企业网络安全隔离.ppt

企业网络安全隔离 针对敏感部门的保护，可以有几种解决方案，一是在《网管员必读——超级网管经验谈》一书中介绍的子网掩码子网划分方法，另一个就是在《网管员必读——网络应用》一书中介绍的VLAN组划分方法。还有一种就是本章将要介绍的网络隔离方法，它是通过网络物理来进行的。 本章重点如下： 物理隔离原理 物理隔离卡技术及应用 物理隔离网闸技术及应用 网络隔离技术 5.1 隔离技术 隔离技术是网络安全技术的一个大门类。随着隔离技术的近几年飞速发展，目前的隔离技术已比较完善，涵盖了几乎所有级别用户的网络隔离需求。在许多文章中把这种用于网络隔离的安全技术统称为“网络隔离”。 5.1.1 隔离技术基础 网络中的“隔离”一词与现实生活中的“隔离”存在某种认识上的区别，从传统意义来理解“隔离”使两个网络真正分开，但这样来谈网络安全是没有任何意义的。事实上，网络安全中的“隔离”后的两个网络并非完全没有联系，还是需要有正常的应用层数据交换的。  目前可以采用的隔离方法主要有以下三类： 物理隔离：通过一定软、硬件方法使得访问内、外网的设备、线路、存储均相对独立。 网络隔离：利用协议转换进行网间的数据交换。 安全隔离：利用专用设备实现仅在应用层进行数据交换。 2. 网络隔离技术的发展历程 到目前为止，整个网络隔离技术的发展经历了以下五代： 第一代隔离技术——完全的隔离 第二代隔离技术——硬件卡隔离 第三代隔离技术——网络协议隔离 第四代隔离技术——空气开关网闸隔离 第五代隔离技术——安全网闸隔离 3. 网间不同层次的主安全威胁 网间的安全威胁主要来自来以下三个层次： 物理层：电气攻击、线路侦听、线路破坏等。 网络层：拒绝服务攻击、地址欺骗、碎片攻击等。 应用层：恶意代码、垃圾邮件等。 本节详细内容参见书本P156~P157页。 5.1.2 物理隔离原理 物理隔离可解决目前防火墙中存在的以下根本问题： 防火墙对操作系统的依赖，因为操作系统也有漏洞，而物理隔离技术不依赖于操作系统。 TCP/IP协议存在漏洞，而物理隔离不需要TCP/IP协议。 防火墙、内网和DMZ同时直接连接，安全威胁仍然存在，而物理隔离不采用直接连接。 应用协议的漏洞，因为命令和指令可能是非法的，而物理隔离只允许进行数据交换，而不能运行程序。 文件带有病毒和恶意代码，而物理隔离不支持MIME，只支持TXT，或杀病毒软件，或恶意代码检查软件。物理隔离的指导思想与防火墙有很大的不同：防火墙的思路是在保障互联互通的前提下，尽可能安全，而物理隔离的思路是在保证必须安全的前提下，尽可能互联互通。但它们的隔离原理却基本上一样，具体配置方法参见书本P158~P159页。 5.1.3 物理隔离产品的应用方式 根据具体的网络环境和所使用的网络隔离设备可以有如下几种应用方案： 主机隔离解决方案 该方案属于终端隔离解决方案，所采用的隔离产品是物理隔离卡产品。 通道隔离方案 该方案属于信道隔离方案，所采用的安全隔离产品是网络线路选择器，当然物理隔离卡也是必不可少的。 主机-信道双网隔离解决方案 该方案属于混合隔离模式，所采用的隔离设备也有物理隔离卡和网络线路选择器。 主机-信道多网隔离解决方案该方案与上一方案其实差不多，只不过此处隔离的不仅是两个网络。所采用的设备同样有物理隔离卡、网络线路选择器和网闸三类。本节详细内容参见书本P160页。 5.2 物理隔离卡产品及应用 物理隔离卡技术是整个网络物理隔离技术一个重要分支，也是目前应用最广的一种网络隔离技术。目前最常见的物理隔离产品就是各种各样的隔离卡、网络线路选择器和网闸等。  5.2.1 认识物理隔离卡 目前的物理隔离卡产品非常多样，不同品牌或型号的隔离卡产品，与客户端硬盘存储设备的连接控制方式可能不同。有的是采用电源控制法，就是在隔离卡上提供两个硬盘电源接口，把硬盘的电源连接在隔离卡的不同接口上，如图5-1所示；而有些采取的是采用电源+数据线控制法，就是在隔离卡是同时提供两个硬盘电源和数据电缆接口，把硬盘的电源和数据电缆连接在隔离卡的不同电源和数据电缆接口上，如图5-2所示。 从这两个图中可以看出，在隔离卡上还提供一个用于与主板硬盘接口连接的硬盘数据电缆接口和一个电源接口。 但要注意，有的隔离卡采用了PCI结构，直接插到主板的PCI插槽中，所以无需另外提供电源，也就没有这样一个电源接口了，如图5-3所示。 5.2.2 主要物理隔离模式 目前主流的隔离模式有以下几种： 双网/双机模