第7章網絡隔離技術網絡隔離概述物理網絡隔離邏輯網絡隔離7.1網絡隔離概述7.1網絡隔離概述網絡隔離技術是指兩個或兩個以上的計算機或網絡在斷開連接的基礎上，實現信息交換和資源共享，也就是說，通過網絡隔離技術既可以使兩個網絡實現物理上的隔離，又能在安全的網絡環境下進行數據交換。網絡隔離技術的主要目標是將有害的網絡安全威脅隔離開，以保障數據信息在可信網絡內在進行安全交互。目前，一般的網絡隔離技術都是以訪問控制思想為策略，物理隔離為基礎，并定義相關約束和規則來保障網絡的安全強度。7.1網絡隔離概述網絡隔離技術的目標是確保隔離非法的網絡攻擊，在保證不可信網絡和可信網絡內部信息不外泄的前提下，完成網絡之間數據的安全交換。網絡中的“隔離”一詞與現實生活中的“隔離”存在某種認識上的區別，從傳統意義來理解“隔離”使兩個網絡真正分開，但這樣來談網絡安全是沒有任何意義的。事實上，網絡安全中的“隔離”后的兩個網絡并非完全沒有聯系，還是需要有正常的應用層數據交換的。網絡隔離技術主要分為物理網絡隔離技術和邏輯網絡隔離。7.2物理網絡隔離7.2物理網絡隔離物理網絡隔離是通過專用硬件和安全協議來確保兩個鏈路層斷開的網絡能夠實現數據信息在可信網絡環境中進行交互、共享。一般情況下，網絡隔離技術主要包括內網處理單元、外網處理單元和專用隔離交換單元三部分內容，其中，內網處理單元和外網處理單元都具備一個獨立的網絡接口和網絡地址來分別對應連接內網和外網，而專用隔離交換單元則是通過硬件電路控制高速切換連接內網或外網。物理網絡隔離技術的基本原理通過專用物理硬件和安全協議在內網和外網的之間架構起安全隔離網墻，使兩個系統在空間上物理隔離，同時又能過濾數據交換過程中的病毒、惡意代碼等信息，以保證數據信息在可信的網絡環境中進行交換、共享，同時還要通過嚴格的身份認證機制來確保用戶獲取所需數據信息。物理安全隔離產品常見的有物理隔離卡、物理隔離集線器和物理隔離網閘3大類。7.2.1物理隔離卡物理隔離卡（也稱“網絡安全隔離卡”，NETSECURITYSEPARATECARD）是物理隔離的低級實現形式，屬于端設備物理隔離設備，通過物理隔離的方式，在二個網絡間轉換時，保證計算機的數據在網絡之間不被重用。7.2.1物理隔離卡物理隔離卡包括雙硬盤物理隔離卡和單硬盤物理隔離卡。雙硬盤物理隔離卡工作原理是在現有的計算機中增加一個硬盤，通過隔離卡上的控制和開關電路，實現工作站在內外網雙重工作狀態，兩個狀態是完全物理隔離。當一個硬盤工作時，另一個硬盤處于斷電不工作狀態。單硬盤物理隔離卡工作原理是通過對單個硬盤上磁道的讀寫控制技術，在一個硬盤上分隔出兩個工作區間，這兩個區間無法互相訪問。它以物理方式將一臺電腦虛擬為兩部電腦，實現工作站的雙重狀態，既可在安全狀態，又可在公共狀態，且兩種狀態是完全隔離的，從而使一部工作站可在完全安全狀態下連接內外網。安全隔離卡被設置在PC的物理層上，內、外網的連接均需通過網絡安全隔離卡，在任何時候，數據只能通往一個分區。在安全狀態時，主機只能使用硬盤的安全區與內部網連接，而此時外部網（如Internet）連接是斷開的，且硬盤的公共區的通道是封閉的；在公共狀態時，主機只能使用硬盤的公共區與外部網連接，而此時與內部網是斷開的，且硬盤安全區也是被封閉的7.2.2物理隔離集線器物理隔離集線器（也稱“網絡線路選擇器”和“網絡安全集線器”等，NetSecuritySeparateHub）是一種多路開關切換設備，它與物理隔離卡配合使用，對其發出檢測信號，識別出所連接的計算機，自動切換到對應網絡集線器上進行互聯，從而實現計算機與可信網絡和不可信網絡之間的安全連接與自動切換。7.2.3物理隔離網閘1.網閘系統結構物理隔離網閘（也稱“網絡安全隔離網閘”，NetSecuritySeparateGAP），是利用雙主機系統和重用隔離交換系統的系統結構，斷開內網和外部網絡，從物理上來隔離阻斷潛在攻擊的連接，確保內/外網絡之間的安全隔離。其中包括一系列的阻斷特征，如沒有通信連接，沒有命令，沒有協議，沒有TCP/IP連接，沒有應用連接，沒有包轉發，只有文件“擺渡”，對固態介質只有讀和寫兩個命令。所以，物理隔離網閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使“黑客”無法入侵、無法攻擊、無法破壞，實現了真正的安全。7.2.3物理隔離網閘2.網閘工作原理當外網需要有數據到達內網的時候，通過網閘時，首先會被還原為不包含任何附加信息的純數據，經過嚴格檢查數據合法性后，按照專用協議對這些數據進行處理和轉發。以電子郵件為例，外部的服務器立即發起對隔離設備的非TCP/IP協議的數據連接，隔離設備將所有的協議剝離，將原始的數據寫入存儲介質。一旦數據完全寫入隔離設備的存儲介質，隔離設備立即中斷與外網的連接。轉而發起對內網的非TCP/IP協議的數據連接。隔離設備將存儲介質內的數據推向內網。內網收到數據后，立即進行TCP/IP的封裝和應用協議的封裝，并交給應用系統。當內網有電子郵件要發出，隔離設備收到內網建立連接的請求之后，建立與內網之間的非TCP/IP協議的數據連接。隔離設備剝離所有的TCP/IP協議和應用協議，得到原始的數據，將數據寫入隔離設備的存儲介質。因此，在內網和外網之間只傳遞“純數據”而不傳遞冗余數據等存在安全隱患的信息，過濾掉了基于通信協議漏洞的攻擊，保證內/外網之間交換信息的安全性和可靠性。7.3邏輯網絡隔離7.3邏輯網絡隔離物理網絡隔離需要做兩套或幾套網絡，一般為內網、外網。客戶端需要安裝專用的硬件隔離設備,這種類型雖然很安全但非常昂貴。邏輯網絡隔離又叫協議隔離，指處于不同安全域的網絡在物理上是有連線的，通過協議轉換的手段保證受保護信息在邏輯上是隔離的，只有被系統要求傳輸的、內容受限的信息可以通過。邏輯隔離的核心是協議，協議是可定義傳輸方向和被監控。傳輸的方向是可控制的單向傳輸，可雙向。但所有的傳輸是可以被監控，非封閉或加密的協議。被保護端和公開端間的數據傳輸是可以監控的。邏輯隔離一般采用兩套或幾套網絡共用一套網絡設備，在網絡設備上做配置，使各個網段不能互相訪問。這種隔離技術相對于物理網絡隔離而言安全性較低，容易泄露數據。邏輯網絡隔離根據所采用的協議層次可以從數據鏈路層、網絡層來進行。7.3.1VLAN在交換機支持VLAN（VirtualLocalAreaNetwork，虛擬局域網）的場合下，可以采取虛擬局域網隔離的方式，通過使用VLAN標簽將事先指定的交換端口保留在各自廣播區域中，從而實現邏輯隔離網絡目的。基于VLAN隔離技術的網絡管控措施，在一些規模不大的小型局域網中得到廣泛的應用。VLAN是一個在物理網絡上可以根據用途，工作組、應用等來邏輯劃分的局域網絡，與用戶的物理位置沒有關系，每個組之間的網絡設備在二層鏈路上互相隔離，形成不同的廣播域。VLAN中的網絡用戶是通過LAN交換機來通信的。一個VLAN中的成員看不到另一個VLAN中的成員。7.3.1VLANVLAN的功能：（1）端口的分隔。即便在同一個交換機上，處于不同VLAN的端口也是不能通信的。這樣一個物理的交換機可以當作多個邏輯的交換機使用。（2）網絡的安全。不同VLAN不能直接通信，杜絕了廣播信息的不安全性。（3）靈活的管理。更改用戶所屬的網絡不必換端口和連線，只更改軟件配置就可以了。7.3.1VLANVLAN在交換機上的實現方法，可以大致劃分為六類：1.基于端口的VLAN2.基于MAC地址的VLAN3.基于網絡層協議的VLAN4.根據IP組播的VLAN5.按策略劃分的VLAN6.按用戶定義、非用戶授權劃分的VLAN7.3.2VPN1.VPN概述VPN（VirtualPrivateNetwork，VPN）即虛擬專用網絡。所謂虛擬，是指用戶不再需要擁有實際的長途數據線路，而是使用Internet公眾數據網絡的長途數據線路。所謂專用網絡，是指用戶可以為自己制定一個最符合自己需求的網絡。所以VPN就是在Internet網絡中建立一條虛擬的專用通道，讓兩個遠距離的網絡客戶能在一個專用的網絡通道中相互傳遞資料而不會被外界干擾或竊聽。VPN屬于遠程訪問技術的一種，簡單地說就是利用公用網絡架設專用網絡。例如某公司員工出差到外地，他想訪問企業內網的服務器資源，這種訪問就屬于遠程訪問。7.3.2VPN2.VPN的原理隨著接入互聯網的計算機越來越多，IP地址資源越來越不夠用，因此很多企業或組織機構在組建內部網絡的時候都采用私有網絡地址組網，然而隨著業務或者機構的擴展，當兩個或多個都采用私有網絡地址的局域網需要進行直接通信時，位于這兩個網絡之下的計算機卻不能互聯互通。這是因為私有網絡地址不能在公用網絡上進行路由。而VPN的原理就是在兩個采用私有網絡地址組網的局域網之間通過公用網絡建立一條專用通道，私有網絡之間的數據經過發送端的設備封裝，通過在公用網絡建立的專用通道進行傳輸到達目的地，然后再接收端解封裝，還原成私有網絡的數據，再轉發到私有網絡中。對于需要通信的兩個私有網絡來說，只需要在各自網絡上增加可以連接在公網上的一臺特殊設備即可，而不必在兩個私有網絡之間租用一條專用線路，就可以通過公用網絡進行通信。由于VPN是通過公用網絡傳遞私有網絡的數據，因此，通過VPN傳遞的數據需要進行加密或者壓縮。通信的雙方通過一系列協商好的協議進行，從而在私有網絡之間建立一個專門的VPN通告。這些設備和協議構成了一個完整的VPN系統。7.3.2VPN一個完整的VPN系統包括以下三個部分：1）VPN服務器端VPN服務器端是能夠接收和驗證VPN連接請求，并處理數據打包和解包工作的設備，如一臺計算機或帶VPN功能的路由器等。VPN服務器端要求擁有一個獨立的公網IP。2）VPN客戶端VPN客戶機端是能夠發起VPN連接請求，并且也可以進行數據打包和解包作的設備，如一臺計算機。VPN客戶端要求能夠接入Internet。3）VPN數據通道VPN數據通道是一條建立在公用網絡上的數據鏈接。其實，所謂的服務器端和客戶端在VPN連接建立之后，在通信過程中扮演的角色是一樣的，區別僅在于連接是由誰發起的而已，發起連接端為客戶斷，接收連接請求的為服務器端。7.3.2VPN3.VPN分類VPN按照不同的分類標準,VPN有多種分類方式。按照隧道協議的網絡分層，VPN可以劃分為第二層隧道協議和第三層隧道協議，其中PPTP和L2TP協議工作在OSI參考模型的第二層即數據鏈路層，又稱為二層隧道協議，IPSec是第三層隧道協議。第二層和第三層隧道協議的區別主要在于用戶數據在網絡協議棧的第幾層被封裝。按照VPN隧道建立的方式可以分為自愿隧道和強制隧道。自愿隧道是指用戶計算機或者路由器可以通過發送VPN請求配置和創建的隧道。這種方式也稱為基于用戶設備的VPN。強制隧道是指由VPN服務提供商配置和創建的隧道。這種方式也稱為基于網絡的VPN。7.3.2VPN4.VPN的應用類型VPN應用有遠程接入VPN、IntranetVPN和ExtranetVPN三種類型。遠程接入VPN也稱為虛擬專用撥號網絡（VPDN），它是一種用戶到LAN的連接，通常用于員工需要從各種遠程位置連接到專用網絡的公司。遠程接入VPN能夠通過第三方服務提供商在公司專用網絡和遠程用戶之間實現加密的安全連接。IntranetVPN用于將企業內部多個遠程位置的局域網加入到一個專用網絡中，以便將LAN連接到另一個LAN。ExtranetVPN加強企業與用戶、合作伙伴之間的關系的聯系，從而可以建立一個ExtranetVPN，以便將LAN連接到另一個LAN，同時讓所有公司都能在一個共享環境中工作。7.3.2VPN5.VPN常用的部署方案1）采用純軟件方式，總部安裝VPN軟件網關，分部安裝VPN分部網關，移動用戶（包括在外的筆記本和遠程的單機）安裝VPN客戶端。這種方案有用微軟的操作系統和桌面系統來做的,也有第三方開發的VPN服務與客戶端軟件。2）總部采用帶VPN功能防火墻，分部用帶VPN功能的寬帶路由器，移動用戶（包括在外的筆記本和遠程的單機）安裝防火墻帶的VPN客戶端。VPN防火墻這類設備相對一般的帶VPN功能的寬帶路由器來說比較專業。3）總部采用帶VPN功能寬帶路由器，分部能上寬帶的用帶VPN功能的寬帶路由器，移動用戶（包括在外的筆記本和遠程的單機）安裝WINDOWS自帶的VPN客戶端。對于較大的企業來說可以選擇第二種方案，在網絡性能方面有更高考慮。因為在使用VPN加解密技術后，數據的傳送速度將相應下降。小企業一般采用第三種方案就足夠了。7.3.3路由隔離在計算機網絡中路由器實現了不同網絡的相互連接，隨著絡應用的不斷提高，越來越需要對這種網絡互連加以一定的限制，而路由器也具有一定的網絡隔離功能，它的隔離功能主要通過訪問控制技術來實現，通過制定訪問控制列表達到對數據報文轉發進行過濾和控制，只允許訪問控制列表中許可的報文通過路由器進行轉發。1.訪問控制列表概述訪問控制列表（AccessControlList,ACL）是一個路由器配置腳本，它根據分組報頭中的條件控制路由器允許還是拒絕分組。ACL是最常用的路由器的軟件功能之一，它還可以用于選擇數據流類型，以便對其進行分析、專發或其他處理。路由器的訪問控制列表是網絡安全保障的第一道關卡。訪問列表提供了一種機制，它可以控制和過濾通過路由器的不同接口去往不同方向的信息流。默認情況下，路由器沒有配置任何ACL，因此不會過濾數據流，進入路由器的數據流將根據路由選擇表進行路由。如果路由器使用ACL，所有可被路由的分組都將經路由器進入下一個網段。7.3.3路由隔離2.ACL作用ACL可以執行如下任務。1）限制網絡數據流以提高網絡性能。2）提供網絡流量控制。ACL可限制路由選擇更新的傳輸。如果網絡狀況不需要更新，便可節約帶寬。3）提供基本的網絡安全訪問。ACL可允許某臺主機訪問部分網絡，同時阻止另一臺主機訪問該區域。例如，只允許特定用戶訪問人力資源網絡。4）在路由器接口上決定轉發或阻止哪些類型的數據流。例如，ACL可允許電子郵件數據流，但阻止所有Telnet數據流。5）控制客戶端可訪問網絡的哪些區域。6）允許或拒絕主機訪問網絡服務。ACL可允許或拒絕用戶訪問特定文件類型，如FTP或HTTP。7.3.3路由隔離3.ACL的工作原理ACL定義了一組規則，用于控制進入入站接口的分組、通過路由器中繼的分組以及經路由器出站接口外出的分組。ACL對路由器本身生成的分組不起作用。ACL要么應用于入站數據流要么應用于出站數據流。入站ACL：對到來的分組進行處理后再路由到出站接口。入站ACL的效率很高，因為如果分組被丟棄，便可避免路由查找開銷。僅當分組通過測試后，路由器才對其進行路由。