农林牧渔第5章-网络隔离技术

电子科技大学计算机科学与工程学院计算系统与网络安全

ComputerSystemandNetworkSecurity2024/8/16总结网络隔离的主要方法网络隔离的基本内容网络隔离的基本概念第5章网络隔离技术路由器与安全体系结构2024/8/16总结网络隔离的主要方法网络隔离的基本内容网络隔离的基本概念第5章网络隔离技术路由器与安全体系结构2024/8/16目标掌握路由器的工作原理掌握路由器在信息安全体系结构中的作用了解路由器与防火墙的协同工作方法2024/8/16TCP/IP基础TCP/IP协议栈2024/8/16TCP/IP基础（续）协议数据的封装2024/8/16路由器的基本概念路由器（Router）是用于连接两个或者多个网络的网络互连设备路由器工作在TCP/IP协议栈中的IP层Network1Network22024/8/16路由器的工作原理（续）路由器的协议层次应用层传输层网络层数据链路层物理层应用层传输层网络层数据链路层物理层网络层数据链路层物理层2024/8/16路由器的工作原理（续）路由器的路由功能202.115.22202.115.24202.115.23IP地址？2024/8/16路由器与安全体系结构路由器作为安全体系结构的边界控制组建两种部署方案：路由器作为整个安全体系的一部分路由器作为唯一的边界安全设备其他安全设备路由器作为安全体系的一部分路由器是唯一的边界安全设备2024/8/16路由器与安全体系结构（续）路由器作为安全体系结构的一部分路由器执行最基本的操作：报文转发包过滤入口过滤出口过滤基于网络的应用程序识别（Network-BasedApplicationRecognition:NBAR):对流媒体信息进行标记处理；更深层次的概念涉及“服务质量”（QoS）2024/8/16路由器与安全体系结构（续）路由器作为唯一的边界安全设备需要解决几个关键问题：路由器的位置根据应用需求不同，路由器的位置也不尽相同功能选择如何合理的选择路由器功能2024/8/16路由器与安全体系结构（续）路由器的位置路由器作为外部网络和内部网络的分隔设备内部网络外部网络路由器是作为内部子网的分隔设备内部网络内部网络内部网络2024/8/16路由器与安全体系结构（续）如何合理的选择路由器功能？网络地址转换包过滤状态包过滤访问控制2024/8/16路由器的加固路由器加固指提高路由器自身的安全性加固方法有：加固操作系统锁住管理点：Telnet：远程登录SSH：安全脚本TFTP/FTP：文件传输SNMP：简单网络管理认证和口令禁止服务器（如Bootp，HTTP等）2024/8/16路由器的加固（续）禁止不必要的服务：如NTP，finger等阻断因特网控制消息协议（ICMP）禁止源路由路由器日志查看2024/8/16结论路由器既是网络连接设备，也可作为网络安全设备路由器可以作为整个安全体系的一部分，也可作为唯一的边界安全设备路由器可以放置在内网和外网的中间，也可作为内部子网的分隔设备在路由器在安全体系结构中的作用需要特别重视2024/8/16总结网络隔离的主要方法网络隔离的基本内容网络隔离的基本概念第5章网络隔离技术路由器与安全体系结构2024/8/16资源隔离技术什么是资源隔离？资源隔离是将不同的资源划归为同一个安全区域。什么是安全区域（SecureZone）？安全区域是属于同一个物理或者逻辑组织的一组资源集合划分安全区域的目的是：更好的规划和设计安全策略什么是资源？物理设备：网络设备、主机设备、电子设备。。。。应用和程序：Web服务器，Mail服务器，。。。数据：文档，数据库。。。。2024/8/16资源隔离技术（续）为什么需要进行资源隔离？资源隔离的主要目的是将入侵行为带来的影响控制在特定的区域资源隔离有助于更好的实施安全策略资源隔离有助于实施管理2024/8/16资源隔离的内容资源隔离的内容子网隔离主机隔离服务隔离用户隔离数据隔离广义的资源隔离包括网络隔离2024/8/16资源隔离的内容（续）子网隔离安全性要求不同的部门属于不同子网不同的业务部门属于不同子网物理距离大的部门属于不同的子网财务部市场部财务部市场部信息部生产部信息部生产部财务部市场部财务部市场部2024/8/16资源隔离的内容（续）主机隔离DBMailMailDB2024/8/16资源隔离的内容（续）服务隔离Mail&DBMailDB2024/8/16资源隔离的内容（续）用户隔离管理员&其他用户管理员其他用户2024/8/16资源隔离的内容（续）数据隔离DB&DOCDBDOC2024/8/16资源隔离的主要依据资源敏感度不同敏感度的资源属于不同的安全区域资源受到损害的可能性易受损害的资源和不易受损害的资源属于不同的安全区域易管理性资源分隔应该有利于管理设计者自己的分类标准根据安全策略进行资源分隔2024/8/16资源隔离的基本方法同一子网内的资源隔离不同子网的资源隔离2024/8/16资源隔离的基本方法（续）同一子网内的资源隔离如果不同的服务确实需要运行在同一主机之上，可以采用以下方法：不同服务用不同的用户身份进行管理使用特定的工具进行安全区域的划分：如目录分隔，磁盘分区分隔等使用专用服务器来提供安全区域不同服务尽可能运行在不同的服务器上2024/8/16资源隔离的基本方法（续）不同子网的资源隔离广播子网与其他子网隔离2024/8/16资源隔离的基本方法（续）不同子网的资源隔离公共子网和内部子网隔离内部服务器外部服务器工作站内部服务器外部服务器工作站2024/8/16实现资源隔离的技术路由器防火墙交换机VLAN2024/8/16实现资源隔离的技术（续）路由器Internet2024/8/16实现资源分隔的技术（续）防火墙Internet2024/8/16实现资源分隔的技术（续）防火墙Internet2024/8/16实现资源分隔的技术（续）VLANVLAN是实现资源隔离的有效方法VLAN1VLAN3VLAN22024/8/16实现资源分隔的技术（续）VLAN的原理AppTCP,UDPIPDLPhysicalAppTCP,UDPIPDLPhysical传统的交换机：两层交换VLAN中的交换机：三层交换2024/8/16实现资源分隔的技术（续）VLAN的原理AppTCP,UDPIPDLPhysicalVLAN中的交换机：三层交换路由ACL。。。2024/8/16资源隔离实例分析邮件服务器分隔Internet内部邮件服务中心服务器公共邮件中继服务器2024/8/16资源隔离实例分析DNS服务器分隔Internet内部DNS服务器公共DNS服务器2024/8/16资源隔离实例分析（续）无线接入分隔Internet内部服务器区公共服务器区边界防火墙内部防火墙2024/8/16总结广义的资源隔离包括网络隔离资源隔离可以在一定程度上降低安全风险，从而优化安全体系结构资源隔离的内容包括：子网隔离、