從零開始理解IEC104協(xié)議之五——數(shù)據(jù)安全

????????本司未針對變電所綜合自動化系統(tǒng)設(shè)置網(wǎng)絡(luò)安全防護演训。但為了文章完整性會針對以往的經(jīng)驗進行簡單介紹允悦。

????????未進行安全防護的104協(xié)議數(shù)據(jù)是明文數(shù)據(jù)，有被旁路控制莲趣、攔截/篡改的風(fēng)險鸳慈，為抵御黑客、病毒喧伞、惡意代碼等通過各種形式對系統(tǒng)發(fā)起的惡意破壞和攻擊走芋，各種網(wǎng)絡(luò)信息安全防護設(shè)備孕育而出⌒跏叮總體原則是安全分區(qū)绿聘、網(wǎng)絡(luò)專用嗽上、橫向隔離次舌、縱向認證。

⑴? 兽愤、安全分區(qū)

????????根據(jù)系統(tǒng)中業(yè)務(wù)的重要性和對一次系統(tǒng)的影響程度進行分區(qū)彼念，所有系統(tǒng)都必須置于相應(yīng)的安全區(qū)內(nèi)；對實時控制系統(tǒng)等關(guān)鍵業(yè)務(wù)采用認證浅萧、加密等技術(shù)實施重點保護逐沙。

????????安全Ⅰ區(qū)：即控制區(qū)。電力生產(chǎn)的重要環(huán)節(jié)洼畅、安全防護的重點與核心吩案；直接實現(xiàn)對一次系統(tǒng)運行的實時監(jiān)控；縱向使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)或?qū)Ｓ猛ǖ赖鄞亍５湫拖到y(tǒng)包括調(diào)度自動化系統(tǒng)徘郭，變電站自動化系統(tǒng)等靠益。

????????安全Ⅱ區(qū)：即非控制區(qū)。所實現(xiàn)功能為電力生產(chǎn)的必要環(huán)節(jié)残揉；在線運行胧后，但不具備控制功能，使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)抱环，與控制區(qū)中的系統(tǒng)或功能模塊聯(lián)系緊密壳快。典型系統(tǒng)包括調(diào)度員培訓(xùn)模擬系統(tǒng)，繼電保護及故障錄波信息管理系統(tǒng)镇草，電能量計量系統(tǒng)等眶痰。

????????管理信息大區(qū)：是指生產(chǎn)控制大區(qū)以外的電力企業(yè)管理信息系統(tǒng)的集合√萜。可細化為安全Ⅲ區(qū)（側(cè)重于生產(chǎn)管理的系統(tǒng)凛驮，如調(diào)度生產(chǎn)管理系統(tǒng)、調(diào)度報表系統(tǒng)条辟、雷電監(jiān)測系統(tǒng)等）及安全Ⅳ區(qū)（純管理的系統(tǒng)黔夭，如管理信息系統(tǒng)、辦公自動化系統(tǒng)等）羽嫡。

⑵? 本姥、網(wǎng)絡(luò)專用

I、電力調(diào)度數(shù)據(jù)網(wǎng)與其他網(wǎng)絡(luò)的物理隔離

????????電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當(dāng)在專用通道上使用獨立的網(wǎng)絡(luò)設(shè)備組網(wǎng)杭棵，采用基于SDH/PDH上的不同通道婚惫、不同光波長、不同纖芯等方式魂爪，在物理層面上實現(xiàn)與電力企業(yè)其它數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離先舷。

說明：

????????數(shù)字傳輸系統(tǒng)中，有兩種數(shù)字傳輸系列滓侍，一種叫“準同步數(shù)字系列”蒋川，簡稱PDH；另一種叫“同步數(shù)字系列”撩笆，簡稱SDH捺球。

????????SDH的被復(fù)接的幾個支路是在同一高穩(wěn)定的時鐘控制下，它們的數(shù)碼率是嚴格相等的夕冲，即各支路的碼位是同步的氮兵。這時可以將各支路碼元直接進行時間壓縮，移相后進行復(fù)接歹鱼。

????????而PDH的被復(fù)接的幾個支路不是在同一時鐘控制下泣栈，各支路有自己的時鐘，它們的數(shù)碼率由于各自的時鐘偏差不同而不會嚴格相等，即各支路碼位是不同步的南片。這種情況下在復(fù)接之前必須調(diào)整各支路碼速篙悯，使之達到嚴格相等。

????????兩者的區(qū)別就在同步的程度上铃绒「胝眨籠統(tǒng)地說SDH的同步是完整的，精確的颠悬，而PDH的同步是不完整的矮燎，不精確的。

????????另SDH與PDH均以時分復(fù)用（TDM）為基礎(chǔ)赔癌，就是將一個標準時長（1秒）分成若干段小的時間段（8000）诞外，每一個小時間段（1/8000=125us）傳輸一路信號。

Ⅱ灾票、實時子網(wǎng)和非實時子網(wǎng)的邏輯隔離

????????電力調(diào)度數(shù)據(jù)網(wǎng)劃分為邏輯隔離的實時子網(wǎng)（數(shù)據(jù)實時性的要求為秒或毫秒級）和非實時子網(wǎng)（數(shù)據(jù)實時性的要求為分鐘或小時級）峡谊，分別連接控制區(qū)和非控制區(qū)】裕可采用MPLS-VPN技術(shù)既们、安全隧道技術(shù)、PVC技術(shù)正什、靜態(tài)路由等構(gòu)成子網(wǎng)啥纸。

說明：

1、MPLS-VPN技術(shù)

????????MPLS-VPN在大型企業(yè)和運營商內(nèi)部運用的非常廣泛婴氮，是MPLS技術(shù)與VPN的結(jié)合斯棒。

MPLS技術(shù)

????????即多協(xié)議標簽交換技術(shù)，是一種IP骨干網(wǎng)技術(shù)主经。MPLS技術(shù)通過為IP報文增加標簽信息荣暮，并且根據(jù)標簽信息進行轉(zhuǎn)發(fā)。標簽被壓入二層頭部之后罩驻，三層頭部之前穗酥，俗稱2.5層。

????????這種技術(shù)最初是為了提高轉(zhuǎn)發(fā)速度而提出的鉴腻。與傳統(tǒng)IP路由方式相比迷扇，它在數(shù)據(jù)轉(zhuǎn)發(fā)時百揭，只在網(wǎng)絡(luò)邊緣分析IP報文頭爽哎，而不用在每一跳都分析IP報文頭，從而節(jié)約了處理時間器一。

其工作流程如下：

????????首先基于CEF技術(shù)（思科特快交換技術(shù)）课锌，將路由器表和ARP表轉(zhuǎn)換為FIB表（轉(zhuǎn)發(fā)信息數(shù)據(jù)庫，包含目標ip地址及出接口信息）和ADJ表（鄰居表，包含源目MAC地址）渺贤。

????????當(dāng)控制層面使用路由協(xié)議傳遞路由條目后雏胃，路由器上使用TDP/LDP（標簽分發(fā)協(xié)議，LDP為開放協(xié)議志鞍，TDP為思科私有協(xié)議）為FIB表（轉(zhuǎn)發(fā)信息數(shù)據(jù)庫）中每一條存在的路由條目均分配一個標簽號瞭亮，裝載于LIB表（標簽信息數(shù)據(jù)庫）中，同時傳遞給鄰居固棚，LIB中還記錄鄰居傳遞到本地標簽號统翩；之后路由器基于本地的FIB和LIB表生成LFIB（標簽轉(zhuǎn)發(fā)表），對應(yīng)一個標簽號的最佳路徑此洲。

????????第一跳路由器負責(zé)標簽的壓入厂汗，中間路由器基于標簽號轉(zhuǎn)發(fā)流量，最后一跳路由器負責(zé)標簽的彈出呜师。

????????隨著ASIC技術(shù)的發(fā)展娶桦，路由查找速度已經(jīng)不是阻礙網(wǎng)絡(luò)發(fā)展的瓶頸。這使得MPLS在提高轉(zhuǎn)發(fā)速度方面不再具備明顯的優(yōu)勢汁汗，但其與二層網(wǎng)絡(luò)轉(zhuǎn)發(fā)有很好的兼容性衷畦，仍舊得到廣泛的應(yīng)用。

VPN技術(shù)

????????VPN屬于遠程訪問技術(shù)知牌，簡單地說就是利用公用網(wǎng)絡(luò)架設(shè)專用網(wǎng)絡(luò)霎匈。

????????VPN通過操作系統(tǒng)的接口直接虛擬出一張網(wǎng)卡，后續(xù)整個操作系統(tǒng)的網(wǎng)絡(luò)通訊都將通過這張?zhí)摂M的網(wǎng)卡進行收發(fā)送爸。這和任何一個代理的實現(xiàn)思路都差不多铛嘱，應(yīng)用層并不知道網(wǎng)卡是虛擬的，這樣VPN虛擬網(wǎng)卡將以中間人的身份對數(shù)據(jù)進行加工袭厂，從而實現(xiàn)各種效果墨吓。具體來說，VPN是通過編寫一套網(wǎng)卡驅(qū)動并注冊到操作系統(tǒng)實現(xiàn)的虛擬網(wǎng)卡纹磺，這樣數(shù)據(jù)只要經(jīng)過網(wǎng)卡收發(fā)就可以進行攔截處理帖烘。

????????通常情況下，VPN服務(wù)器采取雙網(wǎng)卡結(jié)構(gòu)橄杨，外網(wǎng)卡使用公網(wǎng)IP接入Internet秘症。我們來看看其工作流程：

????????網(wǎng)絡(luò)一(假定為公網(wǎng)internet)的終端A訪問網(wǎng)絡(luò)二(假定為公司內(nèi)網(wǎng))的終端B，其發(fā)出的訪問數(shù)據(jù)包的目標地址為終端B的內(nèi)部IP地址式矫。

????????網(wǎng)絡(luò)一的VPN虛擬網(wǎng)卡在接收到終端A發(fā)出的訪問數(shù)據(jù)包時對其目標地址進行檢查乡摹，如果目標地址屬于網(wǎng)絡(luò)二的地址，則將該數(shù)據(jù)包進行封裝采转，封裝的方式根據(jù)所采用的VPN技術(shù)不同而不同聪廉，同時VPN虛擬網(wǎng)卡會構(gòu)造一個新VPN數(shù)據(jù)包瞬痘，并將封裝后的原數(shù)據(jù)包作為VPN數(shù)據(jù)包的負載，VPN數(shù)據(jù)包的目標地址為網(wǎng)絡(luò)二的VPN服務(wù)器的外部地址板熊。

????????網(wǎng)絡(luò)一的VPN虛擬網(wǎng)卡將VPN數(shù)據(jù)包發(fā)送到Internet框全，由于VPN數(shù)據(jù)包的目標地址是網(wǎng)絡(luò)二的VPN服務(wù)器的外部地址，所以該數(shù)據(jù)包將被Internet中的路由正確地發(fā)送到網(wǎng)絡(luò)二的VPN服務(wù)器干签。

????????網(wǎng)絡(luò)二的VPN服務(wù)器對接收到的數(shù)據(jù)包進行檢查津辩，如果發(fā)現(xiàn)該數(shù)據(jù)包是從網(wǎng)絡(luò)一的VPN虛擬網(wǎng)卡發(fā)出的，即可判定該數(shù)據(jù)包為VPN數(shù)據(jù)包容劳，并對該數(shù)據(jù)包進行解包處理丹泉。解包的過程主要是先將VPN數(shù)據(jù)包的包頭剝離，再將數(shù)據(jù)包反向處理還原成原始的數(shù)據(jù)包鸭蛙。

????????網(wǎng)絡(luò)二的VPN服務(wù)器將還原后的原始數(shù)據(jù)包發(fā)送至目標終端B摹恨，由于原始數(shù)據(jù)包的目標地址是終端B的IP，所以該數(shù)據(jù)包能夠被正確地發(fā)送到終端B娶视。在終端B看來晒哄，它收到的數(shù)據(jù)包就和從終端A直接發(fā)過來的一樣。

????????從終端B返回終端A的數(shù)據(jù)包處理過程和上述過程一樣肪获，這樣兩個網(wǎng)絡(luò)內(nèi)的終端就可以相互通訊了寝凌。

????????由于VPN虛擬網(wǎng)卡可以對數(shù)據(jù)進行加工，可以結(jié)合下面提到的安全隧道技術(shù)對數(shù)據(jù)加密孝赫，也可以和防火墻結(jié)合到一起使用较木。

????????而MPLS-VPN技術(shù)實現(xiàn)了跨地域、安全青柄、高速伐债、可靠的數(shù)據(jù)、語音致开、圖像多業(yè)務(wù)通信峰锁，并結(jié)合差別服務(wù)、流量工程等相關(guān)技術(shù)双戳，將公眾網(wǎng)可靠的性能虹蒋、良好的擴展性、豐富的功能與專用網(wǎng)的安全飒货、靈活魄衅、高效結(jié)合在一起，為用戶提供高質(zhì)量的服務(wù)塘辅。

2晃虫、安全隧道技術(shù)

????????安全隧道技術(shù)提供三個功能：第一是把一個協(xié)議封裝在另一個協(xié)議中，這樣不同的協(xié)議就能夠在同一個IP基礎(chǔ)設(shè)施上進行傳輸莫辨；第二是通過公共的尋址基礎(chǔ)設(shè)施傳輸私有尋址的報文傲茄，這點其實就類似于VPN毅访；第三是提供數(shù)據(jù)的完整性和機密性沮榜。

????????綜上來看盘榨，安全隧道技術(shù)的核心就是協(xié)議封裝和數(shù)據(jù)加密。這里主要介紹一下數(shù)據(jù)加密蟆融。

對稱加密

????????加密數(shù)據(jù)與解密數(shù)據(jù)使用相同的密鑰草巡，這種加密方法稱為對稱加密。

????????其特點為：①將原始數(shù)據(jù)進行切塊型酥，逐個進行加密山憨。②加密與解密使用相同密鑰，加密解密速度快弥喉。

????????其缺點為：①每一個通信的對象都有一把密鑰郁竟，如果通信對象過多導(dǎo)致密鑰過多。②密鑰分發(fā)問題由境，如何保證密鑰不被竊取棚亩。

非對稱加密

????????加密數(shù)據(jù)與解密數(shù)據(jù)使用一組公共/私人密鑰系統(tǒng)冗澈。公共密鑰可以廣泛的共享和透露慎陵，私鑰自己保存。

????????其特點為：加密時使用一種密鑰雀彼，解密時使用另一種密鑰纺阔。

????????其缺點為：加密解密速度慢瘸彤、時間長，不適用于對大數(shù)據(jù)進行加密解密笛钝。

hash算法

????????它能把任意長度的數(shù)據(jù)质况、字符加密后得到一個固定長度的特征碼。

????????其特點為：①加密后輸出的特征碼長度固定玻靡；②加密后的特征碼只跟數(shù)據(jù)內(nèi)容有關(guān)拯杠，與數(shù)據(jù)名稱無關(guān)。③可以用作數(shù)據(jù)的指紋④得到數(shù)據(jù)的特征碼無法算出原數(shù)據(jù)的內(nèi)容啃奴。

????????其缺點為：①相同內(nèi)容的文件加密后結(jié)果相同潭陪；②通常隨數(shù)據(jù)一同發(fā)出，極易被竊取最蕾。

數(shù)字證書

????????數(shù)字證書是指在互聯(lián)網(wǎng)通訊中標志通訊各方身份信息的一個數(shù)字認證依溯，人們可以在網(wǎng)上用它來識別對方的身份。

????????數(shù)字證書往往含有以下內(nèi)容：證書的發(fā)布機構(gòu)瘟则、證書的有效期黎炉、公鑰、證書所有者（Subject）醋拧、簽名所使用的算法慷嗜、指紋以及指紋算法淀弹。

數(shù)字證書的形成：

????????首先權(quán)威證書簽發(fā)機構(gòu)（CA），先用非對稱加密算法產(chǎn)生一對公私鑰庆械。然后生成一個數(shù)字證書文件薇溃，里面的內(nèi)容如上文所述，都是明文缭乘，簡稱內(nèi)容C沐序。接著對其使用hash算法，得到數(shù)據(jù)指紋P堕绩。然后用私鑰對數(shù)據(jù)指紋P進行加密策幼，得到簽名信息S。最后將C奴紧、S組成一個文件特姐，這就是數(shù)字證書了。

數(shù)字證書的檢驗：

????????具備通信功能的應(yīng)用程序（如IE等）會讀取證書中的發(fā)布機構(gòu)黍氮，然后會在操作系統(tǒng)中受信任的發(fā)布機構(gòu)的證書中去尋找這個發(fā)布機構(gòu)的證書（即根證書）唐含，如果找不到，那說明證書的發(fā)布機構(gòu)存在問題滤钱，那么證書也就可能存在問題觉壶，程序會給出一個錯誤信息。

????????如果在系統(tǒng)中找到了證書發(fā)布機構(gòu)的證書（根證書）件缸，那么應(yīng)用程序就會從根證書中取出公鑰铜靶，然后對證書里面的指紋和指紋算法用這個公鑰進行解密，然后使用這個指紋算法計算證書的指紋他炊，將這個計算的指紋與放在證書中的指紋對比争剿，如果一致，說明證書肯定沒有被修改過并且證書是由證書發(fā)布機構(gòu)發(fā)布的痊末，證書中的公鑰肯定是證書所有機構(gòu)的蚕苇。

????????最后就可以放心的使用這個公鑰和證書所有機構(gòu)進行通信了。

綜合運用

????????上述幾種技術(shù)凿叠，如果單獨使用任何一種對數(shù)據(jù)進行數(shù)據(jù)加密的話都是不安全的涩笤，往往都是各類技術(shù)混合使用，互補優(yōu)缺點使數(shù)據(jù)的傳輸更加安全盒件。其通信流程如下：

????????step1：“客戶”向服務(wù)端發(fā)送一個通信請求蹬碧；

????????step2：“服務(wù)器”向客戶發(fā)送自己的數(shù)字證書。證書中有一個公鑰用來加密信息炒刁，私鑰由“服務(wù)器”持有恩沽；

????????step3：“客戶”收到“服務(wù)器”的證書后，它會去驗證這個數(shù)字證書到底是不是“服務(wù)器”的翔始，數(shù)字證書有沒有什么問題罗心，數(shù)字證書如果檢查沒有問題里伯，就說明數(shù)字證書中的公鑰確實是“服務(wù)器”的。檢查數(shù)字證書后渤闷，“客戶”會發(fā)送一個隨機的字符串給“服務(wù)器”用私鑰去加密疾瓮，服務(wù)器把加密的結(jié)果返回給“客戶”，“客戶”用公鑰解密這個返回結(jié)果肤晓，如果解密結(jié)果與之前生成的隨機字符串一致爷贫，那說明對方確實是私鑰的持有者认然，或者說對方確實是“服務(wù)器”补憾。

????????step4：驗證“服務(wù)器”的身份后，“客戶”生成一個對稱加密算法和密鑰卷员，用于后面的通信的加密和解密盈匾。這個對稱加密算法和密鑰，“客戶”會用公鑰加密后發(fā)送給“服務(wù)器”毕骡，別人截獲了也沒用削饵，因為只有“服務(wù)器”手中有可以解密的私鑰。這樣未巫，后面“服務(wù)器”和“客戶”就都可以用對稱加密算法來加密和解密通信內(nèi)容了窿撬。

總結(jié)

????????安全隧道技術(shù)原理如上，實踐中應(yīng)用廣泛IPSEC技術(shù)正是基于此叙凡，除了不可否認性劈伴、數(shù)據(jù)完整性、數(shù)據(jù)可靠性握爷，還實現(xiàn)了反重播性跛璧。

????????不可否認即發(fā)送的不可否認，當(dāng)發(fā)送方通過私鑰產(chǎn)生的數(shù)字簽名隨消息一起發(fā)送時新啼，接收方即可使用公鑰進行驗證追城。由于發(fā)送者擁有的私鑰具有唯一性，所以只要通過驗證發(fā)送對象便不能說自己沒有發(fā)送燥撞，這就好比身份識別座柱。

????????反重播性就好比接受手機的驗證碼，每個IP只能使用一次物舒，這樣可以有效的防止某些黑客進行破譯信息色洞。

????????數(shù)據(jù)完整性作用在于保護數(shù)據(jù)，避免被篡改茶鉴。IPSEC使用的函數(shù)為Hash锋玲，即每個數(shù)據(jù)包產(chǎn)生一個加密檢查和，接收方在打開Packet前必須進行檢查和涵叮，如若不符立即丟棄惭蹂。

????????數(shù)據(jù)可靠性指的是IPSEC的加密技術(shù)伞插，作用同樣是為了保護數(shù)據(jù)。

3盾碗、PVC技術(shù)

????????永久虛電路是指兩臺計算機通過面向連接網(wǎng)絡(luò)的連接媚污。PVC能經(jīng)受計算機的重新自舉或電源的波動，從這個意義上說它是永久的廷雅，因為它是將路徑放在路由表中耗美，而不是建立物理連接。下文首先我們先介紹下虛電路（VC）航缀。

虛電路(VC)的組成:

????????①源和目的主機之間的路徑(即一系列鏈路和路由器);

????????②VC 號商架，沿著該路徑的每段鏈路一個號碼;

????????③沿著該路徑的每臺路由器中的轉(zhuǎn)發(fā)表表項。

虛電路（VC）的傳輸過程：

????????虛電路網(wǎng)絡(luò)如下圖所示：

????????①虛電路的建立：發(fā)送方A發(fā)送含有地址信息的特定的控制信息塊（如：呼叫分組）蛇摸，該信息塊途經(jīng)的每個中間結(jié)點根據(jù)當(dāng)前的鏈路使用狀況赶袄，分配鏈路饿肺，并建立輸入和輸出的鏈路映射表敬辣，所有中間結(jié)點分配的鏈路的串接形成虛電路（VC）购岗。

????????②數(shù)據(jù)傳輸：發(fā)送方A發(fā)送的所有分組均沿著相同的VC傳輸门粪，分組的發(fā)收順序完全相同玄妈。

????????③虛電路的釋放：數(shù)據(jù)傳輸完畢拟蜻，采用特定的控制信息塊（如：拆除分組），釋放該虛電路诡必。通信的雙方都可發(fā)起釋放虛電路的動作蟋字。有此過程的便是交換虛電路（SVC）扭勉，無此過程的便是永久虛電路（PVC）涂炎。

????????采用虛電路傳輸?shù)姆纸M數(shù)據(jù)將在它的首部攜帶一個VC 號唱捣。因為一條虛電路在每條鏈路上可能具有不同的VC號爷光，所以每臺中間路由器必須用一個新的VC號替代每個傳輸分組的VC號澎粟。這個新的 VC 號從轉(zhuǎn)發(fā)表中獲得活烙。轉(zhuǎn)發(fā)表如下所示：

????????我們再回看網(wǎng)絡(luò)圖：

????????首先主機 A 請求該網(wǎng)絡(luò)在它自己與主機 B 之間創(chuàng)建一條虛電路啸盏。同時假定該網(wǎng)絡(luò)為該虛電路選擇路徑 A-R1-R2-B气笙，并為這條路徑上的這 3 條鏈路分配 VC 號 12潜圃、22 和 32谭期。在這種情況下吧凉，當(dāng)這條虛電路中的分組離開主機 A 時阀捅，該分組首部中的 VC 字段的值是 12；當(dāng)它離開 R1 時該值是 22凄诞，而當(dāng)它離開 R2 時該值是 32摸柄。

????????現(xiàn)在我們對虛電路應(yīng)該有了一個初步的認識既忆，來看看它的優(yōu)缺點吧患雇。

虛電路的優(yōu)點

????????①數(shù)據(jù)傳輸分組無需建立完整的地址信息苛吱，對數(shù)據(jù)量較大的通信傳輸效率高翠储，分組傳輸時延固定且較小援所。

????????②在正常情況下住拭，分組到達目的結(jié)點時不會出現(xiàn)丟失杠娱、重復(fù)與亂序的現(xiàn)象谱煤。

????????③分組通過虛電路上的每個結(jié)點時睹簇，結(jié)點只需要做差錯檢測寥闪，而不需要做路徑選擇凿渊。

????????④通信子網(wǎng)中每個結(jié)點可以和任何結(jié)點建立多條虛電路連接埃脏。

虛電路的缺點

????????①需經(jīng)歷呼叫建立彩掐、數(shù)據(jù)傳輸和呼叫釋放三個過程堵幽，對數(shù)據(jù)量較小的通信效率較低朴下。

????????②如果虛電路中的某個結(jié)點或者線路出現(xiàn)故障渗稍，將導(dǎo)致虛電路傳輸失效团滥，并且經(jīng)過故障點的數(shù)據(jù)全部丟失惫撰。

虛電路的應(yīng)用

????????適用于兩端之間長時間的大批量數(shù)據(jù)傳輸數(shù)據(jù)交換厨钻。

說明：

????????計算機自舉包括兩個過程：加電自檢和磁盤引導(dǎo)。①加電自檢诱建，當(dāng)計算機上電時會進行加電自檢碟绑，以斷定它的所有元件都在正確地工作俺猿。如果某個元件有故障，顯示器上酒會出現(xiàn)報警提示信息（如果顯示器也不能正常工作格仲，則以一串嘟嘟聲來報警）押袍；②磁盤引導(dǎo)，查找裝有操作系統(tǒng)的磁盤驅(qū)動器凯肋。從磁盤加載操作系統(tǒng)的原因有二：一是操作系統(tǒng)升級簡單容易谊惭，二是使用戶擁有選擇操作系統(tǒng)的自由。

4、靜態(tài)路由技術(shù)

????? 靜態(tài)路由一種路由的方式圈盔，路由項由手動配置，而非動態(tài)決定。與動態(tài)路由不同，靜態(tài)路由是固定的我碟，不會改變掸冤，即使網(wǎng)絡(luò)狀況已經(jīng)改變或是重新被組態(tài)饺藤。一般來說，靜態(tài)路由是由網(wǎng)絡(luò)管理員逐項加入路由表。其示意圖如下：

????????我們可以看到網(wǎng)絡(luò)栖疑，由兩個路由器R1和R2組成（接口號和IP地址在圖中給出）瓜浸，它們分別連接了各自的網(wǎng)絡(luò)：R1連接了子網(wǎng)192.168.0.0/24雇寇，R2連接了子網(wǎng)192.168.2.0/24?囚痴。

????????在沒有配置靜態(tài)路由的情況下痴荐，這兩個子網(wǎng)中的計算機A膝宁、B之間是不能通信的。從計算機A發(fā)往計算機B的IP包映皆，在到達R1后从隆，R1不知道如何到達計算機B所在的網(wǎng)段192.168.2.0/24（即R1上沒有去往192.168.2.0/24的路由表）辛燥，同樣R2也不知道如何到達計算機A所在的網(wǎng)段192.168.0.0/24，因此通信失敗嘴高。

????????此時就需要管理員在R1和R2上分別配置靜態(tài)路由來使計算機A、B成功通信线罕。

第一步燃乍，在R1上執(zhí)行添加靜態(tài)路由的命令ip route 192.168.2.0 255.255.255.0

192.168.1.1宛琅。它的意思是告訴R1刻蟹，如果有IP包想達到網(wǎng)段192.168.2.0/24舆瘪，那么請將此IP包發(fā)給192.168.1.1（即和R1的2號端口相連的對端）舌缤。

第二步，也要在R2上執(zhí)行添加靜態(tài)路由的命令ip route 192.168.0.0 255.255.255.0

192.168.1.2贯钩。它的意思是告訴R2，如果有IP包想達到網(wǎng)段192.168.0.0/24呆万，那么請將此IP包發(fā)給192.168.1.2（即和R2的3號端口相連的對端）刻蚯。

????????通過上面的兩段配置，從計算機A發(fā)往計算機B的IP包桑嘶，能被R1通過2號端口轉(zhuǎn)發(fā)給R2，然后R2轉(zhuǎn)發(fā)給計算機B躬充。同樣地逃顶，從計算機B返回給計算機A的IP包讨便，能被R2通過3號端口轉(zhuǎn)發(fā)給R1，然后R1轉(zhuǎn)發(fā)給計算機A以政，完成了一個完整的通訊過程霸褒。

靜態(tài)路由技術(shù)優(yōu)點

????????①它是最為原始的配置路由方式，純手工盈蛮，易管理废菱。

????????②網(wǎng)絡(luò)安全保密性高。動態(tài)路由因為需要路由器之間頻繁地交換各自的路由表抖誉，而對路由表的分析可以揭示網(wǎng)絡(luò)的拓撲結(jié)構(gòu)和網(wǎng)絡(luò)地址等信息殊轴。因此，網(wǎng)絡(luò)出于安全方面的考慮也可以采用靜態(tài)路由袒炉。

????????③不占用網(wǎng)絡(luò)帶寬旁理，因為靜態(tài)路由不會產(chǎn)生更新流量。

靜態(tài)路由技術(shù)缺點

????????①人工配置我磁，對人員有一定要求孽文，且耗時較多。

????????②大型和復(fù)雜的網(wǎng)絡(luò)環(huán)境通常不宜采用靜態(tài)路由夺艰。一方面芋哭，網(wǎng)絡(luò)管理員難以全面地了解整個網(wǎng)絡(luò)的拓撲結(jié)構(gòu)；另一方面郁副，當(dāng)網(wǎng)絡(luò)的拓撲結(jié)構(gòu)和鏈路狀態(tài)發(fā)生變化時减牺，路由器中的靜態(tài)路由信息需要大范圍地調(diào)整，這一工作的難度和復(fù)雜程度非常高霞势。

????????③當(dāng)網(wǎng)絡(luò)發(fā)生變化或網(wǎng)絡(luò)發(fā)生故障時烹植，不能自動重選路由，很可能使路由失敗愕贡。

5草雕、物理隔離

????????物理隔離指的是在物理上將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)分離，使得內(nèi)部網(wǎng)絡(luò)無法通過任何直接或者是間接的方式與外部網(wǎng)絡(luò)用戶直接相連固以。通常采用以下三種技術(shù)手段：

①獨立網(wǎng)絡(luò)

????????即配置兩個從用戶到服務(wù)器的整個網(wǎng)絡(luò)架構(gòu)墩虹。內(nèi)網(wǎng)、外網(wǎng)完全隔離憨琳。對用戶側(cè)來說诫钓，就是使用2臺電腦一臺連接外網(wǎng)，一臺連接內(nèi)網(wǎng)篙螟，完全獨立菌湃。

②網(wǎng)絡(luò)物理隔離卡

????????利用手動物理開關(guān)，使同一時刻僅有一組物理數(shù)據(jù)載體是生效的遍略，另一組物理數(shù)據(jù)載體惧所，絕對不可能被讀寫數(shù)據(jù)骤坐。

????????網(wǎng)線同一時刻也只能選擇一條連通，選外網(wǎng)斷開內(nèi)網(wǎng)下愈，選內(nèi)網(wǎng)斷開外網(wǎng)纽绍。并且一條網(wǎng)線僅對應(yīng)一個數(shù)據(jù)載體，與另一條網(wǎng)線及數(shù)據(jù)載體是物理隔離的势似。

????????實現(xiàn)方式其實很簡單拌夏，即同一時間只有一塊數(shù)據(jù)載體（如硬盤）和與其相對應(yīng)的那塊網(wǎng)卡是得電，另一組網(wǎng)卡及數(shù)據(jù)載體（如硬盤）是失電履因。

????????其優(yōu)點為能夠?qū)崿F(xiàn)兩個網(wǎng)絡(luò)的完全物理隔離障簿；其缺點為操作較為麻煩，轉(zhuǎn)換內(nèi)外網(wǎng)需要關(guān)機然后重新開機并且內(nèi)外網(wǎng)數(shù)據(jù)不能直接交換搓逾。

????????當(dāng)然也可以通過技術(shù)手段實現(xiàn)雙硬盤的數(shù)據(jù)交換卷谈，例如在網(wǎng)絡(luò)上設(shè)置僅由管理員管理的公用硬盤或通過軟盤進行雙硬盤的數(shù)據(jù)交換。不過霞篡，這樣就犧牲了部分的安全性世蔗。

????????其網(wǎng)絡(luò)架構(gòu)如下所示:

③網(wǎng)閘

????????網(wǎng)閘實現(xiàn)的是個安全的概念，與防火墻等網(wǎng)絡(luò)安全設(shè)備不同的地方是他阻斷通訊的連接朗兵，只完成數(shù)據(jù)的交換涡尘，沒有業(yè)務(wù)的連接坪创，攻擊就沒有了載體，如同網(wǎng)絡(luò)的“物理隔離”。網(wǎng)閘其實就是模擬人工數(shù)據(jù)倒換稽物，利用中間數(shù)據(jù)倒換區(qū)趣席，分時地與內(nèi)外網(wǎng)連接泊柬，但一個時刻只與一個網(wǎng)絡(luò)連接波附，保持“物理的分離”，實現(xiàn)數(shù)據(jù)的倒換冗美。這就象從前長江上的擺渡船魔种，既沒有“物理的連接”大橋，也實現(xiàn)了貨物的交換粉洼。其架構(gòu)圖如下所示：

????????下面我們分塊來了解它的工作原理：

????????內(nèi)網(wǎng)處理單元：包括內(nèi)網(wǎng)接口單元與內(nèi)網(wǎng)數(shù)據(jù)緩沖區(qū)节预。接口部分負責(zé)與內(nèi)網(wǎng)的連接，并終止內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)連接属韧，對數(shù)據(jù)進行病毒檢測安拟、防火墻、入侵防護等安全檢測后剝離出“純數(shù)據(jù)”宵喂，作好交換的準備糠赦，也完成來自內(nèi)網(wǎng)對用戶身份的確認，確保數(shù)據(jù)的安全通道；數(shù)據(jù)緩沖區(qū)是存放并調(diào)度剝離后的數(shù)據(jù)愉棱，負責(zé)與隔離交換單元的數(shù)據(jù)交換唆铐。

????????外網(wǎng)處理單元：與內(nèi)網(wǎng)處理單元功能相同，但處理的是外網(wǎng)連接奔滑。

????????隔離與交換控制單元：是網(wǎng)閘隔離控制的擺渡控制，控制交換通道的開啟與關(guān)閉顺少∨笃洌控制單元中包含一個數(shù)據(jù)交換區(qū)，就是數(shù)據(jù)交換中的擺渡船脆炎。對交換通道的控制的方式目前有兩種技術(shù)梅猿，擺渡開關(guān)與通道控制。擺渡開關(guān)是電子倒換開關(guān)秒裕，讓數(shù)據(jù)交換區(qū)與內(nèi)外網(wǎng)在任意時刻的不同時連接袱蚓，形成空間斷口，實現(xiàn)物理隔離几蜻。通道方式是在內(nèi)外網(wǎng)之間改變通訊模式喇潘，中斷了內(nèi)外網(wǎng)的直接連接，采用私密的通訊手段形成內(nèi)外網(wǎng)的物理隔離梭稚。該單元中有一個數(shù)據(jù)交換區(qū)颖低，作為交換數(shù)據(jù)的中轉(zhuǎn)。

????????在內(nèi)外網(wǎng)處理單元中弧烤，接口處理與數(shù)據(jù)緩沖之間的通道忱屑，稱內(nèi)部通道1，緩沖區(qū)與交換區(qū)之間的通道暇昂，稱內(nèi)部通道2莺戒。對內(nèi)部通道的開關(guān)控制，就可以形成內(nèi)外網(wǎng)的隔離急波。模型中的用中間的數(shù)據(jù)交換區(qū)擺渡數(shù)據(jù)从铲，稱為三區(qū)模型；擺渡時幔崖，交換區(qū)的總線分別與內(nèi)食店、外網(wǎng)緩沖區(qū)連接，也就是內(nèi)部通道2的控制赏寇，完成數(shù)據(jù)交換吉嫩。

網(wǎng)閘的原則有兩條：

????????單一服務(wù)：只完成數(shù)據(jù)文件的交換，只完成文件形式的數(shù)據(jù)交換嗅定。其他的服務(wù)一律關(guān)閉自娩。

????????定向交換：在數(shù)據(jù)交換時指定接收人、發(fā)送人。

總結(jié)

????????以上三種方式是進行物理隔離的常用手段忙迁。特別注意的是下面兩種情況：

????????一脐彩、基于一個硬盤的方案；二姊扔、使用了2個硬盤但能進行切換（通過鍵盤惠奸、軟件、總線恰梢、內(nèi)存這些方式）甚至直接數(shù)據(jù)互通佛南。這都不屬于嚴格意義上的物理隔離。

6嵌言、邏輯隔離

????????邏輯隔離是一種通過軟硬件的技術(shù)手段來保證兩個網(wǎng)絡(luò)之間不能直接進行數(shù)據(jù)交換的網(wǎng)絡(luò)架構(gòu)嗅回。需要注意的是，被隔離的兩端仍然存在物理上數(shù)據(jù)通道連線摧茴，但通過技術(shù)手段保證被隔離的兩端沒有數(shù)據(jù)通道绵载，這就是邏輯上隔離。

????????一般使用協(xié)議轉(zhuǎn)換苛白、數(shù)據(jù)格式剝離和數(shù)據(jù)流控制的方法娃豹，在兩個邏輯隔離區(qū)域中傳輸數(shù)據(jù)，并且傳輸?shù)姆较蚴强煽貭顟B(tài)下的單向丸氛，不能再兩個網(wǎng)絡(luò)之間直接進行數(shù)據(jù)交換培愁。

????????在內(nèi)部網(wǎng)絡(luò)對安全性要求不是特別高的情況下，可以采用邏輯隔離缓窜。

????????常見的軟件邏輯隔離有：VLAN定续、虛擬路由、虛擬交換機禾锤、MPLS私股、防火墻、虛擬桌面等恩掷；常見的硬件邏輯隔離有：路由器倡鲸、三層交換機、單硬盤隔離卡等黄娘。

①VLAN?????

????????VLAN峭状，即虛擬局域網(wǎng)，是將一個物理的LAN在邏輯上劃分成多個廣播域的通信技術(shù)逼争。VLAN內(nèi)的主機間可以直接通信优床，而VLAN間不能直接通信，從而將廣播報文限制在一個VLAN內(nèi)誓焦。

VLAN的劃分方式

????????一般將它劃分為兩大類胆敞，靜態(tài)和動態(tài)。

????????靜態(tài)VLAN也叫做基于端口的VLAN。從意思也能理解移层，它是固定不變的仍翰，就是明確指定交換機各端口屬于哪個VLAN的設(shè)定方法。

????????基于端口的VLAN這種方法的優(yōu)點是VLAN成員的定義非常簡單明確观话，直接針對交換機現(xiàn)有的端口設(shè)置VLAN予借，能夠很容易被運維人員理解。缺點是由于需要一個個端口地指定匪燕，因此當(dāng)網(wǎng)絡(luò)中的計算機數(shù)目超過一定數(shù)量后蕾羊，設(shè)定操作就會變得煩雜無比。并且帽驯，計算機每次變更所連端口，都必須同時更改該端口所屬VLAN的設(shè)定——這顯然靜態(tài)VLAN不適合那些需要頻繁改變拓撲結(jié)構(gòu)的網(wǎng)絡(luò)和大型網(wǎng)絡(luò)书闸。

????????動態(tài)VLAN則是根據(jù)每個端口所連的計算機尼变，隨時改變端口所屬的VLAN。這就可以避免上述的更改設(shè)定之類的操作浆劲。動態(tài)VLAN可以大致分為以下3類：①基于MAC地址的VLAN

????????通過查詢并記錄端口所連計算機上網(wǎng)卡的MAC地址來決定端口的所屬嫌术。假定有一個計算機MAC地址為“A”被交換機設(shè)定為屬于VLAN“1”，那么不論MAC地址為“A”這臺計算機連在交換機哪個端口牌借，該端口都會被劃分到VLAN1中去度气。

②基于子網(wǎng)的VLAN（Subnet Based VLAN）

????????通過所連計算機的IP地址，來決定端口所屬VLAN的膨报。不像基于MAC地址的VLAN磷籍，即使計算機因為交換了網(wǎng)卡或是其他原因?qū)е翸AC地址改變，只要它的IP地址不變现柠，就仍可以加入原先設(shè)定的VLAN院领。

③基于用戶的VLAN（User Based VLAN）

????????根據(jù)交換機各端口所連的計算機上當(dāng)前登錄的用戶，來決定該端口屬于哪個VLAN够吩。這里的用戶識別信息比然，一般是計算機操作系統(tǒng)登錄的用戶，比如可以是Windows域中使用的用戶名周循。這些用戶名信息强法，屬于OSI第四層以上的信息。

????????VLAN基本網(wǎng)絡(luò)架構(gòu)示意圖如下所示：

????????動態(tài)VLAN只需將上圖中右部表格中的端口項更換成MAC地址/IP地址/用戶名即可湾笛。

匯聚鏈接（Trunk Link）

????????若需要實現(xiàn)跨越交換機間的VLAN或不同VLAN間的數(shù)據(jù)交換饮怯，這就是需要用到匯聚鏈接。它是能夠轉(zhuǎn)發(fā)多個不同VLAN的通信的端口迄本。匯聚鏈路上流通的數(shù)據(jù)幀硕淑，都被附加了用于識別屬于哪個VLAN的特殊信息。

????????跨越交換機間的VLAN網(wǎng)絡(luò)架構(gòu)圖如下所示：

????????其通信過程如下：A發(fā)送的數(shù)據(jù)幀從交換機1經(jīng)過匯聚鏈路到達交換機2時，在數(shù)據(jù)幀上附加了表示屬于紅色VLAN的標記置媳。

????????交換機2收到數(shù)據(jù)幀后于樟，經(jīng)過檢查VLAN標識發(fā)現(xiàn)這個數(shù)據(jù)幀是屬于紅色VLAN的，因此去除標記后根據(jù)需要將復(fù)原的數(shù)據(jù)幀只轉(zhuǎn)發(fā)給其他屬于紅色VLAN的端口拇囊。

????????轉(zhuǎn)發(fā)迂曲，是指經(jīng)過確認目標MAC地址并與MAC地址列表比對后只轉(zhuǎn)發(fā)給目標MAC地址所連的端口。只有當(dāng)數(shù)據(jù)幀是一個廣播幀寥袭、多播幀或是目標不明的幀時路捧，它才會被轉(zhuǎn)發(fā)到所有屬于紅色VLAN的端口。

????????這里值得一提的是传黄，圖中出現(xiàn)了交換機的級連杰扫。交換機的級連一般遵循以下原則：應(yīng)把級連口控制開關(guān)放在MDI（級連口，有的用Uplink表示）上膘掰，同時用直通線相連章姓。如果交換機沒有專用級連口，或者無法使用級連口识埋，必須使用MDIX（普通）口級連凡伊，這時應(yīng)采用交叉線序。

????????交換機的級連網(wǎng)線長度不應(yīng)超過100m窒舟，交換機的級連不應(yīng)超過4級系忙。因交叉線較少用到，故應(yīng)做特別標記惠豺，以免日后誤作直通線用银还，造成線路故障。

????? 不同VLAN間的數(shù)據(jù)交換的網(wǎng)絡(luò)架構(gòu)如下圖所示：

其通信過程如下：

????????⒈計算機A從通信目標的IP地址（192.168.2.1）得出C與本機不屬于同一個網(wǎng)段耕腾。因此會向設(shè)定的默認網(wǎng)關(guān)（Default Gateway见剩，GW）轉(zhuǎn)發(fā)數(shù)據(jù)幀。在發(fā)送數(shù)據(jù)幀之前扫俺，需要先用ARP獲取路由器的MAC地址苍苞。

????????⒉得到路由器的MAC地址R后，接下來就是按圖中所示的步驟發(fā)送往C去的數(shù)據(jù)幀狼纬。①的數(shù)據(jù)幀中羹呵，目標MAC地址是路由器的地址R、但內(nèi)含的目標IP地址仍是最終要通信的對象C的地址疗琉。

????????⒊交換機在端口1上收到①的數(shù)據(jù)幀后冈欢，檢索MAC地址列表中與端口1同屬一個VLAN的表項。由于匯聚鏈路會被看作屬于所有的VLAN盈简，因此這時交換機的端口6也屬于被參照對象凑耻。這樣交換機就知道往MAC地址R發(fā)送數(shù)據(jù)幀太示，需要經(jīng)過端口6轉(zhuǎn)發(fā)。

????????⒋從端口6發(fā)送數(shù)據(jù)幀時香浩，由于它是匯聚鏈接类缤，因此會被附加上VLAN識別信息。由于原先是來自紅色VLAN的數(shù)據(jù)幀邻吭，因此如圖中②所示餐弱，會被加上紅色VLAN的識別信息后進入?yún)R聚鏈路。路由器收到②的數(shù)據(jù)幀后囱晴，確認其VLAN識別信息膏蚓，由于它是屬于紅色VLAN的數(shù)據(jù)幀，因此交由負責(zé)紅色VLAN的子接口接收畸写。

????????⒌接著驮瞧，根據(jù)路由器內(nèi)部的路由表，判斷該向哪里中繼枯芬。由于目標網(wǎng)絡(luò)192.168.2.0/24是藍色VLAN剧董，，且該網(wǎng)絡(luò)通過子接口與路由器直連破停，因此只要從負責(zé)藍色VLAN的子接口轉(zhuǎn)發(fā)就可以了。這時尉剩，數(shù)據(jù)幀的目標MAC地址被改寫成計算機C的目標地址真慢；并且由于需要經(jīng)過匯聚鏈路轉(zhuǎn)發(fā)，因此被附加了屬于藍色VLAN的識別信息理茎。這就是圖中③的數(shù)據(jù)幀黑界。

????????6. 交換機收到③的數(shù)據(jù)幀后，根據(jù)VLAN標識信息從MAC地址列表中檢索屬于藍色VLAN的表項皂林。由于通信目標——計算機C連接在端口3上朗鸠、且端口3為普通的訪問鏈接，因此交換機會將數(shù)據(jù)幀除去VLAN識別信息后（數(shù)據(jù)幀④）轉(zhuǎn)發(fā)給端口3础倍，最終計算機C才能成功地收到這個數(shù)據(jù)幀烛占。

????????綜上，進行VLAN間通信時沟启，即使通信雙方都連接在同一臺交換機上忆家，也必須經(jīng)過：發(fā)送方——交換機——路由器——交換機——接收方，這樣一個流程德迹。

②虛擬路由器/虛擬交換機

????????談到虛擬芽卿，這本身就是一種軟件功能。以最常見的虛擬機為例：在用戶看來它們就像是真正的計算機胳搞，它具有實際的硬盤驅(qū)動器和內(nèi)存卸例。然而称杨，在現(xiàn)實中，這些元素并沒有真實存在筷转。只是姑原，虛擬操作系統(tǒng)環(huán)境(通常是指VMware vSphere、Citrix Xen Server或者微軟Hyper-V)向我們呈現(xiàn)了這些元素旦装。

????????虛擬路由器（交換機）也是如此页衙，它具有物理路由器（交換機）的所有組成部分，并且它們的工作方式也相同阴绢。但是店乐，與虛擬機一樣，虛擬路由器（交換機）并不是具有物理連接且真實存在的設(shè)備呻袭。

????????虛擬路由器（交換機）的優(yōu)點在于功能多（SSR眨八、過濾或攔截，數(shù)據(jù)加解密左电，流量控制廉侧，負載均衡等）且?guī)ж撦d能力強（支持海量鏈接數(shù)量），但數(shù)據(jù)交互和轉(zhuǎn)發(fā)功能弱于物理實體（因為是經(jīng)過CPU轉(zhuǎn)發(fā)篓足，無專用芯片）段誊。

????????虛擬交換機＋VLAN也可以起到一定的隔離作用。但虛擬網(wǎng)絡(luò)設(shè)備對網(wǎng)絡(luò)管理人員要求很高栈拖，一般在電力系統(tǒng)中很難見到连舍。而且不管怎么虛擬，都不能算作物理隔離涩哟。

③MPLS隔離

????????多協(xié)議標簽轉(zhuǎn)換（MPLS）之前已經(jīng)講過了索赏，使用標簽而不是保存在路由表里的網(wǎng)絡(luò)地址來轉(zhuǎn)發(fā)數(shù)據(jù)包。結(jié)合上文理解贴彼，這邊不再拓展潜腻。

????????可以看作是使用類似于虛電路（VC）的通道來數(shù)據(jù)進行數(shù)據(jù)的隔離。

④防火墻

????????防火墻是位于兩個或多個網(wǎng)絡(luò)之間執(zhí)行訪問控制的軟件或硬件系統(tǒng)器仗，他根據(jù)訪問控制規(guī)則對進出的網(wǎng)絡(luò)的數(shù)據(jù)流進行過濾融涣，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執(zhí)行青灼。它是一種網(wǎng)絡(luò)安全產(chǎn)品暴心，用于對網(wǎng)絡(luò)進行安全訪問限制，一般用在互聯(lián)網(wǎng)的邊緣杂拨，防止外部黑客的攻擊专普。防火墻可以看成是帶有安全功能的路由器，早期的防火墻就是在路由器的基礎(chǔ)上加入了訪問控制功能弹沽。

????????另外防火墻還可以關(guān)閉不使用的端口檀夹。而且它還能禁止特定端口的流出通信筋粗，封鎖特洛伊木馬。

????????防火墻也存在一些缺陷炸渡，

????????其一娜亿，在正常狀況下，所有互聯(lián)網(wǎng)的數(shù)據(jù)包軟件都應(yīng)經(jīng)過防火墻的過濾蚌堵，這將造成網(wǎng)絡(luò)交通的瓶頸买决。這點也可以被黑客利用，黑客會寄出海量的數(shù)據(jù)包吼畏，讓防火墻疲于過濾數(shù)據(jù)包督赤，而使一些合法數(shù)據(jù)包軟件亦無法正常進出防火墻。

????????其二泻蚊，防火墻雖然可以過濾互聯(lián)網(wǎng)的數(shù)據(jù)包躲舌，但卻無法過濾內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包。因此若有人從內(nèi)部網(wǎng)絡(luò)攻擊時性雄，防火墻也起不了作用没卸。

????????其三，本身的操作系統(tǒng)亦可能因一些系統(tǒng)漏洞秒旋，使入侵者可以利用這些漏洞繞過防火墻约计。

????????綜上，防火墻也只能算作邏輯隔離迁筛。

⑤虛擬桌面

????????利用虛擬化技術(shù)實現(xiàn)邏輯隔離病蛉。利用虛擬化技術(shù)，可以讓用戶在一臺計算機上打開一個或多個虛擬桌面瑰煎，每個虛擬桌面以及該計算機的真實操作系統(tǒng)之間都可以互相隔離，數(shù)據(jù)不能相互傳輸俗孝。不同的虛擬桌面以及真實系統(tǒng)連接到不同安全級別的網(wǎng)絡(luò)這樣就實現(xiàn)了內(nèi)外的隔離酒甸。

????????但不同安全級別的網(wǎng)絡(luò)之間依舊有著物理上的連接，邏輯上使得它們互相之間不能訪問赋铝，通過指定的協(xié)議才能進行數(shù)據(jù)交換插勤。這仍舊是明顯的邏輯隔離。

⑥路由器

????????這一塊我們先來看看交換機與路由器的區(qū)別吧革骨。舉個簡單的例子农尖，一臺兩塊網(wǎng)卡的電腦，當(dāng)軟件配置成路由模式（轉(zhuǎn)發(fā)依據(jù)為IP地址）就是三層路由器良哲；當(dāng)軟件配置成橋接模式（轉(zhuǎn)發(fā)依據(jù)為MAC地址）即是二層交換機盛卡。

????????那么橋接與路由到底有什么區(qū)別呢？第一點筑凫，分割廣播域滑沧，控制流量并村。橋接無法控制廣播在不同物理接口之間穿梭，而路由可以進行廣播域的劃分滓技，從而對廣播進行控制哩牍。第二點，不同類型的物理接口令漂，不能橋接只能路由膝昆。路由器可以對二層封裝進行替換，使它們能夠互相識別叠必。

????????綜上荚孵，交換機只需要查看二層數(shù)據(jù)幀的頭部即可決策轉(zhuǎn)發(fā)地址，策略十分簡單挠唆，可以直接通過硬件芯片實現(xiàn)相應(yīng)功能处窥，所以可以做到廉價高速抒蚜，被大量應(yīng)用在接入層填硕。

????????而路由器由于需要處理跨網(wǎng)絡(luò)的連接，必須在接收到完整的IP數(shù)據(jù)包后才能轉(zhuǎn)發(fā)數(shù)據(jù)峻仇，路由協(xié)議又比較復(fù)雜俄讹，所以只能使用軟件的方式實現(xiàn)相應(yīng)的功能哆致，要達到高性能只能付出更高的價格。

????????簡而言之患膛，路由器要最短路徑送報文摊阀，交換機要快速轉(zhuǎn)發(fā)提高吞吐量，即路由謀短踪蹬，交換求快胞此。

⑦三層交換機

????????上文中我們已經(jīng)詳細講解了VLAN功能，當(dāng)一個網(wǎng)絡(luò)的計算機過多跃捣，不進行管理漱牵，會出現(xiàn)廣播風(fēng)暴，輕則數(shù)據(jù)丟失疚漆，重則整個網(wǎng)絡(luò)癱瘓酣胀。這個時候就需要劃分VLAN，把計算機劃分成多塊區(qū)域進行管理娶聘。而不同VLAN之間計算通信闻镶，就需要路由器單臂路由來實現(xiàn)。對于小型的網(wǎng)絡(luò)丸升，單臂路由可以應(yīng)付铆农，但隨著VLAN之間流量的不斷增加，很可能導(dǎo)致路由器成為整個網(wǎng)絡(luò)的瓶頸狡耻，出現(xiàn)掉包顿涣、或者通信堵塞波闹。為了解決上述VLAN之間數(shù)據(jù)交換問題，三層交換機應(yīng)運而生涛碑。

????????三層交換機通俗來說就是二層交換機+三層路由模塊精堕。那么三層交換機是等同路由器么?

????????它們還是有很明顯的區(qū)別的。三層交換機基于硬件轉(zhuǎn)發(fā)蒲障，一次路由歹篓，多次交換。基于硬件的轉(zhuǎn)發(fā)沒有運算/判斷的過程揉阎，輸入輸出直通庄撮。所以轉(zhuǎn)發(fā)速度極快，容量極大毙籽；一次路由洞斯，多次交換的實現(xiàn)形式是通過單獨的路由引擎，但是路由引擎并非一直工作坑赡，而是在第一次通信的時候通過路由引擎查詢路由表烙如，建立轉(zhuǎn)發(fā)表，之后的數(shù)據(jù)不再經(jīng)過路由引擎毅否，而是通過與二層類似的交換引擎進行轉(zhuǎn)發(fā)亚铁。

????????但三層交換機的路由引擎較弱，相比路由器支持的路由協(xié)議有限且轉(zhuǎn)發(fā)表有限螟加，不適合復(fù)雜的多網(wǎng)絡(luò)互聯(lián)徘溢。因為并不是每一個包都會經(jīng)過路由引擎，三層交換機的路由策略功能較弱捆探。三層交換機更適合網(wǎng)絡(luò)結(jié)構(gòu)簡單然爆，交換數(shù)據(jù)量大的情景下使用（例如小型網(wǎng)絡(luò)的匯聚層）。

????????而則是路由器基于軟件轉(zhuǎn)發(fā)黍图，一次路由施蜜，一次交換。其實路由器的真正功能是計算路由雌隅。互聯(lián)網(wǎng)的理念就是像漁網(wǎng)那樣把所有節(jié)點互相連接起來缸沃，示意圖如下：

????????像這樣不管摧毀哪個節(jié)點或者切斷哪個線路恰起，數(shù)據(jù)都可以繞路到達另一個節(jié)點，從而達到幾乎堅不可摧的目的趾牧。

????????這樣其實從一個節(jié)點到另一個節(jié)點有很多種選擇检盼，哪種才是最優(yōu)的呢？專門有一個數(shù)學(xué)分支來研究這個問題翘单，稱之為圖論吨枉。而選擇路徑也有很多種策略蹦渣，落實到現(xiàn)實世界就是各種路由協(xié)議。

????????如果網(wǎng)絡(luò)結(jié)構(gòu)不變貌亭，最短徑路算好放在那就行了柬唯。但一旦網(wǎng)絡(luò)發(fā)生變化，比如增加節(jié)點或者線路出現(xiàn)故障圃庭，那就要路由器來重新計算锄奢，這樣的工作模式，使得路由器對每一個數(shù)據(jù)包都進行路由查詢剧腻，占用了大量資源拘央，所以尋路效率較低，但網(wǎng)絡(luò)魯棒性好书在，而且路由協(xié)議復(fù)雜灰伟，無法通過純硬件芯片處理，造成大量數(shù)據(jù)轉(zhuǎn)發(fā)時性能比不上三層交換機儒旬。因此路由器更適合復(fù)雜的多網(wǎng)絡(luò)互聯(lián)的核心交換區(qū)域栏账。

⑧單硬盤隔離卡

????? 單硬盤隔離卡在隔離的時候數(shù)據(jù)是放在同一個硬盤上，數(shù)據(jù)存儲沒有物理上的斷開义矛，雖然可以采用軟件技術(shù)控制內(nèi)外網(wǎng)的數(shù)據(jù)放于不同區(qū)域发笔，但是數(shù)據(jù)還是有物理上的連接，所以不屬于物理隔離凉翻。

⑶?橫向隔離

????????橫向隔離是電力二次安全防護體系的橫向防線了讨，采用不同強度的安全設(shè)備隔離各安全區(qū)，特別是生產(chǎn)控制大區(qū)與管理信息大區(qū)制轰。

????????電力專用橫向單向安全隔離裝置作為生產(chǎn)控制大區(qū)與管理信息大區(qū)之間的必備邊界防護措施前计，是橫向防護的關(guān)鍵設(shè)備，隔離強度應(yīng)接近或達到物理隔離垃杖。生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間應(yīng)當(dāng)采用具有訪問控制功能的網(wǎng)絡(luò)設(shè)備男杈、防火墻或者相當(dāng)功能的設(shè)施，實現(xiàn)邏輯隔離调俘。

????????按照數(shù)據(jù)通信方向電力專用橫向單向安全隔離裝置分為正向型和反向型伶棒。

????????正向安全隔離裝置用于生產(chǎn)控制大區(qū)到管理信息大區(qū)的非網(wǎng)絡(luò)方式的單向數(shù)據(jù)傳輸。

????????反向安全隔離裝置用于從管理信息大區(qū)到生產(chǎn)控制大區(qū)單向數(shù)據(jù)傳輸彩库，是管理信息大區(qū)到生產(chǎn)控制大區(qū)的唯一數(shù)據(jù)傳輸途徑肤无。反向安全隔離裝置集中接收管理信息大區(qū)發(fā)向生產(chǎn)控制大區(qū)的數(shù)據(jù)，進行簽名驗證骇钦、內(nèi)容過濾宛渐、有效性檢查等處理后，轉(zhuǎn)發(fā)給生產(chǎn)控制大區(qū)內(nèi)部的接收程序。

????????禁止E-Mail窥翩、WEB业岁、Telent、Rlogin寇蚊、FTP等安全風(fēng)險高的通用網(wǎng)絡(luò)服務(wù)和以B/S或C/S方式的數(shù)據(jù)庫訪問穿越專用橫向單向安全隔離裝置笔时，僅允許純數(shù)據(jù)的單向安全傳輸。

????????其網(wǎng)絡(luò)架構(gòu)圖如下所示：

正向數(shù)據(jù)流程（主機A/192.168.1.1→主機B/192.168.2.1）：

????????①變換IP目的地址幔荒，即將B機IP地址（192.168.2.1）轉(zhuǎn)為其正向虛擬IP地址(192.168.1.2)糊闽。

????????②主機A發(fā)ARP請求，誰有192.168.1.2的MAC地址爹梁，請告訴192.168.1.1右犹；正向隔離內(nèi)網(wǎng)側(cè)ARP應(yīng)答，192.168.1.2的MAC是MAC3-1姚垃。

????????③主機A發(fā)送IP數(shù)據(jù)包至正向隔離裝置內(nèi)網(wǎng)側(cè)念链。其數(shù)據(jù)幀內(nèi)容如下：

????????④正向隔離裝置接收IP數(shù)據(jù)包，并進行過濾积糯〉嗄梗基于下列內(nèi)容：源MAC，源IP看成，目的IP君编，協(xié)議，源端口川慌，目的端口吃嘿。

????????⑤若不合法，丟棄梦重；若合法重新填寫IP及MAC兑燥。其數(shù)據(jù)幀內(nèi)容如下：

????????⑥正向隔離外網(wǎng)側(cè)發(fā)送IP數(shù)據(jù)包至主機B。

反向數(shù)據(jù)流程：

????????①安全區(qū)Ⅲ內(nèi)的數(shù)據(jù)發(fā)送端首先對需發(fā)送的數(shù)據(jù)簽名（即數(shù)據(jù)指紋）然后發(fā)給反向隔離裝置琴拧；

????????②反向隔離裝置接收數(shù)據(jù)后降瞳，進行簽名驗證，并對數(shù)據(jù)進行內(nèi)容過濾蚓胸、有效性檢查等處理挣饥；

????????③將處理過的數(shù)據(jù)轉(zhuǎn)發(fā)給安全區(qū)Ⅰ/Ⅱ內(nèi)部的接收程序。

⑷?縱向加密

????????縱向加密認證是電力二次系統(tǒng)安全防護體系的縱向防線沛膳。采用認證扔枫、加密、訪問控制等技術(shù)措施實現(xiàn)數(shù)據(jù)的遠方安全傳輸以及縱向邊界的安全防護于置。

????????對于重點防護的調(diào)度中心、發(fā)電廠、變電站在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向連接處應(yīng)當(dāng)設(shè)置電力專用縱向加密認證裝置或者加密網(wǎng)關(guān)及相應(yīng)設(shè)施八毯，實現(xiàn)雙向身份認證搓侄、數(shù)據(jù)加密和訪問控制。

電力系統(tǒng)整體網(wǎng)絡(luò)架構(gòu)

????????安全區(qū)Ⅰ话速、Ⅱ所連接的廣域網(wǎng)為國家電力調(diào)度數(shù)據(jù)網(wǎng)SPDnet讶踪。SPDnet為安全區(qū)Ⅰ、Ⅱ分別提供二個邏輯隔離的MPLS-VPN泊交。安全區(qū)Ⅲ所連接的廣域網(wǎng)為國家電力數(shù)據(jù)通信網(wǎng)SPTnet乳讥，SPDnet與SPTnet物理隔離。

縱向加密裝置安裝位置

????????安全區(qū)Ⅰ廓俭、Ⅱ接入SPDnet時云石，應(yīng)配置縱向加密認證裝置，實現(xiàn)遠方通信的雙向身份認證和數(shù)據(jù)加密研乒。

⑸? 調(diào)度中心網(wǎng)絡(luò)架構(gòu)圖

????????簡單介紹一下上文中沒有提及的設(shè)備及通訊方式：

PSTN

????????即公用電話交換網(wǎng)汹忠，它是一種以模擬技術(shù)為基礎(chǔ)的電路交換網(wǎng)絡(luò)。在眾多的廣域網(wǎng)互聯(lián)技術(shù)中雹熬，通過PSTN進行互聯(lián)所要求的通信費用最低宽菜，但其數(shù)據(jù)傳輸質(zhì)量及傳輸速度也最差，同時PSTN的網(wǎng)絡(luò)資源利用率也比較低竿报。

????????通過PSTN可以實現(xiàn)撥號訪問外網(wǎng)/內(nèi)網(wǎng)铅乡，也可用于兩個或多個局域網(wǎng)之間的網(wǎng)絡(luò)互連。當(dāng)兩個主機或路由器設(shè)備需要通過PSTN連接時烈菌，在兩端的網(wǎng)絡(luò)接入側(cè)（即用戶回路側(cè)）必須使用調(diào)制解調(diào)器（Modem）實現(xiàn)信號的模/數(shù)阵幸、數(shù)/模轉(zhuǎn)換。其網(wǎng)絡(luò)架構(gòu)如下：

????????PSTN可以看成是物理層的一個簡單的延伸僧界，沒有向用戶提供流量控制侨嘀、差錯控制等服務(wù)。而且由于PSTN是一種電路交換的方式捂襟，所以一條通路自建立直至釋放咬腕，其全部帶寬僅能被通路兩端的設(shè)備使用，即使他們之間并沒有任何數(shù)據(jù)需要傳送葬荷。因此涨共，這種電路交換的方式不能實現(xiàn)對網(wǎng)絡(luò)帶寬的充分利用。

專線

????????專線是接在服務(wù)商與用戶之間架設(shè)專用線路宠漩，該線路只給用戶使用举反，其他的用戶不能連接或使用該線路或者在線路中開辟一條由某一用戶獨享的專用通道。

????????那么專線與普通網(wǎng)絡(luò)有什么區(qū)別呢扒吁？首先專線的申請需要營業(yè)執(zhí)照火鼻，其次專線保證出現(xiàn)故障3小時恢復(fù)。最典型的特征是專線的上下行速度一致且有固定IP地址（可以利用此地址開通網(wǎng)站或FTP服務(wù)器）

說明：

下面對常見的誤區(qū)進行下解釋：

????????①我們訪問互聯(lián)網(wǎng)的過程中存在這兩種行為：一是上傳數(shù)據(jù)，二是下載數(shù)據(jù)魁索。上行寬帶(速度)指的是上傳的速度融撞，而下行寬帶(速度)指的是下載數(shù)據(jù)是的數(shù)度。

????????非專線網(wǎng)絡(luò)粗蔚，上行寬帶(速度)和下行寬帶(速度)是不對稱的尝偎，一般是下行速度大于上行的速度。我們平時所使用的寬帶說多M鹏控，都是指的下行寬帶致扯，因為我們上網(wǎng)主要是從互聯(lián)網(wǎng)上下載數(shù)據(jù)，而上傳的數(shù)據(jù)量要少很多当辐。

????????②寬帶服務(wù)商對下行速度和Windows電腦上面下行速度的是單位不一樣抖僵，Windows電腦的單位是KBbs,而寬帶運營上的單位是Kbbs，1B=8b瀑构。例如你從寬帶運營上那里辦理了10M的寬帶裆针，10Mbps=10240Kbps/8=1280KBps,所以你在電腦上下載數(shù)據(jù)是，你的最大的下載速度只有1280KBps寺晌，也就是只有1M/s左右的樣子世吨。

安全Web服務(wù)

????? SSL（SecureSockets Layer）安全協(xié)議又叫“安全套接層協(xié)議”。它是在網(wǎng)絡(luò)傳輸層之上提供的一種基于RSA和對稱加密算法的呻征，用于瀏覽器和Web服務(wù)器之間的安全連接技術(shù)耘婚，用來提供兩個應(yīng)用之間通信的保密，可信和身份認證陆赋。它被視為 Internet 上 Web 瀏覽器和服務(wù)器的標準安全性措施沐祷。

????????非控制區(qū)的接入交換機應(yīng)當(dāng)支持HTTPS的縱向安全WEB服務(wù)，采用電力調(diào)度數(shù)字證書對瀏覽器客戶端訪問進行身份認證及加密傳輸攒岛。

????????這里就不深入了，也沒能力深入灾锯。實際上打開一些支付網(wǎng)站會彈出數(shù)字證書的確認，這就是安全web一種表現(xiàn)形式吵聪。在IE瀏覽器右下角的一把小鎖標識，也代表了是基于加密的安全訪問兼雄。

IDS

????????即網(wǎng)絡(luò)入侵檢測系統(tǒng)吟逝，這個系統(tǒng)部署在生產(chǎn)控制大區(qū)。其安全策略的設(shè)置重在捕獲網(wǎng)絡(luò)異常行為块攒、分析潛在威脅以及事后安全審計。其IDS探頭主要部署在橫向囱井、縱向邊界以及重要系統(tǒng)的關(guān)鍵應(yīng)用網(wǎng)段麦锯。

????????好了，結(jié)合上文內(nèi)容自行理解本節(jié)中的這張圖琅绅，這樣會使得自己對網(wǎng)絡(luò)架構(gòu)清晰不少。

⑹ 電力調(diào)度數(shù)字證書

電力調(diào)度數(shù)字證書分三類：

人員證書

????? 當(dāng)用戶在訪問系統(tǒng)鹅巍、進行操作時對其身份進行認證所需要持有的證書；

程序證書

????? 關(guān)鍵應(yīng)用的模塊澎羞、進程、服務(wù)器程序運行時需要持有的證書妆绞；

設(shè)備證書

????? 網(wǎng)絡(luò)設(shè)備枫攀、服務(wù)器主機等，在接入本地網(wǎng)絡(luò)系統(tǒng)與其它實體通信過程中需要持有的證書来涨；

????? 在對縱向加密裝置的調(diào)試過程中就會用到上述證書。使用管理工具導(dǎo)出證書請求蹦掐，將其發(fā)給調(diào)度人員簽發(fā)證書，一般需要30分鐘藤滥。當(dāng)取得設(shè)備證書和人員證書后才能開始配置。配置隧道及策略時拙绊，還需要用到程序證書浦马。

寫在最后

????? 如果能耐心看到這里，相信你對104規(guī)約和網(wǎng)絡(luò)架構(gòu)都會有一個比較全面的認識晶默，當(dāng)然都是些很基礎(chǔ)的內(nèi)容，注意結(jié)合實際工作趴梢，加深理解，更上一層樓坞靶。謝謝大家。