第5网络隔离技术.pptx

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2020/1/31,#,2024/11/27 周三,总结,网络隔离的主要方法,网络隔离的基本内容,网络隔离的基本概念,第,5,章 网络隔离技术,路由器与安全体系结构,2024/11/27 周三,总结,网络隔离的主要方法,网络隔离的基本内容,网络隔离的基本概念,第,5,章 网络隔离技术,路由器与安全体系结构,2024/11/27 周三,目标,掌握路由器的工作原理,掌握路由器在信息安全体系结构中的作用,了解路由器与防火墙的协同工作方法,2024/11/27 周三,TCP/IP,基础,TCP/IP,协议栈,2024/11/27 周三,TCP/IP,基础（续）,协议数据的封装,2024/11/27 周三,路由器的基本概念,路由器（,Router,）是用于连接两个或者多个网络的网络互连设备,路由器工作在,TCP/IP,协议栈中的,IP,层,Network 1,Network 2,2024/11/27 周三,路由器的工作原理（续）,路由器的协议层次,应用层,传输层,网络层,数据链路层,物理层,应用层,传输层,网络层,数据链路层,物理层,网络层,数据链路层,物理层,2024/11/27 周三,路由器的工作原理（续）,路由器的路由功能,202.115.22,202.115.24,202.115.23,IP,地址？,2024/11/27 周三,路由器与安全体系结构,路由器作为安全体系结构的边界控制组建,两种部署方案：,路由器作为整个安全体系的一部分,路由器作为唯一的边界安全设备,其他安,全设备,路由器作为安全体系的一部分,路由器是唯一的边界安全设备,2024/11/27 周三,路由器与安全体系结构（续）,路由器作为安全体系结构的一部分,路由器执行最基本的操作：,报文转发,包过滤,入口过滤,出口过滤,基于网络的应用程序识别（,Network-Based Application Recognition:NBAR):,对流媒体信息进行标记处理；更深层次的概念涉及“服务质量”（,QoS,）,2024/11/27 周三,路由器与安全体系结构（续）,路由器作为唯一的边界安全设备,需要解决几个关键问题：,路由器的位置,根据应用需求不同，路由器的位置也不尽相同,功能选择,如何合理的选择路由器功能,2024/11/27 周三,路由器与安全体系结构（续）,路由器的位置,路由器作为外部网络和内部网络的分隔设备,内部网络,外部网络,路由器是作为内部子网的分隔设备,内部网络,内部网络,内部网络,2024/11/27 周三,路由器与安全体系结构（续）,如何合理的选择路由器功能？,网络地址转换,包过滤,状态包过滤,访问控制,2024/11/27 周三,路由器的加固,路由器加固指提高路由器自身的安全性,加固方法有：,加固操作系统,锁住管理点：,Telnet,：远程登录,SSH,：安全脚本,TFTP/FTP,：文件传输,SNMP,：简单网络管理,认证和口令,禁止服务器（如,Bootp,，,HTTP,等）,2024/11/27 周三,路由器的加固（续）,禁止不必要的服务：如,NTP,，,finger,等,阻断因特网控制消息协议（,ICMP,）,禁止源路由,路由器日志查看,2024/11/27 周三,结论,路由器既是网络连接设备，也可作为网络安全设备,路由器可以作为整个安全体系的一部分，也可作为唯一的边界安全设备,路由器可以放置在内网和外网的中间，也可作为内部子网的分隔设备,在路由器在安全体系结构中的作用需要特别重视,2024/11/27 周三,总结,网络隔离的主要方法,网络隔离的基本内容,网络隔离的基本概念,第,5,章 网络隔离技术,路由器与安全体系结构,2024/11/27 周三,资源隔离技术,什么是资源隔离？,资源隔离是将不同的资源划归为同一个安全区域。,什么是安全区域（,Secure Zone,）？,安全区域是属于同一个物理或者逻辑组织的一组资源集合,划分安全区域的目的是：,更好的规划和设计安全策略,什么是资源？,物理设备：网络设备、主机设备、电子设备。,应用和程序：,Web,服务器，,Mail,服务器，。,数据：文档，数据库。,2024/11/27 周三,资源隔离技术（续）,为什么需要进行资源隔离？,资源隔离的主要目的是将入侵行为带来的影响控制在特定的区域,资源隔离有助于更好的实施安全策略,资源隔离有助于实施管理,2024/11/27 周三,资源隔离的内容,资源隔离的内容,子网隔离,主机隔离,服务隔离,用户隔离,数据隔离,广义的资源隔离包括网络隔离,2024/11/27 周三,资源隔离的内容（续）,子网隔离,安全性要求不同的部门属于不同子网,不同的业务部门属于不同子网,物理距离大的部门属于不同的子网,财务部,市场部,财务部,市场部,信息部,生产部,信息部,生产部,财务部,市场部,财务部,市场部,2024/11/27 周三,资源隔离的内容（续）,主机隔离,DB,Mail,Mail,DB,2024/11/27 周三,资源隔离的内容（续）,服务隔离,Mail&DB,Mail,DB,2024/11/27 周三,资源隔离的内容（续）,用户隔离,管理员,&,其他用户,管理员,其他用户,2024/11/27 周三,资源隔离的内容（续）,数据隔离,DB&DOC,DB,DOC,2024/11/27 周三,资源隔离的主要依据,资源敏感度,不同敏感度的资源属于不同的安全区域,资源受到损害的可能性,易受损害的资源和不易受损害的资源属于不同的安全区域,易管理性,资源分隔应该有利于管理,设计者自己的分类标准,根据安全策略进行资源分隔,2024/11/27 周三,资源隔离的基本方法,同一子网内的资源隔离,不同子网的资源隔离,2024/11/27 周三,资源隔离的基本方法（续）,同一子网内的资源隔离,如果不同的服务确实需要运行在同一主机之上，可以采用以下方法：,不同服务用不同的用户身份进行管理,使用特定的工具进行安全区域的划分：如目录分隔，磁盘分区分隔等,使用专用服务器来提供安全区域,不同服务尽可能运行在不同的服务器上,2024/11/27 周三,资源隔离的基本方法（续）,不同子网的资源隔离,广播子网与其他子网隔离,2024/11/27 周三,资源隔离的基本方法（续）,不同子网的资源隔离,公共子网和内部子网隔离,内部服务器,外部服务器,工作站,内部服务器,外部服务器,工作站,2024/11/27 周三,实现资源隔离的技术,路由器,防火墙,交换机,VLAN,2024/11/27 周三,实现资源隔离的技术（续）,路由器,Internet,2024/11/27 周三,实现资源分隔的技术（续）,防火墙,Internet,2024/11/27 周三,实现资源分隔的技术（续）,防火墙,Internet,2024/11/27 周三,实现资源分隔的技术（续）,VLAN,VLAN,是实现资源隔,离的有效方法,VLAN1,VLAN3,VLAN2,2024/11/27 周三,实现资源分隔的技术（续）,VLAN,的原理,App,TCP,UDP,IP,DL,Physical,App,TCP,UDP,IP,DL,Physical,传统的交换机：两层交换,VLAN,中的交换机：三层交换,2024/11/27 周三,实现资源分隔的技术（续）,VLAN,的原理,App,TCP,UDP,IP,DL,Physical,VLAN,中的交换机：三层交换,路由,ACL,。,2024/11/27 周三,资源隔离实例分析,邮件服务器分隔,Internet,内部邮件服务中心服务器,公共邮件中继服务器,2024/11/27 周三,资源隔离实例分析,DNS,服务器分隔,Internet,内部,DNS,服务器,公共,DNS,服务器,2024/11/27 周三,资源隔离实例分析（续）,无线接入分隔,Internet,内部服务器区,公共服务器区,边界防火墙,内部防火墙,2024/11/27 周三,总结,广义的资源隔离包括网络隔离,资源隔离可以在一定程度上降低安全风险，从而优化安全体系结构,资源隔离的内容包括：子网隔离、主机隔离、服务隔离、用户隔离、数据隔离,资源隔离的技术包括：路由器、防火墙，交换机和,VLAN,2024/11/27 周三,参考书,Stephen Northcutt,深入剖析网络边界安全，机械工业出版社，,2003,Cisco,路由器管理与配置手册，参见,FTP,网站,2024/11/27 周三,Any Question?,Q&A,