网络安全ch4 网络隔离技术课件.ppt

网络安全,张磊华东师范大学 软件学院,路由器与网络隔离,VLAN与网络隔离,交换机与网络隔离,网络隔离的基本概念,第4章 网络隔离技术,网络隔离的主要方法,防火墙与网络隔离,路由器与网络隔离,VLAN与网络隔离,交换机与网络隔离,网络隔离的基本概念,第3章 网络隔离技术,网络隔离的主要方法,防火墙与网络隔离,网络隔离技术的目标,面对新型网络攻击手段的出现和高安全度网络对安全的特殊需求，全新安全防护防范理念的网络安全技术“网络隔离技术”应运而生。网络隔离技术的目标是确保把有害的攻击隔离，在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网间数据的安全交换。网络隔离技术是在原有安全技术的基础上发展起来的，它弥补了原有安全技术的不足，突出了自己的优势。,网络隔离概念,网络隔离，英文名为Network Isolation：两个或两个以上的计算机或网络在断开连接的基础上，实现信息交换和资源共享 物理隔离协议隔离网络隔离的核心是物理隔离物理隔离的一个特征，就是内网与外网永不连接，内网和外网在同一时间最多只有一个同隔离设备建立非TCPIP协议的数据连接。协议隔离是在密码技术的支持下，采用专用安全通信协议隔离技术实现的。,网络隔离技术的概念来源,网络隔离的概念源于人工烤盘Sneakernet轮渡,人工烤盘,人工拷盘是已知的最早的网络隔离技术。最早的计算机是单机的，不同的计算机还没有联网。没有联网的两个计算机之间要交换数据，最简单的办法是人工拷盘。要特别强调，在人工拷盘的任何时刻，两个计算机之间是完全断开的，没有联网的。在拷盘的时候，当计算机操作人员在一台计算机里拷盘时，与另外一台计算机是完全断开的；当计算机操作人员把磁盘拿出的时候，与两台计算机都是完全断开的；当计算机操作人员把文件数据复制到目的计算机时，与原来的计算机是完全断开的。在任何时候，两台交换文件数据的计算机，总是断开的。,Sneakernet（人力网）,人在两台计算机或两个网络之间使用软盘、移动硬盘等可以移动的存储介质来交换文件或数据，这样两个隔离的计算机或网络与人一起便构成了一个逻辑上的虚拟网络,轮渡,网络隔离有多种方式，其中最重要的一种方式是网闸。网闸的概念主要是源于轮渡。对轮渡的工作机理的借鉴，大大地推动了网络隔离的研究发展，直接导致网闸技术的出现。“下车改乘轮船”的现象启发人们研究协议的剥离技术，“下船改成汽车”的现象启发人们研究协议的重建技术，“轮船载人渡河”启发人们研究文件“摆渡”，最后实现了在两网断开的情况下可以进行数据交换。从两台主机在断开的情况下可以实现数据交换，到两个网络之间在断开的情况下也可以实现数据交换,网络隔离技术的发展历史,隔离概念是在为了保护高安全度网络环境的情况下产生的；隔离产品的大量出现，也是经历了五代隔离技术不断的实践和理论相结合后得来的。,网络隔离技术的发展历史（续）,第一代隔离技术完全的隔离此方法使得网络处于信息孤岛状态，做到了完全的物理隔离，需要至少两套网络和系统，更重要的是信息交流的不便和成本的提高，这样给维护和使用带来了极大的不便。第二代隔离技术硬件卡隔离在客户端增加一块硬件卡，客户端硬盘或其他存储设备首先连接到该卡，然后再转接到主板上，通过该卡能控制客户端硬盘或其他存储设备。而在选择不同的硬盘时，同时选择了该卡上不同的网络接口，连接到不同的网络。但是，这种隔离产品有的仍然需要网络布线为双网线结构，产品存在着较大的安全隐患。,网络隔离技术的发展历史（续）,第三代隔离技术数据转播隔离利用转播系统分时复制文件的途径来实现隔离，切换时间非常之久，甚至需要手工完成，不仅明显地减缓了访问速度，更不支持常见的网络应用，失去了网络存在的意义。第四代隔离技术空气开关隔离它是通过使用单刀双掷开关，使得内外部网络分时访问临时缓存器来完成数据交换的，但在安全和性能上存在有许多问题。,网络隔离技术的发展历史（续）,第五代隔离技术安全通道隔离此技术通过专用通信硬件和专有安全协议等安全机制，来实现内外部网络的隔离和数据交换，不仅解决了以前隔离技术存在的问题，并有效地把内外部网络隔离开来，而且高效地实现了内外网数据的安全交换，透明支持多种网络应用，成为当前隔离技术的发展方向。,路由器与网络隔离,VLAN与网络隔离,交换机与网络隔离,网络隔离的基本概念,第4章 网络隔离技术,网络隔离的主要方法,防火墙与网络隔离,物理隔离,网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。它所连接的两个独立主机系统之间不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，是“黑客”无法入侵、无法攻击、无法破坏、实现真正的安全。,通过两个开关的不能同时闭合来保证OSI模型物理层的断开，可能的三种情况是：K1接通，K2断开；K1断开，K2接通；K1断开，K2断开。,网络隔离的断开原理,物理隔离,协议隔离,“协议隔离”技术在内部网络与外部网络的连接端点处，配置协议隔离器来隔离内外网。协议隔离器使用了两台不同设备上的通用网络接口分别连接内部与外部网，而设备之间通过使用专用密码通信协议的专用接口卡进行互联。通常情况下，内外网之间是断开的，只有当有信息交换时，内外网才会可能通过协议隔离器连通。协议隔离是在密码技术的支持下，采用专用安全通信协议隔离技术实现的。在外人看来，协议隔离器能“通”能“断”，是一个不可见的黑箱。黑箱内部的核心技术，摒弃了标准化的部件，而采用多项设计的独有技术。对那些“程序性穿透”攻击设置了一道不可迂越的障碍，使依靠攻击程序盗取内网的信息成为不可能。,路由器与网络隔离,VLAN与网络隔离,交换机与网络隔离,网络隔离的基本概念,第4章 网络隔离技术,网络隔离的主要方法,防火墙与网络隔离,交换机,集线器？,交换机（续）,交换机在网络中已经成为一种非常重要的设备，在现在组建的局域网中交换机是一种最主要的网络设备。主要用于连接计算机等网络终端设备。 交换机通常工作在数据链路层，在网络中提供各网段间的帧交换。利用交换机，可以解决带宽缺乏引起的性能问题，提高网络的总带宽交换机允许连接在交换机上的设备并行通讯，设备间通讯不会再发生冲突，因此交换机打破了冲突域，交换机每个接口是一个冲突域，不会与其他接口发生通讯冲突。,交换机（续）,交换机会在开机后构造一张MAC地址与端口对照表，通过比较数据帧中的目的地址与对照表，将数据帧转发到正确的端口。若收到的数据帧的目的地址不在对照表中，则用广播的方式转发。交换机可以在同一时刻建立多个并发的连接，同时转发多个帧，从而达到带宽加倍的效果。传统交换机连接的主机都属于同一个局域网, 这些主机有相同的广播域。交换机不能隔离广播，因此引入了VLAN技术，进一步改善互联网络的性能和安全性。,路由器与网络隔离,VLAN与网络隔离,交换机与网络隔离,网络隔离的基本概念,第4章 网络隔离技术,网络隔离的主要方法,防火墙与网络隔离,VLAN,什么是VLAN？VLAN（Virtual Local Area Network）为“虚拟局域网”， VLAN是一种将局域网（LAN）设备从逻辑上划分（注意，不是从物理上划分）成一个个网段（或者说是更小的局域网LAN），从而实现虚拟工作组（单元）的数据交换技术能够在逻辑上把一个广播域划分成多个广播域 划分VLAN的目的：如果仅有一个广播域，有可能会影响到网络整体的传输性能,VLAN 的原理,App,TCP,UDP,IP,DL,Physical,App,TCP,UDP,IP,DL,Physical,传统的交换机：两层交换,VLAN中的交换机：三层交换,VLAN的原理（续）,App,TCP,UDP,IP,DL,Physical,VLAN中的交换机：三层交换,路由ACL。,VLAN的原理（续）,每个VLAN对应一个IP网段。在二层上，VLAN之间是隔离的，这点跟二层交换机中交换引擎的功能是一模一样的。不同IP网段之间的访问要跨越 VLAN，要使用三层转发引擎提供的VLAN间路由功能。在使用二层交换机和路由器的组网中，每个需要与其他IP网段通信的IP网段都需要使用一个路由器接口作为网关。而第三层转发引擎就相当于传统组网中的路由器，当需要与其他VLAN通信时也要在三层交换引擎上分配一个路由接口，用来做VLAN的网关。 三层交换机上的这个路由接口是在三层转发引擎和二层转发引擎上的，是通过配置转发芯片来实现的，与路由器的接口不同，它是不可见的。,VLAN 在交换机上的实现方法,基于端口划分基于MAC地址划分基于网络层划分根据IP组划分其他,基于端口划分的VLAN,适合于任何大小的网络,基于端口划分的VLAN（续）,优点定义成员时非常简单,只要将所有的端口都指定一下即可缺点若某个用户离开了原来的端口,到了一个新的交换机的某个端口,需重新定义,基于MAC地址划分VLAN,适用于小型局域网,MAC A,MAC D,MAC C,MAC B,交换机系统建立了主机MAC地址与VLAN tag的映射关系,主机A,主机D,主机C,主机B,VLAN表,基于MAC地址划分VLAN （续）,优点用户物理位置移动时, VLAN不需重新配置,基于MAC地址划分VLAN （续）,缺点初始化时, 所有用户都需进行配置因每个端口可能存在很多VLAN组成员, 交换机执行效率降低, 无法限制广播包若网卡更换需重新配置VLAN,基于网络层划分VLAN,VLAN按网络层协议来划分，可分为IP、IPX、DECnet、AppleTalk等VLAN网络。适用于需要同时运行多协议的网络,基于网络层划分VLAN （续）,优点用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，并且可以减少网络通信量，可使广播域跨越多个VLAN交换机。缺点效率低下, 需检查每个数据包的网络层地址,根据IP组播划分VLAN,IP 组播实际上也是一种VLAN的定义，即认为一个IP组播组就是一个VLAN适合于不在同一地理范围的局域网用户组成一个VLAN,根据IP组播划分VLAN（续）,优点：更大的灵活性，而且也很容易通过路由器进行扩展。缺点：不适合局域网，主要是效率不高。,按策略划分VLAN,基于策略的VLAN能实现多种分配，包括端口、MAC地址、IP地址、网络层协议等适用于需求比较复杂的环境,按策略划分VLAN（续）,优点：网络管理人员可根据自己的管理模式和需求来决定选择哪种类型的VLAN 。 缺点：建设初期步骤繁复。,按用户定义、非用户授权划分VLAN,是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN。 适用于安全性较高的环境,路由器与网络隔离,VLAN与网络隔离,交换机与网络隔离,网络隔离的基本概念,第4章 网络隔离技术,网络隔离的主要方法,防火墙与网络隔离,路由器的基本概念,路由器,Internet,路由器的基本概念（续）,路由器（Router）是用于连接两个或者多个网络的网络互连设备路由器工作在TCP/IP协议栈中的IP层,路由器的工作原理（续）,路由器的路由功能,202.115.22,202.115.24,202.115.23,IP 地址？,路由器的工作原理（续）,寻径的依据是经过每个路由器中的路由表。路由表指明了从源站点到目的站点的一条路径。路由协议是生成路由表的方法，分为静态路由协议和动态路由协议。,路由器的工作原理（续）,静态路由协议：手工为每台路由器编写一张固定不变的静态路由表；动态路由协议：为每台路由器配置一个动态路由寻径协议，让该路由协议自动形成和刷新路由表。动态路由协议有：RIP、RIP、IGRP 、EIGRP、OSPF、ISIS、BGP、EGP等。,路由器作用,路由器作用（续）,隔绝“广播风暴”路由器连接两个子网，形成两个逻辑网段。可以杜绝“广播风暴”，防止多个网络受某个网络的影响太大。,路由器作用（续）,提供“防火墙”技术增强安全性,具有防火墙特性的路由器成本防火墙+路由器具有防火墙特性的路由器功能防火墙+路由器具有防火墙特性的路由器可扩展性防火墙+路由器,路由器与安全体系结构,路由器作为安全体系结构的边界控制组建两种部署方案：路由器作为整个安全体系的一部分路由器作为唯一的边界安全设备,路由器与安全体系结构（续）,路由器作为安全体系结构的一部分路由器执行最基本的操作：报文转发包过滤入口过滤出口过滤基于网络的应用程序识别（Network-Based Application Recognition: NBAR):对流媒体信息进行标记处理；更深层次的概念涉及“服务质量”（QoS）,路由器与安全体系结构（续）,路由器作为唯一的边界安全设备 需要解决几个关键问题：路由器的位置根据应用需求不同，路由器的位置也不尽相同功能选择如何合理的选择路由器功能,路由器与安全体系结构（续）,路由器的位置,结论,路由器既是网络连接设备，也可作为网络安全设备路由器可以作为整个安全体系的一部分，也可作为唯一的边界安全设备路由器可以放置在内网和外网的中间，也可作为内部子网的分隔设备在路由器在安全体系结构中的作用需要特别重视,路由器与网络隔离,VLAN与网络隔离,交换机与网络隔离,网络隔离的基本概念,第4章 网络隔离技术,网络隔离的主要方法,防火墙与网络隔离,防火墙,Internet,防火墙拦截画面,防火墙的定义,传统的防火墙概念概念：防火墙被设计用来防止火从大厦的一部分传播到另一部分,I T 领域使用的防火墙概念,两个安全域之间通信流的唯一通道,根据访问控制规则决定进出网络的行为,一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。,I T 领域使用的防火墙概念（续）,防火墙（FireWall）是一种隔离控制技术，在某个机构的网络和不安全的网络（如Internet）之间设置屏障，阻止对信息资源的非法访问，也可以使用防火墙阻止重要信息从企业的网络上被非法输出。FireWall一般安装在路由器上以保护一个子网，也可以安装在一台主机上，保护这台主机不受侵犯。,防火墙的发展历程,将过滤功能从路由器中独立出来，针对用户需求，提供模块化的软件包用户可根据需要构造防火墙安全性提高了，价格降低了,利用路由器本身对分组的解析,进行分组过滤过滤判断依据：地址、端口号防火墙与路由器合为一体，只有过滤功能适用于对安全性要求不高的网络环境,是批量上市的专用防火墙产品包括分组过滤或者借用路由器的分组过滤功能装有专用的代理系统，监控所有协议的数据和指令保护用户编程空间和用户可配置内核参数的设置安全性和速度大为提高。,防火墙厂商具有操作系统的源代码，并可实现安全内核在功能上包括了分组过滤、应用网关、电路级网关增加了许多附加功能：加密、鉴别、审计、NAT转换透明性好，易于使用,基于通用操作系统的防火墙,防火墙工具套,基于安全操作系统的防火墙,状态检测表,提高了效率 防止假冒IP攻击,Host C,Host D,访问控制规则表,Yes,数据包状态检测,Vlan2财务部,Vlan3技术部,Vlan4培训中心,internet,Vlan网关,“防火墙在VLAN网络”应用,internet,财务部,工程部,销售部,行政部,“内网安全分段”的应用,内部工作子网与外网的访问控制,进行访问规则检查,发起访问请求,合法请求则允许对外访问,将访问记录写进日志文件,合法请求则允许对外访问,发起访问请求,防火墙在此处的功能：1、工作子网与外部子网的物理 隔离2、访问控制3、对工作子网做NAT地址转换4、日志记录,DMZ区域与外网的访问控制,进行访问规则检查,发起访问请求,合法请求则允许对外访问,将访问记录写进日志文件,禁止对外发起连结请求,发起访问请求,防火墙在此处的功能：1、DMZ网段与外部子网的物理隔离2、访问控制3、对DMZ子网做MAP映射4、日志记录,内部子网与DMZ区的访问控制,进行访问规则检查,发起访问请求,合法请求则允许对外访问,将访问记录写进日志文件,禁止对工作子网发起连结请求,发起访问请求,拨号用户对内部网的访问控制,拨号服务器Cisco 2620,移动用户,PSTN,Modem,Modem,进行一次性口令认证,认证通过后允许访问 内网,将访问记录写进日志文件,下属机构对总部的访问控制,下属机构,DDN/FRX.25专线,FW+VPN,FW+VPN,进行规则检查,将访问记录写进日志文件,防火墙在此处的功能：1、将内部子网与连接下属机构的公网隔离开2、控制下属机构子网用户对总部内网的访问3、对下属机构网络与总部子网之间的通讯做日志和审计,作业1,同一部门的用户分散在不同楼层，需要将不同楼层的A、C和B、D设置为同一个VLAN,作业2,论述交换机、VLAN、路由器、防火墙这4种隔离技术的优缺点及关系。,问题?,