網絡安全

張磊華東師范大學軟件學院路由器與網絡隔離VLAN與網絡隔離交換機與網絡隔離網絡隔離的基本概念第4章網絡隔離技術網絡隔離的主要方法防火墻與網絡隔離路由器與網絡隔離VLAN與網絡隔離交換機與網絡隔離網絡隔離的基本概念第3章網絡隔離技術網絡隔離的主要方法防火墻與網絡隔離網絡隔離技術的目標面對新型網絡攻擊手段的出現和高安全度網絡對安全的特殊需求，全新安全防護防范理念的網絡安全技術——“網絡隔離技術”應運而生。網絡隔離技術的目標是確保把有害的攻擊隔離，在可信網絡之外和保證可信網絡內部信息不外泄的前提下，完成網間數據的安全交換。網絡隔離技術是在原有安全技術的基礎上發展起來的，它彌補了原有安全技術的不足，突出了自己的優勢。網絡隔離概念網絡隔離，英文名為NetworkIsolation：兩個或兩個以上的計算機或網絡在斷開連接的基礎上，實現信息交換和資源共享物理隔離協議隔離網絡隔離的核心是物理隔離物理隔離的一個特征，就是內網與外網永不連接，內網和外網在同一時間最多只有一個同隔離設備建立非TCP／IP協議的數據連接。協議隔離是在密碼技術的支持下，采用專用安全通信協議隔離技術實現的。網絡隔離技術的概念來源網絡隔離的概念源于人工烤盤Sneakernet輪渡人工烤盤

人工拷盤是已知的最早的網絡隔離技術。最早的計算機是單機的，不同的計算機還沒有聯網。沒有聯網的兩個計算機之間要交換數據，最簡單的辦法是人工拷盤。要特別強調，在人工拷盤的任何時刻，兩個計算機之間是完全斷開的，沒有聯網的。在拷盤的時候，當計算機操作人員在一臺計算機里拷盤時，與另外一臺計算機是完全斷開的；當計算機操作人員把磁盤拿出的時候，與兩臺計算機都是完全斷開的；當計算機操作人員把文件數據復制到目的計算機時，與原來的計算機是完全斷開的。在任何時候，兩臺交換文件數據的計算機，總是斷開的。Sneakernet（人力網）人在兩臺計算機或兩個網絡之間使用軟盤、移動硬盤等可以移動的存儲介質來交換文件或數據，這樣兩個隔離的計算機或網絡與人一起便構成了一個邏輯上的虛擬網絡輪渡網絡隔離有多種方式，其中最重要的一種方式是網閘。網閘的概念主要是源于輪渡。對輪渡的工作機理的借鑒，大大地推動了網絡隔離的研究發展，直接導致網閘技術的出現。“下車改乘輪船”的現象啟發人們研究協議的剝離技術，“下船改成汽車”的現象啟發人們研究協議的重建技術，“輪船載人渡河”啟發人們研究文件“擺渡”，最后實現了在兩網斷開的情況下可以進行數據交換。從兩臺主機在斷開的情況下可以實現數據交換，到兩個網絡之間在斷開的情況下也可以實現數據交換網絡隔離技術的發展歷史隔離概念是在為了保護高安全度網絡環境的情況下產生的；隔離產品的大量出現，也是經歷了五代隔離技術不斷的實踐和理論相結合后得來的。網絡隔離技術的發展歷史（續）第一代隔離技術—完全的隔離此方法使得網絡處于信息孤島狀態，做到了完全的物理隔離，需要至少兩套網絡和系統，更重要的是信息交流的不便和成本的提高，這樣給維護和使用帶來了極大的不便。第二代隔離技術—硬件卡隔離在客戶端增加一塊硬件卡，客戶端硬盤或其他存儲設備首先連接到該卡，然后再轉接到主板上，通過該卡能控制客戶端硬盤或其他存儲設備。而在選擇不同的硬盤時，同時選擇了該卡上不同的網絡接口，連接到不同的網絡。但是，這種隔離產品有的仍然需要網絡布線為雙網線結構，產品存在著較大的安全隱患。網絡隔離技術的發展歷史（續）第三代隔離技術—數據轉播隔離利用轉播系統分時復制文件的途徑來實現隔離，切換時間非常之久，甚至需要手工完成，不僅明顯地減緩了訪問速度，更不支持常見的網絡應用，失去了網絡存在的意義。第四代隔離技術—空氣開關隔離它是通過使用單刀雙擲開關，使得內外部網絡分時訪問臨時緩存器來完成數據交換的，但在安全和性能上存在有許多問題。網絡隔離技術的發展歷史（續）第五代隔離技術—安全通道隔離此技術通過專用通信硬件和專有安全協議等安全機制，來實現內外部網絡的隔離和數據交換，不僅解決了以前隔離技術存在的問題，并有效地把內外部網絡隔離開來，而且高效地實現了內外網數據的安全交換，透明支持多種網絡應用，成為當前隔離技術的發展方向。路由器與網絡隔離VLAN與網絡隔離交換機與網絡隔離網絡隔離的基本概念第4章網絡隔離技術網絡隔離的主要方法防火墻與網絡隔離物理隔離網閘是使用帶有多種控制功能的固態開關讀寫介質連接兩個獨立主機系統的信息安全設備。它所連接的兩個獨立主機系統之間不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協議，不存在依據協議的信息包轉發，只有數據文件的無協議“擺渡”，且對固態存儲介質只有“讀”和“寫”兩個命令。網閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，是“黑客”無法入侵、無法攻擊、無法破壞、實現真正的安全。不可信外網可信內網存儲介質外網機內網機K1K2邏輯條件：K1=K2*K3通過兩個開關的不能同時閉合來保證OSI模型物理層的斷開，可能的三種情況是：K1接通，K2斷開；K1斷開，K2接通；K1斷開，K2斷開。網絡隔離的斷開原理物理隔離協議隔離“協議隔離”技術在內部網絡與外部網絡的連接端點處，配置協議隔離器來隔離內外網。協議隔離器使用了兩臺不同設備上的通用網絡接口分別連接內部與外部網，而設備之間通過使用專用密碼通信協議的專用接口卡進行互聯。通常情況下，內外網之間是斷開的，只有當有信息交換時，內外網才會可能通過協議隔離器連通。協議隔離是在密碼技術的支持下，采用專用安全通信協議隔離技術實現的。在外人看來，協議隔離器能“通”能“斷”，是一個不可見的黑箱。黑箱內部的核心技術，摒棄了標準化的部件，而采用多項設計的獨有技術。對那些“程序性穿透”攻擊設置了一道不可迂越的障礙，使依靠攻擊程序盜取內網的信息成為不可能。路由器與網絡隔離VLAN與網絡隔離交換機與網絡隔離網絡隔離的基本概念第4章網絡隔離技術網絡隔離的主要方法防火墻與網絡隔離交換機集線器？交換機（續）交換機在網絡中已經成為一種非常重要的設備，在現在組建的局域網中交換機是一種最主要的網絡設備。主要用于連接計算機等網絡終端設備。交換機通常工作在數據鏈路層，在網絡中提供各網段間的幀交換。利用交換機，可以解決帶寬缺乏引起的性能問題，提高網絡的總帶寬交換機允許連接在交換機上的設備并行通訊，設備間通訊不會再發生沖突，因此交換機打破了沖突域，交換機每個接口是一個沖突域，不會與其他接口發生通訊沖突。交換機（續）交換機會在開機后構造一張MAC地址與端口對照表，通過比較數據幀中的目的地址與對照表，將數據幀轉發到正確的端口。若收到的數據幀的目的地址不在對照表中，則用廣播的方式轉發。交換機可以在同一時刻建立多個并發的連接，同時轉發多個幀，從而達到帶寬加倍的效果。傳統交換機連接的主機都屬于同一個局域網,這些主機有相同的廣播域。交換機不能隔離廣播，因此引入了VLAN技術，進一步改善互聯網絡的性能和安全性。路由器與網絡隔離VLAN與網絡隔離交換機與網絡隔離網絡隔離的基本概念第4章網絡隔離技術網絡隔離的主要方法防火墻與網絡隔離VLAN什么是VLAN？VLAN（VirtualLocalAreaNetwork）為“虛擬局域網”，VLAN是一種將局域網（LAN）設備從邏輯上劃分（注意，不是從物理上劃分）成一個個網段（或者說是更小的局域網LAN），從而實現虛擬工作組（單元）的數據交換技術能夠在邏輯上把一個廣播域劃分成多個廣播域劃分VLAN的目的：如果僅有一個廣播域，有可能會影響到網絡整體的傳輸性能VLAN的原理AppTCP,UDPIPDLPhysicalAppTCP,UDPIPDLPhysical傳統的交換機：兩層交換VLAN中的交換機：三層交換VLAN的原理（續）AppTCP,UDPIPDLPhysicalVLAN中的交換機：三層交換路由ACL。。。VLAN的原理（續）每個VLAN對應一個IP網段。在二層上，VLAN之間是隔離的，這點跟二層交換機中交換引擎的功能是一模一樣的。不同IP網段之間的訪問要跨越VLAN，要使用三層轉發引擎提供的VLAN間路由功能。在使用二層交換機和路由器的組網中，每個需要與其他IP網段通信的IP網段都需要使用一個路由器接口作為網關。而第三層轉發引擎就相當于傳統組網中的路由器，當需要與其他VLAN通信時也要在三層交換引擎上分配一個路由接口，用來做VLAN的網關。三層交換機上的這個路由接口是在三層轉發引擎和二層轉發引擎上的，是通過配置轉發芯片來實現的，與路由器的接口不同，它是不可見的。

VLAN在交換機上的實現方法基于端口劃分基于MAC地址劃分基于網絡層劃分根據IP組劃分其他VLAN1VLAN3VLAN2基于端口劃分的VLAN適合于任何大小的網絡交換機內部建立了端口號與VLANtag的映射關系主機A主機D主機C主機BVLAN表基于端口劃分的VLAN（續）優點定義成員時非常簡單,只要將所有的端口都指定一下即可缺點若某個用戶離開了原來的端口,到了一個新的交換機的某個端口,需重新定義基于MAC地址劃分VLAN適用于小型局域網MACAMACDMACCMACB交換機系統建立了主機MAC地址與VLANtag的映射關系主機A主機D主機C主機BVLAN表基于MAC地址劃分VLAN（續）優點用戶物理位置移動時,VLAN不需重新配置基于MAC地址劃分VLAN（續）缺點初始化時,所有用戶都需進行配置因每個端口可能存在很多VLAN組成員,交換機執行效率降低,無法限制廣播包若網卡更換需重新配置VLAN基于網絡層劃分VLANVLAN按網絡層協議來劃分，可分為IP、IPX、DECnet、AppleTalk等VLAN網絡。適用于需要同時運行多協議的網絡基于網絡層劃分VLAN（續）優點用戶的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據協議類型來劃分VLAN，并且可以減少網絡通信量，可使廣播域跨越多個VLAN交換機。缺點效率低下,需檢查每個數據包的網絡層地址根據IP組播劃分VLAN

IP組播實際上也是一種VLAN的定義，即認為一個IP組播組就是一個VLAN適合于不在同一地理范圍的局域網用戶組成一個VLAN根據IP組播劃分VLAN（續）優點：更大的靈活性，而且也很容易通過路由器進行擴展。缺點：不適合局域網，主要是效率不高。按策略劃分VLAN

基于策略的VLAN能實現多種分配，包括端口、MAC地址、IP地址、網絡層協議等適用于需求比較復雜的環境按策略劃分VLAN（續）優點：網絡管理人員可根據自己的管理模式和需求來決定選擇哪種類型的VLAN。

缺點：建設初期步驟繁復。按用戶定義、非用戶授權劃分VLAN是指為了適應特別的VLAN網絡，根據具體的網絡用戶的特別要求來定義和設計VLAN，而且可以讓非VLAN群體用戶訪問VLAN，但是需要提供用戶密碼，在得到VLAN管理的認證后才可以加入一個VLAN。適用于安全性較高的環境路由器與網絡隔離VLAN與網絡隔離交換機與網絡隔離網絡隔離的基本概念第4章網絡隔離技術網絡隔離的主要方法防火墻與網絡隔離路由器的基本概念路由器Internet路由器的基本概念（續）路由器（Router）是用于連接兩個或者多個網絡的網絡互連設備路由器工作在TCP/IP協議棧中的IP層Network1Network1路由器的工作原理（續）路由器的路由功能202.115.22202.115.24202.115.23IP地址？路由器的工作原理（續）尋徑的依據是經過每個路由器中的路由表。路由表指明了從源站點到目的站點的一條路徑。路由協議是生成路由表的方法，分為靜態路由協議和動態路由協議。路由器的工作原理（續）靜態路由協議：手工為每臺路由器編寫一張固定不變的靜態路由表；動態路由協議：為每臺路由器配置一個動態路由尋徑協議，讓該路由協議自動形成和刷新路由表。動態路由協議有：RIP、RIPⅡ、IGRP、EIGRP、OSPF、IS－IS、BGP、EGP等。路由器作用路由器作用（續）隔絕“廣播風暴”路由器連接兩個子網，形成兩個邏輯網段。可以杜絕“廣播風暴”，防止多個網絡受某個網絡的影響太大。路由器作用（續）提供“防火墻”技術增強安全性TCP/IPXNSSPX/IPXTCP/IP具有防火墻特性的路由器成本>防火墻+路由器具有防火墻特性的路由器功能<防火墻+路由器具有防火墻特性的路由器可擴展性<防火墻+路由器路由器與安全體系結構路由器作為安全體系結構的邊界控制組建兩種部署方案：路由器作為整個安全體系的一部分路由器作為唯一的邊界安全設備其他安全設備路由器作為安全體系的一部分路由器是唯一的邊界安全設備路由器與安全體系結構（續）路由器作為安全體系結構的一部分路由器執行最基本的操作：報文轉發包過濾入口過濾出口過濾基于網絡的應用程序識別（Network-BasedApplicationRecognition:NBAR):對流媒體信息進行標記處理；更深層次的概念涉及“服務質量”（QoS）路由器與安全體系結構（續）路由器作為唯一的邊界安全設備需要解決幾個關鍵問題：路由器的位置根據應用需求不同，路由器的位置也不盡相同功能選擇如何合理的選擇路由器功能路由器與安全體系結構（續）路由器的位置路由器作為外部網絡和內部網絡的分隔設備內部網絡外部網絡路由器是作為內部子網的分隔設備內部網絡1內部網絡1內部網絡1結論路由器既是網絡連接設備，也可作為網絡安全設備路由器可以作為整個安全體系的一部分，也可作為唯一的邊界安全設備路由器可以放置在內網和外網的中間，也可作為內部子網的分隔設備在路由器在安全體系結構中的作用需要特別重視路由器與網絡隔離VLAN與網絡隔離交換機與網絡隔離網絡隔離的基本概念第4章網絡隔離技術網絡隔離的主要方法防火墻與網絡隔離防火墻Internet防火墻攔截畫面

防火墻的定義傳統的防火墻概念概念：防火墻被設計用來防止火從大廈的一部分傳播到另一部分IT領域使用的防火墻概念兩個安全域之間通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根據訪問控制規則決定進出網絡的行為一種高級訪問控制設備，置于不同網絡安全域之間的一系列部件的組合，它是不同網絡安全域間通信流的唯一通道，能根據企業有關的安全政策控制（允許、拒絕、監視、記錄）進出網絡的訪問行為。IT領域使用的防火墻概念（續）防火墻（FireWall）是一種隔離控制技術，在某個機構的網絡和不安全的網絡（如Internet）之間設置屏障，阻止對信息資源的非法訪問，也可以使用防火墻阻止重要信息從企業的網絡上被非法輸出。FireWall一般安裝在路由器上以保護一個子網，也可以安裝在一臺主機上，保護這臺主機不受侵犯。

防火墻的發展歷程將過濾功能從路由器中獨立出來，針對用戶需求，提供模塊化的軟件包用戶可根據需要構造防火墻安全性提高了，價格降低了利用路由器本身對分組的解析,進行分組過濾過濾判斷依據：地址、端口號防火墻與路由器合為一體，只有過濾功能適用于對安全性要求不高的網絡環境是批量上市的專用防火墻產品包括分組過濾或者借用路由器的分組過濾功能裝有專用的代理系統，監控所有協議的數據和指令保護用戶編程空間和用戶可配置內核參數的設置安全性和速度大為提高。防火墻廠商具有操作系統的源代碼，并可實現安全內核在功能上包括了分組過濾、應用網關、電路級網關增加了許多附加功能：加密、鑒別、審計、NAT轉換透明性好，易于使用基于通用操作系統的防火墻防火墻工具套基于安全操作系統的防火墻狀態檢測表

提高了效率防止假冒IP攻擊HostCHostDNo訪問控制規則表Yes數據包狀態檢測Vlan2財務部Vlan3技術部Vlan4培訓中心internetVlan網關“防火墻在VLAN網絡”應用internet財務部工程部銷售部行政部“內網安全分段”的應用內部工作子網與外網的訪問控制進行訪問規則檢查發起訪問請求合法請求則允許對外訪問將訪問記錄寫進日志文件合法請求則允許對外訪問發起訪問請求防火墻在此處的功能：1、工作子網與外部子網的物理隔離2、訪問控制3、對工作子網做NAT地址轉換4、日志記錄

Internet區域Internet邊界路由器DMZ區域WWWMailDNS內部工作子網管理子網一般子網內部WWW重點子網DMZ區域與外網的訪問控制

In