《网络平台架构培训》由会员分享,可在线阅读,更多相关《网络平台架构培训(25页珍藏版)》请在金锄头文库上搜索。
1、 网络平台架构培训上海 冯涛20090804第一版 简单的联接 1960S-1970S 网络化联接 1970S-1980S 网络间互联 1980S-1990S简单的联接主机低速串行联接六十至七十年代,网络的概念主要是基于主机架构的低速串行联接,提供应用程序执行,远程打印和数据服务功能.IBM的SNA架构与非IBM公司的X.25公用数据网络是这个网络的典型例子.网络化联接服务器双绞线七十至八十年代,出现了以个人电脑为主的商业计算模式.最初,个人电脑是独立的设备,由于认识到商业计算的复杂性,局域网产生了.局域网的出现,大大降低了商业用户打印机和磁盘昂贵的费用网络间互联Internet路由器路由器八
2、十年代至就是年代 ,远程计算的需求不断增加,迫使计算机界开发出多种广域网络协议,满足不同计算方式下远程联接的需求,网间网的互联极大程度的发展起来.网络设备在网络层次模型中的 位置ApplicationPresentationSessionTransportNetworkDatalinkPhysicalRepeater,HubBridge,Layer 2 SwitchRouter,Layer 3 SwitchGateway在分层模型中,对等是一个很重要的概念,因为只有对等层才能相互通信,一方在某层上的协议是什么,对方在同一层次上也必须是什么协议.理解了对等的含义 , 则很容易把网络互联起来.IC
3、MP检测ICMP Echo RequestICMP Echo ReplyAB互联网络控制消息协议ICMP是一个网络层的协议,它提供了错误报告和其他回送给源点的关于IP数据包处理情况的消息,RFC792中有关于ICMP的详细说明.ICMP包含几种不同的消息,其中Echo Request由Ping命令产生,主机可通过它来测试网络的可达性,ICMP Echo Reply消息表示该节点是可达的.地址解析协议ARPIP 10.0.0.1=?MAC=00-01-02-03-04-0510.0.0.210.0.0.110.0.0.1的物理 地址是多少收到广播,这是 我的物理地址地址解析协议ARP是一种广播协
4、议,主机通过它可以动态地发现对应于一个IP网络层地址的MAC层地址.主机A发送的ARP请求报文中,带有自己的IP地址到MAC地址的映射.主机B收到请求报文后,将其中的地址映射存到自己的ARP告诉缓存中,并把自己的IP地址到MAC地址的映射做为响应发回主机A广播地址解析,路由信息等降低处理器安全问题大多数网络协议都利用广播来提供网络信息,而广播包到达所有的计算机,计算机必须处理这些广播包,大大降低了处理器的性能.另外在共享式网络中,安全问题得不到保证,由于所有数据包到达中继器后往所有端口广播,这样信息很容易被窃取.虚拟网(VLAN)VLAN100VLAN200隔离广播增强安全便于管理使用虚拟网,
5、可以限制网上的计算机相互访问的权限,各个网段可以共用同一套网络设备,节约了网络硬件的开销,同时也便于迁移,从而降低了成本链路聚合(Aggregate)链路聚合提供冗余提高带宽路由器的概念及基本组成 用于网络互联的计算机设备 作为路由器,必须具备:两个或两个以上的接口协议至少实现到网络层具有存储,转发,寻址功能一组路由协议防火墙的概念 简单的说,防火墙的作用是在保护一个网络免受”不信任”网络的攻击的同时,保证两个网络之间可以进行合法的通信.防火墙应该具有一下基本特征:经过防火墙保护的网络之间的通信必须都经过防火墙只有经过各种配置的策略验证过的合法数据包才可以通过防火墙.防火墙本身必须具有很强的抗
6、攻击,渗透能力.防火墙的种类防火墙发展到今天,虽然不断有新的技术产生,但从网络协议分层的角度,仍然可以归为以下三类:1.包过滤防火墙2.基于状态检测技术(Stateful-inspection)的防火墙3.应用层防火墙 这三类防火墙都是向前兼容的,即基于状态检测的防火墙也有一般包过 滤防火墙的功能,而基于应用层的防火墙也包括前两种防火墙的功能包过滤防火墙为什么会有基于状态检测的防火墙呢?这就要先看看第一类普通包过滤防火墙的 主要缺点,比如我们要允许内网用户访问公网的WEB服务,来看看第一类普通 包过滤防火墙是怎样处理的呢?那首先我们应该建立一条类似图所示的规则:动作源地址源端口目的地址目的端口
7、方向 允许*80出但这就行了吗?图-1显然是不行的,因为这只是允许我向外请求WEB服务,但WEB服务响应我的数 据包怎么进来呢?所以还必须建立一条允许相应响应数据包进入的规则。好,就 按上面的规则加吧,在动作栏中我们填允许,由于现在数据包是从外进来,所以 源地址应该是所有外部的,这里不做限制,在源端口填80,目标地址也不限定, 这个这个目标端口怎么填呢?因为当我访问网站时本地端口是临时分配的,也就 是说这个端口是不定的,只要是1023以上的端口都有可能,所以没有办法,那 只有把这些所有端口都开放了,于是在目标端口填上1024-65535,这样规则就如图 所示了,实际上这也是某些第一类防火墙所采
8、用的方法动作源地址源端口目的地址目的端口方向 允许*80出 动作源地址源端口目的地址目的端口方向 允许*80*1024-65535进想一想这是多么危险,因为入站的高端口全开放了,而很多危险的服务也是 使用的高端口啊,比如微软的终端服务/远程桌面监听的端口就是3389,当然 对这种固定的端口还好说,把进站的3389封了就行,但对于同样使用高端口 但却是动态分配端口的RPC服务就没那么容易处理了,因为是动态的,你不 便封住某个特定的RPC服务。图-2基于状态检测技术(Stateful- inspection)的防火墙上面说了这是某些普通包过滤防火墙所采用的方法,为了防止这种开放高端口的风险,于是一
9、些防火墙又根据TCP连接中的ACK位值来决定数据包进出,但这种方法又容易导致DoS攻击,何况UDP协议还没有这种标志呢?所以普通包过滤防火墙还是没有解决这个问题,我们仍然需要一种更完美的方法,这时就有了状态检测技术,我们先不解释什么是状态检测防火墙,还是来看看它是怎样处理上面的问题的。同上面一样,首先我们也需要建立好一条类似图1的规则(但不需要图2的规则) ,通常此时规则需要指明网络连接的方向,即是进还是出,然后我在客户端 打开IE向某个网站请求WEB页面,当数据包到达防火墙时,状态检测引擎会 检测到这是一个发起连接的初始数据包(由SYN标志),然后它就会把这个数据 包中的信息与防火墙规则作比
10、较,如果没有相应规则允许,防火墙就会拒绝 这次连接,当然在这里它会发现有一条规则允许我访问外部WEB服务,于是 它允许数据包外出并且在状态表中新建一条会话,通常这条会话会包括此连 接的源地址、源端口、目标地址、目标端口、连接时间等信息,对于TCP连 接,它还应该会包含序列号和标志位等信息。当后续数据包到达时,如果这 个数据包不含SYN标志,也就是说这个数据包不是发起一个新的连接时,状 态检测引擎就会直接把它的信息与状态表中的会话条目进行比较,如果信息 匹配,就直接允许数据包通过,这样不再去接受规则的检查,提高了效率, 如果信息不匹配,数据包就会被丢弃或连接被拒绝,并且每个会话还有一个 超时值,
11、过了这个时间,相应会话条目就会被从状态表中删除掉。应用层防火墙基于状态检测技术(Stateful-inspection)的防火墙有强大功能,但由于状态检测防火墙毕竟是工作在网络层和传输层的,所以它仍然有一些不能解决的问题需要在应用层来进行解决,比如对于动态分配端口的RPC就必须作特殊处理;另外它也不能过滤掉应用层中特定的内容,比如对于http内容,它要么允许进,要么允许出,而不能对http内容进行过滤,这样我们就不能控制用户访问的WEB内容,也不能过滤掉外部进入内网的恶意HTTP内容,另外,它也不能对用户进行认证,为了解决这些问题,我们还必须把防火墙的过滤层次扩展到应用层,这就是应用层防火墙,
12、其实今天比较大型的商业防火墙都应该是这个级别的防火墙了.QQ,MSN开心网,公司网股票,在线视频公司网 MSN Internet应用层过滤员工A员工B员工C老板老板全部开放 更高带宽什么是风险评估说起风险评估,大家脑海中首先浮现的可能是:风险、资产、影响、威胁 、弱点等一连串的术语,这些术语看起来并不难理解,但一旦综合考虑就 会象绕口令般组合。比如风险,用ISO/IEC TR 13335-1:1996中的定义可 以解释为: 特定威胁利用某个(些)资产的弱点,造成资产损失或破坏的潜 在可能性。为了帮助理解,我们举一个人的例子:我口袋里有100块钱,因为打瞌睡 ,被小偷偷走了,搞得晚上没饭吃。用风险评估的观点来描述这个案例,我们可以对这些概念作如下理解:风险 = 钱被偷走 资产 = 100块钱 影响 = 晚上没饭吃 威胁 = 小偷 弱点 = 打瞌睡假设这么个案例:某证券公司的数据库服务器因为 存在RPC DCOM的漏洞,遭到入侵者攻击,被迫中断3天。让我们尝试做一道小学时常做的连线题,把左右两边相对应 的内容用线段连接起来:风险RPC DCOM漏洞 资产服务器遭到入侵 影响数据库服务器 威胁入侵者 弱点中断三天路由器日志审计路由器防火墙核心交换机无线APVLAN100VLAN200VPN通道Internet服务器群VPN通道VLAN100
