- 1、本文档共24页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
第3章 网络安全隔离技术4
第3章 网络安全隔离技术 同轴电缆 网络隔离——同轴电缆 0101010 0101010 0101010 0101010 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 网络隔离——集线器 … 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 网络隔离——交换机 物理编址 网络拓扑结构 错误校验 帧序列化 流控 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 网络隔离——虚拟子网(VLAN) Internet VLAN2 VLAN1 VLAN3 网络隔离——虚拟子网(Cont.) VLAN在是交换机上的实现划分 基于端口划分的 VLAN 基于MAC 地址划分VLAN 基于网络层划分VLAN 根据IP 组播划分VLAN 路由器与网络隔离 网络互连 数据处理 网络管理 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 路由器与网络隔离(Cont.) RouterA RouterB RouterC RouterD /8 /8 /8 /24 /24 /24 /24 /24 /24 Destination Nexthop Interface … /8 P1 /8 P2 /8 P3 路由器与网络隔离(Cont.) 路由器作为唯一安全组件 相对交换机,集线器,能提供更高层次的安全功能 路由器作为安全组件的一部分 在一个全面安全体系结构中,常用作屏蔽设备,执行包过滤功能,而防火墙对能够通过路由器的数据包进行检查 防火墙 Internet 防火墙 内部网络 服务器 主机 主机 用一个或一组网络设备(计算机系统或路由器等),在两个或多个网络间加强访问控制,以保护一个网络不受来自另一个网络攻击的安全技术 防火墙 防火墙分类 分组过滤防火墙 应用代理防火墙 状态检测防火墙 防火墙——分组过滤防火墙 HTTP DNS 未经授权的用户 Internet 用户子网 分组过滤也被称为包过滤。分组过滤防火墙根据数据包头信息对网络流量进行处理。 分组过滤防火墙 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 防火墙——应用代理防火墙 HTTP DNS 未经授权的用户 Internet 用户子网 应用代理防火墙 HTTP服务器 客户浏览器 实际TCP连接1 实际TCP连接2 用户感觉的TCP连接 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 防火墙——状态检测防火墙 监听 是否在连接状态表中 YES 转发 是否匹配规则集 NO 丢弃或拒绝 YES NO 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 防火墙的典型体系结构——包过滤路由器模型 HTTP DNS 包过滤路由器 Internet 工作站 工作站 FTP 防火墙的典型体系结构——单宿主堡垒主机模型 HTTP DNS 包过滤路由器 Internet 工作站 工作站 堡垒主机 HTTP DNS 包过滤路由器 Internet 工作站 工作站 FTP 防火墙的典型体系结构——双宿主堡垒主机模型 堡垒主机 HTTP DNS 包过滤路由器 Internet FTP 防火墙的典型体系结构——子网屏蔽防火墙模型 堡垒主机 工作站 工作站 工作站 Modem Pool 包过滤路由器 通过过滤不安全的服务而降低风险,提高内部网络安全性 保护网络免受基于路由的攻击 强化网络安全策略 对网络存取和访问进行监控审计 利用防火墙对内部网络的划分,实现内部网重点或敏感网段的隔离 防火墙在网络边界安全中的作用 网络地址转换(NAT: Network Address Translation) 将每个局域网节点的地址转换成一个IP 地址,反之亦然。 交换机 port:5133 port:5134 port:5120 路由器(NAT) Internet 3:5133 3:5134 3:5120 网络地址转换与网络安全 如果改变源地址的话,数字签名不再有效 给网络取证带来了巨大的困难 依赖于IP和端口的防火墙过滤规则需要改变 … 解决方案 指处于不同安全域的网络之间不能以直接或间接的方式相连接。 物理隔离 物理隔离(cont.) 单向隔离 在端上依靠由硬件访问控制信息交换分区实现信息在不同的安全域信息单向流动。 协议隔离 通过协议转换的手段保证受保护信息在逻辑上是隔离的,只有被系统要求传输的、内容受限的信息可以通过 网闸 网闸(gap)是位于两个不同安全域之间,通过协议转换的手段,以信息摆渡的方式实现数据交换,且只有被系统明确要求传输的信息可以通过。(最常用) 优点: 缺点: 除了应用层的代理之外,还有工作在 OSI 参考模型的传输层与应用层之间的链路层代 理(Circuit-level proxies) 一种基于连接的状态检测机制,将
文档评论(0)