精华内容
下载资源
问答
  • 大型企业网络架构

    万次阅读 多人点赞 2018-11-24 10:57:01
    可以看到,在大型企业网络架构中,有非常多的产品:交换机、路由器、防火墙、IDS、IPS、服务器等设备。 那么有很多人会问,有了防火墙为什么还要IPS和IDS呢? 防火墙较多的应用在内网保护(NAT),流控,过滤等...

    目录

    DMZ区

    办公区

    核心区

    访问限制

    堡垒机


     

    注:图中防火墙和IPS更换位置

    可以看到,在大型企业网络架构中,有非常多的产品:交换机、路由器、防火墙、IDS、IPS、服务器等设备。

    那么有很多人会问,有了防火墙为什么还要IPS和IDS呢?

    防火墙较多的应用在内网保护(NAT),流控,过滤等方面;而在对攻击方面的检测和防御方面相对较弱、所以就需要IDS和IPS。

    而IDS(Intrusion Detection Systems),只是做些攻击的检测工作,本身并不做防护,它检测到攻击的时候,可能此时攻击已经产生灾难了,所以IDS一般都需要和一些防攻击设备IPS共用;

    IPS(Intrusion Prevention System),它不光对已知的攻击种类能防御,还能检测些异常协议的攻击,比较灵活。

    • 防火墙是防御系统,属于访问控制类产品
    • IDS是入侵检测系统,属于审计类产品
    • IPS是入侵防御系统,属于访问控制类产品

    IDS虽是IPS的前身,但本质上,IPS已经发生了根本的变化,前者是审计类产品,后者属于访问控制类。

    有人说,IDS也可以和防火墙联动执行访问控制,但这并不会改变IDS审计类产品的本质,因为,执行访问控制的是防火墙,而不是IDS。

    • 防火墙是基于IP地址和端口来执行访问控制的
    • IPS是基于入侵检测来执行访问控制的

    大型企业网络架构有三层:接入层、汇聚层、核心层

    • 接入层接入不同的部门,不同的部门属于不同的VLAN,保证了不同部门之间的安全。
    • 核心层有两个核心交换机,实现负载均衡和热备份,即使有一个核心交换机宕机了,网络也不会瘫痪。
    • 对内服务器有一个IDS入侵检测系统,检测对内服务器的安全。
    • 对外服务器有一个 WAF和IDS ,用来检测外网用户对对外服务器的访问
    • 边界防火墙主要是用来进行流量控制、流量过滤和进行内外网NAT转换。
    • 在网络出口处,还有IPS入侵检测系统,实时检测是否有异常攻击行为,并及时阻断。
    • 出口路由器由两个不同的运营商提供,提供对公网路由
    • 防火墙、IPS 和 边界路由器都有两个,实现负载均衡和热备份。即使任何一个宕机了,都不会影响企业网络的正常运作。

    DMZ区

    DMZ(Demilitarized Zone)非军事化区,也就是隔离区,DMZ区是一个对外服务区,在DMZ区域中存放着一些公共服务器,比如对外的服务器、对外的邮箱等等。用户要从外网访问到的服务,理论上都可以放到DMZ区。

    内网可以单向访问DMZ区、外网也可以单向访问DMZ区,DMZ访问内网有限制策略,这样就实现了内外网分离。

    DMZ可以理解为一个不同于外网或内网的特殊网络区域,即使黑客攻陷了DMZ区,黑客也不能访问内网区域。

    办公区

    办公区就是企业员工日常办公的区域,办公区安全防护水平通常不高,基本的防护手段大多为杀毒软件或主机入侵检测产品。在实际的网络环境中,攻击者在获取办公区的权限后,会利用域信任关系来扩大攻击面。在一般情况下,攻击者很少能直接到达办公区,攻击者进入办公区的手段通常为 鱼叉攻击、水坑攻击 和其他社会工程学手段。

    办公区按照系统可分为OA系统、邮件系统、财务系统、文件共享系统、企业版杀毒系统、内部应用监控系统、运维管理系统等。按照网段可分为域管理网段、内部服务器系统网段、各部门分区网段等。

    核心区

    核心区内一般存放着企业最重要的数据、文档等资产。例如,域控、核心生产服务器等,安全设置也最为严格。根据业务的不同,相关服务器可能存放于不同的网段中。

    核心区按照系统可分为业务系统、运维监控系统、安全系统等,按照网段可分为业务网段、运维监控网段、安全管理网段等。

    访问限制

    当规划一个拥有DMZ的网络时候,我们可以明确各个网络之间的访问关系,可以确定以下六条访问控制策略。

    1.内网可以访问外网

    内网的用户显然需要自由地访问外网。在这一策略中,出口路由器需要进行源地址NAT转换。

    2.内网可以访问DMZ

    此策略是为了方便内网用户使用和管理DMZ中的服务器。

    3.外网不能访问内网

    很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。

    4.外网可以访问DMZ

    DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由出口路由器完成对外地址到服务器实际地址的转换。

    5.DMZ访问内网有限制

    很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。

    6.DMZ不能访问外网

    此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网。

    堡垒机

    堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、记录、分析、处理的一种技术手段。

    其从功能上讲,它综合了核心系统运维安全审计管控两大主干功能,从技术实现上讲,通过切断终端计算机对网络和服务器资源的直接访问,而采用协议代理的方式,接管了终端计算机对网络和服务器的访问。形象地说,终端计算机对目标的访问,均需要经过运维安全审计的翻译。打一个比方,运维安全审计扮演着看门者的工作,所有对网络设备和服务器的请求都要从这扇大门经过。因此运维安全审计能够拦截非法访问,和恶意攻击,对不合法命令进行命令阻断,过滤掉所有对目标设备的非法访问行为,并对内部人员误操作和非法操作进行审计监控,以便事后责任追踪。 

    堡垒机原理:

    堡垒机实际上是旁路在网络交换机节点上的硬件设备,实现运维人员远程访问维护服务器的跳板,即物理上并联,逻辑上串联。简单的说,就是服务器运维管理人员原先是直接通过远程访问技术进行服务器维护和操作,这期间不免有一些误操作或者越权操作,而“堡垒机”作为远程运维的跳板,使运维人员间接通过堡垒机进行对远程服务的的运维操作。如原来使用微软的远程桌面RDP进行windows服务器的远程运维,现在先访问到堡垒机,再由堡垒机访问远程windows服务器。这期间,运维人员的所有操作都被记录下来,可以以屏幕录像、字符操作日志等形式长久保存。在服务器发生故障时,就可以通过保存的记录查看到以前进行的任何操作。

    堡垒机的核心技术实际上就是微软的RDP协议,通过对RDP协议的解析,实现远程运维操作的图形审计。

    以windows远程运维操作为例,客户端通过RDP协议访问“堡垒机”,再由堡垒机内置的远程访问客户端访问远程windows服务器,即RDP+RDP。

    那么图形界面的操作是如何记录下来的呢?实际上堡垒机内部也是Windows操作系统(不一定,有时候是Windows+Linux),客户端RDP到堡垒机后,又再一次启动了新的RDP,这时堡垒机的windows桌面就是远程访问到远程服务器时的桌面,只需要把这时的桌面情况记录下来就可以了。

    由于微软的RDP协议内置了远程访问的屏幕信息,所以只需要正确的解析RDP协议的内容,并且把其中包含的视频信息抽取出来,再进行重组、压缩,就实现了图形操作的审计。

    至于字符操作的审计,如FTP,实际上堡垒机内部内置了FTP客户端程序,也是客户端主机先RDP到堡垒机,再由堡垒机启动FTP客户端程序访问远程服务器,这样还是由堡垒机作为跳板,间接地把FTP命令传送到服务器,并把服务器的响应信息反馈给客户端主机,中间的操作过程全都被记录了下来。

    堡垒机的核心功能:单点登录、账号管理、身份认证、资源授权、访问控制和操作审计

    相关文章:防火墙Firewall

                      IDS入侵检测系统

                      IPS入侵防御系统

     

    展开全文
  • 中小型企业网络架构实验

    千次阅读 2019-09-05 20:21:57
    中小型企业网络架构综合实验 一、实验目的: 熟练掌握中小型企业网络架构的基本配置和原理 二、实验器材: 华为交换机10台、华为路由器5台、主机若干 三、实验要求: 1.r1 g0/0/0所连子网为192.168.1.0/24...

                                 中小型企业网络架构综合实验

     一、实验目的:

             熟练掌握中小型企业网络架构的基本配置和原理

     

     二、实验器材:

             华为交换机10台、华为路由器5台、主机若干

    三、实验要求:

    1.r1 g0/0/0所连子网为192.168.1.0/24,这个子网需要分割为4个小网段,分别给四个部门的主机来使用,其中销售部90台主机,生产部50台主机,财务部15台主机,人事部26台主机。
    2.规划sw1,sw2,sw3三台交换机的mstp协议,让vlan10、vlan20的主机使用sw1做为根网桥,使用sw2为备用根网桥,vlan30、vlan40使用sw2做为根网桥,使用sw1为备用根网桥
    3.vlan10-vlan40可以通过r1进行通信,并通过r1从dhcp服务器获得IP地址
    4.sw10 g0/0/1所连子网为192.168.2.0/24,这个子网需要分割为4个小网段,分别给四个部门的主机来使用,其中IT部60台主机,研发部30台主机,培训部6台主机,人事部2台主机。
    5.规划sw4,sw5,sw6三台交换机的mstp协议,让vlan50、vlan60的主机使用sw3做为根网桥,使用sw1为备用根网桥,vlan70、vlan80使用sw1做为根网桥,使用sw3为备用根网桥
    6.配置sw10为dhcp服务器,为所有网段分配IP地址
    7.vlan50-vlan80使用sw10进行访问
    8.r2的g0/0/0所连子网为192.168.3.0/24,这个子网需要分割为4个小网段,分别给四个部门的
    主机来使用,其中天部28台主机,地部29台主机,人部59台主机,仙部99台主机。
    9.规划sw7,sw8,sw9三台交换机的mstp协议,让vlan90、vlan100的主机使用sw2做为根网桥,使用sw3为备用根网桥,vlan110、vlan120使用sw3做为根网桥,使用sw2为备用根网桥.
    10.vlan80-vlan120可以通过r2进行通信,并通过r2从dhcp服务器获得IP地址.
    11.为r3,r4,r5设置适当的静态路由,确保全网互通,并在设置静态路由的时候适当的进行IP汇总。

    四、实验拓扑图

    五、实验步骤:

    1)、路由器R1配置信息:

    [V200R003C00]
    #
     sysname r1

    dhcp enable
    #
    aaa 
     authentication-scheme default
     authorization-scheme default
     accounting-scheme default
     domain default 
     domain default_admin 
     local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
     local-user admin service-type http
    #
    firewall zone Local
     priority 15

    interface GigabitEthernet0/0/0
    #
    interface GigabitEthernet0/0/0.1
     dot1q termination vid 10
     ip address 192.168.1.126 255.255.255.128 
     arp broadcast enable
     dhcp select relay
     dhcp relay server-ip 192.168.7.2
    #
    interface GigabitEthernet0/0/0.2
     dot1q termination vid 20
     ip address 192.168.1.190 255.255.255.192 
     arp broadcast enable
     dhcp select relay
     dhcp relay server-ip 192.168.7.2
    #
    interface GigabitEthernet0/0/0.3
     dot1q termination vid 30
     ip address 192.168.1.193 255.255.255.224 
     arp broadcast enable
     dhcp select relay
     dhcp relay server-ip 192.168.7.2
    #
    interface GigabitEthernet0/0/0.4
     dot1q termination vid 40
     ip address 192.168.1.254 255.255.255.224 
     arp broadcast enable
     dhcp select relay
     dhcp relay server-ip 192.168.7.2
    #
    interface GigabitEthernet0/0/1
     ip address 192.168.6.1 255.255.255.0 
    #
    interface NULL0
    #
    rip 1
     network 192.168.1.0
     network 192.168.6.0
    2)、路由器R3配置信息:

    interface GigabitEthernet0/0/0
     ip address 192.168.6.2 255.255.255.0 
    #
    interface GigabitEthernet0/0/1
     ip address 192.168.4.1 255.255.255.0 
    #
    interface NULL0
    #
    rip 1
     network 192.168.6.0
     network 192.168.4.0

    3)、交换机SW1配置信息:

    #
    sysname s1
    #
    vlan batch 10 20 30 40
    #
    stp instance 1 priority 4096
    stp instance 2 priority 8192
    #
    stp region-configuration
     region-name abc
     instance 1 vlan 10 20 
     instance 2 vlan 30 40 
     active region-configuration
    #
    interface Ethernet0/0/1
     port link-type access
     port default vlan 10
    #
    interface Ethernet0/0/2
     port link-type access
     port default vlan 20
    #
    interface Ethernet0/0/3
     port link-type trunk
     port trunk allow-pass vlan 2 to 4094
    #
    interface Ethernet0/0/4
     port link-type trunk
     port trunk allow-pass vlan 2 to 4094
    #
    port-group 1
     group-member Ethernet0/0/3
     group-member Ethernet0/0/4
    四)、交换机SW2配置信息:
    sysname s2
    #
    vlan batch 10 20 30 40
    #
    stp instance 1 priority 4096
    stp instance 2 priority 8192
    #
    stp region-configuration
     region-name abc
     instance 1 vlan 30 40 
     instance 2 vlan 10 20 
     active region-configuration
    #
    interface Ethernet0/0/1
     port link-type access
     port default vlan 30
    #
    interface Ethernet0/0/2
     port link-type access
     port default vlan 40
    #
    interface Ethernet0/0/3
     port link-type trunk
     port trunk allow-pass vlan 2 to 4094
    #
    interface Ethernet0/0/4
     port link-type trunk
     port trunk allow-pass vlan 2 to 4094
    #
    port-group 2
     group-member Ethernet0/0/3
     group-member Ethernet0/0/4
    五)、交换机SW3配置信息:

    #
    sysname s3
    #
    vlan batch 10 20 30 40

    #
    stp region-configuration
     region-name abc

    #
    interface Ethernet0/0/1
     port link-type trunk
     port trunk allow-pass vlan 2 to 4094
    #
    interface Ethernet0/0/2
     port link-type trunk
     port trunk allow-pass vlan 2 to 4094
    #
    interface Ethernet0/0/3
     port link-type trunk
     port trunk allow-pass vlan 2 to 4094

    六)、路由器R4配置信息:

    [V200R003C00]
    #
     sysname r4
    #
    interface GigabitEthernet0/0/0
     ip address 192.168.4.2 255.255.255.0 
    #
    interface GigabitEthernet0/0/1
     ip address 192.168.5.1 255.255.255.0 
    #
    interface GigabitEthernet2/0/0
     ip address 192.168.7.1 255.255.255.0 

    #
    rip 1
     network 192.168.4.0
     network 192.168.5.0
     network 192.168.7.0
    七)、三层交换机SW10的配置信息:

    sysname s10
    #
    vlan batch 50 60 70 80

    #
    dhcp enable
    #
    ip pool v1
     gateway-list 192.168.1.126 
     network 192.168.1.0 mask 255.255.255.128 
     excluded-ip-address 192.168.1.1 192.168.1.2 
     dns-list 8.8.8.8 
    #
    ip pool v2
     gateway-list 192.168.1.190 
     network 192.168.1.128 mask 255.255.255.192 
     dns-list 8.8.8.8 
    #
    ip pool v3
     gateway-list 192.168.1.222 
     network 192.168.1.192 mask 255.255.255.224 
     dns-list 8.8.8.8 
    #
    ip pool v4
     gateway-list 192.168.1.254 
     network 192.168.1.224 mask 255.255.255.224 
     dns-list 8.8.8.8 
    #
    ip pool v9
     gateway-list 192.168.3.254 
     network 192.168.3.224 mask 255.255.255.224 
     dns-list 8.8.8.8 
    #
    ip pool v10
     gateway-list 192.168.3.222 
     network 192.168.3.192 mask 255.255.255.224 
     dns-list 8.8.8.8 
    #
    ip pool v11
     gateway-list 192.168.3.190 
     network 192.168.3.128 mask 255.255.255.192 
     dns-list 8.8.8.8 
    #
    ip pool v12
     gateway-list 192.168.3.126 
     network 192.168.3.0 mask 255.255.255.128 
     excluded-ip-address 192.168.3.1 192.168.3.2 
     dns-list 8.8.8.8 
    #
    interface Vlanif2
     ip address 192.168.7.2 255.255.255.0 
     dhcp select global
    #
    interface Vlanif50
     ip address 192.168.2.126 255.255.255.128 
     dhcp select interface
     dhcp server excluded-ip-address 192.168.2.1 192.168.2.2 
     dhcp server dns-list 8.8.8.8 
    #
    interface Vlanif60
     ip address 192.168.2.190 255.255.255.192 
     dhcp select interface
     dhcp server dns-list 8.8.8.8 
    #
    interface Vlanif70
     ip address 192.168.2.222 255.255.255.224 
     dhcp select interface
     dhcp server dns-list 8.8.8.8 
    #
    interface Vlanif80
     ip address 192.168.2.254 255.255.255.224 
     dhcp select interface
     dhcp server dns-list 8.8.8.8 
    #
    interface MEth0/0/1
    #
    interface GigabitEthernet0/0/1
     port link-type trunk
     port trunk allow-pass vlan 2 to 4094
    #
    interface GigabitEthernet0/0/2
     port link-type access
     port default vlan 2
    #
    rip 1
     network 192.168.2.0
     network 192.168.7.0

    #
    port-group trunk
    八)、路由器R4的配置信息:

    #
    interface GigabitEthernet0/0/0
     ip address 192.168.4.2 255.255.255.0 
    #
    interface GigabitEthernet0/0/1
     ip address 192.168.5.1 255.255.255.0 
    #
    interface GigabitEthernet2/0/0
     ip address 192.168.7.1 255.255.255.0 

    #
    rip 1
     network 192.168.4.0
     network 192.168.5.0
     network 192.168.7.0

    九)、交换机SW4的配置信息:

    #
    sysname s4
    #
    vlan batch 50 60 70 80
    #
    stp instance 1 priority 4096
    stp instance 2 priority 8192

    #
    stp region-configuration
     region-name bbb
     instance 1 vlan 70 80 
     instance 2 vlan 50 60 
     active region-configuration

    #
    interface Ethernet0/0/1
     port link-type access
     port default vlan 50
    #
    interface Ethernet0/0/2
     port link-type access
     port default vlan 60
    #
    interface Ethernet0/0/3
     port link-type trunk
     port trunk allow-pass vlan 2 to 4094
    #
    interface Ethernet0/0/4
     port link-type trunk
     port trunk allow-pass vlan 2 to 4094

    #
    port-group 1
     group-member Ethernet0/0/3
     group-member Ethernet0/0/4

    十)、交换机SW5的配置信息:

    #
    sysname s5
    #
    vlan batch 50 60 70 80

    #
    stp region-configuration
     region-name bbb

    #
    interface Ethernet0/0/1
     port link-type access
     port default vlan 70
    #
    interface Ethernet0/0/2
     port link-type access
     port default vlan 80
    #
    interface Ethernet0/0/3
     port link-type trunk
     port trunk allow-pass vlan 2 to 4094
    #
    interface Ethernet0/0/4
     port link-type trunk
     port trunk allow-pass vlan 2 to 4094

    #
    port-group 1
     group-member Ethernet0/0/3
     group-member Ethernet0/0/4

    十一)、交换机SW6的配置信息:

    #
    sysname s6
    #
    vlan batch 50 60 70 80
    #
    stp instance 1 priority 4096
    stp instance 2 priority 8192

    #
    stp region-configuration
     region-name bbb
     instance 1 vlan 50 60 
     instance 2 vlan 70 80 
     active region-configuration

    #
    interface Ethernet0/0/1
     port link-type trunk
     port trunk allow-pass vlan 2 to 4094
    #
    interface Ethernet0/0/2
     port link-type trunk
     port trunk allow-pass vlan 2 to 4094
    #
    interface Ethernet0/0/3
     port link-type trunk
     port trunk allow-pass vlan 2 to 4094

    #
    port-group 1
     group-member Ethernet0/0/1
     group-member Ethernet0/0/2
     group-member Ethernet0/0/3

    十二)、路由器R2配置信息:

     sysname r2
    #
    dhcp enable

    #
    interface GigabitEthernet0/0/0.1
     dot1q termination vid 90
     ip address 192.168.3.254 255.255.255.224 
     arp broadcast enable
     dhcp select relay
     dhcp relay server-ip 192.168.7.2
    #
    interface GigabitEthernet0/0/0.2
     dot1q termination vid 100
     ip address 192.168.3.222 255.255.255.224 
     arp broadcast enable
     dhcp select relay
     dhcp relay server-ip 192.168.7.2
    #
    interface GigabitEthernet0/0/0.3
     dot1q termination vid 110
     ip address 192.168.3.190 255.255.255.192 
     arp broadcast enable
     dhcp select relay
     dhcp relay server-ip 192.168.7.2
    #
    interface GigabitEthernet0/0/0.4
     dot1q termination vid 120
     ip address 192.168.3.126 255.255.255.128 
     arp broadcast enable
     dhcp select relay
     dhcp relay server-ip 192.168.7.2
    #
    interface GigabitEthernet0/0/1
     ip address 192.168.8.2 255.255.255.0 
    #
    interface NULL0
    #
    rip 1
     network 192.168.3.0
     network 192.168.8.0

    十三)、路由器R5的配置信息:

    #
    interface GigabitEthernet0/0/0
     ip address 192.168.8.1 255.255.255.0 
    #
    interface GigabitEthernet0/0/1
     ip address 192.168.5.2 255.255.255.0 
    #
    interface NULL0
    #
    rip 1
     network 192.168.8.0
     network 192.168.5.0

    十四)、交换机SW9的配置信息:


    #
    sysname s9
    #
    vlan batch 90 100 110 120
    #
    stp instance 1 priority 4096
    stp instance 2 priority 8192
    #
    stp region-configuration
     region-name aaa
     instance 1 vlan 90 100 
     instance 2 vlan 110 120 
     active region-configuration
    #
    interface Ethernet0/0/1
     port link-type trunk
     port trunk allow-pass vlan 2 to 4094
    #
    interface Ethernet0/0/2
     port link-type trunk
     port trunk allow-pass vlan 2 to 4094
    #
    interface Ethernet0/0/3
     port link-type trunk
     port trunk allow-pass vlan 2 to 4094

    #
    port-group 3
     group-member Ethernet0/0/1
     group-member Ethernet0/0/2
     group-member Ethernet0/0/3

    十五)交换机SW7的配置信息:

    #
    sysname s7
    #
    vlan batch 90 100 110 120
    #
    stp region-configuration
     region-name aaa
    #
    interface Ethernet0/0/1
     port link-type access
     port default vlan 90
    #
    interface Ethernet0/0/2
     port link-type access
     port default vlan 100
    #
    interface Ethernet0/0/3
     port link-type trunk
     port trunk allow-pass vlan 2 to 4094
    #
    interface Ethernet0/0/4
     port link-type trunk
     port trunk allow-pass vlan 2 to 4094

    #
    port-group 1
     group-member Ethernet0/0/3
     group-member Ethernet0/0/4

    十六)、交换机SW8的配置信息:

    #
    sysname s8
    #
    vlan batch 90 100 110 120
    #
    stp instance 1 priority 4096
    stp instance 2 priority 8192

    #
    stp region-configuration
     region-name aaa
     instance 1 vlan 110 120 
     instance 2 vlan 90 100 
     active region-configuration

    #
    interface Ethernet0/0/1
     port link-type access
     port default vlan 110
    #
    interface Ethernet0/0/2
     port link-type access
     port default vlan 120
    #
    interface Ethernet0/0/3
     port link-type trunk
     port trunk allow-pass vlan 2 to 4094
    #
    interface Ethernet0/0/4
     port link-type trunk
     port trunk allow-pass vlan 2 to 4094

    #
    port-group 2
     group-member Ethernet0/0/3
     group-member Ethernet0/0/4

    六、实验总结:

         1)、在实验过程中,DHCP服务器的配置及DHCP中继代理容易出错;

         2)、在对三个子网划分的过程中,网络号和子网掩码的配置要注意;设置的网关要和两边的网段的网关要一致;

         3)、路由的配置可用rip动态路由,也可用静态路由(IP地址汇总)配置

    展开全文
  • Web安全-企业网络架构

    千次阅读 2020-02-04 12:14:58
    在大型企业网络架构中,有非常多的产品:交换机、路由器、防火墙、IDS、IPS、服务器等设备。 先来看看一个典型的企业网络拓朴图(图中防火墙和IPS需更换位置): 网络拓朴简析: 出口路由器由两个不同的运营商...

    网络架构

    在大型企业网络架构中,有非常多的产品:交换机、路由器、防火墙、IDS、IPS、服务器等设备。

    先来看看一个典型的企业网络拓朴图(图中防火墙和IPS需更换位置):
    在这里插入图片描述网络拓朴简析:

    1. 出口路由器由两个不同的运营商提供,提供对公网路由;
    2. 在网络出口处,还有IPS入侵防御系统,实时检测是否有异常攻击行为,并及时阻断;
    3. 边界防火墙主要是用来进行流量控制、流量过滤和进行内外网NAT转换;
    4. 防火墙、IPS 和 边界路由器都有两个,实现负载均衡和热备份,即使任何一个宕机了,都不会影响企业网络的正常运作;
    5. 对内服务器有一个IDS入侵检测系统,检测对内服务器的安全;
    6. 对外服务器有一个 WAF和IDS ,用来检测外网用户对对外服务器的访问。

    产品划分

    防火墙 IDS IPS
    防御系统,属于访问控制类产品 入侵检测系统,属于审计类产品;并联接入 入侵防御系统,属于访问控制类产品;串联接入
    基于IP地址和端口来执行访问控制的 只做攻击的检测工作,本身并不做防护,需要和防攻击设备IPS共用 基于入侵检测来执行访问控制的,不光对已知的攻击种类能防御,还能检测些异常协议的攻击

    简析下以上安全产品的关系:

    1. 串行部署的防火墙可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力;
    2. 旁路部署的IDS可以及时发现那些穿透防火墙的深层攻击行为,作为防火墙的有益补充,但很可惜的是无法实时的阻断;
    3. IDS和防火墙联动:通过IDS来发现,通过防火墙来阻断。但由于迄今为止没有统一的接口规范,加上越来越频发的“瞬间攻击”(即一个会话就可以达成攻击效果,例如SQL注入、溢出攻击等),这使得IDS与防火墙联动在实际应用中的效果不显著。

    这就是IPS产品的起源:一种能防御防火墙所不能防御的深层入侵威胁(入侵检测技术)的在线部署(防火墙方式)安全产品。

    架构分层

    大型企业网络架构有三层:接入层、汇聚层、核心层

    1. 接入层接入不同的部门,不同的部门属于不同的VLAN,保证了不同部门之间的安全;
    2. 核心层有两个核心交换机,实现负载均衡和热备份,即使有一个核心交换机宕机了,网络也不会瘫痪。

    区域划分

    大型企业网络区域有三块:DMZ区、办公区、核心区

    DMZ区

    DMZ(Demilitarized Zone)非军事化区,也就是隔离区,DMZ区是一个对外服务区,在DMZ区域中存放着一些公共服务器,比如对外的服务器、对外的邮箱等等。用户要从外网访问到的服务,理论上都可以放到DMZ区。内网可以单向访问DMZ区、外网也可以单向访问DMZ区,DMZ访问内网有限制策略,这样就实现了内外网分离。DMZ可以理解为一个不同于外网或内网的特殊网络区域,即使黑客攻陷了DMZ区,黑客也不能访问内网区域。

    办公区

    办公区就是企业员工日常办公的区域,办公区安全防护水平通常不高,基本的防护手段大多为杀毒软件或主机入侵检测产品。在实际的网络环境中,攻击者在获取办公区的权限后,会利用域信任关系来扩大攻击面。在一般情况下,攻击者很少能直接到达办公区,攻击者进入办公区的手段通常为 鱼叉攻击、水坑攻击 和其他社会工程学手段。办公区按照系统可分为OA系统、邮件系统、财务系统、文件共享系统、企业版杀毒系统、内部应用监控系统、运维管理系统等。按照网段可分为域管理网段、内部服务器系统网段、各部门分区网段等。

    核心区

    核心区内一般存放着企业最重要的数据、文档等资产。例如,域控、核心生产服务器等,安全设置也最为严格。根据业务的不同,相关服务器可能存放于不同的网段中。核心区按照系统可分为业务系统、运维监控系统、安全系统等,按照网段可分为业务网段、运维监控网段、安全管理网段。

    【总结】企业网络的访问控制策略如下:

    访问控制策略 详情
    内网可以访问外网 内网的用户显然需要自由地访问外网,出口路由器需要进行源地址NAT转换
    内网可以访问DMZ 此策略是为了方便内网用户使用和管理DMZ中的服务器
    外网不能访问内网 内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问
    外网可以访问DMZ DMZ中的服务器本身就是要给外界提供服务的,外网访问DMZ需要由出口路由器完成对外地址到服务器实际地址的转换
    DMZ访问内网有限制 避免则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据
    DMZ不能访问外网 此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网。

    堡垒机

    诞生意义

    信息系统运维人员掌握着信息系统的最高权限,一旦运维操作出现安全问题将会给企业或单位带来巨大的损失。因此,加强对运维人员操作行为的监管与审计是信息安全发展的必然趋势。在此背景之下,针对运维操作管理与审计的堡垒机应运而生。
    在这里插入图片描述
    堡垒机无非就是一台功能受限的主机,加上运维审计功能,它与常见的运维审计平台有什么区别?
    在这里插入图片描述
    堡垒机提供了一套多维度的运维操作控管控与审计解决方案,使得管理人员可以全面对各种资源(如网络设备、服务器、安全设备和数据库等)进行集中账号管理、细粒度的权限管理和访问审计,帮助企业提升内部风险控制水平。

    演变分类

    基于其应用场景,堡垒机可分为两种类型:

    1、网关型堡垒机

    网关型的堡垒机被部署在外部网络和内部网络之间,其本身不直接向外部提供服务而是作为进入内部网络的一个检查点,用于提供对内部网络特定资源的安全访问控制。这类堡垒机不提供路由功能,将内外网从网络层隔离开来,因此除非授权访问外还可以过滤掉一些针对内网的来自应用层以下的攻击,为内部网络资源提供了一道安全屏障。但由于此类堡垒机需要处理应用层的数据内容,性能消耗很大,所以随着网络进出口处流量越来越大,部署在网关位置的堡垒机逐渐成为了性能瓶颈,因此网关型的堡垒机逐渐被日趋成熟的防火墙、UTM、IPS、网闸等安全产品所取代

    2、运维审计型堡垒机

    审计型堡垒机,有时也被称作“内控堡垒机”,这种类型的堡垒机也是当前应用最为普遍的一种。运维审计型堡垒机的原理与网关型堡垒机类似,但其部署位置与应用场景不同且更为复杂。运维审计型堡垒机被部署在内网中的服务器和网络设备等核心资源的前面,对运维人员的操作权限进行控制和操作行为审计;运维审计型堡垒机即解决了运维人员权限难以控制混乱局面,又可对违规操作行为进行控制和审计,而且由于运维操作本身不会产生大规模的流量,堡垒机不会成为性能的瓶颈,所以堡垒机作为运维操作审计的手段得到了快速发展。

    工作原理

    作为运维操作审计手段的堡垒机的核心功能是用于实现对运维操作人员的权限控制与操作行为审计。

    1、主要技术思路

    如何实现对运维人员的权限控制与审计呢?堡垒机必须能够截获运维人员的操作,并能够分析出其操作的内容。堡垒机的部署方式,确保它能够截获运维人员的所有操作行为,分析出其中的操作内容以实现权限控制和行为审计的目的,同时堡垒机还采用了应用代理的技术。运维审计型堡垒机对于运维操作人员相当于一台代理服务器(Proxy Server),其工作流程如下图所示:
    在这里插入图片描述

    1. 运维人员在操作过程中首先连接到堡垒机,然后向堡垒机提交操作请求;
    2. 该请求通过堡垒机的权限检查后,堡垒机的应用代理模块将代替用户连接到目标设备完成该操作,之后目标设备将操作结果返回给堡垒机,最后堡垒机再将操作结果返回给运维操作人员。

    通过这种方式,堡垒机逻辑上将运维人员与目标设备隔离开来,建立了从“运维人员->堡垒机用户账号->授权->目标设备账号->目标设备”的管理模式,解决操作权限控制和行为审计问题的同时,也解决了加密协议和图形协议等无法通过协议还原进行审计的问题。

    2、堡垒机三权分立

    在实际使用场景中堡垒机的使用人员通常可分为管理人员、运维操作人员、审计人员三类用户
    在这里插入图片描述

    • 管理员:管理员最重要的职责是根据相应的安全策略和运维人员应有的操作权限来配置堡垒机的安全策略。堡垒机管理员登录堡垒机后,在堡垒机内部,“策略管理”组件负责与管理员进行交互,并将管理员输入的安全策略存储到堡垒机内部的策略配置库中。
    • 运维人员:运维人员的操作行为通过“策略管理”组件的核查之后“应用代理”组件则代替运维人员连接目标设备完成相应操作,并将操作返回结果返回给对应的运维操作人员;同时此次操作过程被提交给堡垒机内部的“审计模块”,然后此次操作过程被记录到审计日志数据库中。
    • 审计员:最后当需要调查运维人员的历史操作记录时,由审计员登录堡垒机进行查询,然后“审计模块”从审计日志数据库中读取相应日志记录并展示在审计员交互界面上。

    “应用代理”组件是堡垒机的核心,负责中转运维操作用户的操作并与堡垒机内部其他组件进行交互。“应用代理”组件收到运维人员的操作请求后调用“策略管理”组件对该操作行为进行核查,核查依据便是管理员已经配置好的策略配置库,如此次操作不符合安全策略“应用代理”组件将拒绝该操作行为的执行。

    谈前置机

    有些企业的网络拓朴会存在前置机,如下图:
    在这里插入图片描述
    前置机这个概念一般在银行、券商、电信运营商那里用的比较多。这些地方都有很多后台核心处理系统,对外提供各种接口服务。如果我有某种业务接口需要跟他们的后台系统打交道,要从我们的外部网络访问他们的后台系统,这些单位是绝对不允许的。这个时候,他们要求你或者他们自己开发一个软件,运行在他们的内网,然后通过专线或硬件隔离技术将运行这个软件的计算机连接到你的外网系统上,那么运行这个软件的计算机,从功能上称呼为前置机

    前置机作用:

    1. 从网络和安全角度来看,它有隔离主机的作用(一种放在内网以外,分离内网外网的应用)保证外部的应用不能直接访问核心服务,比如银行的各类外部接口(电信代收费、银证通);
    2. 从业务角度来看,前置机提供了业务渠道与核心服务的主机交流的一个桥梁。它一般起着管理和调度业务渠道发起的交易的作用,经过前置机的调用可以减轻核心后台服务器的负担,当然了它也有非核心业务的处理功能。

    C/S概念中C和S是相对而言的,虽然多数是固定的,但是也是视指定而言。譬如银行的业务应用中,请求的发出就不可以是从后端应用服务器而来。以代理收费的例子来看,前置机就是一个应用网关。实际上在现在的应用中,由于有了前置机的存在,主机变得不可见。政务内外网两端的业务系统需要数据交换,在各自业务系统前布置前置机,实现数据交换。

    入侵检测

    IDS(intrusion detection system)入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。我们做一个比喻——假如防火墙是一幢大厦的门锁,那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。

    专业上讲IDS就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。与防火墙不同的是,IDS入侵检测系统是一个旁路监听设备,没有也不需要跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署的唯一要求就是:IDS应当挂接在所有所关注流量都必须流经的链路上

    IDS的接入方式:并行接入(并联)。IDS在交换式网络中的位置一般选择为:尽可能靠近攻击源,尽可能靠近受保护资源。这些位置通常是:

    1. 服务器区域的交换机上;
    2. 边界路由器的相邻交换机上;
    3. 重点保护网段的局域网交换机上。

    入侵检测系统功能

    1. 监测并分析用户和系统的活动;
    2. 核查系统配置和漏洞;
    3. 对操作系统进行日志管理,并识别违反安全策略的用户活动;
    4. 针对已发现的攻击行为作出适当的反应,如告警、中止进程等。

    IDS的组成

    在这里插入图片描述

    组成结构 作用
    事件产生器 从整个计算环境中获得事件,并向系统的其他部分提供此事件
    事件分析器 分析数据,发现危险、异常事件,通知响应单元
    响应单元 对分析结果作出反应
    事件数据库 存放各种中间和最终数据

    IDS的流程

    在这里插入图片描述

    IDS的分类

    入侵检测系统的分类

    分类标准 具体包含
    按入侵检测形态 硬件入侵检测;软件入侵检测
    按目标系统的类型 网络入侵检测;主机入侵检测
    按入侵检测技术分类 误用检测技术;异常检测技术

    入侵检测技术的分类

    误用检测技术 异常检测技术
    特点 建立入侵行为模型(攻击特征);假设可以识别和表示所有可能的特征;基于系统和基于用户的误用 设定“正常”的行为模式;假设所有的入侵行为是异常的;基于系统和基于用户的异常
    优点 准确率高;算法简单 可检测未知攻击;自适应、自学习能力
    关键 要识别所有的攻击特征,就要建立完备的特征库;特征库要不断更新;无法检测新的入侵 正常”行为特征的选择;统计算法、统计点的选择

    IDS的两种部署方式

    1、基于网络的IDS
    在这里插入图片描述2、基于主机的IDS
    在这里插入图片描述入侵检测系统的局限性

    1. 对用户知识要求较高,配置、操作和管理使用较为复杂;
    2. 网络发展迅速,对入侵检测系统的处理性能要求越来越高,现有技术难以满足实际需要
    3. 高虚警率,用户处理的负担重;
    4. 由于警告信息记录的不完整,许多警告信息可能无法与入侵行为相关联,难以得到有用的结果;
    5. 在应对对自身的攻击时,对其他数据的检测也可能会被抑制或受到影响。

    入侵防御

    IPS(Intrusion Prevention System):入侵防御系统。随着网络攻击技术的不断提高和网络安全漏洞的不断发现,传统防火墙技术加传统IDS的技术,已经无法应对一些安全威胁。在这种情况下,IPS技术应运而生,IPS技术可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。对于部署在数据转发路径上的IPS,可以根据预先设定的安全策略,对流经的每个报文进行深度检测(协议分析跟踪、特征匹配、流量统计分析、事件关联分析等),如果一旦发现隐藏于其中的网络攻击,可以根据该攻击的威胁级别立即采取抵御措施,这些措施包括(按照处理力度)向管理中心告警、丢弃该报文、切断此次应用会话、切断此次TCP连接。

    进行了以上分析以后,我们可以得出结论:在办公网中至少需要在以下区域部署IPS:即办公网与外部网络的连接部位(入口/出口)、重要服务器集群前端、办公网内部接入层。至于其它区域,可以根据实际情况与重要程度,酌情部署。目前,下一代防火墙也集成了IPS的功能。但是IPS仍然是不可代替的。
    在这里插入图片描述

    IPS接入方式 工作机制 IPS的不足
    串行接入(串联) 检测+阻断 单点故障、性能瓶颈、误报

    IPS的定位

    在这里插入图片描述在这里插入图片描述在这里插入图片描述

    IPS的原理

    在这里插入图片描述

    IPS的部署

    在这里插入图片描述

    展开全文
  • 第三章——典型企业网络架构 总结

    千次阅读 2018-07-10 00:42:32
    【本文根据《计算机网络(第二版)》进行考点总结】第三章*3.1Q:企业网络架构要点?答:1.总部和分部通过运营商连接2.企业总部采用层次化网络模型3.企业分部采用扁平化结构4.边缘区:边界路由器+防火墙5.内部应用和...

    【本文根据《计算机网络(第二版)》进行考点总结】

    第三章

    *3.1

    Q:企业网络架构要点?

    答:

    1.总部和分部通过运营商连接

    2.企业总部采用层次化网络模型

    3.企业分部采用扁平化结构

    4.边缘区:边界路由器+防火墙

    5.内部应用和外部访问隔离

     

    **3.2

    导引型媒介

    Q:什么是双绞线?【P35】

    答:由两根绝缘铜导线按螺旋状缠绕在一起。一对双绞线形成一条通信链路。

         特点:(1)带宽取决于线的粗细和绞的密度

                    (2)可传输模拟信号,也可传输数字信号

                    (3)线间干扰较小,价格便宜,易于安装

          应用:(1)连接电话机和电话端局,传输模拟信号,可以传输几公里;

                    (2)用于组建计算机局域网:

                            3类双绞线:支持10Mbps,传输100m;

                            5类双绞线:支持100Mbps,传输100m,是目前高速局域网连网的主要方式;

                            超5类双绞线:支持1000Mbps。

     

    Q:什么是光纤?【P36】

    答:由具有不同折射系数的两种石英玻璃纤维,外加保护层构成的。

           特点:带宽远高于铜线,衰减远小于铜线,不受电磁干扰,重量轻,安全性高,易维护保养但成本高。

     

    **3.3

    Q:集线器功能及其特点?【P40】

    答:功能:在网段之间复制比特流,信号整形和放大。通过其端口实现网络连接。

            其本质上是多端口的中继器。

            特点:

                1)不进行存储——信号延迟小;

                2)不检查错误——会扩散错误;

                3)不对信息进行任何过滤;

                4)可进行介质转换——如UTP转换为光纤;

                5)用集线器连接的多个网段是一个冲突域——被交换机取代,现已较少使用;

                6)可改变网络物理拓扑形式:总线连接→星形连接。

            工作层次:集线器工作在OSI的第一层,连接在集线器上的多个网络上的所有主机即属于同一个冲突域,又属于同一个广播域。集线器会导致网络中的拥塞增加,降低网络带宽的使用率。

     

    Q:交换机功能及其特点?【P41】

    答:功能:它分析收到的帧,根据目的MAC地址将信息发往目的地。

            从本质上来说,是个快速网桥。

            特点:

                1)   交换机是OSI模型的第二层设备;

                2)   交换机根据进入端口数据帧的MAC地址来过滤、转发或扩散该数据帧;

                3)   建立并维护交换表(端口-MAC映射);

                4)   端口独享带宽,隔离冲突域;

                5)   LAN主要交换设备,作为星型拓扑结构的终端集中点。

            工作层次:交换机工作在OSI第二层,数据链路层,互联的多个网络仍然属于同一个,也就是说属于同一个广播域。

     

    Q:路由器功能及其特点?【P41】

    答:路由器属于网络层的互联设备,用于连接多个逻辑上分开的网络(拥有独立网址的网络)。

           功能:

                1)   网络互联;

                2)   路由选择;

                3)   分组转发;

                4)   子网隔离,分隔广播域;

                5)   拆分和包装数据包;

                6)   拥塞控制与网络管理。

            工作层次:路由器工作在OSI的第三层,用来分割广播域,路由器的每个端口连接的网络就是一个单独的广播域。

     

    【相关概念】

           冲突域(物理分段):连接在同一导线上的所有工作站的集合,或者说是同一物理网段上所有节点的集合或以太网上竞争同一带宽的节点集合。

           广播域:接收同样广播消息的节点的集合。广播域被认为是OSI中的第二层概念,所以像Hub,交换机等第一,第二层设备连接的节点被认为都是在同一个广播域。

    展开全文
  • 企业网络架构案例

    千次阅读 2018-08-13 21:56:33
    企业需要对外提供web服务,对内提供PXE装机、dhcp、dns、nfs、远程管理等服务。 二.项目要求: (一)部署管理服务器ADM: 1.部署PXE+kickstart自动化装机,只为服务器区提供自动装机。 2.部署...
  • 1、中小企业网络架构-网络架构概述

    千次阅读 2020-01-19 09:39:14
    网络拓扑: 需求分析: 1、使用合理的IP子网划分,保证合理性与可扩展性、汇总性、控制性 2、保证冗余性,包括链路冗余与设备冗余 3、安全性,保护重要的部门,除了特定人员可以访问外,其余部门不允许访问,...
  • 中小型企业网络架构(一)

    千次阅读 2020-10-28 20:20:46
    #中小型企业网络架构拓步图(第一部分)** 注:本人是初学者,欢迎各位大佬指教。 完全体 第一部分制作要求: 需求分析: 1:需要创建6个VLAN局域网; 2:IP地址设定无误; 3:需配置DHCP服务器; 4:需配置VRRP,...
  • 一般来讲,中小型企业都缺少专职的IT网络架构和IT服务人员,很多企业都会选择把这些服务外包出去,达到...通常情况下,对于不到十台左右电脑的企业网络而言,工作组网络是最经济的选择。虽然您企业显然不能像在域网...
  • 一分钟搞懂中小型企业网络架构

    千次阅读 多人点赞 2020-03-14 11:33:02
    江湖规矩先来说说项目背景: 1. 某公司有100台电脑(其实200...网络拓扑: 拓扑说明: 1. 拓扑里我用Cisco 2811充当防火墙,实属无奈,这个版本PT模拟器里ASA没有NAT功能,实际项目中我们肯定使用专业防火墙设备...
  • 中小型企业网络架构拓扑图搭建过程

    万次阅读 多人点赞 2020-04-04 11:44:27
    创建地址池 租约: 50% 发的是单播 默认3天,剩余1.5,发一个更新租约 的request报文,续约后变为1.5+3=4.5 87.5% 发的广播,发给网络中的所有DHCP服务器一个光 的request报文 SW1 u t m system-view sys SW1 dhcp ...
  • 1.HCNA-HNTD——企业网络架构介绍

    千次阅读 2015-02-20 21:21:59
    最初,企业网络是指某个组织或机构的网络互联系统。企业使用该互联 系统主要用于共享打印机、文件服务器等,使用email实现用户间的高效 协同工作。现在,企业网络已经广泛应用在各行各业中,包括小型办公 室、教育、政府...
  • 华为 华三中小型企业网络架构搭建

    千次阅读 2016-08-13 14:42:52
    说明某公司的网络架构,这样的架构在目前的网络中是在常见的,假设您接收一个这样的网络,应该如何部署,该实战系列,就是一步一步讲解,如何规划、设计、部署这样一个环境,这里会针对不同的情况给出不同的讲解,...
  • 企业基础网络架构规划及配置实施一、网络规划出口地址段:202.1.1.0/24路由器出口:202.1.1.1/24ISP网关:202.1.1.2/24互联地址段 192.168.90.0/24路由器:192.168.90.1/24核心交换机:192.168.90.2/24管理地址段:192....
  • 华为ensp大型企业网络架构速成1

    千次阅读 2016-03-05 00:43:31
    PC1、PC2、PC3、PC4之间可以互相通信,SW1、SW2、R1三台设备之间可以互相telnet远程管理拓扑图:实验步骤:1、 配置PC1、PC2、SW1之间的网络配置PC1、PC2的IP地址:配置SW1的IP地址、网关:<Hu...
  • 网络拓扑: 配置思路: 配置下联接口;配置上联接口;配置端口区域;配置域间策略;配置静态路由;配置NAT 操作步骤: 一、防火墙 1、配置下联接口 <usg>system-view [usg]sysname FW1 [FW1]...
  • 2、中小企业网络架构-IP和vlan规划

    千次阅读 2020-01-21 09:02:11
    网络拓扑: 一、vlan划分 名称 VLAN ID 财务部门 2 普工员工 3 AP设备管理IP 4 SW1<---->AC1 5 SW2<---->FW1 6 SW1<---->FW1 7 交换机管理IP 8 ...
  • 企业网络基本架构

    2019-08-21 15:13:59
    **企业网络基本架构** 企业网络已经广泛应用在各行各业中,包括小型办公室、教育、政府和银行等行业或机构。 企业网络组网络不受地域限制,可以通过各种远程... · 企业网络架构很大程度上取决于企业或机构的业...
  • 微软推荐的中小企业网络结构

    千次阅读 2006-01-03 00:16:00
    企业的,比较适合我单位http://www.microsoft.com/china/technet/itsolutions/smbiz/sitsol/default.mspx中型企业的,http://www.microsoft.com/china/technet/itsolutions/smbiz/mits/default.mspx
  • 1. 企业网络架构

    万次阅读 2020-06-10 00:54:33
    网络的定义; 四要素; 根据范围进行分类; 根据使用的对象进行分类; 企业业务的发展; 企业网络企业网络远程互联; 路由器型号; 交换机型号; 企业网络基本架构; 衡量网络的优劣。
  • 企业网络架构介绍 企业网络有很多种,像公司网络、教育网络、政府网络以及金融网络,不同场景下对网络的要求也有所不同 企业网络分类 企业网络 ​ 特点:比较注重成本 教育网络 ​ 特点:市、省教育局连接 ...
  • 企业网络架构介绍

    千次阅读 2019-07-02 01:49:43
    企业网网络架构介绍 前言 企业的业务总是在不断地发展,对网络的需求也是在不断地变化,这就要求企业网络应该具备适应这种需求不断变化的能力。因此,我们了解企业网络的架构是如何适应业务的需求将变得十分必要。...
  • 企业网络架构

    万次阅读 2018-07-12 17:01:04
    此网络使用了一个三层的网络架构,包括核心层,汇聚层,接入层。将网络分为三层架构有诸多优点:每一层都有各自独立而特定的功能;使用模块化的设计,便于定位错误,简化网络拓展和维护;可以隔离一个区域的拓扑变化...
  • 网络架构

    千次阅读 2018-03-27 08:32:41
    第一章 一、企业网络架构介绍 1.什么是网络? 网络不只是设备,还有传输介质,两个一起搭建起来才叫网络。 2.小型网络和大型网络有哪些区别? 小型网络通常采用扁平状结构,扩展能力不行,为了以后的发展应...
  • HCNA学习笔记(一)企业网络基本架构简述

    万次阅读 多人点赞 2017-03-29 22:56:40
    企业网络基本架构 1.小型企业网:用户终端--交换机--出口路由器--WAN(wide area network)广域网; 2.一般企业网:三层精简模型,分层有利于网络的扩展和管理。 1)接入层:第1层,此层设备主要为接入层交换机,用...
  • 小型企业网络拓扑结构设计

    万次阅读 多人点赞 2019-01-08 16:52:39
    小型企业网络拓扑结构设计 一、设计目的 企业局域网的最终目标是建设整个单位的互联、统一、高效、实用、安全的局域网络,近期可支持上百个,远期至少可支持上午个并发用户,提供广泛的资源共享(包括硬件、软件和...
  • 中小型企业内部网络架构

    千次阅读 2018-01-18 20:44:44
    搭建拓扑,最后保证全网互通,用客户端“Client1"成功访问”Server1“其中:Server1为WEB服务器,server2为DNS服务器,属于VLAN30,网关在SW4上,PC1和3属于VLAN10,PC2属于VLAN20,PC4,5和客户端属于VLAN40,SW1上...
  • 企业架构

    2017-11-14 16:10:23
    企业架构是对真实世界企业的业务流程和IT设施的抽象描述,包括企业战略、组织、职能、业务流程、IT系统、数据、网络部署等的完整、一体化描述。 企业架构反映了企业业务的状况,并体现了业务与IT的映射关系,能明确...
  • 架构企业网络服务器 【实验环境】 Windows server 2012(边界服务器,有两张网卡,左网卡直连Internet,右网卡直连内部局域网) Windows 7(处于Internet中的客户机) 【实验内容及步骤】 (1)IP地址分配 客户...
  • 基于eNSP的模拟企业网络架构

    万次阅读 多人点赞 2018-07-13 17:08:12
    总体的架构图如下所示 首先我们给每个PC机器去设置IP地址 然后去设置交换机LSW1,交换机要设置IP的话我们需要去划分vlan10、vlan20 ,然后再去设置每个端口的连接,下面去连接了PC机器的access端口和...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 410,656
精华内容 164,262
关键字:

企业网络架构