1、2022-10-3第5章 网络隔离技术2022-10-3第5章 网络隔离技术2022-10-3目标 掌握路由器的工作原理掌握路由器的工作原理 掌握路由器在信息安全体系结构中的作用掌握路由器在信息安全体系结构中的作用 了解路由器与防火墙的协同工作方法了解路由器与防火墙的协同工作方法2022-10-3TCP/IP基础 TCP/IP协议栈协议栈2022-10-3TCP/IP基础(续)协议数据的封装协议数据的封装2022-10-3路由器的基本概念 路由器(路由器(Router)是用于连接两个或者多个网)是用于连接两个或者多个网络的网络互连设备络的网络互连设备 路由器工作在路由器工作在TCP/IP协议栈
2、中的协议栈中的IP层层Network 1Network 22022-10-3路由器的工作原理(续)路由器的协议层次路由器的协议层次应用层应用层传输层传输层网络层网络层数据链路层数据链路层物理层物理层应用层应用层传输层传输层网络层网络层数据链路层数据链路层物理层物理层网络层网络层数据链路层数据链路层物理层物理层2022-10-3路由器的工作原理(续)路由器的路由功能路由器的路由功能202.115.22202.115.24202.115.23IP 地址?地址?2022-10-3路由器与安全体系结构 路由器作为安全体系结构的边界控制组建路由器作为安全体系结构的边界控制组建 两种部署方案:两种部署方案
3、:路由器作为整个安全体系的一部分路由器作为整个安全体系的一部分 路由器作为唯一的边界安全设备路由器作为唯一的边界安全设备其他安其他安全设备全设备路由器作为安全体系的一部分路由器作为安全体系的一部分路由器是唯一的边界安全设备路由器是唯一的边界安全设备2022-10-3路由器与安全体系结构(续)路由器作为安全体系结构的一部分路由器作为安全体系结构的一部分 路由器执行最基本的操作:路由器执行最基本的操作:报文转发报文转发 包过滤包过滤 入口过滤入口过滤 出口过滤出口过滤 基于网络的应用程序识别(基于网络的应用程序识别(Network-Based Application Recognition:NBA
4、R):对流媒体信息进行对流媒体信息进行标记处理;更深层次的概念涉及标记处理;更深层次的概念涉及“服务质量服务质量”(QoS)2022-10-3路由器与安全体系结构(续)路由器作为唯一的边界安全设备路由器作为唯一的边界安全设备 需要解决几个关键问题:需要解决几个关键问题:路由器的位置路由器的位置 根据应用需求不同,路由器的位置也不尽相同根据应用需求不同,路由器的位置也不尽相同 功能选择功能选择 如何合理的选择路由器功能如何合理的选择路由器功能2022-10-3路由器与安全体系结构(续)路由器的位置路由器的位置路由器作为外部网络和内部网络路由器作为外部网络和内部网络的分隔设备的分隔设备内部网络内部
5、网络外部网络外部网络路由器是作为内部子网的路由器是作为内部子网的分隔设备分隔设备内部网络内部网络内部网络内部网络内部网络内部网络2022-10-3路由器与安全体系结构(续)如何合理的选择路由器功能?如何合理的选择路由器功能?网络地址转换网络地址转换 包过滤包过滤 状态包过滤状态包过滤 访问控制访问控制2022-10-3路由器的加固 路由器加固指提高路由器自身的安全性路由器加固指提高路由器自身的安全性 加固方法有:加固方法有:加固操作系统加固操作系统 锁住管理点:锁住管理点:Telnet:远程登录:远程登录 SSH:安全脚本:安全脚本 TFTP/FTP:文件传输:文件传输 SNMP:简单网络管理
6、:简单网络管理 认证和口令认证和口令 禁止服务器(如禁止服务器(如Bootp,HTTP等)等)2022-10-3路由器的加固(续)禁止不必要的服务:如禁止不必要的服务:如NTP,finger等等 阻断因特网控制消息协议(阻断因特网控制消息协议(ICMP)禁止源路由禁止源路由 路由器日志查看路由器日志查看2022-10-3结论 路由器既是网络连接设备,也可作为网络安全路由器既是网络连接设备,也可作为网络安全设备设备 路由器可以作为整个安全体系的一部分,也可路由器可以作为整个安全体系的一部分,也可作为唯一的边界安全设备作为唯一的边界安全设备 路由器可以放置在内网和外网的中间,也可作路由器可以放置在
7、内网和外网的中间,也可作为内部子网的分隔设备为内部子网的分隔设备 在路由器在安全体系结构中的作用需要特别重在路由器在安全体系结构中的作用需要特别重视视2022-10-3第5章 网络隔离技术2022-10-3资源隔离技术 什么是资源隔离?什么是资源隔离?资源隔离是将不同的资源划归为同一个安全区域。资源隔离是将不同的资源划归为同一个安全区域。什么是安全区域(什么是安全区域(Secure Zone)?)?安全区域是属于同一个物理或者逻辑组织的一组资源集安全区域是属于同一个物理或者逻辑组织的一组资源集合合 划分安全区域的目的是:划分安全区域的目的是:更好的规划和设计安全策略更好的规划和设计安全策略 什
8、么是资源?什么是资源?物理设备:网络设备、主机设备、电子设备。物理设备:网络设备、主机设备、电子设备。应用和程序:应用和程序:Web服务器,服务器,Mail服务器,。服务器,。数据:文档,数据库。数据:文档,数据库。2022-10-3资源隔离技术(续)为什么需要进行资源隔离?为什么需要进行资源隔离?资源隔离的主要目的是将入侵行为带来的影响控制资源隔离的主要目的是将入侵行为带来的影响控制在特定的区域在特定的区域 资源隔离有助于更好的实施安全策略资源隔离有助于更好的实施安全策略 资源隔离有助于实施管理资源隔离有助于实施管理2022-10-3资源隔离的内容 资源隔离的内容资源隔离的内容 子网隔离子网
9、隔离 主机隔离主机隔离 服务隔离服务隔离 用户隔离用户隔离 数据隔离数据隔离 广义的资源隔离包括网络隔离广义的资源隔离包括网络隔离2022-10-3资源隔离的内容(续)子网隔离子网隔离 安全性要求不同的部门属于不同子网安全性要求不同的部门属于不同子网 不同的业务部门属于不同子网不同的业务部门属于不同子网 物理距离大的部门属于不同的子网物理距离大的部门属于不同的子网财务部财务部市场部市场部财务部财务部市场部市场部信息部信息部生产部生产部信息部信息部生产部生产部财务部财务部市场部市场部财务部财务部市场部市场部2022-10-3资源隔离的内容(续)主机隔离主机隔离DBMailMailDB2022-1
10、0-3资源隔离的内容(续)服务隔离服务隔离Mail&DBMailDB2022-10-3资源隔离的内容(续)用户隔离用户隔离管理员管理员&其他用户其他用户管理员管理员其他用户其他用户2022-10-3资源隔离的内容(续)数据隔离数据隔离DB&DOCDBDOC2022-10-3资源隔离的主要依据 资源敏感度资源敏感度 不同敏感度的资源属于不同的安全区域不同敏感度的资源属于不同的安全区域 资源受到损害的可能性资源受到损害的可能性 易受损害的资源和不易受损害的资源属于不同的安易受损害的资源和不易受损害的资源属于不同的安全区域全区域 易管理性易管理性 资源分隔应该有利于管理资源分隔应该有利于管理 设计者
11、自己的分类标准设计者自己的分类标准 根据安全策略进行资源分隔根据安全策略进行资源分隔2022-10-3资源隔离的基本方法 同一子网内的资源隔离同一子网内的资源隔离 不同子网的资源隔离不同子网的资源隔离2022-10-3资源隔离的基本方法(续)同一子网内的资源隔离同一子网内的资源隔离 如果不同的服务确实需要运行在同一主机之上,可如果不同的服务确实需要运行在同一主机之上,可以采用以下方法:以采用以下方法:不同服务用不同的用户身份进行管理不同服务用不同的用户身份进行管理 使用特定的工具进行安全区域的划分:如目录分隔使用特定的工具进行安全区域的划分:如目录分隔,磁盘分区分隔等,磁盘分区分隔等 使用专用
12、服务器来提供安全区域使用专用服务器来提供安全区域 不同服务尽可能运行在不同的服务器上不同服务尽可能运行在不同的服务器上2022-10-3资源隔离的基本方法(续)不同子网的资源隔离不同子网的资源隔离 广播子网与其他子网隔离广播子网与其他子网隔离2022-10-3资源隔离的基本方法(续)不同子网的资源隔离不同子网的资源隔离 公共子网和内部子网隔离公共子网和内部子网隔离内部服务器内部服务器外部服务器外部服务器工作站工作站内部服务器内部服务器外部服务器外部服务器工作站工作站2022-10-3实现资源隔离的技术 路由器路由器 防火墙防火墙 交换机交换机 VLAN2022-10-3实现资源隔离的技术(续)
13、路由器路由器Internet2022-10-3实现资源分隔的技术(续)防火墙防火墙Internet2022-10-3实现资源分隔的技术(续)防火墙防火墙Internet2022-10-3实现资源分隔的技术(续)VLAN VLAN是实现资源隔是实现资源隔 离的有效方法离的有效方法VLAN1VLAN3VLAN22022-10-3实现资源分隔的技术(续)VLAN的原理的原理AppTCP,UDPIPDLPhysicalAppTCP,UDPIPDLPhysical传统的交换机:两层交换传统的交换机:两层交换VLAN中的交换机:三层交换中的交换机:三层交换2022-10-3实现资源分隔的技术(续)VLAN
14、的原理的原理AppTCP,UDPIPDLPhysicalVLAN中的交换机:三层交换中的交换机:三层交换路由路由ACL。2022-10-3资源隔离实例分析 邮件服务器分隔邮件服务器分隔Internet内部邮件服务中心服务器内部邮件服务中心服务器公共邮件中继服务器公共邮件中继服务器2022-10-3资源隔离实例分析 DNS服务器分隔服务器分隔Internet内部内部DNS服务器服务器公共公共DNS服务器服务器2022-10-3资源隔离实例分析(续)无线接入分隔无线接入分隔Internet内部服务器区内部服务器区公共服务器区公共服务器区边界防火墙边界防火墙内部防火墙内部防火墙2022-10-3总结
15、 广义的资源隔离包括网络隔离广义的资源隔离包括网络隔离 资源隔离可以在一定程度上降低安全风险,从资源隔离可以在一定程度上降低安全风险,从而优化安全体系结构而优化安全体系结构 资源隔离的内容包括:子网隔离、主机隔离、资源隔离的内容包括:子网隔离、主机隔离、服务隔离、用户隔离、数据隔离服务隔离、用户隔离、数据隔离 资源隔离的技术包括:路由器、防火墙,交换资源隔离的技术包括:路由器、防火墙,交换机和机和VLAN2022-10-3参考书 Stephen Northcutt,深入剖析网络边界安全,深入剖析网络边界安全,机械工业出版社,机械工业出版社,2003 Cisco路由器管理与配置手册,参见路由器管理与配置手册,参见FTP网站网站2022-10-3Any Question?Q&A
