防火牆基礎之安全防護與終端互通
原理概述:
防火牆(英語:Firewall)技術是通過有機結合各類用于安全管理與篩選的軟體和硬體裝置,幫助計算機網絡于其内、外網之間建構一道相對隔絕的保護屏障,以保護使用者資料與資訊安全性的一種技術。
防火牆技術的功能主要在于及時發現并處理計算機網絡運作時可能存在的安全風險、資料傳輸等問題,其中處理措施包括隔離與保護,同時可對計算機網絡安全當中的各項操作實施記錄與檢測,以確定計算機網絡運作的安全性,保障使用者資料與資訊的完整性,為使用者提供更好、更安全的計算機網絡使用體驗。
所謂“防火牆”是指一種将内部網和公衆通路網(如Internet)分開的方法,它實際上是一種建立在現代通信網絡技術和資訊安全技術基礎上的應用性安全技術,隔離技術。越來越多地應用于專用網絡與公用網絡的互聯環境之中,尤其以接入Internet網絡為最甚。
防火牆主要是借助硬體和軟體的作用于内部和外部網絡的環境間産生一種保護的屏障,進而實作對計算機不安全網絡因素的阻斷。隻有在防火牆同意情況下,使用者才能夠進入計算機内,如果不同意就會被阻擋于外,防火牆技術的警報功能十分強大,在外部的使用者要進入到計算機内時,防火牆就會迅速的發出相應的警報,并提醒使用者的行為,并進行自我的判斷來決定是否允許外部的使用者進入到内部,隻要是在網絡環境内的使用者,這種防火牆都能夠進行有效的查詢,同時把查到資訊朝使用者進行顯示,然後使用者需要按照自身需要對防火牆實施相應設定,對不允許的使用者行為進行阻斷。通過防火牆還能夠對資訊資料的流量實施有效檢視,并且還能夠對資料資訊的上傳和下載下傳速度進行掌握,便于使用者對計算機使用的情況具有良好的控制判斷,計算機的内部情況也可以通過這種防火牆進行檢視,還具有啟動與關閉程式的功能,而計算機系統的内部中具有的日志功能,其實也是防火牆對計算機的内部系統實時安全情況與每日流量情況進行的總結和整理。
防火牆是在兩個網絡通訊時執行的一種通路控制尺度,能最大限度阻止網絡中的黑客通路你的網絡。是指設定在不同網絡(如可信任的企業内部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間資訊的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的資訊流,且本身具有較強的抗攻擊能力。它是提供資訊安全服務,實作網絡和資訊安全的基礎設施。在邏輯上,防火牆是一個分離器,一個限制器,也是一個分析器,有效地監控了内部網和Internet之間的任何活動,保證了内部網絡的安全。
防火牆對流經它的網絡通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目标計算機上被執行。防火牆還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信,封鎖特洛伊木馬。最後,它可以禁止來自特殊站點的通路,進而防止來自不明入侵者的所有通信。
網絡安全的屏障
一個防火牆(作為阻塞點、控制點)能極大地提高一個内部網絡的安全性,并通過過濾不安全的服務而降低風險。由于隻有經過精心選擇的應用協定才能通過防火牆,是以網絡環境變得更安全。如防火牆可以禁止諸如衆所周知的不安全的NFS協定進出受保護網絡,這樣外部的攻擊者就不可能利用這些脆弱的協定來攻擊内部網絡。防火牆同時可以保護網絡免受基于路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的封包并通知防火牆管理者。
強化網絡安全政策
通過以防火牆為中心的安全方案配置,能将所有安全軟體(如密碼、加密、身份認證、審計等)配置在防火牆上。與将網絡安全問題分散到各個主機上相比,防火牆的集中安全管理更經濟。例如在網絡通路時,一次一密密碼系統和其它的身份認證系統完全可以不必分散在各個主機上,而集中在防火牆一身上。
監控審計
如果所有的通路都經過防火牆,那麼,防火牆就能記錄下這些通路并作出日志記錄,同時也能提供網絡使用情況的統計資料。當發生可疑動作時,防火牆能進行适當的報警,并提供網絡是否受到監測和攻擊的詳細資訊。另外,收集一個網絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊,并且清楚防火牆的控制是否充足。而網絡使用統計對網絡需求分析和威脅分析等而言也是非常重要的。
防止内部資訊的外洩
通過利用防火牆對内部網絡的劃分,可實作内部網重點網段的隔離,進而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。再者,隐私是内部網絡非常關心的問題,一個内部網絡中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至是以而暴漏了内部網絡的某些安全漏洞。使用防火牆就可以隐蔽那些透漏内部細節如Finger,DNS等服務。Finger顯示了主機的所有使用者的注冊名、真名,最後登入時間和使用shell類型等。但是Finger顯示的資訊非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度,這個系統是否有使用者正在連線上網,這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關内部網絡中的DNS資訊,這樣一台主機的域名和IP位址就不會被外界所了解。除了安全作用,防火牆還支援具有Internet服務性的企業内部網絡技術體系VPN(虛拟專用網)。
日志記錄與事件通知
進出網絡的資料都必須經過防火牆,防火牆通過日志對其進行記錄,能提供網絡使用的詳細統計資訊。當發生可疑事件時,防火牆更能根據機制進行報警和通知,提供網絡是否受到威脅的資訊。
交換機端口有三種工作模式,分别是Access,Hybrid,Trunk。
Access類型的端口隻能屬于1個VLAN,一般用于連接配接計算機的端口;
Trunk類型的端口可以允許多個VLAN通過,可以接收和發送多個VLAN的封包,一般用于交換機之間連接配接的端口;
Hybrid類型的端口可以允許多個VLAN通過,可以接收和發送多個VLAN的封包,可以用于交換機之間連接配接,也可以用于連接配接使用者的計算機。
Hybrid端口和Trunk端口在接收資料時,處理方法是一樣的,唯一不同之處在于發送資料時:Hybrid端口可以允許多個VLAN的封包發送時不打标簽,而Trunk端口隻允許預設VLAN的封包發送時不打标簽。
Acess端口收封包:
收到一個封包,判斷是否有VLAN資訊:如果沒有則打上端口的PVID,并進行交換轉發,如果有則直接丢棄(預設)
trunk端口收封包:
收到一個封包,判斷是否有VLAN資訊:如果沒有則打上端口的PVID,并進行交換轉發,如果有判斷該trunk端口是否允許該 VLAN的資料進入:如果允許則封包攜帶原有VLAN标記進行轉發,否則丢棄該封包。
hybrid端口收封包:
收到一個封包,判斷是否有VLAN資訊:如果沒有則打上端口的PVID,并進行交換轉發,如果有則判斷該hybrid端口是否允許該VLAN的資料進入:如果可以則轉發,否則丢棄。
備注:PVID為Port-base Vlan ID,也就是端口的虛拟區域網路ID号,關系到端口收發資料幀時的VLAN TAG 标記。
Acess端口發封包:
将封包的VLAN資訊剝離,直接發送出去
trunk端口發封包:
比較端口的PVID和将要發送封包的VLAN資訊,如果兩者相等則剝離VLAN資訊,再發送,否則封包将攜帶原有的VLAN标記進行轉發。
hybrid端口發封包:
判斷該VLAN在本端口的屬性
如果是untag則剝離VLAN資訊,再發送,如果是tag則比較端口的PVID和将要發送封包的VLAN資訊,如果兩者相等則剝離VLAN資訊,再發送,否則封包将攜帶原有的VLAN标記進行轉發。
二層交換機和三層交換機的差別
二層交換機用于小型的區域網路絡。這個就不用多言了,在小型區域網路中,廣播包影響不大,二層交換機的快速交換功能、多個接入端口和低謙價格為小型網絡使用者提供了很完善的解決方案。
三層交換機的優點在于接口類型豐富,支援的三層功能強大,路由能力強大,适合用于大型的網絡間的路由,它的優勢在于選擇最佳路由,負荷分擔,鍊路備份及和其他網絡進行路由資訊的交換等等路由器所具有功能。
三層交換機的最重要的功能是加快大型區域網路絡内部的資料的快速轉發,加入路由功能也是為這個目的服務的。如果把大型網絡按照部門,地域等等因素劃分成一個個小區域網路,這将導緻大量的網際互訪,單純的使用二層交換機不能實作網際互訪;如單純的使用路由器,由于接口數量有限和路由轉發速度慢,将限制網絡的速度和網絡規模,采用具有路由功能的快速轉發的三層交換機就成為首選。
一般來說,在内網資料流量大,要求快速轉發響應的網絡中,如全部由三層交換機來做這個工作,會造成三層交換機負擔過重,響應速度受影響,将網間的路由交由路由器去完成,充分發揮不同裝置的優點,不失為一種好的組網政策,當然,前提是客戶的腰包很鼓,不然就退而求其次,讓三層交換機也兼為網際互連。
三層交換機和路由器的差別
1. 主要功能不同
雖然三層交換機與路由器都具有路由功能,但我們不能是以而把它們等同起來,正如現在許多網絡裝置同時具備多種傳統網絡裝置功能一樣,就如現在有許多寬帶路由器不僅具有路由功能,還提供了交換機端口、硬體防火牆功能,但不能把它與交換機或者防火牆等同起來一樣。因為這些路由器的主要功能還是路由功能,其它功能隻不過是其附加功能,其目的是使裝置适用面更廣、使其更加實用。這裡的三層交換機也一樣,它仍是交換機産品,隻不過它是具備了一些基本的路由功能的交換機,它的主要功能仍是資料交換。也就是說它同時具備了資料交換和路由由發兩種功能,但其主要功能還是資料交換;而路由器僅具有路由轉發這一種主要功能。
2. 主要适用的環境不一樣
三層交換機的路由功能通常比較簡單,因為它所面對的主要是簡單的區域網路連接配接。正因如此,三層交換機的路由功能通常比較簡單,路由路徑遠沒有路由器那麼複雜。它用在區域網路中的主要用途還是提供快速資料交換功能,滿足區域網路資料交換頻繁的應用特點。
而路由器則不同,它的設計初哀就是為了滿足不同類型的網絡連接配接,雖然也适用于區域網路之間的連接配接,但它的路由功能更多的展現在不同類型網絡之間的互聯上,如區域網路與廣域網之間的連接配接、不同協定的網絡之間的連接配接等,是以路由器主要是用于不同類型的網絡之間。它最主要的功能就是路由轉發,解決好各種複雜路由路徑網絡的連接配接就是它的最終目的,是以路由器的路由功能通常非常強大,不僅适用于同種協定的區域網路間,更适用于不同協定的區域網路與廣域網間。它的優勢在于選擇最佳路由、負荷分擔、鍊路備份及和其他網絡進行路由資訊的交換等等路由器所具有功能。為了與各種類型的網絡連接配接,路由器的接口類型非常豐富,而三層交換機則一般僅同類型的區域網路接口,非常簡單。
3. 性能展現不一樣
從技術上講,路由器和三層交換機在資料包交換操作上存在着明顯差別。路由器一般由基于微處理器的軟體路由引擎執行資料包交換,而三層交換機通過硬體執行資料包交換。三層交換機在對第一個資料流進行路由後,它将會産生一個MAC位址與IP位址的映射表,當同樣的資料流再次通過時,将根據此表直接從二層通過而不是再次路由,進而消除了路由器進行路由選擇而造成網絡的延遲,提高了資料包轉發的效率。同時,三層交換機的路由查找是針對資料流的,它利用緩存技術,很容易利用ASIC技術來實作,是以,可以大大節約成本,并實作快速轉發。而路由器的轉發采用最長比對的方式,實作複雜,通常使用軟體來實作,轉發效率較低。
正因如此,從整體性能上比較的話,三層交換機的性能要遠優于路由器,非常适用于資料交換頻繁的區域網路中;而路由器雖然路由功能非常強大,但它的資料包轉發效率遠低于三層交換機,更适合于資料交換不是很頻繁的不同類型網絡的互聯,如區域網路與網際網路的互聯。如果把路由器,特别是高檔路由器用于區域網路中,則在相當大程度上是一種浪費(就其強大的路由功能而言),而且還不能很好地滿足區域網路通信性能需求,影響子網間的正常通信。
綜上所述,三層交換機與路由器之間還是存在着非常大的本質差別的。無論從哪方面來說,在區域網路中進行多子網連接配接,最好還選用三層交換機,特别是在不同子網資料交換頻繁的環境中。一方面可以確定子網間的通信性能需求,另一方面省去了另外購買交換機的投資。當然,如果子網間的通信不是很頻繁,采用路由器也無可厚非,也可達到子網安全隔離互相通信的目的。具體要根據實際需求來定。
差別:二層、路由、三層、四層
二層交換技術
二層交換技術是發展比較成熟,二層交換機屬資料鍊路層裝置,可以識别資料包中的MAC位址資訊,根據MAC位址進行轉發,并将這些MAC位址與對應的端口記錄在自己内部的一個位址表中。具體的工作流程如下:
(1)當交換機從某個端口收到一個資料包,它先讀取標頭中的源MAC位址,這樣它就知道源MAC位址的機器是連在哪個端口上的;
(2)再去讀取標頭中的目的MAC位址,并在位址表中查找相應的端口;
(3)如表中有與這目的MAC位址對應的端口,把資料包直接複制到這端口上;
(4)如表中找不到相應的端口則把資料包廣播到所有端口上,當目的機器對源機器回應時,交換機又可以學習一目的MAC位址與哪個端口對應,在下次傳送資料時就不再需要對所有端口進行廣播了。不斷的循環這個過程,對于全網的MAC位址資訊都可以學習到,二層交換機就是這樣建立和維護它自己的位址表。
路由技術
路由器工作在OSI模型的第三層——網絡層操作,其工作模式與二層交換相似,但路由器工作在第三層,這個差別決定了路由和交換在傳遞包時使用不同的控制資訊,實作功能的方式就不同。工作原理是在路由器的内部也有一個表,這個表所标示的是如果要去某一個地方,下一步應該向那裡走,如果能從路由表中找到資料包下一步往那裡走,把鍊路層資訊加上轉發出去;如果不能知道下一步走向那裡,則将此包丢棄,然後傳回一個資訊交給源位址。
路由技術實質上來說不過兩種功能:決定最優路由和轉發資料包。路由表中寫入各種資訊,由路由算法計算出到達目的位址的最佳路徑,然後由相對簡單直接的轉發機制發送資料包。接受資料的下一台路由器依照相同的工作方式繼續轉發,依次類推,直到資料包到達目的路由器。而路由表的維護,也有兩種不同的方式。一種是路由資訊的更新,将部分或者全部的路由資訊公布出去,路由器通過互相學習路由資訊,就掌握了全網的拓撲結構,這一類的路由協定稱為距離矢量路由協定;另一種是路由器将自己的鍊路狀态資訊進行廣播,通過互相學習掌握全網的路由資訊,進而計算出最佳的轉發路徑,這類路由協定稱為鍊路狀态路由協定。
由于路由器需要做大量的路徑計算工作,一般處理器的工作能力直接決定其性能的優劣。當然這一判斷還是對中低端路由器而言,因為高端路由器往往采用分布式處理系統體系設計。
三層交換技術
使用IP的裝置A------------------------三層交換機------------------------使用IP的裝置B比如A要給B發送資料,已知目的IP,那麼A就用子網路遮罩取得網絡位址,判斷目的IP是否與自己在同一網段。
如果在同一網段,但不知道轉發資料所需的MAC位址,A就發送一個ARP請求,B傳回其MAC位址,A用此MAC封裝資料包并發送給交換機,交換機起用二層交換子產品,查找MAC位址表,将資料包轉發到相應的端口。
如果目的IP位址顯示不是同一網段的,那麼A要實作和B的通訊,在流緩存條目中沒有對應MAC位址條目,就将第一個正常資料包發送向一個預設網關,這個預設網關一般在作業系統中已經設好,對應第三層路由子產品,是以可見對于不是同一子網的資料,最先在MAC表中放的是預設網關的MAC位址;然後就由三層子產品接收到此資料包,查詢路由表以确定到達B的路由,将構造一個新的幀頭,其中以預設網關的MAC位址為源MAC位址,以主機B的MAC位址為目的MAC位址。通過一定的識别觸發機制,确立主機A與B的MAC位址及轉發端口的對應關系,并記錄進流緩存條目表,以後的A到B的資料,就直接交由二層交換子產品完成。這就通常所說的一次路由多次轉發。
二層交換機用于小型的區域網路絡。這個就不用多言了,在小型區域網路中,廣播包影響不大,二層交換機的快速交換功能、多個接入端口和低謙價格為小型網絡使用者提供了很完善的解決方案。
路由器的優點在于接口類型豐富,支援的三層功能強大,路由能力強大,适合用于大型的網絡間的路由,它的優勢在于選擇最佳路由,負荷分擔,鍊路備份及和其他網絡進行路由資訊的交換等等路由器所具有功能。
三層交換機的最重要的功能是加快大型區域網路絡内部的資料的快速轉發,加入路由功能也是為這個目的服務的。如果把大型網絡按照部門,地域等等因素劃分成一個個小區域網路,這将導緻大量的網際互訪,單純的使用二層交換機不能實作網際互訪;如單純的使用路由器,由于接口數量有限和路由轉發速度慢,将限制網絡的速度和網絡規模,采用具有路由功能的快速轉發的三層交換機就成為首選。
四層交換技術
第四層交換的一個簡單定義是:它是一種功能,它決定傳輸不僅僅依據MAC位址(第二層網橋)或源/目标IP位址(第三層路由),而且依據TCP/UDP(第四層)應用端口号。第四層交換功能就象是虛IP,指向實體伺服器。它傳輸的業務服從的協定多種多樣,有HTTP、FTP、NFS、Telnet或其他協定。這些業務在實體伺服器基礎上,需要複雜的載量平衡算法。在IP世界,業務類型由終端TCP或UDP端口位址來決定,在第四層交換中的應用區間則由源端和終端IP位址、TCP和UDP端口共同決定。在第四層交換中為每個供搜尋使用的伺服器組設立虛IP位址(VIP),每組伺服器支援某種應用。在域名伺服器(DNS)中存儲的每個應用伺服器位址是VIP,而不是真實的伺服器位址。當某使用者申請應用時,一個帶有目标伺服器組的VIP連接配接請求(例如一個TCP SYN包)發給伺服器交換機。伺服器交換機在組中選取最好的伺服器,将終端位址中的VIP用實際伺服器的IP取代,并将連接配接請求傳給伺服器。這樣,同一區間所有的包由伺服器交換機進行映射,在使用者和同一伺服器間進行傳輸。第四層交換的原理OSI模型的第四層是傳輸層。傳輸層負責端對端通信,即在網絡源和目标系統之間協調通信。在IP協定棧中這是TCP(一種傳輸協定)和UDP(使用者資料包協定)所在的協定層。
在第四層中,TCP和UDP标題包含端口号(portnumber),它們可以唯一區分每個資料包包含哪些應用協定(例如HTTP、FTP等)。端點系統利用這種資訊來區分包中的資料,尤其是端口号使一個接收端計算機系統能夠确定它所收到的IP包類型,并把它交給合适的高層軟體。端口号和裝置IP位址的組合通常稱作"插口(socket)"。1和255之間的端口号被保留,他們稱為"熟知"端口,也就是說,在所有主機TCP/I P協定棧實作中,這些端口号是相同的。除了"熟知"端口外,标準UNIX服務配置設定在256到1024端口範圍,定制的應用一般在1024以上配置設定端口号。配置設定端口号的最近清單可以在RFc1700"Assigned Numbers"上找到。TCP/UDP端口号提供的附加資訊可以為網絡交換機所利用,這是第4層交換的基礎。
具有第四層功能的交換機能夠起到與伺服器相連接配接的"虛拟IP"(VIP)前端的作用。每台伺服器和支援單一或通用應用的伺服器組都配置一個VIP位址。這個VIP位址被發送出去并在域名系統上注冊。在發出一個服務請求時,第四層交換機通過判定TCP開始,來識别一次會話的開始。然後它利用複雜的算法來确定處理這個請求的最佳伺服器。一旦做出這種決定,交換機就将會話與一個具體的IP位址聯系在一起,并用該伺服器真正的IP位址來代替伺服器上的VIP位址。
每台第四層交換機都儲存一個與被選擇的伺服器相配的源IP位址以及源TCP端口相關聯的連接配接表。然後第四層交換機向這台伺服器轉發連接配接請求。所有後續包在客戶機與伺服器之間重新影射和轉發,直到交換機發現會話為止。在使用第四層交換的情況下,接入可以與真正的伺服器連接配接在一起來滿足使用者制定的規則,諸如使每台伺服器上有相等數量的接入或根據不同伺服器的容量來配置設定傳輸流。
如何選擇第三層交換機
目前,第三層交換機呈現出較強的增長趨勢,正在區域網路中取代路由器,其巨大的市場潛力正在吸引着大批國内外廠商加入角逐。可喜的是國内廠商在關鍵技術方面已經開發出了自已的ASIC晶片和網管軟體,進而為使用者在品牌的選擇上提供了廣闊的空間。目前,國内市場主要廠商有Cisco、3Com、安奈特、Extreme、Fountry、Avaya、Nortel、Entersys、D-Link、SVA、神州數位網絡、華為、同方網絡、清華比威和TCL等。面對如此豐富多彩的品牌,使用者在選擇時要從哪些方面入手是必須解決的問題。
對于第三層交換機的選擇,由于不同使用者的網絡結構和應用都會有所不同,是以在選擇第三層交換機的側重點也就有所不同。但對于使用者而言,一般要注意如下幾方面。
1.注重滿配置時的吞吐量 與任何電子産品一樣,選擇第三層交換機時,首先要分析各種産品的性能名額,然而面對諸如交換容量(Gbps)、背闆帶寬(Gbps)、處理能力(Mpps)、吞吐量(Mpps)等衆多技術名額,您最好還是緊緊抓住“滿配置時的吞吐量”這個名額,因為其他技術名額使用者一般沒有能力進行測量,惟有吞吐量是使用者可以使用Smart Bits和IXIA等測試儀表直接測量和驗證的名額。
2.分布式優于集中式 不同品牌的交換機所采用的交換機技術也不同,主要可分為集中式和分布式兩類。傳統總線式交換結構子產品是集中式,現代交換矩陣子產品是分布式。由于企業内聯網中運作的音頻、視訊及資料資訊量越來越大,使之對交換機處理能力的要求也越來越高,為了實作在高端口密度條件下的高速無阻塞交換,采用分布式第三層交換機是明智的選擇。因為總線式交換機子產品在以太網環境下,仍然避免不了沖突,而矩陣式恰恰避免了端口交換時的沖突現象。
3.關注延時與延時抖動名額 企業内聯網幾乎都是高速區域網路,其目的之一就是為了音頻和視訊等大容量多媒體資料的傳輸,而這些大容量多媒體資料包最忌因延時較長和資料包丢失使資訊傳輸産生抖動。有些傳統集中式交換機的延時高達2ms,而某些現代分布式交換機的延時隻有10ms左右,兩者相差上百倍。而導緻延時過高的原因通常包括阻塞設計的交換結構和過量使用緩沖等,是以,關注延時實際上需要關注産品的子產品結構。
4.性能穩定 第三層交換機多用于骨幹和彙聚層,如果性能不穩定,則會波及網絡系統的大部分主機,甚至整個網絡系統。是以,隻有性能穩定的第三層交換機才是網絡系統連續、可靠、安全和正常運作的保證。當然,性能穩定看似抽象,似乎需要曆史檢測才能有說服力。其實不然,由于裝置性能實際上是通過多項基本技術名額和市場聲譽來實作的。是以,您可以通過吞吐量、延遲、丢幀率、位址表深度、線端阻塞和多對一功能等多項名額以及市場應用調查來确定。
5.安全可靠 作為網絡核心裝置的第三層交換機,自然是黑客攻擊的重要對象,這就要求必須将第三層交換機納入網絡安全防護的範圍。當然,這裡所說的“安全可靠”,應該包括第三層交換機的軟體和硬體。是以,從“安全”上講,配備支援性能優良、沒有安全漏洞防火牆功能的第三層交換機是非常必要的。從“可靠”上看,因客觀上任何産品都不能保證其不發生故障,而發生故障時能否迅速切換到一個好裝置上是需要關心的問題。另外,在硬體上要考慮備援能力,如電源、管理子產品和端口等重要部件是否支援備援,這對諸如電信、金融等對安全可靠性要求高的使用者尤其重要。還有就是散熱方式,如散熱風扇等設定是否合理等。最後,對寬帶營運商來說,認證功能也是考察的重要方面。以前交換機是給企業用的,上了網就直接連出去了,不需要認證。而寬帶營運商則需要确認使用者是否記錄在案。使用者通路Internet時出現了一個視窗,輸入使用者名和密碼才能通過認證,是以寬帶營運商的第三層交換機還應支援一些特殊的協定如802.1x等,以實作認證。
功能齊全産品不但要滿足現有需求,還應滿足未來一段時間内的需求,進而給使用者一個增值空間。如當公司員工增加時,可以插上子產品來擴充而不必淘汰原有裝置。還有一些功能,如多點傳播、QoS、端口幹路(Port Trunking)、802.1d跨越樹(Spanning Tree)以及是否支援RIP、OSPF等路由協定,對第三層交換機來說都是十分重要的。以多點傳播為例,在VOD應用中,如果一組使用者同時點播一個節目,用多點傳播協定可以保證交換機在高密度視訊流點播時非常順暢地進行資料處理,反之,如果交換機不支援多點傳播協定,則占用的帶寬就相當大。再如QoS功能可以根據使用者不同需求将其劃分為不同等級,可以使寬帶營運商按端口流量計費,進而為不同使用者提供不同服務。另外,通路清單功能。如果在接入層劃分VLAN,則不同VLAN使用者間是不能通訊的,因為這是基于第二層的VLAN。若想通訊,必須通過第三層。如企業的财務部與市場部,一般都不來往,若有使用者需要通路,則網管人員可以通過第三層交換機進行一個簡單指令行設定,使VLAN間正常通訊,這就是通路清單功能。它是從路由器移植到第三層交換機上的一個功能,可以實作不同VLAN間的單向或雙向通訊。如果發現外部某IP位址總發送無用資料包到自己網絡上,則可以在通路清單中設定,禁止其發送資料包。
實驗拓撲:
基礎配置:
FW1:
#
interface GigabitEthernet0/0/0
undo shutdown
ip binding vpn-instance default
ip address 10.1.1.1 255.255.255.0
alias GE0/METH
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit
#
interface GigabitEthernet1/0/0
undo shutdown
ip address 192.168.10.1 255.255.255.0
service-manage ping permit
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 100.1.1.1 255.255.255.0
gateway 100.1.1.2
service-manage ping permit 
NAT:
#
nat-policy
rule name SNAT
source-zone trust
egress-interface GigabitEthernet1/0/1
action source-nat easy-ip 安全政策:
#
security-policy
rule name 放通
action permit FW2:
#
interface GigabitEthernet0/0/0
undo shutdown
ip binding vpn-instance default
ip address 10.1.1.2 255.255.255.0
alias GE0/METH
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit
#
interface GigabitEthernet1/0/0
undo shutdown
ip address 192.168.20.1 255.255.255.0
service-manage ping permit
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 100.1.1.2 255.255.255.0
gateway 100.1.1.1
service-manage ping permit NAT:
#
nat-policy
rule name SNAT
source-zone trust
egress-interface GigabitEthernet1/0/1
action source-nat easy-ip 安全政策:
#
security-policy
rule name 放通
action permit 配置攻擊防範:
FW1:
FW2:
檢測聯通性: