如果路由器只有三个内网端口,那么可采用二级交换机方案。防火墙+路由器+交换机+交换机+客户机。但这种方案中的一级交换机不能太差,最好是千兆或以上级别的。防火墙和交换机还是比较常用的,于是我研究了一下 ,在这里拿出来和大家分享一下,希望对大家有用。随着网络技术和因特网技术的成熟和高速发展,越来越多的企事业单位开始组建网络来实现办公自动化和共享因特网的信息。但是, 安全问题也突现出来,iMaxNetworks(记忆网络公司)根据电子政务网络的特点提出了以交换机、防火墙和交换机相结合实现内外网隔离的解决方案。方案一:交换机实现内外网的物理隔离网络系统由内部局域网和外部因特网两个相对独立又相互关联的部分组成,均采用星形拓扑结构和100M交换式快速以太网技术。内部网与外部网之间不存在物理上的连接,使来自Internet的入侵者无法通过计算机从外部网进入内部网,从而最有效地保障了内部网重要数据的安全,内部局域网和外部因特网实现物理隔离。imaxnetworks终端提供了经济安全的内外网物理隔离功能,它通过物理开关进行内外网的切换,在物理上信息终端只与其中一个网络连通,所以黑客即使侵入其中一个网络也无法越过物理屏障侵入另一个网络。建立内外网隔离方案需要在内网和外网各安装至少一台终端服务器。方案二:防火墙和交换机结合,实现内外网隔离VLAN隔离内外网:电子政务网络中存在多种业务,要实现多网的统一互联,同时又要保证各个网络的安全,除了在应用层上通过加密、签名等手段避免数据泄漏和篡改外,在局域网的交换机上采用VLAN技术进行,将不同业务网的设备放置在不同的VLAN中进行物理隔离,彻底避免各网之间的不必要的任意相互访问。在实现VLAN的技术中,以基于以太网交换机端口的VLAN(IEEE 8021Q)最为成熟和安全,防火墙访问控制保证。网络核心安全:为了网络构建简单,避免采用太多的设备使管理复杂化,从而降低网络的安全性,可以放置一个高速防火墙,通过这个这个防火墙和交换机,对所有出入中心的数据包进行安全控制及过滤,保证访问核心的安全。另外,为保证业务主机及数据的安全,不允许办公网及业务网间的无控制互访,应在进行VLAN划分的三层交换机内设置ACL。数据加密传输:对于通过公网(宽带城域网)进行传输的数据及互联,数据加密是必须的,在对关键业务做加密时,可以考虑采用更强的加密算法。设置DMZ区进行外部访问:通常对于外部网络的接入,必须采取的安全策略是拒绝所有接受特殊的原则。即对所有的外部接入,缺省认为都是不安全的,需要完全拒绝,只有一些特别的经过认证和允许的才能进入网络内部。一般行业默认为:外网---->防火墙--->路由器--->交换机;
交换机主要注重交换性能,所以在处理内部PC互联互通信息传递能力强;
路由器侧重维护网络路由表与网络路由计算;
防火墙隔离内外网之间通道以及内网之间访问策略。
连接顺序见上图,在路由器中设置好路由协议就可以访问外网了。
在路由器或者防火墙上做地址转换,外网就可以直接访问内部网站了。
以上设备完全可以实现,但不要接入过多用户。
交换机:把各个网络用户连接在一起的设备,属于星行连接(对应的有环行连接);与交换机类似的是HUB,区别是HUB是广播的。交换机有很多种。
网关:这是一个”接口“,你要把包发向不同的网络(段),首先是发向这个最近的”口“
路由器:连接不同网络(段)的设备,路由器将不同的网段的包做转发。比如你买的理由器,将电信与你的网络连接。现在提到的路由器可能包括了猫、光猫、交换机、wifi,防火墙功能、DHCP服务、WEB服务、速度控制、上网控制。
服务器:运行着“服务”的设备,一般是电脑。有人用PC当服务器,因为它运行着服务程序。“服务器”的稳定性指标要高。
防火墙:这个是用来在网络入口,对出、入、转发的包做限制的机制(或说规则),可以是纯软件(比如你机器上的防火墙),也可能是硬件(包含了软件的)的独立设备。
重复一下:名词解释、定义请去百度这些概念、定义。
关系:比如你家里,电信线进来,先接的是路由器(一般包含了拨号功能),这个也是你的(却省、默认)网关,路由器上有多RJ45接口,这是内置的交换机了,接口不够你用的可以另外加接别的交换机(那叫集联),为了保护你的网络,路由器上可能被你设置了一些规则(防火墙规则),为方便设置,你使用了路由器上的DHCP来给设备分配IP等参数,那么这个路由器起到了DHCP服务器的职责,说是DHCP服务器一点也不为过。你好,你的防火墙应该是路由模式吧,若是路由模式的,你在防火墙上做两条路由,一条默认的走电信,一条详细的走网通,交换机上直接写一条默认路由指到防火墙即可。当然防火墙也要写一条汇总的回程路由~~~
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)