导图社区 6 网络工程

6 网络工程

软考高级信息系统项目管理师复习资料。

编辑于2020-07-31 15:16:39

七七

他的近期作品查看更多>>

5.1 软件工程
根据第四版《信息系统项目管理师》教材整理。如软件过程能力成熟度是指组织在提升软件产品开发能力或软件服务能力过程中，各个发展阶段的软件能力成熟度。
8.项目整合管理
根据《信息系统项目管理师》（第四版）整理，由项目经理负责，项目经理负责整合所有其他知识领域的成果，并掌握项目总体情况。整合是项目经理的一项关键技能。
5.4 安全工程
根据第四版《信息系统项目管理师》教材整理，信息安全系统工程就是要建造一个信息安全系统，它是整个信息系统工程的一部分，而且最好是与业务应用信息系统工程同步进行，主要围绕“信息安全”内容

6 网络工程

社区模板帮助中心，点此进入>>

七七

他的近期作品查看更多>>

相似推荐
大纲

6.网络工程

网络

网络是一系列可以用于通信的设备相互连接构成的。

设备可以是主机（端系统），如大型计算机、台式机、便携式计算机、工作站、手机或安全系统等。

设备也可以是连接设备，路由器、交换机、调制解调器。

局域网（LAN）

通常指单个办公室、建筑或校园内的几个主机相连的私有网络。

每台主机都有在局域网中唯一定义的一个标识符和一个地址。

一台主机向另一台主机发送的数据包中包括源主机和目标主机的地址。

广域网（WAN）

可以横跨一个城镇、一个州、一个国家甚至世界，将交换机、路由器或调制解调器之类的设备互连。

点对点广域网

交换广域网

有至少两个端

互联网络

当两个或多个网络互相连接时，构成互联网络，也称为网际网。

因特网

网际网的一种，由成千上万个互连网络组成。

OSI参考模型与TCP/IP模型

TCP/IP协议族

分层架构

地址和数据包名称

协议分层

协议定义了发送器、接收器以及所有中间设备必须遵守以保证有效地通信的规则。

OSI参考模型

1. 物理层（Physical Layer）

由于网络只能传递0或1，因此物理层必须定义所使用的媒介的电压信号，同时还要了解资料帧（frame）转换为二进制数据串的编码方式，最后连接物理层并发送/接收数据。

2.数据链路层（Data-Link Layer）

在偏硬件部分，主要负责的是MAC（Media Access Control），称这个数据包为MAC帧，MAC是网络媒介所能处理的主要数据包，这也是最终被物理层编码成二进制的数据。MAC必须要经由通讯协议来取得媒介的使用权（通常是IEEE 802.3的以太网协议）

至于偏向软件的部，由逻辑连接层（Logial link control，LLC）所控制，主要在多工处理来自上层的封包资料（packet）并转成MAC格式，负责的工作包括信息交换、流量控制、错误问题的处理等。

3. 网络层（Network Layer）

这一层定义了IP协议（Internet Protocol），同时也定义了电脑之间连接的建立、终止与维持等，数据封包的传输路径选择等。因此这一层最重要的除了IP之外，就是封包能否到达目的地的路由（route）的概念了。

4. 传输层（Transport Layer）

这一层定义了发送端与接收端的连线技术（如TCP，UDP技术），同时包括该技术的封包格式、数据包的传输、流程的控制、传输过程的检查与复原重新传输等等，以确保数据包可以准确到达目的端。

5. 会话层（Session Layer）

这一层定义了两个地址之间的连线通道的连接与中断，此外，也可以建立应用程序的对话、提供其他增强型服务如网络管理、签到签退、控制对话等等。如果说传输层是在判断数据包能否准确到达目标，那么会话层则是在确定网络服务建立连线的确认。

6. 表示层（Presentation Layer）

将来自本地端应用的数据格式转换（或者重新编码）成网络的标准格式，然后再交给下面传输层的协议进行处理。所以在这个层级主要是进行网络服务或者程序的转换，包括数据的加密、解密也是在这个层级处理。

7. 应用层（Application Layer）

应用层本身并不属于应用程序，而是在定义应用程序如何进入该层的通信界面，以将数据接收或传输给应用程序，最终展示给使用者。

TCP/IP模型

应用层

提供服务

应用层是协议的最高层，应用层的协议不向其他协议提供服务。

应用层模式

传统模式：客户机—服务器模式 (Client–server model) 简称C/S架构

服务提供者是一个应用程序，叫做服务进程，这个进程一直持续运转，等待另一个叫做客户端进程的应用程序通过因特网连接要求服务。通信负荷集中由服务器承担。

标准应用程序

万维网和超长文本传输协议

万维网（WWW或Web）

Web是具有连接分布在世界各地的文档中信息的存储库。

客户端（浏览器）

控制器、客户端协议、解释器

服务器

存储网页，当请求达到时，相应的文档会发送至客户端。

统一资源定位器（URL）

协议、主机、端口、路径

超长文本传输协议（HTTP）

超文本传输协议（HTTP）是一个用来定义如何编写客户机—服务器程序，以便于从网络中检索网页的协议。

文件传输协议（FTP）

文件传输协议（FTP）是TCP/IP提供的标准协议，用于从一台计算机复制文件到另一台计算机。

电子邮件（electronic mail 或 e-mail）

电子邮件允许客户交换信息。电子邮件是一个单向事务。

TELNET（TErminaL NETwork，终端网络）

最早的远程登录协议之一，以明文形式发送所有数据，包括密码。

安全外壳（SSH）

是一个可以用作多个目的（如远程登录和文件传输）的安全应用程序。

域名系统（DNS）

应用程序使用DNS来向对应的主机IP地址映射应用层标识符。

命名空间

把每一个地址映射到一个唯一的名称上，这些名称通常是分层进行组织的。

网络中的域名系统

一般域

一般域根据注册主机的一般行为对它们进行定义。

国家域

国家域部分使用两个字符组成的国家缩写。

新模式：端到端模式（peer-to-peer结构）简称P2P模式

一台与网络连接的计算机可以在一个时间段提供服务又在另一个时间段接收服务。一台计算机甚至可以在同一时间提供和接收服务。举例：网络电话

挑战

安全性

实用性

端到端模式

集中网络

分散网络

传输层

传输层服务

提供端到端的服务（源主机与目标主机）

可提供的服务

进程间通信

地址：端口号

传输层协议

用户数据报协议（UDP） User Datagram Protocol

是一种无连接的协议，每个数据报都是一个独立的信息，包括完整的源地址或目的地址，它在网络上以任何可能的路径传往目的地，因此能否到达目的地，到达目的地的时间以及内容的正确性都是不能被保证的。

传输控制协议（TCP） Tranfer Control Protocol

是一种面向连接的保证可靠传输的协议。通过TCP协议传输，得到的是一个顺序的无差错的数据流。

传输时会对数据进行分段，接受方根据序列号进行排序重组。

网络层

网络层提供的服务

负责源到目的地（计算机到计算机或主机到主机）的消息发送，向传输层提供服务。

服务

打包

源网络协议层协议从传输层协议接收数据包，添加包含源地址和目的地址以及其他网络层协议所需信息的头。

网络层协议在逻辑上将该数据包传递至目标处的网络层协议。

目标主机接收网络层数据包，解除有效负荷的封装并将其传输至上一层协议。

数据包传送

不可靠传递

网络层传递的数据包是不可靠的，数据包可能损毁、丢失或者重复。

无连接传递

网络层对每个数据包的处理是单独的。

路由

物理网络是网络（LAN和WAN）和连接这些网络的路由器的集合，从源到目的地有不止一条路线。网络层的责任是找到最优路线。

网络层协议

第4版网际协议（IPv4）

IPv4地址

表示法

二进制表示法

每8位空一格

十进制表示法

用点隔开

十六进制表示法

地址分层

前缀

定义网络

后缀

定义节点（设备和网络的连接）。

前缀与后缀的长度取决于网络（组织）的站点。

IPv4数据报

头

20~60字节，一个字节8位。

有效负荷

即数据。

第6版网际协议（IPv6）

IPv6地址

表示法

二进制表示法

冒号十六进制表示法

地址分层

站点（组织）、子网和到主机的连接。

IPv6数据报/IPv4数据报

头

40字节

有效负荷（数据）

ICMP

Internet控制报文协议，是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。如，网络通不通、主机是否可达、路由是否可用。

一种面向无连接的协议，用于传输出错报告控制信息。

数据链路层

协议

TCP/IP协议族没有定义数据链路层中的任何协议。

节点和链接

应用层、传输层和网络层的通信都是端到端的，数据链路层的通信是节点对节点的。

传统上会将两个端主机和路由器看作节点，他们之间的网络看作链接。

帧

每组数据被打包起来，称为帧。

目的地址（6字节）

源地址（6字节）

数据类型（2字节）

实际数据信息（46~1500字节）

循环校验位（4字节）

局域网

有线LAN：以太网

标准以太网（10Mps）

快速以太网（100Mps）

千兆以太网（1GMps）

万兆以太网（10GMps）

无线LAN

无线以太网（WiFi）

基本服务集，BSS

扩展服务集，ESS

蓝牙

临时网络，激励较短

广域网

有线WAN

点对点无线WAN

拨号上网服务

拨号网络或连接使用电话网络提供的服务来传输数据。

调制解调器

调制器

通过数据制造信号。

解调器

从调制信号中恢复数据。

数字用户线路（DSL）

ADSL

非对称数字用户线路

上行速率1.44Mbps，下行速率13.4Mbps。

VDSL

HDSL

SDSL

有线电视网络

交换式有线WAN

无线LAN

WiMax

全球互联接入

手机网络

卫星网络

由节点组合而成。节点可以是卫星、地球工作站、最终用户终端或电话。

物理层

在物理层的通信是节点对节点的，但节点交换的是电磁信号。

数据

模拟数据

连读的信息。

数字数据

离散的值。

信号

模拟信号

在一个时间段中有无限种不同的等级强度。

数字信号

只拥有有限个定义的值。

数字化传输

数数转换

将数字数据转换成数字信号。

模数转换

将模拟信号转换成数字数据。

模拟传输

数模转换

基于数字数据的信息改变模拟信号的某个特征的过程。

模模转换

基于模拟数据的信息转换成模拟信号的某个特征的过程。

网络工程

网络规划

网络需求分析

可行性分析

对现有网络的分析与描述

网络设计

模型

核心层

通过高速转发通信，提供优化、可靠的骨干传输结构

汇聚层

核心层和接入层的分界面，完成网络访问策略控制、数据包处理、过滤、寻址，以及其他数据处理的任务

接入层

允许终端用户连接到网络

工作

网络拓扑结构设计

总线型、星型（最常用）、环形。考虑因素有：地理环境、传输介质与距离以及可靠性

主干网络（核心层）设计

根据用户方网络规模大小、网上传输信息的种类和用户方可投入的资金等因素来考虑

汇聚层和接入层设计

汇聚层的存在与否取决于网络规模的大小

广域网连接与远程访问设计

根据网络规模的大小、网络用户的数量来选择

无线局域网设计

适用于很难布线的地方（比如受保护的建筑物、机场等）或者经常需要变动布线结构的地方（如展览馆等）

对于城市范围的网络接入也能适用，可以设想一个采用无线网络的ISP可以为一个城市的任何角落提供高速互联网接入

网络安全设计

网络系统的硬件、软件及其系统中的数据受到保护

设备选型

核心交换机选型、汇聚层/接入层交换机选项、远程接入与访问设备选型；网络安全设备选型包括防火窗选型、入侵检测设备选型、信息加密设备选型、身份认证设施选型。

综合布线系统，PSD Premises Distributed System

工作区子系统

由终端设备连接到信息插座之间的设备组成，包括信息插座、插座盒、连接跳线和适配器。

配线（水平子系统）

由工作区子系統的信息插座、水平电缆、配线设备等组成。

其中水平电缆最大长度为90米，配线架跳接至交换机、信息插座跳接至计算机总长度不超过10米，通信通道总长度不超过100米。

垂直干线子系统

由主设备间（比如计算机房、程控交换机房）提供建筑中最重要的铜线或光纤线缆主干线路：是整个大楼的信息交通枢纽。它不仅可以提供位于不同楼层的设备间和布线框间的多条连接路径，也可连接单层楼的大片地区。

设备间子系统

设备间是在每一幢大楼的适当地点设置进行设备，进行网络管理，以及网络管理人员值班的场所。由建筑物进线设备、电话、数计机等各种主机设备及其保安配线设备组成。

管理子系统

设置在每层配线设备的房间内。应由交接设备等组成。也可应用于设备间子糸统。

建筑群子系统

由连接各建筑物之间的综合布线缆线、建筑群配线设备和跳线等组成。建筑群子系统的线缆布设方式有4种：架空布线法、直埋布线法、地下管道布线法和隧道内电缆布线。

综合布线系统的适用范围是跨越距离不超过3000米，建筑总面积不超过100万平方米的综合布线区域，且区域内的人数为50一5万人。

网络实施

性能指标

网络接入技术

有线接入

PSTN（Public Switching Telephone Network，公用交换电话网络），64Kb/s，Modem（调制解调器），传真、POS机。

ADSL（Asymmetrical Digital Subscriber Loop，非对称数字用户线路），普通电话线，两种标准：G.DMT(需安装分离器）和G.Lite。

HFC（Hybrid Fiber-Coaxial，HFC）将光缆铺设到小区，然后通过光电转换节点，利用有线电视（Community Antenna Television，CATV）的总线式同轴电缆连接到用户，提供综合电信业务的技术。

FTTx+LAN（光纤+局域网）

FTTC（光纤到路边）

FTTZ（光纤到校区）

FTTB（光纤到楼）

FTTF（光纤到楼层）

FTTH（光纤到户）

无线接入

无线个人网（WPAN）

蓝牙、Zigbee、红外线技术、射频技术

无线局域网（WLAN）

WLAN（802.11a、802.11b及802.11g）、MMDS/LMDS、FSO

无线城域网

WiMAX

移动设备网络

2G：GSM（236Kbps）、CDMA2000（153Kbps）

3G：TD-SCDMA（2.8Mbps）、CDMA2000（3.1Mbps）、WCDMA（14.4Mbps）

4G：TD-LTE（100Mbps）、FDD-LTE（150Mbps）

5G（1GBbps）

传输介质

导向介质

双绞线

双绞线是一种柔性的通信电缆，包含着成对的绝缘铜线，它的特点是价格便宜，所以被广泛应用，如我们常见的电话线等。

分类

传输速率

3类

10mb/s

5类

100mb/s

超5类

155mb/s以上

是否屏蔽

屏蔽双绞线(stp)

stp双绞线虽然速率较低(只有4mb/s)，但抗干扰性比utp双绞线强，几元到十几元以上一米。

非屏蔽双绞线(utp)

utp双绞线价格一般在一米一元左右，比较低廉。

常用的10m和100m非屏蔽双绞线的流行叫法是10base-t和100base-t。

电口

基本概念

电口是相对光口来讲的，是指防火器的物理特性，主要指铜缆，是处理的电信号。目前使用普遍的网络接口有百兆电口和千兆电口等。

简单来说，电口就是普通的网线接口，一般速率为10M或者100M,部分支持1000M.电口的最远距离为100米。

电口就是我们常说的RJ45的端口也就是网线口，带网管的交换机可以进行交换机的功能以及权限的管理和在线监控设备状态，并且带有网络登陆功能。非网管型就是傻瓜型插上线就直接用，一般仅仅只有二层交换功能。

RJ45

RJ45接口通常用于数据传输，最常见的应用为网卡接口。

RJ45是各种不同接头的一种类型；RJ45头根据线的排序不同的法有两种，一种是橙白、橙、绿白、蓝、蓝白、绿、棕白、棕；另一种是绿白、绿、橙白、蓝、蓝白、橙、棕白、棕；因此使用RJ45接头的线也有两种即：直通线、交叉线。

RJ45型网卡接口

10 100base tx RJ45接口是常用的以太网接口，支持10兆和100兆自适应的网络连接速度，常见的RJ45接口有两类：用于以太网网卡、路由器以太网接口等的DTE类型，还有用于交换机等的DCE类型。 DTE我们可以称做“数据终端设备”，DCE我们可以称做“数据通信设备”。从某种意义来说，DTE设备称为“主动通信设备”，DCE设备称为“被动通信设备”。当两个类型一样的设备使用RJ45接口连接通信时，必须使用交叉线连接。

RJ45型网线插头

rj45水晶头，和双绞线配套使用，用于制作双绞线与网卡rj45接口间的接头。

RJ45 型网线插头又称水晶头，共有八芯做成，广泛应用于局域网和 ADSL 宽带上网用户的网络设备间网线(称作五类线或双绞线)的连接。

同轴电缆

由一层层的绝缘线包裹着中央铜导体的电缆线。

优点

它的最大特点就是抗干扰能力好，传输数据稳定，而且价格也便宜，如闭路电视线等。

缺点

同轴电缆组成的总线结构网络成本较低。但单条电缆的损坏可能导致整个网络瘫痪，维护也难。

分类

粗同轴电缆(10base5)

应用较少

细同轴电缆(10base2)

几元一米

同轴电缆是用来和bnc头相连的，市场上卖的同轴电缆线一般都是已和bnc头连接好了的成品。

光纤电缆

光纤可以用于音频（声卡有光输出的），网络（光纤作为传输介质），磁盘（光纤代替电缆传输数据）等等。

光口

光口，应用于机房、机柜等大型设备的一个光纤接口。也可称之为：G口 (G光纤口) 。

分类

单模光纤（SMF）

黄色的光纤线一般是单模光纤，纤芯很小，约4～10um，只传输主模态。

单模光纤芯径小（10m m左右），仅允许一个模式传输，色散小，工作在长波长（1310nm和1550nm），与光器件的耦合相对困难。

光在单模光纤中是沿着直线进行传播，无反射，使得传输频带很宽，传输容量很大。

这种光纤适用于大容量、长距离的光纤通信。单模光纤就能用在无中继的光通讯上。

多模光纤（MMF）

橘红色或者灰色的光纤线一般是多模光纤，多模的缆芯尺寸为50.0μm和62.5μm。

多模光纤芯径大（62.5m m或50m m），允许上百个模式传输，色散大，工作在850nm或1310nm。与光器件的耦合相对容易。

多模光纤中不同模式光的传波速度不同，因此多模光纤的传输距离很短。

分类

多模突变型光纤，纤芯直径较大，传输模态较多，因而带宽较窄，传输容量较小；

多模渐变型光纤，纤芯中折射率随着半径的增加而减少，可获得比较小的模态色散，因而频带较宽，传输容量较大，目前应用较广。

单模光模块与多模光模块

光模块中的单模与多模，实际上是指与光模块连接的光纤种类。

单模（SM）光模块使用局限性小，适用于远距离数据传输。

多模（MM）光模块可以传输多种模式的光，适用于近距离传输。

单模光模块与多模光模块的区别

波长不同

多模光模块的工作波长一般是850nm，拉环为黑色；单模光模块的工作波长一般是1310nm（拉环蓝色）、1550nm（拉环黄色或者绿色），1490nm（拉环紫色）。

传输距离不同

单模光模块常用于远距离传输，传输距离可达150至200km。多模光模块则多用于短距离传输中，传输距离2km以下都可使用多模光模块。

光纤类型不同

按照光模块在光纤中的传输模式光纤可分为单模光纤和多模光纤。多模光纤（MMF）纤径一般为50/125μm或者62.5/125μm，单模光纤（SMF）纤径为9/125μm

光源不同

单模光模块的光源是LD或光谱线较窄的LED，多模光模块的光源是发光二极管或激光器。

应用范围不同

单模光模块多用于传输速率相对较高距离相对较远的线路中，如城域网建设。

多模光模块多用于短距离的传输中，网络节点和接头较多的传输也非常适合多模光模块的应用。

多模设备只能在多模光纤上有效运行，而单模设备在单模光纤和多模光纤上都可以运行，但是单模设备在多模光纤上不能保障效果。

价格不同

虽然单模光纤比多模光纤便宜，但是单模光模块却要远远高于多模光模块

使用单模光模块时，接收功率要有余量。多模光模块只能发送一种波长的信号，不能与复用器配合使用。多模光模块只限于在多模光纤上运行。

光模块

按功能分

光接收模块

光发送模块

光收发一体模块

光转发模块

封装形式

GBIC

GBIC(Gigabit Interface Converter的缩写)，是将千兆位电信号转换为光信号的接口器件。GBIC设计上可以为热插拔使用。

SFP

SFP （Small Form-factor Pluggable）可以简单的理解为GBIC的升级版本。体积比GBIC模块减少一半，可以在相同面板上配置多出一倍以上的端口数量。

在吉比特以太网和1G、2G、4G光纤通道上SFP已经得到了广泛应用。

SFP联接网络设备如交换机、路由器等设备的主板和光纤或UTP线缆。

SFP支持SONET、Gigabit Ethernet、光纤通道（Fiber Channel）以及一些其他通信标准。

SFP

SFP+光收发器是SFP（有时也称作“mini-GBIC“）的升级。SFP+设计了比SFP增强的电磁屏蔽与信号保护特性，速率更高。

非导向介质

无线

无线电波

3kHz ~ 1GHz，常用于无线电通信。

微波

1 ~ 300GHz，没有方向性，发送和接收微波的天线需要对齐。

红外波

300GHz ~ 300THz ，用于短程通信，无法穿透墙壁。

网络设备

网卡（Network Interface）

使计算连网的网络设备。

网关（Gateway）

在网络层以上实现网络互连，仅用于两个高层协议不同的网络互连。网关是一种充当转换重任的计算机系统或设备。

负责协议转换和数据转发。

在同一种协议之间转发数据叫做运用网关。

路由器（Router）

工作在OSI的第三层-网络层连接网络与网络的设备。可以将分组报文发送到另一个目标路由器地址。具有分担网络负荷、网络安全功能。

基本上可以连接任意两个数据链路。

交换机（Switch）

交换机可以说同时是集线器和网桥的升级换代产品，因为交换机具有集线器一样的集中连接功能，同时它又具有网桥的数据交换功能。所以可以这样说，交换机是带有交换功能的集线器，或者说交换机是多端口的网桥。这一类交换机工作于ISO模型的第二层-数据链路层。

4-7层交换机可用于带宽控制、特殊应用访问加速、防火墙等。

网桥（Bridge）

工作在OSI模型的第二层-数据链路层连接两个网络的设备。

根据数据帧内容转发数据给其他相邻的网络。

基本只用于连接相同类型的网络，有时候也连接传输速率不一致的网络。

网桥是一种对帧进行转发的技术，根据MAC分区块，可隔离碰撞。

具备“自学习”机制，网桥对站点所处网段的了解是靠“自学习”实现的，有透明网桥、转换网桥、封装网桥、源路由选择网桥。

以太网中常用的交换集线器也是网桥的一种。

中继器（RP Repeater）

工作在物理层上的连接设备，OSI模型的物理层设备。

适用于完全相同的两类网络的互连，主要功能是通过对数据信号的重新发送或者转发，来扩大网络传输的距离。

中继器是对信号进行再生和还原的网络设备。

即使数据在链路层出现错误，中继器依然转发数据。

不改变传输速度。

不能在传输速度不一致的媒介之间转发。

有些中继器提供多个端口服务，这种中继器被称为中继集线器或集线器。

安全设备

防火墙（ Firewall）

定义

防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。

防火墙（Firewall）是一个架设在互联网与企业内网之间的信息安全系统，根据企业预定的策略来监控往来的传输。

分类

包过滤防火墙

基于网络层的信息和传输层的头部：源和目标IP地址，源和目标端口地址以及协议的种类（TCP或UDP）来推进或阻拦数据包。

包过滤防火墙是一个使用过滤表单决定哪些数据包应该丢弃的路由器。

代理防火墙

基于应用层，通过URL进行过滤。

应用网关。当外部进程发送消息时，应用网关运行服务器进程来接收请求。服务器进程在应用层打开数据包并且查找这个请求是否合法。

功能

入侵检测功能

网络防火墙技术的主要功能之一就是入侵检测功能，主要有反端口扫描、检测拒绝服务工具、检测CGI/IIS服务器入侵、检测木马或者网络蠕虫攻击、检测缓冲区溢出攻击等功能，可以极大程度上减少网络威胁因素的入侵，有效阻挡大多数网络安全攻击。

网络地址转换功能

利用防火墙技术可以有效实现内部网络或者外部网络的IP地址转换，可以分为源地址转换和目的地址转换，即SNAT和NAT。SNAT主要用于隐藏内部网络结构，避免受到来自外部网络的非法访问和恶意攻击，有效缓解地址空间的短缺问题，而DNAT主要用于外网主机访问内网主机，以此避免内部网络被攻击。

网络操作的审计监控功能

通过此功能可以有效对系统管理的所有操作以及安全信息进行记录，提供有关网络使用情况的统计数据，方便计算机网络管理以进行信息追踪。

强化网络安全服务

防火墙技术管理可以实现集中化的安全管理，将安全系统装配在防火墙上，在信息访问的途径中就可以实现对网络信息安全的监管。

部署方式

网关模式

网关模式是现在用的最多的模式，可以替代路由器并提供更多的功能，适用于各种类型企业

透明模式

透明部署是在不改变现有网络结构的情况下，将防火墙以透明网桥的模式串联到企业的网络中间，通过包过滤规则进行访问控制，做安全域的划分。

高可用性：为了保证网络可靠性，现在设备都支持主 - 主、主- 备，等各种部署。

网闸（GAP）

网闸工作在链路层，是在两个不同安全域之间，通过协议转换的手段，以信息摆渡的方式实现数据交换，且只有被系统明确要求传输的信息才可以通过。

原理

内网处理单元

包括内网接口单元与内网数据缓冲区。接口部分负责与内网的连接，并终止内网用户的网络连接，对数据进行安全检测、用户身份确认，确保数据的安全通道；数据缓冲区是存放并调度剥离后的数据，负责与隔离交换单元的数据交换。

外网处理单元

与内网处理单元功能相同，但处理的是外网连接。

隔离与交换控制控制单元

是网闸隔离控制的摆渡控制，控制交换通道的开启与关闭。控制单元中包含一个数据交换区，就是数据交换中的摆渡船。

摆渡开关是电子倒换开关，让数据交换区与内外网在任意时刻的不同时连接，形成空间间隔GAP，实现物理隔离。

通道方式是在内外网之间改变通讯模式，中断了内外网的直接连接，采用私密的通讯手段形成内外网的物理隔离。该单元中有一个数据交换区，作为交换数据的中转。

应用

WAF (Web Application Firewall) web 应用防护系统

定义：WAF是一种基础的安全保护模块，通过特征提取和分块检索技术进行特征匹配，主要针对 HTTP访问的Web程序保护。

WAF部署在Web应用程序前面，在用户请求到达 Web 服务器前对用户请求进行扫描和过滤，分析并校验每个用户请求的网络包，确保每个用户请求有效且安全，对无效或有攻击行为的请求进行阻断或隔离。通过检查HTTP流量，可以防止源自Web应用程序的安全漏洞（如SQL注入，跨站脚本（XSS），文件包含和安全配置错误）的攻击。

部署：通常部署在 web应用服务器前进行防护IPS也能检测出部分web攻击，但没有WAF针对性强，所以根据防护对象不同选用不同设备，效果更好。

入侵检测（ IDS）

定义：依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

功能：通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象

部署

要求

IDS应当挂接在所有所关注流量都必须流经的链路上。

原则

尽可能靠近攻击源；

尽可能靠近受保护资源。

位置

服务器区域的交换机上；

Internet接入路由器之后的第一台交换机上；

重点保护网段的局域网交换机上。

入侵检测系统是等保三级中必配设备。

入侵防御 (IPS)

定义

入侵预防系统（Intrusion Prevention System，缩写为IPS），又称为入侵侦测与预防系统（intrusion detection and prevention systems，缩写为IDPS），是计算机网络安全设施，是对防病毒软件（Antivirus Softwares）和防火墙的补充。

功能

入侵预防系统是一部能够监视网络或网络设备的网络数据传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络数据传输行为。

入侵预防系统专门深入网络数据内部，查找它所认识的攻击代码特征，过滤有害数据流，丢弃有害数据包，并进行记载，以便事后分析。

大多数入侵预防系统同时结合考虑应用程序或网络传输层的异常情况，来辅助识别入侵和攻击。

入侵预防系统一般作为防火墙和防病毒软件的补充来投入使用。在必要时，它还可以为追究攻击者的刑事责任而提供法律上有效的证据（forensic）。

部署方式：同防毒墙。

统一威胁安全网关 (UTM)

定义：简单的理解，把威胁都统一了，其实就是把上面三个设备整合到一起了。

功能：同时具备防火墙、防毒墙、入侵防护三个设备的功能。

部署方式：因为可以代替防火墙功能，所以部署方式同防火墙现在大多数厂商，防病毒和入侵防护已经作为防火墙的模块来用，在不考虑硬件性能以及费用的情况下，开启了防病毒模块和入侵防护模块的防火墙，和UTM其实是一样的。至于为什么网络中同时会出现 UTM和防火墙、防病毒、入侵检测同时出现。第一，实际需要，在服务器区前部署防毒墙，防护外网病毒的同时，也可以检测和防护内网用户对服务器的攻击。第二，花钱，大家都懂的。

网络安全审计

定义：审计网络方面的相关内容。

功能：针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。

满足用户对互联网行为审计备案及安全保护措施的要求，提供完整的上网记录，便于信息追踪、系统安全管理和风险防范。

部署：采用旁路部署模式，通过在核心交换机上设置镜像口，将镜像数据发送到审计设备。

数据库安全审计

定义：数据库安全审计系统主要用于监视并记录对数据库服务器的各类操作行为。

针对数据库SQL注入、风险操作等数据库风险操作行为进行记录与告警。

功能：审计对数据库的各类操作，精确到每一条 SQL命令，并有强大的报表功能。

部署：采用旁路部署模式，通过在核心交换机上设置镜像口，将镜像数据发送到审计设备。

日志审计

定义：集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息，经过规范化、过滤、归并和告警分析等处理后，以统一格式的日志形式进行集中存储和管理，结合丰富的日志统计汇总及关联分析功能，实现对信息系统日志的全面审计。

功能：通过对网络设备、安全设备、主机和应用系统日志进行全面的标准化处理，及时发现各种安全威胁、异常行为事件，为管理人员提供全局的视角，确保客户业务的不间断运营安全部署：旁路模式部署。通常由设备发送日志到审计设备，或在服务器中安装代理，由代理发送日志到审计设备。

运维安全审计 ( 堡垒机 )

定义：在一个特定的网络环境下，为了保障网络和数据不受来自内部合法用户的不合规操作带来的系统损坏和数据泄露，而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动，以便集中报警、记录、分析、处理的一种技术手段。

功能：主要是针对运维人员维护过程的全面跟踪、控制、记录、回放，以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放。

部署：旁路模式部署。使用防火墙对服务器访问权限进行限制，只能通过堡垒机对网络设备/服务器/数据库等系统操作。

可以看出审计产品最终的目的都是审计，只不过是审计的内容不同而已，根据不同需求选择不同的审计产品，一旦出现攻击、非法操作、违规操作、误操作等行为，对事后处理提供有利证据。

上网行为管理

定义：顾名思义，就是对上网行为进行管理

功能：对上网用户进行流量管理、上网行为日志进行审计、对应用软件或站点进行阻止或流量限制、关键字过滤等

部署方式

网关部署：中小型企业网络较为简单，可使用上网行为管理作为网关，代替路由器或防火墙并同时具备上网行为管理功能

透明部署：大多数情况下，企业会选择透明部署模式，将设备部署在网关与核心交换之间，对上网数据进行管理

旁路部署：仅需要上网行为管理审计功能时，也可选择旁路部署模式，在核心交换机上配置镜像口将数据发送给上网行为管理

负载均衡

定义

将网络或应用多个工作分摊进行并同时完成，一般分为链路负载和应用负载 ( 服务器负载 )

功能

确保用户的业务应用能够快速、安全、可靠地交付给内部员工和外部服务群,扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。

部署

旁路模式：通常使用负载均衡进行应用负载时，旁路部署在相关应用服务器交换机上，进行应用负载

网关模式：通常使用链路负载时，使用网关模式部署

代理模式

漏洞扫描

定义：漏洞扫描是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用的漏洞的一种安全检测（渗透攻击）行为。

漏洞扫描器是一类自动检测本地或远程主机安全弱点的程序，它能够快速的准确的发现扫描目标存在的漏洞并提供给使用者扫描结果。

工作原理是扫描器向目标计算机发送数据包，然后根据对方反馈的信息来判断对方的操作系统类型、开发端口、提供的服务等敏感信息。

功能：根据自身漏洞库对目标进行脆弱性检测，并生产相关报告，提供漏洞修复意见等。一般企业使用漏洞扫描较少，主要是大型网络及等、分保检测机构使用较多。

部署：旁路部署，通常旁路部署在核心交换机上，与检测目标网络可达即可。

异常流量清洗

功能：对异常流量的牵引、 DDoS流量清洗、 P2P带宽控制、流量回注，也是现有针对 DDOS攻击防护的主要设备

部署：旁路部署

VPN

定义

VPN （ Virtual Private Network ）虚拟专用网络 ,是一种常用于连接中、大型企业或团体与团体间的私人网络的通讯方法。简单的讲就是因为一些特定的需求，在网络与网络之间，或终端与网络之间建立虚拟的专用网络，通过加密隧道进行数据传输 ( 当然也有不加密的 ) ，因其部署方便且具有一定的安全保障，被广泛运用到各个网络环境中。

VPN分类

常见的VPN有L2TP VPN 、PPTP VPN、IPSEC、VPN、SSL、VPN以及 MPLS VPN。

MPLS VPN运营商使用较多，使用场景多为总部与分支机构之间。其他VPN因部署方便，成本较低成为现在使用最为广泛的VPN。

L2TP VPN与 PPTP VPN因使用的隧道协议都属于二层协议，所以也称为二层 VPN。IPSEC VPN则采用IPSec 协议，属于三层VPN。

IPSEC VPN

定义：采用 IPSec 协议来实现远程接入的一种 VPN技术。把 IPSECVPN放到网络安全防护里，通过加密隧道访问网络。

功能：通过使用 IPSECVPN使客户端或一个网络与另外一个网络连接起来，多数用在分支机构与总部连接。

部署方式：网关模式、旁路模式

SSL VPN

定义：采用 SSL协议的一种 VPN技术，相比 IPSEC VPN使用起来要更加方便，使用浏览器即可使用。

功能：除了移动办公使用，通过浏览器登录SSLVPN连接到其他网络也十分方便， IPSEC VPN更倾向网络接入，而 SSL VPN更倾向对应用发布。

部署：旁路部署。

部署模式主要采用网关模式和旁路模式部署两种，使用专业VPN硬件设备建立VPN时多为旁路部署模式，对现有网络不需要改动，即使 VPN设备出现问题也不会影响现有网络。使用防火墙 / 路由器自带VPN功能建立 VPN时, 随其硬件部署模式部署。

实现方式

使用专业 VPN软件来

优点：投入较少，部署比较灵活

缺点：稳定性受服务器硬件、操作系统等因素影响

使用服务器自行架设 VPN服务器，windows 服务器为主

优点：投入较少，部署比较灵活， windows 系统自带

缺点：稳定性受服务器硬件、操作系统等因素影响，需自行配置

使用防火墙 / 路由器设备自带 VPN功能

优点：投入较少，稳定性好

缺点：因使用现有设备自带 VPN模块，对 VPN访问量较大的需求不建议使用，以免出现设备性能不足影响防火墙 / 路由器使用。作为现有设备的自带模块，无法满足用户特殊要求。部署方式相对固定

使用专业的 VPN硬件设备

优点：产品成熟适用于各种 VPN场景应用，功能强大，性能稳定。

缺点：比较花钱，需购买硬件设备和用户授权

网络服务器

网络服务器是指在网络环境下运行相应的应用软件，为网上用户提供共享信息资源和各种服务的一种高性能计算机（或者计算机集群），Server 或者 Cluster。

体系结构

CPU、内存、硬盘、总线

性能指标