计算系统与网络安全PPT教学课件-第5章 网络隔离技术.ppt

计算系统与网络安全Computer System and Network Security 电子科技大学 计算机科学与工程学院 第5章 网络隔离技术 第5章 网络隔离技术 目标 掌握路由器的工作原理 掌握路由器在信息安全体系结构中的作用 了解路由器与防火墙的协同工作方法 TCP/IP基础 TCP/IP协议栈 TCP/IP基础（续） 协议数据的封装 路由器的基本概念 路由器（Router）是用于连接两个或者多个网络的网络互连设备 路由器工作在TCP/IP协议栈中的IP层 路由器的工作原理（续） 路由器的协议层次 路由器的工作原理（续） 路由器的路由功能 路由器与安全体系结构 路由器作为安全体系结构的边界控制组建 两种部署方案： 路由器作为整个安全体系的一部分 路由器作为唯一的边界安全设备 路由器与安全体系结构（续） 路由器作为安全体系结构的一部分 路由器执行最基本的操作： 报文转发 包过滤 入口过滤 出口过滤 基于网络的应用程序识别（Network-Based Application Recognition: NBAR):对流媒体信息进行标记处理；更深层次的概念涉及“服务质量”（QoS） 路由器与安全体系结构（续） 路由器作为唯一的边界安全设备 需要解决几个关键问题： 路由器的位置 根据应用需求不同，路由器的位置也不尽相同 功能选择 如何合理的选择路由器功能 路由器与安全体系结构（续） 路由器的位置 路由器与安全体系结构（续） 如何合理的选择路由器功能？ 网络地址转换 包过滤 状态包过滤 访问控制 路由器的加固 路由器加固指提高路由器自身的安全性 加固方法有： 加固操作系统 锁住管理点： Telnet：远程登录 SSH：安全脚本 TFTP/FTP：文件传输 SNMP：简单网络管理 认证和口令 禁止服务器（如Bootp，HTTP等） 路由器的加固（续） 禁止不必要的服务：如NTP，finger等 阻断因特网控制消息协议（ICMP） 禁止源路由 路由器日志查看 结论 路由器既是网络连接设备，也可作为网络安全设备 路由器可以作为整个安全体系的一部分，也可作为唯一的边界安全设备 路由器可以放置在内网和外网的中间，也可作为内部子网的分隔设备 在路由器在安全体系结构中的作用需要特别重视 第5章 网络隔离技术 资源隔离技术 什么是资源隔离？ 资源隔离是将不同的资源划归为同一个安全区域。 什么是安全区域（Secure Zone）？ 安全区域是属于同一个物理或者逻辑组织的一组资源集合 划分安全区域的目的是： 更好的规划和设计安全策略 什么是资源？ 物理设备：网络设备、主机设备、电子设备。。。。 应用和程序：Web服务器，Mail服务器，。。。 数据：文档，数据库。。。。 资源隔离技术（续） 为什么需要进行资源隔离？ 资源隔离的主要目的是将入侵行为带来的影响控制在特定的区域 资源隔离有助于更好的实施安全策略 资源隔离有助于实施管理 资源隔离的内容 资源隔离的内容 子网隔离 主机隔离 服务隔离 用户隔离 数据隔离 广义的资源隔离包括网络隔离 资源隔离的内容（续） 子网隔离 安全性要求不同的部门属于不同子网 不同的业务部门属于不同子网 物理距离大的部门属于不同的子网 资源隔离的内容（续） 主机隔离 资源隔离的内容（续） 服务隔离 资源隔离的内容（续） 用户隔离 资源隔离的内容（续） 数据隔离 资源隔离的主要依据 资源敏感度 不同敏感度的资源属于不同的安全区域 资源受到损害的可能性 易受损害的资源和不易受损害的资源属于不同的安全区域 易管理性 资源分隔应该有利于管理 设计者自己的分类标准 根据安全策略进行资源分隔 资源隔离的基本方法 同一子网内的资源隔离 不同子网的资源隔离 资源隔离的基本方法（续） 同一子网内的资源隔离 如果不同的服务确实需要运行在同一主机之上，可以采用以下方法： 不同服务用不同的用户身份进行管理 使用特定的工具进行安全区域的划分：如目录分隔，磁盘分区分隔等 使用专用服务器来提供安全区域 不同服务尽可能运行在不同的服务器上 资源隔离的基本方法（续） 不同子网的资源隔离 广播子网与其他子网隔离 资源隔离的基本方法（续） 不同子网的资源隔离 公共子网和内部子网隔离 实现资源隔离的技术 路由器 防火墙 交换机 VLAN 实现资源隔离的技术（续） 路由器 实现资源分隔的技术（续） 防火墙 实现资源分隔的技术（续） 防火墙 实现资源分隔的技术（续） VLAN VLAN是实现资源隔 离的有效方法 实现资源分隔的技术（续） VLAN的原理 实现资源分隔的技术（续） VLAN的原理 资源隔离实例分析 邮件服务器分隔 资源隔离实例分析 DNS服务器分隔 资源隔离实例分析（续） 无线接入分隔 总结 广义的资