【文档说明】计算机科学与工程学院(同名83)课件.ppt，共(45)页，386.939 KB，由小橙橙上传

转载请保留链接：https://www.ichengzhen.cn/view-77404.html

以下为本文档部分文字说明：

计算机科学与工程学院(同名83)课件总结网络隔离的主要方法网络隔离的基本内容网络隔离的基本概念第5章网络隔离技术路由器与安全体系结构2022/12/1••总结网络隔离的主要方法网络隔离的基本内容网络隔离的基本概念第5章网络隔离技术路由器与安全体系结构2022/1

2/1••目标掌握路由器的工作原理掌握路由器在信息安全体系结构中的作用了解路由器与防火墙的协同工作方法2022/12/1••TCP/IP基础TCP/IP协议栈2022/12/1••TCP/IP基础（续）协议数据的封装2022/12/1••路由器的基本概念路由器（Router）是用

于连接两个或者多个网络的网络互连设备路由器工作在TCP/IP协议栈中的IP层Network1Network12022/12/1••路由器的工作原理（续）路由器的协议层次应用层传输层网络层数据链路层物理层应用层传输层网络层数据链路层物理层网络层数据链路层物理层2022/12/1••路由器的工作原

理（续）路由器的路由功能202.115.22202.115.24202.115.23IP地址？2022/12/1••路由器与安全体系结构路由器作为安全体系结构的边界控制组建两种部署方案：路由器作为整个安全体系的一部分路由器作为唯一的边界

安全设备其他安全设备路由器作为安全体系的一部分路由器是唯一的边界安全设备2022/12/1••路由器与安全体系结构（续）路由器作为安全体系结构的一部分路由器执行最基本的操作：报文转发包过滤入口过

滤出口过滤基于网络的应用程序识别（Network-BasedApplicationRecognition:NBAR):对流媒体信息进行标记处理；更深层次的概念涉及“服务质量”（QoS）2022/12/1••路由器与

安全体系结构（续）路由器作为唯一的边界安全设备需要解决几个关键问题：路由器的位置根据应用需求不同，路由器的位置也不尽相同功能选择如何合理的选择路由器功能2022/12/1••路由器与安全体系结构（续）路由器的位置路由器作为

外部网络和内部网络的分隔设备内部网络外部网络路由器是作为内部子网的分隔设备内部网络1内部网络1内部网络12022/12/1••路由器与安全体系结构（续）如何合理的选择路由器功能？网络地址转换包过滤状态包过滤访问

控制2022/12/1••路由器的加固路由器加固指提高路由器自身的安全性加固方法有：加固操作系统锁住管理点：Telnet：远程登录SSH：安全脚本TFTP/FTP：文件传输SNMP：简单网络管理认证和口令禁止服务器（如Bootp，HTTP等）2022/12/1••路由器的加固

（续）禁止不必要的服务：如NTP，finger等阻断因特网控制消息协议（ICMP）禁止源路由路由器日志查看2022/12/1••结论路由器既是网络连接设备，也可作为网络安全设备路由器可以作为整个安全体系的一部分，也可作为唯一

的边界安全设备路由器可以放置在内网和外网的中间，也可作为内部子网的分隔设备在路由器在安全体系结构中的作用需要特别重视2022/12/1••总结网络隔离的主要方法网络隔离的基本内容网络隔离的基本概念第5章网络隔离技

术路由器与安全体系结构2022/12/1••资源隔离技术什么是资源隔离？资源隔离是将不同的资源划归为同一个安全区域。什么是安全区域（SecureZone）？安全区域是属于同一个物理或者逻辑组织的一组

资源集合划分安全区域的目的是：更好的规划和设计安全策略什么是资源？物理设备：网络设备、主机设备、电子设备。。。。应用和程序：Web服务器，Mail服务器，。。。数据：文档，数据库。。。。2022/12/1••资源隔离技术（续）为什么需要进行资源隔离？资源隔离的主要目的是将入侵行

为带来的影响控制在特定的区域资源隔离有助于更好的实施安全策略资源隔离有助于实施管理2022/12/1••资源隔离的内容资源隔离的内容子网隔离主机隔离服务隔离用户隔离数据隔离广义的资源隔离包括网络隔离2022/12/1••资源隔离的内容（续）子网隔离安全性要求不同的

部门属于不同子网不同的业务部门属于不同子网物理距离大的部门属于不同的子网财务部市场部财务部市场部信息部生产部信息部生产部财务部市场部财务部市场部2022/12/1••资源隔离的内容（续）主机隔离DBMailMail2022/12/1••资

源隔离的内容（续）服务隔离Mail&DBMail2022/12/1••资源隔离的内容（续）用户隔离管理员&其他用户管理员其他用户2022/12/1••资源隔离的内容（续）数据隔离DB&DOCDB2022/12/1••资源隔离的主要依据资源敏感度不同敏感度的资源属于不同的安全区域资源

受到损害的可能性易受损害的资源和不易受损害的资源属于不同的安全区域易管理性资源分隔应该有利于管理设计者自己的分类标准根据安全策略进行资源分隔2022/12/1••资源隔离的基本方法同一子网内的资源隔离不同子网的资源隔离2022/12/1••资源隔离的基本方法（续）同一子网内的资

源隔离如果不同的服务确实需要运行在同一主机之上，可以采用以下方法：不同服务用不同的用户身份进行管理使用特定的工具进行安全区域的划分：如目录分隔，磁盘分区分隔等使用专用服务器来提供安全区域不同服务尽可能运行在

不同的服务器上2022/12/1••资源隔离的基本方法（续）不同子网的资源隔离广播子网与其他子网隔离2022/12/1••资源隔离的基本方法（续）不同子网的资源隔离公共子网和内部子网隔离内部服务器外部服务器工作站内部服务器

外部服务器工作站2022/12/1••实现资源隔离的技术路由器防火墙交换机VLAN2022/12/1••实现资源隔离的技术（续）路由器Internet2022/12/1••实现资源分隔的技术（续）防火墙Internet2022/12/1•

•实现资源分隔的技术（续）防火墙Internet2022/12/1••实现资源分隔的技术（续）VLANVLAN是实现资源隔离的有效方法VLAN1VLAN3VLAN22022/12/1••实现资源分隔的技术（续）VLAN的原理AppTCP,UDPIPDLPhysicalAppTCP,

UDPIPDLPhysical传统的交换机：两层交换VLAN中的交换机：三层交换2022/12/1••实现资源分隔的技术（续）VLAN的原理AppTCP,UDPIPDLPhysicalVLAN中的交换机：三层交换路由ACL。。。2022/

12/1••资源隔离实例分析邮件服务器分隔Internet内部邮件服务中心服务器公共邮件中继服务器2022/12/1••资源隔离实例分析DNS服务器分隔Internet内部DNS服务器公共DNS服务器2022/12/1••资源隔离实例分析（续）无线接入分隔Internet内

部服务器区公共服务器区无线电发射塔无线笔记本无线笔记本工作站工作站边界防火墙内部防火墙2022/12/1••总结广义的资源隔离包括网络隔离资源隔离可以在一定程度上降低安全风险，从而优化安全体系结构资源隔离的内容包括：子网隔离、主机隔离、服务隔离、用户隔离、数据隔离资源隔离的

技术包括：路由器、防火墙，交换机和VLAN2022/12/1••教材与参考书教材：李毅超曹跃，网络与系统攻击技术电子科大出版社2007周世杰陈伟钟婷，网络与系统防御技术电子科大出版社2007参考书阙喜戎等编著，信息安全原理及应用，清华大学出版社ChristopherM.King,Cur

itisE.Dalton,T.ErtemOsmanoglu（常晓波等译）.安全体系结构的设计、部署与操作，清华大学出版社，2003(ChristopherM.King,etal,SecurityArchitecture

,design,deployment&Operations)WilliamStallings，密码编码学与网络安全－原理与实践（第三版），电子工业出版社，2004StephenNorthcutt，深入剖析网络边界安全，机械工业出版社，2003冯登国，计算机通信网络安全，

2001BruceSchneier,AppliedCryptography,Protocols,lithddiC(2dEditi)(应用2022/12/1••AnyQuestion?Q&A2022/12/1••