第7章網(wǎng)絡(luò)安全隔離-2

第7章網(wǎng)絡(luò)安全隔離本章學(xué)習(xí)目標(biāo)理解網(wǎng)絡(luò)安全隔離的意義掌握劃分子網(wǎng)的方法掌握通過創(chuàng)建VLAN實(shí)現(xiàn)網(wǎng)絡(luò)安全隔離的方法了解物理隔離產(chǎn)品及應(yīng)用1第7章網(wǎng)絡(luò)安全隔離隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，可以根據(jù)有特殊要求的部門和用戶進(jìn)行隔離保護(hù)，當(dāng)然這里的隔離保護(hù)只是阻止未經(jīng)允許的用戶訪問敏感部門和關(guān)鍵用戶網(wǎng)絡(luò)，而這些敏感部門和關(guān)鍵用戶，可以通過相應(yīng)配置與其他未被隔離的網(wǎng)絡(luò)進(jìn)行正常的數(shù)據(jù)交換，現(xiàn)在有如下三種解決方案。（1）通過子網(wǎng)掩碼劃分子網(wǎng)對網(wǎng)絡(luò)進(jìn)行隔離。（2）通過劃分VLAN網(wǎng)段對網(wǎng)絡(luò)進(jìn)行隔離。（3）通過構(gòu)建網(wǎng)絡(luò)隔離系統(tǒng)對網(wǎng)絡(luò)進(jìn)行隔離。27.1利用子網(wǎng)掩碼劃分子網(wǎng)的應(yīng)用7.1.1PacketTracer模擬器簡介37.1利用子網(wǎng)掩碼劃分子網(wǎng)的應(yīng)用7.1.2項(xiàng)目背景及方案設(shè)計(jì)1．項(xiàng)目背景某公司申請到198.16.1.0/24網(wǎng)段，設(shè)置了生產(chǎn)車間、銷售處、財(cái)務(wù)處等三個(gè)部門，各部門分處不同的地理位置。該公司需要建立內(nèi)部網(wǎng)絡(luò)，要求如下。（1）最大的部門可以容納30臺(tái)計(jì)算機(jī)。（2）各部門內(nèi)部計(jì)算機(jī)終端之間能夠直接通信。（3）各部門之間數(shù)據(jù)信息具有一定的獨(dú)立性。（4）財(cái)務(wù)處的數(shù)據(jù)必須受到嚴(yán)格保護(hù)，非授權(quán)人員不能訪問。（5）公司內(nèi)所有計(jì)算機(jī)都能夠訪問互聯(lián)網(wǎng)。（6）網(wǎng)絡(luò)設(shè)備要高速、穩(wěn)定運(yùn)行。47.1利用子網(wǎng)掩碼劃分子網(wǎng)的應(yīng)用2．方案設(shè)計(jì)根據(jù)公司要求，設(shè)計(jì)方案如下。（1）通過子網(wǎng)掩碼劃分子網(wǎng)，使三個(gè)部門分別屬于不同的子網(wǎng)，便于管理。（2）各部門分別配置一臺(tái)交換機(jī)，用于連接該部門所有終端設(shè)備。（3）各部門之間通過路由器連接，實(shí)現(xiàn)互相通信，并通過該路由器連接到Internet。（4）方案的網(wǎng)絡(luò)拓?fù)鋱D如圖7-4所示。（5）路由器Router2端口規(guī)劃如表7-1所示。57.1利用子網(wǎng)掩碼劃分子網(wǎng)的應(yīng)用圖7-4子網(wǎng)掩碼劃分子網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D67.1利用子網(wǎng)掩碼劃分子網(wǎng)的應(yīng)用表7-1Router2端口規(guī)劃設(shè)備名稱端口用途Router2FastEthernet0/0連接Switch0FastEthernet0/1連接Switch1FastEthernet1/0連接Switch2FastEthernet1/1連接遠(yuǎn)程分支機(jī)構(gòu)77.1利用子網(wǎng)掩碼劃分子網(wǎng)的應(yīng)用7.1.3實(shí)施步驟1．確定子網(wǎng)掩碼2．確定并分配子網(wǎng)及IP地址范圍3．搭建如圖7-4所示網(wǎng)絡(luò)環(huán)境，配置Router2路由器4．配置各PC機(jī)5．測試子網(wǎng)之間的連通性87.2VLAN子網(wǎng)的劃分7.2.1VLAN簡介VLAN（VirtualLocalAreaNetwork，虛擬局域網(wǎng)）是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。97.2VLAN子網(wǎng)的劃分7.2.2VLAN的劃分1．根據(jù)端口來劃分VLAN2．根據(jù)MAC（MediaAccessControl，介質(zhì)訪問控制）地址劃分VLAN3．根據(jù)網(wǎng)絡(luò)層劃分VLAN4．根據(jù)IP組播劃分VLAN107.2VLAN子網(wǎng)的劃分7.2.3VLAN的主要用途1．控制廣播風(fēng)暴一個(gè)VLAN就是一個(gè)邏輯廣播域。2．提高網(wǎng)絡(luò)的安全性不同VLAN間不可以直接通信，要實(shí)現(xiàn)通信必須通過具有網(wǎng)絡(luò)層交換功能的路由器或第三層交換機(jī)。3．網(wǎng)絡(luò)管理簡單、直觀一個(gè)VLAN可以根據(jù)部門職能、對象組或者應(yīng)用將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個(gè)邏輯網(wǎng)段。在不改動(dòng)網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在工作組或子網(wǎng)之間移動(dòng)。117.3單一交換機(jī)VLAN的配置在一臺(tái)交換機(jī)上進(jìn)行VLAN的劃分及配置，是通過劃分VLAN網(wǎng)段對網(wǎng)絡(luò)進(jìn)行隔離的最簡單、最基本的形式。搭建如圖所示網(wǎng)絡(luò)環(huán)境。127.3單一交換機(jī)VLAN的配置詳細(xì)步驟如下。1．給交換機(jī)命名并設(shè)置登錄密碼2．顯示VLAN配置信息3．創(chuàng)建VLAN

4．劃分VLAN端口5．保存配置6．測試7．刪除VLAN137.4跨交換機(jī)VLAN的配置在多臺(tái)交換機(jī)上進(jìn)行VLAN的劃分及配置，是通過劃分VLAN網(wǎng)段對網(wǎng)絡(luò)進(jìn)行隔離的最常用、較復(fù)雜的形式。7.4.1VTP簡介VTP（VLANTrunkingProtocol，VLAN鏈路聚集協(xié)議）是一個(gè)在建立了匯聚鏈路的交換機(jī)之間同步和傳遞VLAN配置信息的協(xié)議，以在同一個(gè)VTP域中維持VLAN配置的一致性。在創(chuàng)建VLAN之前，應(yīng)先定義VTP管理域。147.4跨交換機(jī)VLAN的配置1．VTP工作模式VTP有server（服務(wù)器）client（客戶端）transparent（透明）2．創(chuàng)建VTP管理域（1）創(chuàng)建VTP管理域（2）設(shè)置VTP模式（3）執(zhí)行exit命令退出VLAN數(shù)據(jù)庫配置模式（4）查看VTP信息157.4跨交換機(jī)VLAN的配置7.4.2項(xiàng)目背景及方案設(shè)計(jì)1．項(xiàng)目背景某公司有計(jì)算機(jī)約50臺(tái)，設(shè)置了信息處、銷售處、財(cái)務(wù)處等三個(gè)部門，各部門的地理位置如圖7-12所示。該公司需要建立內(nèi)部網(wǎng)絡(luò)，要求如下。（1）各部門內(nèi)部計(jì)算機(jī)終端之間能夠直接通信。（2）各部門之間數(shù)據(jù)信息具有一定的獨(dú)立性。（3）公司內(nèi)所有計(jì)算機(jī)都能夠訪問互聯(lián)網(wǎng)。（4）財(cái)務(wù)處的數(shù)據(jù)必須受到嚴(yán)格保護(hù)，非授權(quán)人員不能訪問。（5）總經(jīng)理兼管財(cái)務(wù)處，副總經(jīng)理兼管銷售處。（6）網(wǎng)絡(luò)設(shè)備要高速、穩(wěn)定運(yùn)行。167.4跨交換機(jī)VLAN的配置圖7-12各部門地理位置圖177.4跨交換機(jī)VLAN的配置2．方案設(shè)計(jì)根據(jù)公司要求，設(shè)計(jì)方案如下。（1）每層樓配置一臺(tái)交換機(jī)，用于連接該樓層所有終端設(shè)備。（2）創(chuàng)建VTP管理域，為每一個(gè)部門創(chuàng)建一個(gè)VLAN。（3）在交換機(jī)上劃分VLAN，進(jìn)行跨交換機(jī)VLAN的配置，實(shí)現(xiàn)各VLAN內(nèi)部計(jì)算機(jī)終端能相互通信。（4）給各VLAN創(chuàng)建虛擬子端口IP地址，實(shí)現(xiàn)VLAN間的通信。（5）使用路由器連接到Internet。（6）方案的網(wǎng)絡(luò)拓?fù)鋱D如圖7-13所示。187.4跨交換機(jī)VLAN的配置圖7-13網(wǎng)絡(luò)拓?fù)鋱D197.4跨交換機(jī)VLAN的配置（7）各部門IP地址規(guī)劃和各設(shè)備端口規(guī)劃如表7-4、表7-5所示。表7-4各部門地址分配部門名稱地址空間所屬VLAN虛擬子端口IP地址（默認(rèn)網(wǎng)關(guān)）示例PC機(jī)名稱總經(jīng)理192.168.5.100/24VLAN30192.168.5.1/24PC0副總經(jīng)理192.168.3.101/24VLAN20192.168.3.1/24PC1財(cái)務(wù)處192.168.5.0/24VLAN30192.168.5.1/24PC4信息處192.168.2.0/24VLAN10192.168.2.1/24PC2、PC6銷售處192.168.3.0/24VLAN20192.168.3.1/24PC3、PC520表7-5各設(shè)備端口規(guī)劃設(shè)備名稱端口用途端口類型R0FastEthernet0/0連接CORE路由端口FastEthernet0/1連接遠(yuǎn)程分支機(jī)構(gòu)路由端口COREFastEthernet0/1-5連接用戶PCAccess端口，VLAN10FastEthernet0/11連接總經(jīng)理PCAccess端口，VLAN30FastEthernet0/12連接副總經(jīng)理PCAccess端口，VLAN20FastEthernet0/22連接SWBTrunk端口FastEthernet0/23連接SWATrunk端口FastEthernet0/24連接R0三層交換端口SWAFastEthernet0/1-5連接用戶PCAccess端口，VLAN10FastEthernet0/6-10連接用戶PCAccess端口，VLAN20FastEthernet0/24連接CORETrunk端口SWBFastEthernet0/1-5連接用戶PCAccess端口，VLAN30FastEthernet0/6-10連接用戶PCAccess端口，VLAN20FastEthernet0/24連接CORETrunk端口217.4跨交換機(jī)VLAN的配置7.4.3VLAN配置步驟227.5網(wǎng)絡(luò)隔離概述7.5.1網(wǎng)絡(luò)隔離技術(shù)1．理解網(wǎng)絡(luò)隔離網(wǎng)絡(luò)中的“隔離”并不是網(wǎng)絡(luò)間完全斷開，而是隔離不安全因素，使受保護(hù)的網(wǎng)絡(luò)能安全地與外部網(wǎng)絡(luò)通信。2．網(wǎng)絡(luò)隔離技術(shù)分類（1）物理隔離（2）網(wǎng)絡(luò)隔離（3）安全隔離237.5網(wǎng)絡(luò)隔離概述3．網(wǎng)絡(luò)隔離技術(shù)發(fā)展階段（1）完全的物理隔離（2）硬件隔離卡隔離（3）數(shù)據(jù)轉(zhuǎn)播隔離（4）空氣開關(guān)隔離（5）安全通道隔離247.5網(wǎng)絡(luò)隔離概述7.5.2網(wǎng)絡(luò)隔離安全要素1．隔離產(chǎn)品自身有較高的安全性2．確保網(wǎng)絡(luò)包不能到達(dá)受保護(hù)網(wǎng)絡(luò)3．只允許應(yīng)用層數(shù)據(jù)交換4．在確保安全的前提下盡可能暢通257.6物理隔離物理隔離是指內(nèi)部網(wǎng)絡(luò)不得直接或間接地連接外部網(wǎng)絡(luò)即互聯(lián)網(wǎng)。7.6.1物理隔離原理物理隔離設(shè)備在任意時(shí)刻只能與一個(gè)網(wǎng)絡(luò)的主機(jī)系統(tǒng)建立非TCP/IP協(xié)議的數(shù)據(jù)連接，即當(dāng)它與外部網(wǎng)絡(luò)的主機(jī)系統(tǒng)連接時(shí)，它與內(nèi)部網(wǎng)絡(luò)的主機(jī)系統(tǒng)必須是斷開的，反之亦然，保證內(nèi)、外部網(wǎng)絡(luò)不能同時(shí)連接在物理隔離設(shè)備上。267.6物理隔離通過如下步驟對物理隔離原理進(jìn)行說明。（1）當(dāng)內(nèi)網(wǎng)與專網(wǎng)之間無信息交換時(shí)，物理隔離設(shè)備與內(nèi)網(wǎng)之間、物理隔離設(shè)備與專用網(wǎng)之間、內(nèi)網(wǎng)與外網(wǎng)之間是完全斷開的。圖7-15277.6物理隔離（2）當(dāng)外網(wǎng)有數(shù)據(jù)需要到達(dá)內(nèi)網(wǎng)的時(shí)候，控制電路控制隔離設(shè)備與外網(wǎng)服務(wù)器建立非TCP/IP的數(shù)據(jù)連接。圖7-16287.6物理隔離（3）一旦數(shù)據(jù)完全寫入外網(wǎng)存儲(chǔ)設(shè)備，隔離設(shè)備在控制電路的控制下立即中斷與外網(wǎng)的連接，轉(zhuǎn)而發(fā)起對內(nèi)網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)連接。圖7-17297.6物理隔離（4）在控制臺(tái)收到完整的交換信號(hào)之后，控制電路控制隔離設(shè)備立即切斷隔離設(shè)備與內(nèi)網(wǎng)的連接，又回到圖7-15所示內(nèi)外網(wǎng)完全斷開狀態(tài)。307.6物理隔離（5）如果這時(shí)內(nèi)網(wǎng)有文件需要發(fā)出，隔離設(shè)備在收到內(nèi)網(wǎng)建立連接的請求之后，控制電路控制隔離設(shè)備建立與內(nèi)網(wǎng)之間的非TCP/IP協(xié)議的數(shù)據(jù)連接。圖7-18317.6物理隔離（6）當(dāng)數(shù)據(jù)完全寫入內(nèi)網(wǎng)專用存儲(chǔ)設(shè)備后，控制電路控制隔離設(shè)備立即中斷與內(nèi)網(wǎng)的連接圖7-19327.6物理隔離（7）在所有的數(shù)據(jù)發(fā)送完成后，控制電路就會(huì)控制隔離設(shè)備立即中斷隔離設(shè)備與外肉的連接，恢復(fù)到如圖7-15所示的完全隔離狀態(tài)。337.6物理隔離7.6.2物理隔離卡1．物理隔離卡物理隔離卡是物理隔離的低級(jí)實(shí)現(xiàn)形式，一個(gè)物理隔離卡只能管一臺(tái)個(gè)人計(jì)算機(jī)，甚至只可能在Windows環(huán)境下工作，每次切換都需要開關(guān)機(jī)一次。2．物理隔離卡產(chǎn)品：ZSD-32S單硬盤物理隔離卡ZSD-32S單硬盤物理隔離卡系列是宙斯盾公司研制的擁有自主產(chǎn)權(quán)的新一代網(wǎng)絡(luò)安全物理隔離產(chǎn)品。347.6物理隔離7.6.3物理隔離網(wǎng)閘1．物理隔離網(wǎng)閘物理隔