网络安全隔离
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
路由器 防火墙 交换机 VLAN
2016/12/18
实现资源隔离的技术(续)
路由器
Internet
2016/12/18
实现资源分隔的技术(续)
防火墙
Internet
2016/12/18
实现资源分隔的技术(续)
防火墙
Internet
2016/12/18
实现资源分隔的技术(续)
财务部
市场部
信息部
生产部
财务部
市场部
2016/12/18 财务部
市场部
信息部
生产部
财务部
市场部
资源隔离的内容(续)
主机隔离
DB
2016/12/18
资源隔离的内容(续)
服务隔离
Mail & DB
2016/12/18
资源隔离的内容(续)
用户隔离
管理员 & 其他用户
管理员
第3章 网络隔离技术
路由器与安全体系结构 网络隔离的基本概念 网络隔离的基本内容 网络隔离的主要方法 总结
2016/12/18
资源隔离技术
什么是资源隔离?
资源隔离是将不同的资源划归为同一个安全区域。 安全区域是属于同一个物理或者逻辑组织的一组资源集合 划分安全区域的目的是:
什么是安全区域(Secure Zone)?
2016/12/18
路由器与安全体系结构(续)
如何合理的选择路由器功能?
网络地址转换 包过滤 状态包过滤 访问控制
2016/12/18
路由器的加固
路由器加固指提高路由器自身的安全性 加固方法有:
加固操作系统 锁住管理点:
Telnet:远程登录 SSH:安全脚本 TFTP/FTP:文件传输 SNMP:简单网络管理 认证和口令 禁止服务器(如Bootp,HTTP等)
根据安全策略进行资源分隔
2016/12/18
资源隔离的基本方法
同一子网内的资源隔离 不同子网的资源隔离
2016/12/18
资源隔离的基本方法(续)
同一子网内的资源隔离
如果不同的服务确实需要运行在同一主机之上,可以采 用以下方法:
不同服务用不同的用户身份进行管理 使用特定的工具进行安全区域的划分:如目录分隔,磁盘 分区分隔等 不同服务尽可能运行在不同的服务器上
当攻击者利用浏览器来访问一个无需授权认证的特定功能 页面后,如发送HTTP请求到start_art.html,攻击者就可 以引导路由器自动从攻击者控制的TFTP服务器下载一个 nart.out文件,并以root权限运行。而一旦攻击者以root 身份运行成功后,便可以控制该无线路由器了。
2016/12/18
2016/12/18
网络地址转换(NAT: Network Address
Translation)
121.49.110.63:513 3
121.49.110.63:5134
交换机
路由器(NAT)
121.49.110.63:5120
port:5133
port:5134
port:5120
Internet
更好的规划和设计安全策略
什么是资源?
物理设备:网络设备、主机设备、电子设备。。。。 应用和程序:Web服务器,Mail服务器,。。。 数据:文档,数据库。。。。
2016/12/18
资源隔离技术(续)
为什么需要进行资源隔离?
资源隔离的主要目的是将入侵行为带来的影响控制在特 定的区域 资源隔离有助于更好的实施安全策略 资源隔离有助于实施管理
教材与参考书
教材: 周世杰 陈伟 罗绪成,计算机系统与网络安全技术,高等 教育出版社,2011
参考书 李毅超 曹跃,网络与系统攻击技术 电子科大出版社 2007 周世杰 陈伟 钟婷,网络与系统防御技术 电子科大出版社 2007 Stephen Northcutt, 深入剖析网络边界安全,机械工业出版社, 2003 冯登国,计算机通信网络安全,2001 蔡皖东,网络与信息安全,西北工业大学出版社,2004
2016/12/18
路由器的加固(续)
禁止不必要的服务:如NTP,finger等 阻断因特网控制消息协议(ICMP) 禁止源路由 路由器日志查看
2016/12/18
结论
路由器既是网络连接设备,也可作为网络安全设 备 路由器可以作为整个安全体系的一部分,也可作 为唯一的边界安全设备 路由器可以放置在内网和外网的中间,也可作为 内部子网的分隔设备 在路由器在安全体系结构中的作用需要特别重视 http://net.zol.com.cn/360/3607992.html http://www.cnvd.org.cn/ 国家信息安全漏洞共享平台 http://www.securityfocus.com/ 2016/12/18
实现资源分隔的技术(续)
VLAN的原理
App TCP,UDP
路由 ACL 。。。
IP DL Physical
2016/12/18
VLAN中的交换机:三层交换
资源隔离实例分析
邮件服务器分隔
Internet
公共邮件中继服务器
内部邮件服务中心服务器
2016/12/18
资源隔离实例分析
DNS服务器分隔
使用专用服务器来提供安全区域
2016/12/18
资源隔离的基本方法(续)
不同子网的资源隔离
广播子网与其他子网隔离
2016/12/18
资源隔离的基本方法(续)
不同子网的资源隔离
公共子网和内部子网隔离
内部服务器
外部服务器
内部服务器 工作站
2016/12/18
外部服务器
工作站
实现资源隔离的技术
VLAN
VLAN是实现资源隔 离的有效方法 VLAN1
VLAN3
VLAN2 2016/12/18
实现资源分隔的技术(续)
VLAN的原理
App TCP,UDP IP DL Physical
App TCP,UDP IP DL Physical
2016/12/18
传统的交换机:两层交换
VLAN中的交换机:三层交换
2016/12/18
Any Question?
Q&A
2016/12/18
路由器执行最基本的操作:
报文转发 包过滤 入口过滤 出口过滤 基于网络的应用程序识别(Network-Based Application Recognition: NBAR):对流媒体信息进行标记处理;更深 层次的概念涉及“服务质量”(QoS)
2016/12/18
路由器与安全体系结构(续)
Internet 公共DNS服务器
内部DNS服务器
2016/12/18
资源隔离实例分析(续)
无线接入分隔
Internet
边界防火墙 内部Hale Waihona Puke Baidu火墙
公共服务器区
工作站
内部服务器区
2016/12/18
工作站
无线电发射塔
无线笔记本
无线笔记本
总结
广义的资源隔离包括网络隔离 资源隔离可以在一定程度上降低安全风险,从而 优化安全体系结构 资源隔离的内容包括:子网隔离、主机隔离、服 务隔离、用户隔离、数据隔离 资源隔离的技术包括:路由器、防火墙,交换机 和VLAN
2016/12/18
TCP/IP基础
TCP/IP协议栈
2016/12/18
TCP/IP基础(续)
协议数据的封装
2016/12/18
路由器的基本概念
路由器(Router)是用于连接两个或者多个网络 的网络互连设备 路由器工作在TCP/IP协议栈中的IP层
Network 1
Network 1
2016/12/18
资源隔离的内容
资源隔离的内容
子网隔离 主机隔离 服务隔离 用户隔离 数据隔离
广义的资源隔离包括网络隔离
2016/12/18
资源隔离的内容(续)
子网隔离
安全性要求不同的部门属于不同子网 不同的业务部门属于不同子网 物理距离大的部门属于不同的子网
2016/12/18
路由器的工作原理(续)
路由器的协议层次
应用层 传输层 网络层 数据链路层 物理层 网络层 数据链路层 物理层
应用层 传输层 网络层 数据链路层 物理层
2016/12/18
路由器的工作原理(续)
路由器的路由功能
202.115.23
IP 地址?
202.115.22 202.115.24
192.168.1.5
192.168.1.7
192.168.1.9
将每个局域网节点的地址转换成一个IP 地址,反之亦然。
网络地址转换与网络安全
如果改变源地址的话,数字签名不再有效
给网络取证带来了巨大的困难 依赖于IP和端口的防火墙过滤规则需要改变 …
解决 方案
物理隔离
指处于不同安全域的网络之间不能以直接或间接的方式相连接。
第3章 网络隔离技术
路由器与安全体系结构 网络隔离的基本概念 网络隔离的基本内容 网络隔离的主要方法 总结
2016/12/18
第3章 网络隔离技术
路由器与安全体系结构 网络隔离的基本概念 网络隔离的基本内容 网络隔离的主要方法 总结
2016/12/18
目标
掌握路由器的工作原理 掌握路由器在信息安全体系结构中的作用 了解路由器与防火墙的协同工作方法
2016/12/18
路由器与安全体系结构
路由器作为安全体系结构的边界控制组建 两种部署方案:
路由器作为整个安全体系的一部分 路由器作为唯一的边界安全设备
其他安 全设备
路由器作为安全体系的一部分
2016/12/18
路由器是唯一的边界安全设备
路由器与安全体系结构(续)
路由器作为安全体系结构的一部分
物理隔离(cont.)
单向隔离 • 在端上依靠由硬 件访问控制信息 交换分区实现信 息在不同的安全 域信息单向流动。 协议隔离 • 通过协议转换的 手段保证受保护 信息在逻辑上是 隔离的,只有被 系统要求传输的、 内容受限的信息 可以通过 网闸 • 网闸(gap)是 位于两个不同安 全域之间,通过 协议转换的手段, 以信息摆渡的方 式实现数据交换, 且只有被系统明 确要求传输的信 息可以通过。 (最常用)
路由器作为唯一的边界安全设备 需要解决几个关键问题:
路由器的位置
根据应用需求不同,路由器的位置也不尽相同 如何合理的选择路由器功能
功能选择
2016/12/18
路由器与安全体系结构(续)
路由器的位置
内部网络1
外部网络
内部网络
内部网络1
内部网络1
路由器作为外部网络和内部网络 的分隔设备
路由器是作为内部子网的 分隔设备
其他用户
2016/12/18
资源隔离的内容(续)
数据隔离
DB & DOC
DB
2016/12/18
资源隔离的主要依据
资源敏感度
不同敏感度的资源属于不同的安全区域 易受损害的资源和不易受损害的资源属于不同的安全区 域 资源分隔应该有利于管理
资源受到损害的可能性
易管理性
设计者自己的分类标准