计算机系统与网络安全技术.pptxVIP

计算系统与网络安全Computer System and Network Security电子科技大学 计算机科学与工程学院 第5章 网络隔离技术路由器与安全体系结构网络隔离的基本概念网络隔离的基本内容网络隔离的主要方法总结第5章 网络隔离技术路由器与安全体系结构网络隔离的基本概念网络隔离的基本内容网络隔离的主要方法总结目标掌握路由器的工作原理掌握路由器在信息安全体系结构中的作用了解路由器与防火墙的协同工作方法TCP/IP基础TCP/IP协议栈TCP/IP基础（续）协议数据的封装Network 1Network 1路由器的基本概念路由器（Router）是用于连接两个或者多个网络的网络互连设备路由器工作在TCP/IP协议栈中的IP层路由器的工作原理（续）路由器的协议层次应用层传输层网络层数据链路层物理层应用层传输层网络层数据链路层物理层网络层数据链路层物理层路由器的工作原理（续）路由器的路由功能202.115.23IP 地址？202.115.24202.115.22其他安全设备路由器作为安全体系的一部分路由器是唯一的边界安全设备路由器与安全体系结构路由器作为安全体系结构的边界控制组建两种部署方案：路由器作为整个安全体系的一部分路由器作为唯一的边界安全设备路由器与安全体系结构（续）路由器作为安全体系结构的一部分路由器执行最基本的操作：报文转发包过滤入口过滤出口过滤基于网络的应用程序识别（Network-Based Application Recognition: NBAR):对流媒体信息进行标记处理；更深层次的概念涉及“服务质量”（QoS）路由器与安全体系结构（续）路由器作为唯一的边界安全设备 需要解决几个关键问题：路由器的位置根据应用需求不同，路由器的位置也不尽相同功能选择如何合理的选择路由器功能内部网络1外部网络内部网络内部网络1内部网络1路由器作为外部网络和内部网络的分隔设备路由器是作为内部子网的分隔设备路由器与安全体系结构（续）路由器的位置路由器与安全体系结构（续）如何合理的选择路由器功能？网络地址转换包过滤状态包过滤访问控制路由器的加固路由器加固指提高路由器自身的安全性加固方法有：加固操作系统锁住管理点：Telnet：远程登录SSH：安全脚本TFTP/FTP：文件传输SNMP：简单网络管理认证和口令禁止服务器（如Bootp，HTTP等）路由器的加固（续）禁止不必要的服务：如NTP，finger等阻断因特网控制消息协议（ICMP）禁止源路由路由器日志查看结论路由器既是网络连接设备，也可作为网络安全设备路由器可以作为整个安全体系的一部分，也可作为唯一的边界安全设备路由器可以放置在内网和外网的中间，也可作为内部子网的分隔设备在路由器在安全体系结构中的作用需要特别重视第5章 网络隔离技术路由器与安全体系结构网络隔离的基本概念网络隔离的基本内容网络隔离的主要方法总结资源隔离技术什么是资源隔离？资源隔离是将不同的资源划归为同一个安全区域。什么是安全区域（Secure Zone）？安全区域是属于同一个物理或者逻辑组织的一组资源集合划分安全区域的目的是：更好的规划和设计安全策略什么是资源？物理设备：网络设备、主机设备、电子设备。。。。应用和程序：Web服务器，Mail服务器，。。。数据：文档，数据库。。。。资源隔离技术（续）为什么需要进行资源隔离？资源隔离的主要目的是将入侵行为带来的影响控制在特定的区域资源隔离有助于更好的实施安全策略资源隔离有助于实施管理资源隔离的内容资源隔离的内容子网隔离主机隔离服务隔离用户隔离数据隔离广义的资源隔离包括网络隔离财务部市场部信息部生产部财务部市场部市场部生产部市场部财务部信息部财务部资源隔离的内容（续）子网隔离安全性要求不同的部门属于不同子网不同的业务部门属于不同子网物理距离大的部门属于不同的子网MailDB资源隔离的内容（续）主机隔离MailDBMailDB资源隔离的内容（续）服务隔离Mail DB资源隔离的内容（续）用户隔离管理员 其他用户其他用户管理员DOCDB资源隔离的内容（续）数据隔离DB DOC资源隔离的主要依据资源敏感度不同敏感度的资源属于不同的安全区域资源受到损害的可能性易受损害的资源和不易受损害的资源属于不同的安全区域易管理性资源分隔应该有利于管理设计者自己的分类标准根据安全策略进行资源分隔资源隔离的基本方法同一子网内的资源隔离不同子网的资源隔离资源隔离的基本方法（续）同一子网内的资源隔离如果不同的服务确实需要运行在同一主机之上，可以采用以下方法：不同服务用不同的用户身份进行管理使用特定的工具进行安全区域的划分：如目录分隔，磁盘分区分隔等使用专用服务器来提供安全区域不同服务尽可能运行在不同的服务器上资源隔离的基本方法（续）不同子网的资源隔离广播子网与其他子网隔离外部服务器工作站