一、防火墻區(qū)域結構

????????防火墻按安全級別不同，可劃分為內網、外網和 DMZ 區(qū)。

(1) 內網。

????????內網是防火墻的重點保護區(qū)域，包含單位網絡內部的所有網絡設備和主機。該區(qū)域是可信的，內網發(fā)出的連接較少進行過濾和審計。

(2) 外網。

????????外網是防火墻重點防范的對象，針對單位外部訪問用戶、服務器和終端。外網發(fā)起的通信必須按照防火墻設定的規(guī)則進行過濾和審計，不符合條件的則不允許訪問。

(3) DMZ X (Demilitarized Zone)

????????DMZ 區(qū)是一個邏輯區(qū)，從內網中劃分出來，包含向外網提供服務的服務器集合DMZ 中的服務器有 Web 服務器、郵件服務器、FTP 服務器、外部 DNS 服務器等。DMZ 區(qū)保護級別較低，可以按要求放開某些服務和應用。

二、安全域間與方向

????????防火墻的安全防范能力取決于防火墻中設置的安全策略。防火墻中任意兩個安全區(qū)域之間構成一個安全域間 (Interzone) ，防火墻的大部分安全策略都是在安全域間配置的。在同一個安全域間內轉發(fā)的流量，安全域間設置的安全策略是不起作用的。安全域間的數(shù)據(jù)流動具有方向性，包括入方向 (Ibound) 和出方向( utbound)。

????????1) 入方向:數(shù)據(jù)由低優(yōu)先級的安全區(qū)域向高優(yōu)先級的安全區(qū)域傳輸。

????????2) 出方向: 數(shù)據(jù)由高優(yōu)先級的安全區(qū)域向低優(yōu)先級的安全區(qū)域傳輸。

????????通常情況下，安全域間的兩個方向上都有信息傳輸。在判斷方向時，以發(fā)起該條流量的第一個報文為準。例如，在 Trust 區(qū)域的一臺主機發(fā)起向 Untrust 區(qū)域的某服務器的連接請求。由于 Untrust 區(qū)域的安全級別比 Trust 區(qū)域低，所以防火墻認為這個報文屬于 Outbound 方向，并根據(jù) Outbound 方向上的安全策略決定是放行還是丟棄。

?三、配置采用 IKE 協(xié)商方式建立 IPSec 隧道的基本步如下:

????????(1) 配置接口的 IP 地址和到對端的靜態(tài)路由，保證兩端路由可達。

????????(2)配置 ACL，以定義需要 IPSec 保護的數(shù)據(jù)流。

????????(3) 配置 IPSec 安全提議，定義 IPSec 的保護方法。

????????(4)配置 IKE 對等體，確定對等體間 IKE 協(xié)商時的參數(shù)。

????????(5) 配置安全策略，并引用 ACL、IPSec 安全提議和 IKE 對等體，確定對每種數(shù)據(jù)流采取的保護方法。

????????(6) 在接口上應用安全策略組，使接口具有 IPSec 的保護功能。

四、OSI參考模型

? ? ? ? 本部分的相關知識點有:服務訪問點的定義和組成;OSI 參考模型各層的定義、功能和數(shù)據(jù)單位;OSI參考模型各子層對應的具體協(xié)議。

????????國際標準化組織提出了一個互聯(lián)的標準框架，即著名的開放系統(tǒng)互連參考模型，簡稱OSI模型。開放系統(tǒng)互連參考模型分七層，從低到高分別是物理層、數(shù)據(jù)鏈路層、網絡層、傳輸層、
會話層、表示層和應用層。

1.物理層

????????物理層位于OSI/RM參考模型的最底層，為數(shù)據(jù)鏈路層實體提供建立、傳輸、釋放所必需的物理連接，并且提供透明的比特流傳輸。

2，數(shù)據(jù)鏈路層

????????數(shù)據(jù)鏈路可以理解為數(shù)據(jù)的通道，是物理鏈路加上必要的通信協(xié)議而組成的邏輯鏈路。數(shù)據(jù)鏈路層的數(shù)據(jù)單位是幀，具有流量控制功能。而鏈路是相鄰兩結點間的物理線路。局域網中的數(shù)據(jù)鏈路層可以分為邏輯鏈路控制和介質訪問控制兩個子層。

3，網絡層

????????網絡層控制子網的通信，其主要功能是提供路由選擇，即選擇到達目的主機的最優(yōu)路徑，并沿著該路徑傳輸數(shù)據(jù)包。

4.傳輸層

????????傳輸層利用實現(xiàn)可靠的端到端的數(shù)據(jù)傳輸能實現(xiàn)數(shù)據(jù)分段、傳輸和組裝，還提供差錯控制和流量/擁塞控制等功能。

5.會話層

????????會話層允許不同機器上的用戶之間建立會話。?

6.表示層

????????表示層提供一種通用的數(shù)據(jù)描述格式，便于不同系統(tǒng)間的機器進行信息轉換和相互操作，如表示層完成 EBCDIC編碼(大型機上使用)和 ASCII碼(PC 機上使用)之間的轉換。表示層的主要功能有:數(shù)據(jù)語法轉換、語法表示、數(shù)據(jù)加密和解密、數(shù)據(jù)壓縮和解壓。

7.應用層

????????應用層位于OSI/RM 參考模型的最高層，直接針對用戶的需要。應用層向應用程序提供服務這些服務按其向應用程序提供的特性分成組，并稱為服務元素。網絡工程師考試涉及的重要考點及概念:

(1)封裝。

????????OSI/RM參考模型的許多層都使用特定方式描述信道中來回傳送的數(shù)據(jù)。數(shù)據(jù)在從高層向低層傳送的過程中，每層都對接收到的原始數(shù)據(jù)添加信息，通常是附加一個報頭和報尾，這個過程稱為封裝。

(2)網絡協(xié)議。

????????網絡協(xié)議(簡稱協(xié)議)是網絡中的數(shù)據(jù)交換建立的一系列規(guī)則、標準或約定協(xié)議是控制兩個(或多個)對等實體進行通信的集合。網絡協(xié)議由語法、語義和時序關系三個要素組成。

(3) PDU。

????????協(xié)議數(shù)據(jù)單元是指對等層次之間傳送的數(shù)據(jù)單位。

五、TCP/IP 參考模型

????????TCP/IP 參考模型包含應用層、傳輸層、網際層和網絡接口層。本部分的相關知識點有:各種常見的協(xié)議對應的層次關系。

(1)應用層。

????????TCP/IP 參考模型的應用層包含了所有高層協(xié)議。該層與OSI的會話層、表示層和應用層相對應。

(2)傳輸層。

????????TCP/P 參考模型的傳輸層與 OSI的傳輸層相對應。該層允許源主機與目標主機上的對等體之間進行對話。該層定義了兩個端到端的傳輸協(xié)議:TCP協(xié)議和UDP協(xié)議。

(3)網際層。

????????TCP/IP 參考模型的網際層對應OSI的網絡層。該層負責為經過邏輯互聯(lián)網絡路
徑的數(shù)據(jù)進行路由選擇。

(4) 網絡接口層。

????????TCP/IP 參考模型的最底層是網絡接口層，該層在 TCP/IP 參考模型中并沒有明確規(guī)定。文章來源地址http://www.zghlxwxcb.cn/news/detail-739996.html

到了這里，關于網絡工程師應知應會：基礎知識（5）的文章就介紹完了。如果您還想了解更多內容，請在右上角搜索TOY模板網以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網！