第3章网络安全隔离技术同轴电缆网络隔离——同轴电缆192.168.1.5192.168.1.6192.168.1.7192.168.1.8192.168.1.90101010010101001010100101010应用层表示层会话层传输层网络层数据链路层物理层3网络隔离——集线器…应用层表示层会话层传输层网络层数据链路层物理层网络隔离——交换机物理编址网络拓扑结构错误校验帧序列化流控应用层表示层会话层传输层网络层数据链路层物理层网络隔离——虚拟子网(VLAN)InternetVLAN2VLAN1VLAN3网络隔离——虚拟子网(Cont.)VLAN在是交换机上的实现划分基于端口划分的VLAN基于MAC地址划分VLAN基于网络层划分VLAN根据IP组播划分VLAN路由器与网络隔离网络互连数据处理网络管理应用层表示层会话层传输层网络层数据链路层物理层路由器与网络隔离(Cont.)RouterARouterBRouterCRouterD12.0.0.0/813.0.0.0/811.0.0.0/82.2.2.2/242.2.2.1/243.3.3.2/243.3.3.1/241.1.1.1/241.1.1.2/24DestinationNexthopInterface…11.0.0.0/81.1.1.2P112.0.0.0/82.2.2.2P213.0.0.0/83.3.3.2P3路由器与网络隔离(Cont.)路由器作为唯一安全组件•相对交换机,集线器,能提供更高层次的安全功能路由器作为安全组件的一部分•在一个全面安全体系结构中,常用作屏蔽设备,执行包过滤功能,而防火墙对能够通过路由器的数据包进行检查防火墙Internet防火墙内部网络服务器主机主机•用一个或一组网络设备(计算机系统或路由器等),在两个或多个网络间加强访问控制,以保护一个网络不受来自另一个网络攻击的安全技术防火墙11防火墙分类分组过滤防火墙应用代理防火墙状态检测防火墙防火墙——分组过滤防火墙HTTPDNS未经授权的用户Internet用户子网分组过滤也被称为包过滤。分组过滤防火墙根据数据包头信息对网络流量进行处理。分组过滤防火墙应用层表示层会话层传输层网络层数据链路层物理层13防火墙——应用代理防火墙HTTPDNS未经授权的用户Internet用户子网应用代理防火墙HTTP服务器客户浏览器实际TCP连接1实际TCP连接2用户感觉的TCP连接应用层表示层会话层传输层网络层数据链路层物理层14防火墙——状态检测防火墙监听是否在连接状态表中YES转发是否匹配规则集NO丢弃或拒绝YESNO应用层表示层会话层传输层网络层数据链路层物理层15防火墙的典型体系结构——包过滤路由器模型HTTPDNS包过滤路由器Internet工作站工作站FTP防火墙的典型体系结构——单宿主堡垒主机模型HTTPDNS包过滤路由器Internet工作站工作站堡垒主机HTTPDNS包过滤路由器Internet工作站工作站FTP防火墙的典型体系结构——双宿主堡垒主机模型堡垒主机HTTPDNS包过滤路由器InternetFTP防火墙的典型体系结构——子网屏蔽防火墙模型堡垒主机工作站工作站工作站ModemPool包过滤路由器通过过滤不安全的服务而降低风险,提高内部网络安全性保护网络免受基于路由的攻击强化网络安全策略对网络存取和访问进行监控审计利用防火墙对内部网络的划分,实现内部网重点或敏感网段的隔离防火墙在网络边界安全中的作用网络地址转换(NAT:NetworkAddressTranslation)将每个局域网节点的地址转换成一个IP地址,反之亦然。交换机192.168.1.5192.168.1.7192.168.1.9port:5133port:5134port:5120路由器(NAT)Internet121.49.110.63:5133121.49.110.63:5134121.49.110.63:5120网络地址转换与网络安全如果改变源地址的话,数字签名不再有效给网络取证带来了巨大的困难依赖于IP和端口的防火墙过滤规则需要改变…解决方案指处于不同安全域的网络之间不能以直接或间接的方式相连接。物理隔离物理隔离(cont.)单向隔离•在端上依靠由硬件访问控制信息交换分区实现信息在不同的安全域信息单向流动。协议隔离•通过协议转换的手段保证受保护信息在逻辑上是隔离的,只有被系统要求传输的、内容受限的信息可以通过网闸•网闸(gap)是位于两个不同安全域之间,通过协议转换的手段,以信息摆渡的方式实现数据交换,且只有被系统明确要求传输的信息可以通过。(最常用)作业