基本的网络产品
一、VPN
1. 定义:
虚拟专用网络——在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用,VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。
2. 背景:
一个技术的出现都是由于某种需求触发的,那么为什么会出现VPN技术呢?VPN技术解决了什么问题?
在没有VPN之前,企业的总部和分部之间的互通都是采用运营商的internet进行通信,那么Internet中往往是不安全的,通信的内容可能被窃取、修改等,从而造成安全事件。
那么有没有一种技术既能实现总部和分部间的互通,也能够保证数据传输的安全性呢?答案是当然有。
一开始大家想到的是专线,在总部和分部拉条专线,只传输自己的业务,但是这个专线的费用却不是一般公司能够承受的。而且维护也很困难。
那么有没有成本也比较低的方案呢?有,那就是VPN。VPN通过在现有的Internet网中构建专用的虚拟网络,实现企业总部和分部的通信,解决了互通、安全、成本的问题。
3. 技术介绍:
VPN即虚拟专用网,指通过VPN技术在公有网络中构建专用的虚拟网络。用户在此虚拟网络中传输流量,从而在Internet网络中实现安全、可靠的连接。
(1)专用:VPN虚拟网络是专门给VPN用户使用的网络,对于用户而言,使用VPN和Internet,用户是不感知的,是由VPN虚拟网络提供安全保证。
(2)虚拟:相对于公有网络而言,VPN网络是虚拟的,是逻辑意义上的一个专网。
4. 技术优势:
安全:在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接,保证数据传输的安全性。这对于实现电子商务或金融网络与通讯网络的融合特别重要。
成本低:利用公共网络进行信息通讯,企业可以用更低的成本连接远程办事机构、出差人员和业务伙伴。
支持移动业务:支持出差VPN用户在任何时间、任何地点的移动接入,能够满足不断增长的移动业务需求。
可扩展性:由于VPN为逻辑上的网络,物理网络中增加或修改节点,不影响VPN的部署。
二、防火墙
1. 定义:
通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
2. 工作原理:
防火墙可以监控进出网络的通信量,从而完成看似不可能的任务,仅让安全、核准了的信息进入,同时又抵制对企业构成威胁的数据,说白了,它就像一个守城队,这个城处于紧张状态,只能让外界的良民进城,对城里的坏人进行盘点,不放走一个坏人。
入城盘点:入侵者想要进入一座城,它有多种方式,打扮成各种方式入城,例如,假口令、假令牌,伪装等。所以守城队是防上这种可疑的人员入城的,另外对于城内百姓,也是禁止百姓靠近城内的主要防御设施。
出城监视:同时为了更好地保护城内百姓,守城队当然还需要打探城外的动向,了解到那些地方安全,那些地方有危险,然后规定普通百姓想要出城,有一些地方能去,有些地方有危险不能去。
因此,防火墙的作用是防止不希望的、未授权的通信进出被保护的网络,迫使单位强化自己的网络安全政策。一般的防火墙都可以达到以下目的:
1:可以限制他人进入内部网络,过滤掉不安全服务和非法用户;
2:防止入侵者接近你的防御设施;
3:限定用户访问特殊站点。
4:为监视Internet安全提供方便。
3. 架构和工作方式:
一套完整的防火墙系统通常是由屏蔽路由器和代理服务器组成。
1、屏蔽路由器:
是一个多端口的IP路由器,它通过对每一个到来的IP包依据组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息,例如协议号、收发报文的IP地址和端口号、连接标志以至另外一些IP选项,对IP包进行过滤。
example:一堆人来到一个快要开盘楼盘售楼部买房,售楼小姐先需要对你们进行大概的登记和了解,你是否有正规工作,是否是本市户口,是否能正常贷款,首付多少,当进行这一系列的问题后,售楼小姐会对来买房的人员进行一个过滤。
2、代理服务器:
是防火墙中的一个服务器进程,它能够代替网络用户完成特定的TCP/TP功能。一个代理服务器本质上是一个应用层的网关,它就是一个关口。
一个为特定网络应用而连接两个网络的网关。用户就一项TCP/TP应用,比如Telnet或者FTP,同代理服务器打交道,代理服务器要求用户提供其要访问的远程主机名。
当用户答复并提供了正确的用户身份及认证信息后,代理服务器连通远程主机,为两个通信点充当中继。整个过程可以对用户完全透明。用户提供的用户身份及认证信息可用于用户级的认证。
4. 功能:
防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
三、IPS
互联网协议群(Internet Protocol Suite ,IPS)的简写,主要包括TCP/IP协议。防火墙可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力。IPS是对防火墙的补充。入侵防御系统
流行的攻击程序和有害代码如 DoS (Denial of Service 拒绝服务),DDoS(Distributed DoS分布式拒绝服务),暴力猜解(Brut-Force-Attack),端口扫描(Portscan),嗅探,病毒,蠕虫,垃圾邮件,木马,SQL注入、跨站脚本。
- 网络威胁现状:现在大多数病毒等网络威胁不再单纯地攻击电脑系统,而是被黑客攻击和不法分子利用,成为他们获取利益的工具。因此,传统的电脑病毒等网络威胁,正在向由利益驱动的、全面的网络威胁发展变化。
- 入侵:指未经授权而尝试访问信息系统资源、篡改信息系统中的数据,使信息系统不可靠或不能使用的行为;入侵企图破坏信息系统的完整性、机密性、可用性以及可控性。典型的入侵行为有:
篡改Web网页;
破解系统密码;
复制/查看敏感数据;
使用网络嗅探工具获取用户密码;访问未经允许的服务器;
其他特殊硬件获得原始网络包;向主机植入特洛伊木马程序。
四、IDS
入侵检测系统,用于入侵检测的所有软硬件系统;发现有违反安全策略的行为或系统存在被攻击的痕迹,立即启动有关安全机制进行应对。
IDS的主要作用是监控网络状况,侧重于风险管理。
IPS的主要作用是实时阻断入侵行为,侧重于风险控制。
五、交换机
六、路由器
路由器在网络层,路由器根据IP地址寻址,路由器可以处理TCP/IP协议,交换机不可以,交换机根据MAC地址寻址。交换机在数据链路层。
路由器可以把一个IP分配给很多个主机使用,这些主机对外只表现出一个IP。交换机可以把很多主机连起来,这些主机对外各有各的IP。