WGLOG日志审计系统可以支持数据库日志审计吗
2026/4/20 21:11:16
大型网络案例研究
1. 分层模型思考
构建良好且安全的防火墙,关键在于智能地设计网络、确定安全要点以及理解数据包在网络中的流动方式。在设计和部署大型网络时,建议明确路由器的放置位置与方式,以及如何根据其执行的功能对路由器进行扩展。
大型网络通常采用分层结构,最大型的网络采用三层层次结构,包括:
- 核心层
- 分布层
- 接入层
不过,三层网络层次结构并非适用于所有大型网络,有些路由器可以执行多个层的功能。常见的三层网络设计如下:
- 核心层通常包含与互联网或本地对等连接的路由器,它们之间有高速链路,并在彼此之间分发路由,以实现互联网和对等连接的更好负载均衡。
- 分布层的路由器为不同位置的多个客户进行路由。
- 接入层包含位于客户场所的路由器,对于小型客户,甚至可以是SOHO路由器。
客户也可直接连接到核心路由器,这意味着核心路由器同时执行分布层和接入层功能。对于大型客户而言,这并非坏事,因为可以直接为其分发大型路由表,而无需通过分布层路由器。但通常情况下,让客户流量通过分布层路由器进行QoS处理更好,这样可避免核心路由器因QoS功能而过载。
2. 真实大型网络示例
这里介绍的是一个实际运行的网络,为安全起见,替换了路由器和服务器的真实IP地址。该网络部署于一家大型互联网和IP电话服务提供商处,其目的是理解数据包如何在网络中流动、确定安全断点以及为网络构建合适的防火墙。
2.1 网络概述
网络核心由多台路由器构成:
| 路由器 | 连接信息 |
| — | — |
| Core -