1.网络基础设备
园区网络安全部署场景
路由器:跨网段通信设备。
交换机:同网段或跨网段通信设备。
AntiDDoS:DDoS防御系统,通常旁挂部署于网络出口处,位于防火墙上游,用于减轻防火墙报文处理负担。
NGFW:下一代防火墙,可部署在网络出口处进行初步防护,或者保护数据中心不被攻击。
vNGFW:软件NGFW,部署在VM(VirtualMachine)中,与硬件防火墙功能相似。
NIP:华为下一代入侵防御系统,专业的入侵检测设备/入侵防御设备,可部署在数据中心保护数据中心不被入侵。
Agile-Controller:基于用户和应用的网络资源自动化控制系统,通常部署于DMZ服务区,用于准入控制。
交换机
交换机工作在数据链路层,对数据帧进行操作。在收到数据帧后,交换机会根据数据帧的头部信息对数据帧进行转发。
MAC地址表:存放MAC地址与交换机端口的映射关系(老化时间为300s)
-
交换机对帧的转发操作行为一共有三种:泛洪(Flooding),转发(Forwarding),丢弃(Discarding)。
-
泛洪:交换机把从某一端口进来的帧通过所有其它的端口转发出去(注意,“所有其它的端口”是指除了这个帧进入交换机的那个端口以外的所有端口)。
-
转发:交换机把从某一端口进来的帧通过另一个端口转发出去(注意,“另一个端口”不能是这个帧进入交换机的那个端口)。
-
丢弃:交换机把从某一端口进来的帧直接丢弃。
-
交换机的基本工作原理可以概括地描述如下:
-
如果进入交换机的是一个单播帧,则交换机会去MAC地址表中查找这个帧的目的MAC地址。
-
如果查不到这个MAC地址,则交换机执行泛洪操作。(使用ARP地址解析协议