1、第5章1 网络隔离技术基础目标掌握路由器的工作原理掌握路由器的工作原理掌握路由器在信息安全体系结构中的作用掌握路由器在信息安全体系结构中的作用了解路由器与防火墙的协同工作方法了解路由器与防火墙的协同工作方法TCP/IP基础TCP/IP协议栈协议栈TCP/IP基础(续)协议数据的封装协议数据的封装路由器的基本概念路由器(路由器(Router)是用于连接两个或者多)是用于连接两个或者多个网络的网络互连设备个网络的网络互连设备路由器工作在路由器工作在TCP/IP协议栈中的协议栈中的IP层层Network 1Network 1路由器的工作原理(续)路由器的协议层次路由器的协议层次应用层应用层传输层传输
2、层网络层网络层数据链路层数据链路层物理层物理层应用层应用层传输层传输层网络层网络层数据链路层数据链路层物理层物理层网络层网络层数据链路层数据链路层物理层物理层路由器的工作原理(续)路由器的路由功能路由器的路由功能202.114.22202.114.24202.114.23IP 地址?地址?路由器与安全体系结构路由器作为安全体系结构的边界控制组建路由器作为安全体系结构的边界控制组建两种部署方案:两种部署方案:n路由器作为整个安全体系的一部分路由器作为整个安全体系的一部分n路由器作为唯一的边界安全设备路由器作为唯一的边界安全设备其他安其他安全设备全设备路由器作为安全体系的一部分路由器作为安全体系的
3、一部分路由器是唯一的边界安全设备路由器是唯一的边界安全设备路由器与安全体系结构(续)路由器作为安全体系结构的一部分路由器作为安全体系结构的一部分n路由器执行最基本的操作:路由器执行最基本的操作:w报文转发报文转发w包过滤包过滤n入口过滤入口过滤n出口过滤出口过滤w基于网络的应用程序识别(基于网络的应用程序识别(Network-Based Application Recognition:NBAR):对流媒体信息进对流媒体信息进行标记处理;更深层次的概念涉及行标记处理;更深层次的概念涉及“服务质量服务质量”(QoS)路由器与安全体系结构(续)路由器作为唯一的边界安全设备路由器作为唯一的边界安全设备
4、 需要解决几个关键问题:需要解决几个关键问题:n路由器的位置路由器的位置w根据应用需求不同,路由器的位置也不尽相同根据应用需求不同,路由器的位置也不尽相同n功能选择功能选择w如何合理的选择路由器功能如何合理的选择路由器功能路由器与安全体系结构(续)路由器的位置路由器的位置路由器作为外部网络和内部网络路由器作为外部网络和内部网络的分隔设备的分隔设备内部网络外部网络路由器是作为内部子网的路由器是作为内部子网的分隔设备分隔设备内部网络1内部网络1内部网络1路由器与安全体系结构(续)如何合理的选择路由器功能?如何合理的选择路由器功能?n网络地址转换网络地址转换n包过滤包过滤n状态包过滤状态包过滤n访问
5、控制访问控制路由器的加固路由器加固指提高路由器自身的安全性路由器加固指提高路由器自身的安全性加固方法有:加固方法有:n加固操作系统加固操作系统n锁住管理点:锁住管理点:wTelnet:远程登录:远程登录wSSH:安全脚本:安全脚本wTFTP/FTP:文件传输:文件传输wSNMP:简单网络管理:简单网络管理w认证和口令认证和口令w禁止服务器(如禁止服务器(如Bootp,HTTP等)等)路由器的加固(续)n禁止不必要的服务:如禁止不必要的服务:如NTP,finger等等n阻断因特网控制消息协议(阻断因特网控制消息协议(ICMP)n禁止源路由禁止源路由n路由器日志查看路由器日志查看结论路由器既是网络
6、连接设备,也可作为网络路由器既是网络连接设备,也可作为网络安全设备安全设备路由器可以作为整个安全体系的一部分,路由器可以作为整个安全体系的一部分,也可作为唯一的边界安全设备也可作为唯一的边界安全设备路由器可以放置在内网和外网的中间,也路由器可以放置在内网和外网的中间,也可作为内部子网的分隔设备可作为内部子网的分隔设备在路由器在安全体系结构中的作用需要特在路由器在安全体系结构中的作用需要特别重视别重视资源隔离技术什么是资源隔离?什么是资源隔离?n资源隔离是将不同的资源划归为同一个安全区域。资源隔离是将不同的资源划归为同一个安全区域。什么是安全区域(什么是安全区域(Secure Zone)?)?n
7、安全区域是属于同一个物理或者逻辑组织的一组资源集合安全区域是属于同一个物理或者逻辑组织的一组资源集合n划分安全区域的目的是:划分安全区域的目的是:w更好的规划和设计安全策略更好的规划和设计安全策略什么是资源?什么是资源?n物理设备:网络设备、主机设备、电子设备。物理设备:网络设备、主机设备、电子设备。n应用和程序:应用和程序:Web服务器,服务器,Mail服务器,。服务器,。n数据:文档,数据库。数据:文档,数据库。资源隔离技术(续)为什么需要进行资源隔离?为什么需要进行资源隔离?n资源隔离的主要目的是将入侵行为带来的影响资源隔离的主要目的是将入侵行为带来的影响控制在特定的区域控制在特定的区域
8、n资源隔离有助于更好的实施安全策略资源隔离有助于更好的实施安全策略n资源隔离有助于实施管理资源隔离有助于实施管理资源隔离的内容资源隔离的内容资源隔离的内容n子网隔离子网隔离n主机隔离主机隔离n服务隔离服务隔离n用户隔离用户隔离n数据隔离数据隔离广义的资源隔离包括网络隔离广义的资源隔离包括网络隔离资源隔离的内容(续)子网隔离子网隔离n安全性要求不同的部门属于不同子网安全性要求不同的部门属于不同子网n不同的业务部门属于不同子网不同的业务部门属于不同子网n物理距离大的部门属于不同的子网物理距离大的部门属于不同的子网财务部财务部市场部市场部财务部财务部市场部市场部信息部信息部生产部生产部信息部信息部生
9、产部生产部财务部财务部市场部市场部财务部财务部市场部市场部资源隔离的内容(续)主机隔离主机隔离DBMailMailDB资源隔离的内容(续)服务隔离服务隔离Mail&DBMailDB资源隔离的内容(续)用户隔离用户隔离管理员管理员&其他用户其他用户管理员管理员其他用户其他用户资源隔离的内容(续)数据隔离数据隔离DB&DOCDBDOC资源隔离的主要依据资源敏感度资源敏感度n不同敏感度的资源属于不同的安全区域不同敏感度的资源属于不同的安全区域资源受到损害的可能性资源受到损害的可能性n易受损害的资源和不易受损害的资源属于不同易受损害的资源和不易受损害的资源属于不同的安全区域的安全区域易管理性易管理性n
10、资源分隔应该有利于管理资源分隔应该有利于管理设计者自己的分类标准设计者自己的分类标准n根据安全策略进行资源分隔根据安全策略进行资源分隔资源隔离的基本方法同一子网内的资源隔离同一子网内的资源隔离不同子网的资源隔离不同子网的资源隔离资源隔离的基本方法(续)同一子网内的资源隔离同一子网内的资源隔离n如果不同的服务确实需要运行在同一主机之上,如果不同的服务确实需要运行在同一主机之上,可以采用以下方法:可以采用以下方法:w不同服务用不同的用户身份进行管理不同服务用不同的用户身份进行管理w使用特定的工具进行安全区域的划分:如目录分使用特定的工具进行安全区域的划分:如目录分隔,磁盘分区分隔等隔,磁盘分区分隔
11、等n使用专用服务器来提供安全区域使用专用服务器来提供安全区域w不同服务尽可能运行在不同的服务器上不同服务尽可能运行在不同的服务器上资源隔离的基本方法(续)不同子网的资源隔离不同子网的资源隔离n广播子网与其他子网隔离广播子网与其他子网隔离资源隔离的基本方法(续)不同子网的资源隔离不同子网的资源隔离n公共子网和内部子网隔离公共子网和内部子网隔离内部服务器内部服务器外部服务器外部服务器工作站工作站内部服务器内部服务器外部服务器外部服务器工作站工作站实现资源隔离的技术路由器路由器防火墙防火墙交换机交换机VLAN实现资源隔离的技术(续)路由器路由器Internet实现资源分隔的技术(续)防火墙防火墙In
12、ternet实现资源分隔的技术(续)交换机交换机Internet实现资源分隔的技术(续)VLANnVLAN是实现资源隔是实现资源隔 离的有效方法离的有效方法VLAN1VLAN3VLAN2实现资源分隔的技术(续)VLAN的原理的原理AppTCP,UDPIPDLPhysicalAppTCP,UDPIPDLPhysical传统的交换机:两层交换传统的交换机:两层交换VLAN中的交换机:三层交换中的交换机:三层交换实现资源分隔的技术(续)VLAN的原理的原理AppTCP,UDPIPDLPhysicalVLAN中的交换机:三层交换中的交换机:三层交换路由路由ACL。资源隔离实例分析邮件服务器分隔邮件服务
13、器分隔Internet内部邮件服务中心服务器内部邮件服务中心服务器公共邮件中继服务器公共邮件中继服务器资源隔离实例分析DNS服务器分隔服务器分隔Internet内部内部DNS服务器服务器公共公共DNS服务器服务器资源隔离实例分析(续)无线接入分隔无线接入分隔Internet内部服务器区内部服务器区公共服务器区公共服务器区边界防火墙边界防火墙内部防火墙内部防火墙总结广义的资源隔离包括网络隔离广义的资源隔离包括网络隔离资源隔离可以在一定程度上降低安全风险,资源隔离可以在一定程度上降低安全风险,从而优化安全体系结构从而优化安全体系结构资源隔离的内容包括:子网隔离、主机隔资源隔离的内容包括:子网隔离、
14、主机隔离、服务隔离、用户隔离、数据隔离离、服务隔离、用户隔离、数据隔离资源隔离的技术包括:路由器、防火墙,资源隔离的技术包括:路由器、防火墙,交换机和交换机和VLAN教材与参考书教材:教材:n李毅超李毅超 曹跃,网络与系统攻击技术曹跃,网络与系统攻击技术 电子科大出版社电子科大出版社 2007 n周世杰周世杰 陈伟陈伟 钟婷,网络与系统防御技术钟婷,网络与系统防御技术 电子科大出版社电子科大出版社 2007 参考书参考书n阙喜戎阙喜戎 等等 编著,信息安全原理及应用,清华大学出版社编著,信息安全原理及应用,清华大学出版社nChristopher M.King,Curitis E.Dalton,
15、T.Ertem Osmanoglu(常(常晓波等译)晓波等译).安全体系结构的设计、部署与操作,清华大学出版安全体系结构的设计、部署与操作,清华大学出版社,社,2003(Christopher M.King,et al,Security Architecture,design,deployment&Operations)nWilliam Stallings,密码编码学与网络安全原理与实践(第三,密码编码学与网络安全原理与实践(第三版),电子工业出版社,版),电子工业出版社,2004nStephen Northcutt,深入剖析网络边界安全,机械工业出版社,深入剖析网络边界安全,机械工业出版社,2003n冯登国,计算机通信网络安全,冯登国,计算机通信网络安全,2001n蔡皖东,网络与信息安全,西北工业大学出版社,蔡皖东,网络与信息安全,西北工业大学出版社,2004
