序
抱歉今天写的有点晚了,平常每天都乘地铁,今天试试乘公交,发现又一次被无情的现实打败了.
呵呵,和各位透露个消息,咱们有自己的QQ群了,目前加群不进行审核,群号是438259972。
咱们来挖一挖网友“繁忙的老叶”这个人,繁忙的老叶是圈里的老鸟了,在这行也混了10多年了,通过头条的评论就知道这个家伙不简单,前几天通过头条添加了微信,聊得也比较愉快,他说的一些东西对我很有帮助,让我的认识到一些新的东西,与人沟通的好处就是,你会从交流中学习到一些你从来不知道的事情,这些事情很可能改变你以后的生活,也许这就是社交的魅力。
看看老鸟的评论多长...
正文
我们先说说网闸的转发方式
图1
网闸典型组网
例1:
假设从办公网传输数据到业务网
网闸的处理步骤:
一、外网处理单元
1、外网处理单元接收到数据包。
2、外网处理单元对协议进行终结,把原始数据从IP报文中剥离。
3、按照预先设定的安全策略进行检查,例如 文件类型、关键字、数据库动作、防病毒、入侵检测 等等
4、将原始数据写入高速缓存。
5、外网处理单元会向数据交换单元发起非TCP/IP的数据连接请求。
二、数据交换单元
1、数据写入网闸的存储介质,读取开关打开,中断与外网的写开关,中断与外网的连接。
2、发起对内网处理单元的非TCP/IP协议数据连接请求。
三、内网处理单元
1、内网处理单元收到请求后发出读命令,将数据交换单元的数据读取到内网处理单元。
2、内网处理单元重新发起TCP/IP的会话到达目标服务器,将数据上传交给应用系统。
3、完成了外网到内网的信息交换。
我们再来说说防火墙的转发方式
图2
防火墙典型组网
例2
假设192.168.1.100 通过防火墙访问www.baidu.com,看看防火墙是怎么处理的。
1、PC要访问一个网站首先会发起DNS请求,DNS的端口号是53,需要注意的是DNS可以是TCP、也可以是UDP,PC先发出一条DNS查询报文,例如向 202.106.0.20 查询 www.baidu.com 实际IP。
注:如果有人面试问你,DNS是使用TCP还是UDP,这个问题本身就是个陷阱。
2、防火墙收到了这个DNS请求报文,首先检查安全策略是否允许通过,查找NAT策略,发现基于原地址设置了NAT策略,把源IP地址替换为公网地址111.202.123.2 ,源端口替换为 3333,创建一条会话表记录转换信息,这个表示用来报文返回时反向查找用的,报文发送到目标DNS服务器。
注:我们说的NAT其实是PAT,也就是基于端口的转换,很少有人说PAT。
3、报文到达DNS服务器,DNS根据查询结果返回www.baidu.com真实IP地址。
4、防火墙收到回应报文,检查会话表发现目的端口是3333,查询防火墙的会话表发现是192.168.1.100请求的,把目的地址、端口替换为真实的IP和端口转发到内网。
5、PC收到DNS回应后,会向目的发一个http get报文,目标服务器也会做出回应,转换过程如上所述。
总结:
1、网闸是非TCP/IP的通信方式,通过摆渡的方式进行交换。
2、防火墙是基于会话的方式。
3、两种产品是不同的东西,无论是使用场景和原理,所以不存在谁替代谁的关系,它们为解决不同的问题而存在。
了解更多内容 请登录 www.likaiqiang.cn
你懂的
有一本书我推荐一下
林佩满老师的 网络分析就是这么简单/网络分析的艺术
说实话,第一次看到这书,感觉林老师神一般的存在,作为网络工程师必备书籍。
