隔离技术

对具有不同安全需求的应用系统进行分类保护,从而有助于将风险较大的应用系统与其他需要更多安全保护的应用系统隔离,达到保护的目的。

常见的隔离类型:

  • 逻辑隔离
  • 物理隔离

交换机

传统的是同轴电缆和集线器,在那个时候任何设备都可以访问其他设备并监听所有流量。 后来又诞生了交换机,交换机工作时,只有发出请求的端口和目的端口之间相互响应而不影响其他端口,那么交换机就能够有效地抑制广播风暴的产生并能够对主机系统间的数据进行隔离。

网络广播风暴是一种在电脑网络上发生的错误,起因是因为广播及多播讯号的累积,占用大量的网络带宽而使正常网络信号无法流通。一般来说,网络广播风暴都是因为配线错误,使网络造成回路而引起。——from wiki

因此,交换机

  • 能够隔离局域网中的信息,使得数据包经过指定的源端口和目的端口
  • 但不能有效地隔离广播数据。因为传统交换机连接的主机都属于同一个局域网,这些主机具有相同的广播域,广播包会到达局域网中的所有主机。

VLAN

基于这个需求,目前大多数交换机就有了一个虚拟子网(VLAN) 的功能

虚拟子网:即VLAN(Virtual Local Area Network),是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。连接在同一交换机上的主机可以通过VLAN划分到不同的虚拟子网,也就是不同的广播域。通过VLAN的构建能够更有效的对局域网的数据进行隔离。

VLAN划分的方式

  • 基于端口划分 优点:简单,一次定义;缺点:灵活性差
  • 基于MAC地址划分 优点:支持用户动态迁移;缺点:配置工作量大,执行效率低
  • 基于IP层划分 支持用户动态迁移,可按协议类型划分;缺点:效率低,需要交换机支持
  • 基于IP组播划分 优点:可通过路由器扩展,支持广域网;缺点:效率低,不适合局域网

这里需要注意到的是,集线器是物理层的设备,以太网交换机是数据链路层的设备,路由器是网络层的设备,大致如图所示。 图片2.jpg

路由器

在交换机中,它是属于OSI第二层的设备,数据包应送往交换机的哪一个端口是由数据包包头的MAC地址确定的。 由交换机连接的设备属于同一个局域网。 路由器是属于OSI第三层(网络层)的设备,根据IP地址进行寻址。

路由器的功能 :

  1. 网络互联
  2. 数据处理
  3. 网络管理

路由器隔离部署方式

  • 路由器作为唯一安全组件
  • 相对交换机,集线器,能提供更高层次的安全功能
  • 包过滤,NAT等
  • 路由器作为安全组件的一部分
  • 在一个全面安全体系结构中,常用作屏蔽设备,执行包过滤功能,而防火墙对能够通过路由器的数据包进行检查

防火墙

定义: 防火墙是用一个或一组网络设备,在两个或多个网络间加强访问控制,以保护一个网络不受到另一个网络攻击的安全技术。

逻辑上防火墙是一个分离器,一个限制器,也是一个分析器

主要技术: 分组过滤、应用代理、状态检测

防火墙部署示意图 图片3.png

防火墙的常见技术

分组过滤

分组过滤也被称为包过滤,通常根据数据包头信息对网络流量进行处理,一般只关注源地址和目的地址、应用、协议以及每个IP包的端口,位于网络层,过滤依据主要是IP报头里面的信息,不能对应用层数据进行处理。

原理: 图片4.png

工作模式: 图片6.png

优点: 容易实现,费用少,对性能的影响不大,对流量的管理较出色

缺点:

  • 过滤规则表随着应用的深化会很快变得很大而且复杂,出现漏洞的可能性也会增加。
  • 包过滤技术只对数据包头进行检查,没有身份验证机制,因此不能分辨正常用户和入侵者。
  • 包过滤技术不能进行应用层的深度检查,因此不能发现传输的恶意代码及攻击数据包。
  • 包过滤技术容易遭受源地址欺骗,源地址改为内部地址可以绕过包过滤防火墙。

应用代理

应用代理防火墙又被称为“堡垒主机”、“代理网关”、“应用级网关”、“代理服务器”,位于应用层,主要采用协议代理服务。 应用代理防火墙适用于特定的Internet服务,如HTTP、FTP等,必须为每一种应用服务设置专门的代理服务器。 (基本可以直接理解成代理服务器了。)

原理: 图片8.png

工作模式/层次: 图片7.png

优点:

  • 比起分组过滤防火墙,应用代理防火墙能够提供更高层次的安全性。
  • 应用代理防火墙将保护网络与外界完全隔离。并提供更细致的日志,有助于发现异常。
  • 应用代理防火墙本身是一台主机,可以执行诸如身份验证等功能。
  • 应用代理防火墙检测的深度更深,能够进行应用级的过滤。例如,有的应用代理防火墙可以过滤FTP连接并禁止FTP的“put”命令,从而保证用户不能往匿名FTP服务器上写入数据。

缺点:

  • 应用代理防火墙工作在OSI模型最高层,因此开销较大。
  • 对每项服务必须使用专门设计的代理服务器。应用代理防火墙通常支持常用的协议,例如:HTTP,FTP,Telnet等等,但不能支持所有的应用层协议。
  • 应用代理防火墙配置的方便性较差,对用户不透明。例如使用HTTP代理,需要用户配置自己的IE,从而使之指向代理服务器。

状态检测

状态检测技术是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别。

原理: 图片10.png

层次: 图片9.png

特点: 比分组过滤技术安全性高,比应用代理技术效率高。

典型体系结构

包过滤路由器模型 包过滤路由器是一个带有防火墙和路由器双功能的设备,采用分组过滤技术。 图片11.png

单宿主堡垒主机模型 堡垒主机指应用代理防火墙,连接着一个不安全的网络和一个安全的网络。 单宿主堡垒主机模型由包过滤路由器和堡垒主机组成,实现网络层和应用层安全 图片12.png

双宿主堡垒主机模型 图片13.png

子网屏蔽防火墙模型 图片14.png

防火墙的作用

  • 通过过滤不安全的服务而降低风险,提高内部网络安全性
  • 保护网络免受基于路由的攻击
  • 强化网络安全策略
  • 对网络存取和访问进行监控审计
  • 利用防火墙对内部网络的划分,实现内部网重点或敏感网段的隔离

局限性

  • 防火墙无法检测不经过防火墙的流量,如通过内部提供拨号服务接入公网的流量;
  • 防火墙不能防范来自内部人员恶意的攻击;
  • 防火墙不能阻止被病毒感染的和有害的程序或文件的传递,如木马;
  • 防火墙不能防止数据驱动式攻击,如一些缓冲区溢出攻击

网络地址转换

网络地址转换(Network Address Translation, NAT)允许一个机构以一个地址出现在Internet上,将每个局域网节点的地址转换成一个IP地址,反之亦然。

  • 隐藏了内部网络的结构
  • 内部网络可以使用私有IP地址
  • 公开地址不足的网络可以使用这种方式提供IP复用功能

NAT的实现方式

  • 静态转换 是指将内部网络的私有IP地址与公有IP地址进行一一对应的转换。
  • 动态转换 是指将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的。
  • 网络地址端口转换 是指改变外出数据包的源端口并进行端口转换,内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。

物理隔离

定义:“物理隔离”是指内部网在任何情况下不得直接或间接地连接公共网。 (前面我们提到的都是逻辑隔离)

类型

  • 双网双机 两台计算机共用一套外部设备,通过开关选择两套计算机系统。
  • 双硬盘物理隔离卡 通过增加一块隔离卡、一块硬盘,将硬盘接口通过添加的隔离卡转接到主板,网卡也通过该卡引出两个网络接口。
  • 单硬盘物理隔离 增加一块隔离卡,引出两个网口,并对原有硬盘划分安全区、非安全区。(非严格的物理隔离)
  • 隔离网关(网闸) 内、外部主机是完全网络隔离的,支持文件、数据或信息的交换。

实现方式: 物理隔离是通过物理隔离部件来实现的。 物理隔离部件(physical disconnection separation components)是在端上实现信息物理断开的信息安全部件,如物理隔离卡,网闸。 隔离部件的工作方式通常有:单向隔离、协议隔离、网闸隔离

物理隔离和逻辑隔离的区别:

  • 物理隔离的哲学是要安全就不连网,要绝对保证安全。

  • 逻辑隔离的哲学是在保证网络正常使用下,尽可能安全。

  • 物理隔离部件的安全功能应保证被隔离的计算机资源不能被访问(至少应包括硬盘、软盘和光盘),计算机数据不能被重用(至少应包括内存)。