網(wǎng)絡(luò)安全隔離課件

2022/12/20總結(jié)網(wǎng)絡(luò)隔離的主要方法網(wǎng)絡(luò)隔離的基本內(nèi)容網(wǎng)絡(luò)隔離的基本概念第3章網(wǎng)絡(luò)隔離技術(shù)路由器與安全體系結(jié)構(gòu)2022/12/20總結(jié)網(wǎng)絡(luò)隔離的主要方法網(wǎng)絡(luò)隔離的基本內(nèi)容網(wǎng)絡(luò)隔離的基本概念第3章網(wǎng)絡(luò)隔離技術(shù)路由器與安全體系結(jié)構(gòu)2022/12/20目標(biāo)掌握路由器的工作原理掌握路由器在信息安全體系結(jié)構(gòu)中的作用了解路由器與防火墻的協(xié)同工作方法2022/12/20TCP/IP基礎(chǔ)（續(xù)）協(xié)議數(shù)據(jù)的封裝2022/12/20路由器的基本概念路由器（Router）是用于連接兩個或者多個網(wǎng)絡(luò)的網(wǎng)絡(luò)互連設(shè)備路由器工作在TCP/IP協(xié)議棧中的IP層Network1Network12022/12/20路由器的工作原理（續(xù)）路由器的協(xié)議層次應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層2022/12/20路由器的工作原理（續(xù)）路由器的路由功能202.115.22202.115.24202.115.23IP地址？2022/12/20路由器與安全體系結(jié)構(gòu)（續(xù)）路由器作為安全體系結(jié)構(gòu)的一部分路由器執(zhí)行最基本的操作：報文轉(zhuǎn)發(fā)包過濾入口過濾出口過濾基于網(wǎng)絡(luò)的應(yīng)用程序識別（Network-BasedApplicationRecognition:NBAR):對流媒體信息進(jìn)行標(biāo)記處理；更深層次的概念涉及“服務(wù)質(zhì)量”（QoS）2022/12/20路由器與安全體系結(jié)構(gòu)（續(xù)）路由器的位置路由器作為外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的分隔設(shè)備內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)路由器是作為內(nèi)部子網(wǎng)的分隔設(shè)備內(nèi)部網(wǎng)絡(luò)1內(nèi)部網(wǎng)絡(luò)1內(nèi)部網(wǎng)絡(luò)12022/12/20路由器的加固路由器加固指提高路由器自身的安全性加固方法有：加固操作系統(tǒng)鎖住管理點(diǎn)：Telnet：遠(yuǎn)程登錄SSH：安全腳本T：文件傳輸SNMP：簡單網(wǎng)絡(luò)管理認(rèn)證和口令禁止服務(wù)器（如Bootp，HTTP等）2022/12/20路由器的加固（續(xù)）禁止不必要的服務(wù)：如NTP，finger等阻斷因特網(wǎng)控制消息協(xié)議（ICMP）禁止源路由路由器日志查看2022/12/20結(jié)論路由器既是網(wǎng)絡(luò)連接設(shè)備，也可作為網(wǎng)絡(luò)安全設(shè)備路由器可以作為整個安全體系的一部分，也可作為唯一的邊界安全設(shè)備路由器可以放置在內(nèi)網(wǎng)和外網(wǎng)的中間，也可作為內(nèi)部子網(wǎng)的分隔設(shè)備在路由器在安全體系結(jié)構(gòu)中的作用需要特別重視國家信息安全漏洞共享平臺當(dāng)攻擊者利用瀏覽器來訪問一個無需授權(quán)認(rèn)證的特定功能頁面后，如發(fā)送HTTP請求到start_art.html，攻擊者就可以引導(dǎo)路由器自動從攻擊者控制的TFTP服務(wù)器下載一個nart.out文件，并以root權(quán)限運(yùn)行。而一旦攻擊者以root身份運(yùn)行成功后，便可以控制該無線路由器了。2022/12/202022/12/20總結(jié)網(wǎng)絡(luò)隔離的主要方法網(wǎng)絡(luò)隔離的基本內(nèi)容網(wǎng)絡(luò)隔離的基本概念第3章網(wǎng)絡(luò)隔離技術(shù)路由器與安全體系結(jié)構(gòu)2022/12/20資源隔離技術(shù)（續(xù)）為什么需要進(jìn)行資源隔離？資源隔離的主要目的是將入侵行為帶來的影響控制在特定的區(qū)域資源隔離有助于更好的實施安全策略資源隔離有助于實施管理2022/12/20資源隔離的內(nèi)容資源隔離的內(nèi)容子網(wǎng)隔離主機(jī)隔離服務(wù)隔離用戶隔離數(shù)據(jù)隔離廣義的資源隔離包括網(wǎng)絡(luò)隔離2022/12/20資源隔離的內(nèi)容（續(xù)）主機(jī)隔離DBMailMailDB2022/12/20資源隔離的內(nèi)容（續(xù)）服務(wù)隔離Mail&DBMailDB2022/12/20資源隔離的內(nèi)容（續(xù)）數(shù)據(jù)隔離DB&DOCDBDOC2022/12/20資源隔離的主要依據(jù)資源敏感度不同敏感度的資源屬于不同的安全區(qū)域資源受到損害的可能性易受損害的資源和不易受損害的資源屬于不同的安全區(qū)域易管理性資源分隔應(yīng)該有利于管理設(shè)計者自己的分類標(biāo)準(zhǔn)根據(jù)安全策略進(jìn)行資源分隔2022/12/20資源隔離的基本方法同一子網(wǎng)內(nèi)的資源隔離不同子網(wǎng)的資源隔離2022/12/20資源隔離的基本方法（續(xù)）不同子網(wǎng)的資源隔離廣播子網(wǎng)與其他子網(wǎng)隔離2022/12/20資源隔離的基本方法（續(xù)）不同子網(wǎng)的資源隔離公共子網(wǎng)和內(nèi)部子網(wǎng)隔離內(nèi)部服務(wù)器外部服務(wù)器工作站內(nèi)部服務(wù)器外部服務(wù)器工作站2022/12/20實現(xiàn)資源隔離的技術(shù)路由器防火墻交換機(jī)VLAN2022/12/20實現(xiàn)資源隔離的技術(shù)（續(xù)）路由器Internet2022/12/20實現(xiàn)資源分隔的技術(shù)（續(xù)）防火墻Internet2022/12/20實現(xiàn)資源分隔的技術(shù)（續(xù)）防火墻Internet2022/12/20實現(xiàn)資源分隔的技術(shù)（續(xù)）VLANVLAN是實現(xiàn)資源隔離的有效方法VLAN1VLAN3VLAN22022/12/20實現(xiàn)資源分隔的技術(shù)（續(xù)）VLAN的原理AppTCP,UDPIPDLPhysicalAppTCP,UDPIPDLPhysical傳統(tǒng)的交換機(jī)：兩層交換VLAN中的交換機(jī)：三層交換2022/12/20實現(xiàn)資源分隔的技術(shù)（續(xù)）VLAN的原理AppTCP,UDPIPDLPhysicalVLAN中的交換機(jī)：三層交換路由ACL。。。2022/12/20資源隔離實例分析郵件服務(wù)器分隔Internet內(nèi)部郵件服務(wù)中心服務(wù)器公共郵件中繼服務(wù)器2022/12/20資源隔離實例分析DNS服務(wù)器分隔Internet內(nèi)部DNS服務(wù)器公共DNS服務(wù)器2022/12/20資源隔離實例分析（續(xù)）無線接入分隔Internet內(nèi)部服務(wù)器區(qū)公共服務(wù)器區(qū)邊界防火墻內(nèi)部防火墻2022/12/20總結(jié)廣義的資源隔離包括網(wǎng)絡(luò)隔離資源隔離可以在一定程度上降低安全風(fēng)險，從而優(yōu)化安全體系結(jié)構(gòu)資源隔離的內(nèi)容包括：子網(wǎng)隔離、主機(jī)隔離、服務(wù)隔離、用戶隔離、數(shù)據(jù)隔離資源隔離的技術(shù)包括：路由器、防火墻，交換機(jī)和VLAN網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT:NetworkAddressTranslation)將每個局域網(wǎng)節(jié)點(diǎn)的地址轉(zhuǎn)換成一個IP地址，反之亦然。交換機(jī)port:5133port:5134port:5120路由器(NAT)Internet3:51333:51343:5120網(wǎng)絡(luò)地址轉(zhuǎn)換與網(wǎng)絡(luò)安全如果改變源地址的話，數(shù)字簽名不再有效給網(wǎng)絡(luò)取證帶來了巨大的困難依賴于IP和端口的防火墻過濾規(guī)則需要改變…解決方案指處于不同安全域的網(wǎng)絡(luò)之間不能以直接或間接的方式相連接。物理隔離物理隔離(cont.)單向隔離在端上依靠由硬件訪問控制信息交換分區(qū)實現(xiàn)信息在不同的安全域信息單向流動。協(xié)議隔離通過協(xié)議轉(zhuǎn)換的手段保證受保護(hù)信息在邏輯上是隔離的，只有被系統(tǒng)要求傳輸?shù)摹?nèi)容受限的信息可以通過網(wǎng)閘網(wǎng)閘（gap）是位于兩個不同安全域之間，通過協(xié)議轉(zhuǎn)換的手段，以信息擺渡的方式實現(xiàn)數(shù)據(jù)交換，且只有被系統(tǒng)明確要求傳輸?shù)男畔⒖梢酝ㄟ^。（最常用）2022/12/20教材與參考書教材：周世杰陳偉羅緒成，計算機(jī)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)，高等教育出版社，2011參考書李毅超曹躍，網(wǎng)絡(luò)與系統(tǒng)攻擊技術(shù)電子科大出版社