网络安全ch4-网络隔离技术课件.ppt

1、网络安全网络安全张磊张磊华东师范大学华东师范大学 软件学院软件学院第4章 网络隔离技术第3章 网络隔离技术网络隔离技术的目标网络隔离技术的目标l 面对新型网络攻击手段的出现和高安全度网络对安全的特殊需求，全新安全防护防范理念的网络安全技术“网络隔离技术”应运而生。l 网络隔离技术的目标是确保把有害的攻击隔离，在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网间数据的安全交换。网络隔离技术是在原有安全技术的基础上发展起来的，它弥补了原有安全技术的不足，突出了自己的优势。网络隔离概念网络隔离概念l 网络隔离，英文名为Network Isolation：两个或两个以上的计算机或网络在断开连接

2、的基础上，实现信息交换和资源共享 物理隔离协议隔离l 网络隔离的核心是物理隔离物理隔离的一个特征，就是内网与外网永不连接，内网和外网在同一时间最多只有一个同隔离设备建立非TCPIP协议的数据连接。l 协议隔离是在密码技术的支持下，采用专用安全通信协议隔离技术实现的。网络隔离技术的概念来源网络隔离技术的概念来源l网络隔离的概念源于人工烤盘Sneakernet轮渡人工烤盘人工烤盘l 人工拷盘是已知的最早的网络隔离技术。l 最早的计算机是单机的，不同的计算机还没有联网。没有联网的两个计算机之间要交换数据，最简单的办法是人工拷盘。要特别强调，在人工拷盘的任何时刻，两个计算机之间是完全断开的，没有联网的

3、。l在拷盘的时候，当计算机操作人员在一台计算机里拷盘时，与另外一台计算机是完全断开的；l当计算机操作人员把磁盘拿出的时候，与两台计算机都是完全断开的；l当计算机操作人员把文件数据复制到目的计算机时，与原来的计算机是完全断开的。l在任何时候，两台交换文件数据的计算机，总是断开的。Sneakernet（人力网）（人力网）l 人在两台计算机或两个网络之间使用软盘、移动硬盘等可以移动的存储介质来交换文件或数据，这样两个隔离的计算机或网络与人一起便构成了一个逻辑上的虚拟网络轮渡轮渡l 网络隔离有多种方式，其中最重要的一种方式是网闸。网闸的概念主要是源于轮渡。l 对轮渡的工作机理的借鉴，大大地推动了网络隔

4、离的研究发展，直接导致网闸技术的出现。“下车改乘轮船”的现象启发人们研究协议的剥离技术，“下船改成汽车”的现象启发人们研究协议的重建技术，“轮船载人渡河”启发人们研究文件“摆渡”，最后实现了在两网断开的情况下可以进行数据交换。从两台主机在断开的情况下可以实现数据交换，到两个网络之间在断开的情况下也可以实现数据交换网络隔离技术的发展历史网络隔离技术的发展历史l隔离概念是在为了保护高安全度网络环境的情况下产生的；l隔离产品的大量出现，也是经历了五代隔离技术不断的实践和理论相结合后得来的。网络隔离技术的发展历史（续）网络隔离技术的发展历史（续）l 第一代隔离技术完全的隔离此方法使得网络处于信息孤岛状

5、态，做到了完全的物理隔离，需要至少两套网络和系统，更重要的是信息交流的不便和成本的提高，这样给维护和使用带来了极大的不便。l 第二代隔离技术硬件卡隔离在客户端增加一块硬件卡，客户端硬盘或其他存储设备首先连接到该卡，然后再转接到主板上，通过该卡能控制客户端硬盘或其他存储设备。而在选择不同的硬盘时，同时选择了该卡上不同的网络接口，连接到不同的网络。但是，这种隔离产品有的仍然需要网络布线为双网线结构，产品存在着较大的安全隐患。网络隔离技术的发展历史（续）网络隔离技术的发展历史（续）l第三代隔离技术数据转播隔离利用转播系统分时复制文件的途径来实现隔离，切换时间非常之久，甚至需要手工完成，不仅明显地减缓

6、了访问速度，更不支持常见的网络应用，失去了网络存在的意义。l第四代隔离技术空气开关隔离它是通过使用单刀双掷开关，使得内外部网络分时访问临时缓存器来完成数据交换的，但在安全和性能上存在有许多问题。网络隔离技术的发展历史（续）网络隔离技术的发展历史（续）l 第五代隔离技术安全通道隔离此技术通过专用通信硬件和专有安全协议等安全机制，来实现内外部网络的隔离和数据交换，不仅解决了以前隔离技术存在的问题，并有效地把内外部网络隔离开来，而且高效地实现了内外网数据的安全交换，透明支持多种网络应用，成为当前隔离技术的发展方向。第4章 网络隔离技术物理隔离物理隔离l 网闸网闸是使用带有多种控制功能的固态开关读写介

7、质连接两个独立主机系统的信息安全设备。l 它所连接的两个独立主机系统之间不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。l 网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，是“黑客”无法入侵、无法攻击、无法破坏、实现真正的安全。不可信外网不可信外网可信内网可信内网存储介质存储介质外网机外网机内网机内网机K1K2逻辑条件：K1=K2*K3通过两个开关的不能同时闭合来保证通过两个开关的不能同时闭合来保证OSIOSI模型物理层的断开，可模型物理层的断开，可能的三种情况是：能的三种情况

8、是：K1K1接通，接通，K2K2断开；断开；K1K1断开，断开，K2K2接通；接通；K1K1断开，断开，K2K2断开。断开。网络隔离的断开原理物理隔离协议隔离l “协议隔离”技术在内部网络与外部网络的连接端点处，配置协议隔离器来隔离内外网。l 协议隔离器使用了两台不同设备上的通用网络接口分别连接内部与外部网，而设备之间通过使用专用密码通信协议的专用接口卡进行互联。l 通常情况下，内外网之间是断开的，只有当有信息交换时，内外网才会可能通过协议隔离器连通。l 协议隔离是在密码技术的支持下，采用专用安全通信协议隔离技术实现的。在外人看来，协议隔离器能“通”能“断”，是一个不可见的黑箱。l 黑箱内部的

9、核心技术，摒弃了标准化的部件，而采用多项设计的独有技术。对那些“程序性穿透”攻击设置了一道不可迂越的障碍，使依靠攻击程序盗取内网的信息成为不可能。第4章 网络隔离技术交换机交换机l集线器？交换机（续）交换机（续）l 交换机在网络中已经成为一种非常重要的设备，在现在组建的局域网中交换机是一种最主要的网络设备。主要用于连接计算机等网络终端设备。 l 交换机通常工作在数据链路层，在网络中提供各网段间的帧交换。利用交换机，可以解决带宽缺乏引起的性能问题，提高网络的总带宽l 交换机允许连接在交换机上的设备并行通讯，设备间通讯不会再发生冲突，因此交换机打破了冲突域，交换机每个接口是一个冲突域，不会与其他接

10、口发生通讯冲突。交换机（续）交换机（续）l 交换机会在开机后构造一张MAC地址与端口对照表，通过比较数据帧中的目的地址与对照表，将数据帧转发到正确的端口。若收到的数据帧的目的地址不在对照表中，则用广播的方式转发。l 交换机可以在同一时刻建立多个并发的连接，同时转发多个帧，从而达到带宽加倍的效果。l 传统交换机连接的主机都属于同一个局域网传统交换机连接的主机都属于同一个局域网, 这些主这些主机有相同的广播域。交换机不能隔离广播，因此引入机有相同的广播域。交换机不能隔离广播，因此引入了了VLAN技术，进一步改善互联网络的性能和安全性。技术，进一步改善互联网络的性能和安全性。第4章 网络隔离技术VL

11、ANl什么是VLAN？VLAN（Virtual Local Area Network）为“虚拟局域网”， VLAN是一种将局域网（LAN）设备从逻辑上划分（注意，不是从物理上划分）成一个个网段（或者说是更小的局域网LAN），从而实现虚拟工作组（单元）的数据交换技术能够在逻辑上把一个广播域划分成多个广播域 l划分VLAN的目的：如果仅有一个广播域，有可能会影响到网络整体的传输性能 VLAN 的原理的原理AppTCP,UDPIPDLPhysicalAppTCP,UDPIPDLPhysical传统的交换机：两层交换传统的交换机：两层交换VLAN中的交换机：三层交换中的交换机：三层交换VLAN的原理（

12、续）的原理（续）AppTCP,UDPIPDLPhysicalVLAN中的交换机：三层交换中的交换机：三层交换路由路由ACL。VLAN的原理（续）的原理（续）l 每个VLAN对应一个IP网段。在二层上，VLAN之间是隔离的，这点跟二层交换机中交换引擎的功能是一模一样的。l 不同IP网段之间的访问要跨越 VLAN，要使用三层转发引擎提供的VLAN间路由功能。l 在使用二层交换机和路由器的组网中，每个需要与其他IP网段通信的IP网段都需要使用一个路由器接口作为网关。而第三层转发引擎就相当于传统组网中的路由器，当需要与其他VLAN通信时也要在三层交换引擎上分配一个路由接口，用来做VLAN的网关。 l

13、三层交换机上的这个路由接口是在三层转发引擎和二层转发引擎上的，是通过配置转发芯片来实现的，与路由器的接口不同，它是不可见的。 VLAN 在交换机上的实现方法在交换机上的实现方法l基于端口划分l基于MAC地址划分l基于网络层划分l根据IP组划分l其他VLAN1VLAN3VLAN2基于端口划分的基于端口划分的VLANl适合于任何大小的网络 交换机内部建立了端口号与交换机内部建立了端口号与VLAN tag的映射关系的映射关系主机主机A主机主机D主机主机C主机主机B端口所属VLANPort 1VLAN 5Port 2VLAN 10Port 7VLAN 5Port 10VLAN 10VLAN表表基于端口

14、划分的基于端口划分的VLAN（续）（续）l优点定义成员时非常简单,只要将所有的端口都指定一下即可l缺点若某个用户离开了原来的端口,到了一个新的交换机的某个端口,需重新定义基于基于MAC地址划分地址划分VLANl适用于小型局域网 MAC AMAC DMAC CMAC BM AC 地址所属VLANM AC AVLAN 5M AC BVLAN 10M AC CVLAN 5M AC DVLAN 10交换机系统建立了主机交换机系统建立了主机MAC地址与地址与VLAN tag的映射关系的映射关系主机主机A主机主机D主机主机C主机主机BVLAN表表基于基于MAC地址划分地址划分VLAN （续）（续）l优点用

15、户物理位置移动时, VLAN不需重新配置基于基于MAC地址划分地址划分VLAN （续）（续）l缺点初始化时, 所有用户都需进行配置因每个端口可能存在很多VLAN组成员, 交换机执行效率降低, 无法限制广播包若网卡更换需重新配置VLAN基于网络层划分基于网络层划分VLANlVLAN按网络层协议来划分，可分为IP、IPX、DECnet、AppleTalk等VLAN网络。l适用于需要同时运行多协议的网络 基于网络层划分基于网络层划分VLAN （续）（续）l优点用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，并且可以减少网络通信量，可使广播域跨越多个VLAN交换

16、机。l缺点效率低下, 需检查每个数据包的网络层地址根据根据IP组播划分组播划分VLAN lIP 组播实际上也是一种VLAN的定义，即认为一个IP组播组就是一个VLANl适合于不在同一地理范围的局域网用户组成一个VLAN 根据根据IP组播划分组播划分VLAN（续）（续）l优点：更大的灵活性，而且也很容易通过路由器进行扩展。l缺点：不适合局域网，主要是效率不高。 按策略划分按策略划分VLAN l基于策略的VLAN能实现多种分配，包括端口、MAC地址、IP地址、网络层协议等l适用于需求比较复杂的环境 按策略划分按策略划分VLAN（续）（续）l优点：网络管理人员可根据自己的管理模式和需求来决定选择哪种

17、类型的VLAN 。 缺点：建设初期步骤繁复。按用户定义、非用户授权划分按用户定义、非用户授权划分VLANl是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN。 l适用于安全性较高的环境第4章 网络隔离技术路由器的基本概念路由器的基本概念l路由器路由器Internet路由器的基本概念（续）路由器的基本概念（续）l路由器（路由器（Router）是用于连接两个或者多个网）是用于连接两个或者多个网络的网络互连设备络的网络互连设备l路由器工作在路由器工作在TCP

18、/IP协议栈中的协议栈中的IP层层Network 1Network 1路由器的工作原理（续）路由器的工作原理（续）l路由器的路由功能路由器的路由功能202.115.22202.115.24202.115.23IP 地址？地址？路由器的工作原理（续）路由器的工作原理（续）l寻径的依据是经过每个路由器中的路由表。l路由表指明了从源站点到目的站点的一条路径。l路由协议是生成路由表的方法，分为静态路由协议和动态路由协议。路由器的工作原理（续）路由器的工作原理（续）l静态路由协议：手工为每台路由器编写一张固定不变的静态路由表；l动态路由协议：为每台路由器配置一个动态路由寻径协议，让该路由协议自动形成和刷

19、新路由表。动态路由协议有：RIP、RIP、IGRP 、EIGRP、OSPF、ISIS、BGP、EGP等。路由器作用路由器作用路由器作用（续）路由器作用（续）l 隔绝“广播风暴”路由器连接两个子网，形成两个逻辑网段。可以杜绝“广播风暴”，防止多个网络受某个网络的影响太大。路由器作用（续）路由器作用（续）l 提供“防火墙”技术增强安全性TCP/IPXNSSPX/IPXTCP/IP具有防火墙特性的路由器成本防火墙+路由器具有防火墙特性的路由器功能防火墙+路由器具有防火墙特性的路由器可扩展性防火墙+路由器路由器与安全体系结构路由器与安全体系结构l路由器作为安全体系结构的边界控制组建路由器作为安全体系结

20、构的边界控制组建l两种部署方案：两种部署方案：路由器作为整个安全体系的一部分路由器作为整个安全体系的一部分路由器作为唯一的边界安全设备路由器作为唯一的边界安全设备其他安其他安全设备全设备路由器作为安全体系的一部分路由器作为安全体系的一部分路由器是唯一的边界安全设备路由器是唯一的边界安全设备路由器与安全体系结构（续）路由器与安全体系结构（续）l路由器作为安全体系结构的一部分路由器作为安全体系结构的一部分路由器执行最基本的操作：路由器执行最基本的操作：l报文转发报文转发l包过滤包过滤 入口过滤入口过滤 出口过滤出口过滤l基于网络的应用程序识别（基于网络的应用程序识别（Network-Based A

21、pplication Recognition: NBAR):对流媒体信息进行标记处理；更深对流媒体信息进行标记处理；更深层次的概念涉及层次的概念涉及“服务质量服务质量”（QoS）路由器与安全体系结构（续）路由器与安全体系结构（续）l路由器作为唯一的边界安全设备路由器作为唯一的边界安全设备 需要解决几个关键问题：需要解决几个关键问题：路由器的位置路由器的位置l根据应用需求不同，路由器的位置也不尽相同根据应用需求不同，路由器的位置也不尽相同功能选择功能选择l如何合理的选择路由器功能如何合理的选择路由器功能路由器与安全体系结构（续）路由器与安全体系结构（续）l路由器的位置路由器的位置路由器作为外部网

22、络和内部网络路由器作为外部网络和内部网络的分隔设备的分隔设备内部网络外部网络路由器是作为内部子网的路由器是作为内部子网的分隔设备分隔设备内部网络1内部网络1内部网络1结论l路由器既是网络连接设备，也可作为网络安全路由器既是网络连接设备，也可作为网络安全设备设备l路由器可以作为整个安全体系的一部分，也可路由器可以作为整个安全体系的一部分，也可作为唯一的边界安全设备作为唯一的边界安全设备l路由器可以放置在内网和外网的中间，也可作路由器可以放置在内网和外网的中间，也可作为内部子网的分隔设备为内部子网的分隔设备l在路由器在安全体系结构中的作用需要特别重在路由器在安全体系结构中的作用需要特别重视视第4章

23、 网络隔离技术防火墙防火墙Internet防火墙拦截画面防火墙拦截画面防火墙的定义防火墙的定义概念：防火墙被设计用来防止火从大厦的一部分传播到另一部分I T 领域使用的防火墙概念两个安全域之间通信流的唯一通道安全域1Host A Host B 安全域2Host C Host D UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监

24、视、记录）进出网络的访问行为。I T 领域使用的防火墙概念（续）领域使用的防火墙概念（续）l 防火墙（FireWall）是一种隔离控制技术，在某个机构的网络和不安全的网络（如Internet）之间设置屏障，阻止对信息资源的非法访问，也可以使用防火墙阻止重要信息从企业的网络上被非法输出。l FireWall一般安装在路由器上以保护一个子网，也可以安装在一台主机上，保护这台主机不受侵犯。 防火墙的发展历程将过滤功能从路由器中独立出来，针对用户需求，提供模块化的软件包用户可根据需要构造防火墙安全性提高了，价格降低了利用路由器本身对分组的解析,进行分组过滤过滤判断依据：地址、端口号防火墙与路由器合为一

25、体，只有过滤功能适用于对安全性要求不高的网络环境是批量上市的专用防火墙产品包括分组过滤或者借用路由器的分组过滤功能装有专用的代理系统，监控所有协议的数据和指令保护用户编程空间和用户可配置内核参数的设置安全性和速度大为提高。防火墙厂商具有操作系统的源代码，并可实现安全内核在功能上包括了分组过滤、应用网关、电路级网关增加了许多附加功能：加密、鉴别、审计、NAT转换透明性好，易于使用基于通用操作系统的防火墙防火墙工具套基于安全操作系统的防火墙状态状态检测检测表表 提高了效率提高了效率 防止假冒防止假冒IP攻击攻击Host C Host D No访问控访问控制规则制规则表表Yes数据包状态检测Vlan

26、2财务部财务部Vlan3技术部技术部Vlan4培训中心培训中心internetVlan网关“防火墙在VLAN网络”应用internet财务部财务部工程部工程部销售部销售部行政部行政部“内网安全分段”的应用内部工作子网与外网的访问控制进 行 访问 规 则检查发 起 访 问请求合法请求则允许对外访问将访问记录写进日志文件合法请求则允许对外访问发起访问请求WWW Mail DNS管理子网一般子网内部WWW重点子网DMZ区域与外网的访问控制进 行 访问 规 则检查发 起 访 问请求合法请求则允许对外访问将访问记录写进日志文件禁止对外发起连结请求发起访问请求WWW Mail DNS管理子网一般子网内部W

27、WW重点子网内部子网与DMZ区的访问控制进 行 访问 规 则检查发 起 访 问请求合法请求则允许对外访问将访问记录写进日志文件禁 止 对 工作 子 网 发起 连 结 请求发 起 访 问请求WWW Mail DNS管理子网一般子网内部WWW重点子网拨号用户对内部网的访问控制拨号服务器Cisco 2620移动用户PSTNModemModem进行一次性口令认证认证通过后允许访问 内网将访问记录写进日志文件管理子网一般子网内部WWW重点子网下属机构对总部的访问控制下属机构对总部的访问控制管理子网一般子网内部WWW重点子网WWW Mail DNSFW+VPNFW+VPN进行规则检查将访问记录写进日志文件作业作业1l同一部门的用户分散在不同楼层，需要将不同楼层的A、C和B、D设置为同一个VLAN作业作业2l论述交换机、VLAN、路由器、防火墙这4种隔离技术的优缺点及关系。问题问题?