《网络安全隔离技术》PPT课件.ppt

,第3章,网络安全隔离技术,同轴电缆,网络隔离同轴电缆,192.168.1.5,192.168.1.6,192.168.1.7,192.168.1.8,192.168.1.9,0101010,0101010,0101010,0101010,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,3,网络隔离集线器,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,网络隔离交换机,物理编址,网络拓扑结构,错误校验,帧序列化,流控,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,网络隔离虚拟子网(VLAN),Internet,VLAN2,VLAN1,VLAN3,网络隔离虚拟子网(Cont.),基于端口划分的VLAN,基于MAC地址划分VLAN,基于网络层划分VLAN,根据IP组播划分VLAN,路由器与网络隔离,网络互连,数据处理,网络管理,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,路由器与网络隔离(Cont.),RouterA,RouterB,RouterC,RouterD,12.0.0.0/8,13.0.0.0/8,11.0.0.0/8,2.2.2.2/24,2.2.2.1/24,3.3.3.2/24,3.3.3.1/24,1.1.1.1/24,1.1.1.2/24,路由器与网络隔离(Cont.),路由器作为唯一安全组件,相对交换机，集线器，能提供更高层次的安全功能,路由器作为安全组件的一部分,在一个全面安全体系结构中，常用作屏蔽设备，执行包过滤功能，而防火墙对能够通过路由器的数据包进行检查,防火墙,Internet,防火墙,内部网络,服务器,主机,主机,用一个或一组网络设备（计算机系统或路由器等），在两个或多个网络间加强访问控制，以保护一个网络不受来自另一个网络攻击的安全技术,防火墙,11,防火墙分类,分组过滤防火墙,应用代理防火墙,状态检测防火墙,防火墙分组过滤防火墙,HTTP,DNS,未经授权的用户,Internet,用户子网,分组过滤防火墙,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,13,防火墙应用代理防火墙,HTTP,DNS,未经授权的用户,Internet,用户子网,应用代理防火墙,HTTP服务器,客户浏览器,实际TCP连接1,实际TCP连接2,用户感觉的TCP连接,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,14,防火墙状态检测防火墙,监听,是否在连接状态表中,YES,转发,是否匹配规则集,NO,丢弃或拒绝,YES,NO,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,15,防火墙的典型体系结构包过滤路由器模型,HTTP,DNS,包过滤路由器,Internet,工作站,工作站,FTP,防火墙的典型体系结构单宿主堡垒主机模型,HTTP,DNS,包过滤路由器,Internet,工作站,工作站,堡垒主机,HTTP,DNS,包过滤路由器,Internet,工作站,工作站,FTP,防火墙的典型体系结构双宿主堡垒主机模型,堡垒主机,HTTP,DNS,包过滤路由器,Internet,FTP,防火墙的典型体系结构子网屏蔽防火墙模型,堡垒主机,工作站,工作站,工作站,ModemPool,包过滤路由器,通过过滤不安全的服务而降低风险，提高内部网络安全性,保护网络免受基于路由的攻击,强化网络安全策略,对网络存取和访问进行监控审计,利用防火墙对内部网络的划分，实现内部网重点或敏感网段的隔离,防火墙在网络边界安全中的作用,网络地址转换(NAT:NetworkAddressTranslation),交换机,192.168.1.5,192.168.1.7,192.168.1.9,port:5133,port:5134,port:5120,路由器(NAT),Internet,网络地址转换与网络安全,如果改变源地址的话，数字签名不再有效,给网络取证带来了巨大的困难,依赖于IP和端口的防火墙过滤规则需要改变,解决方案,物理隔离,物理隔离(cont.),单向隔离,在端上依靠由硬件访问控制信息交换分区实现信息在不同的安全域信息单向流动。,协议隔离,通过协议转换的手段保证受保护信息在逻辑上是隔离的，只有被系统要求传输的、内容受限的信息可以通过,网闸,网闸（gap）是位于两个不同安全域之间，通过协议转换的手段，以信息摆渡的方式实现数据交换，且只有被系统明确要求传输的信息可以通过。（最常用）,作业,