网管员必读——网络安全(第2版)第七章.ppt

1、第七章 企业网络安全隔离,本章主要对VLAN和网络隔离这两种方案进行详细介绍，并通过具体的产品和案例向大家介绍具体隔离方案的实例。 本章重点如下： 通过子网掩码划分子网的原理 VLAN的作用及VLAN子网配置方法 网络隔离技术的分类和发展历程 物理隔离原理 物理隔离卡的安装和应用 网络线路选择器的连接与使用 物理隔离网闸的隔离原理和方案应用,7.1 通过子网掩码划分子网概述,通过子网掩码划分子网的方法是要改变传统的子网掩码格式，从主机位的高位开始，把主机位的一部分划分到网络ID部分，实际上就是子网位。这使得IP地址的结构由原来的两级变为3级：网络ID、子网ID和主机ID。也就是通常所说的变长子

2、网掩码（VLSM）技术原理。 通过子网掩码划分子网的意义体现在如下几个方面：减少数据广播带来的负面影响；充分利用现有IP地址资源；保护各独立子网；便于维护。 子网划分的不足体现在：网络配置不灵活，有时还存在IP资源浪费。有关子网划分的具体方法参见本系列丛书网管员必读超级网管经验谈（第2版）一书。 以上具体内容参见书中介绍。,7.2 VLAN子网的划分,VLAN子网划分方法较前面介绍的通过子网掩码进行子网划分的方法来说更加灵活，功能更强。但它需要专门的设备，那就是支持VLAN技术的交换机。 7.2.1 VLAN简介 VLAN（Virtual Local Area Network，虚拟局域网）是对

3、连接到的第二层/三层交换机端口的网络用户进行逻辑分段。VLAN划分的意义在于：可独立划分；不会减少IP地址资源；划分方式灵活。典型VLAN网络结构如下图所示。,7.2.2 VLAN的划分方式,常见的主要有以下5种VLAN子网划分方式： 按端口划分：这种划分方式就是将交换机中的某些端口定义为一个单独的区域，从而形成一个VLAN子网。 按MAC地址划分VLAN：就是把一组属于设定MAC地址的计算机划分为一个VLAN组。能很好地独立于网络层上的各种应用。 基于网络层划分VLAN：有两种方案：一种是基于通信协议（如果网络中存在多协议）来划分；另一种是基于网络层地址（最常见的是TCP/IP中的子网段地址

4、）来划分。 基于IP广播组划分：可将任何属于同一IP广播组的计算机划分到同一个VLAN。 基于策略的VLAN：根据一定的策略来划分VLAN是最灵活的VLAN划分方式，能够把相关的用户连成一体。 以上具体内容参见书中介绍。,7.2.3 VLAN的主要用途,VLAN的用途主要体现在以下3个方面： 控制广播风暴：在VLAN中，网络被逻辑地分割成广播域，由VLAN成员所发送的信息帧或数据包仅在VLAN内的成员之间传送，而不是向网上的所有工作站发送。这样可减少主干网的流量，提高网络速度。 增强网络的安全性：采用VLAN提供的安全机制，可以限制特定用户的访问，控制广播组的大小和位置，甚至锁定网络成员的MA

5、C地址，这样，就限制了未经安全许可的用户和网络成员对网络的使用。 增强网络管理：采用VLAN技术，使用VLAN管理程序可对整个网络进行集中管理，能更容易地实现网络的管理性。 以上具体内容参见书中介绍。7.2.4 VLAN的主要应用（略）,7.3 三层交换机上的VLAN配置,在一个快速以太网中，典型的VLAN配置需要进行以下几个步骤。 设置VTP域。 配置聚合链路（Trunk）协议。 创建VLAN组。 配置三层交换机端口。本节以下各小节的具体配置步骤略，参见书中相应小节可。7.4 VLAN网络配置实例（略）本节以下各小节的具体配置步骤略，参见书中相应小节可。,7.5 网络隔离概述,网络隔离（Ne

6、twork Isolation）技术是网络安全技术的一个大门类。随着近几年隔离技术的飞速发展，目前的隔离技术已比较完善，涵盖了几乎所有级别用户的网络隔离需求。 7.5.1 网络隔离技术基础 网络中的“隔离”一词与现实生活中的“隔离”存在某种认识上的区别，从传统意义来理解“隔离”使两个网络真正分开，但这样来谈网络安全是没有任何意义的。事实上，网络安全中的“隔离”后的两个网络并非完全没有联系，还是需要有正常的应用层数据交换的。 目前可以采用的隔离方法主要有以下三类： 物理隔离：通过一定软、硬件方法使得访问内、外网的设备、线路、存储均相对独立。 网络隔离：利用协议转换进行网间的数据交换。 安全隔离：

7、利用专用设备实现仅在应用层进行数据交换。,2. 网络隔离技术的发展历程 到目前为止，整个网络隔离技术的发展经历了以下五代： 第一代隔离技术完全的隔离 第二代隔离技术硬件卡隔离 第三代隔离技术网络协议隔离 第四代隔离技术空气开关网闸隔离 第五代隔离技术安全网闸隔离 3. 网间不同层次的主安全威胁 网间的安全威胁主要来自来以下三个层次： 物理层：电气攻击、线路侦听、线路破坏等。 网络层：拒绝服务攻击、地址欺骗、碎片攻击等。 应用层：恶意代码、垃圾邮件等。 具体内容参见书中介绍。,7.5.2 网络隔离的安全控制要点和发展方向,无论采取哪种网络隔离方案，在具体应用中至少要在安全和控制中做到满足如下需求

8、： 具有高度的自身安全性 确保网络之间是隔离的 保证网间交换的只是应用数据 对网间的访问进行严格的控制和检查 在坚持隔离的前提下保证网络畅通和应用透明具体内容参见书中介绍。,7.6 物理隔离,7.6.1 物理隔离概述 尽管正在广泛地使各种复杂的软件技术，如防火墙、代理服务器、侵袭探测器、通道控制机制，但是由于这些技术都是基于软件的保护，是一种逻辑机制，这对于逻辑实体（黑客或内部用户）而言是可能被操纵的，即由于这些技术的极端复杂性与有限性，这些在线分析技术无法提供某些组织（如军队、军工、政府、金融、研究院、电信以及企业）提出的高度数据安全要求。物理学隔离技术就能较好地解决这些问题。 物理隔离主要

9、应用在以下行业：各级政府机关和涉密单位；金融、证券、税务、海关等行业部门。 具体内容参见书中介绍。,7.6.2 物理隔离原理,物理隔离技术的指导思想与防火墙有很大的不同：防火墙的思路是在保障互连互通的前提下，尽可能安全，而物理隔离的思路是在保证必须安全的前提下，尽可能互连互通。虽然物理隔离技术存在多种隔离方式，但是它们的隔离原理却基本上一样，具体原理步骤参见书中介绍。 7.6.3 主要物理隔离产品 物理安全隔离产品常见的有物理隔离卡、物理隔离集线器和物理隔离网闸3大类。 物理隔离卡（也称“网络安全隔离卡”，NET SECURITY SEPARATE CARD）是物理隔离的低级实现形式，是以物理

10、方式将一台PC虚拟为两个电脑，实现工作站的双重状态。网络结构如下面左图所示。,2物理隔离集线器 物理隔离集线器（也称“网络线路选择器”和“网络安全集线器”等，NET SECURITY SEPARATE HUB）是一种多路开关切换设备，它与物理隔离卡配合使用。 网络结构如上面右图所示。3物理隔离网闸 物理隔离网闸（也称“网络安全隔离网闸”，NET SECURITY SEPARATE GAP），是利用双主机形式，从物理上来隔离阻断潜在攻击的连接。其中包括一系列的阻断特征，如没有通信连接，没有命令，没有协议，没有TCP/IP连接，没有应用连接，没有包转发，只有文件“摆渡”，对固态介质只有读和写两个命

11、令。,7.6.4 物理隔离方案,根据具体的网络环境和所使用的网络隔离设备可以有如下几种应用方案： 主机隔离解决方案 该方案属于终端隔离解决方案，所采用的隔离产品是物理隔离卡产品。 通道隔离方案 该方案属于信道隔离方案，所采用的安全隔离产品是网络线路选择器，当然物理隔离卡也是必不可少的。 主机-信道双网隔离解决方案 该方案属于混合隔离模式，所采用的隔离设备也有物理隔离卡和网络线路选择器。 主机-信道多网隔离解决方案该方案与上一方案其实差不多，只不过此处隔离的不仅是两个网络。所采用的设备同样有物理隔离卡、网络线路选择器和网闸三类。 以上具体内容参见书中介绍。,7.7 物理隔离卡产品及应用,物理隔离

12、卡技术是整个网络物理隔离技术一个重要分支，也是目前应用最广的一种网络隔离技术。目前最常见的物理隔离产品就是各种各样的隔离卡、网络线路选择器和网闸等。 7.7.1 认识物理隔离卡 1物理隔离卡结构 目前的物理隔离卡产品非常多样，不同品牌或型号的隔离卡产品，与客户端硬盘存储设备的连接控制方式可能不同。有的是采用电源控制法，就是在隔离卡上提供两个硬盘电源接口，把硬盘的电源连接在隔离卡的不同接口上，如下页上图所示；而有些采取的是采用电源+数据线控制法，就是在隔离卡是同时提供两个硬盘电源和数据电缆接口，把硬盘的电源和数据电缆连接在隔离卡的不同电源和数据电缆接口上，如下页下图所示。 从这两个图中可以看出，

13、在隔离卡上还提供一个用于与主板硬盘接口连接的硬盘数据电缆接口和一个电源接口。,有的隔离卡采用了PCI结构，直接插到主板的PCI插槽中，所以无须另外提供电源，也就没有这样一个电源接口了，如下图所示。,2物理隔离卡方案的主要特性 转换比较便 数据安全交 有效安全控 技术应用广泛具体内容参见书中介绍。,7.7.2 主要物理隔离模式,目前主流的隔离模式有以下几种： 双网/双机模式 双硬盘/双网线模式 双硬盘/单网线模式 单硬盘/双网线模式 具体内容参见书中介绍。,7.7.3 图文网络安全物理隔离器,图文网络安全物理隔离器目前主要有四种型号产品： 隔离器I型 隔离器I型（如下页左图所示）是一种通过外置物

14、理开关来控制双硬盘电源及双网切换的隔离器，通常用于双网线布线（即内网、外网分开布线）网络。 隔离器型 隔离器型（如下面右图所示）是一种通过外置物理开关来控制双硬盘电源及双网切换的物理隔离器。它具备型隔离器的全部功能，同时增加了单、双网线的跳线设置，单、双网线环境通用，通过隔离卡上的跳线区分单、双网线，使用更灵活、更方便。 隔离器型,隔离器型（如下页左图所示）是一种通过外置物理开关来控制双硬盘电源、IDE数据线及双网切换的物理隔离器。它具备型隔离器的全部功能，同时增加了单、双网线的跳线设置及对硬盘IDE线的控制及切换，兼容性更好，单、双网线环境通用，通过隔离卡上的跳线区分单、双网线，使用更灵活、

15、更方便。,隔离器IV型 隔离器IV型（如下面右图所示）是一种通过外置物理开关来控制双硬盘电源及双网切换的物理隔离器，单、双网线环境通用。,具体内容参见书中介绍。,7.7.4 利普隔离卡产品,深圳市利谱信息技术有限公司的利普牌网络隔离产品非常齐全，主要有以下几个系列的产品。 1. 单硬盘系列 利普公司的单硬盘物理隔离卡有两个主要的系列：TP-60X和TP-608，前者均采用纯件分区，而后者均采用软件分区。在TP-60X系列中又有以下几个型号的产品： TP-601隔离卡：单硬盘工作，适用于内外网时分开布线（双布线）的用户。使用鼠标在屏幕上软件切换。 TP-602隔离卡：单硬盘工作，适用于单机拨号方

16、式的用户。适用于ISDN、ADSL、Modem等拨号上网方式。使用鼠标在屏幕上软件切换。 TP-603隔离卡：单硬盘工作，适用于内外网共用一条网线（单布线） 的用户，须配合网络线路选择器使用。使用鼠标在屏幕上软件切换。 TP-60XH隔离卡：为半高单硬盘隔离卡。,在TP-608系列隔离卡系列中又有如下几个型号产品： TP-608A隔离卡：单硬盘工作，适用于内外网时分开布线（双布线）的用户。它使用鼠标在屏幕上软件切换。 TP-608B隔离卡：单硬盘工作，适用于内外网共用一条网线（单布线） 的用户，须配合网络线路选择器使用。使用鼠标在屏幕上软件切换。 TP-608H隔离卡：为半高单硬盘隔离卡。 2

17、. 双硬盘系列利普公司的单硬盘物理隔离卡有两个主要的系列：TP-90X和TP-80X在TP90X系列双硬盘隔离卡系列中又有以下几个型号的产品： TP-901隔离卡：双硬盘工作，适用于内外网时分开布线（双布线）的用户。使用鼠标在屏幕上软件切换。TP-902隔离卡：双硬盘工作，适用于单机拨号方式的用户。 适用于ISDN、ADSL、Modem等拨号上网方式。使用鼠标在屏幕上软件切换。 TP-903隔离卡：双硬盘工作，适用于内外网共用一条网线（单布线）的用户，须配合网络线路选择器使用。使用鼠标在屏幕上软件切换。,TP-90X隔离卡：采用切换硬盘电源方式。 TP-90XD隔离卡：采用切换硬盘数据线方式。

18、 TP-90XK隔离卡：既可采用鼠标点击软件切换,也可采用扭动钥匙切换。 TP-90XS隔离卡：适用于SATA标准的串口硬盘。 TP-90XQ隔离卡：快速切换隔离卡，采用特殊技术缩短重新启动时间。 TP-90XH隔离卡：为半高隔离卡。 TP-80X系列双硬盘隔离卡有如下主要型号产品： TP-801隔离卡：双硬盘工作，适用于内外网时分开布线（双布线）的用户.使用外置选择开关硬件切换。 TP-802隔离卡：双硬盘工作，适用于单机拨号方式的用户。适用于ISDN、ADSL、Modem等拨号上网方式，使用外置选择开关硬件切换。,TP-803隔离卡：双硬盘工作，适用于内外网共用一条网线（单布线）的用户，须

19、配合网络线路选择器使用。使用外置选择开关硬件切换。 TP-80X隔离卡：采用切换硬盘电源方式。 TP-80XD隔离卡：采用切换硬盘数据线方式。 TP-80XK隔离卡：采用三段选择开关，可锁机，可通过扭动钥匙切换，机械锁匙万把中无重复。 TP-80XH隔离卡：为半高隔离卡。3. 单硬盘切换卡 是一种适用于单硬盘、软件切换方式的隔离卡，必须配合该公司的IP切换软件才能使用。主要有两种型号：NS-908终端网络切换卡和GS-208服务器网络切换卡。 NS-908终端网络切换卡：须配合IP切换软件TIPTOP V3.0，适用双布线网络环境，终端用户使用。 GS-208服务器网络切换卡：是一个专用于服务

20、器端的物理切换卡系列，其中GS-208A 用于双布线环境；GS-208B用于单布线环境，需与利谱公司生产的线路选择器配套使用。均可自动完成两个网络间的物理切换。具体内容参见书中介绍。,7.8 典型网络线路选择器介绍,目前能生产网络线路选择器产品的厂商比较多，在此仅以深圳利普公司的产品为例进行介绍。 1. LS-8网络线路选择器 LS-8是深圳利普公司的一款24口，可连接8个终端的网络线路选择器。它所连接的终端用户必须采用该公司生产的TP-903、TP-803、TP-603型隔离卡。它提供了内外网网线的二选一功能，可根据用户桌面选择使同一条网线分时传送内外两个不同网络；支持各种网络协议；支持IE

21、EE 802.3 10BASE-T，IEEE 802.3u 100BASE-TX网络标准；RJ45网络接口，支持10M以太网、100M快速以太网；支持3、4、5类UTP双绞网线。 LS-8的单布线（双网单线）解决方案如下图所示。本方案用于内外网未分别布线的网络，即单布线网络环境。配合使用TIPTOP网络线路选择器，不需重新布线，所有用户均可连接互联网，同时确保两个网络之间物理隔离。,2. LS-24网络线路选择器 这是利普公司的一款72口，可以连接24个（72/3）终端隔离用户的网络线路选择器，占2U机位，如下图所示。它所连接的终端隔离用户也必须使用该公司生产的TP-903、TP-803、TP

22、-603型物理隔离卡。其性能与前面介绍的LS-8差不多，不同的只是所提供的端口数，本机为72口（最多可连接24个终端用户），而LS-8为24口（最多可连接8个终端用户）。网络应用方案也可参见上图。,3. NS-16网络切换器 NS-16适用单布线网络环境，可连接16个终端（共48口），占1U机位。终端无须加装隔离卡，在用户端软件的控制下，即可完成网络切换。NS-16的网络拓扑结构如下图所示。,7.9 物理隔离网闸,物理隔离网闸技术主要应用于一些政府、金融、证券网络等安全级别要求非常高的单位中。7.9.1 物理隔离网闸概述1物理隔离网闸技术的产生背景（略）2物理隔离网闸的安全模块 物理隔离网闸包括以下几个模