第一章概述

網(wǎng)絡(luò)安全基礎(chǔ)與實(shí)踐FundamentalsandPracticesofNetworkSecurityNetworkSecurity全套可編輯PPT課件

本課件是可編輯的正常PPT課件目錄計(jì)算機(jī)網(wǎng)絡(luò)概述常見(jiàn)的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備分層模型第一節(jié)第二節(jié)第三節(jié)數(shù)據(jù)傳輸過(guò)程第四節(jié)本課件是可編輯的正常PPT課件一、計(jì)算機(jī)網(wǎng)絡(luò)概述2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)計(jì)算機(jī)網(wǎng)絡(luò)是把分布在不同地理區(qū)域的具有獨(dú)立功能的計(jì)算機(jī)和專(zhuān)門(mén)的外部設(shè)備，通過(guò)通信線(xiàn)路互連，構(gòu)成的可以實(shí)現(xiàn)信息傳遞和資源共享的計(jì)算機(jī)系統(tǒng)。1．什么是計(jì)算機(jī)網(wǎng)絡(luò)？計(jì)算機(jī)和外部設(shè)備的種類(lèi)多種多樣。本課件是可編輯的正常PPT課件一、計(jì)算機(jī)網(wǎng)絡(luò)概述2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)信息交換數(shù)據(jù)通信是依照一定的通信協(xié)議,利用數(shù)據(jù)傳輸技術(shù)在兩個(gè)計(jì)算機(jī)之間傳遞數(shù)據(jù)信息的一種通信方式和通信業(yè)務(wù)。資源共享計(jì)算機(jī)網(wǎng)絡(luò)的資源包括硬件資源、軟件資源、數(shù)據(jù)資源、信道資源。2．計(jì)算機(jī)網(wǎng)絡(luò)的功能本課件是可編輯的正常PPT課件一、計(jì)算機(jī)網(wǎng)絡(luò)概述2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)分布式處理分布式處理是將一個(gè)復(fù)雜的大問(wèn)題分解成多個(gè)小問(wèn)題,分別交由計(jì)算機(jī)網(wǎng)絡(luò)中的多個(gè)計(jì)算機(jī)共同處理。提高系統(tǒng)可靠性對(duì)于關(guān)鍵部門(mén)的重要應(yīng)用,可以利用計(jì)算機(jī)網(wǎng)絡(luò)中的冗余計(jì)算機(jī)節(jié)點(diǎn),實(shí)現(xiàn)系統(tǒng)的高可靠性。2．計(jì)算機(jī)網(wǎng)絡(luò)的功能本課件是可編輯的正常PPT課件一、計(jì)算機(jī)網(wǎng)絡(luò)概述2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)計(jì)算機(jī)網(wǎng)絡(luò)是伴隨著計(jì)算機(jī)性能的提高和應(yīng)用需求的提升而不斷地發(fā)展的，從產(chǎn)生到相對(duì)成熟，主要經(jīng)歷了四個(gè)階段。面向終端的計(jì)算機(jī)網(wǎng)絡(luò)計(jì)算機(jī)——計(jì)算機(jī)網(wǎng)絡(luò)標(biāo)準(zhǔn)化的計(jì)算機(jī)網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)和信息高速公路3．計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展簡(jiǎn)史本課件是可編輯的正常PPT課件一、計(jì)算機(jī)網(wǎng)絡(luò)概述2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)計(jì)算機(jī)計(jì)量單位是用于衡量計(jì)算機(jī)數(shù)據(jù)存儲(chǔ)、處理能力以及數(shù)據(jù)傳輸速率的標(biāo)準(zhǔn)單位體系。位(Bit):最小的數(shù)據(jù)單位，表示0或1。字節(jié)(Byte):由8個(gè)位組成，是計(jì)算機(jī)中常見(jiàn)的數(shù)據(jù)存儲(chǔ)單位。千字節(jié)(KB，Kilobyte)1024字節(jié)，大約相當(dāng)于一段短文本兆字節(jié)(MB，Megabyte)):1024KB，大約相當(dāng)于一本小型書(shū)籍。吉字節(jié)(GB，Gigabyte):1024MB，足夠存儲(chǔ)大量文檔、圖片和音頻。太字節(jié)(TB，Terabyte):1024GB，適用于大規(guī)模數(shù)據(jù)存儲(chǔ)，如影音資料庫(kù)。面向終端的計(jì)算機(jī)網(wǎng)絡(luò)4．計(jì)算機(jī)計(jì)量單位本課件是可編輯的正常PPT課件目錄計(jì)算機(jī)網(wǎng)絡(luò)概述常見(jiàn)的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備分層模型第一節(jié)第二節(jié)第三節(jié)數(shù)據(jù)傳輸過(guò)程第四節(jié)本課件是可編輯的正常PPT課件二、常見(jiàn)的網(wǎng)絡(luò)安全設(shè)備2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)1、網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備網(wǎng)絡(luò)設(shè)備路由器（Router）交換機(jī)（Switch）防火墻（Firewall）訪問(wèn)點(diǎn)（AccessPoint）網(wǎng)關(guān)（Gateway）網(wǎng)絡(luò)安全設(shè)備入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem，IDS）入侵防御系統(tǒng)（IntrusionPreventionSystem，IPS）防病毒軟件（AntivirusSoftware）虛擬專(zhuān)用網(wǎng)絡(luò)（VirtualPrivateNetwork，VPN）安全認(rèn)證設(shè)備（AuthenticationDevices）加密設(shè)備（EncryptionDevices）本課件是可編輯的正常PPT課件目錄計(jì)算機(jī)網(wǎng)絡(luò)概述常見(jiàn)的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備分層模型第一節(jié)第二節(jié)第三節(jié)數(shù)據(jù)傳輸過(guò)程第四節(jié)本課件是可編輯的正常PPT課件三、分層模型2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)1、計(jì)算機(jī)層次劃分計(jì)算機(jī)網(wǎng)絡(luò)層次結(jié)構(gòu)劃分依據(jù)下面的原則：功能相似或緊密相關(guān)的模塊應(yīng)放在同一層;層與層之間應(yīng)保持松散的耦合，使信息在層與層之間的流動(dòng)減到最小。本課件是可編輯的正常PPT課件三、分層模型2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)2、OSI參考模型國(guó)際標(biāo)準(zhǔn)化組織(ISO)頒布的開(kāi)放系統(tǒng)互聯(lián)參考模型(OSI/RM)，自上而下分別是應(yīng)用層、表示層、會(huì)話(huà)層、傳輸層、網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層和物理層，也就是七層網(wǎng)絡(luò)通信模型，簡(jiǎn)稱(chēng)七層模型。本課件是可編輯的正常PPT課件三、分層模型2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)3、TCP/IP協(xié)議簇OSI參考模型TCP/IP參考模型應(yīng)用層應(yīng)用層表示層會(huì)話(huà)層傳輸層傳輸層網(wǎng)絡(luò)層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層網(wǎng)絡(luò)接口層物理層本課件是可編輯的正常PPT課件目錄計(jì)算機(jī)網(wǎng)絡(luò)概述常見(jiàn)的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備數(shù)據(jù)傳輸過(guò)程第一節(jié)第二節(jié)第四節(jié)分層模型第三節(jié)本課件是可編輯的正常PPT課件四、數(shù)據(jù)傳輸過(guò)程2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)1、數(shù)據(jù)封裝與解封裝過(guò)程數(shù)據(jù)要在網(wǎng)絡(luò)中進(jìn)行傳輸，必須按照某種固定的格式才可以。就如同日常生活中我們寫(xiě)信和收信一樣。那么，寫(xiě)信的過(guò)程是數(shù)據(jù)封裝的過(guò)程，而收信的過(guò)程就是數(shù)據(jù)解封裝的過(guò)程。本課件是可編輯的正常PPT課件

網(wǎng)絡(luò)安全基礎(chǔ)與實(shí)踐FundamentalsandPracticesofNetworkSecurityPythonC++、JAVA、HTML感謝您的觀看本課件是可編輯的正常PPT課件第二章計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議

網(wǎng)絡(luò)安全基礎(chǔ)與實(shí)踐FundamentalsandPracticesofNetworkSecurityNetworkSecurity本課件是可編輯的正常PPT課件目錄終端間的通信IP數(shù)據(jù)報(bào)格式ARP協(xié)議第一節(jié)第二節(jié)第三節(jié)ICMP協(xié)議第四節(jié)TCP協(xié)議第五節(jié)UDP協(xié)議第六節(jié)本課件是可編輯的正常PPT課件一、終端間的通信2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)終端間的通信，在計(jì)算機(jī)網(wǎng)絡(luò)中也稱(chēng)作局域網(wǎng)(LAN)通信，主要涉及數(shù)據(jù)鏈路層，而數(shù)據(jù)鏈路層的數(shù)據(jù)傳輸單元被稱(chēng)為幀。1．什么是計(jì)算機(jī)網(wǎng)絡(luò)？IEE802.3規(guī)范的以太網(wǎng)有時(shí)又被稱(chēng)為802.3以太網(wǎng)。本課件是可編輯的正常PPT課件一、終端間的通信2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)Ethernet_II幀格式Ethernet_II幀格式中包括目標(biāo)MAC、源MAC、類(lèi)型，以及緊隨幀頭后面的是數(shù)據(jù)。一個(gè)數(shù)據(jù)幀所能容納的最大數(shù)據(jù)范圍是46~1500個(gè)字節(jié)。幀尾是一個(gè)叫做FCS(FrameCheckSequence，頓檢驗(yàn)序列)的4個(gè)字節(jié)。2．Ethernet_II幀格式本課件是可編輯的正常PPT課件一、終端間的通信2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)單播單播通信在是指封包在計(jì)算機(jī)網(wǎng)絡(luò)的傳輸中，目的地址為單一目標(biāo)的一種傳輸方式。組播組播通信是一種特殊的通信模式，用于將數(shù)據(jù)信息同時(shí)傳遞給一組目的地址。它使用策略是最高效的，因?yàn)橄⒃诿織l網(wǎng)絡(luò)鏈路上只需傳遞一次，而且只有在鏈路分叉的時(shí)候，消息才會(huì)被復(fù)制。廣播廣播通信也是一種特殊的通信模式，用于將數(shù)據(jù)從一個(gè)源設(shè)備發(fā)送到網(wǎng)絡(luò)中的所有設(shè)備。2．?dāng)?shù)據(jù)鏈路層通信方式本課件是可編輯的正常PPT課件目錄終端間的通信IP數(shù)據(jù)報(bào)格式第一節(jié)第二節(jié)ARP協(xié)議第三節(jié)ICMP協(xié)議第四節(jié)TCP協(xié)議第五節(jié)UDP協(xié)議第六節(jié)本課件是可編輯的正常PPT課件二、IP數(shù)據(jù)報(bào)格式2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)1、IP數(shù)據(jù)報(bào)格式版本Version(4）首部長(zhǎng)度IHL（4）優(yōu)先級(jí)與服務(wù)類(lèi)型（8）總長(zhǎng)度Totallength（16）標(biāo)識(shí)符Identification（16）標(biāo)志Flags（3）片偏移（13）生存時(shí)間TTL（8）協(xié)議Protocol（8）首部校驗(yàn)和（16）源地址SourceAddress（32）目的地址DestinationAddress（32）可選字段Options填充Padding數(shù)據(jù)Data要了解IP數(shù)據(jù)包格式，我們主要是認(rèn)識(shí)IP首部。本課件是可編輯的正常PPT課件目錄ARP協(xié)議IP數(shù)據(jù)報(bào)格式終端間的通信第三節(jié)第二節(jié)第一節(jié)ICMP協(xié)議第四節(jié)TCP協(xié)議第五節(jié)UDP協(xié)議第六節(jié)本課件是可編輯的正常PPT課件三、ARP協(xié)議2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)1、ARP協(xié)議ARP是一種解決地址問(wèn)題的協(xié)議。以目標(biāo)IP地址為線(xiàn)索，用來(lái)定位下一個(gè)應(yīng)該接收數(shù)據(jù)分包的網(wǎng)絡(luò)設(shè)備對(duì)應(yīng)的MAC地址。如果目標(biāo)主機(jī)不在同一個(gè)鏈路上時(shí)，可以通過(guò)ARP查找下一跳路由器的MAC地址。本課件是可編輯的正常PPT課件三、ARP協(xié)議2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)2、廣播與廣播域如圖所示，每個(gè)圈都是一個(gè)廣播域，說(shuō)明了交換機(jī)隔離不了廣播域，路由器可以隔離廣播域（物理隔離）。本課件是可編輯的正常PPT課件三、ARP協(xié)議2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)2、ARP協(xié)議ARP協(xié)議是一個(gè)地址解析協(xié)議，它屬于內(nèi)網(wǎng)協(xié)議，工作在內(nèi)網(wǎng)，跑不出當(dāng)前局域網(wǎng)，會(huì)被路由器隔離。本課件是可編輯的正常PPT課件目錄ICMP協(xié)議IP數(shù)據(jù)報(bào)格式終端間的通信第四節(jié)第二節(jié)第一節(jié)ARP協(xié)議第三節(jié)TCP協(xié)議第五節(jié)UDP協(xié)議第六節(jié)本課件是可編輯的正常PPT課件四、ICMP協(xié)議2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)1、ICMP的主要功能確認(rèn)IP包是否成功送達(dá)目標(biāo)地址通知發(fā)送過(guò)程當(dāng)中IP包被廢棄的具體原因。改善網(wǎng)絡(luò)設(shè)置本課件是可編輯的正常PPT課件四、ICMP協(xié)議2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)1、ICMP消息類(lèi)型類(lèi)型（十進(jìn)制數(shù)）內(nèi)容0回送應(yīng)答（EchoReply）3目標(biāo)不可達(dá)（DestinationUnreachable）4原點(diǎn)抑制（SourceQuench）5重定向或改變路由（Redirect）8回送請(qǐng)求（EchoRequest）9路由器公告（RouterAdvertisement）10路由器請(qǐng)求（RouterSolicitation）11超時(shí)（TimeExceeded）17地址子網(wǎng)請(qǐng)求（AddressMaskRequest）18地址子網(wǎng)應(yīng)答（AddressMaskReply）本課件是可編輯的正常PPT課件目錄TCP協(xié)議IP數(shù)據(jù)報(bào)格式終端間的通信第五節(jié)第二節(jié)第一節(jié)ARP協(xié)議第三節(jié)ICMP協(xié)議第四節(jié)UDP協(xié)議第六節(jié)本課件是可編輯的正常PPT課件五、TCP協(xié)議2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)1、TCP頭部格式TCP報(bào)文段也叫TCP分組，是TCP協(xié)議傳輸和接收數(shù)據(jù)的一種封裝格式，只有按照該格式發(fā)送的數(shù)據(jù)才可以被TCP協(xié)議通信的雙方正確的接收與解析。源端口目的端口序號(hào)確認(rèn)號(hào)數(shù)據(jù)偏移保留URGACKPSHRSTSYNFIN窗口檢驗(yàn)和緊急指針選項(xiàng)（長(zhǎng)度可變）填充數(shù)據(jù)本課件是可編輯的正常PPT課件五、TCP協(xié)議2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)2、TCP三次握手TCP連接的建立通過(guò)三次握手的過(guò)程完成。本課件是可編輯的正常PPT課件五、TCP協(xié)議2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)2、TCP四次揮手TCP采用四次揮手的方式來(lái)關(guān)閉連接。本課件是可編輯的正常PPT課件目錄UDP協(xié)議IP數(shù)據(jù)報(bào)格式終端間的通信第六節(jié)第二節(jié)第一節(jié)ARP協(xié)議第三節(jié)ICMP協(xié)議第四節(jié)TCP協(xié)議第五節(jié)本課件是可編輯的正常PPT課件六、UDP協(xié)議2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)1、UDP頭部格式UDP數(shù)據(jù)報(bào)分為首部和用戶(hù)數(shù)據(jù)部分，整個(gè)UDP數(shù)據(jù)報(bào)作為IP數(shù)據(jù)報(bào)的數(shù)據(jù)部分封裝在IP數(shù)據(jù)報(bào)中。源端口（16位）目的端口16位（）UDP長(zhǎng)度（16位）UDP校驗(yàn)和（16位）數(shù)據(jù)（Data）本課件是可編輯的正常PPT課件六、UDP協(xié)議2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)1、UDP傳輸過(guò)程UDP作為一個(gè)非連接的協(xié)議，傳輸數(shù)據(jù)之前源端和終端不需要建立連接，當(dāng)它想傳送時(shí)就簡(jiǎn)單地去抓取來(lái)自應(yīng)用程序的數(shù)據(jù)，并盡可能快地把它扔到網(wǎng)絡(luò)上。在發(fā)送端，UDP傳送數(shù)據(jù)的速度僅僅是受應(yīng)用程序生成數(shù)據(jù)的速度、計(jì)算機(jī)的能力和傳輸帶寬的限制；在接收端，UDP把每個(gè)消息段放在隊(duì)列中，應(yīng)用程序每次從隊(duì)列中讀一個(gè)消息段。本課件是可編輯的正常PPT課件七、數(shù)據(jù)傳輸過(guò)程2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)1、數(shù)據(jù)傳輸過(guò)程本課件是可編輯的正常PPT課件

網(wǎng)絡(luò)安全基礎(chǔ)與實(shí)踐FundamentalsandPracticesofNetworkSecurityPythonC++、JAVA、HTML感謝您的觀看本課件是可編輯的正常PPT課件第三章路由交換基礎(chǔ)

網(wǎng)絡(luò)安全基礎(chǔ)與實(shí)踐FundamentalsandPracticesofNetworkSecurityNetworkSecurity本課件是可編輯的正常PPT課件目錄eNSP以太網(wǎng)交換機(jī)路由原理第一節(jié)第二節(jié)第三節(jié)本課件是可編輯的正常PPT課件一、eNSP2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)eNSP是華為公司開(kāi)發(fā)并維護(hù)且為用戶(hù)免費(fèi)提供的數(shù)通設(shè)備仿真實(shí)驗(yàn)平臺(tái)，主要對(duì)計(jì)算機(jī)網(wǎng)絡(luò)中常見(jiàn)的路由器、交換機(jī)、防火墻、無(wú)線(xiàn)網(wǎng)絡(luò)設(shè)備等進(jìn)行模擬，最后的使用效果就如同真實(shí)網(wǎng)絡(luò)環(huán)境，且支持分布式部署可模擬出更大型的網(wǎng)絡(luò)環(huán)境。1．eNSP的作用本課件是可編輯的正常PPT課件一、eNSP2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)注意，在安裝這些軟件包時(shí)，盡量選擇默認(rèn)安裝路徑，默認(rèn)安裝路徑都是英文路徑，因?yàn)槟承┸浖谶\(yùn)行時(shí)不支持該程序的安裝目錄為中文或特殊符號(hào)。1．eNSP下載安裝本課件是可編輯的正常PPT課件一、eNSP2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)eNSP安裝并打開(kāi)后需要先通過(guò)軟件右上角“菜單”→“工具”→“注冊(cè)設(shè)備”并勾上所有設(shè)備再點(diǎn)擊“注冊(cè)”。2．eNSP初始化配置本課件是可編輯的正常PPT課件目錄eNSP

以太網(wǎng)交換機(jī)第一節(jié)第二節(jié)路由原理第三節(jié)本課件是可編輯的正常PPT課件二、以太網(wǎng)交換機(jī)2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)1、交換機(jī)設(shè)備簡(jiǎn)介交換機(jī)通常用于局域網(wǎng)中，能夠提高網(wǎng)絡(luò)性能并減少?zèng)_突。它可以將多個(gè)計(jì)算機(jī)連接在一起，讓它們能夠共享資源和通信。交換機(jī)可以分為兩種類(lèi)型：硬件交換機(jī)和軟件交換機(jī)。常見(jiàn)的交換機(jī)設(shè)備廠商包括Cisco、Juniper、huawei、H3C、Ruijie、TP-Link等。本課件是可編輯的正常PPT課件二、以太網(wǎng)交換機(jī)2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)2、交換機(jī)的工作原理交換機(jī)提供的大量的接入端口能夠很好地滿(mǎn)足隨著企業(yè)網(wǎng)絡(luò)的發(fā)展而增加的用戶(hù)需要接入網(wǎng)絡(luò)的需求。交換機(jī)工作在數(shù)據(jù)鏈路層。交換機(jī)的工作原理是通過(guò)讀取數(shù)據(jù)包的MAC地址來(lái)確定將數(shù)據(jù)發(fā)送到哪一臺(tái)計(jì)算機(jī)。交換機(jī)在工作過(guò)程中主要會(huì)用到三張表：ARP(AddressResolutionProtocol)緩存表、MAC地址表路由表本課件是可編輯的正常PPT課件二、以太網(wǎng)交換機(jī)2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)3、交換機(jī)的基本配置交換機(jī)的常見(jiàn)命令<Huawei>displayclock //查看時(shí)間[Huawei]sysnameRouter1 //修改主機(jī)名[Huawei]displayversion //查詢(xún)系統(tǒng)版本[Huawei]displayusers //查詢(xún)當(dāng)前已連接的終端用戶(hù)[Huawei]displaythis

//查詢(xún)?cè)诋?dāng)前模式下所配置的命令<Huawei>terminalmonitor //開(kāi)啟顯示終端調(diào)試、日志、警告信息功能<Huawei>undoterminalmonitor //關(guān)閉顯示終端調(diào)試、日志、警告信息功能[Huawei]info-centerenable //開(kāi)啟信息中心[Huawei]undoinfo-centerenable //關(guān)閉信息中心本課件是可編輯的正常PPT課件目錄路由原理以太網(wǎng)交換機(jī)eNSP第三節(jié)第二節(jié)第一節(jié)本課件是可編輯的正常PPT課件三、路由原理2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)1、ARP協(xié)議與交換技術(shù)轉(zhuǎn)發(fā)數(shù)據(jù)不同，路由技術(shù)轉(zhuǎn)發(fā)數(shù)據(jù)主要通過(guò)IP地址進(jìn)行精確轉(zhuǎn)發(fā)，具體的做法如圖所示。本課件是可編輯的正常PPT課件三、路由原理2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)2、路由器工作原理路由器主要目的是轉(zhuǎn)發(fā)數(shù)據(jù)包到正確的目的地，并選擇最佳路徑。路由器轉(zhuǎn)發(fā)數(shù)據(jù)包的關(guān)鍵是它的路由表。每個(gè)路由器都有一個(gè)路由表，表中的每個(gè)條目指示數(shù)據(jù)包應(yīng)該通過(guò)路由器的哪個(gè)物理接口發(fā)送到特定網(wǎng)絡(luò)或主機(jī)，以及下一跳路由器或最終目的地（如果數(shù)據(jù)包不再需要）通過(guò)任何其他路由器。本課件是可編輯的正常PPT課件三、路由原理2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)2、路由器工作原理數(shù)據(jù)包被路由器接收→路由器查看該數(shù)據(jù)包目的IP地址→路由器查詢(xún)自己的的路由表以匹配目的IP地址的路由條目，該條目包含目的IP地址和轉(zhuǎn)發(fā)端口→根據(jù)匹配到的結(jié)果從該端口轉(zhuǎn)發(fā)出去。本課件是可編輯的正常PPT課件三、路由原理2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)2、靜態(tài)路由靜態(tài)路由是由網(wǎng)絡(luò)管理員手動(dòng)配置并維護(hù)的路由表項(xiàng)。它們是固定的，單向的，缺乏靈活性，不會(huì)自動(dòng)更改或更新。靜態(tài)路由通常用于小型網(wǎng)絡(luò)或特定網(wǎng)絡(luò)段，因?yàn)樗鼈儧](méi)有動(dòng)態(tài)路由協(xié)議那樣的自我維護(hù)能。靜態(tài)路由技術(shù)包括：靜態(tài)路由浮動(dòng)路由默認(rèn)路由本課件是可編輯的正常PPT課件

網(wǎng)絡(luò)安全基礎(chǔ)與實(shí)踐FundamentalsandPracticesofNetworkSecurityPythonC++、JAVA、HTML感謝您的觀看本課件是可編輯的正常PPT課件第四章動(dòng)態(tài)路由協(xié)議

網(wǎng)絡(luò)安全基礎(chǔ)與實(shí)踐FundamentalsandPracticesofNetworkSecurityNetworkSecurity本課件是可編輯的正常PPT課件目錄動(dòng)態(tài)路由RIP路由協(xié)議OSPF的基本概念和工作過(guò)程第一節(jié)第二節(jié)第三節(jié)OSPF單域的配置第四節(jié)OSPF的多區(qū)域第五節(jié)OSPF多區(qū)域配置第六節(jié)OSPF高級(jí)技術(shù)第七節(jié)本課件是可編輯的正常PPT課件一、動(dòng)態(tài)路由2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)理想的路由算法穩(wěn)定計(jì)算簡(jiǎn)單最佳正確完整公平本課件是可編輯的正常PPT課件一、動(dòng)態(tài)路由2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)理想的路由算法關(guān)于“最佳路由”不存在一種絕對(duì)的最佳路由算法。所謂“最佳”只能是相對(duì)于某一種特定要求下得出的較為合理的選擇而已。路由選擇非常復(fù)雜需要所有節(jié)點(diǎn)共同協(xié)調(diào)工作的。環(huán)境不斷變化，而這種變化有時(shí)無(wú)法事先知道。當(dāng)網(wǎng)絡(luò)發(fā)生擁塞時(shí)，很難獲得所需路由選擇信息。本課件是可編輯的正常PPT課件一、動(dòng)態(tài)路由2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)理想的路由算法互聯(lián)網(wǎng)：采用自適應(yīng)的（即動(dòng)態(tài)的）、分布式路由選擇協(xié)議。把整個(gè)互聯(lián)網(wǎng)劃分為許多較小的自治系統(tǒng)AS，采用分層次的路由選擇協(xié)議。分為2個(gè)層次：自治系統(tǒng)之間的路由選擇或域間路由選擇(interdomainrouting)；自治系統(tǒng)內(nèi)部的路由選擇或域內(nèi)路由選擇(intradomainrouting)；本課件是可編輯的正常PPT課件一、動(dòng)態(tài)路由2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)自治系統(tǒng)（AS）：是在單一技術(shù)管理下的許多網(wǎng)絡(luò)、IP地址以及路由器，而這些路由器使用一種自治系統(tǒng)內(nèi)部的路由選擇協(xié)議和共同的度量。每一個(gè)AS對(duì)其他AS表現(xiàn)出的是一個(gè)單一的和一致的路由選擇策略。自治系統(tǒng)R1R4自治系統(tǒng)R3自治系統(tǒng)自治系統(tǒng)R2自治系統(tǒng)本課件是可編輯的正常PPT課件一、動(dòng)態(tài)路由2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)大類(lèi)路由選擇協(xié)議內(nèi)部網(wǎng)關(guān)協(xié)議IGPInteriorGatewayProtocol在一個(gè)自治系統(tǒng)內(nèi)部使用的路由選擇協(xié)議常用：RIP，OSPF外部網(wǎng)關(guān)協(xié)議EGPExternalGatewayProtocol在不同自治系統(tǒng)之間進(jìn)行路由選擇時(shí)使用的協(xié)議使用最多：BGP-4本課件是可編輯的正常PPT課件一、動(dòng)態(tài)路由2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)大類(lèi)路由選擇協(xié)議

用內(nèi)部網(wǎng)關(guān)協(xié)議（例如，RIP）自治系統(tǒng)B自治系統(tǒng)A用外部網(wǎng)關(guān)協(xié)議（例如，BGP-4）R1R2

用內(nèi)部網(wǎng)關(guān)協(xié)議（例如，OSPF）自治系統(tǒng)之間的路由選擇也叫做域間路由選擇(interdomainrouting)。自治系統(tǒng)內(nèi)部的路由選擇叫做域內(nèi)路由選擇

(intradomainrouting)。本課件是可編輯的正常PPT課件一、動(dòng)態(tài)路由2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)大類(lèi)路由選擇協(xié)議

用內(nèi)部網(wǎng)關(guān)協(xié)議（例如，RIP）自治系統(tǒng)B自治系統(tǒng)A用外部網(wǎng)關(guān)協(xié)議（例如，BGP-4）R1R2

用內(nèi)部網(wǎng)關(guān)協(xié)議（例如，OSPF）自治系統(tǒng)之間的路由選擇也叫做域間路由選擇(interdomainrouting)。自治系統(tǒng)內(nèi)部的路由選擇叫做域內(nèi)路由選擇

(intradomainrouting)。本課件是可編輯的正常PPT課件目錄RIP路由協(xié)議動(dòng)態(tài)路由OSPF的基本概念和工作過(guò)程第二節(jié)第一節(jié)第三節(jié)OSPF單域的配置第四節(jié)OSPF的多區(qū)域第五節(jié)OSPF多區(qū)域配置第六節(jié)OSPF高級(jí)技術(shù)第七節(jié)本課件是可編輯的正常PPT課件二、RIP路由協(xié)議2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)內(nèi)部網(wǎng)關(guān)協(xié)議互聯(lián)網(wǎng)路由選擇協(xié)議域內(nèi)路由選擇域間路由選擇距離向量(DistanceVector)鏈路狀態(tài)(LinkState)路徑向量(pathvector)RIPOSPFBGP-4本課件是可編輯的正常PPT課件二、RIP路由協(xié)議2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)RIP的工作原理路由信息協(xié)議RIP(RoutingInformationProtocol)是一種分布式的、基于距離向量的路由選擇協(xié)議?；ヂ?lián)網(wǎng)的標(biāo)準(zhǔn)協(xié)議。最大優(yōu)點(diǎn)：簡(jiǎn)單。要求網(wǎng)絡(luò)中的每個(gè)路由器都要維護(hù)從它自己到其他每一個(gè)目的網(wǎng)絡(luò)的距離記錄。本課件是可編輯的正常PPT課件二、RIP路由協(xié)議2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)RIP距離定義路由器到直接連接的網(wǎng)絡(luò)的距離=1。路由器到非直接連接的網(wǎng)絡(luò)的距離=所經(jīng)過(guò)的路由器數(shù)+

1。RIP協(xié)議中的“距離”也稱(chēng)為“跳數(shù)”(hopcount)，每經(jīng)過(guò)一個(gè)路由器，跳數(shù)就加1。以太網(wǎng)交換機(jī)路由器網(wǎng)絡(luò)網(wǎng)絡(luò)網(wǎng)絡(luò)網(wǎng)絡(luò)網(wǎng)絡(luò)ABCD跳數(shù)=1跳數(shù)=1E路由A-B-E的距離=2，路由A-C-D-E的距離=3。本課件是可編輯的正常PPT課件二、RIP路由協(xié)議2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)RIP距離定義好路由=“距離短”的路由。最佳路由=“距離最短”的路由。一條路徑最多只能包含15

個(gè)路由器?！熬嚯x”的最大值為16

時(shí)即相當(dāng)于不可達(dá)。RIP不能在兩個(gè)網(wǎng)絡(luò)之間同時(shí)使用多條路由，只選擇距離最短”的路由。以太網(wǎng)交換機(jī)路由器網(wǎng)絡(luò)網(wǎng)絡(luò)網(wǎng)絡(luò)網(wǎng)絡(luò)網(wǎng)絡(luò)ABCD跳數(shù)=1跳數(shù)=1E本課件是可編輯的正常PPT課件二、RIP路由協(xié)議2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)RIP協(xié)議的三個(gè)特點(diǎn)僅和相鄰路由器交換信息。交換的信息是當(dāng)前本路由器所知道的全部信息，即自己的路由表。按固定時(shí)間間隔交換路由信息，例如，每隔30秒。當(dāng)網(wǎng)絡(luò)拓?fù)浒l(fā)生變化時(shí)，路由器也及時(shí)向相鄰路由器通告拓?fù)渥兓蟮穆酚尚畔?。本課件是可編輯的正常PPT課件二、RIP路由協(xié)議2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)RIP報(bào)文組成：首部和路由2個(gè)部分。路由部分：由若干個(gè)路由信息組成。每個(gè)路由信息共20個(gè)字節(jié)。地址族標(biāo)識(shí)符（又稱(chēng)為地址類(lèi)別）字段用來(lái)標(biāo)志所使用的地址協(xié)議。路由標(biāo)記填入自治系統(tǒng)的號(hào)碼，后面為具體路由，指出某個(gè)網(wǎng)絡(luò)地址、該網(wǎng)絡(luò)的子網(wǎng)掩碼、下一跳路由器地址以及到此網(wǎng)絡(luò)的距離。一個(gè)RIP報(bào)文最多可包括25個(gè)路由，因而RIP報(bào)文的最大長(zhǎng)度是4+20x25=504字節(jié)。如超過(guò)，必須再用一個(gè)RIP報(bào)文來(lái)傳送。RIP2具有簡(jiǎn)單的鑒別功能。本課件是可編輯的正常PPT課件二、RIP路由協(xié)議2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)RIP報(bào)文RIP協(xié)議特點(diǎn)：好消息傳播得快，壞消息傳播得慢。問(wèn)題：壞消息傳播得慢（慢收斂）。當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時(shí)，要經(jīng)過(guò)比較長(zhǎng)的時(shí)間才能將此信息（壞消息）傳送到所有的路由器。本課件是可編輯的正常PPT課件二、RIP路由協(xié)議2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)RIP報(bào)文R2R1網(wǎng)1網(wǎng)3網(wǎng)2正常情況11

12R1R1

說(shuō)：“我到網(wǎng)1的距離是1，是直接交付?！薄?”表示“從本路由器到網(wǎng)1”“1”表示“距離是1”“

”表示“直接交付”本課件是可編輯的正常PPT課件目錄OSPF的基本概念和工作過(guò)程RIP路由協(xié)議動(dòng)態(tài)路由第三節(jié)第二節(jié)第一節(jié)OSPF單域的配置第四節(jié)OSPF的多區(qū)域第五節(jié)OSPF多區(qū)域配置第六節(jié)OSPF高級(jí)技術(shù)第七節(jié)本課件是可編輯的正常PPT課件三、OSPF的基本概念和工作過(guò)程2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)OSPF路由協(xié)議概述互聯(lián)網(wǎng)路由選擇協(xié)議域內(nèi)路由選擇域間路由選擇距離向量(DistanceVector)鏈路狀態(tài)(LinkState)路徑向量(pathvector)RIPOSPFBGP-4本課件是可編輯的正常PPT課件三、OSPF的基本概念和工作過(guò)程2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)OSPF路由協(xié)議概述開(kāi)放最短路徑優(yōu)先OSPF(OpenShortestPathFirst)是為克服RIP的缺點(diǎn)在1989年開(kāi)發(fā)出來(lái)的。原理很簡(jiǎn)單，但實(shí)現(xiàn)很復(fù)雜。使用了Dijkstra

提出的最短路徑算法SPF。采用分布式的鏈路狀態(tài)協(xié)議(linkstateprotocol)?，F(xiàn)在使用OSPFv2。本課件是可編輯的正常PPT課件三、OSPF的基本概念和工作過(guò)程2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)OSPF路由協(xié)議特點(diǎn)分層結(jié)構(gòu)：OSPF支持分層設(shè)計(jì)，以便更好地管理大型網(wǎng)絡(luò)?？缮炜s性：OSPF適用于任何大小的網(wǎng)絡(luò)，并且可以與其它路由協(xié)議一起使用。支持多路徑：OSPF支持在多個(gè)等價(jià)路徑中進(jìn)行路由選擇，以提高網(wǎng)絡(luò)的可靠性和容錯(cuò)能力。快速收斂：OSPF協(xié)議使用快速收斂算法，可以在網(wǎng)絡(luò)拓?fù)渥兓瘯r(shí)快速重新計(jì)算路由。本課件是可編輯的正常PPT課件鏈路狀態(tài)數(shù)據(jù)庫(kù)(link-statedatabase)每個(gè)路由器最終都能建立。全網(wǎng)的拓?fù)浣Y(jié)構(gòu)圖。在全網(wǎng)范圍內(nèi)是一致的（這稱(chēng)為鏈路狀態(tài)數(shù)據(jù)庫(kù)的同步）。每個(gè)路由器使用鏈路狀態(tài)數(shù)據(jù)庫(kù)中的數(shù)據(jù)構(gòu)造自己的路由表（例如，使用Dijkstra的最短路徑路由算法）。鏈路狀態(tài)數(shù)據(jù)庫(kù)能較快地進(jìn)行更新，使各個(gè)路由器能及時(shí)更新其路由表。重要優(yōu)點(diǎn)：OSPF更新過(guò)程收斂速度快。本課件是可編輯的正常PPT課件OSPF將自治系統(tǒng)劃分為兩種不同的區(qū)域(area)自治系統(tǒng)AS區(qū)域區(qū)域主干區(qū)域至其他自治系統(tǒng)R9R7R6R5R4R3R2R1區(qū)域R8網(wǎng)8網(wǎng)6網(wǎng)3網(wǎng)2網(wǎng)1網(wǎng)7網(wǎng)4網(wǎng)5主干區(qū)域(backbonearea)標(biāo)識(shí)符=

，作用=用來(lái)連通其他下層區(qū)域。本課件是可編輯的正常PPT課件OSPF中的路由器：區(qū)域邊界路由器ABR(areaborderrouter)區(qū)域區(qū)域主干區(qū)域至其他自治系統(tǒng)R9R7R4R3R2R1區(qū)域R8網(wǎng)8網(wǎng)6網(wǎng)3網(wǎng)2網(wǎng)1網(wǎng)7網(wǎng)4網(wǎng)5R6R5自治系統(tǒng)AS本課件是可編輯的正常PPT課件OSPF中的路由器：主干路由器BR

(backbonerouter)區(qū)域區(qū)域主干區(qū)域至其他自治系統(tǒng)R9R2R1區(qū)域R8網(wǎng)8網(wǎng)6網(wǎng)3網(wǎng)2網(wǎng)1網(wǎng)7網(wǎng)4網(wǎng)5R7R4R3R6R5自治系統(tǒng)AS本課件是可編輯的正常PPT課件OSPF中的路由器：自治系統(tǒng)邊界路由器ASBR

(ASborderrouter)區(qū)域區(qū)域主干區(qū)域至其他自治系統(tǒng)R9R2R1區(qū)域R8網(wǎng)8網(wǎng)6網(wǎng)3網(wǎng)2網(wǎng)1網(wǎng)7網(wǎng)4網(wǎng)5R7R4R3R6R5自治系統(tǒng)AS本課件是可編輯的正常PPT課件三、OSPF的基本概念和工作過(guò)程2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)OSPF劃分區(qū)域優(yōu)點(diǎn)和缺點(diǎn)優(yōu)點(diǎn)：減少了整個(gè)網(wǎng)絡(luò)上的通信量。減少了需要維護(hù)的狀態(tài)數(shù)量。缺點(diǎn)：交換信息的種類(lèi)增多了。使OSPF協(xié)議更加復(fù)雜了。分層次劃分區(qū)域的好處：使每一個(gè)區(qū)域內(nèi)部交換路由信息的通信量大大減小，因而使OSPF協(xié)議能夠用于規(guī)模很大的自治系統(tǒng)中。本課件是可編輯的正常PPT課件三、OSPF的基本概念和工作過(guò)程2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)其他特點(diǎn)對(duì)于不同類(lèi)型的業(yè)務(wù)可計(jì)算出不同的路由?？蓪?shí)現(xiàn)多路徑間的負(fù)載均衡（loadbalancing）。所有在OSPF路由器之間交換的分組都具有鑒別的功能。支持可變長(zhǎng)度的子網(wǎng)劃分和無(wú)分類(lèi)編址CIDR。32位的序號(hào)，序號(hào)越大狀態(tài)就越新。全部序號(hào)空間在600年內(nèi)不會(huì)產(chǎn)生重復(fù)號(hào)。本課件是可編輯的正常PPT課件三、OSPF的基本概念和工作過(guò)程2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)OSPF的五種分組類(lèi)型問(wèn)候(Hello)分組。數(shù)據(jù)庫(kù)描述(DatabaseDescription)分組。鏈路狀態(tài)請(qǐng)求(LinkStateRequest)分組。鏈路狀態(tài)更新(LinkStateUpdate)分組。鏈路狀態(tài)確認(rèn)(LinkStateAcknowledgment)分組。本課件是可編輯的正常PPT課件三、OSPF的基本概念和工作過(guò)程2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)OSPF工作過(guò)程1，確定鄰站可達(dá)。相鄰路由器每隔10秒鐘要交換一次問(wèn)候分組。若有40秒鐘沒(méi)有收到某個(gè)相鄰路由器發(fā)來(lái)的問(wèn)候分組，則可認(rèn)為該相鄰路由器是不可達(dá)的。2，同步鏈路狀態(tài)數(shù)據(jù)庫(kù)。同步：指不同路由器的鏈路狀態(tài)數(shù)據(jù)庫(kù)的內(nèi)容是一樣的。兩個(gè)同步的路由器叫做完全鄰接的(fullyadjacent)路由器。本課件是可編輯的正常PPT課件三、OSPF的基本概念和工作過(guò)程2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)OSPF工作過(guò)程3，更新鏈路狀態(tài)。只要鏈路狀態(tài)發(fā)生變化，路由器就使用鏈路狀態(tài)更新分組，采用可靠的洪泛法向全網(wǎng)更新鏈路狀態(tài)。為確保鏈路狀態(tài)數(shù)據(jù)庫(kù)與全網(wǎng)的狀態(tài)保持一致，OSPF還規(guī)定：每隔一段時(shí)間，如30分鐘，要刷新一次數(shù)據(jù)庫(kù)中的鏈路狀態(tài)。OSPF鏈路狀態(tài)只涉及相鄰路由器，與整個(gè)互聯(lián)網(wǎng)的規(guī)模并無(wú)直接關(guān)系，因此當(dāng)互聯(lián)網(wǎng)規(guī)模很大時(shí)，OSPF協(xié)議要比距離向量協(xié)議RIP好得多。OSPF沒(méi)有“壞消息傳播得慢”的問(wèn)題，收斂數(shù)度快。本課件是可編輯的正常PPT課件三、OSPF的基本概念和工作過(guò)程2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)OSPF工作過(guò)程問(wèn)候問(wèn)候數(shù)據(jù)庫(kù)描述數(shù)據(jù)庫(kù)描述數(shù)據(jù)庫(kù)描述數(shù)據(jù)庫(kù)描述鏈路狀態(tài)請(qǐng)求鏈路狀態(tài)更新鏈路狀態(tài)確認(rèn)確定可達(dá)性同步鏈路狀態(tài)數(shù)據(jù)庫(kù)更新鏈路狀態(tài)本課件是可編輯的正常PPT課件三、OSPF的基本概念和工作過(guò)程2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)OSPF工作過(guò)程更新報(bào)文tACK報(bào)文RRRRt1t2t3t4OSPF使用可靠的洪泛法發(fā)送更新分組本課件是可編輯的正常PPT課件三、OSPF的基本概念和工作過(guò)程2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)OSPF工作過(guò)程多點(diǎn)接入的局域網(wǎng)采用了指定的路由器DR(designatedrouter)的方法，使廣播的信息量大大減少。指定的路由器代表該局域網(wǎng)上所有的鏈路向連接到該網(wǎng)絡(luò)上的各路由器發(fā)送狀態(tài)信息。本課件是可編輯的正常PPT課件目錄OSPF單域的配置RIP路由協(xié)議OSPF的基本概念和工作過(guò)程第四節(jié)第二節(jié)第三節(jié)動(dòng)態(tài)路由第一節(jié)OSPF的多區(qū)域第五節(jié)OSPF多區(qū)域配置第六節(jié)OSPF高級(jí)技術(shù)第七節(jié)本課件是可編輯的正常PPT課件三、OSPF單域的配置2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)OSPF單域配置實(shí)例共3臺(tái)路由器、2臺(tái)PC組成的網(wǎng)絡(luò)環(huán)境。要求所有路由器配置OSSPF動(dòng)態(tài)路由單域環(huán)境并完成PC間通信。本課件是可編輯的正常PPT課件三、OSPF單域的配置2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)OSPF單域配置實(shí)例配置思路（1）全網(wǎng)IP地址規(guī)劃與配置。包括3臺(tái)路由器的LoopBack端口，用于充當(dāng)RouterID。（2）3臺(tái)路由器分別啟用OSPF協(xié)議并宣告其自身網(wǎng)段地址（3）驗(yàn)證路由器之間的鄰居關(guān)系及路由表?xiàng)l目學(xué)習(xí)情況（4）驗(yàn)證PC間通信本課件是可編輯的正常PPT課件目錄OSPF的多區(qū)域RIP路由協(xié)議OSPF的基本概念和工作過(guò)程第五節(jié)第二節(jié)第三節(jié)OSPF單域的配置第四節(jié)動(dòng)態(tài)路由第一節(jié)OSPF多區(qū)域配置第六節(jié)OSPF高級(jí)技術(shù)第七節(jié)本課件是可編輯的正常PPT課件三、OSPF多區(qū)域2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)生成OSPF多區(qū)域的原因OSPF是一種基于鏈路狀態(tài)的路由協(xié)議，其運(yùn)行需要在整個(gè)OSPF域內(nèi)建立鏈路狀態(tài)數(shù)據(jù)庫(kù)（LSDB），該數(shù)據(jù)庫(kù)包含了整個(gè)網(wǎng)絡(luò)的拓?fù)湫畔?。OSPF引入了多區(qū)域的概念。每個(gè)區(qū)域都可以獨(dú)立地維護(hù)自己的LSDB，并且只需與本區(qū)域內(nèi)的路由器交換信息。這樣可以減少LSDB的大小和路由器之間的通信開(kāi)銷(xiāo)。OSPF協(xié)議產(chǎn)生多區(qū)域可以提高網(wǎng)絡(luò)的可擴(kuò)展性和性能，并且使得網(wǎng)絡(luò)管理更加靈活和可靠。本課件是可編輯的正常PPT課件三、OSPF多區(qū)域2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)OSPF中路由器的類(lèi)型OSPF路由器類(lèi)型一共有三種：IR（InternalRouter，內(nèi)部路由器）ABR（AreaBorderRouter，區(qū)域邊界路由器）ASBR（AutonomousSystemBoundaryRouter，自治系統(tǒng)邊界路由器）。本課件是可編輯的正常PPT課件三、OSPF多區(qū)域2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)OSPF中鏈路狀態(tài)通告OSPF中鏈路狀態(tài)通告類(lèi)型：類(lèi)型描述類(lèi)型1LSA描述了OSPF路由器自身的直連端口的參數(shù)信息，該LSA只在當(dāng)前區(qū)域內(nèi)泛洪；類(lèi)型2LSA描述了DR已知的區(qū)域內(nèi)自己及其他路由器的端口參數(shù)信息，只在當(dāng)前區(qū)域內(nèi)泛洪；類(lèi)型3LSA描述了ABR發(fā)送到其他區(qū)域的本區(qū)域中匯總的端口參數(shù)信息，區(qū)域間泛洪；類(lèi)型4LSA描述了ASBR的信息，由ABR發(fā)出；類(lèi)型5LSA描述了AS外部網(wǎng)絡(luò)的信息，由ASBR發(fā)出；類(lèi)型7LSA描述了AS外部網(wǎng)絡(luò)的信息，由NSSA區(qū)域中的ASBR發(fā)出。本課件是可編輯的正常PPT課件目錄OSPF多區(qū)域配置RIP路由協(xié)議OSPF的基本概念和工作過(guò)程第六節(jié)第二節(jié)第三節(jié)OSPF單域的配置第四節(jié)OSPF的多區(qū)域第五節(jié)動(dòng)態(tài)路由第一節(jié)OSPF高級(jí)技術(shù)第七節(jié)本課件是可編輯的正常PPT課件三、OSPF多區(qū)域的配置2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)OSPF多區(qū)域配置實(shí)例全網(wǎng)共7臺(tái)路由器使用OSPF協(xié)議組成的網(wǎng)絡(luò)拓?fù)?。為了?yōu)化網(wǎng)絡(luò)，設(shè)計(jì)了4個(gè)OSPF區(qū)域，分別為Area0、Area1、Area2、Area3。根據(jù)OSPF協(xié)議設(shè)計(jì)規(guī)定，所有非骨干區(qū)域都必須直接與骨干區(qū)域連接。本課件是可編輯的正常PPT課件三、OSPF多區(qū)域的配置2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)OSPF多區(qū)域配置實(shí)例配置思路（1）所有路由設(shè)備規(guī)劃并配置相應(yīng)IP地址（2）開(kāi)啟所有路由設(shè)備對(duì)應(yīng)的動(dòng)態(tài)路由協(xié)議并在相應(yīng)區(qū)域中宣告其已知網(wǎng)段（3）驗(yàn)證OSPF協(xié)議在多區(qū)域環(huán)境下的運(yùn)行效果本課件是可編輯的正常PPT課件目錄OSPF高級(jí)技術(shù)RIP路由協(xié)議OSPF的基本概念和工作過(guò)程第七節(jié)第二節(jié)第三節(jié)OSPF單域的配置第四節(jié)OSPF的多區(qū)域第五節(jié)OSPF多區(qū)域配置第六節(jié)動(dòng)態(tài)路由第一節(jié)本課件是可編輯的正常PPT課件三、OSPF高級(jí)技術(shù)2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)OSPF高級(jí)技術(shù)通過(guò)對(duì)靜態(tài)路由和RIP路由的學(xué)習(xí)，我們發(fā)現(xiàn)路由器由于對(duì)路由配置不當(dāng)可能產(chǎn)生環(huán)路，由于網(wǎng)絡(luò)中存在環(huán)路可能導(dǎo)致路由信息發(fā)生震蕩。因此采用以下幾種技術(shù)來(lái)防環(huán)：SPF計(jì)算LSDB同步區(qū)域劃分骨干區(qū)域Area0本課件是可編輯的正常PPT課件三、OSPF高級(jí)技術(shù)2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)OSPF高級(jí)技術(shù)OSPF協(xié)議的虛擬鏈路（VirtualLink）是一種特殊的鏈路，用于連接兩個(gè)不直接相連的區(qū)域。虛擬鏈路可以將一個(gè)未直接連接到骨干區(qū)域的非骨干區(qū)域穿越直連骨干區(qū)域與骨干區(qū)域進(jìn)行邏輯連接，從而構(gòu)成一個(gè)虛擬的直連骨干區(qū)域的網(wǎng)絡(luò)。本課件是可編輯的正常PPT課件三、OSPF高級(jí)技術(shù)2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)OSPF高級(jí)技術(shù)在實(shí)際的生產(chǎn)環(huán)境中，由于網(wǎng)絡(luò)環(huán)境的后期拓展、不同網(wǎng)絡(luò)環(huán)境合并等問(wèn)題，可能會(huì)出現(xiàn)在同一網(wǎng)絡(luò)下有多種不同路由協(xié)議，那就需要通過(guò)一些方案或者技術(shù)來(lái)實(shí)現(xiàn)由多種路由協(xié)議組成的網(wǎng)絡(luò)間的通信。路由重分發(fā)技術(shù)就是其中一種。本課件是可編輯的正常PPT課件三、OSPF高級(jí)技術(shù)2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)OSPF高級(jí)技術(shù)同RIP協(xié)議一樣，OSPF協(xié)議也具備將多條相近似網(wǎng)段進(jìn)行匯總成一條網(wǎng)段，以減少路由器的路由表?xiàng)l目數(shù)量，提高路由器轉(zhuǎn)發(fā)效率，但OSPF只支持手工地址匯總。路由表中常規(guī)網(wǎng)段通常被稱(chēng)為明細(xì)路由，而經(jīng)過(guò)地址匯總后的網(wǎng)段被稱(chēng)為匯總路由或聚合路由。本課件是可編輯的正常PPT課件

網(wǎng)絡(luò)安全基礎(chǔ)與實(shí)踐FundamentalsandPracticesofNetworkSecurityPythonC++、JAVA、HTML感謝您的觀看本課件是可編輯的正常PPT課件第五章防火墻

網(wǎng)絡(luò)安全基礎(chǔ)與實(shí)踐FundamentalsandPracticesofNetworkSecurityNetworkSecurity本課件是可編輯的正常PPT課件目錄防火墻的工作原理設(shè)備管理NAT第一節(jié)第二節(jié)第三節(jié)VRRP第四節(jié)綜合案例第五節(jié)本課件是可編輯的正常PPT課件一、防火墻的工作原理2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)什么是防火墻防火墻是一種計(jì)算機(jī)安全設(shè)備，將網(wǎng)絡(luò)劃分成不同區(qū)域，監(jiān)控并過(guò)濾進(jìn)出網(wǎng)絡(luò)的流量，從而保護(hù)計(jì)算機(jī)和網(wǎng)絡(luò)不受惡意攻擊和非法訪問(wèn)。本課件是可編輯的正常PPT課件一、防火墻的工作原理2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)防火墻的功能防火墻的主要功能包括：包過(guò)濾：檢查數(shù)據(jù)包內(nèi)容，根據(jù)預(yù)設(shè)的安全策略，決定是否允許通過(guò)，提高網(wǎng)絡(luò)的安全性和性能。網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）：隱藏內(nèi)部網(wǎng)絡(luò)的真實(shí)IP地址，使用公網(wǎng)IP地址代替，從而增加內(nèi)部網(wǎng)絡(luò)的安全性。虛擬專(zhuān)用網(wǎng)絡(luò)（VPN）支持：提供遠(yuǎn)程訪問(wèn)和VPN連接，使得遠(yuǎn)程用戶(hù)可以安全地訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源。本課件是可編輯的正常PPT課件一、防火墻的工作原理2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)防火墻的功能應(yīng)用層過(guò)濾：防火墻可以檢查應(yīng)用層協(xié)議的內(nèi)容，如HTTP、SMTP等協(xié)議，識(shí)別并過(guò)濾不安全的應(yīng)用流量。入侵檢測(cè)與防御：防火墻可以檢測(cè)和防御網(wǎng)絡(luò)入侵行為，如DDoS攻擊、惡意軟件、黑客攻擊等。病毒防范：防火墻可以根據(jù)病毒特征庫(kù)、病毒簽名和行為分析等技術(shù)來(lái)檢測(cè)要被轉(zhuǎn)發(fā)的數(shù)據(jù)包，并嘗試阻止這些病毒進(jìn)入或離開(kāi)網(wǎng)絡(luò)。上網(wǎng)行為管理：幫助識(shí)別和監(jiān)控網(wǎng)絡(luò)中的流量，根據(jù)策略對(duì)其控制和管理。本課件是可編輯的正常PPT課件一、防火墻的工作原理2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)防火墻的分類(lèi)按照形態(tài)分類(lèi)：軟件防火墻：運(yùn)行在計(jì)算機(jī)系統(tǒng)上的軟件程序，受限于計(jì)算機(jī)的性能，處理速度相對(duì)較慢。硬件防火墻：通常是獨(dú)立的硬件設(shè)備，具有更多的物理接口，可以處理不同類(lèi)型的網(wǎng)絡(luò)連接，包括有線(xiàn)和無(wú)線(xiàn)連接，也具備更多的安全特性。本課件是可編輯的正常PPT課件一、防火墻的工作原理2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)防火墻的分類(lèi)按照應(yīng)用范圍分類(lèi)：?jiǎn)螜C(jī)防火墻：通常為安裝在操作系統(tǒng)上的軟件防火墻，應(yīng)用范圍主要為當(dāng)前主機(jī)。網(wǎng)絡(luò)防火墻：在一網(wǎng)絡(luò)范圍的邊界部署網(wǎng)絡(luò)防火墻，可實(shí)現(xiàn)該網(wǎng)絡(luò)范圍以外的流量進(jìn)入該區(qū)域時(shí)的安全過(guò)濾。云防火墻：云防火墻是一種基于云技術(shù)的網(wǎng)絡(luò)安全服務(wù)，主要用于保護(hù)云端網(wǎng)絡(luò)資源免受各種網(wǎng)絡(luò)攻擊。本課件是可編輯的正常PPT課件一、防火墻的工作原理2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)防火墻工作模式包過(guò)濾防火墻：這種模式是防火墻最簡(jiǎn)單、最基礎(chǔ)的工作模式。它根據(jù)網(wǎng)絡(luò)數(shù)據(jù)包的源地址、目的地址、端口等信息，來(lái)過(guò)濾網(wǎng)絡(luò)流量，只允許符合規(guī)則的數(shù)據(jù)包通過(guò)，而阻止不符合規(guī)則的數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)。本課件是可編輯的正常PPT課件一、防火墻的工作原理2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)防火墻工作模式應(yīng)用代理防火墻：代理防火墻能夠完全控制兩個(gè)網(wǎng)絡(luò)間的數(shù)據(jù)交換，控制會(huì)話(huà)過(guò)程，具有較高的安全性。但易于遭受拒絕服務(wù)攻擊；需要針對(duì)每一種協(xié)議開(kāi)發(fā)應(yīng)用層代理，成本較高。本課件是可編輯的正常PPT課件一、防火墻的工作原理2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)防火墻工作模式狀態(tài)化防火墻：狀態(tài)檢測(cè)包過(guò)濾技術(shù)是包過(guò)濾技術(shù)的升級(jí)，基于連接狀態(tài)的包過(guò)濾技術(shù)在對(duì)數(shù)據(jù)包進(jìn)行檢測(cè)時(shí)。狀態(tài)檢測(cè)是指防火墻檢查數(shù)據(jù)包與現(xiàn)有連接狀態(tài)之間的關(guān)系，以決定是否允許該數(shù)據(jù)包通過(guò)。本課件是可編輯的正常PPT課件目錄設(shè)備管理防火墻的工作原理NAT第二節(jié)第一節(jié)第三節(jié)VRRP第四節(jié)綜合案例第五節(jié)本課件是可編輯的正常PPT課件二、設(shè)備管理2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)華為防火墻硬件防火墻通常會(huì)將網(wǎng)絡(luò)劃分為不同的安全區(qū)域，它由一個(gè)或多個(gè)端口組成，安全區(qū)域用于劃分網(wǎng)絡(luò)和標(biāo)識(shí)報(bào)文的流動(dòng)路徑。每個(gè)安全區(qū)域被認(rèn)為是一個(gè)安全的網(wǎng)絡(luò)域，其內(nèi)部的流量可以被防火墻控制和監(jiān)視。本課件是可編輯的正常PPT課件二、設(shè)備管理2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)華為防火墻配置案例Console配置管理對(duì)1臺(tái)全新防火墻進(jìn)行配置，最直接的方式就是通過(guò)Console線(xiàn)纜連接防火墻與電腦，然后在電腦端通過(guò)終端工具選擇并連接Console口，等待輸入密碼界面出現(xiàn)以后輸入默認(rèn)密碼即可登錄。本課件是可編輯的正常PPT課件二、設(shè)備管理2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)華為防火墻配置案例Telnet配置管理Telnet是一種基于TCP/IP協(xié)議的遠(yuǎn)程登錄協(xié)議，它可以讓用戶(hù)通過(guò)網(wǎng)絡(luò)遠(yuǎn)程登錄到目標(biāo)主機(jī)或路由器上，以便進(jìn)行管理和配置。本課件是可編輯的正常PPT課件二、設(shè)備管理2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)華為防火墻配置案例Web配置管理Web登錄是一種基于Web瀏覽器的遠(yuǎn)程管理方式，通過(guò)使用HTTP/HTTPS協(xié)議，在網(wǎng)絡(luò)設(shè)備上打開(kāi)Web頁(yè)面，輸入用戶(hù)名和密碼即可登錄設(shè)備進(jìn)行管理和配置。Web登錄方式具有易用性強(qiáng)、操作簡(jiǎn)便、跨平臺(tái)等特點(diǎn)。本課件是可編輯的正常PPT課件二、設(shè)備管理2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)華為防火墻安全策略安全策略規(guī)則的編寫(xiě)可以通過(guò)命令行視圖或者Web視圖來(lái)完成，命令行視圖配置雖經(jīng)典，但由于防火墻的配置選項(xiàng)參數(shù)眾多，使用命令行配置反而效率更低，且學(xué)習(xí)成本更高。而Web視圖則是通過(guò)圖形化界面根據(jù)系統(tǒng)提示和選項(xiàng)等機(jī)制可以更加高效、簡(jiǎn)單的完成對(duì)防火墻的安全策略配置。本課件是可編輯的正常PPT課件目錄NAT設(shè)備管理防火墻的工作原理第三節(jié)第二節(jié)第一節(jié)VRRP第四節(jié)綜合案例第五節(jié)本課件是可編輯的正常PPT課件三、NAT2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)NAT的定義網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation，NAT）是一種網(wǎng)絡(luò)協(xié)議轉(zhuǎn)換技術(shù)，用于在私有網(wǎng)絡(luò)與公共網(wǎng)絡(luò)之間建立連接。NAT技術(shù)的主要目的是允許多個(gè)主機(jī)使用同一IP地址訪問(wèn)互聯(lián)網(wǎng)。它通過(guò)在私有網(wǎng)絡(luò)和公共網(wǎng)絡(luò)之間維護(hù)一個(gè)轉(zhuǎn)換表，將私有網(wǎng)絡(luò)內(nèi)的IP地址轉(zhuǎn)換為公共網(wǎng)絡(luò)的IP地址，并在收到公共網(wǎng)絡(luò)上的響應(yīng)時(shí)將其轉(zhuǎn)換回私有網(wǎng)絡(luò)中的IP地址。本課件是可編輯的正常PPT課件三、NAT2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)NAT的分類(lèi)分類(lèi)轉(zhuǎn)換內(nèi)容端口轉(zhuǎn)換適用場(chǎng)景源NAT靜態(tài)NAT源IP地址否適合公網(wǎng)IP地址充足，不能節(jié)約公網(wǎng)IP地址動(dòng)態(tài)NATNAPT是適合大量私網(wǎng)地址通過(guò)少量公網(wǎng)地址訪問(wèn)外網(wǎng)的場(chǎng)景，能夠節(jié)約公網(wǎng)IP地址SmartNAT使用公網(wǎng)IP地址數(shù)量與同時(shí)上網(wǎng)用戶(hù)數(shù)基本相同，但個(gè)別時(shí)段上網(wǎng)用戶(hù)數(shù)激增的場(chǎng)景EasyIP將設(shè)備出接口公網(wǎng)IP作為轉(zhuǎn)換IP，不需要額外公網(wǎng)IP，最節(jié)約公網(wǎng)IP地址的源NAT技術(shù)三元組NAT在進(jìn)行IP地址轉(zhuǎn)換同時(shí)允許特殊流量能夠主動(dòng)訪問(wèn)內(nèi)網(wǎng)資源目的NAT靜態(tài)目的NAT目的地址轉(zhuǎn)換可選可以將1個(gè)或多個(gè)公網(wǎng)地址及端口映射給1個(gè)或多個(gè)內(nèi)網(wǎng)地址及端口的場(chǎng)景，可映射地址關(guān)系非常靈活動(dòng)態(tài)目的NAT適合公網(wǎng)地址與私網(wǎng)地址不存在固定的映射關(guān)系，公網(wǎng)的地址隨機(jī)轉(zhuǎn)換為目的地址池中的地址的場(chǎng)景。雙向NAT源+靜態(tài)目的NAT源和目的地址都轉(zhuǎn)換適合源和目的地址同時(shí)需要轉(zhuǎn)換，且目的地址轉(zhuǎn)換前后存在固定映射關(guān)系的場(chǎng)景。源+動(dòng)態(tài)目的NAT適合源和目的地址同時(shí)需要轉(zhuǎn)換，且目的地址轉(zhuǎn)換前后不存在固定映射關(guān)系的場(chǎng)景。本課件是可編輯的正常PPT課件三、NAT2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)NAT的分類(lèi)靜態(tài)的NAT，實(shí)現(xiàn)一對(duì)一的靜態(tài)綁定關(guān)系。內(nèi)網(wǎng)主機(jī)的IP地址和公網(wǎng)地址是固定對(duì)應(yīng)的，不會(huì)動(dòng)態(tài)變化。本課件是可編輯的正常PPT課件三、NAT2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)NAT的分類(lèi)動(dòng)態(tài)NAT，通過(guò)定義公網(wǎng)地址池、私網(wǎng)地址池然后自動(dòng)匹配私網(wǎng)地址和公網(wǎng)地址關(guān)系，進(jìn)行映射。此外，這種只進(jìn)行源IP地址轉(zhuǎn)換時(shí)不進(jìn)行端口轉(zhuǎn)換的NAT技術(shù)也被稱(chēng)為NATNo-PAT。本課件是可編輯的正常PPT課件三、NAT2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)NAT的分類(lèi)NAPT，網(wǎng)絡(luò)地址端口轉(zhuǎn)換，實(shí)現(xiàn)多對(duì)一或多對(duì)多的IP地址轉(zhuǎn)換，同時(shí)轉(zhuǎn)換IP地址和端口號(hào)。本課件是可編輯的正常PPT課件三、NAT2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)NAT的分類(lèi)EasyIP，基于公司出接口的地址轉(zhuǎn)換，也適用于撥號(hào)接入互聯(lián)網(wǎng)，動(dòng)態(tài)獲取公網(wǎng)地址的場(chǎng)合。不需要配置公網(wǎng)地址池，直接使用公網(wǎng)接口的IP地址作為轉(zhuǎn)換后的源地址。本課件是可編輯的正常PPT課件三、NAT2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)NAT的分類(lèi)NAT服務(wù)器，用于實(shí)現(xiàn)外網(wǎng)用戶(hù)訪問(wèn)內(nèi)網(wǎng)服務(wù)器的功能。通過(guò)配置公網(wǎng)地址和端口號(hào)與私網(wǎng)地址和端口號(hào)之間的映射關(guān)系，將外網(wǎng)用戶(hù)的請(qǐng)求轉(zhuǎn)發(fā)給內(nèi)網(wǎng)服務(wù)器。本課件是可編輯的正常PPT課件三、NAT2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)黑洞路由華為防火墻的黑洞路由是一種路由技術(shù)，它可以幫助網(wǎng)絡(luò)管理員防止無(wú)效轉(zhuǎn)發(fā)流量。當(dāng)黑洞路由功能開(kāi)啟后，它會(huì)自動(dòng)將目標(biāo)IP地址指向一條無(wú)效的路由，從而將所有發(fā)往該IP地址的數(shù)據(jù)包丟棄或丟棄到無(wú)效路由，即“黑洞”。本課件是可編輯的正常PPT課件三、NAT2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)NAT對(duì)報(bào)文的處理流程不同的NAT類(lèi)型對(duì)應(yīng)不同的NAT策略，在防火墻上處理順序不同。NAT處理流程簡(jiǎn)述如下：（1）FW收到報(bào)文后，查找NATServer生成的Server-Map表，匹配目的地址，匹配進(jìn)行步驟4，未匹配進(jìn)行步驟2。（2）查找基于ACL的目的NAT，如果報(bào)文符合匹配條件，則轉(zhuǎn)換報(bào)文的目的地址，然后進(jìn)行步驟4處理；如果報(bào)文不符合基于ACL的目的NAT的匹配條件，則進(jìn)行步驟3處理。本課件是可編輯的正常PPT課件三、NAT2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)NAT對(duì)報(bào)文的處理流程不同的NAT類(lèi)型對(duì)應(yīng)不同的NAT策略，在防火墻上處理順序不同。NAT處理流程簡(jiǎn)述如下：（3）查找NAT策略中目的NAT，如果報(bào)文符合匹配條件，則轉(zhuǎn)換報(bào)文的目的地址后進(jìn)行路由處理；如果報(bào)文不符合目的NAT的匹配條件，則直接進(jìn)行路由處理。（4）根據(jù)報(bào)文當(dāng)前的信息查找路由（包括策略路由），如果找到路由，則進(jìn)入步驟5處理；如果沒(méi)有找到路由，則丟棄報(bào)文。本課件是可編輯的正常PPT課件三、NAT2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)NAT對(duì)報(bào)文的處理流程不同的NAT類(lèi)型對(duì)應(yīng)不同的NAT策略，在防火墻上處理順序不同。NAT處理流程簡(jiǎn)述如下：（5）查找安全策略，如果安全策略允許報(bào)文通過(guò)且之前并未匹配過(guò)NAT策略（目的NAT或者雙向NAT），則進(jìn)行步驟6處理；如果安全策略允許報(bào)文通過(guò)且之前匹配過(guò)雙向NAT，則直接進(jìn)行源地址轉(zhuǎn)換，然后創(chuàng)建會(huì)話(huà)并進(jìn)入步驟7處理；如果安全策略允許報(bào)文通過(guò)且之前匹配過(guò)目的NAT，則直接創(chuàng)建會(huì)話(huà)，然后進(jìn)行步驟7處理；如果安全策略不允許報(bào)文通過(guò)，則丟棄報(bào)文。本課件是可編輯的正常PPT課件三、NAT2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)NAT對(duì)報(bào)文的處理流程不同的NAT類(lèi)型對(duì)應(yīng)不同的NAT策略，在防火墻上處理順序不同。NAT處理流程簡(jiǎn)述如下：（6）查找NAT策略中源NAT，如果報(bào)文符合源NAT的匹配條件，則轉(zhuǎn)換報(bào)文的源地址，然后創(chuàng)建會(huì)話(huà)；如果報(bào)文不符合源NAT的匹配條件，則直接創(chuàng)建會(huì)話(huà)。（7）FW發(fā)送報(bào)文。本課件是可編輯的正常PPT課件目錄VRRP設(shè)備管理NAT第四節(jié)第二節(jié)第三節(jié)防火墻的工作原理第一節(jié)綜合案例第五節(jié)本課件是可編輯的正常PPT課件四、VRRP2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)雙機(jī)熱備概述雙機(jī)熱備（HighAvailability，HA）是一種通過(guò)在多個(gè)服務(wù)器上進(jìn)行數(shù)據(jù)鏡像和故障切換來(lái)提高系統(tǒng)可用性的技術(shù)。雙機(jī)熱備系統(tǒng)通常由兩臺(tái)或更多臺(tái)服務(wù)器組成，其中一臺(tái)被指定為主服務(wù)器（Active），另一臺(tái)則作為備份服務(wù)器（Standby），隨時(shí)準(zhǔn)備接管主服務(wù)器的工作。服務(wù)器和備份服務(wù)器之間始終保持同步，以確保備份服務(wù)器具有與主服務(wù)器完全相同的數(shù)據(jù)副本。本課件是可編輯的正常PPT課件四、VRRP2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)VRRP概述VRRP（VirtualRouterRedundancyProtocol，虛擬路由器冗余協(xié)議）是一種用于實(shí)現(xiàn)網(wǎng)絡(luò)中冗余路由器的協(xié)議。其主要目的是在主路由器發(fā)生故障時(shí)，自動(dòng)地將網(wǎng)絡(luò)流量轉(zhuǎn)移到備份路由器上，從而保證網(wǎng)絡(luò)的連通性和可靠性。在一個(gè)VRRP組中，有一個(gè)虛擬路由器，以及多個(gè)實(shí)際的路由器。虛擬路由器的IP地址是由組中的路由器動(dòng)態(tài)分配的，這個(gè)IP地址作為默認(rèn)網(wǎng)關(guān)被接入該VRRP組的設(shè)備使用。本課件是可編輯的正常PPT課件四、VRRP2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)VRRP概述基于雙機(jī)熱備技術(shù)，常用的兩種模式為：主備備份模式：即雙機(jī)熱備模式，兩臺(tái)設(shè)備一主一備。負(fù)載分擔(dān)模式：即負(fù)載均衡模式，兩臺(tái)設(shè)備互為主備。本課件是可編輯的正常PPT課件四、VRRP2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)VGMP在華為防火墻中，VRRP協(xié)議可以通過(guò)VGMP（VRRPGroupManagementProtocol，VRRP組管理協(xié)議）來(lái)實(shí)現(xiàn)。VGMP協(xié)議是一種華為專(zhuān)有的協(xié)議，它基于VRRP協(xié)議并進(jìn)行了優(yōu)化，可以提供更高效的虛擬路由器管理和更快的路由器故障轉(zhuǎn)移。VGMP協(xié)議支持VRRPv2和VRRPv3協(xié)議，可以在防火墻中啟用該協(xié)議以實(shí)現(xiàn)VRRP功能。本課件是可編輯的正常PPT課件四、VRRP2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)VGMPVGMP協(xié)議支持的特性：自動(dòng)檢測(cè)主路由器的狀態(tài)，當(dāng)主路由器出現(xiàn)故障時(shí)，備份路由器可以自動(dòng)接管其工作。支持優(yōu)先級(jí)機(jī)制，可以通過(guò)設(shè)定優(yōu)先級(jí)來(lái)確定哪個(gè)路由器成為主路由器，優(yōu)先級(jí)高的路由器將成為主路由器。支持預(yù)留IP地址，主路由器可以通過(guò)預(yù)留IP地址的方式通知備份路由器自己是主路由器。本課件是可編輯的正常PPT課件四、VRRP2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)VGMPVGMP協(xié)議支持的特性：支持搶占機(jī)制，當(dāng)優(yōu)先級(jí)更高的路由器加入到網(wǎng)絡(luò)中時(shí)，它可以搶占主路由器的位置。VGMP組優(yōu)先級(jí)為45000，一旦檢測(cè)到主用備份組中某一VRRP組中的狀態(tài)發(fā)生變化，狀態(tài)變成Initialize狀態(tài)，VGMP組的優(yōu)先級(jí)會(huì)自動(dòng)減2。VGMP支持IPV6。本課件是可編輯的正常PPT課件四、VRRP2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)VGMP狀態(tài)機(jī)VGMP組有四種狀態(tài)：initialize、load-balance、active和standby。initialize是初始化狀態(tài)，設(shè)備未啟用雙機(jī)熱備功能時(shí)，VGMP組處于這個(gè)狀態(tài)。其他三個(gè)狀態(tài)則是設(shè)備通過(guò)比較自身和對(duì)端設(shè)備VGMP組優(yōu)先級(jí)大小確定。本課件是可編輯的正常PPT課件四、VRRP2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)VGMP狀態(tài)機(jī)VGMP組有四種狀態(tài)：initialize、load-balance、active和standby。initialize是初始化狀態(tài)，設(shè)備未啟用雙機(jī)熱備功能時(shí)，VGMP組處于這個(gè)狀態(tài)。其他三個(gè)狀態(tài)則是設(shè)備通過(guò)比較自身和對(duì)端設(shè)備VGMP組優(yōu)先級(jí)大小確定。本課件是可編輯的正常PPT課件目錄綜合案例設(shè)備管理NAT第五節(jié)第二節(jié)第三節(jié)VRRP第四節(jié)防火墻的工作原理第一節(jié)本課件是可編輯的正常PPT課件五、綜合案例2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)綜合案例——設(shè)備管理案例1：通過(guò)Web視圖方式配置安全策略實(shí)現(xiàn)內(nèi)網(wǎng)部分網(wǎng)段的主機(jī)訪問(wèn)外網(wǎng)實(shí)驗(yàn)環(huán)境：FW1防火墻定義的Untrust區(qū)域?yàn)橥饩W(wǎng)，外網(wǎng)有一臺(tái)用VmwareWorkstation軟件虛擬的WindowsServer2019服務(wù)器，其橋接網(wǎng)卡為vmnet8。而公司內(nèi)網(wǎng)區(qū)域?yàn)門(mén)rust區(qū)域，內(nèi)網(wǎng)同樣有一臺(tái)用VmwareWorkstation軟件虛擬的Windows10客戶(hù)端，其橋接網(wǎng)卡為vmnet1。本課件是可編輯的正常PPT課件五、綜合案例2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)綜合案例——設(shè)備管理實(shí)驗(yàn)環(huán)境準(zhǔn)備，需要在電腦中安裝虛擬機(jī)軟件，推薦VMwareWorkstation16。然后基于該虛擬機(jī)軟件安裝2臺(tái)虛擬機(jī)，分別為Windows10、WindowsServer2019。全網(wǎng)IP地址的規(guī)劃與配置，由于2臺(tái)終端設(shè)備直連防火墻，所以2臺(tái)終端設(shè)備的網(wǎng)關(guān)為防火墻對(duì)于端口IP地址。本課件是可編輯的正常PPT課件五、綜合案例2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)綜合案例——設(shè)備管理配置FW1內(nèi)網(wǎng)端口，開(kāi)放HTTP、HTTPS協(xié)議流量通過(guò)并開(kāi)啟Web視圖管理模式，使內(nèi)網(wǎng)主機(jī)能夠通過(guò)Web視圖管理防火墻。在防火墻的Web視圖中配置安全策略，實(shí)現(xiàn)/24網(wǎng)段能夠訪問(wèn)外網(wǎng)。驗(yàn)證安全策略效果。本課件是可編輯的正常PPT課件五、綜合案例2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)綜合案例——NAT實(shí)現(xiàn)內(nèi)網(wǎng)訪問(wèn)外網(wǎng)案例2：通過(guò)Web視圖方式配置基于源地址轉(zhuǎn)換的NAT技術(shù)實(shí)現(xiàn)內(nèi)網(wǎng)網(wǎng)段通過(guò)公網(wǎng)地址轉(zhuǎn)換訪問(wèn)外網(wǎng)。實(shí)驗(yàn)環(huán)境：FW1防火墻定義的Untrust區(qū)域?yàn)橥饩W(wǎng)，外網(wǎng)有一臺(tái)用VmwareWorkstation軟件虛擬的WindowsServer2019服務(wù)器，其橋接網(wǎng)卡為vmnet8。而公司內(nèi)網(wǎng)區(qū)域?yàn)門(mén)rust區(qū)域，內(nèi)網(wǎng)同樣有一臺(tái)用VmwareWorkstation軟件虛擬的Windows10客戶(hù)端，其橋接網(wǎng)卡為vmnet1。本課件是可編輯的正常PPT課件五、綜合案例2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)綜合案例——NAT實(shí)現(xiàn)內(nèi)網(wǎng)訪問(wèn)外網(wǎng)配置思路配置NAT策略中Easy-IP，實(shí)現(xiàn)需求。驗(yàn)證NAT策略效果。配置步驟NAT策略配置，在防火墻的Web視圖中配置NAT策略，實(shí)現(xiàn)網(wǎng)段/24能夠通過(guò)公網(wǎng)地址轉(zhuǎn)換后訪問(wèn)外網(wǎng)。。本課件是可編輯的正常PPT課件五、綜合案例2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)綜合案例——L2TPVPN配置案例2：企業(yè)需要將內(nèi)部資源提供給外部用戶(hù)訪問(wèn)，需要配置防火墻和VPN服務(wù)。常用的VPN協(xié)議有SSL、L2TP和OpenVPN等，本案例使用L2TP技術(shù)來(lái)實(shí)現(xiàn)案例需求。實(shí)驗(yàn)環(huán)境：FW1防火墻定義的Untrust區(qū)域?yàn)橥饩W(wǎng)，外網(wǎng)有一臺(tái)用VmwareWorkstation軟件虛擬的WindowsServer2019服務(wù)器，其橋接網(wǎng)卡為vmnet8。而公司內(nèi)網(wǎng)區(qū)域?yàn)門(mén)rust區(qū)域，內(nèi)網(wǎng)同樣有一臺(tái)用VmwareWorkstation軟件虛擬的Windows10客戶(hù)端，其橋接網(wǎng)卡為vmnet1。本課件是可編輯的正常PPT課件五、綜合案例2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)綜合案例——L2TPVPN配置配置思路創(chuàng)建VPN連接所需用戶(hù)。創(chuàng)建VPN策略。由于在應(yīng)用VPN技術(shù)時(shí)需要在外網(wǎng)將數(shù)據(jù)發(fā)送至FW1，所以需要配置Untrust區(qū)域到Local的有關(guān)L2TPVPN的安全策略。外網(wǎng)主機(jī)安裝VPN連接客戶(hù)端進(jìn)行連接測(cè)試。本課件是可編輯的正常PPT課件五、綜合案例2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)綜合案例——L2TPVPN配置配置步驟創(chuàng)建VPN連接用戶(hù)創(chuàng)建L2TPVPN策略，在防火墻的Web視圖中配置VPN策略，實(shí)現(xiàn)外網(wǎng)所有網(wǎng)段能夠通過(guò)公網(wǎng)地址訪問(wèn)至FW1，并由FW1提供的VPN服務(wù)訪問(wèn)至公司內(nèi)網(wǎng)。本課件是可編輯的正常PPT課件

網(wǎng)絡(luò)安全基礎(chǔ)與實(shí)踐FundamentalsandPracticesofNetworkSecurityPythonC++、JAVA、HTML感謝您的觀看本課件是可編輯的正常PPT課件第六章網(wǎng)絡(luò)安全設(shè)備

網(wǎng)絡(luò)安全基礎(chǔ)與實(shí)踐FundamentalsandPracticesofNetworkSecurityNetworkSecurity本課件是可編輯的正常PPT課件目錄IPS入侵防御系統(tǒng)漏洞掃描網(wǎng)絡(luò)設(shè)備管理第一節(jié)第二節(jié)第三節(jié)網(wǎng)絡(luò)安全設(shè)備加固第四節(jié)本課件是可編輯的正常PPT課件一、IPS入侵防御系統(tǒng)2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)什么是IPS入侵防御系統(tǒng)IPS（IntrusionPreventionSystem）入侵防御系統(tǒng)，是一種安全機(jī)制，它通過(guò)分析網(wǎng)絡(luò)流量，檢測(cè)入侵（包括緩沖區(qū)溢出攻擊、木馬、蠕蟲(chóng)等），并通過(guò)一定的響應(yīng)方式，實(shí)時(shí)地中止入侵行為，保護(hù)企業(yè)信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害。入侵防御是種既能發(fā)現(xiàn)又能阻止入侵行為的新安全防御技術(shù)。通過(guò)檢測(cè)發(fā)現(xiàn)網(wǎng)絡(luò)入侵后，能自動(dòng)丟棄入侵報(bào)文或者阻斷攻擊源，從而從根本上避免攻擊行為。本課件是可編輯的正常PPT課件一、IPS入侵防御系統(tǒng)2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)IDS（IntrusionDetectionSystem）入侵檢測(cè)系統(tǒng)IDS入侵檢測(cè)是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它是對(duì)那些異常、可能是入侵行為的數(shù)據(jù)進(jìn)行檢測(cè)和報(bào)警，告知使用者網(wǎng)絡(luò)中的實(shí)時(shí)狀況，并提供相應(yīng)的解決、處理方法，是一種側(cè)重于風(fēng)險(xiǎn)管理的安全產(chǎn)品。本課件是可編輯的正常PPT課件一、IPS入侵防御系統(tǒng)2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)IDS入侵檢測(cè)技術(shù)IDS入侵檢測(cè)技術(shù)分為基于主機(jī)入侵檢測(cè)系統(tǒng)（HIDS）和基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（NIDS）基于主機(jī)入侵檢測(cè)系統(tǒng)（HIDS）：主要用于保護(hù)運(yùn)行關(guān)鍵應(yīng)用的服務(wù)器，通過(guò)監(jiān)視與分析主機(jī)的審計(jì)記錄和日志文件來(lái)檢測(cè)入侵。基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（NIDS）：主要用于實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息，它能夠監(jiān)聽(tīng)網(wǎng)絡(luò)上的所有分組，并采集數(shù)據(jù)以分析現(xiàn)象。本課件是可編輯的正常PPT課件一、IPS入侵防御系統(tǒng)2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)IPS入侵檢測(cè)技術(shù)IPS在傳統(tǒng)IDS的基礎(chǔ)上增加了強(qiáng)大的防御功能：傳統(tǒng)IDS很難對(duì)基于應(yīng)用層的攻擊進(jìn)行預(yù)防和阻止。入侵防御設(shè)備能夠有效防御應(yīng)用層攻擊，可以對(duì)報(bào)文層層剝離，進(jìn)行協(xié)議識(shí)別和報(bào)文解析，對(duì)解析后的報(bào)文分類(lèi)并進(jìn)行專(zhuān)業(yè)的特征匹配，保證了檢測(cè)的精確性。IDS設(shè)備只能被動(dòng)檢測(cè)保護(hù)目標(biāo)遭到何種攻擊。為阻止進(jìn)一步攻擊，它只能通過(guò)響應(yīng)機(jī)制報(bào)告給FW，由FW來(lái)阻斷攻擊。入侵防御是一種主動(dòng)積極的入侵防范阻止系統(tǒng)，能有效地實(shí)現(xiàn)了主動(dòng)防御功能。本課件是可編輯的正常PPT課件一、IPS入侵防御系統(tǒng)2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)IPS的分類(lèi)IPS常見(jiàn)的有基于網(wǎng)絡(luò)的IPS和基于主機(jī)的IPS：基于網(wǎng)絡(luò)的IPS也稱(chēng)為網(wǎng)絡(luò)入侵防御系統(tǒng)（NIPS），NIPS通過(guò)檢測(cè)流經(jīng)的網(wǎng)絡(luò)流量，提供對(duì)網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)。由于它采用在線(xiàn)連接方式，所以一旦辨識(shí)出入侵行為，NIPS就可以去除整個(gè)網(wǎng)絡(luò)會(huì)話(huà)。基于主機(jī)IPS也稱(chēng)為主機(jī)入侵防御系統(tǒng)（HIPS），HIPS通過(guò)在主機(jī)/上安裝程序，防止網(wǎng)絡(luò)攻擊入侵以及應(yīng)用程序。基于主機(jī)的入侵防護(hù)能夠保護(hù)服務(wù)器的安全弱點(diǎn)不被不法分子所利用。。本課件是可編輯的正常PPT課件目錄漏洞掃描IPS入侵防御系統(tǒng)網(wǎng)絡(luò)設(shè)備管理第二節(jié)第一節(jié)第三節(jié)網(wǎng)絡(luò)安全設(shè)備加固第四節(jié)本課件是可編輯的正常PPT課件二、漏洞掃描2．未來(lái)新一代計(jì)算機(jī)芯片技術(shù)漏洞掃描工作原理漏洞掃描是指基于CVE、CNVD、CNNVD等漏洞數(shù)據(jù)庫(kù)，通過(guò)專(zhuān)用工具掃描手段對(duì)指定的遠(yuǎn)程或者本地的網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫(kù)、操作系統(tǒng)、中間件、業(yè)務(wù)系統(tǒng)等進(jìn)行脆弱性評(píng)估，發(fā)現(xiàn)安全漏洞，并提供可操作的安全建議或臨時(shí)解決辦法的服務(wù)