第3章 网络安全隔离技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 通过协议转换的 手段保证受保护 信息在逻辑上是 隔离的,只有被 系统要求传输的、 内容受限的信息 可以通过
• 网闸(gap)是 位于两个不同安 全域之间,通过 协议转换的手段, 以信息摆渡的方 式实现数据交换, 且只有被系统明 确要求传输的信 息可以通过。 (最常用)
作业
通过过滤不安全的服务而降低风险,提高内部网络安全性 保护网络免受基于路由的攻击 强化网络安全策略 对网络存取和访问进行监控审计 利用防火墙对内部网络的划分,实现内部网重点或敏感网段的隔离
网络地址转换(NAT: Network Address Translation)
121.49.110.63:5133
11.0.0.0/8
12.0.0.0/8 13.0.0.0/8
1.1.1.2
2.2.2.2 3.3.3.2
P1
P2 P3 2.2.2.1/24
3.3.3.1/24
RouterA
RouterC
2.2.2.2/24
3.3.3.2/24
RouterD
12.0.0.0/8
百度文库
13.0.0.0/8
路由器与网络隔离(Cont.)
路由器作为唯一安全组件
• 相对交换机,集线器, 能提供更高层次的安全 功能
路由器作为安全组件的一 部分
• 在一个全面安全体系结 构中,常用作屏蔽设备, 执行包过滤功能,而防 火墙对能够通过路由器 的数据包进行检查
防火墙
Internet 防火墙 • 用一个或一组网络设备 (计算机系统或路由器 等),在两个或多个网 络间加强访问控制,以 保护一个网络不受来自 另一个网络攻击的安全 技术
防火墙——应用代理防火墙
应用层
未经授权的用户
用户子网
表示层 会话层
实际TCP连接1
传输层 应用代理防火墙 网络层 数据链路层 物理层
Internet 实际TCP连接2
用户感觉的TCP连接
HTTP
客户浏览器
DNS
HTTP服务器
13
防火墙——状态检测防火墙
应用层 表示层 会话层 是否在连接状
监听
YES
如果改变源地址的话,数字签名不再有效 给网络取证带来了巨大的困难
依赖于IP和端口的防火墙过滤规则需要改变
…
解决方 案
物理隔离
指处于不同安全域的网络之间不能以直接或间接的方式相连接。
物理隔离(cont.)
单向隔离 协议隔离 网闸
• 在端上依靠由硬 件访问控制信息 交换分区实现信 息在不同的安全 域信息单向流动。
态表中
传输层 网络层
NO YES 集 转发
是否匹配规则 数据链路层
物理层
NO 丢弃或拒绝
14
防火墙的典型体系结构——包过滤路由器模型
工作站 工作站
包过滤路由器
Internet
HTTP
DNS
FTP
15
防火墙的典型体系结构——单宿主堡垒主机模型
工作站 工作站
包过滤路由器
Internet
HTTP
DNS
121.49.110.63:5134
交换机
路由器(NAT)
121.49.110.63:5120
port:5133
port:5134
port:5120
Internet
192.168.1.5
192.168.1.7
192.168.1.9
将每个局域网节点的地址转换成一个IP 地址,反之亦然。
网络地址转换与网络安全
第3章 网络安全隔离技术
网络隔离——同轴电缆
192.168.1.8
应用层
0101010
192.168.1.9
表示层
0101010
会话层 传输层 网络层
同轴电缆
数据链路层 物理层
192.168.1.5
192.168.1.6
192.168.1.7
网络隔离——集线器
…
应用层 表示层 会话层
传输层
网络层 数据链路层 物理层
内部网络
防火墙
服务器
主机
主机
防火墙分类
分组过滤防火墙 应用代理防火墙 状态检测防火墙
11
防火墙——分组过滤防火墙
应用层
未经授权的用户
用户子网
表示层 会话层 传输层 分组过滤防火墙 网络层 数据链路层 物理层
Internet
HTTP
DNS
分组过滤也被称为包过滤。分组过滤防火 墙根据数据包头信息对网络流量进行处理。
3
网络隔离——交换机
物理编址
应用层 表示层 会话层
流控
网络拓扑 结构
错误校验
帧序列化
传输层 网络层
数据链路层
物理层
网络隔离——虚拟子网(VLAN)
Internet
VLAN1
VLAN2
VLAN3
网络隔离——虚拟子网(Cont.)
VLAN在是交换机上的实现划分
基于端口划分的 VLAN
基于MAC 地址划分VLAN
堡垒主机
防火墙的典型体系结构——双宿主堡垒主机模型
工作站 工作站 堡垒主机
包过滤路由器
Internet
HTTP
DNS
FTP
防火墙的典型体系结构——子网屏蔽防火墙模型
工作站 Modem Pool
堡垒主机 Internet
包过滤路由器 工作站 工作站 HTTP
包过滤路由器
DNS
FTP
防火墙在网络边界安全中的作用
基于网络层划分VLAN 根据IP 组播划分VLAN
路由器与网络隔离
应用层 表示层
网络互连
数据处 理
会话层 网络管
传输层 网络层 数据链路层 物理层
理
路由器与网络隔离(Cont.)
11.0.0.0/8
Destination Nexthop Interface …
RouterB
1.1.1.2/24 1.1.1.1/24