《网络安全隔离教程》由会员分享,可在线阅读,更多相关《网络安全隔离教程(48页珍藏版)》请在金锄头文库上搜索。
1、* 总结总结 网络隔离的主要方法网络隔离的主要方法 网络隔离的基本内容网络隔离的基本内容 网络隔离的基本概念网络隔离的基本概念 第3章 网络隔离技术 路由器与安全体系结构路由器与安全体系结构 * 总结总结 网络隔离的主要方法网络隔离的主要方法 网络隔离的基本内容网络隔离的基本内容 网络隔离的基本概念网络隔离的基本概念 第3章 网络隔离技术 路由器与安全体系结构路由器与安全体系结构 * 目标 l掌握路由器的工作原理 l掌握路由器在信息安全体系结构中的作用 l了解路由器与防火墙的协同工作方法 * TCP/IP基础 lTCP/IP协议栈 * TCP/IP基础(续) l协议数据的封装 * 路由器的基本
2、概念 l路由器(Router)是用于连接两个或者多个网络 的网络互连设备 l路由器工作在TCP/IP协议栈中的IP层 Network 1 Network 1 * 路由器的工作原理(续) l路由器的协议层次 应用层 传输层 网络层 数据链路层 物理层 应用层 传输层 网络层 数据链路层 物理层 网络层 数据链路层 物理层 * 路由器的工作原理(续) l路由器的路由功能 202.115.22 202.115.24 202.115.23 IP 地址? * 路由器与安全体系结构 l路由器作为安全体系结构的边界控制组建 l两种部署方案: l路由器作为整个安全体系的一部分 l路由器作为唯一的边界安全设备
3、其他安 全设备 路由器作为安全体系的一部分路由器是唯一的边界安全设备 * 路由器与安全体系结构(续) l路由器作为安全体系结构的一部分 l路由器执行最基本的操作: l报文转发 l包过滤 入口过滤 出口过滤 l基于网络的应用程序识别(Network-Based Application Recognition: NBAR):对流媒体信息进行标记处理;更深层 次的概念涉及“服务质量”(QoS) * 路由器与安全体系结构(续) l路由器作为唯一的边界安全设备 需要解决几个关键问题: l路由器的位置 l根据应用需求不同,路由器的位置也不尽相同 l功能选择 l如何合理的选择路由器功能 * 路由器与安全体系
4、结构(续) l路由器的位置 路由器作为外部网络和内部网络 的分隔设备 内部网络外部网络 路由器是作为内部子网的分 隔设备 内部网络1内部网络1 内部网络1 * 路由器与安全体系结构(续) l如何合理的选择路由器功能? l网络地址转换 l包过滤 l状态包过滤 l访问控制 * 路由器的加固 l路由器加固指提高路由器自身的安全性 l加固方法有: l加固操作系统 l锁住管理点: lTelnet:远程登录 lSSH:安全脚本 lTFTP/FTP:文件传输 lSNMP:简单网络管理 l认证和口令 l禁止服务器(如Bootp,HTTP等) * 路由器的加固(续) l禁止不必要的服务:如NTP,finger等
5、 l阻断因特网控制消息协议(ICMP) l禁止源路由 l路由器日志查看 * 结论 l路由器既是网络连接设备,也可作为网络安全设 备 l路由器可以作为整个安全体系的一部分,也可作 为唯一的边界安全设备 l路由器可以放置在内网和外网的中间,也可作为 内部子网的分隔设备 l在路由器在安全体系结构中的作用需要特别重视 l l l国家信息安全漏洞共享平台 l l当攻击者利用浏览器来访问一个无需授权认证的特定功能 页面后,如发送HTTP请求到start_art.html,攻击者就可 以引导路由器自动从攻击者控制的TFTP服务器下载一个 nart.out文件,并以root权限运行。而一旦攻击者以root 身
6、份运行成功后,便可以控制该无线路由器了。 * * 总结总结 网络隔离的主要方法网络隔离的主要方法 网络隔离的基本内容网络隔离的基本内容 网络隔离的基本概念网络隔离的基本概念 第3章 网络隔离技术 路由器与安全体系结构路由器与安全体系结构 * 资源隔离技术 l什么是资源隔离? l资源隔离是将不同的资源划归为同一个安全区域。 l什么是安全区域(Secure Zone)? l安全区域是属于同一个物理或者逻辑组织的一组资源集合 l划分安全区域的目的是: l更好的规划和设计安全策略 l什么是资源? l物理设备:网络设备、主机设备、电子设备。 l应用和程序:Web服务器,Mail服务器,。 l数据:文档,
7、数据库。 * 资源隔离技术(续) l为什么需要进行资源隔离? l资源隔离的主要目的是将入侵行为带来的影响控制在特 定的区域 l资源隔离有助于更好的实施安全策略 l资源隔离有助于实施管理 * 资源隔离的内容 l资源隔离的内容 l子网隔离 l主机隔离 l服务隔离 l用户隔离 l数据隔离 l广义的资源隔离包括网络隔离 * 资源隔离的内容(续) l子网隔离 l安全性要求不同的部门属于不同子网 l不同的业务部门属于不同子网 l物理距离大的部门属于不同的子网 财务部市场部 财务部 市场部 信息部生产部 信息部 生产部 财务部市场部 财务部 市场部 * 资源隔离的内容(续) l主机隔离 DBMail Mai
8、l DB * 资源隔离的内容(续) l服务隔离 Mail & DB Mail DB * 资源隔离的内容(续) l用户隔离 管理员 & 其他用户 管理员 其他用户 * 资源隔离的内容(续) l数据隔离 DB & DOC DB DOC * 资源隔离的主要依据 l资源敏感度 l不同敏感度的资源属于不同的安全区域 l资源受到损害的可能性 l易受损害的资源和不易受损害的资源属于不同的安全区 域 l易管理性 l资源分隔应该有利于管理 l设计者自己的分类标准 l根据安全策略进行资源分隔 * 资源隔离的基本方法 l同一子网内的资源隔离 l不同子网的资源隔离 * 资源隔离的基本方法(续) l同一子网内的资源隔离
9、 l如果不同的服务确实需要运行在同一主机之上,可以采 用以下方法: l不同服务用不同的用户身份进行管理 l使用特定的工具进行安全区域的划分:如目录分隔,磁盘 分区分隔等 l使用专用服务器来提供安全区域 l不同服务尽可能运行在不同的服务器上 * 资源隔离的基本方法(续) l不同子网的资源隔离 l广播子网与其他子网隔离 * 资源隔离的基本方法(续) l不同子网的资源隔离 l公共子网和内部子网隔离 内部服务器 外部服务器 工作站 内部服务器 外部服务器工作站 * 实现资源隔离的技术 l路由器 l防火墙 l交换机 lVLAN * 实现资源隔离的技术(续) l路由器 Internet * 实现资源分隔的
10、技术(续) l防火墙 Internet * 实现资源分隔的技术(续) l防火墙 Internet * 实现资源分隔的技术(续) lVLAN lVLAN是实现资源隔 离的有效方法 VLAN1 VLAN3 VLAN2 * 实现资源分隔的技术(续) lVLAN的原理 App TCP,UDP IP DL Physical App TCP,UDP IP DL Physical 传统的交换机:两层交换VLAN中的交换机:三层交换 * 实现资源分隔的技术(续) lVLAN的原理 App TCP,UDP IP DL Physical VLAN中的交换机:三层交换 路由 ACL 。 * 资源隔离实例分析 l邮件
11、服务器分隔 Internet 内部邮件服务中心服务器 公共邮件中继服务器 * 资源隔离实例分析 lDNS服务器分隔 Internet 内部DNS服务器 公共DNS服务器 * 资源隔离实例分析(续) l无线接入分隔 Internet 内部服务器区 公共服务器区 边界防火墙 内部防火墙 * 总结 l广义的资源隔离包括网络隔离 l资源隔离可以在一定程度上降低安全风险,从而 优化安全体系结构 l资源隔离的内容包括:子网隔离、主机隔离、服 务隔离、用户隔离、数据隔离 l资源隔离的技术包括:路由器、防火墙,交换机 和VLAN 网络地址转换(NAT: Network Address Translation)
12、 将每个局域网节点的地址转换成一个IP 地址,反之亦然 。 交换机 192.168.1.5192.168.1.7192.168.1.9 port:5133port:5134port:5120 路由器(NAT) Internet 121.49.110.63:513 3 121.49.110.63:5134 121.49.110.63:5120 网络地址转换与网络安全 如果改变源地址的话,数字签名不再有效 给网络取证带来了巨大的困难 依赖于IP和端口的防火墙过滤规则需要改变 解决 方案 指处于不同安全域的网络之间不能以直接或间接的方式相连接。 物理隔离 物理隔离(cont.) 单向隔离 在端上依靠
13、由硬 件访问控制信息 交换分区实现信 息在不同的安全 域信息单向流动 。 协议隔离 通过协议转换的 手段保证受保护 信息在逻辑上是 隔离的,只有被 系统要求传输的 、内容受限的信 息可以通过 网闸 网闸(gap)是 位于两个不同安 全域之间,通过 协议转换的手段 ,以信息摆渡的 方式实现数据交 换,且只有被系 统明确要求传输 的信息可以通过 。(最常用) * 教材与参考书 l教材: l周世杰 陈伟 罗绪成,计算机系统与网络安全技术,高等 教育出版社,2011 l参考书 l李毅超 曹跃,网络与系统攻击技术 电子科大出版社 2007 l周世杰 陈伟 钟婷,网络与系统防御技术 电子科大出版社 2007 lStephen Northcutt, 深入剖析网络边界安全,机械工业出版社, 2003 l冯登国,计算机通信网络安全,2001 l蔡皖东,网络与信息安全,西北工业大学出版社,2004 * Any Question? Q&A
