交換協議:
VLAN技術:虛擬局域網
STP技術:生成樹協議
VRRP技術:虛擬路由冗余協議
VPN:虛擬專用網絡
名詞解釋
路由協議:http、HTTPS、tcp、ip
靜態路由配置
OSPF協議
RIP協議
ACL訪問控制
什么是網絡?
簡單點說:就是兩台設備相互連通就能稱為網絡。
我們構建網絡的目的:就是為了相互之間能夠通信,而通信的目的就是為了傳達信息。
(信息傳達和信息接收的安全性。)
網絡:被稱為計算機網絡,它是計算機技術和通信技術相結合的產物。
節點:這里的節點就是一個個的機房以及機房里面的設備(路由器、交換機、防火牆、PC…)
鏈路:就是有線和無線,有線:網絡、光纖、電纜等等…
基於網絡的應用有哪些?
我們平時經常用的APP,QQ,微信,游戲,辦公應用都是基於網絡的應用。
網絡的作用:是實現信息數據的交互。
企業網絡的作用?
企業網絡是企業業務的支撐平台,是企業的信息中樞。
網絡的生命周期?
網絡的目標是為我們的企業目標和企業業務支撐去做的。
第一步:規划
組織策略:考慮公司的組織架構,就是公司有哪些部門。
業務策略:就是公司當前的業務以及公司未來需要發展的業務。比如教育行業,物流行業等等。
財務決策:公司的財務情況,能拿多少錢出來,預算是多少。
…
簡要的網絡設計方案。
設計:根據業務需求客戶需要規划出網絡拓撲圖。
需求分析:就是根據組織策略,來考慮不同部門的網絡配置情況。
項目計划:考慮項目進度(開始時間、完成時間)、成本多少、質量達到什么標准。
設備選購:需要購買哪些設備。CPU 內存,吞吐量夠不夠,支持哪些協議,帶機數量
不同的接入,他們的流量是不一樣的。
…
詳細設計的網絡方案
滿足企業用戶現階段技術和業務上的需求。
實施:根據需求規划網絡
新建網絡:根據詳細設計方案,直接進行落實。
主要點:驗證/測試整個網絡是否滿足企業在業務和技術上需求。
對現有網絡的改造:割接
運營:
保障企業網絡業務能夠持續、健康的運作。
主要是對設備/系統運行進行主動監控。
CPU 內存 帶寬 鏈路帶寬比例。
這些指標達到一定的預警范圍,我們就需要對它進行處理(80-85%)。
考慮是否進行擴容,
可用性、可靠性、安全性
提升:
主要是圍繞規划中的組織策略來的,針對的是企業網絡在運營過程中遇到的問題。
為什么要分析用戶需求
用戶需求:企業需求(這里的用戶指的就是企業);
IT應用:實際上就是將給我們的業務需求轉換成我們的技術需求。(主要是由架構師和售前做的);
如何分析用戶需求
1.識別網絡現狀:
通過查看現有網絡的文檔;
通過咨詢相關崗位的負責人;
通過網絡監聽;
通過流量分析;
2.定義組織目標:
提升客戶滿意度;
擴展業務類型,增加服務項目;
增強競爭力;
削減開支;
3.組織限制:
政策、預算、人力資源、技術資源、時間安排等客觀因素;
4.定義技術目標:
擴大網絡容量;
簡化網絡管理;
提升網絡安全;
增強網絡可靠性;
5.定義技術限制:
設備限制,設備能否達到技術要求,
網絡拓撲設計的原則
模塊化設計原則:根據所承載的功能區域來划分不同的模塊;
層次化設計原則:根據企業需求設計網絡,選用二層,三層網絡模型
性價比
高性能
可靠性
安全性
常見的網絡拓撲
網絡拓撲結構是指網絡中通信線路和結點的幾何排序,用於表示整個網絡的結構外觀,反映各結點之間的結構關系。它影響着整個網絡的設計、功能、可靠性和通信費用等重要方面,是計算機網絡十分重要的要素。常用的網絡拓撲結構有總線型、星型、環形、樹型和分布式結構等
1、總線型
優點:總線型拓撲結構其特點位置有一條雙向通路,便於進行廣播式傳送信息;總線型拓撲結構屬於分布式控制,無需中央處理器,故結構簡單;結點的增、刪和位置的變動較容易,變動中不影響網絡的正常運行,系統擴充性能好;結點的接口通常采用無源線路,系統可靠性高;設備少、價格低、安裝使用方便。
缺點:由於電氣信息延遲時間不確定,故障隔離和檢測困難。
2、星型
在星型結構中,使用中央交換單元以放射狀連接到網中的各個結點。中央單元采用電路交換方式以建立所希望通信的兩結點間專用的路徑。通常用雙絞線將結點與中央單元進行連接。
優點:其特點為維護管理容易,重新配置靈話, 故障保離和檢測容易;網絡延遲時間短;
缺點:各結點與中央交換單元直接連通,各結點之間通信必須經過中央單元轉換;網絡共享能力差;線路利用率低,中央單元負荷重。
3、環型
環型結構的信息傳輸線路構成個封閉的環型, 各結點通過中繼器連入網內,各中繼器間首尾相接,信息單向沿環路連點傳送。
優點:其特點為信息的流動方向是固定的,兩個結點僅有一條通路, 路徑控制簡單;有旁路設備,結點一旦發生戰障,系統自動旁路,可靠性高。
缺點:信息要串行穿過多個結點,在網中結占過多時傳輸效率低,系統響應速度慢;由於環路封閉,擴充較難。
4、樹型
樹型結構是總線型結構的擴充形式,傳輸介質是不封閉的分支電纜,他主要用於多個網絡組成的分級結構中,其特點同總線型網。
5、分布式
分布式結構無嚴格的布點規定和形狀,個結點之間有多條線路相連。
優點:其特點為有較高的可靠性,當一條線路有故障時,不會影響整個系統工作;資源共享方便,網絡響應時間短。
缺點:由於結點也多個結點連接,故結點的路由選擇由選擇和流量控制難度大,管理軟件復雜,硬件成本高。
廣域網與局域網所使用的網絡拓撲結構有所不同。廣域網多采用分布式或樹型結構,局域網常用總線型、環型、星型或樹型結構
網絡設計的基本原則
可靠性:要求網絡在發生一定的故障時,仍然能夠保證承載的業務不中斷
可擴展性:要求網絡能夠支持不斷增加的業務量。
可運營性:保證網絡的運行和維護
可管理性:要求網絡提供標准的管理手段,便於監控和維護
成本問題:綜合考慮,選擇性價比高的網絡設計方案。
企業網絡設計的基本流程是什么
對於小型企業來說,一般參照到IP連通這個步驟。
大型企業基本上就可以參照這個流程來。
網絡設計的方法和思路
模塊化的設計方法、層次化的設計方法 —要求掌握、理解
自上而下的設計思路和自下而上的設計思路 —了解
優缺點
網絡架構
三層網絡架構:接入層–>匯聚層–>核心層;
適用場景–通常用於大型網絡的構建,需要通過IP路由實現跨網段的通訊;
二層網絡架構:接入層–>匯聚層或者核心層;
它的組網能力是非常有限的,一般用於中小型局域網;
層次化設計的優點:
節約成本
容易理解
有利於模塊化
有利於故障隔離
模塊化設計:將一個企業網絡按照功能的不同,分為了不同的模塊,不同的模塊有不同的需求和特點;
一般企業網絡使用三層網絡結構:
接入層:終端的接入、訪問控制;
匯聚層:路由匯聚、流量收斂;
核心層:高速數據轉發、要求高可靠性。
層次化設計:
自上而下:從應用層入手考慮,因為網絡最終是要支持上層應用的。
DMZ:非軍事區域(官方稱呼),互聯網服務區或者互聯網隔離區(民間稱呼);
模塊的安全等級:
安全等級由低到高:
陌生訪客–>分支機構–>DMZ–>數據中心/服務器群–>管理中心;
分支機構一般有固定的地址;
管理中心存儲着高權限的賬號,一旦被入侵,對整個網絡危害最大;
模塊化設計的好處:
1.每一個模塊相對獨立,可以單獨構建這個模塊里面需要的一些結構,模塊之間相互沒有影響;
2.便於擴容;
3.便於管理,不同模塊有不同的安全策略;
安全域和邊界:
企業網絡的經典結構就是基於安全域的網絡結構,一般包括企業數據中心,企業辦公內網,DMZ區,廣域網和Internet幾個部分。基本結構如下圖所示。
企業網絡各個區域之間通信受到限制,區域內部通信多不進行限制。
為了保障企業的信息安全,我們應該從哪幾個方面入手?
1、終端計算機
2、互聯網出入口
3、廣域網出入口
4、公司對外發布服務的DMZ服務器
5、VPN和類似遠程連接設備。
上述五個方面,基本涵蓋了公司網絡邊界的幾個方面。
對公司網絡邊界進行防護,僅僅是做好公司信息安全防護工作的第一步。
那么接下來我們應該考慮什么呢?
當然是如果上述五個方面被黑客攻陷了,那么我們還拿什么進行防護?
這就涉及到了黑客攻擊的幾個步驟,黑客提權或者拿到設備權限之后,第一件事就是想知道我們的內網是什么樣子的。
那么,他們一定會進行內網掃描。而網絡掃描這種事情,又是一種特征非常明顯的網絡攻擊行為,非常易於識別。
這就要求我們企業安全管理人員要重點關注內網掃描,做好被攻擊后的進一步防護工作。
由於上述5個方面易於被黑客攻陷,易於產生信息安全問題,那么我們就不能讓這些區域可直接訪問我們的核心資源。因此,需要進行安全域划分。同時,我們也要在各個高風險安全域的核心交換機上部署IDS,做好網絡安全監控,並且在安全域出入口處部署防火牆,針對IDS產生的報警及時切斷相關網絡訪問路徑,保障損失的最小化。
於是,企業網絡安全的基本中的基本要求就是根據面臨的風險,划分安全域,在安全域之間部署防火牆,在每個安全域內部署IDS。這也是我個人理解的網絡安全域划分的本質安全需要。