定义清晰架构,通常由边缘和核心路由器组成网络范围通常遍及区域、国家或甚至全球范围,“点点存在”位于战略位置网络架构用硬件和物理植物冗余构建,提供高可用性和故障容度网络能力支持最大尺度
清晰边界划分提供方并客户端网络设备在大多数情况下,谁拥有所有装置,这些装置负责什么,授权谁访问所有特定装置和服务都很清楚。企业网络也是如此,但在服务提供方如何区分网络方面有一些差异。服务提供者网络有两种边缘首先是服务提供者网络与其客户网络之间的边缘二级为对接边缘,边缘服务提供者网络互连增加不同的IP交通平面复杂性,因为两个独立网络与独立IP交通平面互连安全在这里特别重要
一套定义清晰IP协议,包括IPP和多边网关协议GP完全内部运行网络,通常不包含客户IP地址BGP通常运行服务提供商与企业网络和对等网络,并包含可公开处理IP地址空间IPVPNs可使用IGP或BGP协议中还定义了支持网络管理的其他协议(如SNMP、syslog、FTP等)、计费等
图1-2显示公共服务提供网络架构
将服务提供者网络与企业网络比较很有趣,因为它们流量大相径庭。在许多方面,可视之为对立
第一企业网络几乎总显示硬化边际上网, 禁止路由内源交通回流或严格控制外部源交通均指向定义清晰的公开发布服务服务提供者则相反网络建设允许所有交通畅通无阻边缘设计为宽开放-一切交叉点,除非明文禁止跨边界
第二,企业网络建设是为了通信或完全留在网络内或到达网络核心(内部)。企业几乎总使用标注设备如防火墙控制外部流量服务提供者网络正反向反向外部客户流量绝不应运达核心设备或网络元素反之,预期流量转口网络-即预期它发至服务提供者网络外的其他地点此外,由于交通量大,服务提供网络中发现多出入口,防火墙和入侵保护系统等有型交通装置很少用于过境交通。服务提供方的任务是尽快向最终目的地转发包
概念服务提供者网络架构
特征为服务提供者网络安全IP交通平面提供基础,后段将详细学习此外,第9章“服务提供者网络案例研究”提供详细案例研究服务提供者网络安全
网络设计为何如此重要主要因为网络建设方式-从结构学到寻址计划到硬件选择-极大影响网络安全性(或易易易易性)网络设计为IP交通平面定义和如何安全提供基础IP交通平面讨论前,需要快速审查IP协议操作
IP协议运维
基本上所有网络都分两种包数据包属于客户并承载客户应用流量控制包内存网络并载运网络操作和路由协议传输诚然,这些大类中每一类中需要进一步完善才能理解IP网络设计和协议操作的全部复杂性光靠这两种交通类型简化视图 帮助说明概念
私钥线、ISDN、Frame中继和ATM等遗留网络使用单独的控制通道和数据通道分割并搭载这两种交通类型ISDN使用三角通道构建并维护网络,并用无记名通道承载客户流量框架中继使用单控虚拟电路构建管理所有数据VCs和数据VC载客量严格分离控制流量与客户数据流量,加之封闭受控用户群,导致网络环境相对安全
虽然这些网络无法免攻击,但实际攻击这些网络所必要的恶意知识尚不为人知。此外,没有像IP那样的“全局可达性”。网络元素不易为客户交通所获取,直接攻击不易实现多数安全问题与配置错误相关,服务中断与网络元件硬件或软件缺陷或基本提供错误(常为人)相关同属性还导致不弹性和低效率,使这些网络无法生存于今日任何地方或时地全球通信世界中。IP支配网络世界, 原因主要在于它无连接性、无对无性质、开放标准架构和对链层技术的普遍支持
互联网协议技术完全指传输控制协议/互联网协议套件TCP/IP协议套件分割主对主网络编译层的复杂任务,每一层代表数据跨互联网工作环境传递时函数实现层通常不定义单协议,而由数个协议执行数据通信函数,可在该层操作每一项协议都与远程系统等值层同位协议通信每项协议只关注对端通信,不关注上层或下层,除非数据必须在单设备层间传递开放系统互连性七层参考模型常用描述IP协议数据通信使用层的结构和功能,尽管TCP/IP映射至7层不精确OSI七层模型插图图1-3.
TCP/IP7Layer模型
七层关键特征并映射TCP/IP协议套件如下:
七层-应用层 :定义用户进程接口通信和数据传输服务应用层协议常见实例是用户应用HTTP网络控制程序也在这个层操作
六层-演示文集层 :提供数据格式互异系统翻译服务MIME编码、数据压缩、数据加密和类似数据操作描述为本层性能
层5-session图层 :管理用户会话的建立和终止,包括本地应用程序和远程应用程序之间的联系TCP使用此层提供某些会话管理函数
四层-运输层:管理网络局部端点和远程端点之间的端对端会议实例包括面向连接、可靠和顺序段交付机制TCP提供错误恢复和流控,用户数据表协议提供无连接包交付机制
三层-网络层 :提供网络设备间可变长度包机制本层还提供机制维护运输层请求的服务质量,执行数据段分片分解和重编(按需)并报告包交付和网络错误IP协议在此层操作互联网消息控制协议和地址解析协议等其他协议常描述为此层操作
二层-数据链路图层提供机制相邻网络实体间传输框架,并可能检测并纠正框架传输错误以太网为最常用例子,其他已知例子包括高数据链控件、点对点协议和遗留协议FDDI和Token环
图层1-物理层 :定义物理介质,网络设备间发送数据为电压或光脉冲包括光电电压水平、电缆机械特征如插针布局等以及其他电缆规范
显示于图1-3上层对跨网络传输数据过程起作用并非每一层都由网络上每个设备处理此外,并非所有协议都自始至终运行部分面向用户应用,这些常从端到端操作某些协议用于网络操作可端对端操作方式,端点为网络元件本身,或可点对点操作相邻设备间后详细学习后,分层和各种协议的功能和操作对开发IP交通平面安全策略至关重要
TCP/IP协议套件基本协议包括:
IP-Layer 3
TCP-Layer 4
UDP-Layer4
ICM-Layer 3
IP是一个网络层(Layer 3)协议,内含地址资讯和某些控件资讯,使包能路由到最终目的地与TCP并发IP代表互联网协议核心如前所述,TCP为应用提供面向联通交通(Layer4)服务UDP也是一种交通服务(Layer4),但与TCP不同,UDP提供无连接交通ICMP控制协议与IP网络层并用以提供错误控制和维护功能当然,许多其他协议与TCP/IP世界相关,多处引用描述它们的使用和操作数大极佳资源列入继续阅读段尾本章
多应用程序(Layer7)利用TCP和UDP运输服务常见例子包括:
超文本传输协议客户端/服务器应用使用TCP传输HTML页面
域名服务名对地址翻译应用使用TCP和UDP传输
Telnet:虚拟终端应用使用TCP运输
文件传送协议文件传送程序使用TCP传输
trivial文件传输协议文件传送程序使用UDP传输
网络时间协议程序同步时间源并使用UDP运输
边界网关协议外部网关路由协议使用TCP运输BGP用于交换互联网路由信息,服务提供方使用协议
IP无连接协议,以自装路由单元传送数据,称为数据格或包包包中包括IP头(端站封装时搭建),内含路由器在传递和政策决策时使用的信息(如源地址和目的地地址)。IP页眉的存在说明为什么在无连接网络环境里不需要(如前文提到的遗留网络中)在数据传输启动前先搭建源端对端路径
IP包头通常需要20字节来说明选择包所需要数据IP头可允许添加更多可选信息,以在包转接时引用专用服务除某些例外外,IP选项通常不使用IP选项及其在本节后段对IP交通平面安全的影响图1-4.
IP包页3
页眉字段显示图1-4包括以下内容: