防火墙堡垒主机

Chapter6Networklayer6.
1网络层向传输层提供的服务6.
2虚电路与数据报6.
3路由算法6.
4拥塞控制6.
5网络互连6.
1网络层向传输层提供的服务网络层设计目标:服务应与通信子网的技术无关对于传输层而言,通信子网的数量、类型和拓扑结构是隐蔽的网络地址应该采用统一的编号模式争论:网络层提供面向连接的服务还是非连接的服务传输层网络层主机通信子网用户网络运营商复杂功能复杂功能6.
2虚电路与数据报OSI的网络层提供两种服务面向连接——虚电路(virtualcircuit):首先要发出连接请求,与目的端建立连接数据通信拆除连接非连接——数据报(datagram)每个分组头都必须包含目的地址每个分组在途径节点上被单独处理同一数据流的分组可以走不同的路径虚电路的特点一条物理链路可以对应多条逻辑信道一条虚电路由各物理链路上的逻辑信道级联而成,占用了节点上的一条逻辑信道实际上就是占用了该节点上缓存器内的一个存储空间分组靠逻辑信道号(LCN)选择路由,因LCN只有局部意义,所以减少了分组头标的开销和处理的复杂度能有效的防止拥塞Virtualcircuits:signalingprotocolsusedtosetup,maintainteardownVCusedinATM,frame-relay,X.
25notusedintoday'sInternetapplicationtransportnetworkdatalinkphysicalapplicationtransportnetworkdatalinkphysical1.
Initiatecall2.
incomingcall3.
Acceptcall4.
Callconnected5.
Dataflowbegins6.
Receivedatanetworkdatalinkphysical数据报的特点每个分组的寻路是独立的,可以合理利用网络资源如果途中一个节点或一条链路发生故障,能给分组重选路由分组头需要包含地址字段,也会增加开销(overhead)各分组途经的路径可能不同,因此有可能出现先发后到现象分组必须有生存时间限制,当生存期满时,分组则被抛弃,免得在网络内死转Datagramnetworks:theInternetmodelnocallsetupatnetworklayerrouters:nostateaboutend-to-endconnectionsnonetwork-levelconceptof"connection"packetstypicallyroutedusingdestinationhostIDpacketsbetweensamesource-destpairmaytakedifferentpathsapplicationtransportnetworkdatalinkphysicalapplicationtransportnetworkdatalinkphysical1.
Senddata2.
Receivedata6.
3路由算法网络层的主要功能是根据分组目的地址选择路径,对数据报,每个分组都要在途径的节点上被单独寻路;而虚电路,则在建立连接时要进行寻路.
路由算法有两类:非自适应和自适应非自适应自适应静态路由动态路由路由表固定路由表定时刷新路由协议简便、可靠、易行,适用于负荷稳定、拓扑结构变化不大的网络算法复杂,会增加网络负担,但能够改善网络的性能,并有利于流量控制6.
3.
1Dijkstra最短通路搜索算法最短通路算法的基本准则:在全双工链路连接的网络上,每条链路的每个方向上都有一个与之相关的权值.
两个节点之间一条路由的代价是它所经过的链路权值之和,所以,这两个节点间的最佳路由为其所有可能路由中具有最小代价的那条路由.
Routingmetrics度量(weight,cost)NumberofhopsDelayBandwidthLoadABCEFGHD22164273223利用Dijkstra算法求A到D的最短通路ABCEFGHD22164273223AB(2,A)E(∞,-)G(6,A)C(∞,-)F(∞,-)H(∞,-)D(∞,-)AB(2,A)E(4,B)G(6,A)C(9,B)F(∞,-)H(∞,-)D(∞,-)AB(2,A)E(4,B)G(5,E)C(9,B)F(6,E)H(∞,-)D(∞,-)AB(2,A)E(4,B)G(5,E)C(9,B)F(6,E)H(9,G)D(∞,-)AB(2,A)E(4,B)G(5,E)C(9,B)F(6,E)H(8,F)D(∞,-)AB(2,A)E(4,B)G(5,E)C(9,B)F(6,E)H(8,F)D(10,H)AB(2,A)E(4,B)G(5,E)C(9,B)F(6,E)H(8,F)D(10,H)AB(2,A)E(4,B)G(5,E)C(9,B)F(6,E)H(8,F)D(10,H)最短通路为:A-B-E-F-H-D,权值为106.
3.
2距离矢量(DistanceVector)路由算法距离矢量路由选择(distancevectorrouting)算法是现代计算机网络两个最常使用的动态路由选择算法之一.
ARPAnet;DECnet、Novell的IPX以及Internet的一种内部网关协议(IGP,InteriorGatewayProtocol)RIP(RouteInformationProtocol)都使用了距离矢量路由选择算法;Cisco则开发了一种改进的协议,叫作IGRP(InteriorGatewayRoutingProtocol).
每个节点都定期地将它们的路由表传送给所有相邻节点,这里的路由表所包含的内容有:每条路径的目的地址——矢量本节点到该目的地址的代价——距离每个节点根据收到的相邻节点的路由信息更新自己的路由表距离矢量路由算法举例810126问题寻路环(routingloops)慢收敛(slowconvergence)无穷计算(counttoinfinity):它对好消息的反应迅速,但对坏消息却反应迟钝.
水平分割算法水平分割(splithorizon)算法是解决无穷计算问题的一种方法.
其工作过程与距离矢量法一样.
不同之处在于:如果节点C通过节点B向A发送分组,则节点B不会再试图通过C向A发送分组.
换句话说,节点C向B发送的路由信息中不会包含通往A的路由信息.

6.
3.
3链路状态(LinkState)路由算法链路状态路由算法于1979年出现在ARPAnet上,作为一种用来取代DVR的动态路由选择算法,得到了广泛的应用.
算法:主动测试邻接节点的状态定期地将相邻节点的状态信息传送给所有节点每个节点都有完整的网络拓扑信息,然后计算到每个节点的最佳路径该方法也叫最短路径优先(shortestpathfirst),简称SPF算法DistanceVectorvs.
LinkStateDV节点向相邻节点告诉它所知道的所有节点的路由信息节点根据相邻节点的路由信息更新自己的路由表分布式计算可扩展性差LS节点向所有节点告诉其相邻节点的状态信息每个节点都有一个全局的拓扑结构根据此拓扑结构计算路由表可扩展性好,可靠分级路由选择(hierarchicalrouting)将网络分成一些区域,每个区域内的路由器只负责本区域内的分组转发,而不管其它区域的情况,目的地址不在本区域内的分组都发给指定的区域路由器去处理.
当网络规模很大时,往往需要分成多级.
路由信息的交换只在本区域内进行,路由器内部需存储的路由信息大大减少.
节省了路由器的存储空间和网络带宽.
缺点是选择的路由可能不是最佳的.

分级路由示例6.
4拥塞控制什么是网络的拥塞当大量分组进入通信子网,超出了网络的处理能力时,就会引起网络局部或整体性能下降,这种现象称为拥塞.
路由器的队列溢出,分组丢失拥塞会导致什么后果拥塞使许多分组重传导致更多的业务量,直至崩溃拥塞的原因路由器的处理速度、存储空间、带宽不匹配网络负载的不平衡拥塞控制与流量控制拥塞控制网络负载的不均衡,例如,某个路由器的多个输入端口向同一个输出端口传输分组是全局问题,涉及的节点包括主机、路由器流量控制接收端或所在网络的接收速度小于发送端的发送速度只涉及收发两端,是局部问题由于解决方法相似,两者经常混淆6.
4.
1拥塞控制的一般原理从控制理论观点出发,可分为两类:开环控制,基于良好的设计业务量整形——漏桶算法、令牌桶法闭环控制,基于反馈概念监测系统何时、何处发生拥塞将拥塞信息传到能控制它的地方调整系统操作指示网络拥塞的参数分组丢失率平均队列长度分组重传率平均分组延时6.
4.
2拥塞控制的策略闭环控制检测到拥塞时,就发一个分组给源端或向所有主机广播在每个分组头中保留一个位或域,当拥塞超过一定值时,路由器就在该位或域上填上拥塞信息通知网络节点由主机或路由器发送询问分组打听拥塞情况虚电路中的拥塞控制采用接纳控制(admissioncontrol)的三种策略:一旦出现拥塞的信号,就不再创建任何虚电路,直至拥塞解除.
允许建立新的虚电路,但要仔细选择路由,以便所有新的虚电路绕过拥塞的区域.
在虚电路建立时,子网与主机对所需服务质量进行协商.
若不能满足主机最低要求,则拒绝建立连接;否则就保留连接所需的多种资源,避免拥塞发生.

数据报中的拥塞控制抑制分组(chokepacket):每个路由器监视本节点的资源利用情况,若某个方向的资源利用率超过一定的门限,则该路由器向有关源节点发送抑制分组,源节点相应减少发往该方向的数据量,直至该方向的拥塞解除.
TCP的窗口机制对拥塞的有着慢启动和拥塞回避策略,但有时会引起同步效应,可采用随机早期检测(RED,RandomEarlyDetection)的方法进行拥塞控制,该方法采用提早丢包来减轻网络负载.
服务质量(QoS)服务质量参数:可靠性,延时,抖动和带宽各种不同业务对QoS的需求lowlowlowhighE-mail带宽延时抖动延时可靠性应用mediumlowmediumHighWebaccessmediumlowlowHighFiletransfermediumhighlowlowAudioondemandhighhighhighlowVideoconferencinglowhighhighlowTelephonehighhighlowlowVideoondemandlowmediummediumHighRemotelogin服务质量(QoS)控制方法资源预留:带宽,缓冲区,CPU资源接纳控制队列调度缓存(消除延时抖动)业务量整形(也是拥塞控制的两种常用方法)漏桶算法令牌桶法漏桶算法以恒定的速率ρ向网络发送举例计算机以25MB/s(200Mbps)速率产生数据,向网络发送1MB的数据(即以25MB/s速率发送了40ms),而网络的最佳传输速率不超过2MB/s,为了降低传送速率,令漏桶的ρ=2MB/s,因此1MB的数据将传输500ms.

令牌桶法令牌桶以每隔ΔT秒产生令牌,分组得到令牌后就可发送举例设突发长度为S秒,令牌桶容量Cbytes,令牌产生速率为ρbytes/s,计算机最大数据速率Mbytes/s.
设前例中,C=250KB,M=25MB/s,ρ=2MB/sC+ρs=MSS=C/(M-ρ)=11ms剩余的以2MB/s发送364msC=250kBC=500kBC=750kBC=500kB令牌桶加10MB/s漏桶服务质量(QoS)控制技术综合服务(IntServ,IntegratedServices)资源预留(RSVP协议)接入控制基于流的QOS控制技术,不适合大规模使用区分服务(DiffServ,DifferentiatedServices)在分组的TOS域中标记基于类的QOS控制,但不是严格意义的QOS多协议标记交换(MPLS,Multi-ProtocolLabelSwitching)6.
5网络互连为什么需要互连怎样互连有哪些互连设备为什么需要互连/怎样互连距离:由于媒体的传输距离有限(100mor185mor500mor2.
5km)中继器:延长传输距离容量:同一网段的所有主机共享(10or100Mbps),异种LAN的互连网桥/以太网交换机:隔离碰撞域,转发数据帧,第二层连接设备路由:物理地址不具备广域可寻路特性,广播数据,异种网络的互连路由器:隔离广播域,转发分组,第三层连接设备交换机(虚电路):在面向连接的网络(X.
25,ATM,帧中继)中,级联逻辑链路互连设备Repeater/HubBridge/SwitchRouter/L3SwitchGateway互连设备的功能网络连接设备有repeaterorhub:在物理层透明地复制比特流,以补偿信号的衰减bridgeorswitch:在不同的LAN间存储转发帧,必要时要进行链路层的协议转换router:在不同的网络间存储转发发组,必要时进行网络层协议转换Gateway:指对高层协议进行转换的协议转换器RepeatersJoinstwosegmentsofcableOnlyonepathofsegmentsandrepeatersbetweenanytwostations-cannothaveloopsAttempttoforwardallFrames-errorframeswillbeforwardedNologicalisolationofsegmentsCollisiondomainsarenotisolated-iftwostationsondifferentsegmentssendatthesametime,packetswillcollideBroadcastdomainsarenotisolatedHasnoeffectonMACorNetworkAddressesSegmentedBasebandwithRepeatersRepeaterscandoMediaConversionClientClientClientClientPrinterRepeaterThickThinnetServerNodeNodeNode10BaseTHubEthernetStarHubsHubisamultiportrepeaterSharedmediumhubCentralhubHubretransmitsincomingsignaltoalloutgoinglinesOnlyonestationcantransmitatatimeWitha10MbpsLAN,totalcapacityis10MbpsBridgesAbridgeisadevicewhichhastwoormoreportswhichcanbeconnectedtoavarietyofmediatypes,andprovidesamechanismforthefilteringandforwardingofdataframesamongtheportswhilebuildingonelargelogicalnetwork.
OperatesattheDataLinkLayerSelectivelyforwardsframesErrorFrameswillnotbeforwardedCollisiondomainsareisolatedBroadcastdomainsarenotisolatedHasnoeffectonMACorNetworkAddressesBridgeOperationAbridgeisasimpledevicewhichsimplyrecognizestheMACaddressesontwoLANsandretransmitspacketsfromoneLANdestinedfordevicesontheother.
TheLANsusuallyneedtohavethesameMACformat.
Switches&SwitchedHubs交换机(switch)源自于多端口网桥(bridge),工作在第二层,采用存储-转发方式在各端口之间进行数据帧的交换交换机检测每个到达数据的帧头根据数据帧的目的MAC地址查找输出端口如果地址查找表中没有该表项,交换机就向所有端口(除接收端口)转发地址查找表是通过帧的源MAC地址与到达端口的对应关系建立的CapacitywithSwitchedHub10Mbps10Mbps10Mbps10MbpsDCBATotalcapacityN*10MbpsRoutersOperateattheNetworkLayerSelectivelyforwardspacketsErrorFrameswillnotbeforwardedCollisiondomainsareisolatedBroadcastdomainsareisolatedProtocolscanbeFilteredHasaneffectonMACAddressesbutnoeffectonNetworkAddressesPerPacketProcessinginanIProuter1.
Acceptpacketarrivingonanincominglink.
2.
Lookuppacketdestinationaddressintheforwardingtable,toidentifyoutgoingport(s).
3.
Manipulatepacketheader:e.
g.
,decrementTTL,updateheaderchecksum.
4.
Sendpackettotheoutgoingport(s).
5.
Bufferpacketinthequeue.
6.
Transmitpacketontooutgoinglink.
R1/R2:图中路由器的左/右接口MAC地址MB/MD:站点B/D的MAC地址ROUTERStn.
AStn.
BStn.
DStn.
CMACR1NETN1MACR2NETN2StationBwantstosendaframetoStationDMBR1MDR2目的MAC地址源MAC地址Gateway网关也称协议转换器,它是用于连接不同网络的高层网络互连设备应用层网关:在应用层连接两个网络,如IP电话网关传输层网关:在传输层连接两个网络安全网关,用于安全考虑的协议过滤,包过滤,内容过滤等,也称为防火墙,用于连接内外网络,保护内部网络的安全防火墙技术什么是防火墙防火墙是建立在两个网络的边界上的实现安全策略和网络通信监控的系统或系统组,强制执行对内部网和外部网的访问控制.
通过建立一整套规则和策略来监测、限制、更改跨越防火墙的数据流,达到保护内部网络的目的.

InternetIntranetFirewall防火墙的功能访问控制授权认证内容安全:病毒扫描、URL扫描、HTTP过滤加密路由器安全管理地址翻译均衡负载日志记帐、审计报警防火墙的技术分类包过滤型防火墙状态检测防火墙应用级网关型防火墙代理服务型防火墙复合型防火墙包过滤型防火墙包过滤(PacketFiltering)技术是在网络层对数据包进行选择选择的依据是系统内设置的过滤逻辑,被称为访问控制表(AccessControlTable)通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过.
工作在网络层和传输层.
包过滤防火墙包过滤设置规则:丢弃或通过默认丢弃:不被明确允许的将被禁止.
比较保守默认转发:不被明确禁止的允许通过数据包头部信息IP源地址和目标地址协议(TCP、UDP或ICMP包)TCP/UDP源和目的端口TCP头中的ACK位ICMP信息类型过滤规则举例TCP堡垒主机进行包过滤IP过滤路由器双宿主主机防火墙Internet内部网外部网防火墙InternetR内部网外部网路由器包过滤的优点:一个包过滤路由器即可保护整个网络不需要用户软件支撑,不需要对用户作特别培训包过滤产品比较容易获得包过滤的缺点:包过滤规则配置比较困难对包过滤规则配置的测试比较麻烦包过滤功能有种种局限性状态检测防火墙包过滤防火墙局限性:包过滤防火墙只通过简单的规则控制数据流的进出,没考虑高层的上下文信息具有未授权用户可利用的漏洞通过建立一个出网的TCP连接目录而加强TCP数据流的检测规则报文过滤机制只允许那些和目录中某个连接匹配的数据流通过防火墙已连接80177.
231.
32.
121035192.
168.
1.
106已连接25173.
66.
32.
1221033192.
168.
1.
101已连接80216.
32.
42.
1231031192.
168.
1.
102已连接80210.
9.
88.
291030192.
168.
1.
100连接状台目的端口目的地址源端口源地址应用级网关型防火墙应用级网关(ApplicationLevelGateways)是在网络应用层上建立协议过滤和转发功能.
它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告.

数据包过滤和应用网关防火墙有一个共同的特点,就是它们仅仅依靠特定的逻辑判定是否允许数据包通过.
一旦满足逻辑,则防火墙内外的计算机系统建立直接联系,防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击.

应用级网关(ApplicationLevelGateway)建立在网络应用层上基于主机的协议过滤、转发器,在用户和应用层之间提供访问控制.

Internet应用程序网关HTTP网关端口号要访问的端口号限制时间检查限制时间,结束用户访问最大进程个数能访问的进程个数要切断的ContentsContents(JavaApplet,JavaScript,ActiveX)前三种防火墙的比较包过滤防火墙状态检测防火墙应用层防火墙代理服务型防火墙代理服务(ProxyService)也称电路级网关或TCP通道(CircuitLevelGatewaysorTCPTunnels),也有人将它归于应用级网关一类.
它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信分为两段.
防火墙内外计算机系统间应用层的"链接",由两个终止代理服务器上的"链接"来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用.

此外,代理服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹.

代理服务器防火墙(ProxyServer)不允许外部网与内部网的直接通信,内外计算机应用层的连接由终止于ProxyServer上的连接来实现.
InternetR内部网代理服务器路由器复合型防火墙屏蔽主机防火墙体系结构:在该结构中,分组过滤路由器或防火墙与Internet相连,同时一个堡垒机安装在内部网络,通过在分组过滤路由器或防火墙上过滤规则的设置,使堡垒机成为Internet上其它节点所能到达的唯一节点,这确保了内部网络不受未授权外部用户的攻击.

屏蔽子网防火墙体系结构:堡垒机放在一个子网内,形成非军事化区,两个分组过滤路由器放在这一子网的两端,使这一子网与Internet及内部网络分离.
在屏蔽子网防火墙体系结构中,堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础.

屏蔽主机防火墙体系结构堡垒主机堡垒主机可以充当应用层网关和电路级网关的平台堡垒主机运行了安全加固的操作系统只有必须的服务才会安装在堡垒主机上包括一些代理应用,如TELNET、FTP等用户在访问代理服务之前,要先通过堡垒主机的附加认证机制屏蔽子网防火墙体系结构在主机过滤结构中增加一层停火区(DMZ)的安全机制,使内部网与外部网之间有两层隔断.

InternetR内部路由器外部网外部路由器内部网R堡垒主机停火区DMZ屏蔽子网防火墙体系结构(续)外部防火墙抵挡外部的攻击并管理所有内部网络对DMZ的访问.
内部防火墙管理DMZ对于内部网络的访问.
内部防火墙是内部网络的第二道安全防线,当外部防火墙失效的时候,它还可以起到保护内部网络的功能.
而局域网内对于internet的访问由内部防火墙和位于DMZ的堡垒主机控制.
在这样的结构里,一个黑客必须通过三个独立的区域(外部防火墙、内部防火墙和堡垒主机)才能够到达局域网.

小结了解网络层的基本功能,掌握虚电路与数据报基本概念,掌握拥塞控制、路由算法.
了解网络互连设备.