第3章 网络安全隔离技术4.pptVIP

第3章 网络安全隔离技术 同轴电缆 网络隔离——同轴电缆 0101010 0101010 0101010 0101010 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 网络隔离——集线器 … 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 网络隔离——交换机 物理编址 网络拓扑结构 错误校验 帧序列化 流控 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 网络隔离——虚拟子网(VLAN) Internet VLAN2 VLAN1 VLAN3 网络隔离——虚拟子网(Cont.) VLAN在是交换机上的实现划分 基于端口划分的 VLAN 基于MAC 地址划分VLAN 基于网络层划分VLAN 根据IP 组播划分VLAN 路由器与网络隔离 网络互连 数据处理 网络管理 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 路由器与网络隔离(Cont.) RouterA RouterB RouterC RouterD /8 /8 /8 /24 /24 /24 /24 /24 /24 Destination Nexthop Interface … /8 P1 /8 P2 /8 P3 路由器与网络隔离(Cont.) 路由器作为唯一安全组件 相对交换机，集线器，能提供更高层次的安全功能 路由器作为安全组件的一部分 在一个全面安全体系结构中，常用作屏蔽设备，执行包过滤功能，而防火墙对能够通过路由器的数据包进行检查 防火墙 Internet 防火墙 内部网络 服务器 主机 主机 用一个或一组网络设备（计算机系统或路由器等），在两个或多个网络间加强访问控制，以保护一个网络不受来自另一个网络攻击的安全技术 防火墙 防火墙分类 分组过滤防火墙 应用代理防火墙 状态检测防火墙 防火墙——分组过滤防火墙 HTTP DNS 未经授权的用户 Internet 用户子网 分组过滤也被称为包过滤。分组过滤防火墙根据数据包头信息对网络流量进行处理。 分组过滤防火墙 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 防火墙——应用代理防火墙 HTTP DNS 未经授权的用户 Internet 用户子网 应用代理防火墙 HTTP服务器 客户浏览器 实际TCP连接1 实际TCP连接2 用户感觉的TCP连接 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 防火墙——状态检测防火墙 监听 是否在连接状态表中 YES 转发 是否匹配规则集 NO 丢弃或拒绝 YES NO 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 防火墙的典型体系结构——包过滤路由器模型 HTTP DNS 包过滤路由器 Internet 工作站 工作站 FTP 防火墙的典型体系结构——单宿主堡垒主机模型 HTTP DNS 包过滤路由器 Internet 工作站 工作站 堡垒主机 HTTP DNS 包过滤路由器 Internet 工作站 工作站 FTP 防火墙的典型体系结构——双宿主堡垒主机模型 堡垒主机 HTTP DNS 包过滤路由器 Internet FTP 防火墙的典型体系结构——子网屏蔽防火墙模型 堡垒主机 工作站 工作站 工作站 Modem Pool 包过滤路由器 通过过滤不安全的服务而降低风险，提高内部网络安全性 保护网络免受基于路由的攻击 强化网络安全策略 对网络存取和访问进行监控审计 利用防火墙对内部网络的划分，实现内部网重点或敏感网段的隔离 防火墙在网络边界安全中的作用 网络地址转换(NAT: Network Address Translation) 将每个局域网节点的地址转换成一个IP 地址，反之亦然。 交换机 port:5133 port:5134 port:5120 路由器(NAT) Internet 3:5133 3:5134 3:5120 网络地址转换与网络安全 如果改变源地址的话，数字签名不再有效 给网络取证带来了巨大的困难 依赖于IP和端口的防火墙过滤规则需要改变 … 解决方案 指处于不同安全域的网络之间不能以直接或间接的方式相连接。 物理隔离 物理隔离(cont.) 单向隔离 在端上依靠由硬件访问控制信息交换分区实现信息在不同的安全域信息单向流动。 协议隔离 通过协议转换的手段保证受保护信息在逻辑上是隔离的，只有被系统要求传输的、内容受限的信息可以通过 网闸 网闸（gap）是位于两个不同安全域之间，通过协议转换的手段，以信息摆渡的方式实现数据交换，且只有被系统明确要求传输的信息可以通过。（最常用） 优点： 缺点： 除了应用层的代理之外，还有工作在 OSI 参考模型的传输层与应用层之间的链路层代 理(Circuit-level proxies） 一种基于连接的状态检测机制，将