网络工程原理与实践教程.ppt

6．3．1．1 网卡性能指标 设备选型 P144 传输速率 接口 总线类型 即插即用 BootROM插座 指示灯 6．3．2 集线器选型 设备选型 P146 经过几十年的发展，集线器在外形结构、接口类型、端口数量等方面都产生了很多变化，产品非常丰富。 1．基本型集线器 2．智能型集线器（Intelligent HUB） 3．模块式集线器 4．堆叠式集线器（Stackable HUB） 6．3．2．2 集线器产品选择 设备选型 P147 选择集线器时应该注意以下原则： （1）带宽 （2）端口数 （3）LED指示灯 （4）是否可以堆叠 （5）外形尺寸 （6）端口类型 （7）综合考虑品牌和性价比因素。 6．3．3．1 交换机类型 设备选型 P148 从规模应用对交换机分类可以将交换机分为企业级交换机、部门级交换机和工作组级交换机。 企业级交换机 部门级交换机 工作组级交换机 6．3．3．2 交换机的性能指标 设备选型 P149 1．MAC地址表容量 2．背板带宽 3．生成树标准（Spanning Tree） 4．流量控制方式 5．VLAN能力 6．端口聚合功能（Port Trucking） 7．支持的协议和标准 8．部件冗余性 9．网管能力 6．3．4 路由器选型 设备选型 P153 路由器（Router）在实际应用中只有两种主要的类型： 1．内部路由器：工作在园区网内部，主要实现子网路由与包过滤。 2．边界路由器：提供园区网到广域网或Internet的连接。 5．3．2防火墙体系结构 为了实现安全需求，防火墙体系结构一般设计得比较复杂，可以是上述结构中的一种或者是几种的结合： 1．使用多堡垒主机 2．合并内部路由器与边界路由器 3．合并堡垒主机与内部路由器 4．使用多台内部路由器 5．使用多台外部路由器 6．使用多个周边网络 7．使用双重宿主主机与DMZ子网 网络安全结构设计 P117 5．4．1防火墙概述 防火墙是一种在内部网和外部网之间实施的安全防范措施，可以认为它是一种访问机制，用于确定哪些内部服务可以提供给外部服务器，以及哪些外部服务器可以访问内部网资源。 一般来说，防火墙存在的形式只有两种。一种是以软件的形式运行在计算机上，另外一种就是以硬件的形式存在。 防火墙 P117 5．4．1防火墙概述 总的来说，一个好的防火墙系统应具有以下几个方面的特性和功能： （1） 所有在该内部网和外部网之间交换的数据都可以而且只能经过该防火墙； （2） 只有被防火墙检测后合格，即防火墙系统中安全策略允许的数据才可以自由出入防火墙，其它不合格的数据一律被禁止通过； （3） 防火墙的技术是最新安全的技术，和时代是同步的； （4） 防火墙本身不受任何攻击； 人机界面友好，易于操作，易于系统管理员进行配置和控制。 防火墙 P118 5．4．2防火墙技术 防火墙根据内部所使用的技术一般可以分为：包过滤防火墙、应用级网关和电路级网关。 防火墙 P118 5．4．2．1包过滤防火墙 包过滤器的工作是检查每个包的头部中的有关字段。网络管理员可以配置包过滤器，指定要检测哪些字段以及如何处理等等。 防火墙 P118 H H …… H H …… 包过滤器 128．10．0．0 192．5．48．0 5．4．2．2应用级网关 应用级网关防火墙安装在网络应用层上，它是一种比包过滤防火墙更加安全的防火墙技术。 防火墙 P119 Intranet 应用层 应用网关 物理层 Internet …… 5．4．2．3电路级网关 它的主要技术特点是不允许直接建立端对端的连接，而是将跨越防火墙的网络通信链路分为两段，通过代理服务器建立两个TCP连接。 防火墙 P120 转发应答 客户 代理服务器 服务器 请求 请求应答 应答 5．4．2．3电路级网关 代理服务是运行在网络主机上的一个软件应用程序，它就像外部网和内部网之间的中间媒介，筛选进出的数据。 运行代理服务的网络主机称为代理服务器或网关。 对于外部网络，代理服务器相当于内部网络的一台服务器，实际上，它只是内部网络的一台过滤设备。 代理服务器的安全性除了表现在它可以隔断内部和外部网络的直接连接，还可以防止外部网络发现内部网络的地址。 防火墙 P120 5．4．2．4新型防火墙技术 新型防火墙，既有包过滤的功能，又能在应用层进行代理。它具有以下特点： （1）综合包过滤和代理技术，克服二者在安全方面的缺陷。 （2）能从数据链路层一直到应用层施加全方位的控制。 （3）实现TCP/IP协议的微内核，从而在TCP/IP协议层进行各项安全控制。 （4）基于上述微内核，使速度超过传统的包过滤防火墙。 （5