第7章网络安全隔离-2

第7章网络安全隔离本章学习目标理解网络安全隔离的意义掌握划分子网的方法掌握通过创建VLAN实现网络安全隔离的方法了解物理隔离产品及应用1第7章网络安全隔离随着网络技术的发展，可以根据有特殊要求的部门和用户进行隔离保护，当然这里的隔离保护只是阻止未经允许的用户访问敏感部门和关键用户网络，而这些敏感部门和关键用户，可以通过相应配置与其他未被隔离的网络进行正常的数据交换，现在有如下三种解决方案。（1）通过子网掩码划分子网对网络进行隔离。（2）通过划分VLAN网段对网络进行隔离。（3）通过构建网络隔离系统对网络进行隔离。27.1利用子网掩码划分子网的应用7.1.1PacketTracer模拟器简介37.1利用子网掩码划分子网的应用7.1.2项目背景及方案设计1．项目背景某公司申请到198.16.1.0/24网段，设置了生产车间、销售处、财务处等三个部门，各部门分处不同的地理位置。该公司需要建立内部网络，要求如下。（1）最大的部门可以容纳30台计算机。（2）各部门内部计算机终端之间能够直接通信。（3）各部门之间数据信息具有一定的独立性。（4）财务处的数据必须受到严格保护，非授权人员不能访问。（5）公司内所有计算机都能够访问互联网。（6）网络设备要高速、稳定运行。47.1利用子网掩码划分子网的应用2．方案设计根据公司要求，设计方案如下。（1）通过子网掩码划分子网，使三个部门分别属于不同的子网，便于管理。（2）各部门分别配置一台交换机，用于连接该部门所有终端设备。（3）各部门之间通过路由器连接，实现互相通信，并通过该路由器连接到Internet。（4）方案的网络拓扑图如图7-4所示。（5）路由器Router2端口规划如表7-1所示。57.1利用子网掩码划分子网的应用图7-4子网掩码划分子网网络拓扑图67.1利用子网掩码划分子网的应用表7-1Router2端口规划设备名称端口用途Router2FastEthernet0/0连接Switch0FastEthernet0/1连接Switch1FastEthernet1/0连接Switch2FastEthernet1/1连接远程分支机构77.1利用子网掩码划分子网的应用7.1.3实施步骤1．确定子网掩码2．确定并分配子网及IP地址范围3．搭建如图7-4所示网络环境，配置Router2路由器4．配置各PC机5．测试子网之间的连通性87.2VLAN子网的划分7.2.1VLAN简介VLAN（VirtualLocalAreaNetwork，虚拟局域网）是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。97.2VLAN子网的划分7.2.2VLAN的划分1．根据端口来划分VLAN2．根据MAC（MediaAccessControl，介质访问控制）地址划分VLAN3．根据网络层划分VLAN4．根据IP组播划分VLAN107.2VLAN子网的划分7.2.3VLAN的主要用途1．控制广播风暴一个VLAN就是一个逻辑广播域。2．提高网络的安全性不同VLAN间不可以直接通信，要实现通信必须通过具有网络层交换功能的路由器或第三层交换机。3．网络管理简单、直观一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。117.3单一交换机VLAN的配置在一台交换机上进行VLAN的划分及配置，是通过划分VLAN网段对网络进行隔离的最简单、最基本的形式。搭建如图所示网络环境。127.3单一交换机VLAN的配置详细步骤如下。1．给交换机命名并设置登录密码2．显示VLAN配置信息3．创建VLAN

4．划分VLAN端口5．保存配置6．测试7．删除VLAN137.4跨交换机VLAN的配置在多台交换机上进行VLAN的划分及配置，是通过划分VLAN网段对网络进行隔离的最常用、较复杂的形式。7.4.1VTP简介VTP（VLANTrunkingProtocol，VLAN链路聚集协议）是一个在建立了汇聚链路的交换机之间同步和传递VLAN配置信息的协议，以在同一个VTP域中维持VLAN配置的一致性。在创建VLAN之前，应先定义VTP管理域。147.4跨交换机VLAN的配置1．VTP工作模式VTP有server（服务器）client（客户端）transparent（透明）2．创建VTP管理域（1）创建VTP管理域（2）设置VTP模式（3）执行exit命令退出VLAN数据库配置模式（4）查看VTP信息157.4跨交换机VLAN的配置7.4.2项目背景及方案设计1．项目背景某公司有计算机约50台，设置了信息处、销售处、财务处等三个部门，各部门的地理位置如图7-12所示。该公司需要建立内部网络，要求如下。（1）各部门内部计算机终端之间能够直接通信。（2）各部门之间数据信息具有一定的独立性。（3）公司内所有计算机都能够访问互联网。（4）财务处的数据必须受到严格保护，非授权人员不能访问。（5）总经理兼管财务处，副总经理兼管销售处。（6）网络设备要高速、稳定运行。167.4跨交换机VLAN的配置图7-12各部门地理位置图177.4跨交换机VLAN的配置2．方案设计根据公司要求，设计方案如下。（1）每层楼配置一台交换机，用于连接该楼层所有终端设备。（2）创建VTP管理域，为每一个部门创建一个VLAN。（3）在交换机上划分VLAN，进行跨交换机VLAN的配置，实现各VLAN内部计算机终端能相互通信。（4）给各VLAN创建虚拟子端口IP地址，实现VLAN间的通信。（5）使用路由器连接到Internet。（6）方案的网络拓扑图如图7-13所示。187.4跨交换机VLAN的配置图7-13网络拓扑图197.4跨交换机VLAN的配置（7）各部门IP地址规划和各设备端口规划如表7-4、表7-5所示。表7-4各部门地址分配部门名称地址空间所属VLAN虚拟子端口IP地址（默认网关）示例PC机名称总经理192.168.5.100/24VLAN30192.168.5.1/24PC0副总经理192.168.3.101/24VLAN20192.168.3.1/24PC1财务处192.168.5.0/24VLAN30192.168.5.1/24PC4信息处192.168.2.0/24VLAN10192.168.2.1/24PC2、PC6销售处192.168.3.0/24VLAN20192.168.3.1/24PC3、PC520表7-5各设备端口规划设备名称端口用途端口类型R0FastEthernet0/0连接CORE路由端口FastEthernet0/1连接远程分支机构路由端口COREFastEthernet0/1-5连接用户PCAccess端口，VLAN10FastEthernet0/11连接总经理PCAccess端口，VLAN30FastEthernet0/12连接副总经理PCAccess端口，VLAN20FastEthernet0/22连接SWBTrunk端口FastEthernet0/23连接SWATrunk端口FastEthernet0/24连接R0三层交换端口SWAFastEthernet0/1-5连接用户PCAccess端口，VLAN10FastEthernet0/6-10连接用户PCAccess端口，VLAN20FastEthernet0/24连接CORETrunk端口SWBFastEthernet0/1-5连接用户PCAccess端口，VLAN30FastEthernet0/6-10连接用户PCAccess端口，VLAN20FastEthernet0/24连接CORETrunk端口217.4跨交换机VLAN的配置7.4.3VLAN配置步骤227.5网络隔离概述7.5.1网络隔离技术1．理解网络隔离网络中的“隔离”并不是网络间完全断开，而是隔离不安全因素，使受保护的网络能安全地与外部网络通信。2．网络隔离技术分类（1）物理隔离（2）网络隔离（3）安全隔离237.5网络隔离概述3．网络隔离技术发展阶段（1）完全的物理隔离（2）硬件隔离卡隔离（3）数据转播隔离（4）空气开关隔离（5）安全通道隔离247.5网络隔离概述7.5.2网络隔离安全要素1．隔离产品自身有较高的安全性2．确保网络包不能到达受保护网络3．只允许应用层数据交换4．在确保安全的前提下尽可能畅通257.6物理隔离物理隔离是指内部网络不得直接或间接地连接外部网络即互联网。7.6.1物理隔离原理物理隔离设备在任意时刻只能与一个网络的主机系统建立非TCP/IP协议的数据连接，即当它与外部网络的主机系统连接时，它与内部网络的主机系统必须是断开的，反之亦然，保证内、外部网络不能同时连接在物理隔离设备上。267.6物理隔离通过如下步骤对物理隔离原理进行说明。（1）当内网与专网之间无信息交换时，物理隔离设备与内网之间、物理隔离设备与专用网之间、内网与外网之间是完全断开的。图7-15277.6物理隔离（2）当外网有数据需要到达内网的时候，控制电路控制隔离设备与外网服务器建立非TCP/IP的数据连接。图7-16287.6物理隔离（3）一旦数据完全写入外网存储设备，隔离设备在控制电路的控制下立即中断与外网的连接，转而发起对内网的非TCP/IP协议的数据连接。图7-17297.6物理隔离（4）在控制台收到完整的交换信号之后，控制电路控制隔离设备立即切断隔离设备与内网的连接，又回到图7-15所示内外网完全断开状态。307.6物理隔离（5）如果这时内网有文件需要发出，隔离设备在收到内网建立连接的请求之后，控制电路控制隔离设备建立与内网之间的非TCP/IP协议的数据连接。图7-18317.6物理隔离（6）当数据完全写入内网专用存储设备后，控制电路控制隔离设备立即中断与内网的连接图7-19327.6物理隔离（7）在所有的数据发送完成后，控制电路就会控制隔离设备立即中断隔离设备与外肉的连接，恢复到如图7-15所示的完全隔离状态。337.6物理隔离7.6.2物理隔离卡1．物理隔离卡物理隔离卡是物理隔离的低级实现形式，一个物理隔离卡只能管一台个人计算机，甚至只可能在Windows环境下工作，每次切换都需要开关机一次。2．物理隔离卡产品：ZSD-32S单硬盘物理隔离卡ZSD-32S单硬盘物理隔离卡系列是宙斯盾公司研制的拥有自主产权的新一代网络安全物理隔离产品。347.6物理隔离7.6.3物理隔离网闸1．物理隔离网闸物理隔