第7章網(wǎng)絡安全隔離-2

第7章網(wǎng)絡安全隔離本章學習目標理解網(wǎng)絡安全隔離的意義掌握劃分子網(wǎng)的方法掌握通過創(chuàng)建VLAN實現(xiàn)網(wǎng)絡安全隔離的方法了解物理隔離產(chǎn)品及應用1第7章網(wǎng)絡安全隔離隨著網(wǎng)絡技術的發(fā)展，可以根據(jù)有特殊要求的部門和用戶進行隔離保護，當然這里的隔離保護只是阻止未經(jīng)允許的用戶訪問敏感部門和關鍵用戶網(wǎng)絡，而這些敏感部門和關鍵用戶，可以通過相應配置與其他未被隔離的網(wǎng)絡進行正常的數(shù)據(jù)交換，現(xiàn)在有如下三種解決方案。（1）通過子網(wǎng)掩碼劃分子網(wǎng)對網(wǎng)絡進行隔離。（2）通過劃分VLAN網(wǎng)段對網(wǎng)絡進行隔離。（3）通過構建網(wǎng)絡隔離系統(tǒng)對網(wǎng)絡進行隔離。27.1利用子網(wǎng)掩碼劃分子網(wǎng)的應用7.1.1PacketTracer模擬器簡介37.1利用子網(wǎng)掩碼劃分子網(wǎng)的應用7.1.2項目背景及方案設計1．項目背景某公司申請到198.16.1.0/24網(wǎng)段，設置了生產(chǎn)車間、銷售處、財務處等三個部門，各部門分處不同的地理位置。該公司需要建立內(nèi)部網(wǎng)絡，要求如下。（1）最大的部門可以容納30臺計算機。（2）各部門內(nèi)部計算機終端之間能夠直接通信。（3）各部門之間數(shù)據(jù)信息具有一定的獨立性。（4）財務處的數(shù)據(jù)必須受到嚴格保護，非授權人員不能訪問。（5）公司內(nèi)所有計算機都能夠訪問互聯(lián)網(wǎng)。（6）網(wǎng)絡設備要高速、穩(wěn)定運行。47.1利用子網(wǎng)掩碼劃分子網(wǎng)的應用2．方案設計根據(jù)公司要求，設計方案如下。（1）通過子網(wǎng)掩碼劃分子網(wǎng)，使三個部門分別屬于不同的子網(wǎng)，便于管理。（2）各部門分別配置一臺交換機，用于連接該部門所有終端設備。（3）各部門之間通過路由器連接，實現(xiàn)互相通信，并通過該路由器連接到Internet。（4）方案的網(wǎng)絡拓撲圖如圖7-4所示。（5）路由器Router2端口規(guī)劃如表7-1所示。57.1利用子網(wǎng)掩碼劃分子網(wǎng)的應用圖7-4子網(wǎng)掩碼劃分子網(wǎng)網(wǎng)絡拓撲圖67.1利用子網(wǎng)掩碼劃分子網(wǎng)的應用表7-1Router2端口規(guī)劃設備名稱端口用途Router2FastEthernet0/0連接Switch0FastEthernet0/1連接Switch1FastEthernet1/0連接Switch2FastEthernet1/1連接遠程分支機構77.1利用子網(wǎng)掩碼劃分子網(wǎng)的應用7.1.3實施步驟1．確定子網(wǎng)掩碼2．確定并分配子網(wǎng)及IP地址范圍3．搭建如圖7-4所示網(wǎng)絡環(huán)境，配置Router2路由器4．配置各PC機5．測試子網(wǎng)之間的連通性87.2VLAN子網(wǎng)的劃分7.2.1VLAN簡介VLAN（VirtualLocalAreaNetwork，虛擬局域網(wǎng)）是一種通過將局域網(wǎng)內(nèi)的設備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術。97.2VLAN子網(wǎng)的劃分7.2.2VLAN的劃分1．根據(jù)端口來劃分VLAN2．根據(jù)MAC（MediaAccessControl，介質(zhì)訪問控制）地址劃分VLAN3．根據(jù)網(wǎng)絡層劃分VLAN4．根據(jù)IP組播劃分VLAN107.2VLAN子網(wǎng)的劃分7.2.3VLAN的主要用途1．控制廣播風暴一個VLAN就是一個邏輯廣播域。2．提高網(wǎng)絡的安全性不同VLAN間不可以直接通信，要實現(xiàn)通信必須通過具有網(wǎng)絡層交換功能的路由器或第三層交換機。3．網(wǎng)絡管理簡單、直觀一個VLAN可以根據(jù)部門職能、對象組或者應用將不同地理位置的網(wǎng)絡用戶劃分為一個邏輯網(wǎng)段。在不改動網(wǎng)絡物理連接的情況下可以任意地將工作站在工作組或子網(wǎng)之間移動。117.3單一交換機VLAN的配置在一臺交換機上進行VLAN的劃分及配置，是通過劃分VLAN網(wǎng)段對網(wǎng)絡進行隔離的最簡單、最基本的形式。搭建如圖所示網(wǎng)絡環(huán)境。127.3單一交換機VLAN的配置詳細步驟如下。1．給交換機命名并設置登錄密碼2．顯示VLAN配置信息3．創(chuàng)建VLAN

4．劃分VLAN端口5．保存配置6．測試7．刪除VLAN137.4跨交換機VLAN的配置在多臺交換機上進行VLAN的劃分及配置，是通過劃分VLAN網(wǎng)段對網(wǎng)絡進行隔離的最常用、較復雜的形式。7.4.1VTP簡介VTP（VLANTrunkingProtocol，VLAN鏈路聚集協(xié)議）是一個在建立了匯聚鏈路的交換機之間同步和傳遞VLAN配置信息的協(xié)議，以在同一個VTP域中維持VLAN配置的一致性。在創(chuàng)建VLAN之前，應先定義VTP管理域。147.4跨交換機VLAN的配置1．VTP工作模式VTP有server（服務器）client（客戶端）transparent（透明）2．創(chuàng)建VTP管理域（1）創(chuàng)建VTP管理域（2）設置VTP模式（3）執(zhí)行exit命令退出VLAN數(shù)據(jù)庫配置模式（4）查看VTP信息157.4跨交換機VLAN的配置7.4.2項目背景及方案設計1．項目背景某公司有計算機約50臺，設置了信息處、銷售處、財務處等三個部門，各部門的地理位置如圖7-12所示。該公司需要建立內(nèi)部網(wǎng)絡，要求如下。（1）各部門內(nèi)部計算機終端之間能夠直接通信。（2）各部門之間數(shù)據(jù)信息具有一定的獨立性。（3）公司內(nèi)所有計算機都能夠訪問互聯(lián)網(wǎng)。（4）財務處的數(shù)據(jù)必須受到嚴格保護，非授權人員不能訪問。（5）總經(jīng)理兼管財務處，副總經(jīng)理兼管銷售處。（6）網(wǎng)絡設備要高速、穩(wěn)定運行。167.4跨交換機VLAN的配置圖7-12各部門地理位置圖177.4跨交換機VLAN的配置2．方案設計根據(jù)公司要求，設計方案如下。（1）每層樓配置一臺交換機，用于連接該樓層所有終端設備。（2）創(chuàng)建VTP管理域，為每一個部門創(chuàng)建一個VLAN。（3）在交換機上劃分VLAN，進行跨交換機VLAN的配置，實現(xiàn)各VLAN內(nèi)部計算機終端能相互通信。（4）給各VLAN創(chuàng)建虛擬子端口IP地址，實現(xiàn)VLAN間的通信。（5）使用路由器連接到Internet。（6）方案的網(wǎng)絡拓撲圖如圖7-13所示。187.4跨交換機VLAN的配置圖7-13網(wǎng)絡拓撲圖197.4跨交換機VLAN的配置（7）各部門IP地址規(guī)劃和各設備端口規(guī)劃如表7-4、表7-5所示。表7-4各部門地址分配部門名稱地址空間所屬VLAN虛擬子端口IP地址（默認網(wǎng)關）示例PC機名稱總經(jīng)理192.168.5.100/24VLAN30192.168.5.1/24PC0副總經(jīng)理192.168.3.101/24VLAN20192.168.3.1/24PC1財務處192.168.5.0/24VLAN30192.168.5.1/24PC4信息處192.168.2.0/24VLAN10192.168.2.1/24PC2、PC6銷售處192.168.3.0/24VLAN20192.168.3.1/24PC3、PC520表7-5各設備端口規(guī)劃設備名稱端口用途端口類型R0FastEthernet0/0連接CORE路由端口FastEthernet0/1連接遠程分支機構路由端口COREFastEthernet0/1-5連接用戶PCAccess端口，VLAN10FastEthernet0/11連接總經(jīng)理PCAccess端口，VLAN30FastEthernet0/12連接副總經(jīng)理PCAccess端口，VLAN20FastEthernet0/22連接SWBTrunk端口FastEthernet0/23連接SWATrunk端口FastEthernet0/24連接R0三層交換端口SWAFastEthernet0/1-5連接用戶PCAccess端口，VLAN10FastEthernet0/6-10連接用戶PCAccess端口，VLAN20FastEthernet0/24連接CORETrunk端口SWBFastEthernet0/1-5連接用戶PCAccess端口，VLAN30FastEthernet0/6-10連接用戶PCAccess端口，VLAN20FastEthernet0/24連接CORETrunk端口217.4跨交換機VLAN的配置7.4.3VLAN配置步驟227.5網(wǎng)絡隔離概述7.5.1網(wǎng)絡隔離技術1．理解網(wǎng)絡隔離網(wǎng)絡中的“隔離”并不是網(wǎng)絡間完全斷開，而是隔離不安全因素，使受保護的網(wǎng)絡能安全地與外部網(wǎng)絡通信。2．網(wǎng)絡隔離技術分類（1）物理隔離（2）網(wǎng)絡隔離（3）安全隔離237.5網(wǎng)絡隔離概述3．網(wǎng)絡隔離技術發(fā)展階段（1）完全的物理隔離（2）硬件隔離卡隔離（3）數(shù)據(jù)轉(zhuǎn)播隔離（4）空氣開關隔離（5）安全通道隔離247.5網(wǎng)絡隔離概述7.5.2網(wǎng)絡隔離安全要素1．隔離產(chǎn)品自身有較高的安全性2．確保網(wǎng)絡包不能到達受保護網(wǎng)絡3．只允許應用層數(shù)據(jù)交換4．在確保安全的前提下盡可能暢通257.6物理隔離物理隔離是指內(nèi)部網(wǎng)絡不得直接或間接地連接外部網(wǎng)絡即互聯(lián)網(wǎng)。7.6.1物理隔離原理物理隔離設備在任意時刻只能與一個網(wǎng)絡的主機系統(tǒng)建立非TCP/IP協(xié)議的數(shù)據(jù)連接，即當它與外部網(wǎng)絡的主機系統(tǒng)連接時，它與內(nèi)部網(wǎng)絡的主機系統(tǒng)必須是斷開的，反之亦然，保證內(nèi)、外部網(wǎng)絡不能同時連接在物理隔離設備上。267.6物理隔離通過如下步驟對物理隔離原理進行說明。（1）當內(nèi)網(wǎng)與專網(wǎng)之間無信息交換時，物理隔離設備與內(nèi)網(wǎng)之間、物理隔離設備與專用網(wǎng)之間、內(nèi)網(wǎng)與外網(wǎng)之間是完全斷開的。圖7-15277.6物理隔離（2）當外網(wǎng)有數(shù)據(jù)需要到達內(nèi)網(wǎng)的時候，控制電路控制隔離設備與外網(wǎng)服務器建立非TCP/IP的數(shù)據(jù)連接。圖7-16287.6物理隔離（3）一旦數(shù)據(jù)完全寫入外網(wǎng)存儲設備，隔離設備在控制電路的控制下立即中斷與外網(wǎng)的連接，轉(zhuǎn)而發(fā)起對內(nèi)網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)連接。圖7-17297.6物理隔離（4）在控制臺收到完整的交換信號之后，控制電路控制隔離設備立即切斷隔離設備與內(nèi)網(wǎng)的連接，又回到圖7-15所示內(nèi)外網(wǎng)完全斷開狀態(tài)。307.6物理隔離（5）如果這時內(nèi)網(wǎng)有文件需要發(fā)出，隔離設備在收到內(nèi)網(wǎng)建立連接的請求之后，控制電路控制隔離設備建立與內(nèi)網(wǎng)之間的非TCP/IP協(xié)議的數(shù)據(jù)連接。圖7-18317.6物理隔離（6）當數(shù)據(jù)完全寫入內(nèi)網(wǎng)專用存儲設備后，控制電路控制隔離設備立即中斷與內(nèi)網(wǎng)的連接圖7-19327.6物理隔離（7）在所有的數(shù)據(jù)發(fā)送完成后，控制電路就會控制隔離設備立即中斷隔離設備與外肉的連接，恢復到如圖7-15所示的完全隔離狀態(tài)。337.6物理隔離7.6.2物理隔離卡1．物理隔離卡物理隔離卡是物理隔離的低級實現(xiàn)形式，一個物理隔離卡只能管一臺個人計算機，甚至只可能在Windows環(huán)境下工作，每次切換都需要開關機一次。2．物理隔離卡產(chǎn)品：ZSD-32S單硬盤物理隔離卡ZSD-32S單硬盤物理隔離卡系列是宙斯盾公司研制的擁有自主產(chǎn)權的新一代網(wǎng)絡安全物理隔離產(chǎn)品。347.6物理隔離7.6.3物理隔離網(wǎng)閘1．物理隔離網(wǎng)閘物理隔