2022/11/2總結網絡隔離的主要方法網絡隔離的基本內容網絡隔離的基本概念第5章網絡隔離技術路由器與安全體系結構2022/11/2總結網絡隔離的主要方法網絡隔離的基本內容網絡隔離的基本概念第5章網絡隔離技術路由器與安全體系結構2022/11/2目標掌握路由器的工作原理掌握路由器在信息安全體系結構中的作用了解路由器與防火墻的協同工作方法2022/11/2TCP/IP基礎TCP/IP協議棧2022/11/2TCP/IP基礎（續）協議數據的封裝2022/11/2路由器的基本概念路由器（Router）是用于連接兩個或者多個網絡的網絡互連設備路由器工作在TCP/IP協議棧中的IP層Network1Network12022/11/2路由器的工作原理（續）路由器的協議層次應用層傳輸層網絡層數據鏈路層物理層應用層傳輸層網絡層數據鏈路層物理層網絡層數據鏈路層物理層2022/11/2路由器的工作原理（續）路由器的路由功能202.115.22202.115.24202.115.23IP地址？2022/11/2路由器與安全體系結構路由器作為安全體系結構的邊界控制組建兩種部署方案：路由器作為整個安全體系的一部分路由器作為唯一的邊界安全設備其他安全設備路由器作為安全體系的一部分路由器是唯一的邊界安全設備2022/11/2路由器與安全體系結構（續）路由器作為安全體系結構的一部分路由器執行最基本的操作：報文轉發包過濾入口過濾出口過濾基于網絡的應用程序識別（Network-BasedApplicationRecognition:NBAR):對流媒體信息進行標記處理；更深層次的概念涉及“服務質量”（QoS）2022/11/2路由器與安全體系結構（續）路由器作為唯一的邊界安全設備需要解決幾個關鍵問題：路由器的位置根據應用需求不同，路由器的位置也不盡相同功能選擇如何合理的選擇路由器功能2022/11/2路由器與安全體系結構（續）路由器的位置路由器作為外部網絡和內部網絡的分隔設備內部網絡外部網絡路由器是作為內部子網的分隔設備內部網絡1內部網絡1內部網絡12022/11/2路由器與安全體系結構（續）如何合理的選擇路由器功能？網絡地址轉換包過濾狀態包過濾訪問控制2022/11/2路由器的加固路由器加固指提高路由器自身的安全性加固方法有：加固操作系統鎖住管理點：Telnet：遠程登錄SSH：安全腳本TFTP/FTP：文件傳輸SNMP：簡單網絡管理認證和口令禁止服務器（如Bootp，HTTP等）2022/11/2路由器的加固（續）禁止不必要的服務：如NTP，finger等阻斷因特網控制消息協議（ICMP）禁止源路由路由器日志查看2022/11/2結論路由器既是網絡連接設備，也可作為網絡安全設備路由器可以作為整個安全體系的一部分，也可作為唯一的邊界安全設備路由器可以放置在內網和外網的中間，也可作為內部子網的分隔設備在路由器在安全體系結構中的作用需要特別重視2022/11/2總結網絡隔離的主要方法網絡隔離的基本內容網絡隔離的基本概念第5章網絡隔離技術路由器與安全體系結構2022/11/2資源隔離技術什么是資源隔離？資源隔離是將不同的資源劃歸為同一個安全區域。什么是安全區域（SecureZone）？安全區域是屬于同一個物理或者邏輯組織的一組資源集合劃分安全區域的目的是：更好的規劃和設計安全策略什么是資源？物理設備：網絡設備、主機設備、電子設備。。。。應用和程序：Web服務器，Mail服務器，。。。數據：文檔，數據庫。。。。2022/11/2資源隔離技術（續）為什么需要進行資源隔離？資源隔離的主要目的是將入侵行為帶來的影響控制在特定的區域資源隔離有助于更好的實施安全策略資源隔離有助于實施管理2022/11/2資源隔離的內容資源隔離的內容子網隔離主機隔離服務隔離用戶隔離數據隔離廣義的資源隔離包括網絡隔離2022/11/2資源隔離的內容（續）子網隔離安全性要求不同的部門屬于不同子網不同的業務部門屬于不同子網物理距離大的部門屬于不同的子網財務部市場部財務部市場部信息部生產部信息部生產部財務部市場部財務部市場部2022/11/2資源隔離的內容（續）主機隔離DBMailMailDB2022/11/2資源隔離的內容（續）服務隔離Mail&DBMailDB2022/11/2資源隔離的內容（續）用戶隔離管理員&其他用戶管理員其他用戶2022/11/2資源隔離的內容（續）數據隔離DB&DOCDBDOC2022/11/2資源隔離的主要依據資源敏感度不同敏感度的資源屬于不同的安全區域資源受到損害的可能性易受損害的資源和不易受損害的資源屬于不同的安全區域易管理性資源分隔應該有利于管理設計者自己的分類標準根據安全策略進行資源分隔2022/11/2資源隔離的基本方法同一子網內的資源隔離不同子網的資源隔離2022/11/2資源隔離的基本方法（續）同一子網內的資源隔離如果不同的服務確實需要運行在同一主機之上，可以采用以下方法：不同服務用不同的用戶身份進行管理使用特定的工具進行安全區域的劃分：如目錄分隔，磁盤分區分隔等使用專用服務器來提供安全區域不同服務盡可能運行在不同的服務器上2022/11/2資源隔離的基本方法（續）不同子網的資源隔離廣播子網與其他子網隔離2022/11/2資源隔離的基本方法（續）不同子網的資源隔離公共子網和內部子網隔離內部服務器外部服務器工作站內部服務器外部服務器工作站2022/11/2實現資源隔離的技術路由器防火墻交換機VLAN2022/11/2實現資源隔離的技術（續）路由器Internet2022/11/2實現資源分隔的技術（續）防火墻Internet2022/11/2實現資源分隔的技術（續）防火墻Internet2022/11/2實現資源分隔的技術（續）VLANVLAN是實現資源隔離的有效方法VLAN1VLAN3VLAN22022/11/2實現資源分隔的技術（續）VLAN的原理AppTCP,UDPIPDLPhysicalAppTCP,UDPIPDLPhysical傳統的交換機：兩層交換VLAN中的交換機：三層交換2022/11/2實現資源分隔的技術（續）VLAN的原理AppTCP,UDPIPDLPhysicalVLAN中的交換機：三層交換路由ACL。。。2022/11/2資源隔離實例分析郵件服務器分隔Internet內部郵件服務中心服務器公共郵件中繼服務器2022/11/2資源隔離實例分析DNS服務器分隔Internet內部DNS服務器公共DNS服務器2022/11/2資源隔離實例分析（續）無線接入分隔Internet內部服務器區公共服務器區邊界防火墻內部防火墻2022/11/2總結廣義的資源隔離包括網絡隔離資源隔離可以在一定程度上降低安全風險，從而優化安全體系結構資源隔離的內容包括：子網隔離、主機隔離、服務隔離、用戶隔離、數據隔離資源隔離的技術包括：路由器、防火墻，交換機和VLAN2022/11/2教材與參考書教材：李毅超曹躍，網絡與系統攻擊技術電子科大出版社2007周世杰陳偉鐘婷，網絡與系統防御技術電子科大出版社2007

參考書闕喜戎等編著，信息安全原理及應用，清華大學出版社ChristopherM.King,CuritisE.Dalton,T.ErtemOsmanoglu（常曉波等譯）.安全體系結構的設計、部署與操作，清華大學出版社，2003(ChristopherM.King,etal,SecurityArchitecture,design,deployment&Operations)WilliamStallings，密碼編碼學與網絡安全－原理與實踐（第三版），電子工業出版社，2004StephenNorthcutt，深入剖析網絡邊界安全，機械工業出版社，2003馮登國，計算機通信網絡安全，2001