1、1主讲人 :单蓉胜 邮件地址: srs_ 上海交通大学信息安全工程学院第四章 网络隔离技术1、防火墙2、虚拟专网技术3、物理隔离技术隔离的本质是在需要交换信息甚至共享资源的情况下才出现,既要信息交换或共享资源,又要隔离。 haohao2主讲人 :单蓉胜 邮件地址: srs_ 上海交通大学信息安全工程学院基带和宽带 基带是一种信号传输方法,它通过直接将电流送到电缆上完成。占用整个电缆传输。 宽带,通常将电缆分为通道,以便不同的数据能同时发送,即在同一电缆中可以发送多个信号。3主讲人 :单蓉胜 邮件地址: srs_ 上海交通大学信息安全工程学院资源隔离基本概念 对资源分组取决于:资源的敏感程度、资
2、源受到损害的可能性,或者是设计者所选择的资源分组的标准。 安全区域,是资源的一个逻辑分组(如系统、网络或进程),这些分组与可接受的风险级别类似。 安全区域的思想不只局限于网络。在某种程度上,安全区域可以这样来实现:将某些性质相类似的应用程序驻留在专门的服务器上4主讲人 :单蓉胜 邮件地址: srs_ 上海交通大学信息安全工程学院隔离的必要性例如 Slammer等蠕虫病毒对交换机的冲击,就是利用了流转发技术的三层交换机的工作原理,第一个数据包进来的时候,三层交换机要像路由器那样通过查找路由表,确定如何转发,并形成一个用 ASIC完成转发查找的硬件流转发表。感染 Slammer等蠕虫病毒的计算机会
3、在很大的一段地址空间中,逐个发送指向不同 IP地址的数据包。这种行为是恶意的。这样的操作会导致交换机的硬件流转发表溢出,导致 CPU资源的大量浪费,甚至使交换机的 CPU资源完全耗尽。5主讲人 :单蓉胜 邮件地址: srs_ 上海交通大学信息安全工程学院典型的网络环境6主讲人 :单蓉胜 邮件地址: srs_ 上海交通大学信息安全工程学院防火墙的定义传统的防火墙概念传统的防火墙概念 概念: 防火墙被设计用来防止火从大厦的一部分传播到另一部分7主讲人 :单蓉胜 邮件地址: srs_ 上海交通大学信息安全工程学院I T 领域使用的防火墙概念两个安全域之间通信流的唯一通道安全域 1Host A Hos
4、t B 安全域 2Host C Host D UDPBlockHost CHost BTCPPassHost CHost ADestination ProtocolPermitSource根据访问控制规则决定进出网络的行为一种高级访问控制设备,置于不同 网络安全域 之间的一系列部件的组合,它是不同网络安全域间通信流的 唯一通道 ,能根据企业有关的安全政策 控制 (允许、拒绝、监视、记录)进出网络的访问行为。8主讲人 :单蓉胜 邮件地址: srs_ 上海交通大学信息安全工程学院I T 领域使用的防火墙概念防火墙( FireWall) 是一种隔离控制技术,在某个机构的网络和不安全的网络(如 Int
5、ernet) 之间设置屏障,阻止对信息资源的非法访问,也可以使用防火墙阻止重要信息从企业的网络上被非法输出。 FireWall一般安装在路由器上以保护一个子网,也可以安装在一台主机上,保护这台主机不受侵犯。 9主讲人 :单蓉胜 邮件地址: srs_ 上海交通大学信息安全工程学院防火墙的发展历程 将过滤功能从路由器中独立出来, 针对用户需求,提供模块化的软件包 用户可根据需要构造防火墙 安全性提高了,价格降低了 利用路由器本身对分组的解析 ,进行分组过滤 过滤判断依据:地址、端口号 防火墙与路由器合为一体,只有过滤功能 适用于对安全性要求不高的网络环境 是批量上市的专用防火墙产品 包括分组过滤或者借用路由器的分组过滤功能 装有专用的代理系统,监控所有协议的数据和指令 保护用户编程空间和用户可配置内核参数的设置 安全性和速度大为提高。 防火墙厂商具有操作系统的源代码,并可实现安全内核 在功能上包括了分组过滤、应用网关、电路级网关 增加了许多附加功能:加密、鉴别、审计、 NAT转换 透明性好,易于使用基于通用操作系统的防火墙防火墙工具套基于安全操作系统的防火墙10主讲人 :单蓉胜 邮件地址: srs_ 上海交通大学信息安全工程学院防火墙技术防火墙的位置防火墙的位置包过滤技术包过滤技术应用代理技术应用代理技术状态检测技术状态检测技术
