网络及其网络安全培训

SOC网络基础福建富士通网安培训教材郑本飞21234目录5673VLAN原理VLAN概述

VLAN是虚拟局域网（VirtualLocalAreaNetwork）的简称，它是在一个物理网络上划分出来的逻辑网络。VLAN的划分不受网络端口的实际物理位置的限制。VLAN除了没有物理位置的限制，它和普通局域网一样。二层的单播、广播和多播帧在不同的VLAN之间隔离。所以，如果一个端口所连接的主机想要和其它VLAN的主机通讯，则必须通过一个三层设备。如下图所示：

4VLAN作用

隔离广播方便管理提高安全性VLAN原理5VLAN划分基于子网基于协议基于端口基于MAC地址VLAN划分方式VLAN原理针对交换机的端口进行VLAN的划分,不受接入主机变化的影响在一个物理网络中针对不同的网络层协议进行VLAN的划分基于主机的MAC地址进行VLAN划分，主机可以任意在网络移动而不需要重新划分针对不同的用户分配不同子网的IP地址，从而隔离用户主机，一般情况下结合基于端口的VLAN进行应用6按业务规划按部门规划可分为工程部、市场部、财务部等按地理位置规划按应用规划VLAN规划原则VLAN原理7VLAN成员口模式

Access口一个Trunk口，它可以属于多个VLAN，能够转发带不同VLAN标签的帧。可通过设置许可VLAN列表来控制带许可VLAN标签的帧通过。一个Access端口，只能属于一个VLAN，并且是通过手工设置指定VLAN的。Trunk口Access口用于和用户相连Trunk口用于交换机之间的互连VLAN原理8端口类型收发处理描述Access收帧判断帧是否带VLAN标签：如果不带则封装Access口的PVID，如果有则判断该帧的VLAN标签是否和Access口的PVID相同，如果相同，则接收，否则丢弃。发帧将帧的VLAN标签剥离后，直接发送。Trunk收帧判断帧是否带VLAN标签：如果不带则封装端口的PVID，如果有则判断Trunk口是否允许带该VLAN标签的帧进入，如果允许则接收，否则丢弃。发帧判断Tunk端口是否允许带该VLAN标签的数据转发，如果允许则比较该帧的VLAN标签是否和Trunk口的PVID相同，如果相同则剥离帧的VLAN标签后转发，如果不相同则带着VLAN标签在链路转发。如果Trunk口不允许带该VLAN标签的数据转发，则丢弃该帧。端口对数据帧的处理

VLAN原理9VLAN之间通信

VLAN是建立在物理网络基础上的一种逻辑子网，因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时，需要三层中继功能，既可采用路由器，也可采用三层交换机来完成。

三层交换单臂路由VLAN之间路由的方法VLAN原理路由口，子接口封装dot1qvlan单臂路由实现VLAN间路由192.168.1.0/24VLAN10192.168.2.0/24VLAN20Gi2/0.10Gi2/0.2010VLAN原理三层交换机实现VLAN间路由192.168.1.0/24VLAN10192.168.2.0/24VLAN20192.168.3.0/24VLAN30192.168.4.0/24VLAN40SVI10：192.168.1.1/24SVI20：192.168.2.1/24SVI30：192.168.3.1/24SVI40：192.168.4.1/2411Trunk口，端口属于VLAN10和20Trunk口，端口属于VLAN30和40VLAN原理12以太网帧格式

DASATypeDataCRC标准以太网帧DASATypeDataCRCtagTPIDPriorityCFIVLAN

IDTCI带有IEEE802.1Q标记的以太网帧VLAN原理13VLAN标签作用TPID(TagProtocolIdentifier)IEEE定义的类型，共16位，取值为0x8100时表示802.1QTag帧。Priority这3位指明帧的优先级，一共有8种优先级，0－7，用于QOS。CanonicalFormatIndicator(CFI)值为0说明是规范格式，为1是非规范格式。在以太网交换机中，规范格式指示器总是被设置为0。由于兼容特性，CFI常用于以太网类型网络和令牌环类型网络。VLANIdentified(VLANID)这12位的域，指明VLAN的ID，共有4096个VLAN。VLAN标签格式说明

VLAN原理14802.1qVLAN原理示意图

HOSTAHOSTBVLAN原理正常以太网帧802.1Q帧Trunk正常以太网帧accessaccess802.1Q帧SW1SW215802.1q处理过程

VLAN原理16活跃的拓扑增强这一步是根据端口的状态来确定帧可不可以被转发，哪些端口有转发的可能。主要有四点规则：VLAN原理接收帧的端口处于生成树的转发状态，才有可能转发帧发送帧的端口处于生成树的转发状态，才有可能转发帧接收帧端口和发送帧端口不可能是同一个端口入口规则检查17VLAN原理18帧过滤规则VLAN原理19

根据过滤数据库信息对帧进行过滤。根据目的mac地址和vid值来查过滤数据库表，确定帧要被转发到哪些端口中去。如果帧是广播帧，就广播出去如果是多播帧，按组播地址进行转发如果是未知名单播帧，就泛洪如果是知名单播帧，转发到特定端口过滤数据库的规则VLAN原理20出口规则VLAN原理21流分类和计量

流分类明确地识别具有相同处理帧的子集，流分类规则可根据：目的MAC地址VLANID优先级帧长帧排队转发进程为排队的帧提供存储，等待机会传输，在同一端口应当保

存：单播帧VID，优先级，目的地址和源地址的组合组播帧VID，优先级，目的地址队列管理

确定哪些帧将从队列中移除，不被传输传输选择

默认采用算法是，先传输优先级别高的帧，再传输级别低的。对于

同一优先级的帧，采用先来先传输的原则

VLAN原理22SOC网络中的VLAN划分为配合安全域划分，进行数据互访控制以及隔离广播风暴等，SOC平台实施VLAN划分，各省根据互访隔离需求，将有着相同安全需求的服务器的划分到同一VLAN。各省SOC平台工程建议采用基于端口的VLAN划分方法。VLAN原理2323思考回顾根据802.1q原理思考为什么服务器双网卡绑定在SOC拓扑模型中不可以采用负载均衡模式？什么组网模型下服务器双网卡绑定可以采用负载均衡模式？根据802.1q原理，分析如下两台服务器是否可以通信？为什么？VLAN原理241234目录567路由原理及静态路由路由器作用实现不同子网互连路由寻址，数据转发25路由原理及静态路由路由即数据包从一个子网转发到另一个子网使用路由协议传送IP路由信息或静态指定路由信息基于IP包的目标地址进行数据转发IP包每经过一个路由器都需要进行路由表的查询26HOSTA192.168.1.010.10.1.0HOSTB将数据包转发到正确的目的地，并在转发过程中选择最佳路径26R1R2R3R4直连路由通过接口感知到的直连网络；接口配置IP，该接口的物理层和数据链路层UP路由原理及静态路由路由表网段接口f0/0f0/1172.16.20.0/24101.1.1.0/30172.16.20.1/24f0/0f0/120.0.0.0/8101.1.1.1/3027101.1.1.2/30Internet静态路由使用静态路由命令手工配置，是单向的。配置简单，可靠，网络安全保密性高，灵活性差。路由原理及静态路由28S0S0192.168.1.0/24AB192.168.2.2192.168.2.1目的地为192.168.1.0时，需将数据包转发给防火墙B的192.168.2.1的接口B默认路由在没有找到匹配的路由表条目时才使用的路由。即只有当没有合适的路由时，缺省路由才被使用。默认路由在网络中是非常有用的路由。默认路由并不一定都是手工配置的静态路由。路由原理及静态路由29S0S0192.168.1.0/24AB192.168.2.2192.168.2.1目的地为ANY时，可将数据包转发给路由器A的192.168.2.2的接口B浮动静态路由浮动静态路由就是配置去往同一目的网络的多条静态路由，它们有不同的路由优先级。链路冗余备份作用，优先级高的为主。路由原理及静态路由30S0S0192.168.1.0/24AB首选优先级高的路由条目对应的端口，当此主链路出现故障时选择次低优先级的路由条目进行转发S1S1B动态路由适应网络变化，动态计算路由。每台网络设备都将已知的路由相关信息发给相邻的设备。动态路由协议有RIP、OSPF、IS-IS、IGRP、EIGRP、BGP路由原理及静态路由31S0S0192.168.1.0/24AB防火墙B通过路由协议将已知路由信息通告给路由器AS1S1路由器A通过路由协议将已知路由信息通告给防火墙B目的地址下一跳地址网络掩码出接口路由表主要内容用来标识IP包的目的地址或目的网络和目的地址一起来标识目的主机或路由器所在的网段的地址去往目的地址或目的网络的设备的下一个IP地址说明IP包将从该路由器哪个接口转发路由原理及静态路由32路由表主要内容路由原理及静态路由路由器转发数据包的封装过程HostAHostBABE0E1E0E1192.168.1.2/2400-11-12-21-11-11192.168.1.1/2400-11-12-21-22-2210.1.1.1/800-11-12-21-33-3310.1.1.2/800-11-12-21-44-44192.168.2.1/2400-11-12-21-55-55192.168.2.2/2400-11-12-21-66-6600-11-12-21-55-5500-11-12-21-66-66SA:192.168.1.2/24DA:192.168.2.2/2400-11-12-21-33-3300-11-12-21-44-44SA:192.168.1.2/24DA:192.168.2.2/2400-11-12-21-22-2200-11-12-21-11-11SA:192.168.1.2/24DA:192.168.2.2/243334ARP数据包结构路由原理及静态路由35路由原理及静态路由IP数据包结构源、目的主机是否同一子网解析网关/下一跳MAC解析目的主机MACYESNO源主机要发送IP包ARP缓存中是否有IP-MAC条目NOYES发送ARP请求并在本地建立临时条目根据接收的ARP报文建立IP-MAC映射条目根据ARP表中IP-MAC映射条目封装成帧发送路由原理及静态路由ARP地址解析过程36NOYESNO报文封装

YES查找路由匹配下一跳是否在直连链路上IP数据包入站以下一跳作为目的地址送往接口转发路由原理及静态路由路由选路过程37是否存在默认路由丢弃YESNO路由原理及静态路由路由决策原则38最长匹配原则路由管理距离路由度量值指IP网络中当路由表中有多条条目可以匹配目的ip时，采用掩码最长的一条作为匹配项并确定下一跳。如果目的IP地址的掩码长度一样，则比较管理距离，管理距离越小，路由越优先。如果目的IP地址的掩码长度一样，管理距离也一样，则比较度量值，度量值越小，路由越优先。路由原理及静态路由39静态路由一般配置步骤404040思考回顾路由器功能，路由概念？路由选路过程，路由决策原则？ARP解析过程？思考以下网络配置是否可通？为什么？路由原理及静态路由RT1RT2RT3PC1PC2Fa0/1Fa0/2Fa0/1Fa0/2Fa0/1Fa0/210.1.1.1/2410.1.1.254/2420.1.1.1/3020.1.1.2/3030.1.1.1/3030.1.1.2/3040.1.1.254/2440.1.1.1/24RT1路由配置：Iproute0.0.0.00.0.0.0fa0/2RT2路由配置：Iproute10.1.1.0255.255.255.020.1.1.1Iproute40.1.1.1255.255.255.030.1.1.2配置：Iproute10.1.1.0255.255.2550fa0/2411234目录56742VRRP协议VRRP(VirtualRouterRedundancyProtocol，虚拟路由器冗余协议)用于动态的从一组VRRP路由器中选举一个主路由器，并关联到一个虚拟路由器，做为所连接网段的默认网关。VRRP是一种容错协议，在提高可靠性的同时，简化了主机的配置。172.16.1.1/2442HOSTAHOSTBHOSTC172.16.1.2/24172.16.1.3/24VirtualIP:172.16.1.254/24Internet主备主在3个周期内没收到主设备的通告报文43VRRP协议43VRRP路由器是指运行VRRP的路由器，是物理实体虚拟路由器是指VRRP协议创建的，是逻辑概念主控路由器和备份路由器一个VRRP组中有且只有一台处于主控角色的路由器，可以有一个或者多个处于备份角色的路由器VRRP协议使用选择策略从路由器组中选出一台作为主控，负责ARP响应和转发IP数据包，组中的其它路由器作为备份的角色处于待命状态。VRRP报文VRRP控制报文只有一种：VRRP通告（advertisement)。它使用IP多播数据包进行封装，组地址为224.0.0.18，该地址只在本地链路有效，不可被路由。VRRP报文的TTL值必须为255，路由器应当丢弃TTL值不为255的VRRP报文。协议号为0x70。44VRRP协议44VRRP抢占模式在VRRP抢占模式下，如果Backup的优先级比当前Master的优先级高，将主动将自己升级成Master。在VRRP非抢占模式下，即便Backup的优先级高于当前Master的优先级，也不会升级成Master，除非当前Master故障。优先级取值范围为1~254。如果VRRP虚拟IP地址与接口IP地址一致，其优先级就为255，此时无论VRRP是否处于抢占模式，对应的VRRP组都会自动处于Master状态。VRRP选举VRRP协议采用简单竞选的方法选择主设备。首先比较同一个VRRP组内的各台设备对应接口上设置的VRRP优先级的大小，优先级最大的为主路由设备。若优先级相同，则比较对应网络接口的IP地址大小，IP地址大的为主路由设备。VRRP协议VRRP协议数据包格式45只有一种报文类型——VRRP通告（ADVERTISEMENT）只有Master才能发送VRRP通告4600005E0001VRID虚拟路由器的MAC地址的最后一个字节是该虚拟路由器的VRIDVRRP协议虚拟路由器的MAC地址INITIALIZEMASTERBACKUPVRRP协议VRRP状态机收到shutdown消息收到startdup消息，且优先级是255收到一个比本地优先级大的VRRP包MASTER_DOWN_TIMER超时收到startup消息，且优先级小于255收到shutdown消息474848VRRP协议48Initialize状态系统启动后进入此状态，当收到接口startup的消息，将转入Backup（优先级不为255时)或Master状态(优先级为255时)。在此状态时，路由器不会对VRRP报文做任何处理。InternetRouterinInitialState115.239.148.2/27RouterinInitialState115.239.148.3/27VirtualRouter115.239.148.1/274949VRRP协议49Master状态定期发送VRRP组播报文，发送免费（gratuitous）ARP报文响应对虚拟IP地址的ARP请求，并且响应的是虚拟MAC地址，而不是接口的真实MAC地址。转发目的MAC地址为虚拟MAC地址的IP报文在Master状态中只有接收到比自己的优先级大的VRRP报文时，才会转为Backup。只有当接收到接口的Shutdown事件时才会转为Initialize。InternetRouterinMasterState115.239.148.2/27RouterinBackupState115.239.148.3/27VirtualRouter115.239.148.1/2750VRRP协议50Backup状态接收Master发送的VRRP报文，从中了解Master的状态响应对虚拟IP地址的ARP请求，不做响应丢弃目的MAC地址为虚拟MAC地址的IP报文丢弃目的IP地址为虚拟IP地址的IP报文InternetRouterinMasterState115.239.148.2/27RouterinBackupState115.239.148.3/27VirtualRouter115.239.148.1/2751VRRP协议HOSTA192.168.1.110.10.1.1HOSTBVRRP监测功能根据上行链路的状态，改变路由器的优先级。当上行链路出现故障，局域网内的主机无法通过路由器访问外部网络时，被监视Track项的状态为Negative，并将路由器的优先级降低指定的数额。从而，使得备份组内其它路由器的优先级高于这个路由器的优先级，成为Master路由器，保证局域网内主机与外部网络的通信不会中断。在Backup路由器上监视Master路由器的状态。当Master路由器出现故障时，工作在切换模式的Backup路由器能够迅速成为Master路由器，以保证通信不会中断。RTA主RTB备结合SOC网络思考何时需要使用VRRP监测功能，何时不需要？52VRRP协议VRRP在SOC工程中的应用VRRP+VRRP端口监测+路由子接口或路由口VRRP+动态路由+路由子接口或路由口VRRP+SVI口+STP

VRRP+MPLSL2VPN+VPN三层虚接口+路由

53PC1VRRP协议RT1RT2SW1SW2SWRT1SWRT2思考回顾VRRP怎么选举主路由器？VRRP工作过程？根据下图，SWRT和RT之间链路备份有何方案？541234目录56755两个安全域之间通信流的唯一通道安全域1HostAHostB安全域2HostC

HostD

防火墙原理防火墙基本概念一种高级访问控制设备，置于不同网络安全域之间，它通过相关的安全策略来控制（允许、拒绝、监视、记录）进出网络的访问行为。

UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolActionSource根据安全策略规则决定进出网络的行为56防火墙原理防火墙主要作用强化网络安全策略有效的记录及监控网络间的通迅活动防止内部使用者不当的使用网络防止来自非信任网络的非法访问位于信任网络与非信任之间的系统，避免信任网络直接暴露在外面HostAHostB防火墙内部网络HostC

HostD

防火墙外部网络57防火墙原理防火墙工作模式透明模式：也称“交换模式”或“网桥模式”，在该模式下防火墙的类似二层的交换设备。防火墙的物理接口上不需配IP，只需在网桥的桥接口上配个的用于管理的IP。该模式一般用于相同网段的网络之间的隔离，不用配置业务IP，只需要配置管理IP。10.1.1.1/810.1.1.2/8处于同一广播域中58防火墙原理防火墙工作模式路由模式：该模式下防火墙类似三层的路由设备，能够实现不同网段之间的路由转发和NAT等功能。用于不同网段的不同网络之间的隔离，提供路由功能。10.1.1.1/8Internet10.1.1.2/8115.239.148.0/30处于同一广播域中59防火墙原理防火墙工作模式混合模式：透明模式和路由模式的结合，防火墙有的接口加入网桥，再把网桥接口与其它接口实现路由转发。网络结构较为复杂的特殊环境,既有相同网段也有不同网段的网络环境。10.1.1.1/810.1.1.2/8Internet115.239.148.0/30处于同一广播域中处于不同广播域中60防火墙原理防火墙安全域安全区域是防火墙区别于普通网络设备的基本特征之一。以接口为边界，将业务划分成若干区域，防火墙的安全策略在区域或者区域之间下发。以接口为边界进行安全域划分UNTRUST区域TRUST区域DMZ区域61防火墙原理防火墙流和回话流：是一个单方向的概念，根据报文所携带的三元组或者五元组唯一标识。根据IP层协议的不同，流分为四大类：TCP流：通过五元组唯一标识UDP流：通过五元组唯一标识ICMP流：通过三元组+ICMPtype+ICMPcode唯一标识RAWIP流：不属于上述协议的，通过三元组标识回话：以一个双向的概念，一个会话通常关联两个方向的流，一个为会话发起方（Initiator），另外一个为会话响应方（Responder）。通过会话所属的任一方向的流特征都可以唯一确定该会话，以及方向。路由器是基于路由表来转发数据，而防火墙是基于会话表来转发数据62防火墙原理地址转换NAT功能网络地址转换（NetworkAddressTranslation）简称为NAT，是将IP数据包包头中的IP地址转换为另一个IP地址。隐藏了内部网络的结构内部网络可以使用私有IP地址公网地址不足的网络可以使用这种方式提供IP复用功能Internet202.102.93.54HostAHostB192.168.1.24Eth2：192.168.1.23Eth0：101.211.23.1数据IP报头数据IP报头源地址：192.168.1.24目地址：202.102.93.54源地址：101.211.23.1目地址：202.102.93.54101.211.23.26363防火墙原理防火墙SNAT转换10.1.1.1/8Internet10.1.1.2/8115.239.148.1/30HOSTBHOSTA125.29.18.10/24125.29.18.1010.1.1.1:3678125.29.18.1010.1.1.2:5536115.239.148.1:1025125.29.18.10115.239.148.1:1026125.29.18.10125.29.18.1010.1.1.1125.29.18.1010.1.1.2115.239.148.5125.29.18.10115.239.148.6125.29.18.10SNAT动态端口SNAT静态SADASADASADASADA6464防火墙原理防火墙DNAT转换10.1.1.1/8Internet10.1.1.2/8115.239.148.1/30HOSTBHOSTA125.29.18.10/2410.1.1.1:22125.29.18.1010.1.1.2:80125.29.18.10125.29.18.10135.19.38.10:22125.29.18.10135.19.38.10:8010.1.1.1125.29.18.1010.1.1.2125.29.18.10125.29.18.10135.19.38.11125.29.18.10135.19.38.12DNAT端口映射DNAT

IP映射SADASADASADASADA65防火墙原理防火墙安全策略策略是网络安全设备的基本功能。默认情况下，安全设备会拒绝设备上所有安全域之间的信息传输。而策略则通过策略规则(PolicyRule)决定从一个安全域到另一个安全域的哪些流量该被允许，哪些流量该被拒绝。哪些网络流量允许通过。10.1.1.1/8Internet10.1.1.2/8115.239.148.0/30ANYBlockInternetHostBTCPPassInternetHostADestinationProtocolActionSourceHOSTBHOSTA66防火墙原理防火墙SCVPN为解决远程用户安全访问私网数据的问题，安全网关提供基于SSL的远程登录解决方案——SecureConnectVPN，简称为SCVPN。SCVPN功能可以通过简单易用的方法实现信息的远程连通。Internet内网网段：172.16.20.0/24SSLVPN隧道Eth1:222.1.1.2/24Zone:untrustEth0:172.16.20.1/24Zone:trust外网网关：222.1.1.1外网用户通过Internet使用SSLVPN接入内网67防火墙原理外网或者不信任域内部网络Eth0Eth0Eth1Eth1Eth2Eth2心跳线ActiveFWStandbyFW检测ActiveFirewall的状态发现出故障，立即接管其工作

正常情况下由主防火墙工作主防火墙出故障以后，接管它的工作高可用性--双机热备功能68防火墙原理防火墙基本转发流程数据流入口是否找到已有回话直接转发YESNO路由是否可达NO直接丢弃YES策略是否允许通过NOYES创建回话并转发防火墙原理69数据转发基本过程70PC1FW1FW2SW1SW2SWRT1SWRT2思考回顾简述防火墙基本转发流程？简述SNAT和DNAT的区别？根据下图，SWRT和FW之间链路备份有何方案？防火墙原理711234目录56772用户投诉！用户满意度下降找不到攻击源呀未能掌握流量分布和变化！DDoS攻击和暴力攻击等不定期经常发生造成局部瘫痪或服务质量严重下降无法找到攻击者，攻击将长期存在未能掌握整网流量分布和变化情况未能提供个性报表，分析网络流量情况……异常流量监控为什么需要异常流量监控73异常流量监控异常流量监控系统简述

异常流量监控系统是一款具有功能强大的流量流向分析以及异常流量检测的系统，通过对网络流量信息和系统信息的收集，提供了智能型的流量检测、分析、实时监控等，能够检测网络中DoS/DDoS攻击、蠕虫病毒及其他网络异常事件，能够迅速且准确地分类出各类网络流量，做出恰当的分析，并自动产生各类相关的内建流量报表。数据流量异常流量监控系统基于流量镜像协议分析基于SNMP的流量监测技术基于硬件探针的监测技术基于NetFlow的流量分析技术异常流量监控74流量检测技术流量检测技术75异常流量监控数据流启用NetFlow的路由器NetFlow定义NetFlow是是由7个关键字段标识单方向的连接，Netflow流量信息采集是基于网络设备提供的Netflow机制实现的网络流量信息采集，在此基础上实现的流量信息采集效率和效果均能够满足网络流量监测的需求。1.SourceAddress2.DestinationAddress3.SourcePort4.DestinationPort5.Layer3Protocol6.TOSByte(DSCP)7.InputInterfaceUDPNetFlow76异常流量监控NetFlow处理流程预处理对不同类型数据流进行区分和准确计量后处理数据包抽样过滤IPIngress&EgressMulticastMPLSIpv6统计数据自动汇聚输出预处理阶段：NetFlow首先对特定级别的数据流进行过滤或对高速网络端口进行数据包抽样。后处理阶段：NetFlow可以把采集到的数据流原始统计信息全部输出，或者也可以选择由网络设备自身对原始统计信息进行多种形式的数据汇聚，只把汇总后的统计结果发送给上层管理服务器。77异常流量监控ClientServerRequestResponseTWOflowsforONETCPconnectionClientServerContentONEflowforONEUDPStreamFlowCacheActiveTimeoutInactivetimeoutNetFlow两个关键组件NetFlowCacheNetFlowExpert

78SourceIPAddressDestinationIPAddressNextHopAddressSourceASNumberDest.ASNumberSourcePrefixMaskDest.PrefixMaskInputInterfacePortOutputInterfacePortTypeofServiceTCPFlagsProtocolPacketCountByteCountStartTimestampEndTimestampSourceTCP/UDPPortDestinationTCP/UDPPort使用情况QoS时间端口路由和邻居接口利用率何去何从异常流量监控NetFlow数据记录79NetFlow采样异常流量监控确定式采样固定的

每N个报文采第N个，

N由用户指定。随机采样则每N个报文

随机采其中一个，N由

用户指定。被认为是最佳的包采

样技术。定时采样每N毫秒

采样一个包，N由

用户指定。DeterministicSamplingRandomSamplingTimebasedSampling80异常流量分析系统部署结构

异常流量监控NetFow/sFlowPacketsManagementChannelCollectorCustomer3CollectorControllerCollectorRegionalNetworkBackbone

NetworkCustomer1Collector81智能流量模型如

本域网络,相邻网络,子网,骨干网,服务器,系统能够自动依次产生流量报表。Needs了解流量的流向和量值.分析流量产生报表.Benefits通过少量的配置，从预定义报表中获取大量的数据。自动优化和排除重复收集的流量数据。

全面的数据报表异常流量监控网络流量分析

82异常流量监控定制的流量监测和TOPN排名报表User-definedTopNUser-definedFilterNeeds预定义的报表不能完全满足

ISP’s需求.e.g.一个

IDC想知道访问他们全部WEB服务器的IP网段。Benefits方便的利用图形界面配置。可以利用参数和逻辑表达式来进行弹性定制多种

TopN数据83异常流量监控在线实时的流量分析不同范围的深入挖掘分析，实时的提供TopN的流量报表为故障处理服务。并且能提供ACL的命令的配置建议。InfoDrill-downintothe

real-timetraffic…Flow

dataSnapshotSnapshotCacheTop-NAnalysis84异常流量监控异常流量检测多数的DDoS攻击者通过产生巨大的协议异常的流量来拥塞网络带宽或者提供服务的主机进程。多数的黑客发起

DDoS攻击是通过滥用

TCP/UDP/ICMP等协议.当在一个很短的时间主机收到大量的包，它将会被识别为一个DDos攻击的牺牲者。Protocol-Misuse:DDoSApplicationAnomaly:WormTrafficAnomaly:Zero-DayAttacksDarkIP:DoSbackscatterInterfaceAnomalyCollectorCollectorControllerCustomer1R1R2R3R4R6R51.2.3.4UDPflood1.2.3.4UDPFlood1.2.3.4UDPflood?!?!?!85Group3Group1Group2TrafficMonitoringAnomalyTrafficMonitoringTop-N/SnapshotAnomalyConsoleMSP(ManagementServiceProvider)功能

异常流量监控86异常流量监控攻击缓解方法访问控制列表(AccessControlListEntries)：根据不同的威胁，这些ACLs能被用于网络范围里任何节点上，从对小型攻击来讲用户汇聚的路由器，到针对路由基础设施攻击的对等路由器接口。Blackhole：在网络的具体节点上注入无效路由把目的IP地址或者源IP地址流量转移到“黑洞”里。与第三方智能过滤设备相配合。……

87异常流量监控异常流量监控系统异常流量清洗系统客户2

SOC平台124发送netlfow正常流量发回客户发现攻击通知SOC平台3通知流量清洗系统启动清洗流程流量牵引流量回注牵引流量,对异常流量进行清洗5攻击停止，通知SOC平台客户31发送netlow客户156异常流量清洗流程

881提供网络流量统计分析流量应用组成以及如何被利用23监测网络流量异常，并找到感染主机或攻击源网络故障实时诊断，提供故障定位45异常流量监控系统主要应用系统分权分域功能7

6攻击缓解以及告警通知异常流量监控异常流量分析系统主要应用提供详细的各种统计分析图表数据报表89异常流量监控异常流量分析系统基本配置flow原始数据获取被监测设备SNMP信息获取BGP路由信息获取90思考回顾Netflow包含哪七个元素？Netflow工作原理？

异常流量监控系统有哪些作用？

异常流量清洗的工作流程？

异常流量监控系统部署模式？异常流量监控91911234目录56792攻击溯源

流量分析DDOS攻击检测实时流量分析实时处理性能高快速、准确DDOS攻击检测运营商现有流量分析系统特点运营商现有流量分析系统功能运营商现有流量分析系统功能及特点93攻击溯源运营商现有流量分析系统问题只存储分析结果，不存储Netflow原始数据不分析历史Netflow数据基于用户定制的条件对流量进行分析，用户未提前定制条件的流量事后无法分析未检测到的攻击无法进行分析分析结果样式固定，缺乏个性化分析功能适合对大流量的对象进行分析，缺乏基于每个IP地址的分析功能94攻击溯源溯源分析系统和现有流量分析系统的区别定制规则流量实时分析保存分析结果，丢弃原始数据存储流量信息用户定制分析规则对历史流量进行分析溯源分析系统的使用方法现有流量分析系统的使用方法95攻击溯源唯一可行的对互联网流量信息保存技术方式网络故障DDOS攻击分析网络流量分析对互联网流量信息的保存对互联网流量的事后分析溯源分析系统的意义96攻击溯源溯源分析系统和现有流量分析系统的定位现有流量分析系统异常流量检测系统流量实时分析溯源系统故障分析Arbor/Genie未检测到的攻击分析历史流量分析Arbor/Genie攻击告警统计溯源分析系统是现有流量分析系统的补充溯源分析系统不等于利用现有流量分析系统的功能分析历史流量97攻击溯源城域网其它省网其它ISP省网流量分析系统控制器城域网C路由器D路由器。。。。CHINANET骨干网SyslogSNMPNetflow数据转发Netflow数据采集器磁盘阵列互联网流量溯源分析系统溯源分析系统部署方案98攻击溯源攻击溯源系统部署方法系统数据源Netflow数据来源Arbor/NTG转发或者直接接受路由器Netflow数据攻击告警接受Arbor/NTG告警syslog信息路由器信息直接通过SNMP读取路由器端口/IP地址等信息

网络连接与Arbor/NTG网络可达每台服务器配置1-2个FE/GE端口99攻击溯源溯源分析系统主要应用提供DDOS攻击的详细分析报告100攻击溯源1NetFlow数据存储NetFlow溯源回溯分析2溯源分析系统功能介绍3DDos攻击分析DDos攻击源地址分析45DDos攻击统计网络安全深入分析6101攻击溯源省网互联网溯源系统监控范围建议监控省网出入流量监控各城域网流量.能够准确识别所分析流量的出入端口监控未进入C/D路由器的流量监控针对路由器本身的流量监控关键业务流量各城域网出口路由器关键业务路由器省网出口D路由器102攻击溯源思考回顾

攻击溯源系统与异常流量监控系统的区别？

攻击溯源系统的主要功能？1031031234目录567安全域划分、边界整合和安全防护定义104安全域划分、边界整合和安全防护安全域划分的必要性相关网络和系统在建设中缺乏科学合理的安全建设思路中国电信互联网及相关网络的建设是由于不断增长的业务需求驱动建设而成的，初始的网络建设大多没有统一规划，有些系统是独立的网络，有些系统又是共用一个网络。而这些系统的业务特性、安全需求和等级、使用的对象、面对的威胁和风险各不相同；当前中国电信相关网络系统是一个庞大复杂的系统，在支持业务不断发展的前提下，如何保证系统的安全性是一个巨大的挑战，对系统进行区域划分，进行层次化、有重点的保护是保证系统与网络和信息安全的有效手段。网络和系统结构复杂，导致相关网络和系统的安全建设成效较低部分网络和系统存在边界不清晰、网络出口混乱的问题业务领域之间的连接比较混乱，互连互通没有统一控制规范105安全域划分、边界整合和安全防护安全域划分原则++业务保障原则++等级保护原则++结构简化原则++生命周期原则结合承载网、业务系统及各支撑系统的现状，建立持续保障机制，能够更好的保障网络上承载的业务。在保证业务正常运行的前提下，保护相关网络及系统的安全明确防护需求，对系统的风险、安全需求进行分析和修正，把复杂巨大的系统分解为简单而结构化的小区域，以便于防护和管理。安全域划分并不是粒度越细越好，安全域数量过多过杂往往会导致安全域的管理过于复杂和困难。属于同一安全域内的系统应互相信任，即保护需求相同。建立评估与监控机制，设计防护机制的强度和保护等级。要做到每个安全域的信息资产价值相近，具有相同或相近的安全等级、安全环境、安全策略等安全域的划分还要考虑到由于需求、环境不断变化带来的影响。因此，安全域的划分还需要考虑在相关网络及系统的需求设计、建设、运行维护等各个阶段进行审查，以保证安全域的有效性。106安全域划分、边界整合和安全防护安全域划分方法根据上述原则，数据业务系统可将安全域划分为交互网络域、计算

域、维护域、服务域等四个安全子域。107安全域划分、边界整合和安全防护安全域划分方法(续)交互网络域：交互网络域是由连接具有相同安全等级的计算域、维护域和服务域的网络设备和网络拓扑组成，作为安全子域与IP承载网的统一接口区域，一般分为互联网接入区、专线接入区和内网接入区。交互网络域通常包括路由器、交换机、防火墙等设备，是安全域的承载子域。指上联互联网的逻辑接入分区VPN或者专线网络接入IP承载网的逻辑接入分区直连到公司内部网络（例如DCN等）的逻辑接入分区互联网接入区专线接入区内网接入区108安全域划分、边界整合和安全防护安全域划分方法(续)指安全域内部的计算域、服务域、维护域业务域计算域指在安全域范围内负责存储、传输、处理业务数据的计算机（主机/服务器）或集群组成的区域，例如应用服务器、数