1、2023-1-17电子科技大学电子科技大学 计算机科学与工程学院计算机科学与工程学院 计算系统与网络安全计算系统与网络安全Computer System and Network SecurityComputer System and Network Security2023-1-17第第5 5章章 网络隔离技术网络隔离技术2023-1-17第第5 5章章 网络隔离技术网络隔离技术2023-1-17目标目标l掌握路由器的工作原理掌握路由器的工作原理l掌握路由器在信息安全体系结构中的作用掌握路由器在信息安全体系结构中的作用l了解路由器与防火墙的协同工作方法了解路由器与防火墙的协同工作方法2023-
2、1-17TCP/IP基础基础lTCP/IP协议栈协议栈2023-1-17TCP/IP基础(续)基础(续)l协议数据的封装协议数据的封装2023-1-17路由器的基本概念路由器的基本概念l路由器(路由器(Router)是用于连接两个或者多个网络)是用于连接两个或者多个网络的网络互连设备的网络互连设备l路由器工作在路由器工作在TCP/IP协议栈中的协议栈中的IP层层Network 1Network 22023-1-17路由器的工作原理(续)路由器的工作原理(续)l路由器的协议层次路由器的协议层次应用层应用层传输层传输层网络层网络层数据链路层数据链路层物理层物理层应用层应用层传输层传输层网络层网络层
3、数据链路层数据链路层物理层物理层网络层网络层数据链路层数据链路层物理层物理层2023-1-17路由器的工作原理(续)路由器的工作原理(续)l路由器的路由功能路由器的路由功能202.115.22202.115.24202.115.23IP 地址?地址?2023-1-17路由器与安全体系结构路由器与安全体系结构l路由器作为安全体系结构的边界控制组建路由器作为安全体系结构的边界控制组建l两种部署方案:两种部署方案:l路由器作为整个安全体系的一部分路由器作为整个安全体系的一部分l路由器作为唯一的边界安全设备路由器作为唯一的边界安全设备其他安其他安全设备全设备路由器作为安全体系的一部分路由器作为安全体系
4、的一部分路由器是唯一的边界安全设备路由器是唯一的边界安全设备2023-1-17路由器与安全体系结构(续)路由器与安全体系结构(续)l路由器作为安全体系结构的一部分路由器作为安全体系结构的一部分l路由器执行最基本的操作:路由器执行最基本的操作:l报文转发报文转发l包过滤包过滤入口过滤入口过滤出口过滤出口过滤l基于网络的应用程序识别(基于网络的应用程序识别(Network-Based Application Recognition:NBAR):对流媒体信息进行标记处理;更深对流媒体信息进行标记处理;更深层次的概念涉及层次的概念涉及“服务质量服务质量”(QoS)2023-1-17路由器与安全体系结构
5、(续)路由器与安全体系结构(续)l路由器作为唯一的边界安全设备路由器作为唯一的边界安全设备 需要解决几个关键问题:需要解决几个关键问题:l路由器的位置路由器的位置l根据应用需求不同,路由器的位置也不尽相同根据应用需求不同,路由器的位置也不尽相同l功能选择功能选择l如何合理的选择路由器功能如何合理的选择路由器功能2023-1-17路由器与安全体系结构(续)路由器与安全体系结构(续)l路由器的位置路由器的位置路由器作为外部网络和内部网络路由器作为外部网络和内部网络的分隔设备的分隔设备内部网络内部网络外部网络外部网络路由器是作为内部子网的路由器是作为内部子网的分隔设备分隔设备内部网络内部网络内部网络
6、内部网络内部网络内部网络2023-1-17路由器与安全体系结构(续)路由器与安全体系结构(续)l如何合理的选择路由器功能?如何合理的选择路由器功能?l网络地址转换网络地址转换l包过滤包过滤l状态包过滤状态包过滤l访问控制访问控制2023-1-17路由器的加固路由器的加固l路由器加固指提高路由器自身的安全性路由器加固指提高路由器自身的安全性l加固方法有:加固方法有:l加固操作系统加固操作系统l锁住管理点:锁住管理点:lTelnet:远程登录:远程登录lSSH:安全脚本:安全脚本lTFTP/FTP:文件传输:文件传输lSNMP:简单网络管理:简单网络管理l认证和口令认证和口令l禁止服务器(如禁止服
7、务器(如Bootp,HTTP等)等)2023-1-17路由器的加固(续)路由器的加固(续)l禁止不必要的服务:如禁止不必要的服务:如NTP,finger等等l阻断因特网控制消息协议(阻断因特网控制消息协议(ICMP)l禁止源路由禁止源路由l路由器日志查看路由器日志查看2023-1-17结论结论l路由器既是网络连接设备,也可作为网络安全设路由器既是网络连接设备,也可作为网络安全设备备l路由器可以作为整个安全体系的一部分,也可作路由器可以作为整个安全体系的一部分,也可作为唯一的边界安全设备为唯一的边界安全设备l路由器可以放置在内网和外网的中间,也可作为路由器可以放置在内网和外网的中间,也可作为内部
8、子网的分隔设备内部子网的分隔设备l在路由器在安全体系结构中的作用需要特别重视在路由器在安全体系结构中的作用需要特别重视2023-1-17第第5 5章章 网络隔离技术网络隔离技术2023-1-17资源隔离技术资源隔离技术l什么是资源隔离?什么是资源隔离?l资源隔离是将不同的资源划归为同一个安全区域。资源隔离是将不同的资源划归为同一个安全区域。l什么是安全区域(什么是安全区域(Secure Zone)?)?l安全区域是属于同一个物理或者逻辑组织的一组资源集合安全区域是属于同一个物理或者逻辑组织的一组资源集合l划分安全区域的目的是:划分安全区域的目的是:l更好的规划和设计安全策略更好的规划和设计安全
9、策略l什么是资源?什么是资源?l物理设备:网络设备、主机设备、电子设备。物理设备:网络设备、主机设备、电子设备。l应用和程序:应用和程序:Web服务器,服务器,Mail服务器,。服务器,。l数据:文档,数据库。数据:文档,数据库。2023-1-17资源隔离技术(续)资源隔离技术(续)l为什么需要进行资源隔离?为什么需要进行资源隔离?l资源隔离的主要目的是将入侵行为带来的影响控制在特资源隔离的主要目的是将入侵行为带来的影响控制在特定的区域定的区域l资源隔离有助于更好的实施安全策略资源隔离有助于更好的实施安全策略l资源隔离有助于实施管理资源隔离有助于实施管理2023-1-17资源隔离的内容资源隔离
10、的内容l资源隔离的内容资源隔离的内容l子网隔离子网隔离l主机隔离主机隔离l服务隔离服务隔离l用户隔离用户隔离l数据隔离数据隔离l广义的资源隔离包括网络隔离广义的资源隔离包括网络隔离2023-1-17资源隔离的内容(续)资源隔离的内容(续)l子网隔离子网隔离l安全性要求不同的部门属于不同子网安全性要求不同的部门属于不同子网l不同的业务部门属于不同子网不同的业务部门属于不同子网l物理距离大的部门属于不同的子网物理距离大的部门属于不同的子网财务部财务部市场部市场部财务部财务部市场部市场部信息部信息部生产部生产部信息部信息部生产部生产部财务部财务部市场部市场部财务部财务部市场部市场部2023-1-17
11、资源隔离的内容(续)资源隔离的内容(续)l主机隔离主机隔离DBMailMailDB2023-1-17资源隔离的内容(续)资源隔离的内容(续)l服务隔离服务隔离Mail&DBMailDB2023-1-17资源隔离的内容(续)资源隔离的内容(续)l用户隔离用户隔离管理员管理员&其他用户其他用户管理员管理员其他用户其他用户2023-1-17资源隔离的内容(续)资源隔离的内容(续)l数据隔离数据隔离DB&DOCDBDOC2023-1-17资源隔离的主要依据资源隔离的主要依据l资源敏感度资源敏感度l不同敏感度的资源属于不同的安全区域不同敏感度的资源属于不同的安全区域l资源受到损害的可能性资源受到损害的可
12、能性l易受损害的资源和不易受损害的资源属于不同的安全区易受损害的资源和不易受损害的资源属于不同的安全区域域l易管理性易管理性l资源分隔应该有利于管理资源分隔应该有利于管理l设计者自己的分类标准设计者自己的分类标准l根据安全策略进行资源分隔根据安全策略进行资源分隔2023-1-17资源隔离的基本方法资源隔离的基本方法l同一子网内的资源隔离同一子网内的资源隔离l不同子网的资源隔离不同子网的资源隔离2023-1-17资源隔离的基本方法(续)资源隔离的基本方法(续)l同一子网内的资源隔离同一子网内的资源隔离l如果不同的服务确实需要运行在同一主机之上,可以采如果不同的服务确实需要运行在同一主机之上,可以
13、采用以下方法:用以下方法:l不同服务用不同的用户身份进行管理不同服务用不同的用户身份进行管理l使用特定的工具进行安全区域的划分:如目录分隔,磁盘使用特定的工具进行安全区域的划分:如目录分隔,磁盘分区分隔等分区分隔等l使用专用服务器来提供安全区域使用专用服务器来提供安全区域l不同服务尽可能运行在不同的服务器上不同服务尽可能运行在不同的服务器上2023-1-17资源隔离的基本方法(续)资源隔离的基本方法(续)l不同子网的资源隔离不同子网的资源隔离l广播子网与其他子网隔离广播子网与其他子网隔离2023-1-17资源隔离的基本方法(续)资源隔离的基本方法(续)l不同子网的资源隔离不同子网的资源隔离l公
14、共子网和内部子网隔离公共子网和内部子网隔离内部服务器内部服务器外部服务器外部服务器工作站工作站内部服务器内部服务器外部服务器外部服务器工作站工作站2023-1-17实现资源隔离的技术实现资源隔离的技术l路由器路由器l防火墙防火墙l交换机交换机lVLAN2023-1-17实现资源隔离的技术(续)实现资源隔离的技术(续)l路由器路由器Internet2023-1-17实现资源分隔的技术(续)实现资源分隔的技术(续)l防火墙防火墙Internet2023-1-17实现资源分隔的技术(续)实现资源分隔的技术(续)l防火墙防火墙Internet2023-1-17实现资源分隔的技术(续)实现资源分隔的技术
15、(续)lVLANlVLAN是实现资源隔是实现资源隔 离的有效方法离的有效方法VLAN1VLAN3VLAN22023-1-17实现资源分隔的技术(续)实现资源分隔的技术(续)lVLAN的原理的原理AppTCP,UDPIPDLPhysicalAppTCP,UDPIPDLPhysical传统的交换机:两层交换传统的交换机:两层交换VLAN中的交换机:三层交换中的交换机:三层交换2023-1-17实现资源分隔的技术(续)实现资源分隔的技术(续)lVLAN的原理的原理AppTCP,UDPIPDLPhysicalVLAN中的交换机:三层交换中的交换机:三层交换路由路由ACL。2023-1-17资源隔离实例
16、分析资源隔离实例分析l邮件服务器分隔邮件服务器分隔Internet内部邮件服务中心服务器内部邮件服务中心服务器公共邮件中继服务器公共邮件中继服务器2023-1-17资源隔离实例分析资源隔离实例分析lDNS服务器分隔服务器分隔Internet内部内部DNS服务器服务器公共公共DNS服务器服务器2023-1-17资源隔离实例分析(续)资源隔离实例分析(续)l无线接入分隔无线接入分隔Internet内部服务器区内部服务器区公共服务器区公共服务器区边界防火墙边界防火墙内部防火墙内部防火墙2023-1-17总结总结l广义的资源隔离包括网络隔离广义的资源隔离包括网络隔离l资源隔离可以在一定程度上降低安全风险,从而资源隔离可以在一定程度上降低安全风险,从而优化安全体系结构优化安全体系结构l资源隔离的内容包括:子网隔离、主机隔离、服资源隔离的内容包括:子网隔离、主机隔离、服务隔离、用户隔离、数据隔离务隔离、用户隔离、数据隔离l资源隔离的技术包括:路由器、防火墙,交换机资源隔离的技术包括:路由器、防火墙,交换机和和VLAN2023-1-17参考书参考书lStephen Northcutt,深入剖析网络边界安全,机械深入剖析网络边界安全,机械工业出版社,工业出版社,2003lCisco路由器管理与配置手册,参见路由器管理与配置手册,参见FTP网站网站2023-1-17Any Question?Q&A
