一、路由器、交换机和 桥(Routers, switches, and bridges)

1.交换机
路由器、交换机和 桥，是这些 络的核心构建模块。 络工程师使用交换机来连接设备和 络。交换机是看起来很简单的设备，如这里所示的设备，包含大量的 络端口。

老式的防火墙使用一种叫做无状态检查（Stateless inspection） 的方法，当每个数据包到达防火墙时，都会对其进行单独评估。这种方法效率低下。现代防火墙使用一种被称为状态检测(Stateful Inspection) 的技术，使其能够跟踪已建立的连接。例如，当内部 络上的用户从服务器上请求一个 页时，防火墙会记下该请求，然后允许 络服务器作出响应。而这两个系统然后在连接期间来回通信，而不需要防火墙在每次出现新的数据包时重新评估该请求。当防火墙遇到一个新的连接请求时，它根据系统管理员创建的一套规则对该请求进行评估。这些规则描述了防火墙应利用几个重要特征采取行动的 络连接。这些特征包括受规则影响的源地址(Source address)、受规则影响的目标地址(Destination address)、受规则影响的目标端口和协议(destination port and protocol)以及防火墙在遇到与规则相匹配的流量时应采取的行动。这通常是允许（permit）或拒绝（deny），指定防火墙应允许或阻止符合规则描述的流量。

例如，我们在DMZ中有一个IP地址为10.15.100.1的Web服务器。如果我们想让互联 上的用户访问该系统，我们必须写一条防火墙规则来允许这种访问。这是一个允许访问的规则。所以我们把动作设置为允许。在这种情况下，连接请求将从一个未知的互联 传到 络服务器。由于我们希望任何人都能访问 络服务器，可以把源地址设为Any。然后我们要把这种访问限制在 络服务器上。因此，目标系统是10.15.100.1，即 络服务器的IP地址。 络服务器只在80端口运行。所以我们指定目标端口为TCP端口80。这就是一条防火墙规则。

1. 首先，代理提供了匿名性(Anonymization)。 络服务器永远不会知道实际用户的 络地址，并且其日志只包含代理服务器的地址；
2. 第二，代理通过缓存提供性能优势。代理服务器可以存储经常请求的 页的副本，并用这些存储或缓存的副本来回答一些用户的请求，减少对 络带宽的需求；
3. 最后，代理服务器可以执行安全任务。例如，检查用户是否访问了含有恶意软件的 站，违反了内容过滤规则。

1.正向代理(Forward Proxies)
客户端知道代理服务器，并将所有对 络内容的请求发送到该服务器，然后由该服务器传递给远程 络服务器。 络服务器不知道他们正在处理一个代理。这种方式被称为正向代理(Forward Proxies)。

2.反向代理(Reverse Proxies)
反向代理的工作方向正好相反。他们不是代表客户工作，而是代表服务器工作。客户端不知道他们正在连接到一个远程代理服务器，并认为他们正在连接到真正的 络服务器。代理服务器接收客户对资源的所有请求，然后将它们传递给实际的 络服务器，该服务器可能在另一个防火墙后面。

3.透明代理(Transparent Proxies)
透明代理服务器在客户和服务器都不知道的情况下工作。这些服务器也被称为Inline proxies or Forced proxies，他们位于客户的 络上，在客户和互联 之间，拦截对 络服务的请求，并代表客户进行代理，这种方法可能会在 络上引起一些问题，而且对TLS加密通信的效果并不好。

四、负载均衡器(Load balancers)

负载均衡器通过在多个服务器之间分配工作负荷来帮助Web服务器扩展。一个基本的Web服务器配置如下：

负载均衡器必须对路由请求到各个 络服务器做出决定。在最简单的情况下，被称为Round-Robin负载均衡，负载均衡器只是为每个请求轮换服务器，给每个服务器一个平等的份额。 虽然这种方法很简单，看起来也很公平，但它并不总是有效的。如果一个服务器比其他服务器更强大，它可以处理更大的负载。另外，如果一个服务器得到一个特别密集的请求，它需要更多的CPU时间，它可能无法处理那么多其他请求。先进的调度算法考虑到了这一点，并利用这种能力信息监测服务器的性能，对用户请求的路由做出实时决定。一些应用程序要求用户在之后的请求中返回到同一台服务器，以维护会话信息。在这些情况下，负载均衡器将把该用户的所有未来请求路由到同一个 络服务器，以保持会话的持久性。

负载均衡器在 络上发挥着重要作用，但它们也是一个单点故障。因此，采用负载均衡的组织应将负载均衡器维持在高可用性模式，有两个种部署方式：

1. 在Active-Active的负载平衡方法中，两个负载均衡器在 络上运行，每个负载平衡器主动将一部分入站流量路由到Web服务器。在这种方法中我们可以使用两个设备的全部容量。如果一个设备发生故障，另一个设备处理整个负载，而不中断用户会话，但容量会减少。
2. 在Active-Passive模式下，一个负载均衡器处理所有的入站流量，而另一个则仅监控这些连接。如果主动负载均衡器发生故障，被动负载均衡器器立即接管并继续路由流量。在这种方法中，我们在故障事件中没有容量损失，但大部分时间被动负载平衡器是闲置的。

五、VPNs与VPN concentrators

虚拟专用 络(VPN)为IT管理员提供了两个重要的安全功能：

1. 首先，站点到站点(Site-to-Ste)的VPN允许远程 络的安全互连，如将分支机构与公司总部或相互之间的连接；

多年来，大多数VPN使用一种叫做IPsec的协议，即互Internet protocol security的简称，来创建其加密的隧道。IPsec在OSI模型的 络层(Network Layer)工作。管理员希望运行支持数据链路层流量的VPN连接，也可以使用L2TP over IPsec协议。这些协议提供了稳健、安全的传输，但它们往往难以配置，并可能被防火墙阻挡。由于这个原因，IPsec经常被用于静态站点到站点的VPN隧道，但它在远程用户VPN中越来越不常见。

现在，远程用户VPN通常依靠在应用层(Application Layer)工作的SSL或TLS VPN。这些VPN在任何有 络浏览器的系统上工作，它们使用443端口进行通信。这是一个通常允许通过几乎所有防火墙的端口。HTML5 VPN提供了一个基于 络的界面，允许用户使用内部 络资源，而不需要与实际在内部 络上建立联系，而是使用Web服务器和代理角色。在实施远程访问VPN时，管理员必须从两种不同的隧道方法中进行选择：

1. 在Full-tunnel VPN中，任何离开远程设备的流量都会通过VPN被送回家庭 络并受到加密保护。这不仅包括返回公司 络的流量，还包括所有 页浏览和其他活动；
2. 另一种方法是使用Split-tunnel VPN。在这种方法中，一些流量通过VPN发送，而其他流量则通过用户的本地 络发送出去。路由策略是由VPN管理员设置的。在大多数情况下，管理员将Split-tunnel配置为通过VPN发送前往企业系统的流量，同时允许普通互联 流量通过本地 络直接到达目的地。这种方法减轻了VPN的负担，节省了带宽。然而，目前大多数安全专家都建议不要使用Split-tunnel VPN，因为他们的一些流量实际上是直接通过互联 发送的，可能会被窃听。

另一个新出现的趋势，是Always on VPN。在这种策略中，所有企业的移动设备都被配置为在接通电源时自动连接到VPN。这种方法将控制权从终端用户手中移开，并确保离开设备的流量始终受到强大的加密保护。

六、 络入侵检测和防御(Network intrusion detection and prevention)

入侵检查(IDS)和入侵防御系统(IPS)在 络攻击者和其他安全威胁方面发挥着极其重要的作用。入侵检测系统可以监测流量，寻找潜在的恶意流量的迹象。例如，入侵检测系统可能会注意到，一个指向Web服务器的请求包含SQL注入攻击。一个恶意的数据包正试图创造一个拒绝服务等。

虽然UTM设备在单一平台上结合了许多安全功能，但这些功能中的每一个仍然需要适当管理。这包括对来自UTM设备的数据进行同样的安全分析，就像我们对其每个组成部分进行分析一样。

文章知识点与官方知识档案匹配，可进一步学习相关知识 络技能树跨区域 络的通信学习 络层的作用22140 人正在系统学习中