防火墙技术(第六讲)

第3章

3.2网络的防火墙设计把网络中各个站点相互连接的方法和形式称为网络拓扑。构成网络的拓扑结构有很多种，主要有总线型拓扑、星型拓扑、环型拓扑、树型拓扑和网状型拓扑，这些是构建网络的基本模块，混合使用这几种模块就能作进一步的设计。以下分别介绍各种拓扑结构的网络。1.总线型拓扑结构总线型拓扑结构是指采用单根传输线作为总线，所有工作站都共用一条总线。当其中一个工作站发送信息时，该信息将通过总线传到每一个工作站上。工作站在接到信息时，先要分析该信息的目标地址与本地地址是否相同，若相同，则接收该信息；若不相同，则拒绝接收。总线型拓扑结构的优点是电缆长度短，布线容易，便于扩充；其缺点主要是总线中任一处发生故障将导致整个网络的瘫痪，且故障诊断困难。图31显示了总线型拓扑结构的示意图。3.2.1网络拓扑结构防火墙技术（第六讲）

地点

1.2.1.1.

多媒体

授课班级

任课教师陈06级

平

人数17人

掌握网络拓扑结构的分类及特点掌握网络设计的过程网络拓扑结构网络拓扑结构

讲授法、演示法、

2节教学方法教学手段

实践操作法

网络设计（二）

多媒体教学

2.星型拓扑结构星型拓扑结构是指网络中各工作站都直接连接到集线器（HUB）或交换机上，每个工作站要传输数据到其他工作站时，都需要通过集线器（HUB）或交换机进行。星型拓扑结构的优点是连接方便，故障诊断容易，若一个工作站出现故障不会影响网络的运行，可靠性较高；缺点是连接电缆较长，对集线器（HUB）或交换机的依赖性较高。图32显示了星型拓扑结构的示意图。3.环型拓扑结构1环型拓扑结构是指每一个工作站都连接在一个封闭的环路中。当一个工作站发出信息时，该信息会依次通过所有的工作站，每个工作站在接到该信息时，会对该信息的目标地址和本地地址进行比较，若相同，则接收，然后恢复信号的原有强度并继续向下发送；若不同，则不接收，只恢复信号的原有强度并继续向下发送，直到再次发送到起始工作站为止。环型拓扑结构具有信号强度不变的优点，同时其又具有新增用户较为困难，网络可靠性较差，不易管理的缺点。图33显示了环型拓扑结构的示意图。4.树型拓扑结构树型网络是星形网络的一种变体。像星形网络一样，网络节点都连接到控制网络的中央节点上。但并不是所有的设备都直接接入中央节点，绝大多数节点是先连接到次级中央节点上再连到中央节点上，其结构如图34所示。树型拓扑结构就像一棵“根”朝上的树，与总线拓扑结构相比，主要区别在于总线拓扑结构中没有“根”。这种拓扑结构的网络一般采用同轴电缆，用于军事单位、政府部门等上、下界限相当严格和层次分明的部门。5.网状型拓扑结构网状型网络的每一个节点都与其他节点有一条专业线路相连。网状型拓扑广泛用于广域网中。由于网状网络结构很复杂，所以在此只给出所示的抽象结构图。3.2.2网络设计方法1.定义建设网络的目的定义建设网络的目的是网络建设的第一步，它为网络设计工作指明了方向。一般的网络建设都有以下几个共同的目的：●为Internet用户提供本公司的信息访问，让更多的人了解公司。●让本公司的员工通过网络共享Internet资源。●让本公司的员工通过网络访问共享公司各部门的数据。●通过建设网络可以节省办公成本和人员管理成本。●通过建设网络来提高公司生产效率。2.明确需求一旦定义了网络建设的目的后，就应该对网络安全的需求进行确认了。典型的网络安全需求包括访问控制、可用性和数据完整性。这里有一些与网络设计相关的问题需要考虑：●公司有哪些服务需要对外共享？●每个用户和部门需要访问哪些数据？●部门的安全数据应该放在网络的哪个位置上？●哪些用户或部门可以访问Internet？●网络性能需要达到什么样的级别？2●用户希望什么样的服务水平？●本网络希望什么样的技术支持？3.预算网络可用性需求确定后，就可以做一个预算来估计投资、维护费用以及人工费用。设计以及实施一个可用性达到99.9999%的网络比一个只需要99.9%网络需要更高的费用。在实际当中，预算通常是在项目筹划时制定的。项目体系结构完成后对预算再做一些调整会更加理想，因为这样会使其更为准确。另外，创建预算时，一定要考虑管理和维护网络以及安全的人工时间。4.完成设计完成上述步骤后就可以创建一个详细的网络设计。网络设计文档应该详细描述网络，具体细节包括以下几方面：●安全特性。●所有组件的制造特性。●局域网和广域网连接要求的带宽。●IP地址和子网划分。●EGP和IGP特性。●冗余性。●网络管理系统（NetworkManagementSystem，NMS）。●服务水平协议（SLA）的测量、处理和技术。5.创建实施计划复杂的网络设计要花费非常多的时间去理解和实施，因此，在网络设计时尽量避免过于复杂的结构或流程。实际上，实施计划是由详细的网络设计文档转化而来的。在很多情况下，由于设计和实施的复杂性，设计人员和实施人员必须紧密协作才能保证从设计到实施的平稳过渡。实施常常要求根据服务的数量和规模划分为不同的阶段，多个小组和用户的协调对于顺利实施及对用户产生最小的影响是很必要的。实施计划是一个详细的一步一步涵盖每一个设计要求的过程，它在实施之前要求先在实验室进行测试，以保证包括了所有的细节并且结合得比较紧密。对可用性的要求、资源限制、组织标准都会影响到实验室测试的复杂程度。6.测试和确认在最后部署设备之前，判断一个设计能否正常工作的最好办法是对其进行测试和确认。一个独立的测试确认实验室可用于比较不同的销售商的产品、测试配置和新方法、确认共用性。此外，在设备部署之前也要对维护进行测试，这样可以减少由于服务中断导致的风险。作业1.计算机网络拓扑结构分为哪几类？各自有什么特点？教学反馈

3