網(wǎng)絡(luò)安全ch4 網(wǎng)絡(luò)隔離技術(shù)

網(wǎng)絡(luò)安全

張磊華東師范大學(xué)軟件學(xué)院路由器與網(wǎng)絡(luò)隔離VLAN與網(wǎng)絡(luò)隔離交換機(jī)與網(wǎng)絡(luò)隔離網(wǎng)絡(luò)隔離的基本概念第4章網(wǎng)絡(luò)隔離技術(shù)網(wǎng)絡(luò)隔離的主要方法防火墻與網(wǎng)絡(luò)隔離路由器與網(wǎng)絡(luò)隔離VLAN與網(wǎng)絡(luò)隔離交換機(jī)與網(wǎng)絡(luò)隔離網(wǎng)絡(luò)隔離的基本概念第3章網(wǎng)絡(luò)隔離技術(shù)網(wǎng)絡(luò)隔離的主要方法防火墻與網(wǎng)絡(luò)隔離網(wǎng)絡(luò)隔離技術(shù)的目標(biāo)面對(duì)新型網(wǎng)絡(luò)攻擊手段的出現(xiàn)和高安全度網(wǎng)絡(luò)對(duì)安全的特殊需求，全新安全防護(hù)防范理念的網(wǎng)絡(luò)安全技術(shù)——“網(wǎng)絡(luò)隔離技術(shù)”應(yīng)運(yùn)而生。網(wǎng)絡(luò)隔離技術(shù)的目標(biāo)是確保把有害的攻擊隔離，在可信網(wǎng)絡(luò)之外和保證可信網(wǎng)絡(luò)內(nèi)部信息不外泄的前提下，完成網(wǎng)間數(shù)據(jù)的安全交換。網(wǎng)絡(luò)隔離技術(shù)是在原有安全技術(shù)的基礎(chǔ)上發(fā)展起來(lái)的，它彌補(bǔ)了原有安全技術(shù)的不足，突出了自己的優(yōu)勢(shì)。網(wǎng)絡(luò)隔離概念網(wǎng)絡(luò)隔離，英文名為NetworkIsolation：兩個(gè)或兩個(gè)以上的計(jì)算機(jī)或網(wǎng)絡(luò)在斷開(kāi)連接的基礎(chǔ)上，實(shí)現(xiàn)信息交換和資源共享物理隔離協(xié)議隔離網(wǎng)絡(luò)隔離的核心是物理隔離物理隔離的一個(gè)特征，就是內(nèi)網(wǎng)與外網(wǎng)永不連接，內(nèi)網(wǎng)和外網(wǎng)在同一時(shí)間最多只有一個(gè)同隔離設(shè)備建立非TCP／IP協(xié)議的數(shù)據(jù)連接。協(xié)議隔離是在密碼技術(shù)的支持下，采用專(zhuān)用安全通信協(xié)議隔離技術(shù)實(shí)現(xiàn)的。網(wǎng)絡(luò)隔離技術(shù)的概念來(lái)源網(wǎng)絡(luò)隔離的概念源于人工烤盤(pán)Sneakernet輪渡人工烤盤(pán)

人工拷盤(pán)是已知的最早的網(wǎng)絡(luò)隔離技術(shù)。最早的計(jì)算機(jī)是單機(jī)的，不同的計(jì)算機(jī)還沒(méi)有聯(lián)網(wǎng)。沒(méi)有聯(lián)網(wǎng)的兩個(gè)計(jì)算機(jī)之間要交換數(shù)據(jù)，最簡(jiǎn)單的辦法是人工拷盤(pán)。要特別強(qiáng)調(diào)，在人工拷盤(pán)的任何時(shí)刻，兩個(gè)計(jì)算機(jī)之間是完全斷開(kāi)的，沒(méi)有聯(lián)網(wǎng)的。在拷盤(pán)的時(shí)候，當(dāng)計(jì)算機(jī)操作人員在一臺(tái)計(jì)算機(jī)里拷盤(pán)時(shí)，與另外一臺(tái)計(jì)算機(jī)是完全斷開(kāi)的；當(dāng)計(jì)算機(jī)操作人員把磁盤(pán)拿出的時(shí)候，與兩臺(tái)計(jì)算機(jī)都是完全斷開(kāi)的；當(dāng)計(jì)算機(jī)操作人員把文件數(shù)據(jù)復(fù)制到目的計(jì)算機(jī)時(shí)，與原來(lái)的計(jì)算機(jī)是完全斷開(kāi)的。在任何時(shí)候，兩臺(tái)交換文件數(shù)據(jù)的計(jì)算機(jī)，總是斷開(kāi)的。Sneakernet（人力網(wǎng)）人在兩臺(tái)計(jì)算機(jī)或兩個(gè)網(wǎng)絡(luò)之間使用軟盤(pán)、移動(dòng)硬盤(pán)等可以移動(dòng)的存儲(chǔ)介質(zhì)來(lái)交換文件或數(shù)據(jù)，這樣兩個(gè)隔離的計(jì)算機(jī)或網(wǎng)絡(luò)與人一起便構(gòu)成了一個(gè)邏輯上的虛擬網(wǎng)絡(luò)輪渡網(wǎng)絡(luò)隔離有多種方式，其中最重要的一種方式是網(wǎng)閘。網(wǎng)閘的概念主要是源于輪渡。對(duì)輪渡的工作機(jī)理的借鑒，大大地推動(dòng)了網(wǎng)絡(luò)隔離的研究發(fā)展，直接導(dǎo)致網(wǎng)閘技術(shù)的出現(xiàn)?！跋萝?chē)改乘輪船”的現(xiàn)象啟發(fā)人們研究協(xié)議的剝離技術(shù)，“下船改成汽車(chē)”的現(xiàn)象啟發(fā)人們研究協(xié)議的重建技術(shù)，“輪船載人渡河”啟發(fā)人們研究文件“擺渡”，最后實(shí)現(xiàn)了在兩網(wǎng)斷開(kāi)的情況下可以進(jìn)行數(shù)據(jù)交換。從兩臺(tái)主機(jī)在斷開(kāi)的情況下可以實(shí)現(xiàn)數(shù)據(jù)交換，到兩個(gè)網(wǎng)絡(luò)之間在斷開(kāi)的情況下也可以實(shí)現(xiàn)數(shù)據(jù)交換網(wǎng)絡(luò)隔離技術(shù)的發(fā)展歷史隔離概念是在為了保護(hù)高安全度網(wǎng)絡(luò)環(huán)境的情況下產(chǎn)生的；隔離產(chǎn)品的大量出現(xiàn)，也是經(jīng)歷了五代隔離技術(shù)不斷的實(shí)踐和理論相結(jié)合后得來(lái)的。網(wǎng)絡(luò)隔離技術(shù)的發(fā)展歷史（續(xù)）第一代隔離技術(shù)—完全的隔離此方法使得網(wǎng)絡(luò)處于信息孤島狀態(tài)，做到了完全的物理隔離，需要至少兩套網(wǎng)絡(luò)和系統(tǒng)，更重要的是信息交流的不便和成本的提高，這樣給維護(hù)和使用帶來(lái)了極大的不便。第二代隔離技術(shù)—硬件卡隔離在客戶(hù)端增加一塊硬件卡，客戶(hù)端硬盤(pán)或其他存儲(chǔ)設(shè)備首先連接到該卡，然后再轉(zhuǎn)接到主板上，通過(guò)該卡能控制客戶(hù)端硬盤(pán)或其他存儲(chǔ)設(shè)備。而在選擇不同的硬盤(pán)時(shí)，同時(shí)選擇了該卡上不同的網(wǎng)絡(luò)接口，連接到不同的網(wǎng)絡(luò)。但是，這種隔離產(chǎn)品有的仍然需要網(wǎng)絡(luò)布線為雙網(wǎng)線結(jié)構(gòu)，產(chǎn)品存在著較大的安全隱患。網(wǎng)絡(luò)隔離技術(shù)的發(fā)展歷史（續(xù)）第三代隔離技術(shù)—數(shù)據(jù)轉(zhuǎn)播隔離利用轉(zhuǎn)播系統(tǒng)分時(shí)復(fù)制文件的途徑來(lái)實(shí)現(xiàn)隔離，切換時(shí)間非常之久，甚至需要手工完成，不僅明顯地減緩了訪問(wèn)速度，更不支持常見(jiàn)的網(wǎng)絡(luò)應(yīng)用，失去了網(wǎng)絡(luò)存在的意義。第四代隔離技術(shù)—空氣開(kāi)關(guān)隔離它是通過(guò)使用單刀雙擲開(kāi)關(guān)，使得內(nèi)外部網(wǎng)絡(luò)分時(shí)訪問(wèn)臨時(shí)緩存器來(lái)完成數(shù)據(jù)交換的，但在安全和性能上存在有許多問(wèn)題。網(wǎng)絡(luò)隔離技術(shù)的發(fā)展歷史（續(xù)）第五代隔離技術(shù)—安全通道隔離此技術(shù)通過(guò)專(zhuān)用通信硬件和專(zhuān)有安全協(xié)議等安全機(jī)制，來(lái)實(shí)現(xiàn)內(nèi)外部網(wǎng)絡(luò)的隔離和數(shù)據(jù)交換，不僅解決了以前隔離技術(shù)存在的問(wèn)題，并有效地把內(nèi)外部網(wǎng)絡(luò)隔離開(kāi)來(lái)，而且高效地實(shí)現(xiàn)了內(nèi)外網(wǎng)數(shù)據(jù)的安全交換，透明支持多種網(wǎng)絡(luò)應(yīng)用，成為當(dāng)前隔離技術(shù)的發(fā)展方向。路由器與網(wǎng)絡(luò)隔離VLAN與網(wǎng)絡(luò)隔離交換機(jī)與網(wǎng)絡(luò)隔離網(wǎng)絡(luò)隔離的基本概念第4章網(wǎng)絡(luò)隔離技術(shù)網(wǎng)絡(luò)隔離的主要方法防火墻與網(wǎng)絡(luò)隔離物理隔離網(wǎng)閘是使用帶有多種控制功能的固態(tài)開(kāi)關(guān)讀寫(xiě)介質(zhì)連接兩個(gè)獨(dú)立主機(jī)系統(tǒng)的信息安全設(shè)備。它所連接的兩個(gè)獨(dú)立主機(jī)系統(tǒng)之間不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無(wú)協(xié)議“擺渡”，且對(duì)固態(tài)存儲(chǔ)介質(zhì)只有“讀”和“寫(xiě)”兩個(gè)命令。網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，是“黑客”無(wú)法入侵、無(wú)法攻擊、無(wú)法破壞、實(shí)現(xiàn)真正的安全。不可信外網(wǎng)可信內(nèi)網(wǎng)存儲(chǔ)介質(zhì)外網(wǎng)機(jī)內(nèi)網(wǎng)機(jī)K1K2邏輯條件：K1=K2*K3通過(guò)兩個(gè)開(kāi)關(guān)的不能同時(shí)閉合來(lái)保證OSI模型物理層的斷開(kāi)，可能的三種情況是：K1接通，K2斷開(kāi)；K1斷開(kāi)，K2接通；K1斷開(kāi)，K2斷開(kāi)。網(wǎng)絡(luò)隔離的斷開(kāi)原理物理隔離協(xié)議隔離“協(xié)議隔離”技術(shù)在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接端點(diǎn)處，配置協(xié)議隔離器來(lái)隔離內(nèi)外網(wǎng)。協(xié)議隔離器使用了兩臺(tái)不同設(shè)備上的通用網(wǎng)絡(luò)接口分別連接內(nèi)部與外部網(wǎng)，而設(shè)備之間通過(guò)使用專(zhuān)用密碼通信協(xié)議的專(zhuān)用接口卡進(jìn)行互聯(lián)。通常情況下，內(nèi)外網(wǎng)之間是斷開(kāi)的，只有當(dāng)有信息交換時(shí)，內(nèi)外網(wǎng)才會(huì)可能通過(guò)協(xié)議隔離器連通。協(xié)議隔離是在密碼技術(shù)的支持下，采用專(zhuān)用安全通信協(xié)議隔離技術(shù)實(shí)現(xiàn)的。在外人看來(lái)，協(xié)議隔離器能“通”能“斷”，是一個(gè)不可見(jiàn)的黑箱。黑箱內(nèi)部的核心技術(shù)，摒棄了標(biāo)準(zhǔn)化的部件，而采用多項(xiàng)設(shè)計(jì)的獨(dú)有技術(shù)。對(duì)那些“程序性穿透”攻擊設(shè)置了一道不可迂越的障礙，使依靠攻擊程序盜取內(nèi)網(wǎng)的信息成為不可能。路由器與網(wǎng)絡(luò)隔離VLAN與網(wǎng)絡(luò)隔離交換機(jī)與網(wǎng)絡(luò)隔離網(wǎng)絡(luò)隔離的基本概念第4章網(wǎng)絡(luò)隔離技術(shù)網(wǎng)絡(luò)隔離的主要方法防火墻與網(wǎng)絡(luò)隔離交換機(jī)集線器？交換機(jī)（續(xù)）交換機(jī)在網(wǎng)絡(luò)中已經(jīng)成為一種非常重要的設(shè)備，在現(xiàn)在組建的局域網(wǎng)中交換機(jī)是一種最主要的網(wǎng)絡(luò)設(shè)備。主要用于連接計(jì)算機(jī)等網(wǎng)絡(luò)終端設(shè)備。交換機(jī)通常工作在數(shù)據(jù)鏈路層，在網(wǎng)絡(luò)中提供各網(wǎng)段間的幀交換。利用交換機(jī)，可以解決帶寬缺乏引起的性能問(wèn)題，提高網(wǎng)絡(luò)的總帶寬交換機(jī)允許連接在交換機(jī)上的設(shè)備并行通訊，設(shè)備間通訊不會(huì)再發(fā)生沖突，因此交換機(jī)打破了沖突域，交換機(jī)每個(gè)接口是一個(gè)沖突域，不會(huì)與其他接口發(fā)生通訊沖突。交換機(jī)（續(xù)）交換機(jī)會(huì)在開(kāi)機(jī)后構(gòu)造一張MAC地址與端口對(duì)照表，通過(guò)比較數(shù)據(jù)幀中的目的地址與對(duì)照表，將數(shù)據(jù)幀轉(zhuǎn)發(fā)到正確的端口。若收到的數(shù)據(jù)幀的目的地址不在對(duì)照表中，則用廣播的方式轉(zhuǎn)發(fā)。交換機(jī)可以在同一時(shí)刻建立多個(gè)并發(fā)的連接，同時(shí)轉(zhuǎn)發(fā)多個(gè)幀，從而達(dá)到帶寬加倍的效果。傳統(tǒng)交換機(jī)連接的主機(jī)都屬于同一個(gè)局域網(wǎng),這些主機(jī)有相同的廣播域。交換機(jī)不能隔離廣播，因此引入了VLAN技術(shù)，進(jìn)一步改善互聯(lián)網(wǎng)絡(luò)的性能和安全性。路由器與網(wǎng)絡(luò)隔離VLAN與網(wǎng)絡(luò)隔離交換機(jī)與網(wǎng)絡(luò)隔離網(wǎng)絡(luò)隔離的基本概念第4章網(wǎng)絡(luò)隔離技術(shù)網(wǎng)絡(luò)隔離的主要方法防火墻與網(wǎng)絡(luò)隔離VLAN什么是VLAN？VLAN（VirtualLocalAreaNetwork）為“虛擬局域網(wǎng)”，VLAN是一種將局域網(wǎng)（LAN）設(shè)備從邏輯上劃分（注意，不是從物理上劃分）成一個(gè)個(gè)網(wǎng)段（或者說(shuō)是更小的局域網(wǎng)LAN），從而實(shí)現(xiàn)虛擬工作組（單元）的數(shù)據(jù)交換技術(shù)能夠在邏輯上把一個(gè)廣播域劃分成多個(gè)廣播域劃分VLAN的目的：如果僅有一個(gè)廣播域，有可能會(huì)影響到網(wǎng)絡(luò)整體的傳輸性能VLAN的原理AppTCP,UDPIPDLPhysicalAppTCP,UDPIPDLPhysical傳統(tǒng)的交換機(jī)：兩層交換VLAN中的交換機(jī)：三層交換VLAN的原理（續(xù)）AppTCP,UDPIPDLPhysicalVLAN中的交換機(jī)：三層交換路由ACL。。。VLAN的原理（續(xù)）每個(gè)VLAN對(duì)應(yīng)一個(gè)IP網(wǎng)段。在二層上，VLAN之間是隔離的，這點(diǎn)跟二層交換機(jī)中交換引擎的功能是一模一樣的。不同IP網(wǎng)段之間的訪問(wèn)要跨越VLAN，要使用三層轉(zhuǎn)發(fā)引擎提供的VLAN間路由功能。在使用二層交換機(jī)和路由器的組網(wǎng)中，每個(gè)需要與其他IP網(wǎng)段通信的IP網(wǎng)段都需要使用一個(gè)路由器接口作為網(wǎng)關(guān)。而第三層轉(zhuǎn)發(fā)引擎就相當(dāng)于傳統(tǒng)組網(wǎng)中的路由器，當(dāng)需要與其他VLAN通信時(shí)也要在三層交換引擎上分配一個(gè)路由接口，用來(lái)做VLAN的網(wǎng)關(guān)。三層交換機(jī)上的這個(gè)路由接口是在三層轉(zhuǎn)發(fā)引擎和二層轉(zhuǎn)發(fā)引擎上的，是通過(guò)配置轉(zhuǎn)發(fā)芯片來(lái)實(shí)現(xiàn)的，與路由器的接口不同，它是不可見(jiàn)的。

VLAN在交換機(jī)上的實(shí)現(xiàn)方法基于端口劃分基于MAC地址劃分基于網(wǎng)絡(luò)層劃分根據(jù)IP組劃分其他VLAN1VLAN3VLAN2基于端口劃分的VLAN適合于任何大小的網(wǎng)絡(luò)交換機(jī)內(nèi)部建立了端口號(hào)與VLANtag的映射關(guān)系主機(jī)A主機(jī)D主機(jī)C主機(jī)BVLAN表基于端口劃分的VLAN（續(xù)）優(yōu)點(diǎn)定義成員時(shí)非常簡(jiǎn)單,只要將所有的端口都指定一下即可缺點(diǎn)若某個(gè)用戶(hù)離開(kāi)了原來(lái)的端口,到了一個(gè)新的交換機(jī)的某個(gè)端口,需重新定義基于MAC地址劃分VLAN適用于小型局域網(wǎng)MACAMACDMACCMACB交換機(jī)系統(tǒng)建立了主機(jī)MAC地址與VLANtag的映射關(guān)系主機(jī)A主機(jī)D主機(jī)C主機(jī)BVLAN表基于MAC地址劃分VLAN（續(xù)）優(yōu)點(diǎn)用戶(hù)物理位置移動(dòng)時(shí),VLAN不需重新配置基于MAC地址劃分VLAN（續(xù)）缺點(diǎn)初始化時(shí),所有用戶(hù)都需進(jìn)行配置因每個(gè)端口可能存在很多VLAN組成員,交換機(jī)執(zhí)行效率降低,無(wú)法限制廣播包若網(wǎng)卡更換需重新配置VLAN基于網(wǎng)絡(luò)層劃分VLANVLAN按網(wǎng)絡(luò)層協(xié)議來(lái)劃分，可分為IP、IPX、DECnet、AppleTalk等VLAN網(wǎng)絡(luò)。適用于需要同時(shí)運(yùn)行多協(xié)議的網(wǎng)絡(luò)基于網(wǎng)絡(luò)層劃分VLAN（續(xù)）優(yōu)點(diǎn)用戶(hù)的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據(jù)協(xié)議類(lèi)型來(lái)劃分VLAN，并且可以減少網(wǎng)絡(luò)通信量，可使廣播域跨越多個(gè)VLAN交換機(jī)。缺點(diǎn)效率低下,需檢查每個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)層地址根據(jù)IP組播劃分VLAN

IP組播實(shí)際上也是一種VLAN的定義，即認(rèn)為一個(gè)IP組播組就是一個(gè)VLAN適合于不在同一地理范圍的局域網(wǎng)用戶(hù)組成一個(gè)VLAN根據(jù)IP組播劃分VLAN（續(xù)）優(yōu)點(diǎn)：更大的靈活性，而且也很容易通過(guò)路由器進(jìn)行擴(kuò)展。缺點(diǎn)：不適合局域網(wǎng)，主要是效率不高。按策略劃分VLAN

基于策略的VLAN能實(shí)現(xiàn)多種分配，包括端口、MAC地址、IP地址、網(wǎng)絡(luò)層協(xié)議等適用于需求比較復(fù)雜的環(huán)境按策略劃分VLAN（續(xù)）優(yōu)點(diǎn)：網(wǎng)絡(luò)管理人員可根據(jù)自己的管理模式和需求來(lái)決定選擇哪種類(lèi)型的VLAN。

缺點(diǎn)：建設(shè)初期步驟繁復(fù)。按用戶(hù)定義、非用戶(hù)授權(quán)劃分VLAN是指為了適應(yīng)特別的VLAN網(wǎng)絡(luò)，根據(jù)具體的網(wǎng)絡(luò)用戶(hù)的特別要求來(lái)定義和設(shè)計(jì)VLAN，而且可以讓非VLAN群體用戶(hù)訪問(wèn)VLAN，但是需要提供用戶(hù)密碼，在得到VLAN管理的認(rèn)證后才可以加入一個(gè)VLAN。適用于安全性較高的環(huán)境路由器與網(wǎng)絡(luò)隔離VLAN與網(wǎng)絡(luò)隔離交換機(jī)與網(wǎng)絡(luò)隔離網(wǎng)絡(luò)隔離的基本概念第4章網(wǎng)絡(luò)隔離技術(shù)網(wǎng)絡(luò)隔離的主要方法防火墻與網(wǎng)絡(luò)隔離路由器的基本概念路由器Internet路由器的基本概念（續(xù)）路由器（Router）是用于連接兩個(gè)或者多個(gè)網(wǎng)絡(luò)的網(wǎng)絡(luò)互連設(shè)備路由器工作在TCP/IP協(xié)議棧中的IP層Network1Network1路由器的工作原理（續(xù)）路由器的路由功能202.115.22202.115.24202.115.23IP地址？路由器的工作原理（續(xù)）尋徑的依據(jù)是經(jīng)過(guò)每個(gè)路由器中的路由表。路由表指明了從源站點(diǎn)到目的站點(diǎn)的一條路徑。路由協(xié)議是生成路由表的方法，分為靜態(tài)路由協(xié)議和動(dòng)態(tài)路由協(xié)議。路由器的工作原理（續(xù)）靜態(tài)路由協(xié)議：手工為每臺(tái)路由器編寫(xiě)一張固定不變的靜態(tài)路由表；動(dòng)態(tài)路由協(xié)議：為每臺(tái)路由器配置一個(gè)動(dòng)態(tài)路由尋徑協(xié)議，讓該路由協(xié)議自動(dòng)形成和刷新路由表。動(dòng)態(tài)路由協(xié)議有：RIP、RIPⅡ、IGRP、EIGRP、OSPF、IS－IS、BGP、EGP等。路由器作用路由器作用（續(xù)）隔絕“廣播風(fēng)暴”路由器連接兩個(gè)子網(wǎng)，形成兩個(gè)邏輯網(wǎng)段。可以杜絕“廣播風(fēng)暴”，防止多個(gè)網(wǎng)絡(luò)受某個(gè)網(wǎng)絡(luò)的影響太大。路由器作用（續(xù)）提供“防火墻”技術(shù)增強(qiáng)安全性TCP/IPXNSSPX/IPXTCP/IP具有防火墻特性的路由器成本>防火墻+路由器具有防火墻特性的路由器功能<防火墻+路由器具有防火墻特性的路由器可擴(kuò)展性<防火墻+路由器路由器與安全體系結(jié)構(gòu)路由器作為安全體系結(jié)構(gòu)的邊界控制組建兩種部署方案：路由器作為整個(gè)安全體系的一部分路由器作為唯一的邊界安全設(shè)備其他安全設(shè)備路由器作為安全體系的一部分路由器是唯一的邊界安全設(shè)備路由器與安全體系結(jié)構(gòu)（續(xù)）路由器作為安全體系結(jié)構(gòu)的一部分路由器執(zhí)行最基本的操作：報(bào)文轉(zhuǎn)發(fā)包過(guò)濾入口過(guò)濾出口過(guò)濾基于網(wǎng)絡(luò)的應(yīng)用程序識(shí)別（Network-BasedApplicationRecognition:NBAR):對(duì)流媒體信息進(jìn)行標(biāo)記處理；更深層次的概念涉及“服務(wù)質(zhì)量”（QoS）路由器與安全體系結(jié)構(gòu)（續(xù)）路由器作為唯一的邊界安全設(shè)備需要解決幾個(gè)關(guān)鍵問(wèn)題：路由器的位置根據(jù)應(yīng)用需求不同，路由器的位置也不盡相同功能選擇如何合理的選擇路由器功能路由器與安全體系結(jié)構(gòu)（續(xù)）路由器的位置路由器作為外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的分隔設(shè)備內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)路由器是作為內(nèi)部子網(wǎng)的分隔設(shè)備內(nèi)部網(wǎng)絡(luò)1內(nèi)部網(wǎng)絡(luò)1內(nèi)部網(wǎng)絡(luò)1結(jié)論路由器既是網(wǎng)絡(luò)連接設(shè)備，也可作為網(wǎng)絡(luò)安全設(shè)備路由器可以作為整個(gè)安全體系的一部分，也可作為唯一的邊界安全設(shè)備路由器可以放置在內(nèi)網(wǎng)和外網(wǎng)的中間，也可作為內(nèi)部子網(wǎng)的分隔設(shè)備在路由器在安全體系結(jié)構(gòu)中的作用需要特別重視路由器與網(wǎng)絡(luò)隔離VLAN與網(wǎng)絡(luò)隔離交換機(jī)與網(wǎng)絡(luò)隔離網(wǎng)絡(luò)隔離的基本概念第4章網(wǎng)絡(luò)隔離技術(shù)網(wǎng)絡(luò)隔離的主要方法防火墻與網(wǎng)絡(luò)隔離防火墻Internet防火墻攔截畫(huà)面

防火墻的定義傳統(tǒng)的防火墻概念概念：防火墻被設(shè)計(jì)用來(lái)防止火從大廈的一部分傳播到另一部分IT領(lǐng)域使用的防火墻概念兩個(gè)安全域之間通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根據(jù)訪問(wèn)控制規(guī)則決定進(jìn)出網(wǎng)絡(luò)的行為一種高級(jí)訪問(wèn)控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄）進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為。IT領(lǐng)域使用的防火墻概念（續(xù)）防火墻（FireWall）是一種隔離控制技術(shù)，在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)（如Internet）之間設(shè)置屏障，阻止對(duì)信息資源的非法訪問(wèn)，也可以使用防火墻阻止重要信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出。FireWall一般安裝在路由器上以保護(hù)一個(gè)子網(wǎng)，也可以安裝在一臺(tái)主機(jī)上，保護(hù)這臺(tái)主機(jī)不受侵犯。

防火墻的發(fā)展歷程將過(guò)濾功能從路由器中獨(dú)立出來(lái)，針對(duì)用戶(hù)需求，提供模塊化的軟件包用戶(hù)可根據(jù)需要構(gòu)造防火墻安全性提高了，價(jià)格降低了利用路由器本身對(duì)分組的解析,進(jìn)行分組過(guò)濾過(guò)濾判斷依據(jù)：地址、端口號(hào)防火墻與路由器合為一體，只有過(guò)濾功能適用于對(duì)安全性要求不高的網(wǎng)絡(luò)環(huán)境是批量上市的專(zhuān)用防火墻產(chǎn)品包括分組過(guò)濾或者借用路由器的分組過(guò)濾功能裝有專(zhuān)用的代理系統(tǒng)，監(jiān)控所有協(xié)議的數(shù)據(jù)和指令保護(hù)用戶(hù)編程空間和用戶(hù)可配置內(nèi)核參數(shù)的設(shè)置安全性和速度大為提高。防火墻廠商具有操作系統(tǒng)的源代碼，并可實(shí)現(xiàn)安全內(nèi)核在功能上包括了分組過(guò)濾、應(yīng)用網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)增加了許多附加功能：加密、鑒別、審計(jì)、NAT轉(zhuǎn)換透明性好，易于使用基于通用操作系統(tǒng)的防火墻防火墻工具套基于安全操作系統(tǒng)的防火墻狀態(tài)檢測(cè)表

提高了效率防止假冒IP攻擊HostCHostDNo訪問(wèn)控制規(guī)則表Yes數(shù)據(jù)包狀態(tài)檢測(cè)Vlan2財(cái)務(wù)部Vlan3技術(shù)部Vlan4培訓(xùn)中心internetVlan網(wǎng)關(guān)“防火墻在VLAN網(wǎng)絡(luò)”應(yīng)用internet財(cái)務(wù)部工程部銷(xiāo)售部行政部“內(nèi)網(wǎng)安全分段”的應(yīng)用內(nèi)部工作子網(wǎng)與外網(wǎng)的訪問(wèn)控制進(jìn)行訪問(wèn)規(guī)則檢查發(fā)起訪問(wèn)請(qǐng)求合法請(qǐng)求則允許對(duì)外訪問(wèn)將訪問(wèn)記錄寫(xiě)進(jìn)日志文件合法請(qǐng)求則允許對(duì)外訪問(wèn)發(fā)起訪問(wèn)請(qǐng)求防火墻在此處的功能：1、工作子網(wǎng)與外部子網(wǎng)的物理隔離2、訪問(wèn)控制3、對(duì)工作子網(wǎng)做NAT地址轉(zhuǎn)換4、日志記錄

Internet區(qū)域Internet邊界路由器DMZ區(qū)域WWWMailDNS內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)DMZ區(qū)域與外網(wǎng)的訪問(wèn)控制

In