网络安全技术(3)网络安全隔离技术

in web安全 Views: 4,212 s with 0 comment

【注:“网络安全技术”这一个专题的所有内容,主要均依托于我这学期的一门专业课《网络安全技术》,因为真的非常喜欢这一门课,所以特意在博客上对其进行梳理,也可以顺便作为考前复习资料XD,所以整体文章风格更偏向 不近人情の笔记风 (..•˘_˘•..)……请见谅……】
【当然如果您发现了问题,请不吝赐教~~ (*•̀ㅂ•́)و】

隔离技术

对具有不同安全需求的应用系统进行分类保护,从而有助于将风险较大的应用系统与其他需要更多安全保护的应用系统隔离,达到保护的目的。

常见的隔离类型:

交换机

传统的是同轴电缆和集线器,在那个时候任何设备都可以访问其他设备并监听所有流量。
后来又诞生了交换机,交换机工作时,只有发出请求的端口和目的端口之间相互响应而不影响其他端口,那么交换机就能够有效地抑制广播风暴的产生并能够对主机系统间的数据进行隔离。

网络广播风暴是一种在电脑网络上发生的错误,起因是因为广播及多播讯号的累积,占用大量的网络带宽而使正常网络信号无法流通。一般来说,网络广播风暴都是因为配线错误,使网络造成回路而引起。——from wiki

因此,交换机

VLAN

基于这个需求,目前大多数交换机就有了一个虚拟子网(VLAN)的功能

虚拟子网:即VLAN(Virtual Local Area Network),是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。连接在同一交换机上的主机可以通过VLAN划分到不同的虚拟子网,也就是不同的广播域。通过VLAN的构建能够更有效的对局域网的数据进行隔离。

VLAN划分的方式

这里需要注意到的是,集线器是物理层的设备,以太网交换机是数据链路层的设备,路由器是网络层的设备,大致如图所示。
图片2.jpg

路由器

在交换机中,它是属于OSI第二层的设备,数据包应送往交换机的哪一个端口是由数据包包头的MAC地址确定的。
由交换机连接的设备属于同一个局域网。
路由器是属于OSI第三层(网络层)的设备,根据IP地址进行寻址。

路由器的功能 :

  1. 网络互联
  2. 数据处理
  3. 网络管理

路由器隔离部署方式

防火墙

定义:防火墙是用一个或一组网络设备,在两个或多个网络间加强访问控制,以保护一个网络不受到另一个网络攻击的安全技术。

逻辑上防火墙是一个分离器,一个限制器,也是一个分析器

主要技术:分组过滤、应用代理、状态检测

防火墙部署示意图
图片3.png

防火墙的常见技术

分组过滤

分组过滤也被称为包过滤,通常根据数据包头信息对网络流量进行处理,一般只关注源地址和目的地址、应用、协议以及每个IP包的端口,位于网络层,过滤依据主要是IP报头里面的信息,不能对应用层数据进行处理。

原理:
图片4.png

工作模式:
图片6.png

优点:
容易实现,费用少,对性能的影响不大,对流量的管理较出色

缺点:

应用代理

应用代理防火墙又被称为“堡垒主机”、“代理网关”、“应用级网关”、“代理服务器”,位于应用层,主要采用协议代理服务。
应用代理防火墙适用于特定的Internet服务,如HTTP、FTP等,必须为每一种应用服务设置专门的代理服务器。
(基本可以直接理解成代理服务器了。)

原理:
图片8.png

工作模式/层次:
图片7.png

优点:

缺点:

状态检测

状态检测技术是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别。

原理:
图片10.png

层次:
图片9.png

特点:
比分组过滤技术安全性高,比应用代理技术效率高。

典型体系结构

包过滤路由器模型
包过滤路由器是一个带有防火墙和路由器双功能的设备,采用分组过滤技术。
图片11.png

单宿主堡垒主机模型
堡垒主机指应用代理防火墙,连接着一个不安全的网络和一个安全的网络。
单宿主堡垒主机模型由包过滤路由器和堡垒主机组成,实现网络层和应用层安全
图片12.png

双宿主堡垒主机模型
图片13.png

子网屏蔽防火墙模型
图片14.png

防火墙的作用

局限性

网络地址转换

网络地址转换(Network Address Translation, NAT)允许一个机构以一个地址出现在Internet上,将每个局域网节点的地址转换成一个IP地址,反之亦然。

NAT的实现方式

物理隔离

定义:“物理隔离”是指内部网在任何情况下不得直接或间接地连接公共网。
(前面我们提到的都是逻辑隔离)

类型

实现方式:
物理隔离是通过物理隔离部件来实现的。
物理隔离部件(physical disconnection separation components)是在端上实现信息物理断开的信息安全部件,如物理隔离卡,网闸。
隔离部件的工作方式通常有:单向隔离、协议隔离、网闸隔离

物理隔离和逻辑隔离的区别:

「一键投喂 软糖/蛋糕/布丁/牛奶/冰阔乐!」

薇拉航线

(๑>ڡ<)☆谢谢老板~

使用微信扫描二维码完成支付

Comments are closed.