网络信息安全员(高级)——01网络设备的使用和维护.pptVIP

网络信息安全管理员 网络信息安全技术 网络信息安全技术 网络信息安全技术 网络信息安全技术 网络信息安全技术 单个无冗余组件的防火墙 单一故障点： 对于出站/入站Internet访问，存在单一故障点。 可能存在通信瓶颈： 单个防火墙可能是通信瓶颈，具体情况视连接数量和所需的吞吐量而定。 成本低： 由于只有一个防火墙，所以硬件成本和许可成本都较低。 管理简单： 管理工作得到简化，因为整个站点或企业只有一个防火墙。 单个记录源： 所有通信记录操作都集中在一台设备上。 缺点 优点 单个带冗余组件的防火墙 单个带冗余组件的防火墙 单一故障点： 根据冗余组件数量的不同，对于入站和/或出站Internet访问仍然可能只有一个故障点。 成本： 成本比没有冗余的防火墙高，并且可能还需要更高类别的防火墙才可以添加冗余。 可能存在通信瓶颈 单个防火墙可能是通信的瓶颈，具体情况视连接的数量和所需的吞吐量而定。 成本低： 由于只有一个防火墙，所以硬件成本和许可成本都较低。冗余组件的成本不是很高，如电源装置。 管理简单： 管理工作得到简化，因为整个站点或企业只有一个防火墙。 单个记录源： 所有通信记录操作都集中在一台设备上。 缺点 优点 容错防火墙 容错防火墙为每个防火墙配置备用装置 容错防火墙 复杂程度增加： 由于网络通信的多通路特性，设置和支持这种类型的解决方案变得更加复杂。 配置更复杂： 各组防火墙规则如果配置不正确，可能会导致安全漏洞以及支持问题。 容错： 使用成对的服务器或者设备有助于提供所需级别的容错能力。 集中记录日志： 所有通信记录都集中到一对具有很好互连性的设备。 共享会话状态： 根据设备供应商的不同，此级别的防火墙之间可能能够共享会话状态。 缺点 优点 容错防火墙配置 实现容错防火墙集（通常称为群集）时，有两种主要的方法 主动/被动容错防火墙 主动/主动容错防火墙 主动/被动容错防火墙 主动/主动容错防火墙 容错防火墙配置 交换机 路由器 外围防火墙设计 网络设计指南 网络体系结构 网络中当前有多少设备？有多少设备需要连接？预计将来有多大的增长？ 哪些设备要与其他设备进行通信？ 需要通信的不同设备之间需要多少带宽？ 在网络设计中，什么地方需要交换机（和路由器）？ 是否需要虚拟局域网(VLAN)？如果需要的话，需要多少？在每个VLAN上有哪些主机？是否将在VLAN之间执行路由？ 可接受的滞后时间是多少？ 网络设计-两种结构 路由协议 路由信息协议(RIP) 开放式最短路径优先(OSPF) 边界网关协议(BGP) * 第1讲 第1讲 高级网络安全员培训 第一讲 网络设备的使用和维护 交换机 路由器 外围防火墙设计 网络设计指南 交换机 路由器 外围防火墙设计 网络设计指南 交换机 交换机用来将网络的物理网段链接在一起，并允许数据在这些网段之间移动。交换机工作在OSI模型的第2层，根据第2层地址（例如以太网MAC地址）指导数据流。某些交换机还提供其他功能，例如VLAN和第3层交换。 交换机自动进行自身配置。它们侦听每个以太网端口的数据流，发现每个连接设备连接到哪一个端口。然后，交换机直接向目标端口发送数据流。除非需要激活其他功能，否则，交换机不需要配置，这是安装网络时的一个主要优点。交换过程是在线路速度非常高且没有滞后时间的硬件中执行的。 交换机 网络数据流包括广播消息，这些消息必须复制到对大型网络有重要影响的每个端口。由于大多数用户想要与有限的一组服务器和关联设备进行通信，所以，可以只在该组中发送所有广播数据流。减少广播数据流的一个方法是为每个组提供一个交换机，然后将它们一同链接到一个路由器，因为路由器不传输广播。另一个方法是在交换机上使用VLAN。VLAN是一组设备，这些设备实际位于许多不同的物理LAN网段，但被配置为像连接到同一条线上那样进行通信。来自VLAN一个成员的广播只发送给同一VLAN的其他成员，因此降低了广播数据流的传播。 交换机和路由器的常见功能 可伸缩性 高速以太网支持 复原能力 可管理性 IP电话(VoIP) 安全性 制造商的支持 产品范围和制造商生存能力 成本 性能 交换机的特定功能 生成树协议：生成树协议用于计算交换机之间的最佳路径（当网络中存在多个交换机和多个路径时）。只有使用此协议，才能避免数据同时通过多个路径发送而导致数据重复 VLAN支持：VLAN支持可以在任何大小的网络上使用，但是在安装了一些特大型交换机的情况下，特别需要 上行链路连接性：上行链路用于将网络中的交换机连接在一起 合并：交换机中合并其他功能可以降低成本和提高可管理性。 例如，用于小分支机构的低成本交换机还可以包括路由器和防火墙，甚至可以包括宽带调制解调器