精华内容
下载资源
问答
  • 具有路径选择功能的网络设备
    千次阅读 多人点赞
    2020-10-20 01:50:39

    1. WAF:Web应用防火墙 —应用层的攻击防护
    2. IDS:入侵检测系统 —
    3. IPS:入侵防御系统
    4. SOC:安全运营中心
    5. SIEM:信息安全事件管理
    6. Vulnerability Scanner:漏洞扫描器
    7. UTM:统一威胁管理
    8. 抗DDOS产品
    9. FireWall:防火墙—上网行为管理软件,主机安全
    10. VPN:虚拟专用网络
    11. DBAudit:数据库审计
    一、 WAF 应用防火墙

    范围:应用层防护软件
    作用
    通过特征提取和分块检索技术进行模式匹配来达到过滤,分析,校验网络请求包的目的,在保证正常网络应用功能的同时,隔绝或者阻断无效或者非法的攻击请求
    可防:(源自应用程序的安全漏洞)
    SQL注入漏洞,跨站脚本XSS,文件包含和安全配置错误等漏洞
    特点
    区别与传统防火墙,可以防护特定的应用程序,传统防火墙只能在服务器之间作用
    缺点
    1) 特定的防护手段可以被绕过或者无效化,必须同攻击手段一起升级进步,否则将失去效用。
    2) 需要和入侵检测系统等安全设备联合使用,且防护程度和网络的性能成反相关。

    二、IDS 入侵检测系统:

    范围:网络层防护软件
    作用:(识别攻击行为并且报警)
    积极主动的防护措施,按照一定的安全策略,通过软件,硬件对网络,系统的运行进行实时的监控,尽可能地发现网络攻击行为,积极主动的处理攻击,保证网络资源的机密性,完整性和可用性。
    特点
    1) 是一个积极主动的监听设备。
    2) 无需有流量经过,可以实时镜像流量过去给它分析监控就好。
    3) 不影响网络的性能。
    4) 部署位置尽可能靠近攻击源或者受保护资源(服务器区域交换机,互联网接入路由后第一个交换机,重点保护源交换机)
    缺点
    1) 误报率高
    2) 没有主动防御能力,仅仅是监控或者少量的反制能力
    3) 不能解析加密的数据流

    三、IPS 入侵防御系统(入侵检测+入侵防御)

    范围
    作用:(实时监控网络行为,中断或者调整隔离网络非法行为,比IDS具有防御能力)
    是计算机网络安全设施,是对防病毒软件和防火墙的补充。入侵预防系统是一部能够监视网络或网络设备的网络数据传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络数据传输行为。
    必要性
    传统防火墙作用在2-4层,对4层以上的防护作用很小(4层以上需要拆数据包,而拆数据包会影响速率),病毒软件工作在5-7层,这样中间4-5层属于空挡,所以IPS是作为病毒软件和防火墙的补充,作用在4-5层
    特点
    比IDS不仅可以防护还具有了反制,组织攻击的能力,防攻兼备
    缺点
    IPS的防护方式一般以阻断受保护源和外界的联系为主,这样带来的一个弊端就是,网络资源被保护了,但是同时该网络资源的对外提供的服务也被阻断了或者削弱了,这就导致了一种敌我两伤的局面,而有些服务一旦停止,对运营者来说将是一笔不小的损失。

    四、SOC 安全运营中心

    作用:(不是一个防护产品,而是一个防护系统)
    SOC,全称是Security Operations Center,是一个以IT资产为基础,以业务信息系统为核心,以客户体验为指引,从监控、审计、风险和运维四个维度建立起来的一套可度量的统一业务支撑平台,使得各种用户能够对业务信息系统进行可用性与性能的监控、配置与事件的分析审计预警、风险与态势的度量与评估、安全运维流程的标准化、例行化和常态化,最终实现业务信息系统的持续安全运营
    特点
    既有产品又有服务,需要运营,流程以及人工的有机结合,是一个综合的技术支持平台。他将安全看成一个动态的过程(敌人的攻击手段在变,漏洞在更新,我方的防火手段,业务产品,人员调度等都在变动,没有一个系统可以一劳永逸的抵御所有攻击,只有“魔”,“道”维持一个相对的平衡才是安全)态势感知的根基就是安全运营中心
    态势感知
    态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地。

    态势感知特点:(大数据成为态势感知的主要驱动力,足够的数据分析)
    检测:提供网络安全持续监控能力,及时发现各种攻击威胁与异常,特别是针对性攻击。
    分析、响应:建立威胁可视化及分析能力,对威胁的影响范围、攻击路径、目的、手段进行快速研判,目的是有效的安全决策和响应。
    预测、预防:建立风险通报和威胁预警机制,全面掌握攻击者目的、技战术、攻击工具等信息。
    防御:利用掌握的攻击者相关目的、技战术、攻击工具等情报,完善防御体系。

    五、SIEM 信息安全和事件管理

    SIEM=SEM+SIM
    SEM(安全事件管理)
    SIM(安全信息管理)
    SIEM软件能给企业安全人员提供其IT环境中所发生活动的洞见和轨迹记录
    SIEM技术最早是从日志管理发展起来的。它将安全事件管理(SEM)——实时分析日志和事件数据以提供威胁监视、事件关联和事件响应,与安全信息管理(SIM)——收集、分析并报告日志数据,结合了起来。(从各种安全设备,主机日志等收集数据,然后分析这些数据)
    SIEM目前被视为是SOC安全运营中心的基础(大数据—SIEM审计分析—驱动安全运营中心)
    缺点
    对数据的检测并非完全准确,存在大量的误报,需要高质量的大量数据支持

    六、Vulnerability Scanner漏洞扫描器

    作用
    检查计算机或者网络上可能存在的漏洞点,脆弱点等。它是一类自动检测本地或远程主机安全弱点的程序,能够快速的准确的发现扫描目标存在的漏洞并提供给使用者扫描结果。
    原理
    根据漏洞库,发送数据包检测目标是否具有漏洞库中的漏洞,通过对方的反馈来判断漏洞,系统,端口和服务等等
    意义
    提前发现漏洞,预先修复,减少漏洞造成的损失
    分类
    端口扫描器(Port scanner )
    例如Nmap
    网络漏洞扫描器(Network vulnerability scanner )
    例如Nessus, Qualys, SAINT, OpenVAS, INFRA Security Scanner, Nexpose
    Web应用安全扫描器(Web application security scanner)
    例如Nikto, Qualys, Sucuri, High-Tech Bridge, Burp Suite, OWASP ZAP, w3af。
    数据库安全扫描器(atabase security scanner)
    基于主机的漏洞扫描器(Host based vulnerability scanner )
    例如Lynis
    ERP安全扫描器(ERP security scanner)
    单一漏洞测试(Single vulnerability tests)

    七、UTM 统一威胁管理

    定义
    统一威胁管理(UTM,Unified Threat Management),顾名思义,就是在单个硬件或软件上,提供多种安全功能。这跟传统的安全设备不同,传统的安全设备一般只解决一种问题。
    包含的功能:(待完善)
    1)网络防火墙(Network Firewall)
    2)入侵检测(Intrusion Detection)
    3)入侵预防(Intrusion Prevention)
    优势
    1) 统一的威胁管理,可以集中做安全防护,不需要拥有很多单一的安全设备,不需要每种设备都去考虑
    2) 大大简化了安装,配置和维护的成本
    3) 节省了网络资源的同时也节省了人力物力财力时间
    缺点
    1) 单点故障问题:UTM设备一旦失效,整个网络或者系统的防护清零
    2) 违背了纵深防御原则,对外防御有奇效,但是对内没有太大用武之地

    八、DDOS防护

    DOS拒绝服务攻击
    DDOS分布式拒绝服务攻击:消耗带宽,消耗资源
    通过大量的合法请求消耗或者占用目标的网络资源,使之不能正常工作或者瘫痪
    防护手段
    1) 入侵检测
    2) 流量过滤
    3) 多重验证
    常见
    1)扩大带宽
    2)流量清洗或者封ip
    CDN
    CDN的全称是Content Delivery Network,即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。CDN的关键技术主要有内容存储和分发技术。

    九、FireWall 防火墙

    作用
    防火墙是位于两个(或多个)网络间,实行网络间访问或控制的一组组件集合之硬件或软件。隔离网络,制定出不同区域之间的访问控制策略来控制不同信任程度区域间传送的数据流。
    类型
    1)网络层(数据包过滤型)防火墙
    2)应用层防火墙
    3)代理服务防火墙
    局限性
    防火墙是根据合法网址和服务端口过滤数据包的,但是对合法的但是具有破坏性的数据包没有防护效能。防火墙必须部署在流量的必经之路上,防火墙的效能会影响网络的效能。

    十、VPN 虚拟专用网络

    是一种常用于连接中、大型企业或团体与团体间的私人网络的通讯方法。(使不安全的网络可以发送安全的消息,采用加密的虚拟通道协议工作,加密方式可控可协商)
    采用加密手段实现消息的安全传输

    十一、 上网行为管理

    上网行为管理,就是通过软件或硬件,控制用户访问网络的权限。功能包括行为管理、应用控制、流量管控、信息管控、非法热点管控、行为分析、无线网络管理等。

    十二、 云安全技术/主机安全

    云安全
    “云安全(Cloud Security)”技术是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到服务器端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
    主机安全
    主机安全(Cloud Workload Protection,CWP)基于海量威胁数据,利用机器学习为用户提供黑客入侵检测和漏洞风险预警等安全防护服务,主要包括密码破解拦截、异常登录提醒、木马文件查杀、高危漏洞检测等安全功能,解决当前服务器面临的主要网络安全风险,帮助企业构建服务器安全防护体系,防止数据泄露。

    十三、 DBAudit 数据库审计

    数据库审计服务,是为了保证单位或者个人核心数据的安全,可针对数据库SQL注入、风险操作等数据库风险操作行为进行记录与告警。
    功能:
    1)用户行为发现审计
    2)多维度线索分析
    3)异常操作、SQL注入、黑白名单实时告警
    4)针对各种异常行为的精细化报表

    参考

    网络安全设备概念的熟悉和学习.


    by 久违 2020.10.20 凌晨1.49
    整理下来方便以后查阅,后期有时间会进一步完善,设想各个现阶段防护设备都能和SDN结合一下,后面会整理这方面的论文。

    更多相关内容
  • 单靠一种或几种安全设备就想保护整个网络是不可能的事情。因此,为了满足不同防护需求的安全设备应运而生。有的设备是为了严防非授权访问。有的设备是为了实时检测,拦截攻击行为。有的设备是为了自查自审,发现自身...

    随着网络技术发展,网络威胁无孔不入,网络攻击手段呈现复杂性及多变性的趋势。要建立防御体系应从通信网络、网络边界、局域网络内部、各种业务应用平台等各个层次落实各种安全措施,形成纵深防御体系。单靠一种或几种安全设备就想保护整个网络是不可能的事情。因此,为了满足不同防护需求的安全设备应运而生。有的设备是为了严防非授权访问。有的设备是为了实时检测,拦截攻击行为。有的设备是为了自查自审,发现自身存在的问题。每一种安全设备分工都不同,设备缺失肯定会使防御体系失效造成安全隐患。

    本文介绍常用的安全设备及其能力

    网络安全审计

    网络安全审计通过对网络数据的采集、分析、识别,实时动态监测通信内容、网络行为和网络流量,发现和捕获各种敏感信息、违规行为,实时报警响应,全面记录网络系统中的各种会话和事件,实现对网络信息的智能关联分析、评估及安全事件的准确定位,为整体网络安全策略的制定提供权威可靠的支持。

    • 内容审计
      可对网页内容、邮件、数据库操作、论坛、即时通讯等提供完整的文本、图片和音视频内容检测、信息还原功能;并可自定义关键字库,进行细粒度的审计追踪。
    • 行为审计
      根据设定的行为审计策略,对网站访问、邮件收发、数据库访问、远程终端访问、文件上传下载、即时通讯、论坛、移动应用、在线视频、P2P 下载、网络游戏等网络应用行为进行监测,对符合行为策略的事件实时告警并记录。
    • 流量审计
      支持基于智能协议识别的流量分析功能;实时统计出当前网络中的各种协议流量,进行综合流量分析,提供详细的流量报表;可以统计指定协议流量的IP TOP N,为流量管理策略的制定提供可靠支持。

    漏洞扫描

    通过漏洞扫描全面发现信息系统存在的安全漏洞、安全配置问题、应用系统安全漏洞,检查系统存在的弱口令,收集系统不必要开放的账号、服务、端口,形成整体安全风险报告。

    • 全面系统脆弱性发现
      能够全方位检测系统存在的脆弱性,发现信息系统存在的安全漏洞、安全配置问题、应用系统安全漏洞,检查系统存在的弱口令,收集系统不必要开放的账号、服务、端口,形成整体安全风险报告,帮助安全管理人员先于攻击者发现安全问题,及时进行修补。
    • 风险统一分析
      支持全方位的安全漏洞、安全配置、应用系统安全漏洞扫描,通过安全风险计算方法,对网络系统中多个方面的安全脆弱性统一进行分析和风险评估,给出总体安全状态评价,全面掌握信息系统安全风险。
    • 识别非标准端口
      应用先进的非标准端口识别技术、以及丰富的协议指纹库,能够快速准确的识别非标准端口上的应用服务类型,并进一步进行漏洞检测,避免扫描过程中的漏报和误报。
    • 漏洞、配置知识库
      依托安全知识库,涵盖所有主流基础系统、应用系统、网络设备等网元对象,提供系统
      的配置检查库,提供专业安全厂商的加固修补建议,以及多个行业的安全配置检查标准。

    Web漏洞扫描

    定位于Web 脆弱性评估,实现全面Web 应用安全检测。帮助用户全面发现Web 漏洞,准确掌控网站风险,深度跟踪漏洞态势,提升快速响应能力。

    • 漏洞扫描及验证
      支持系统漏洞扫描以及Web 漏洞扫描,支持Web 应用漏洞分类,全面覆盖OWASP TOP10 应用风险,高中危漏洞专家级验证。
    • 网站挂马及黑链检测
      依托沙箱检测技术,识别网站页面中的恶意代码,对潜藏在用户网页中的黄赌毒私服等广告黑链进行周期性检测,并将挂马及黑链情况及时邮件提醒。
    • 网站篡改检测
      依托相似度对比技术,识别网页变更状态,并通知用户。
    • 网页敏感内容检测
      依托于敏感内容词库,识别网页中的敏感内容,并邮件提醒。
    • 可用性检测及 DNS 解析检测
      依托多个检测节点,多条检测线路,识别网站运营是否稳定的问题,并邮件提醒。

    堡垒机

    针对云主机、云数据库、网络设备等的运维权限、运维行为进行管理和审计。主要解决云上IT运维过程中操作系统账号复用、数据泄露、运维权限混乱、运维过程不透明等难题。

    • 登录功能
      支持对X11、linux、unix、数据库、网络设备、安全设备等一系列授权账号进行密码的自动化周期更改,简化密码管理,让使用者无需记忆众多系统密码,即可实现自动登录目标设备,便捷安全。
    • 账号管理
      支持统一账户管理策略,能够实现对所有服务器、网络设备、安全设备等账号进行集中管理,完成对账号整个生命周期的监控,并且可以对设备进行特殊角色设置如:审计巡检员、运维操作员、设备管理员等自定义设置,以满足审计需求。
    • 身份认证
      提供统一的认证接口,对用户进行认证,支持身份认证模式包括动态口令、静态密码、硬件key、生物特征等多种认证方式,设备具有灵活的定制接口,可以与其他第三方认证服务器之间结合;安全的认证模式,有效提高认证的安全性和可靠性。
    • 资源授权
      提供基于用户、目标设备、时间、协议类型IP、行为等要素实现细粒度的操作授权,最大限度保护用户资源的安全。
    • 访问控制
      支持对不同用户进行不同策略的制定,细粒度的访问控制能够最大限度的保护用户资源的安全,严防非法、越权访问事件的发生。
    • 操作审计
      能够对字符串、图形、文件传输、数据库等全程操作行为审计;通过设备录像方式实时监控运维人员对操作系统、安全设备、网络设备、数据库等进行的各种操作,对违规行为进行事中控制。对终端指令信息能够进行精确搜索,进行录像精确定位。

    日志审计

    日志审计是针对大量分散设备的异构日志进行高效采集、统一管理、集中存储、统计分析,可协助企业满足等保合规要求、高效统一管理资产日志并为安全事件的事后取证据供依据。

    • 安全日志源管理
      按照需要接入的日志源数量进行服务,提供多种日志接入方式,支持主动、被动采集。
    • 日志采集
      提供全面的日志采集能力:支持第三方安全设备、网络设备、数据库、windows/linux主机日志、web 服务器日志、虚拟化平台日志以及自定义等日志;提供强大的数据源管理功能:支持数据源的信息展示与管理、采集器的信息展示与管理以及agent 的信息展示与管理;提供分布式外置采集器、Agent 等多种日志采集方式;支持IPv4、IPv6 日志采集、分析以及检索查询。
    • 日志存储
      提供原始日志、范式化日志的存储,可自定义存储周期。
    • 日志检索
      提供丰富灵活的日志查询方式,支持全文.key-value、多kv布尔组合、括弧、正则、模糊等检索;提供便捷的日志检索操作,支持保存检索、从已保存的检索导入见多条件等。
    • 报表管理
      支持丰富的内置报表以及灵活的自定义报表模式,支持编辑报表的目录接口、引用统计项、设置报表标题、展示页眉和页码、报表配置基本内容(名称、描述等);支持实时报表、定时报表、周期性任务报表等方式;支持html、pdf、word 格式的报表文件以及报表logo
      的灵活配置。
    • 日志分析
      支持对各类应用系统产生的各类日志的分析功能。

    数据库审计

    数据库审计能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断。通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强内外
    部数据库网络行为记录,提高数据资产安全。

    • 实时告警
      风险操作:支持通过操作类型、操作对象、风险等级等多种元素细粒度定义要求监控的风险操作行为。
      SQL 注入:数据库安全审计提供SQL 注入库,可以基于SQL 命令特征或风险等级,发现数据库异常行为立即告警。
      系统资源:当系统资源(CPU、内存和磁盘)占用率达到设置的告警阈值时立即告警。
    • 多维度线索分析
      行为线索:支持审计时长、语句总量、风险总量、风险分布、会话统计、SQL 分布等多维度的快速分析。
      会话线索:支持根据时间、数据库用户、客户端等多角度进行分析。
      语句线索:提供时间、风险等级、数据用户、客户端IP、数据库IP、操作类型、规则等多种语句搜索条件。
    • 用户行为发现审计
      关联应用层和数据库层的访问操作:提供内置或自定义隐私数据保护规则,防止审计日志中的隐私数据(例如,账号密码)在控制台上以明文显示。
    • 精细化报表
      会话行为:提供客户端和数据库用户会话分析报表。
      风险操作:提供风险分布情况分析报表。
      合规报表:提供满足数据安全标准(例如Sarbanes-Oxley)的合规报告。

    网页防篡改

    网页防篡改是针对网站篡改攻击的防护,通过文件底层驱动技术对Web站点目录提供全方位的保护,为防止黑客、病毒等对目录中的网页、电子文档、图片、数据库等任何类型的文件进行非法篡改和破坏提供解决方案。

    • 篡改防护
      同时对多台网站服务器文件,对同一台服务器内的多个web server,对同一web server内的多个virtual host进行防篡改;异地(非网站目录)保留篡改后页面快照,支持网站篡改检测;保护防篡改内嵌模块和守护进程。
    • 防篡改分析
      支持页面文件/结构/元素的哈希(MD5)值篡改检测、图片相似性比较。
    • 攻击防护
      能够防止SQL 数据库注入式攻击;能够防止跨站脚本漏洞;能够防止网站盗链。
    • 发布备份
      支持内容发布;支持实时同步;支持手动同步;可按照条件(按时间戳前,后,区间;按子文件夹;按WEB 服务器);支持双机热备功能;实体间通信采用SSL 加密。
    • 日志告警
      保存系统日志;文件传输日志;支持篡改告警、SQL 注入告警、盗链告警,告警通知
      支持手机短信通知、邮件通知、管理界面警示框;可通过图形报表综合统计和分析。

    入侵检测系统

    入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全系统。根据预先设定的安全策略,它是一种积极主动的安全防护技术。

    • 敏感数据外发检测
      能够识别并检测特定格式文件的外发,同时能够检测出文件中包含的敏感数据,进行告
      警,保护企业敏感数据,防止敏感数据泄露造成的损失。
    • 客户端攻击检测
      增加针对主流客户端应用程序的攻击签名规则,如Word、Excel、PDF、Firefox 等,增强客户终端应用程序的安全检测能力。
    • 服务器非法外联检测
      通过服务器的自学习功能或手动设置服务器正常外联行为,建立合法连接,能够检测服务器异于该合法连接的非法外联行为,及时产生告警信息通知网络管理人员,从而检测是否存在跳转等攻击行为。
    • 僵尸网络检测
      基于实时的信誉机制,结合企业级和全球信誉库,可有效检测恶意URL、僵尸网络,保护用户在访问被植入木马等恶意代码的网站地址时不受侵害,有效检测Web 威胁,并能及时发现网络中可能出现的僵尸网络主机和C&C 连接。

    Web应用防火墙

    基于对Web 流量的解码和分析,可应对Web 应用中的各类攻击,如SQL 注入、XSS注入、跨站请求伪造攻击、Cookie 篡改以及应用层Web 攻击等,能有效解决网页挂马、敏感信息泄露等安全问题,充分保障Web应用安全。通过精细的配置将多种Web安全检测方法连结成一套完整的安全体系,能够在IPv4、IPv6 及二者混合环境中抵御OWASP Top 10等各类Web安全威胁,通过服务化方式快速交付,保卫Web 应用免遭当前和未来的安全威胁。

    • Web 应用攻击防护
      内置多种防护策略,可选择进行 SQL 注入、XSS 攻击、命令注入、非法HTTP 协议请求、常见Web 服务器漏洞攻击、扫描防护等。
    • Web 漏洞
      Web 服务器漏洞探测,Web 服务器漏洞扫描(模拟攻击,判断缺陷,自动配置对应规则),及时发现漏洞隐患。
    • 注入攻击防护
      SQL 注入防御、LDAP 注入防御、命令注入防护(OS 命令,webshell 等)、XPath 注入防御、Xml/Json 注入防御。
    • IP 访问控制
      支持对指定IP 的加白和恶意IP 的封禁。
    • URL 访问控制
      支持对URL 进行黑白名单控制。
    • 爬虫防护
      基于源IP 周期判断访问数,防护恶意访问。

    下一代防火墙

    下一代防火墙采用高度一体化的架构设计方案,将所有的安全特性纳入到一体化的安全引擎。将传统五元组访问控制与具有下一代防火墙特征能力有机地结合起来,提供一个全新的网络边界防护解决方案。

    • 应用、用户识别能力
      可识别大部分应用,并可辅助用户对这些应用进行高效管理和筛查,包括5 维度分类组织,基于特性查询应用、自定义特殊应用等。
    • 监控统计
      对设备数据进行统计,并以柱状图、折线图、表格、报表、日志等方式呈现出来,帮助用户通过统计数据掌握设备状况,排查问题。
    • 用户认证
      对用户进行识别,通过认证的用户可以访问对应的管理资源。
    • 访问控制
      划分安全区域和非安全区域,区域之间的访问基于安全策略进行控制。
    • 入侵防御
      实时监控多种网络攻击并根据配置对网络攻击进行阻断等操作。
    • 病毒过滤
      探测各种病毒威胁,例如恶意软件、恶意网站等,并且根据配置对发现的病毒进行处理。
    • DNS 重定向
      支持对某一域名重定向到另一域名的功能。
    • 页面访问控制
      针对不同用户的权限对页面的访问进行区别。
    • 带宽管理
      能够管理和优化网络带宽,提高用户的网络体验和带宽资源利用率。
    • 云沙箱
      基于云端架构的恶意软件虚拟运行环境,发现未知威胁,多重静态检测引擎快速过滤正常文件及已知威胁,提升沙箱检测效率。
    • 僵尸网络 C&C 防护
      监控 C&C 连接发现内网肉鸡,阻断僵尸网络/勒索软件等高级威胁进一步破坏。
    • IP 信誉库
      识别过滤各种已知风险 IP,根据配置对风险IP 进行记录或阻断处理。
    • 封账号
      支持对网络账户封停的功能。
    • 包过滤
      支持对网络中的数据包的区分和限制功能。
    • 授权管理
      集中管理功能授权并可进行不同种类授权的统一下发。
    • 传统防火墙功能特性
      兼容传统防火墙功能特性,包括访问控制、日志报表、会话管理等。

    入侵防护系统

    入侵防护系统是一个监视网络或网络设备的网络资料传输行为的系统,能够深入网络数据内部,即时中断、调整或隔离一些有害数据流。入侵防护系统可主动拦截黑客攻击、据虫、网络病毒、后门木马、DoS 等恶意流量,保护企业信息系统和网络架构免受侵害,防止操作
    系统和应用程序损坏或宕机。

    • 敏感数据保护
      提供敏感数据识别、数据安全审计、数据脱敏、智能异常检测等数据安全能力,形成一体化的数据安全解决方案。
    • 高级威胁防御
      高级威胁防御能够基于敏感数的外泄、文件识别、服务器非法外联等异常行为检测,实现内网的高级威胁防御功能。
    • 恶意文件防御
      网络中存在大量恶意文件,通过网站文件服务器、邮件服务器实现传播,对企业网络安全构成潜在威胁。对网络中传送的文件,进行快速检测,比对文件信誉,对发现恶意的文件进行告警和阻断。
    • 网址/网站检测分析
      支持对网站的URL 进行检测,并分析其是否是恶意网能力。

    防病毒

    防病毒可以对计算机病毒、木马和恶意软件等一切已知的对计算机有危害的程序代码进行清除,提供终端查杀病毒、软件管理、漏洞补丁、统一升级管理等功能。

    • 安全防御
      能够精准识别、分析及响应病毒传播、0day 攻击及APT 攻击等异常行为。

    • 主机防火墙
      支持对IP、端口协议及访问方向等维度过滤,能智能识别网络协议,同时可通过IP 黑
      白名单,控制终端只能访问指定目标地址,或指定来源IP 地址访问。

    • 漏洞加固
      实时扫描记录终端的操作系统及常用应用软件漏洞,掌握全网终端漏洞情况及补丁修复。

    • 勒索病毒防御
      基于HIPS 的勒索者主动防御机制,蠕虫病毒、勒索病毒、宏病毒等已知未知威胁防范无忧。

    • 安全审计
      对攻击、病毒及漏洞等终端运行信息,以及上网行为、U 盘使用及文件操作等终端行为信息进行统一收集。

    • 软件管理
      记录全网安装软件清单以及每种软件安装的终端明细,以及软件使用时长。

    • 流量管控
      对终端流量管理包括总流量、上行及下行等管理,同时支持升级下载及日志上传等细粒度的流量管理。

    终端检测与响应

    利用终端检测响应,对终端的运行状态进行检测和监控,对进程、文件和配置等进行分析,对异常行为进行处理,确保主机安全,从而实现东西向防护。

    • 病毒及恶意程序防护
      基于文件动作行为特征模型分析查杀,主动防御型查杀,文件黑白名单管理,文件多算法(MD5、SHA1、SHA256)校验。
    • 攻击与威胁防护
      检测模式,拦截模式,支持端口扫描、泛洪攻击、TCP 洪水攻击、漏洞攻击、注册表安全检测等。
    • 主机网络访问隔离
      基于主机维度,定义出入站网络访问,能自定义网络访问对象和端口对象,并记录违规访问日志,可追溯网络访问发起的进程及进程详细路径和进程文件安全性。
    • 终端环境强控
      通过设定终端运行的白环境,达到除白名单外的文件无法运行。
    • 安全基线检查
      同时含盖 Windows 和Linux 平台,支持帐号与口令检查、密码生存周期检查、远程登录检查、网络与服务检查、日志审计检查、防火墙检查、系统安全配置检查等内容,核查项完全满足工信部等单位要求。
    • 沙箱防护
      云端沙箱检查结果查询,用户本地上传文件至沙箱。

    作者博客:http://xiejava.ishareread.com/

    展开全文
  • 路由器主要完成两个功能:是路由选择 (确定哪一 条路径),二是分组转发 (当一个分组 到达时所采取的动作)。 1)路由选择。指按照复杂的分布式算法,根据从各相邻路由器所得到的关于整个网络拓扑 的变化情况,动态地...


    1.主要任务与传输单位

    在这里插入图片描述

    2.路由选择与分组转发

    路由器主要完成两个功能:是路由选择 (确定哪一 条路径),二是分组转发 (当一个分组 到达时所采取的动作)

    • 1)路由选择。指按照复杂的分布式算法,根据从各相邻路由器所得到的关于整个网络拓扑
      的变化情况,动态地改变所选择的路由。
    • 2)分组转发。指路由器根据转发表将用户的IP数据报从合适的端口转发出去。

    路由表是根据路由选择算法得出的,而转发表是从路由表得出的。
    路由表则需要对网络拓扑变化的计算最优化,转发表的结构应当使查找过程最优化
    在讨论路由选择的原理时,往往不去区分转发表和路由表,而是笼统地使用路由表一词。

    在这里插入图片描述

    2.异构网络互联

    所谓异构网络互联,是指将两个以上的不同的计算机网络,通过一定的方法, 用一种或多种通信处理设备(即中间设备)相互连接起来,以构成更大的网络系统。中间设备又称中间系统中继系统
    根据所在的层次,·中继系统分为以下4种:

    • 1)物理层中继系统:中继器,集线器(Hub)。
    • 2)数据链路层中继系统:网桥或交换机。
    • 3)网络层中继系统:路由器。
    • 4)网络层以上的中继系统:网关。

    网络互联通常是指用路由器进行网络互联和路由选择。
    路由器是一一台专用计算机,用于在互联网中进行`路由选择。
    在这里插入图片描述

    3.拥塞控制

    • 在通信子网中,因出现过量的分组而引起网络性能下降的现象称为拥塞

    • 判断网络是否进入拥塞状态的方法是,观察网络的吞吐量与网络负载的关系:如果随着网络负载的增加网络的吞吐量明显小于正常的吞吐量,那么网络就可能已进入“轻度拥塞”状态;如果网络的负载继续增大,而网络的吞吐量下降到零,那么网络就可能已进入死锁状态

    • 拥塞控制的作用是确保子网能够承载所达到的流量,这是一一个全局性的过程,涉及各方面的行为:主机、路由器及路由器内部的转发处理过程等。单一地增加资源并不能解决拥塞。

    • 流量控制拥塞控制区别:

    • ·流量控制往往是指在发送端和接收端之间的点对点通信量的控制。流量控制所要做的是抑制发送端发送数据的速率,以便使接收端来得及接收。

    • 拥塞控制必须确保通信子网能够传送待传送的数据,是一一个全局性的问题,涉及网络中所有的主机、路由器及导致网络传输能力下降的所有因素。

    • 拥塞控制的方法有两种:
      1)·开环控制。在设计网络时事先将有关发生拥塞的因素考虑周到,力求网络在工作时不产生拥塞。这是一种静态的预防方法。一旦整个系统启动并运行,中途就不再需要修改。开环控制手段包括确定何时可接收新流量、何时可丢弃分组及丢弃哪些分组,确定何种调度决策等。所有这些手段的共性是,在做决定时不考虑当前网络的状态。
      2)闭环控制。事先不考虑有关发生拥塞的各种因素,采用监测网络系统去监视,及时检测哪里发生了拥塞,然后将拥塞信息传到合适的地方,以便调整网络系统的运行,并解决出现的问题。闭环控制是基于反馈环路的概念,是一种动态的方法。

    展开全文
  • 计算机网络——网络硬件和网络设备及其工作原理

    万次阅读 多人点赞 2018-10-09 01:26:36
    计算机网络——网络硬件和网络设备及其工作原理 常见的网络硬件有网卡、中继站、集线器、桥连接器、交换机、路由器。 一. 网卡: 网卡是工作在链路层的网络组件,是局域网中连接计算机和传输介质的接口,不仅能实现...

    计算机网络——网络硬件和网络设备及其工作原理

    常见的网络硬件有网卡、中继站、集线器、桥连接器、交换机、路由器。

    一. 网卡:

    网卡是工作在链路层的网络组件,是局域网中连接计算机和传输介质的接口,不仅能实现与局域网传输介质之间的物理连接和电信号匹配,还涉及帧的发送与接收、帧的封装与拆封、介质访问控制、数据的编码与解码以及数据缓存的功能等。

    简介

    计算机与外界局域网的连接是通过主机箱内插入一块网络接口板(或者是在笔记本电脑中插入一块PCMCIA卡)。网络接口板又称为通信适配器或网络适配器(network adapter)或网络接口卡NIC(Network Interface Card),但是更多的人愿意使用更为简单的名称“网卡”。

    功能详解

    网卡上面装有处理器和存储器(包括RAM和ROM)。网卡和局域网之间的通信是通过电缆或双绞线以串行传输方式进行的。而网卡和计算机之间的通信则是通过计算机主板上的I/O总线以并行传输方式进行。因此,网卡的一个重要功能就是要进行串行/并行转换。由于网络上的数据率和计算机总线上的数据率并不相同,因此在网卡中必须装有对数据进行缓存的存储芯片。

    在安装网卡时必须将管理网卡的设备驱动程序安装在计算机的操作系统中。这个驱动程序以后就会告诉网卡,应当从存储器的什么位置上将局域网传送过来的数据块存储下来。网卡还要能够实现以太网协议。

    网卡并不是独立的自治单元,因为网卡本身不带电源而是必须使用所插入的计算机的电源,并受该计算机的控制。因此网卡可看成为一个半自治的单元。当网卡收到一个有差错的帧时,它就将这个帧丢弃而不必通知它所插入的计算机。当网卡收到一个正确的帧时,它就使用中断来通知该计算机并交付给协议栈中的网络层。当计算机要发送一个IP数据包时,它就由协议栈向下交给网卡组装成帧后发送到局域网。

    随着集成度的不断提高,网卡上的芯片的个数不断的减少,虽然各个厂家生产的网卡种类繁多,但其功能大同小异。

    主要功能:

    1. 数据的封装与解封: 发送时将上一层交下来的数据加上首部和尾部,成为以太网的帧。接收时将以太网的帧剥去首部和尾部,然后送交上一层。
    2. 链路管理: 主要是CSMA/CD(Carrier Sense Multiple Access with Collision Detection ,带冲突检测的载波监听多路访问)协议的实现。
    3. 编码与译码 : 即曼彻斯特编码与译码。

    二. 中继站:

    中继器又叫“放大器”,起放大信号的左右,解决线路太长,而引起的信号衰减问题。缺点:放大通信信号的同时会放大噪声。它处于OSI七层模型的物理层设备,无法读懂和修改OSI的上层数据,无法完成更多的选路和优化转发的特性,只有放大信号和延长线路的作用,端口少,不是一种密集型端口的网络设备,现在已被淘汰
    在这里插入图片描述

    三. 集线器:(hub)

    集线器又叫Hub,是一种用于“星形”网络组织的中心设备。它具备中继器的特点,端口比中继器更密集,因此又把集线器叫做端口更多的中继器。集线器是一种半双工(同一时间只能接收或发送数据,不能同时既接受又发送数据)、冲突型设备, 共享带宽,放大信号的同时放大噪声,不隔离广播,不能成环,不安全,一般不建议使用。集线器工作原理如下所示。A端口给D端口发送数据时,从集线器1号端口进入的数据,会发给2,3,4三个端口,然后2,3端口发现不是发给自己的数据,所以丢弃,只有4端口的D计算机发现目标地址是自己的地址,所以就接受,发送数据以广播的形式,因此这样是一种不安全的通讯设备,容易被别人监听到数据报。同时,当A发数据的时候,B是不能发送数据的,就会发生冲突。
    在这里插入图片描述

    四. 桥连接器:

    网桥(bridge)处于OSI模型的数据链路层(链路层设备不隔离广播),作用是减少集线器因共享和半双工特性引发的网络冲突问题。网桥的性能比集线器更好,因为网桥能够基于MAC地址进行数据链路层选路,能够基于学习构造MAC地址表,对MAC地址进行控制与过滤,所以网桥可以基于MAC地址进行选路,比集线器性能更好,将冲突域划分的更小,转发行能比集线器更高。但同样是不能隔离广播,所以不能让网桥形成闭合的环路。
    网桥MAC地址自学习:在网桥的接口上记录数据报文的源MAC地址,来完成整个MAC地址表的构建。
    在这里插入图片描述

    开始,网桥的MAC地址表是空的,第一次发生数据的时候不知道目的地址在哪,同样会发广播,但此时的广播不是发送数据的广播,而是一个ARP(地址解析协议)的请求广播,这个广播不带要发送的数据(即使被监听到也是不能得到主机间通信的数据),是一个轻量的广播,可以忽略不计,这次广播的目的在于建立MAC地址表,记录源MAC地址对应的网桥端口。例如这样一次广播过程:A要给D发送数据,A先ARP广播D,A作为源主机,网桥记录了A 的MAC地址,B和C收到后不做反应,然后D收到广播后单播方式回应ARP,D回应的时候对于网桥就是源主机,就会记录D主机的MAC地址,这样就完成了一次记录。请求当MAC表构建后,网桥不在进行广播,而是利用MAC表进行快速选路并转发,所以就算网桥上装有数据分析仪也不能监听到数据,监听到的广播也是不带主机间通信的数据,而集线器每次都以广播的形式发送数据(直接将数据广播出去),所以不安全。(网桥广播和集线器广播有很大区别)
    网桥不能成环的原因:①网桥不隔离广播,所以广播不能在网桥环路中发散,从而形成广播风暴,将整个网络的正常通信资源占据。②由于网桥不能隔离广播,所以会导致MAC地址自学习错误。
    在这里插入图片描述
    对②进行解析:当主机B给主机A发送数据时,网桥B的2端口会记录主机B的MAC地址,而在网桥环路中,网桥不隔离广播,对于ARP的请求广播,网桥B又相当于一根线,所以广播会穿过网桥B到的网桥A,即主机B发送的数据会直接到网桥A的1端口,因此网桥A的1端口也会记录主机B的MAC地址,但是网桥A的1端口连接主机A,应该记录主机A的MAC地址,所以就产生了错误。但实际情况中,网桥是物理成环的,以提供冗余的路径,这又违背了网桥不能成环的原则,所以后面会讲到一种生成树协议STP来解决这个问题。

    五. 交换机:

    交换机(Switch)意为“开关”是一种用于电(光)信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路。最常见的交换机是以太网交换机。其他常见的还有电话语音交换机、光纤交换机等。

    定义

    交换(switching)是按照通信两端传输信息的需要,用人工或设备自动完成的方法,把要传输的信息送到符合要求的相应路由上的技术的统称。交换机根据工作位置的不同,可以分为广域网交换机和局域网交换机。广域的交换机(switch)就是一种在通信系统中完成信息交换功能的设备,它应用在数据链路层。交换机有多个端口,每个端口都具有桥接功能,可以连接一个局域网或一台高性能服务器或工作站。实际上,交换机有时被称为多端口网桥。

    在计算机网络系统中,交换概念的提出改进了共享工作模式。而HUB集线器就是一种物理层共享设备,HUB本身不能识别MAC 地址和IP地址,当同一局域网内的A主机给B主机传输数据时,数据包在以HUB为架构的网络上是以广播方式传输的,由每一台终端通过验证数据报头的MAC地址来确定是否接收。也就是说,在这种工作方式下,同一时刻网络上只能传输一组数据帧的通讯,如果发生碰撞还得重试。这种方式就是共享网络带宽。通俗的说,普通交换机是不带管理功能的,一根进线,其他接口接到电脑上就可以了。

    在今天,交换机以更多的却是以应用需求为导向,在选择方案和产品时用户还非常关心如何有效保证投资收益。在用户提出需求后,由系统集成商或厂商来为其需求来提供相应的服务,然后再去选择相应的技术。这点是在网络方面表现尤其明显,广大用户,不论是重点行业用户还是一般的企业用户,在应用IT技术方面更加明智,也更加稳健。此外,宽带的广泛应用、大容量视频文件的不断涌现等等都对网络传输的中枢–交换机的性能提出了新的要求。

    交换机原理

    原理
    思科模拟器中的交换机
    思科模拟器中的交换机
    交换机工作于OSI参考模型的第二层,即数据链路层。交换机内部的CPU会在每个端口成功连接时,通过将MAC地址和端口对应,形成一张MAC表。在今后的通讯中,发往该MAC地址的数据包将仅送往其对应的端口,而不是所有的端口。因此,交换机可用于划分数据链路层广播,即冲突域;但它不能划分网络层广播,即广播域。

    交换机拥有一条很高带宽的背部总线和内部交换矩阵。交换机的所有的端口都挂接在这条背部总线上,控制电路收到数据包以后,处理端口会查找内存中的地址对照表以确定目的MAC(网卡的硬件地址)的NIC(网卡)挂接在哪个端口上,通过内部交换矩阵迅速将数据包传送到目的端口,目的MAC若不存在,广播到所有的端口,接收端口回应后交换机会“学习”新的MAC地址,并把它添加入内部MAC地址表中。使用交换机也可以把网络“分段”,通过对照IP地址表,交换机只允许必要的网络流量通过交换机。通过交换机的过滤和转发,可以有效的减少冲突域,但它不能划分网络层广播,即广播域。

    端口

    交换机在同一时刻可进行多个端口对之间的数据传输。每一端口都可视为独立的物理网段(注:非IP网段),连接在其上的网络设备独自享有全部的带宽,无须同其他设备竞争使用。当节点A向节点D发送数据时,节点B可同时向节点C发送数据,而且这两个传输都享有网络的全部带宽,都有着自己的虚拟连接。假使这里使用的是10Mbps的以太网交换机,那么该交换机这时的总流通量就等于2×10Mbps=20Mbps,而使用10Mbps的共享式HUB时,一个HUB的总流通量也不会超出10Mbps。总之,交换机是一种基于MAC地址识别,能完成封装转发数据帧功能的网络设备。交换机可以“学习”MAC地址,并把其存放在内部地址表中,通过在数据帧的始发者和目标接收者之间建立临时的交换路径,使数据帧直接由源地址到达目的地址。

    传输

    交换机的传输模式有全双工,半双工,全双工/半双工自适应。

    交换机的全双工是指交换机在发送数据的同时也能够接收数据,两者同步进行,这好像我们平时打电话一样,说话的同时也能够听到对方的声音。交换机都支持全双工。全双工的好处在于迟延小,速度快。

    提到全双工,就不能不提与之密切对应的另一个概念,那就是“半双工”,所谓半双工就是指一个时间段内只有一个动作发生,举个简单例子,一条窄窄的马路,同时只能有一辆车通过,当有两辆车对开,这种情况下就只能一辆先过,等到头儿后另一辆再开,这个例子就形象的说明了半双工的原理。早期的对讲机、以及早期集线器等设备都是实行半双工的产品。随着技术的不断进步,半双工会逐渐退出历史舞台。

    六. 路由器:

    在这里插入图片描述

    路由器(Router),是连接因特网中各局域网、广域网的设备,它会根据信道的情况自动选择和设定路由,以最佳路径,按前后顺序发送信号。 路由器是互联网络的枢纽,“交通警察”。目前路由器已经广泛应用于各行各业,各种不同档次的产品已成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务的主力军。路由和交换机之间的主要区别就是交换机发生在OSI参考模型第二层(数据链路层),而路由发生在第三层,即网络层。这一区别决定了路由和交换机在移动信息的过程中需使用不同的控制信息,所以说两者实现各自功能的方式是不同的。
    路由器(Router)又称网关设备(Gateway)是用于连接多个逻辑上分开的网络,所谓逻辑网络是代表一个单独的网络或者一个子网。当数据从一个子网传输到另一个子网时,可通过路由器的路由功能来完成。因此,路由器具有判断网络地址和选择IP路径的功能,它能在多网络互联环境中,建立灵活的连接,可用完全不同的数据分组和介质访问方法连接各种子网,路由器只接受源站或其他路由器的信息,属网络层的一种互联设备。

    路由器原理

    传输介质

    路由器分本地路由器和远程路由器,本地路由器是用来连接网络传输介质的,如光纤、同轴电缆、双绞线;远程路由器是用来连接远程传输介质,并要求相应的设备,如电话线要配调制解调器,无线要通过无线接收机、发射机。

    路由器是互联网的主要结点设备。路由器通过路由决定数据的转发。转发策略称为路由选择(routing),这也是路由器名称的由来(router,转发者)。作为不同网络之间互相连接的枢纽,路由器系统构成了基于TCP/IP 的国际互联网络Internet 的主体脉络,也可以说,路由器构成了Internet的骨架。它的处理速度是网络通信的主要瓶颈之一,它的可靠性则直接影响着网络互连的质量。因此,在园区网、地区网、乃至整个Internet研究领域中,路由器技术始终处于核心地位,其发展历程和方向,成为整个Internet研究的一个缩影。在当前我国网络基础建设和信息建设方兴未艾之际,探讨路由器在互连网络中的作用、地位及其发展方向,对于国内的网络技术研究、网络建设,以及明确网络市场上对于路由器和网络互连的各种似是而非的概念,都有重要的意义。
    出现了交换路由器产品,从本质上来说它不是什么新技术,而是为了提高通信能力,把交换机的原理组合到路由器中,使数据传输能力更快、更好。

    结构

    • 电源接口(POWER):接口连接电源。 usb
    • 复位键(RESET):此按键可以还原路由器的出厂设置。
    • 猫(MODEM)或者是交换机与路由器连接口(WAN):此接口用一条网线与家用宽带调制解调器(或者与交换机)进行连接。
    • 电脑与路由器连接口(LAN1~4):此接口用一条网线把电脑与路由器进行连接。

    需注意的是:WAN口与LAN口一定不能接反。

    家用无线路由器和有线路由器的IP地址根据品牌不同,主要有192.168.1.1和192.168.0.1两种。

    启动过程

    路由器里也有软件在运行,典型的例如H3C公司的Comware和思科公司的IOS,可以等同的认为它就是路由器的操作系统,像PC上使用的Windows系统一样。路由器的操作系统完成路由表的生成和维护。
    同样的,作为路由器来讲,也有一个类似于我们PC系统中BIOS一样作用的部分,叫做MiniIOS。MiniIOS可以使我们在路由器的FLASH中不存在IOS时,先引导起来,进入恢复模式,来使用TFTP或X-MODEM等方式去给FLASH中导入IOS文件。所以,路由器的启动过程应该是这样的:
    路由器在加电后首先会进行POST。Power On Self Test (上电自检,对硬件进行检测的过程)。
    POST完成后,首先读取ROM里的BootStrap程序进行初步引导。
    初步引导完成后,尝试定位并读取完整的IOS镜像文件。在这里,路由器将会首先在FLASH中查找IOS文件,如果找到了IOS文件的话,那么读取IOS文件,引导路由器。
    如果在FLASH中没有找到IOS文件的话,那么路由器将会进入BOOT模式,在BOOT模式下可以使用TFTP上的IOS文件。或者使用TFTP/X-MODEM来给路由器的FLASH中传一个IOS文件(一般我们把这个过程叫做灌IOS)。传输完毕后重新启动路由器,路由器就可以正常启动到CLI模式。
    当路由器初始化完成IOS文件后,就会开始在NVRAM中查找STARTUP-CONFIG文件,STARTUP-CONFIG叫做启动配置文件。该文件里保存了我们对路由器所做的所有的配置和修改。当路由器找到了这个文件后,路由器就会加载该文件里的所有配置,并且根据配置来学习、生成、维护路由表,并将所有的配置加载到RAM(路由器的内存)里后,进入用户模式,最终完成启动过程。
    如果在NVRAM里没有STARTUP-CONFIG文件,则路由器会进入询问配置模式,也就是俗称的问答配置模式,在该模式下所有关于路由器的配置都可以以问答的形式进行配置。不过一般情况下我们基本上是不用这样的模式的。我们一般都会进入CLI [1] (Comman Line Interface)命令行模式后对路由器进行配置。

    工作原理示例

    (1)工作站A将工作站B的地址12.0.0.5连同数据信息以数据包的形式发送给路由器1。
    (2)路由器1收到工作站A的数据包后,先从包头中取出地址12.0.0.5,并根据路径表计算出发往工作站B的最佳路径:R1->R2->R5->B;并将数据包发往路由器2。
    (3)路由器2重复路由器1的工作,并将数据包转发给路由器5。
    (4)路由器5同样取出目的地址,发现12.0.0.5就在该路由器所连接的网段上,于是将该数据包直接交给工作站B。
    (5)工作站B收到工作站A的数据包,一次通信过程宣告结束。

    路由器的作用及功能

    1、连通不同的网络

    从过滤网络流量的角度来看,路由器的作用与交换机和网桥非常相似。但是与工作在网络物理层,从物理上划分网段的交换机不同,路由器使用专门的软件协议从逻辑上对整个网络进行划分。例如,一台支持IP协议的路由器可以把网络划分成多个子网段,只有指向特殊IP地址的网络流量才可以通过路由器。对于每一个接收到的数据包,路由器都会重新计算其校验值,并写入新的物理地址。因此,使用路由器转发和过滤数据的速度往往要比只查看数据包物理地址的交换机慢。但是,对于那些结构复杂的网络,使用路由器可以提高网络的整体效率。路由器的另外一个明显优势就是可以自动过滤网络广播。总体上说,在网络中添加路由器的整个安装过程要比即插即用的交换机复杂很多。

    2、信息传输

    有的路由器仅支持单一协议,但大部分路由器可以支持多种协议的传输,即多协议路由器。由于每一种协议都有自己的规则,要在一个路由器中完成多种协议的算法,势必会降低路由器的性能。路由器的主要工作就是为经过路由器的每个数据帧寻找一条最佳传输路径,并将该数据有效地传送到目的站点。由此可见,选择最佳路径的策略即路由算法是路由器的关键所在。为了完成这项工作,在路由器中保存着各种传输路径的相关数据--路径表(Routing Table),供路由选择时使用。路径表中保存着子网的标志信息、网上路由器的个数和下一个路由器的名字等内容。路径表可以是由系统管理员固定设置好的。

    • 静态路由表:由系统管理员事先设置好固定的路径表称之为静态(static)路径表。
    • 动态路由表:动态(Dynamic)路径表是路由器根据网络系统的运行情况而自动调整的路径表。

    路由器是一种多端口设备,它可以连接不同传输速率并运行于各种环境的局域网和广域网,也可以采用不同的协议。路由器属于O S I 模型的第三层–网络层。指导从一个网段到另一个网段的数据传输,也能指导从一种网络向另一种网络的数据传输。

    • 第一,网络互连:路由器支持各种局域网和广域网接口,主要用于互连局域网和广域网,实现不同网络互相通信;
    • 第二,数据处理:提供包括分组过滤、分组转发、优先级、复用、加密、压缩和防火墙等功能;
    • 第三,网络管理:路由器提供包括路由器配置管理、性能管理、容错管理和流量控制等功能。

    所谓“路由”,是指把数据从一个地方传送到另一个地方的行为和动作,而路由器,正是执行这种行为动作的机器,它的英文名称为Router,是一种连接多个网络或网段的网络设备,它能将不同网络或网段之间的数据信息进行“翻译”,以使它们能够相互“读懂”对方的数据,从而构成一个更大的网络。
      
      为了完成“路由”的工作,在路由器中保存着各种传输路径的相关数据--路由表(Routing Table),供路由选择时使用。路由表中保存着子网的标志信息、网上路由器的个数和下一个路由器的名字等内容。路由表可以是由系统管理员固定设置好的,也可以由系统动态修改,可以由路由器自动调整,也可以由主机控制。在路由器中涉及到两个有关地址的名字概念,那就是:静态路由表和动态路由表。由系统管理员事先设置好固定的路由表称之为静态(static)路由表,一般是在系统安装时就根据网络的配置情况预先设定的,它不会随未来网络结构的改变而改变。动态(Dynamic)路由表是路由器根据网络系统的运行情况而自动调整的路由表。路由器根据路由选择协议(Routing Protocol)提供的功能,自动学习和记忆网络运行情况,在需要时自动计算数据传输的最佳路径。

    参考文章:

    1、网络硬件设备工作原理:https://blog.csdn.net/u010757264/article/details/50748336

    展开全文
  • 计算机网络体系中,有几样通信设备或者说网络名词出现的频率相当的高,它们是:中继器、集线器、网桥、交换机、路由器和网关。其实,弄清楚这几个计算机网络的名词并不困难,如果能以计算机网络层次的概念给它们划清...
  • TCP/IP协议各层的网络设备

    千次阅读 2019-11-20 19:44:40
    中继器工作在OSI的一层物理层,我们知道,超5类线的传输距离最大为100米,超过这个距离信号就会衰减,中继器就是为了防止信号变差,将网络信号进行再生和重定时。 二、集线器(Hub) 集线器的特性与中继器相似,...
  • 计算机网络复习资料

    千次阅读 2020-01-13 11:52:29
    1、在计算机网络的定义中,一个计算机网络包含多台具有自主功能的计算机;把众多计算机有机连接起来要遵循规定的约定和规则,即_通信协议_;计算机网络的最基本特征是__资源共享__。 2、常见的计算机网络拓扑结构有...
  • 常用网络设备

    千次阅读 2018-07-26 13:58:46
    对所接收的信号进行放大,然后直接发送到另一个端口连接的电缆上,主要用于扩展网络的物理连接范围 集线器:hub 集线器(HUB)属于数据通信系统中的基础设备,它和双绞线等传输介质一样,是一种不需任何软件支持或...
  • 它们是发送或接收数据的终端设备。 本质区分(工作网络层不同) 传输层(网关) 网络层(路由器) 数据链路层(网桥,交换机) 物理层(中继器,集线器) 参考OSI参考模型各层理解其作用区别
  • 关于网络安全设备总结

    千次阅读 2021-11-25 14:30:35
    这里只是介绍一下这些网络安全设备的定义,功能,以及它提供了哪些安全性功能,理论偏多。 路由器 路由器其实就是连接多个使用相同协议网络设备,它的作用主要在网络层(OSI七层模型、TCP/IP四层模型)。 它可以...
  • 对家庭网络设备行业的理解

    千次阅读 2022-04-05 22:29:39
    本人从事网络设备开发,本文观点限行家庭网络设备的开发,尤其指家用无线路由器(以下行业所指代或以此为出发点)。限于作者水平,必然存在理解的局限,请多包涵和指摘。 一、行业发展的动力 主要为802.11协议的...
  • 计算机网络知识汇总(超详细整理)

    万次阅读 多人点赞 2021-06-22 15:44:13
    为了准备期末考试,同时也是为了之后复习方便,特对计算机网络的知识进行了整理。本篇内容大部分是来源于我们老师上课的ppt。而我根据自己的理解,将老师的PPT整理成博文的形式以便大家复习查阅,同时对于一些不是很...
  • 路径路由算法—ECMP、WCMP

    千次阅读 2020-08-16 15:24:39
    传统的网络拓朴结构可以形象的表示为树结构,我们称之为“有中心的网络拓扑结构”,简单地认为很多流量请求最终会汇聚到主干网这样的路由中心,才能转发到下一条路径。 传统的路由协议都是采用单路径路由的方式,...
  • 网络功能虚拟化NFV

    万次阅读 多人点赞 2019-05-07 21:21:07
    网络功能虚拟化(NFV)技术是为了解决现有专用通信设备的不足而产生的。通信行业为了追求设备的高可靠性、高性能,往往采用软件和硬件结合的专用设备来构建网络。比如专用的路由器、CDN、DPI、防火墙等设备,均为...
  • 1.1.1 计算机网络的概念、组成、功能和分类

    万次阅读 多人点赞 2020-02-27 16:31:01
    计算机网络的组成(1)从组成部分来看(2)从工作方式来看(3)从功能组成来看4.计算机网络功能(1)数据通信(2)资源共享(3)分布式处理(4)提高可靠性(5)负载均衡(6)其它5.计算机网络的分类(1)按分布...
  • 3.8 计算机网络之数据链路层设备(网桥、交换机)

    千次阅读 多人点赞 2020-03-22 18:24:34
    网桥(1)基本概念(2)网桥信息处理方式(3)网桥的吞吐量举例(4)基本特点(5)优缺点(6)透明网桥(7)源路由网桥(选择最佳路由)2.局域网交换机(1)基本概念(2)原理(3)特点(4)两种交换模式 1.网桥 ...
  • 计算机网络的 166 个核心概念

    万次阅读 多人点赞 2022-03-17 10:01:43
    主机:计算机网络上任何一种能够连接网络设备都被称为主机或者说是端系统,比如手机、平板电脑、电视、游戏机、汽车等,随着 5G 的到来,将会有越来越多的终端设备接入网络。 通信链路:通信链路是由物理链
  • 计算机网络期末考试题库(超级多的那种)

    万次阅读 多人点赞 2020-12-04 17:42:27
    废话不多说,不管是...计算机网络试题库——选择题及答案 (共500题) 1、Internet中发送邮件协议是(B )。 A、FTP B、SMTP  C、HTTP  D、POP 2、在 OSI模型中,第 N层和其上的 N+ l层的关系是 (A
  • 观看MOOC(哈尔滨工业大学 李全龙)课程+杨振启的《计算机网络》做的笔记
  • ZigBee和 IEEE 802.15.4是基于标准的协议,它们为无线传感器网络(WSN)应用提供所需要的网络基础设施。 802.15.4定义了物理层(PHY)和媒体访问控制层(MAC),ZigBee定义了网络层(NWK)和应用层(APL)。 1、...
  • 面试官都震惊,你这网络基础可以啊!

    万次阅读 多人点赞 2021-07-10 15:27:09
    目录网络1.对网络的基础认识<1>.组网方式<2>.OSI七层模型<3>.TCP/IP五层(四层模型)<4>.对封装分用的理解2.网络数据传输<1>局域网(1)认识IP和MAC(2)网络数据传输的特性(3)网络数据...
  • SDN学习路径——SDN架构

    千次阅读 2019-09-10 16:38:48
    二、SDN与传统网络的区别与意义 三、ONF组织的SDN体系架构 四、ONF组织定义意义 五、SDN的数据控制分离的可行性 六、传统控制平面和数据平面概述 七、传统控制平面 八、传统数据平面 九、网络弊病和数控分离...
  • 大部分人也许根本就不会用到华硕路由器-无线网络-专业设置中的功能,但也会有些好奇心强的小伙伴喜欢倒腾一下,但最终却总是一头雾水。那在这里我就为大家简单科普一下各个功能,这里以GT-AC5300 2.4G为例。1.频段...
  • 物理层规定:为传输数据所需要的物理链路创建、维持、拆除,而提供具有机械的,电子的,功能的和规范的特性。简单的说,物理层确保原始的数据可在各种物理媒体上传输。局域网与广域网皆属第1、2层。 物理层是OSI的...
  • 因此,路由器具有判断网络地址和选择IP路径功能,它能在多网络互联环境中,建立灵活的连接,并可用完全不同的数据分组和介质访问方法连接各种子网。 路由器只接受源站或其他路由器的信息,属于网络层的一种互联...
  • PCM设备E1保护切换功能介绍

    千次阅读 2021-12-07 11:25:53
    虽然SDH环路具有自我保护功能,但PCM设备的电路保护作用通常被忽视,却没有认识到光纤与微波两种一地一空的传输方式共存的条件下,对PCM的电路保护功能加以合理利用,可以有效提高电力通信系统运行的安全可靠性。...
  • ●BFD会话建立流程图 8.BFD工作流程 BFD在两台网络设备上建立会话,用来检测网络设备间的双向转发路径,为上层应用服务。BFD本身并没有邻居发现机制,而是靠被服务的上层应用通知其邻居信息以建立会话。会话建立后...
  • 计算机网络习题集_主打选择填空

    万次阅读 多人点赞 2020-06-11 10:54:35
    文章内容是计算机网络习题集,主要是填空和选择,就当做个笔记。。。
  • 一、常见存储技术 存储概述:是指根据不同的应用环境通过...NAS网络技术存储; SAN存储区域网络 FC光纤通道。Fibre Channel; SCSI (Small Computer System Interface),作为输入/输出接口,主要用于硬盘、光盘、...
  • 路径识别算法

    千次阅读 2020-10-16 16:45:42
    随着各省市高速公路的不断建设,基本上建成了大小规模不等的联网收费系统,在联网收费系统建设中,都面临了一个共同的问题——车辆行驶路径的识别。路径识别不仅仅涉及对每一通行车辆如何计算通行费,同时还要考虑将...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 135,084
精华内容 54,033
关键字:

具有路径选择功能的网络设备