第5章 网络隔离技术

null计算系统与网络安全 Computer System and Network Security计算系统与网络安全 Computer System and Network Security电子科技大学 计算机科学与工程学院 第5章 网络隔离技术第5章 网络隔离技术总结网络隔离的主要 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 网络隔离的基本内容网络隔离的基本概念路由器与安全体系结构第5章 网络隔离技术第5章 网络隔离技术总结网络隔离的主要方法网络隔离的基本内容网络隔离的基本概念路由器与安全体系结构目标目标掌握路由器的工作原理 掌握路由器在信息安全体系结构中的作用 了解路由器与防火墙的协同工作方法 TCP/IP基础TCP/IP基础TCP/IP协议栈TCP/IP基础（续）TCP/IP基础（续）协议数据的封装路由器的基本概念路由器的基本概念路由器（Router）是用于连接两个或者多个网络的网络互连设备 路由器工作在TCP/IP协议栈中的IP层路由器的工作原理（续）路由器的工作原理（续）路由器的协议层次应用层 传输层 网络层 数据链路层 物理层应用层 传输层 网络层 数据链路层 物理层网络层 数据链路层 物理层路由器的工作原理（续）路由器的工作原理（续）路由器的路由功能202.115.22202.115.24202.115.23IP 地址？路由器与安全体系结构路由器与安全体系结构路由器作为安全体系结构的边界控制组建 两种部署 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 ： 路由器作为整个安全体系的一部分 路由器作为唯一的边界安全设备路由器与安全体系结构（续）路由器与安全体系结构（续）路由器作为安全体系结构的一部分 路由器执行最基本的操作： 报文转发 包过滤 入口过滤 出口过滤 基于网络的应用程序识别（Network-Based Application Recognition: NBAR):对流媒体信息进行标记处理；更深层次的概念涉及“服务质量”（QoS）路由器与安全体系结构（续）路由器与安全体系结构（续）路由器作为唯一的边界安全设备 需要解决几个关键问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 ： 路由器的位置 根据应用需求不同，路由器的位置也不尽相同 功能选择 如何合理的选择路由器功能路由器与安全体系结构（续）路由器与安全体系结构（续）路由器的位置路由器与安全体系结构（续）路由器与安全体系结构（续）如何合理的选择路由器功能？ 网络地址转换 包过滤 状态包过滤 访问控制路由器的加固路由器的加固路由器加固指提高路由器自身的安全性 加固方法有： 加固操作系统 锁住管理点： Telnet：远程登录 SSH：安全脚本 TFTP/FTP：文件传输 SNMP：简单网络管理 认证和口令 禁止服务器（如Bootp，HTTP等）路由器的加固（续）路由器的加固（续）禁止不必要的服务：如NTP，finger等 阻断因特网控制消息协议（ICMP） 禁止源路由 路由器日志查看 结论结论路由器既是网络连接设备，也可作为网络安全设备 路由器可以作为整个安全体系的一部分，也可作为唯一的边界安全设备 路由器可以放置在内网和外网的中间，也可作为内部子网的分隔设备 在路由器在安全体系结构中的作用需要特别重视第5章 网络隔离技术第5章 网络隔离技术总结网络隔离的主要方法网络隔离的基本内容网络隔离的基本概念路由器与安全体系结构资源隔离技术资源隔离技术什么是资源隔离？ 资源隔离是将不同的资源划归为同一个安全区域。 什么是安全区域（Secure Zone）？ 安全区域是属于同一个物理或者逻辑组织的一组资源集合 划分安全区域的目的是： 更好的规划和 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 安全策略 什么是资源？ 物理设备：网络设备、主机设备、电子设备。。。。 应用和程序：Web服务器，Mail服务器，。。。 数据：文档，数据库。。。。 资源隔离技术（续）资源隔离技术（续）为什么需要进行资源隔离？ 资源隔离的主要目的是将入侵行为带来的影响控制在特定的区域 资源隔离有助于更好的实施安全策略 资源隔离有助于实施管理资源隔离的内容资源隔离的内容资源隔离的内容 子网隔离 主机隔离 服务隔离 用户隔离 数据隔离 广义的资源隔离包括网络隔离 资源隔离的内容（续）资源隔离的内容（续）子网隔离 安全性要求不同的部门属于不同子网 不同的业务部门属于不同子网 物理距离大的部门属于不同的子网 资源隔离的内容（续）资源隔离的内容（续）主机隔离 DBMail资源隔离的内容（续）资源隔离的内容（续）服务隔离 Mail & DB资源隔离的内容（续）资源隔离的内容（续）用户隔离管理员 & 其他用户管理员其他用户资源隔离的内容（续）资源隔离的内容（续）数据隔离 DB & DOC资源隔离的主要依据资源隔离的主要依据资源敏感度 不同敏感度的资源属于不同的安全区域 资源受到损害的可能性 易受损害的资源和不易受损害的资源属于不同的安全区域 易管理性 资源分隔应该有利于管理 设计者自己的分类标准 根据安全策略进行资源分隔资源隔离的基本方法资源隔离的基本方法同一子网内的资源隔离 不同子网的资源隔离资源隔离的基本方法（续）资源隔离的基本方法（续）同一子网内的资源隔离 如果不同的服务确实需要运行在同一主机之上，可以采用以下方法： 不同服务用不同的用户身份进行管理 使用特定的工具进行安全区域的划分：如 目录 工贸企业有限空间作业目录特种设备作业人员作业种类与目录特种设备作业人员目录1类医疗器械目录高值医用耗材参考目录 分隔，磁盘分区分隔等 使用专用服务器来提供安全区域 不同服务尽可能运行在不同的服务器上资源隔离的基本方法（续）资源隔离的基本方法（续）不同子网的资源隔离 广播子网与其他子网隔离资源隔离的基本方法（续）资源隔离的基本方法（续）不同子网的资源隔离 公共子网和内部子网隔离内部服务器外部服务器工作站实现资源隔离的技术实现资源隔离的技术路由器 防火墙 交换机 VLAN 实现资源隔离的技术（续）实现资源隔离的技术（续）路由器 Internet实现资源分隔的技术（续）实现资源分隔的技术（续）防火墙 Internet实现资源分隔的技术（续）实现资源分隔的技术（续）防火墙 Internet实现资源分隔的技术（续）实现资源分隔的技术（续）VLAN VLAN是实现资源隔 离的有效方法 VLAN1VLAN3VLAN2实现资源分隔的技术（续）实现资源分隔的技术（续）VLAN的原理AppTCP,UDPIPDLPhysicalAppTCP,UDPIPDLPhysical传统的交换机：两层交换VLAN中的交换机：三层交换实现资源分隔的技术（续）实现资源分隔的技术（续）VLAN的原理AppTCP,UDPIPDLPhysicalVLAN中的交换机：三层交换路由 ACL 。。。资源隔离实例分析资源隔离实例分析邮件服务器分隔Internet内部邮件服务中心服务器 公共邮件中继服务器资源隔离实例分析资源隔离实例分析DNS服务器分隔Internet内部DNS服务器 公共DNS服务器资源隔离实例分析（续）资源隔离实例分析（续）无线接入分隔Internet内部服务器区 公共服务器区边界防火墙内部防火墙总结总结广义的资源隔离包括网络隔离 资源隔离可以在一定程度上降低安全风险，从而优化安全体系结构 资源隔离的内容包括：子网隔离、主机隔离、服务隔离、用户隔离、数据隔离 资源隔离的技术包括：路由器、防火墙，交换机和VLAN 参考书参考书Stephen Northcutt, 深入剖析网络边界安全，机械工业出版社，2003 Cisco路由器管理与配置手册，参见FTP网站Any Question?Any Question? Q&A