第7章网络安全隔离-2

1、网络安全技术网络安全技术1第第7章章 网络安全隔离网络安全隔离 本章学习目标本章学习目标理解网络安全隔离的意义理解网络安全隔离的意义掌握划分子网的方法掌握划分子网的方法掌握通过创建掌握通过创建VLAN实现网络安全隔离的方法实现网络安全隔离的方法了解物理隔离产品及应用了解物理隔离产品及应用网络安全技术网络安全技术2第第7章章 网络安全隔离网络安全隔离随着网络技术的发展，可以根据有特殊要求的随着网络技术的发展，可以根据有特殊要求的部门和用户进行隔离保护，当然这里的隔离保部门和用户进行隔离保护，当然这里的隔离保护只是阻止未经允许的用户访问敏感部门和关护只是阻止未经允许的用户访问敏感部门和关键用户网络

2、，而这些敏感部门和关键用户，可键用户网络，而这些敏感部门和关键用户，可以通过相应配置与其他未被隔离的网络进行正以通过相应配置与其他未被隔离的网络进行正常的数据交换，现在有如下三种解决方案。常的数据交换，现在有如下三种解决方案。 （1）通过子网掩码划分子网对网络进行隔离。）通过子网掩码划分子网对网络进行隔离。 （2）通过划分）通过划分VLAN网段对网络进行隔离。网段对网络进行隔离。 （3）通过构建网络隔离系统对网络进行隔离。）通过构建网络隔离系统对网络进行隔离。 网络安全技术网络安全技术37.1 利用子网掩码划分子网的应用利用子网掩码划分子网的应用7.1.1 Packet Tracer模拟器简介

3、模拟器简介网络安全技术网络安全技术47.1 利用子网掩码划分子网的应用利用子网掩码划分子网的应用7.1.2 项目背景及方案设计项目背景及方案设计 1项目背景项目背景某公司申请到某公司申请到198.16.1.0/24网段，设置了生产车间、网段，设置了生产车间、销售处、财务处等三个部门，各部门分处不同的地销售处、财务处等三个部门，各部门分处不同的地理位置。该公司需要建立内部网络，要求如下。理位置。该公司需要建立内部网络，要求如下。（1）最大的部门可以容纳）最大的部门可以容纳30台计算机。台计算机。（2）各部门内部计算机终端之间能够直接通信。）各部门内部计算机终端之间能够直接通信。（3）各部门之间数

4、据信息具有一定的独立性。）各部门之间数据信息具有一定的独立性。（4）财务处的数据必须受到严格保护，非授权人员）财务处的数据必须受到严格保护，非授权人员不能访问。不能访问。（5）公司内所有计算机都能够访问互联网。）公司内所有计算机都能够访问互联网。（6）网络设备要高速、稳定运行。）网络设备要高速、稳定运行。网络安全技术网络安全技术57.1 利用子网掩码划分子网的应用利用子网掩码划分子网的应用 2方案设计方案设计根据公司要求，设计方案如下。根据公司要求，设计方案如下。（1）通过子网掩码划分子网，使三个部门分别属于）通过子网掩码划分子网，使三个部门分别属于不同的子网，便于管理。不同的子网，便于管理。

5、（2）各部门分别配置一台交换机，用于连接该部门）各部门分别配置一台交换机，用于连接该部门所有终端设备。所有终端设备。（3）各部门之间通过路由器连接，实现互相通信，）各部门之间通过路由器连接，实现互相通信，并通过该路由器连接到并通过该路由器连接到Internet。（4）方案的网络拓扑图如图）方案的网络拓扑图如图7-4所示。所示。（5）路由器）路由器Router2端口规划如表端口规划如表7-1所示。所示。 网络安全技术网络安全技术67.1 利用子网掩码划分子网的应用利用子网掩码划分子网的应用图7-4 子网掩码划分子网网络拓扑图网络安全技术网络安全技术77.1 利用子网掩码划分子网的应用利用子网掩码

6、划分子网的应用表7-1 Router2端口规划设备名称设备名称端口端口用途用途Router2FastEthernet 0 / 0连接Switch0FastEthernet 0 / 1连接Switch1FastEthernet 1 / 0连接Switch2FastEthernet 1 / 1连接远程分支机构网络安全技术网络安全技术87.1 利用子网掩码划分子网的应用利用子网掩码划分子网的应用7.1.3 实施步骤实施步骤 1确定子网掩码确定子网掩码 2确定并分配子网及确定并分配子网及IP地址范围地址范围 3搭建如图搭建如图7-4所示网络环境，配置所示网络环境，配置Router2路由器路由器 4配置

7、各配置各PC机机 5测试子网之间的连通性测试子网之间的连通性网络安全技术网络安全技术97.2 VLAN子网的划分子网的划分7.2.1 VLAN简介简介VLAN（Virtual Local Area Network，虚拟局，虚拟局域网）是一种通过将局域网内的设备逻辑地而域网）是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。作组的新兴技术。 网络安全技术网络安全技术107.2 VLAN子网的划分子网的划分7.2.2 VLAN的划分的划分 1根据端口来划分根据端口来划分VLAN 2根据根据MAC（Media Acces

8、s Control，介，介质访问控制）地址划分质访问控制）地址划分VLAN 3根据网络层划分根据网络层划分VLAN 4根据根据IP组播划分组播划分VLAN网络安全技术网络安全技术117.2 VLAN子网的划分子网的划分7.2.3 VLAN的主要用途的主要用途 1控制广播风暴控制广播风暴一个一个VLAN就是一个逻辑广播域就是一个逻辑广播域 。 2提高网络的安全性提高网络的安全性不同不同VLAN间不可以直接通信，要实现通信必须通间不可以直接通信，要实现通信必须通过具有网络层交换功能的路由器或第三层交换机。过具有网络层交换功能的路由器或第三层交换机。 3网络管理简单、直观网络管理简单、直观一个一个V

9、LAN可以根据部门职能、对象组或者应用将可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。在工作组或子网之间移动。 网络安全技术网络安全技术127.3 单一交换机单一交换机VLAN的配置的配置 在一台交换机上进行在一台交换机上进行VLAN的划分及配置，是的划分及配置，是通过划分通过划分VLAN网段对网络进行隔离的最简单、网段对网络进行隔离的最简单、最基本的形式。搭建如图所示网络环境最基本的形式。搭建如图所示网络环

10、境 。网络安全技术网络安全技术137.3 单一交换机单一交换机VLAN的配置的配置详细步骤如下。详细步骤如下。 1给交换机命名并设置登录密码给交换机命名并设置登录密码 2显示显示VLAN配置信息配置信息 3创建创建VLAN 4划分划分VLAN端口端口 5保存配置保存配置 6测试测试 7删除删除VLAN网络安全技术网络安全技术147.4 跨交换机跨交换机VLAN的配置的配置在多台交换机上进行在多台交换机上进行VLAN的划分及配置，是的划分及配置，是通过划分通过划分VLAN网段对网络进行隔离的最常用、网段对网络进行隔离的最常用、较复杂的形式。较复杂的形式。7.4.1 VTP简介简介 VTP（VLA

11、N Trunking Protocol，VLAN链路链路聚集协议）是一个在建立了汇聚链路的交换机聚集协议）是一个在建立了汇聚链路的交换机之间同步和传递之间同步和传递VLAN配置信息的协议，以在配置信息的协议，以在同一个同一个VTP域中维持域中维持VLAN配置的一致性。在配置的一致性。在创建创建VLAN之前，应先定义之前，应先定义VTP管理域。管理域。 网络安全技术网络安全技术157.4 跨交换机跨交换机VLAN的配置的配置 1VTP工作模式工作模式VTP有有server（服务器）（服务器） client（客户端）（客户端） transparent（透明）（透明） 2创建创建VTP管理域管理域（

12、1）创建）创建VTP管理域管理域（2）设置）设置VTP模式模式（3）执行）执行exit命令退出命令退出VLAN数据库配置模式数据库配置模式（4）查看）查看VTP信息信息网络安全技术网络安全技术167.4 跨交换机跨交换机VLAN的配置的配置7.4.2 项目背景及方案设计项目背景及方案设计 1项目背景项目背景某公司有计算机约某公司有计算机约50台，设置了信息处、销售处、台，设置了信息处、销售处、财务处等三个部门，各部门的地理位置如图财务处等三个部门，各部门的地理位置如图7-12所所示示 。该公司需要建立内部网络，要求如下。该公司需要建立内部网络，要求如下。（1）各部门内部计算机终端之间能够直接通

13、信。）各部门内部计算机终端之间能够直接通信。（2）各部门之间数据信息具有一定的独立性。）各部门之间数据信息具有一定的独立性。（3）公司内所有计算机都能够访问互联网。）公司内所有计算机都能够访问互联网。（4）财务处的数据必须受到严格保护，非授权人员）财务处的数据必须受到严格保护，非授权人员不能访问。不能访问。（5）总经理兼管财务处，副总经理兼管销售处。）总经理兼管财务处，副总经理兼管销售处。（6）网络设备要高速、稳定运行。）网络设备要高速、稳定运行。网络安全技术网络安全技术177.4 跨交换机跨交换机VLAN的配置的配置图7-12 各部门地理位置图 网络安全技术网络安全技术187.4 跨交换机跨

14、交换机VLAN的配置的配置 2方案设计方案设计根据公司要求，设计方案如下。根据公司要求，设计方案如下。（1）每层楼配置一台交换机，用于连接该楼层所有）每层楼配置一台交换机，用于连接该楼层所有终端设备。终端设备。（2）创建）创建VTP管理域，为每一个部门创建一个管理域，为每一个部门创建一个VLAN。（3）在交换机上划分）在交换机上划分VLAN，进行跨交换机，进行跨交换机VLAN的配置，实现各的配置，实现各VLAN内部计算机终端能相互通信。内部计算机终端能相互通信。（4）给各）给各VLAN创建虚拟子端口创建虚拟子端口IP地址，实现地址，实现VLAN间的通信。间的通信。（5）使用路由器连接到）使用路

15、由器连接到Internet。（6）方案的网络拓扑图如图）方案的网络拓扑图如图7-13所示。所示。网络安全技术网络安全技术197.4 跨交换机跨交换机VLAN的配置的配置图7-13 网络拓扑图网络安全技术网络安全技术207.4 跨交换机跨交换机VLAN的配置的配置（7）各部门）各部门IP地址规划和各设备端口规划如表地址规划和各设备端口规划如表7-4、表表7-5所示。所示。 表7-4 各部门地址分配部门名部门名称称地址空间地址空间所属所属VLAN虚拟子端口虚拟子端口IP地址地址（默认网关）（默认网关）示例示例PC机名机名称称总经理192.168.5.100 / 24VLAN 30192.168.5

16、.1 / 24PC0副 总 经理192.168.3.101 / 24VLAN 20192.168.3.1 / 24PC1财务处192.168.5.0 / 24VLAN 30192.168.5.1 / 24PC4信息处192.168.2.0 / 24VLAN 10192.168.2.1 / 24PC2、PC6销售处192.168.3.0 / 24VLAN 20192.168.3.1 / 24PC3、PC5网络安全技术网络安全技术21表7-5 各设备端口规划设备名称设备名称端口端口用途用途端口类型端口类型R0FastEthernet 0 / 0连接CORE路由端口FastEthernet 0 /

17、1连接远程分支机构路由端口COREFastEthernet 0 / 1-5连接用户PCAccess端口，VLAN 10FastEthernet 0 / 11连接总经理PCAccess端口，VLAN 30FastEthernet 0 / 12连接副总经理PCAccess端口，VLAN 20FastEthernet 0 / 22连接SWBTrunk端口FastEthernet 0 / 23连接SWATrunk端口FastEthernet 0 / 24连接R0三层交换端口SWAFastEthernet 0 / 1-5连接用户PCAccess端口，VLAN 10FastEthernet 0 / 6-1

18、0连接用户PCAccess端口，VLAN 20FastEthernet 0 / 24连接CORETrunk端口SWBFastEthernet 0 / 1-5连接用户PCAccess端口，VLAN 30FastEthernet 0 / 6-10连接用户PCAccess端口，VLAN 20FastEthernet 0 / 24连接CORETrunk端口网络安全技术网络安全技术227.4 跨交换机跨交换机VLAN的配置的配置7.4.3 VLAN配置步骤配置步骤 网络安全技术网络安全技术237.5 网络隔离概述网络隔离概述 7.5.1 网络隔离技术网络隔离技术 1理解网络隔离理解网络隔离网络中的网络中

19、的“隔离隔离”并不是网络间完全断开，而是隔并不是网络间完全断开，而是隔离不安全因素，使受保护的网络能安全地与外部网离不安全因素，使受保护的网络能安全地与外部网络通信。络通信。 2网络隔离技术分类网络隔离技术分类（1）物理隔离）物理隔离（2）网络隔离）网络隔离（3）安全隔离）安全隔离网络安全技术网络安全技术247.5 网络隔离概述网络隔离概述 3网络隔离技术发展阶段网络隔离技术发展阶段（1）完全的物理隔离）完全的物理隔离（2）硬件隔离卡隔离）硬件隔离卡隔离（3）数据转播隔离）数据转播隔离（4）空气开关隔离）空气开关隔离（5）安全通道隔离）安全通道隔离网络安全技术网络安全技术257.5 网络隔离概

20、述网络隔离概述7.5.2 网络隔离安全要素网络隔离安全要素 1隔离产品自身有较高的安全性隔离产品自身有较高的安全性 2确保网络包不能到达受保护网络确保网络包不能到达受保护网络 3只允许应用层数据交换只允许应用层数据交换 4在确保安全的前提下尽可能畅通在确保安全的前提下尽可能畅通网络安全技术网络安全技术267.6 物理隔离物理隔离物理隔离是指内部网络不得直接或间接地连接物理隔离是指内部网络不得直接或间接地连接外部网络即互联网。外部网络即互联网。 7.6.1 物理隔离原理物理隔离原理 物理隔离设备在任意时刻只能与一个网络的主物理隔离设备在任意时刻只能与一个网络的主机系统建立非机系统建立非TCP/I

21、P协议的数据连接，即当它协议的数据连接，即当它与外部网络的主机系统连接时，它与内部网络与外部网络的主机系统连接时，它与内部网络的主机系统必须是断开的，反之亦然，保证内、的主机系统必须是断开的，反之亦然，保证内、外部网络不能同时连接在物理隔离设备上。外部网络不能同时连接在物理隔离设备上。网络安全技术网络安全技术277.6 物理隔离物理隔离通过如下步骤对物理隔离原理进行说明。通过如下步骤对物理隔离原理进行说明。 （1）当内网与专网之间无信息交换时，物理隔离）当内网与专网之间无信息交换时，物理隔离设备与内网之间、物理隔离设备与专用网之间、内设备与内网之间、物理隔离设备与专用网之间、内网与外网之间是完

22、全断开的。网与外网之间是完全断开的。 图7-15 网络安全技术网络安全技术287.6 物理隔离物理隔离（2）当外网有数据需要到达内网的时候，控制电路）当外网有数据需要到达内网的时候，控制电路控制隔离设备与外网服务器建立非控制隔离设备与外网服务器建立非TCP/IP的数据连的数据连接接 。图7-16 网络安全技术网络安全技术297.6 物理隔离物理隔离 （3）一旦数据完全写入外网存储设备，隔离设备）一旦数据完全写入外网存储设备，隔离设备在控制电路的控制下立即中断与外网的连接，转而在控制电路的控制下立即中断与外网的连接，转而发起对内网的非发起对内网的非TCP/IP协议的数据连接协议的数据连接 。图7

23、-17 网络安全技术网络安全技术307.6 物理隔离物理隔离 （4）在控制台收到完整的交换信号之后，控制电）在控制台收到完整的交换信号之后，控制电路控制隔离设备立即切断隔离设备与内网的连接，路控制隔离设备立即切断隔离设备与内网的连接，又回到图又回到图7-15所示内外网完全断开状态。所示内外网完全断开状态。 网络安全技术网络安全技术317.6 物理隔离物理隔离 （5）如果这时内网有文件需要发出，隔离设备在）如果这时内网有文件需要发出，隔离设备在收到内网建立连接的请求之后，控制电路控制隔离收到内网建立连接的请求之后，控制电路控制隔离设备建立与内网之间的非设备建立与内网之间的非TCP/IP协议的数据连接。协议的数据连接。 图7-18 网络安全技术网络安全技术327.6 物理隔离物理隔离 （6）当数据完全写入内网专用存储设备后，控制）当数据完全写入内网专用存储设备后，控制电路控制隔离设备立即中断与内网的连接电路控制隔离设备立即中断与内网的连接 图7-19 网络安全技术网络安全技术337.6 物理隔离物理隔离 （7）在所有的数据发送完成后，控制电路就会控）在所有的数据发送完成后，控制电路就会控制隔离设备立即中断隔离设备与外肉的连接，恢复制隔离设备立即中断隔离设备与外肉的连接，恢复到如图到如图7-15所示的完全隔离状态。所示的完全隔离状态。 网络安全技术网络安全技术347