软考网络规划设计师学习笔记连载之二十九(4.8企业网络安全隔离)
第4章网络安全4.8企业网络安全隔离(P684-695)
面对新型网络攻击手段的出现和高安全度网络对安全的特殊需求,全新安全防护防范理念的网络安全技术 �D�D“ 网络隔离技术 ” 应运而生。网络隔离技术的目标是确保隔离有害的攻击,在可信网络之外和保证可信网络内部信息不外泄的前提下,完成网间 数据的安全交换。网络隔离技术是在原有安全技术的 基础上发展起来的,它弥补了原有安全技术的不足,突出了自己的优势。
网络隔离技术是把两个或两个以上可路由的网络通过不可路由的协议进行数据交换而达到隔离目的 .
2、划分子网隔离
3、 VLAN隔离
(1)VLAN隔离的概念
4、逻辑隔离
逻辑隔离主要通过逻辑隔离器实现,逻辑隔离器是一种不同网络间的隔离部件,被隔离的两端仍然存在物理上数据通道连线,但通过技术手段保证被隔离的两端没有数据通道,即逻辑上隔离。一般使用协议转换、数据格式剥离和数据流控制的方法,在两个逻辑隔离区域中传输数据。并且传输的方向是可控状态下的单向,不能在两个网络之间直接进行数据交换。
5、物理隔离
物理隔离包含四个方面内容: VIGAP 隔离网闸技术
、水线
、物理隔离
、
物理隔离卡
。
也就是说,只有使内部网和公共网物理隔离,才能真正保证内部信息网络不受来自互联网的黑客攻击。此外,物理隔离也为内部网划定了明确的安全边界,使得网络的可控性增强,便于内部管理。
1 、网络隔离 技术概述
面对新型网络攻击手段的出现和高安全度网络对安全的特殊需求,全新安全防护防范理念的网络安全技术 �D�D“ 网络隔离技术 ” 应运而生。网络隔离技术的目标是确保隔离有害的攻击,在可信网络之外和保证可信网络内部信息不外泄的前提下,完成网间 数据的安全交换。网络隔离技术是在原有安全技术的 基础上发展起来的,它弥补了原有安全技术的不足,突出了自己的优势。
网络隔离,英文名为
Network Isolation, 主要是指把两个或两个以上可
路由的网络(如:
TCP/IP )通过不可路由的
协议(如: IPX/SPX 、 NetBEUI 等)进行数据交换而达到隔离目的。由于其
原理主要是采用了不同的协议所以通常也叫协议隔离( Protocol Isolation ) .1997 年,信息安全专家 Mark Joseph Edwards 在他编写的< Understanding Network Security >一书中,就对协议隔离进行了归类。在书中他明确地指出了协议隔离和防火墙不属于同类产品。
网络隔离技术是把两个或两个以上可路由的网络通过不可路由的协议进行数据交换而达到隔离目的 .
2、划分子网隔离
3、 VLAN隔离
(1)VLAN隔离的概念
VLAN 是英文 Virtual Local Area Network 的缩写,即虚拟
局域网。 VLAN 是对连接到的第二层
交换机端口的网络用户的逻辑分段,不受网络用户的物理位置限制而根据用户需求进行网络分段。一个 VLAN 可以在一个交换机或者跨交换机实现。 VLAN 可以根据网络用户的位置、作用、部门或者根据网络用户所使用的
应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网
解决冲突域、广播域、带宽问题。一方面, VLAN 建立在局域网交换机的基础之上;另一方面, VLAN 是局域交换网的灵魂。这是因为通过 VLAN 用户能方便地在网络中移动和快捷地组建宽带网络,而无需改变任何硬件和通信线路。这样,网络
管理员就能从逻辑上对用户和网络资源进行分配,而无需考虑物理连接方式。 VLAN 充分体现了现代网络技术的重要特征:高速、灵活、管理简便和扩展容易。是否具有 VLAN
功能是衡量局域网交换机的一项重要指标。网络的虚拟化是未来网络发展的潮流。 VLAN 与普通局域网从原理上讲没有什么不同,但从用户使用和网络管理的角度来看, VLAN 与普通局域网最基本的差异体现在: VLAN 并不局限于某一网络或物理范围, VLAN 中的用户可以位于一个园区的任意位置,甚至位于不同的国家。
传统的共享
介质的以太网和交换式的以太网中,所有的用户在同一个广播域中,会引起网络性能的下降,浪费可贵的带宽;而且对广播风暴的控制和网络安全只能在第三层的
路由器上实现。
VLAN 相当于 OSI 参考模型的第二层的广播域,能够将广播风暴控制在一个 VLAN 内部,划分 VLAN 后,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高。不同的 VLAN 之间的数据传输是通过第三层(网络层)的路由来实现的,因此使用 VLAN 技术,结合数据链路层和网络层的交换
设备可搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问,同时 VLAN 和第三层第四层的交换结合使用能够为网络提供较好的安全措施。
另外, VLAN 具有灵活性和可扩张性等特点,方便于网络维护和管理,这两个特点正是现代局域网
设计必须实现的两个基本目标 , 在局域网中有效利用虚拟
局域网技术能够提高网络运行效率 .
( 2 )
VLAN
的优点
-- 增加了网络的连接灵活性:
-- 控制网络上的安全
-- 增加网络的安全性
( 3 )
VLAN
的分类
基于端口的 VLAN:
基于端口的 VLAN 是划分虚拟局域网最简单也是最有效的方法,这实际上是某些交换端口的集合,网络管理员
只需要管理和
配置交换端口,而不管交换端口连接什么设备。
基于 MAC 地址的 VLAN:
由于只有网卡才分配有 MAC 地址,因此按 MAC 地址来划分 VLAN 实际上是将某些工作站和
服务器划属于某个 VLAN 。
事实上,该 VLAN 是一些 MAC 地址的集合。当设备移动时,
VLAN 能够自动识别。网络管理需要管理和配置设备的 MAC 地址,显然当网络规模很大,设备很多时,会给管理带来难度。
基于第 3 层的 VLAN:
基于第 3 层的 VLAN 是采用在路由器中常用的方法: IP 子网和 IPX 网络号等。其中,局域网交换机允许一个子网
扩展到多个局域网交换端口,甚至允许一个端口对应于多个子网。
基于策略的 VLAN:
基于策略的 VLAN 是一种比较灵活有效的 VLAN 划分方法。该方法的核心是采用什么样的策略?目前,常用的策略
有(与厂商设备的支持有关):按 MAC 地址 , 按 IP 地址 , 按以太网协议类型 , 按网络的应用等
( 4 )
VLAN
的应用
4、逻辑隔离
逻辑隔离主要通过逻辑隔离器实现,逻辑隔离器是一种不同网络间的隔离部件,被隔离的两端仍然存在物理上数据通道连线,但通过技术手段保证被隔离的两端没有数据通道,即逻辑上隔离。一般使用协议转换、数据格式剥离和数据流控制的方法,在两个逻辑隔离区域中传输数据。并且传输的方向是可控状态下的单向,不能在两个网络之间直接进行数据交换。
5、物理隔离
物理隔离包含四个方面内容: VIGAP 隔离网闸技术
、水线
、物理隔离
、
物理隔离卡
。
1 、 ViGap 隔离网闸,它创建一个这样的环境,内、外网物理断开,但逻辑地相连。对于有连接的 PC ,黑客可以使用各种方法,通过网络连接来对它进行控制,然而物理隔断却能杜绝这种情况发生。 ViGap 就是在这两个网络之间创建了一个物理隔断,这意味着网络数据包不能从一个网络流向另外一个网络,并且可信网络上的计算机和不可信网络上的计算机从不会有实际的连接。
2 、所谓 “ 物理隔离 ” 是指内部网不得直接或间接地连接公共网。物理安全的目的是保护路由器、工作站、各种网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。
3 、在每台电脑中通过主板插槽安装物理隔离卡,把一台普通计算机分成两台虚拟计算机,实现真正的物理隔离。
4 、在单相电源
系统中,水线的功能为传导回馈的电流,与插座端与接地分配在同一个区域。而在台湾地区,只有水线与火线之分。
也就是说,只有使内部网和公共网物理隔离,才能真正保证内部信息网络不受来自互联网的黑客攻击。此外,物理隔离也为内部网划定了明确的安全边界,使得网络的可控性增强,便于内部管理。