【干货】园区网常用安全技术,都在总结在这儿了!(三)
网络安全
园区网络安全概述
基于防火墙的安全区域划分及安全策略
·安全区域(Security Zone),或者简称为区域(Zone),是一个安全的概念,大部分的安全策略都基于安全区域实施。
·一个安全区域是防火墙若干接口所连网络的集合,这些网络中的用户具有相同的安全属性。
·将企业员工网络、公司服务器网络、外部网络划分到不同安全区域,对安全区域间的流量进行检测和保护。
·在一台防火墙上不允许创建两个相同安全级别(Priority)的安全区域;
·防火墙的接口必须加入一个安全区域,否则不能正常转发流量。
·防火墙的一个接口只能属于一个安全区域。·防火墙的一个安全区域可以拥有多个接口。
·系统自带的缺省安全区域不能删除,用户可以根据实际需求创建自定义的安全区域。
防火墙双机热备概述
需求
·防火墙部署在网络出口位置时,如果发生故障会影响到整网业务。需提升网络的可靠性。
·部署多台防火墙可提升可靠性,需保证设备切换过程中的业务连续性。
方案
·部署两台FW并组成双机热备。
·双机热备需要两台硬件和软件配置均相同的FW。
·两台FW之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等)。
·当一台FW出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。
NAT
需求
·内网用户(采用私网IP地址)需访问Internet,需对其源IP地址进行转换,转换为公网IP地址。
·外网用户需访问采用私网IP地址的服务器(例如WEB服务器)。
NAT(Network Address Translation)
·NAT是将IP数据报文头中的IP地址转换为另一个IP地址的过程。
·常用NAT:
· 源IP地址转换(Source IP address-based NAT):
No-Port 地址转换(No-PAT)
网络地址及端口转换(NAPT)
·目的IP地址转换(Destination IP address-based NAT):
NAT Server
虚拟专用网
VPN技术应用场景
对于规模较大的企业来说,网络访问需求不仅仅局限于公司总部网络内,分公司、出差员工、合作单位等也需要访问公司总部的网络资源,一般采用VPN(Virtual Private Network,虚拟专用网络)技术来实现这一需求。
VPN可以在不改变现有网络结构的情况下,建立虚拟专用连接。因其具有廉价、专用和虚拟等多种优势,在现网中应用非常广泛。
VPN是一类技术的统称,不同的VPN技术拥有不同的特性和实现方式,常见的VPN技术包括IPSec VPN、GRE VPN、L2TP VPN、MPLS VPN等。
·IPSec:IP Security, 因特网协议安全协议。
·GRE:Generic Routing Encapsulation, 通用路由封装协议。
·L2TP:Layer 2 Tunneling Protocol, 二层隧道协议。·MPLS:Multiprotocol Label Switching,多协议标签交换协议。
组播
组播应用场景
企业存在一些公告信息,例如天气、值班表、机房注意事项、宣传视频等,为方便公司员工和来访人员及时获取这些信息,通常采用在公司人员密集处布置显示屏的方式。
每一块显示屏显示的内容一致,这是典型的点到多点通信的场景。如果采用单播的方式传递信息,网络中的设备性能及链路带宽都会面临一定程度的浪费。
组播技术有效地满足了单点发送、多点接收的需求,实现了IP网络中点到多点业务数据的高效传送,能够大量节约网络带宽、降低网络负载。
单播(Unicast)是在一台源IP主机和一台目的IP主机之间进行。网络上绝大部分的数据都是以单播的形式传输的,例如电子邮件收发、网上银行都是采用单播实现的。
▫在单播通信中每一个数据包都有确切的目的IP地址;对于同一份数据,如果存在多个接收者,Server需发送与接收者数目相同的单播数据包;当接收者增加到成百上千时,将极大加重Server创建相同数据和发送多份相同拷贝后所产生的消耗,网络中的设备性能及链路带宽都会面临一定程度的浪费;单播方式较适合用户稀少的网络,当用户量较大时很难保证网络传输质量。
广播(Broadcast)是在一台源IP主机和网络中所有其它的IP主机之间进行,属于一对所有的通讯方式,所有主机都可以接收到(不管是否需要)。
▫广播数据包被限制在广播域中;一旦有设备发送广播数据,则广播域内所有设备都会收到这个数据包,并且不得不耗费资源去处理,大量的广播数据包将消耗网络的带宽及设备资源;广播方式只适合共享网段,且信息安全性和有偿服务得不到保障。
组播(Multicast)是在一台源IP主机和多台(一组)IP主机之间进行,中间的网络设备根据接收者的需要,有选择性地对数据进行复制和转发。
组播网络基本架构
组播网络大体可以分为三个部分:
▫源端网络:将组播源产生的组播数据发送至组播网络。
▫组播转发网络:形成无环的组播转发路径,该转发路径也被称为组播分发树(Multicast Distribution Tree)。
▫成员端网络:让组播网络感知组播组成员位置与加入的组播组。
组播源(Source):组播流量的发送者,例如多媒体服务器。组播源无需运行任何组播协议,只需简单 地将组播数据发送出来即可。
组播接收者(Receiver):也被称为组播组成员,是期望接收特定组播组流量的设备,例如运行多媒体直播客户端软件的PC。
组播组(Multicast Group):用IP组播地址进行标识的一个集合。任何用户主机(或其他接收设备),加入一个组播组,就成为了该组成员,可以识别并接收发往该组播组的组播数据。
组播路由器(Multicast Router):支持组播、运行组播协议的网络设备,实际上不仅仅路由器能够支持 组播,交换机、防火墙等设备也能够支持组播(取决于设备型号),路由器仅是一个代表。
第一跳路由器(First-Hop Router):组播转发路径上,与组播源相连且负责转发该组播源发出的组播数据的PIM路由器。
最后一跳路由器(Last-Hop Router):组播转发路径上,与组播组成员相连且负责向该组成员转发组播数据的PIM路由器。
IGMP(Internet Group Management Protocol,因特网组管理协议),是TCP/IP协议族中负责IP组播成员管理的协议,它用来在接收者和与其直接相邻的组播路由器之间建立、维护组播组成员关系。
IPv6
IPv4协议是目前广泛部署的因特网协议。在因特网发展初期,IPv4以其协议简单、易于实现、互操作性好的优势而得到快速发展。但随着因特网的迅猛发展, IPv4地址空间不足的问题日趋明显,IPv6取代IPv4势在必行。
IPv6(Internet Protocol Version 6)是网络层协议的第二代标准协议,也被称为IPng(IP Next Generation)。它是Internet工程任务组IETF(Internet Engineering Task Force)设计的一套规范,是IPv4(Internet Protocol Version 4)的升级版本。
IPv6地址长度为128 bit,海量的地址空间,满足物联网等新兴业务、有利于业务演进及扩展。
ICMPv6
ICMPv6 (Internet Control Message Protocol for IPv6)是IPv6的基础协议之一。
ICMPv6报文被广泛应用于其它协议中,包括NDP、PathMTU发现机制等。
ICMPv6控制着IPv6中的地址自动配置、地址解析、地址冲突检测、路由选择、以及差错控制等关键环节。
NDP:Neighbor Discovery Protocol,邻居发现协议。
IPv6路由
IPv6网络支持静态路由和动态路由协议:
静态路由:
IPv6静态路由的配置方式和IPv4静态路由的配置方式相同。
动态路由协议:
OSPFv3
IS-IS
BGP4+