網(wǎng)絡(luò)基礎(chǔ)知識隨著互聯(lián)網(wǎng)的發(fā)展，各種網(wǎng)絡(luò)攻擊不斷出現(xiàn)，網(wǎng)絡(luò)安全的重要性愈加凸顯。安全技術(shù)應(yīng)用于數(shù)據(jù)通信的過程中，是數(shù)據(jù)通信技術(shù)的一種延伸和擴(kuò)展。在學(xué)習(xí)安全技術(shù)之前，了解網(wǎng)絡(luò)的基本概念，如網(wǎng)絡(luò)的基本通信原理，網(wǎng)絡(luò)的組成和常見的網(wǎng)絡(luò)協(xié)議等，有助于更好地理解各種安全技術(shù)的工作原理和應(yīng)用場景。本課程將介紹企業(yè)網(wǎng)絡(luò)的典型組網(wǎng)架構(gòu)、常見的網(wǎng)絡(luò)設(shè)備和它們的工作原理，并講解防火墻的命令行和圖形化界面兩種配置方式。學(xué)完本課程后，您將能夠：理解數(shù)據(jù)的定義及傳遞過程描述TCP/IP協(xié)議棧的工作原理描述常見協(xié)議的工作原理描述常見網(wǎng)絡(luò)設(shè)備及工作原理網(wǎng)絡(luò)參考模型OSI參考模型和TCP/IP參考模型應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層常見網(wǎng)絡(luò)設(shè)備應(yīng)用與數(shù)據(jù)在用戶的眼中，應(yīng)用的存在，是為了滿足人們的各種需求，比如訪問網(wǎng)頁、在線游戲、在線視頻等。伴隨著應(yīng)用會有信息的產(chǎn)生，比如文本、圖片、視頻等都是信息的不同呈現(xiàn)方式。在網(wǎng)絡(luò)工程師的眼中，應(yīng)用會產(chǎn)生數(shù)據(jù)。數(shù)據(jù)是各種信息的載體，是對客觀事物的性質(zhì)、狀態(tài)以及相互關(guān)系等進(jìn)行記載的物理符號或這些物理符號的組合。數(shù)據(jù)可以是符號、文字、數(shù)字、語音、圖像和視頻等。大部分應(yīng)用所產(chǎn)生數(shù)據(jù)需要在不同的設(shè)備之間傳輸。對于一名網(wǎng)絡(luò)工程師來說，更需要關(guān)注數(shù)據(jù)的端到端傳輸?shù)倪^程。OSI參考模型OSI參考模型（OpenSystemsInterconnectionReferenceModel），是由國際標(biāo)準(zhǔn)化組織ISO于1984年發(fā)布的用于開放網(wǎng)絡(luò)互聯(lián)的模型，它由七個層級構(gòu)成。層級作用應(yīng)用層為應(yīng)用程序提供接口。表示層進(jìn)行數(shù)據(jù)格式的轉(zhuǎn)換，以確保一個系統(tǒng)生成的應(yīng)用層數(shù)據(jù)能夠被另一個系統(tǒng)的應(yīng)用層所識別和理解。會話層在通信雙方之間建立、管理和終止會話。傳輸層建立、維護(hù)和取消一次端到端的數(shù)據(jù)傳輸過程。控制傳輸節(jié)奏的快慢，調(diào)整數(shù)據(jù)的排序等。網(wǎng)絡(luò)層定義邏輯地址，實現(xiàn)數(shù)據(jù)從源到目的地的轉(zhuǎn)發(fā)。數(shù)據(jù)鏈路層將分組數(shù)據(jù)封裝成幀，在數(shù)據(jù)鏈路上實現(xiàn)數(shù)據(jù)的點到點、或點到多點方式的直接通信以及差錯檢測。物理層在媒介上傳輸比特流，提供機(jī)械的和電氣的規(guī)約。TCP/IP參考模型OSI參考模型較為復(fù)雜，且TCP和IP兩大協(xié)議在業(yè)界被廣泛使用，所以TCP/IP參考模型成為了互聯(lián)網(wǎng)的實際參考模型。應(yīng)用層主機(jī)到主機(jī)層英特網(wǎng)層網(wǎng)絡(luò)接口層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層TCP/IP標(biāo)準(zhǔn)模型OSI參考模型TCP/IP對等模型TCP/IP協(xié)議棧常見協(xié)議TCP/IP協(xié)議棧定義了一系列的標(biāo)準(zhǔn)協(xié)議。應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層TelnetFTPTFTPSNMPHTTPSMTPDNSDHCPTCPUDPICMPIGMPIPPPPoEEthernetPPP……網(wǎng)絡(luò)參考模型OSI參考模型和TCP/IP參考模型應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層常見網(wǎng)絡(luò)設(shè)備應(yīng)用層應(yīng)用層為應(yīng)用軟件提供接口，使應(yīng)用程序能夠使用網(wǎng)絡(luò)服務(wù)。應(yīng)用程序會基于某一種傳輸協(xié)議，以及定義傳輸層所使用的端口號。典型應(yīng)用層協(xié)議HTTP：超文本傳輸協(xié)議，提供測覽網(wǎng)頁服務(wù)。Telnet：遠(yuǎn)程登陸協(xié)議，提供遠(yuǎn)程管理服務(wù)。FTP：文件傳輸協(xié)議，提供互聯(lián)網(wǎng)文件資源共享服務(wù)。SMTP：簡單郵件傳輸協(xié)議，提供互聯(lián)網(wǎng)電子郵件服務(wù)。TFTP：簡單文件傳輸協(xié)議，提供簡單的文件傳輸服務(wù)。應(yīng)用層（Data）傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層FTPFTP（FileTransferProtocol）是一個用于從一臺主機(jī)傳送文件到另一臺主機(jī)的協(xié)議，用于文件的“下載”和“上傳”，它采用C/S（Client/Server）結(jié)構(gòu)。使用FTP傳輸數(shù)據(jù)時，需要在服務(wù)器和客戶機(jī)之間建立控制連接和數(shù)據(jù)連接。FTP連接的建立分為主動模式和被動模式，兩者的區(qū)別在于數(shù)據(jù)連接是由服務(wù)器發(fā)起還是由客戶端發(fā)起。缺省情況下采用主動模式，用戶可以通過命令切換。臨時端口臨時端口端口21端口20控制連接數(shù)據(jù)連接FTPClientFTPServer臨時端口臨時端口端口21臨時端口控制連接數(shù)據(jù)連接FTPClientFTPServer主動模式被動模式SFTPSFTP（SecureFileTransferProtocol，安全文件傳輸協(xié)議）是一種基于SSH（SecureShell）提供文件安全傳輸?shù)木W(wǎng)絡(luò)協(xié)議。FTP是明文傳輸?shù)?，并不安全。而SFTP對傳輸?shù)恼J(rèn)證信息和數(shù)據(jù)進(jìn)行加密，相對于FTP極大提升了安全性。SFTP是一個單通道協(xié)議，目的端口號默認(rèn)為22，通過客戶端和服務(wù)器之間的SSH協(xié)議安全連接來傳輸文件，而FTP是一個雙通道協(xié)議，包括控制通道和數(shù)據(jù)通道。InternetSFTP客戶端SFTP服務(wù)器更加安全加密加密TelnetTelnet是數(shù)據(jù)網(wǎng)絡(luò)中提供遠(yuǎn)程登錄的標(biāo)準(zhǔn)協(xié)議。Telnet可以為用戶實現(xiàn)在本地計算機(jī)上操作遠(yuǎn)程設(shè)備。用戶通過Telnet客戶端程序連接到Telnet服務(wù)器。用戶在Telnet客戶端中輸入命令,這些命令會在服務(wù)器端運行，就像直接在服務(wù)端的控制臺上輸入一樣。無線接入點交換機(jī)防火墻服務(wù)器路由器Telnet服務(wù)器Telnet連接客戶端InternetSTelnetSTelnet（SecureTelnet）是一種安全的Telnet服務(wù)，使用戶可以從遠(yuǎn)端安全登錄到設(shè)備，所有交互數(shù)據(jù)均經(jīng)過加密，實現(xiàn)安全的會話連接。Telnet是明文傳輸?shù)模⒉话踩?，使用STelnet可以極大提升安全性。STelnet通過SSH協(xié)議實現(xiàn)，目的端口號默認(rèn)為22。STelnet服務(wù)端與客戶端的協(xié)商過程包括以下五個階段：版本協(xié)商算法協(xié)商密鑰交換用戶認(rèn)證會話交互無線接入點交換機(jī)防火墻服務(wù)器路由器STelnet服務(wù)器STelnet連接客戶端Internet加密加密HTTPHTTP（HyperTextTransferProtocol）是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議。設(shè)計HTTP最初的目的是為了提供一種發(fā)布和接收HTML頁面的方法。HTTP客戶端HTTP服務(wù)器訪問：返回該頁面的HTML文件InternetHTTPSHTTPS（HypertextTransferProtocolSecure，超文本傳輸安全協(xié)議），是以安全為目標(biāo)的HTTP通道。HTTPS在HTTP的基礎(chǔ)上加入TLS（TransportLayerSecurity）協(xié)議，為數(shù)據(jù)傳輸提供身份驗證、加密及完整性校驗。HTTPS的目的端口默認(rèn)為443，HTTP的目的端口默認(rèn)為80。目前大部分網(wǎng)站都提供HTTPS安全傳輸。HTTP客戶端HTTP服務(wù)器HTTPS客戶端HTTPS服務(wù)器IPTCPHTTPIPTCPTLSHTTP身份驗證信息加密完整性校驗明文通信密文通信DNS在瀏覽網(wǎng)頁時，我們輸入網(wǎng)址這個字符串，但計算機(jī)去訪問這個網(wǎng)址時，真正需要知道的是網(wǎng)址對應(yīng)域名的IP地址，這時就需要由專門的域名解析系統(tǒng)（DomainNameSystem，簡稱DNS）來完成。域名解析分為動態(tài)域名解析和靜態(tài)域名解析。在解析域名時，首先采用靜態(tài)域名解析的方法，如果靜態(tài)解析不成功，再采用動態(tài)域名解析的方法?？蛻舳吮镜谼NS服務(wù)器請求的IP地址返回的IP地址為X.X.X.XInternet訪問X.X.X.X地址網(wǎng)絡(luò)參考模型OSI參考模型和TCP/IP參考模型應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層常見網(wǎng)絡(luò)設(shè)備傳輸層傳輸層協(xié)議接收來自應(yīng)用層協(xié)議的數(shù)據(jù)，封裝上相應(yīng)的傳輸層頭部，幫助其建立“端到端”的連接。傳輸層協(xié)議：TCP：一種面向連接的、可靠的傳輸層通信協(xié)議，由IETF的RFC793定義。UDP：一種簡單的無連接的傳輸層協(xié)議，由IETF的RFC768定義。傳輸層（Segment）應(yīng)用層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層TCP和UDP-報文格式SourcePort（16）DestinationPort（16）SequenceNumber（32）AcknowledgementNumber（32）HeaderLength（4）Reserved（6）Controlbits（6）Window（16）Checksum（16）Urgent（16）Options（variable）Data（ifany）SourcePort（16）DestinationPort（16）Length（16）Checksum（16）Data（ifany）TCP頭部UDP頭部TCP和UDP-端口號TCP和UDP使用端口號來區(qū)分不同的服務(wù)。客戶端使用的源端口一般隨機(jī)分配，目標(biāo)端口則由服務(wù)器的應(yīng)用指定。源端口號一般為系統(tǒng)中未使用的，且大于1023的端口。目的端口號為服務(wù)端開啟的應(yīng)用（服務(wù)）所偵聽的端口，如HTTP缺省使用80。HTTP客戶端HTTP服務(wù)器TCP端口1024TCP端口1231HTTP應(yīng)用Telnet（IP地址）TCP端口80TCP端口23HTTP應(yīng)用TelnetWEB瀏覽器HTTP服務(wù)器HTTP載荷源IP：目的IP：源端口號：1024目的端口號：80IP頭部TCP頭部（IP地址）網(wǎng)絡(luò)參考模型OSI參考模型和TCP/IP參考模型應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層常見網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)層傳輸層負(fù)責(zé)建立主機(jī)之間進(jìn)程與進(jìn)程之間的連接，而網(wǎng)絡(luò)層則負(fù)責(zé)數(shù)據(jù)從一臺主機(jī)到另外一臺主機(jī)之間的傳遞。網(wǎng)絡(luò)層作用：負(fù)責(zé)將分組報文從源主機(jī)發(fā)送到目的主機(jī)。為網(wǎng)絡(luò)中的設(shè)備提供邏輯地址。負(fù)責(zé)數(shù)據(jù)包的尋徑和轉(zhuǎn)發(fā)。常見協(xié)議如IPv4、IPv6、ICMP和IGMP等。網(wǎng)絡(luò)層（Packet）應(yīng)用層傳輸層數(shù)據(jù)鏈路層物理層IP報文頭部0163120Bytes固定長度VersionHeaderLengthDSFieldTotalLengthIdentificationFlagsFragmentOffsetTimetoLiveProtocolHeaderChecksumSourceIPAddressDestinationIPAddressIPOptions（variable）以太網(wǎng)頭部IP頭部TCP頭部用戶數(shù)據(jù)以太網(wǎng)尾部IP報文轉(zhuǎn)發(fā)源設(shè)備發(fā)出的報文會在其網(wǎng)絡(luò)層頭部攜帶源及目的設(shè)備的網(wǎng)絡(luò)層地址。具備路由功能的網(wǎng)絡(luò)設(shè)備（例如路由器等）會維護(hù)路由表。當(dāng)這些網(wǎng)絡(luò)設(shè)備收到報文時，會讀取其網(wǎng)絡(luò)層攜帶的目的地址，并在其路由表中查詢該地址，找到匹配項后，按照該表項的指示轉(zhuǎn)發(fā)數(shù)據(jù)。PC1PC2路由器GE0/0/0GE0/0/1網(wǎng)絡(luò)APC1完成IP頭部的封裝，主要包括源目IP地址字段。網(wǎng)絡(luò)出接口網(wǎng)絡(luò)AGE0/0/1…………路由表ICMP協(xié)議Internet控制消息協(xié)議ICMP（InternetControlMessageProtocol）是IP協(xié)議的輔助協(xié)議。ICMP協(xié)議用來在網(wǎng)絡(luò)設(shè)備間傳遞各種差錯和控制信息，對于收集各種網(wǎng)絡(luò)信息、診斷和排除各種網(wǎng)絡(luò)故障等方面起著至關(guān)重要的作用。以太網(wǎng)尾部ICMP報文IP頭部以太網(wǎng)頭部TypeCodeChecksumICMP的報文內(nèi)容TypeCode描述00EchoReply30網(wǎng)絡(luò)不可達(dá)31主機(jī)不可達(dá)32協(xié)議不可達(dá)33端口不可達(dá)50重定向80Echo

RequestICMP差錯檢測ICMPEchoRequest和ICMPEchoReply消息常用于診斷源和目的地之間的網(wǎng)絡(luò)連通性，同時還可以提供其他信息，如報文往返時間等。ICMP的一個典型應(yīng)用是Ping。Ping是檢測網(wǎng)絡(luò)連通性的常用工具，同時也能夠收集其他相關(guān)信息。用戶可以在Ping命令中指定不同參數(shù)，如ICMP報文長度、發(fā)送的ICMP報文個數(shù)和等待回復(fù)響應(yīng)的超時時間等，設(shè)備根據(jù)配置的參數(shù)來構(gòu)造并發(fā)送ICMP報文，進(jìn)行Ping測試。[RTA]pingPING:56databytes,pressCTRL_CtobreakReplyfrom:bytes=56Sequence=1ttl=254time=70msReplyfrom:bytes=56Sequence=2ttl=254time=30msReplyfrom:bytes=56Sequence=3ttl=254time=30msReplyfrom:bytes=56Sequence=4ttl=254time=40msReplyfrom:bytes=56Sequence=5ttl=254time=30ms---pingstatistics---5packet(s)transmitted5packet(s)received0.00%packetlossround-tripmin/avg/max=30/40/70ms路由器服務(wù)器A路由器/24/24.1.2.1.2EchoRequestEchoReplyICMP錯誤報告ICMP定義了各種錯誤消息，用于診斷網(wǎng)絡(luò)連接性問題；根據(jù)這些錯誤消息，源設(shè)備可以判斷出數(shù)據(jù)傳輸失敗的原因。如當(dāng)網(wǎng)絡(luò)設(shè)備無法訪問目標(biāo)網(wǎng)絡(luò)時，會自動發(fā)送ICMP目的不可達(dá)報文到發(fā)送端設(shè)備。Tracert基于報文頭中的TTL值來逐跳跟蹤報文的轉(zhuǎn)發(fā)路徑。Tracert是檢測網(wǎng)絡(luò)丟包和時延的有效手段，同時可以幫助管理員發(fā)現(xiàn)網(wǎng)絡(luò)中的路由環(huán)路。[RTA]tracerttracerouteto(),maxhops:30,packetlength:40,pressCTRL_Ctobreak1 80ms 10ms 10ms2 30ms 30ms 20msICMP目的不可達(dá)報文RTA服務(wù)器ARTB/24/24.1.2.1.2數(shù)據(jù)包OSPF協(xié)議不同網(wǎng)絡(luò)間的互通，需要通過路由實現(xiàn)。路由的獲取方式有直連路由、靜態(tài)路由、動態(tài)路由。動態(tài)路由因靈活性高、可靠性好、易擴(kuò)展等特點被廣泛應(yīng)用于網(wǎng)絡(luò)中。OSPF是企業(yè)網(wǎng)絡(luò)中應(yīng)用最廣的動態(tài)路由協(xié)議。OSPF各路由器同步LSDB主機(jī)交換機(jī)OSPF區(qū)域OSPFArea用于標(biāo)識一個OSPF的區(qū)域。區(qū)域是從邏輯上將設(shè)備劃分為不同的組，每個組用區(qū)域號（AreaID）來標(biāo)識。企業(yè)網(wǎng)絡(luò)可以根據(jù)規(guī)模和需求規(guī)劃為單區(qū)域或多區(qū)域組網(wǎng)。辦公樓1辦公樓2防火墻核心交換機(jī)匯聚交換機(jī)服務(wù)器集群Area0匯聚交換機(jī)匯聚交換機(jī)在核心交換機(jī)與匯聚交換機(jī)上運行OSPF，并將它們劃分在同一個Area中，實現(xiàn)企業(yè)網(wǎng)絡(luò)內(nèi)的路由可達(dá)。OSPF路由表對于OSPF的路由表，需要了解：OSPF路由表包含Destination、Cost和NextHop等指導(dǎo)轉(zhuǎn)發(fā)的信息；使用命令displayospfrouting查看OSPF路由表。<R1>displayospfroutingOSPFProcess1withRouterIDRoutingTablesRoutingforNetworkDestinationCostTypeNextHopAdvRouterArea/320stub/201Transit/321stubTotalNets:3IntraArea:3InterArea:0ASE:0NSSA:0路由器1RouterID:RouterID:/30/30GE1/0/0GE1/0/0[R1]displayospfrouting路由器2網(wǎng)絡(luò)參考模型OSI參考模型和TCP/IP參考模型應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層常見網(wǎng)絡(luò)設(shè)備數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層位于網(wǎng)絡(luò)層和物理層之間，可以向網(wǎng)絡(luò)層的IP和IPv6等協(xié)議提供服務(wù)。以太網(wǎng)（Ethernet）是最常見的數(shù)據(jù)鏈路層協(xié)議。數(shù)據(jù)鏈路層位于網(wǎng)絡(luò)層和物理層之間：數(shù)據(jù)鏈路層向網(wǎng)絡(luò)層提供“段內(nèi)通信”；負(fù)責(zé)組幀、物理編址和差錯控制等功能；常見的數(shù)據(jù)鏈路層協(xié)議有：以太網(wǎng)、PPPoE和PPP等。數(shù)據(jù)鏈路層（Frame）應(yīng)用層傳輸層網(wǎng)絡(luò)層物理層以太網(wǎng)幀結(jié)構(gòu)以太網(wǎng)技術(shù)所使用的幀為以太網(wǎng)幀（EthernetFrame）。以太幀有EthernetII格式和IEEE802.3格式兩個標(biāo)準(zhǔn)。MAC（MediaAccessControl）地址在網(wǎng)絡(luò)中唯一標(biāo)識一個網(wǎng)卡。MAC地址有48bit，如00-1E-10-DD-DD-02。MAC地址用于同網(wǎng)段內(nèi)的通信。Ethernet_II格式DMACSMACType用戶數(shù)據(jù)FCSDMACSMACLengthLLCSNAP用戶數(shù)據(jù)FCSIEEE802.3格式OrgCodeType3B2B6B6B2B46-1500B4B6B6B2B38-1492B4B3B5B數(shù)據(jù)幀的總長度：64-1518

Byte地址解析協(xié)議(ARP)要使IP報文能夠正常轉(zhuǎn)發(fā)，還需要知道目的地址或者網(wǎng)關(guān)的MAC地址，這是就需要用到ARP（AddressResolutionProtocol）地址解析協(xié)議：根據(jù)已知的IP地址解析獲得其對應(yīng)的MAC地址。/243C-52-82-49-7E-9D/2448-A4-72-1C-8F-4FHostAHostBARP請求報文ARP響應(yīng)報文目的IP地址：目的MAC地址：？源IP地址：源MAC地址：48-A4-72-1C-8F-4F發(fā)送方數(shù)據(jù)封裝應(yīng)用層Data物理層傳輸層TCPHeaderData網(wǎng)絡(luò)層IPHeaderPayload數(shù)據(jù)鏈路層EthernetHeaderPayloadFCS……0110010101……段Segment包Packet幀F(xiàn)rame位Bit數(shù)據(jù)Data傳輸介質(zhì)接收方數(shù)據(jù)解封裝……0110010101……PayloadEthHeaderFCSPayloadIPHeaderDataTCP

HeaderWeb服務(wù)器應(yīng)用層物理層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層段Segment包Packet幀F(xiàn)rame位Bit數(shù)據(jù)Data傳輸介質(zhì)Data網(wǎng)絡(luò)參考模型常見網(wǎng)絡(luò)設(shè)備企業(yè)園區(qū)網(wǎng)絡(luò)典型架構(gòu)以下典型的企業(yè)園區(qū)網(wǎng)絡(luò)組網(wǎng)，由交換機(jī)、路由器、防火墻和服務(wù)器組成。接入層匯聚層核心層出口層交換機(jī)交換機(jī)是距離終端用戶最近的設(shè)備，用于終端接入網(wǎng)絡(luò)，并且可以使數(shù)據(jù)幀在同一網(wǎng)段內(nèi)轉(zhuǎn)發(fā)。交換機(jī)工作在數(shù)據(jù)鏈路層，根據(jù)MAC地址表轉(zhuǎn)發(fā)數(shù)據(jù)幀。MAC地址表中存放了MAC地址與交換機(jī)端口之間的映射關(guān)系。IPA：/24MAC

A：0050-5600-0001IPB：/24MAC

B：0050-5600-0002主機(jī)A發(fā)出的數(shù)據(jù)幀交換機(jī)GE0/0/1GE0/0/2GE0/0/3主機(jī)A主機(jī)B網(wǎng)絡(luò)源地址目的地址源MAC：MACA目的MAC：MACB源IP：IPA目的IP：IPBMAC地址PortMACAGE0/0/1MACBGE0/0/2……交換機(jī)的MAC地址表路由器路由器工作在網(wǎng)絡(luò)層，使報文能夠在不同網(wǎng)絡(luò)間轉(zhuǎn)發(fā)。網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層RouterARouterBRouterC應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層HostAHostB應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層RouterCRouterBRouterA防火墻防火墻是對網(wǎng)絡(luò)的訪問行為進(jìn)行控制的一種設(shè)備，安全防護(hù)是其核心特性，主要部署在網(wǎng)絡(luò)邊界。防火墻認(rèn)為在同一安全區(qū)域內(nèi)部發(fā)生的數(shù)據(jù)流動是不存在安全風(fēng)險的，不需要實施任何安全策略。只有當(dāng)不同安全區(qū)域之間發(fā)生數(shù)據(jù)流動時，才會觸發(fā)設(shè)備的安全檢查，并實施相應(yīng)的安全策略。區(qū)域名稱默認(rèn)安全優(yōu)先級非受信區(qū)域（Untrust）低安全級別區(qū)域，優(yōu)先級為5。非軍事化區(qū)域（DMZ）中等安全級別區(qū)域，優(yōu)先級為50。受信區(qū)域（Trust）較高安全級別區(qū)域，優(yōu)先級為85。本地區(qū)域（Local）Local區(qū)域定義的是設(shè)備本身，例如設(shè)備的接口。Local區(qū)域是最高安全級別區(qū)域，優(yōu)先級為100。TrustDMZUntrust區(qū)域間安全策略防火墻的發(fā)展歷史隨著科技的進(jìn)步，防火墻的發(fā)展歷史經(jīng)歷了從低級到高級、從功能簡單到功能復(fù)雜的過程。網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和越來越多的需求不斷推動著防火墻的更新。根據(jù)發(fā)展歷史可以將防火墻分為：包過濾防火墻狀態(tài)檢測防火墻下一代防火墻包過濾19891994~1995UTM下一代防火墻NGFW20092004~2005應(yīng)用代理狀態(tài)檢測1990~1991防火墻功能防火墻主要用于保護(hù)一個網(wǎng)絡(luò)免受來自另一個網(wǎng)絡(luò)的攻擊和入侵。因其隔離、防守的屬性，防火墻靈活應(yīng)用于企業(yè)網(wǎng)絡(luò)出口、大型網(wǎng)絡(luò)內(nèi)部子網(wǎng)隔離和數(shù)據(jù)中心邊界等場景。防火墻可以實現(xiàn)的功能如下：隔離不同安全級別的網(wǎng)絡(luò)；實現(xiàn)不同安全級別網(wǎng)絡(luò)之間的訪問控制（安全策略）；用戶身份認(rèn)證；實現(xiàn)遠(yuǎn)程接入功能；實現(xiàn)數(shù)據(jù)加密及虛擬專用網(wǎng)業(yè)務(wù)；執(zhí)行網(wǎng)絡(luò)地址轉(zhuǎn)換；其他安全功能。Internet用戶出差員工合作伙伴分支機(jī)構(gòu)2分支機(jī)構(gòu)1內(nèi)網(wǎng)接入?yún)^(qū)防火墻專線互聯(lián)網(wǎng)出口防火墻核心交換機(jī)數(shù)據(jù)中心出口防火墻業(yè)務(wù)服務(wù)區(qū)1業(yè)務(wù)服務(wù)區(qū)2業(yè)務(wù)服務(wù)區(qū)3DMZRADIUSController日志中心eSight沙箱……數(shù)據(jù)中心防火墻與交換機(jī)、路由器的對比交換機(jī)通常用來組建局域網(wǎng)，路由器用來連接不同的網(wǎng)絡(luò)，而防火墻主要部署在網(wǎng)絡(luò)邊界。路由器與交換機(jī)的本質(zhì)是轉(zhuǎn)發(fā)，防火墻的本質(zhì)是控制。交換機(jī)

組建局域網(wǎng)

二/三層快速轉(zhuǎn)發(fā)報文防火墻

控制報文轉(zhuǎn)發(fā)

防攻擊防病毒、木馬路由器

尋址和轉(zhuǎn)發(fā)

保證網(wǎng)絡(luò)互聯(lián)互通訪問外網(wǎng)流量訪問內(nèi)網(wǎng)流量主機(jī)網(wǎng)絡(luò)設(shè)備登錄和配置不管是部署、操作或是維護(hù)網(wǎng)絡(luò)設(shè)備，都會涉及到對網(wǎng)絡(luò)設(shè)備的配置。配置之前，需要先登錄設(shè)備。管理員對網(wǎng)絡(luò)設(shè)備的配置，有命令行和Web界面兩種方式。Console登錄Telnet登錄SSH登錄Web登錄Username:adminPassword:Admin@123Info:ThemaxnumberofVTYusersis21,thenumberofcurrentVTYusersonlineis0,andtotalnumberofterminalusersonlineis1.<FW>displaythis#sysnameFW#command-privilegelevel0viewsysteminterface#Return基本配置命令(1)配置接口IP地址查看當(dāng)前運行的配置配置文件保存查看保存的配置用來給設(shè)備上的物理或邏輯接口配置IP地址。<FW>displaycurrent-configuration<FW>save<FW>displaysaved-configuration[FW]interfaceGigabitEthernet0/0/1[FW-GigabitEthernet0/0/1]ipaddress基本配置命令(2)清除已保存的配置查看系統(tǒng)啟動配置參數(shù)配置系統(tǒng)下次啟動時使用的配置文件配置設(shè)備重啟<FW>displaystartup用來查看設(shè)備本次及下次啟動相關(guān)的系統(tǒng)軟件、備份系統(tǒng)軟件、配置文件、License文件、補(bǔ)丁文件以及語音文件。<FW>startupsaved-configurationconfiguration-file

設(shè)備升級時，可以通過此命令讓設(shè)備下次啟動時加載指定的配置文件。<FW>resetsaved-configuration<FW>reboot圖形化界面(1)防火墻圖形化界面分為以下幾部分：板塊頁簽、菜單導(dǎo)航樹、操作區(qū)、常用操作按鈕區(qū)及CLI控制臺。菜單導(dǎo)航樹板塊頁簽常用操作按鈕區(qū)操作區(qū)CLI控制臺圖形化界面(2)圖形化界面中的板塊頁簽對防火墻的各種功能進(jìn)行了分類顯示，是通過Web界面配置防火墻時經(jīng)常要用到的部分。板塊說明面板直觀、快速查看設(shè)備的常用狀態(tài)信息，監(jiān)測系統(tǒng)是否正常運行。監(jiān)控查看日志信息、查看統(tǒng)計信息、診斷設(shè)備故障，提供全方位的運維手段。策略配置安全策略、帶寬策略等各種業(yè)務(wù)策略，控制流量轉(zhuǎn)發(fā)，防范網(wǎng)絡(luò)威脅。對象配置地址對象、服務(wù)對象等被各種業(yè)務(wù)策略引用的公共元素，簡化業(yè)務(wù)配置。網(wǎng)絡(luò)配置接口、路由、VPN等網(wǎng)絡(luò)互通功能，是設(shè)備接入網(wǎng)絡(luò)的基礎(chǔ)。系統(tǒng)配置管理員、時鐘、SNMP、系統(tǒng)升級等設(shè)備管理功能，是系統(tǒng)正常工作的基礎(chǔ)。配置文件管理在“系統(tǒng)>配置文件管理”，可以查看當(dāng)前配置文件，以及設(shè)置下一次啟動配置文件。版本升級在“系統(tǒng)>系統(tǒng)更新”，可以對防火墻的系統(tǒng)軟件、補(bǔ)丁文件、特性包進(jìn)行升級。（多選題）以下哪些選項屬于應(yīng)用層的協(xié)議？（）HTTPDNSFTPOSPF（判斷題）FTP主動模式下的數(shù)據(jù)連接由客戶端發(fā)起。（）正確錯誤本課程簡要介紹了TCP/IP參考模型的五層結(jié)構(gòu)，包括應(yīng)用層、傳輸層、網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層、物理層。每一層為其上一層提供服務(wù)，各層次都有對應(yīng)的協(xié)議。并描述了一些常見的協(xié)議，如ARP、ICMP、FTP以及HTTPS等。本課程描述了典型企業(yè)網(wǎng)絡(luò)架構(gòu)，對常見的網(wǎng)絡(luò)設(shè)備，如交換機(jī)、路由器、防火墻進(jìn)行了介紹。并講解了