险安全域的核心交换机上部署IDS,做好网络安全监控,并且在安全域出入口处部署防火墙,针对IDS产生的报警及时切断相关网络访问路径,保障损失的最小化。
于是,企业网络安全的基本中的基本要求就是根据面临的风险,划分安全域,在安全域之间部署防火墙,在每个安全域内部署IDS。这也是我个人理解的网络安全域划分的本质安全需要。
1 . 规划
组织策略:考虑公司的组织架构,就是公司有哪些部门。
2 . 简要的网络设计方案。
3 . 详细设计的网络方案
4 . 实施:根据需求规划网络
5 . 运营:
这些指标达到一定的预警范围,我们就需要对它进行处理(80-85%)。
考虑是否进行扩容,
可用性、可靠性、安全性
6 . 提升:
用户需求:即企业需求(这里的用户指的就是企业);
IT应用:实际上就是将给我们的业务需求转换成我们的技术需求。(主要是由架构师和售前做的);
如何分析用户需求:
- 识别网络现状:
通过查看现有网络的文档;
通过咨询相关岗位的负责人;
通过网络监听;
通过流量分析;- 定义组织目标:
提升客户满意度;
扩展业务类型,增加服务项目;
增强竞争力;
削减开支;- 组织限制:
政策、预算、人力资源、技术资源、时间安排等客观因素;- 定义技术目标:
扩大网络容量;
简化网络管理;
提升网络安全;
增强网络可靠性;- 定义技术限制:
设备限制,设备能否达到技术要求,