第7章網(wǎng)絡(luò)安全隔離-2

1、網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)1第第7章章 網(wǎng)絡(luò)安全隔離網(wǎng)絡(luò)安全隔離 本章學(xué)習(xí)目標(biāo)本章學(xué)習(xí)目標(biāo)理解網(wǎng)絡(luò)安全隔離的意義理解網(wǎng)絡(luò)安全隔離的意義掌握劃分子網(wǎng)的方法掌握劃分子網(wǎng)的方法掌握通過創(chuàng)建掌握通過創(chuàng)建VLAN實(shí)現(xiàn)網(wǎng)絡(luò)安全隔離的方法實(shí)現(xiàn)網(wǎng)絡(luò)安全隔離的方法了解物理隔離產(chǎn)品及應(yīng)用了解物理隔離產(chǎn)品及應(yīng)用網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)2第第7章章 網(wǎng)絡(luò)安全隔離網(wǎng)絡(luò)安全隔離隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，可以根據(jù)有特殊要求的隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，可以根據(jù)有特殊要求的部門和用戶進(jìn)行隔離保護(hù)，當(dāng)然這里的隔離保部門和用戶進(jìn)行隔離保護(hù)，當(dāng)然這里的隔離保護(hù)只是阻止未經(jīng)允許的用戶訪問敏感部門和關(guān)護(hù)只是阻止未經(jīng)允許的用戶訪問敏感部門和關(guān)鍵用戶網(wǎng)絡(luò)

2、，而這些敏感部門和關(guān)鍵用戶，可鍵用戶網(wǎng)絡(luò)，而這些敏感部門和關(guān)鍵用戶，可以通過相應(yīng)配置與其他未被隔離的網(wǎng)絡(luò)進(jìn)行正以通過相應(yīng)配置與其他未被隔離的網(wǎng)絡(luò)進(jìn)行正常的數(shù)據(jù)交換，現(xiàn)在有如下三種解決方案。常的數(shù)據(jù)交換，現(xiàn)在有如下三種解決方案。 （1）通過子網(wǎng)掩碼劃分子網(wǎng)對(duì)網(wǎng)絡(luò)進(jìn)行隔離。）通過子網(wǎng)掩碼劃分子網(wǎng)對(duì)網(wǎng)絡(luò)進(jìn)行隔離。 （2）通過劃分）通過劃分VLAN網(wǎng)段對(duì)網(wǎng)絡(luò)進(jìn)行隔離。網(wǎng)段對(duì)網(wǎng)絡(luò)進(jìn)行隔離。 （3）通過構(gòu)建網(wǎng)絡(luò)隔離系統(tǒng)對(duì)網(wǎng)絡(luò)進(jìn)行隔離。）通過構(gòu)建網(wǎng)絡(luò)隔離系統(tǒng)對(duì)網(wǎng)絡(luò)進(jìn)行隔離。 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)37.1 利用子網(wǎng)掩碼劃分子網(wǎng)的應(yīng)用利用子網(wǎng)掩碼劃分子網(wǎng)的應(yīng)用7.1.1 Packet Tracer模擬器簡(jiǎn)介

3、模擬器簡(jiǎn)介網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)47.1 利用子網(wǎng)掩碼劃分子網(wǎng)的應(yīng)用利用子網(wǎng)掩碼劃分子網(wǎng)的應(yīng)用7.1.2 項(xiàng)目背景及方案設(shè)計(jì)項(xiàng)目背景及方案設(shè)計(jì) 1項(xiàng)目背景項(xiàng)目背景某公司申請(qǐng)到某公司申請(qǐng)到198.16.1.0/24網(wǎng)段，設(shè)置了生產(chǎn)車間、網(wǎng)段，設(shè)置了生產(chǎn)車間、銷售處、財(cái)務(wù)處等三個(gè)部門，各部門分處不同的地銷售處、財(cái)務(wù)處等三個(gè)部門，各部門分處不同的地理位置。該公司需要建立內(nèi)部網(wǎng)絡(luò)，要求如下。理位置。該公司需要建立內(nèi)部網(wǎng)絡(luò)，要求如下。（1）最大的部門可以容納）最大的部門可以容納30臺(tái)計(jì)算機(jī)。臺(tái)計(jì)算機(jī)。（2）各部門內(nèi)部計(jì)算機(jī)終端之間能夠直接通信。）各部門內(nèi)部計(jì)算機(jī)終端之間能夠直接通信。（3）各部門之間數(shù)

4、據(jù)信息具有一定的獨(dú)立性。）各部門之間數(shù)據(jù)信息具有一定的獨(dú)立性。（4）財(cái)務(wù)處的數(shù)據(jù)必須受到嚴(yán)格保護(hù)，非授權(quán)人員）財(cái)務(wù)處的數(shù)據(jù)必須受到嚴(yán)格保護(hù)，非授權(quán)人員不能訪問。不能訪問。（5）公司內(nèi)所有計(jì)算機(jī)都能夠訪問互聯(lián)網(wǎng)。）公司內(nèi)所有計(jì)算機(jī)都能夠訪問互聯(lián)網(wǎng)。（6）網(wǎng)絡(luò)設(shè)備要高速、穩(wěn)定運(yùn)行。）網(wǎng)絡(luò)設(shè)備要高速、穩(wěn)定運(yùn)行。網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)57.1 利用子網(wǎng)掩碼劃分子網(wǎng)的應(yīng)用利用子網(wǎng)掩碼劃分子網(wǎng)的應(yīng)用 2方案設(shè)計(jì)方案設(shè)計(jì)根據(jù)公司要求，設(shè)計(jì)方案如下。根據(jù)公司要求，設(shè)計(jì)方案如下。（1）通過子網(wǎng)掩碼劃分子網(wǎng)，使三個(gè)部門分別屬于）通過子網(wǎng)掩碼劃分子網(wǎng)，使三個(gè)部門分別屬于不同的子網(wǎng)，便于管理。不同的子網(wǎng)，便于管理。

5、（2）各部門分別配置一臺(tái)交換機(jī)，用于連接該部門）各部門分別配置一臺(tái)交換機(jī)，用于連接該部門所有終端設(shè)備。所有終端設(shè)備。（3）各部門之間通過路由器連接，實(shí)現(xiàn)互相通信，）各部門之間通過路由器連接，實(shí)現(xiàn)互相通信，并通過該路由器連接到并通過該路由器連接到Internet。（4）方案的網(wǎng)絡(luò)拓?fù)鋱D如圖）方案的網(wǎng)絡(luò)拓?fù)鋱D如圖7-4所示。所示。（5）路由器）路由器Router2端口規(guī)劃如表端口規(guī)劃如表7-1所示。所示。 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)67.1 利用子網(wǎng)掩碼劃分子網(wǎng)的應(yīng)用利用子網(wǎng)掩碼劃分子網(wǎng)的應(yīng)用圖7-4 子網(wǎng)掩碼劃分子網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)77.1 利用子網(wǎng)掩碼劃分子網(wǎng)的應(yīng)用利用子網(wǎng)掩碼

6、劃分子網(wǎng)的應(yīng)用表7-1 Router2端口規(guī)劃設(shè)備名稱設(shè)備名稱端口端口用途用途Router2FastEthernet 0 / 0連接Switch0FastEthernet 0 / 1連接Switch1FastEthernet 1 / 0連接Switch2FastEthernet 1 / 1連接遠(yuǎn)程分支機(jī)構(gòu)網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)87.1 利用子網(wǎng)掩碼劃分子網(wǎng)的應(yīng)用利用子網(wǎng)掩碼劃分子網(wǎng)的應(yīng)用7.1.3 實(shí)施步驟實(shí)施步驟 1確定子網(wǎng)掩碼確定子網(wǎng)掩碼 2確定并分配子網(wǎng)及確定并分配子網(wǎng)及IP地址范圍地址范圍 3搭建如圖搭建如圖7-4所示網(wǎng)絡(luò)環(huán)境，配置所示網(wǎng)絡(luò)環(huán)境，配置Router2路由器路由器 4配置

7、各配置各PC機(jī)機(jī) 5測(cè)試子網(wǎng)之間的連通性測(cè)試子網(wǎng)之間的連通性網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)97.2 VLAN子網(wǎng)的劃分子網(wǎng)的劃分7.2.1 VLAN簡(jiǎn)介簡(jiǎn)介VLAN（Virtual Local Area Network，虛擬局，虛擬局域網(wǎng)）是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而域網(wǎng)）是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。作組的新興技術(shù)。 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)107.2 VLAN子網(wǎng)的劃分子網(wǎng)的劃分7.2.2 VLAN的劃分的劃分 1根據(jù)端口來(lái)劃分根據(jù)端口來(lái)劃分VLAN 2根據(jù)根據(jù)MAC（Media Acces

8、s Control，介，介質(zhì)訪問控制）地址劃分質(zhì)訪問控制）地址劃分VLAN 3根據(jù)網(wǎng)絡(luò)層劃分根據(jù)網(wǎng)絡(luò)層劃分VLAN 4根據(jù)根據(jù)IP組播劃分組播劃分VLAN網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)117.2 VLAN子網(wǎng)的劃分子網(wǎng)的劃分7.2.3 VLAN的主要用途的主要用途 1控制廣播風(fēng)暴控制廣播風(fēng)暴一個(gè)一個(gè)VLAN就是一個(gè)邏輯廣播域就是一個(gè)邏輯廣播域 。 2提高網(wǎng)絡(luò)的安全性提高網(wǎng)絡(luò)的安全性不同不同VLAN間不可以直接通信，要實(shí)現(xiàn)通信必須通間不可以直接通信，要實(shí)現(xiàn)通信必須通過具有網(wǎng)絡(luò)層交換功能的路由器或第三層交換機(jī)。過具有網(wǎng)絡(luò)層交換功能的路由器或第三層交換機(jī)。 3網(wǎng)絡(luò)管理簡(jiǎn)單、直觀網(wǎng)絡(luò)管理簡(jiǎn)單、直觀一個(gè)一個(gè)V

9、LAN可以根據(jù)部門職能、對(duì)象組或者應(yīng)用將可以根據(jù)部門職能、對(duì)象組或者應(yīng)用將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個(gè)邏輯網(wǎng)段。在不同地理位置的網(wǎng)絡(luò)用戶劃分為一個(gè)邏輯網(wǎng)段。在不改動(dòng)網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站不改動(dòng)網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在工作組或子網(wǎng)之間移動(dòng)。在工作組或子網(wǎng)之間移動(dòng)。 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)127.3 單一交換機(jī)單一交換機(jī)VLAN的配置的配置 在一臺(tái)交換機(jī)上進(jìn)行在一臺(tái)交換機(jī)上進(jìn)行VLAN的劃分及配置，是的劃分及配置，是通過劃分通過劃分VLAN網(wǎng)段對(duì)網(wǎng)絡(luò)進(jìn)行隔離的最簡(jiǎn)單、網(wǎng)段對(duì)網(wǎng)絡(luò)進(jìn)行隔離的最簡(jiǎn)單、最基本的形式。搭建如圖所示網(wǎng)絡(luò)環(huán)境最基本的形式。搭建如圖所示網(wǎng)絡(luò)環(huán)

10、境 。網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)137.3 單一交換機(jī)單一交換機(jī)VLAN的配置的配置詳細(xì)步驟如下。詳細(xì)步驟如下。 1給交換機(jī)命名并設(shè)置登錄密碼給交換機(jī)命名并設(shè)置登錄密碼 2顯示顯示VLAN配置信息配置信息 3創(chuàng)建創(chuàng)建VLAN 4劃分劃分VLAN端口端口 5保存配置保存配置 6測(cè)試測(cè)試 7刪除刪除VLAN網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)147.4 跨交換機(jī)跨交換機(jī)VLAN的配置的配置在多臺(tái)交換機(jī)上進(jìn)行在多臺(tái)交換機(jī)上進(jìn)行VLAN的劃分及配置，是的劃分及配置，是通過劃分通過劃分VLAN網(wǎng)段對(duì)網(wǎng)絡(luò)進(jìn)行隔離的最常用、網(wǎng)段對(duì)網(wǎng)絡(luò)進(jìn)行隔離的最常用、較復(fù)雜的形式。較復(fù)雜的形式。7.4.1 VTP簡(jiǎn)介簡(jiǎn)介 VTP（VLA

11、N Trunking Protocol，VLAN鏈路鏈路聚集協(xié)議）是一個(gè)在建立了匯聚鏈路的交換機(jī)聚集協(xié)議）是一個(gè)在建立了匯聚鏈路的交換機(jī)之間同步和傳遞之間同步和傳遞VLAN配置信息的協(xié)議，以在配置信息的協(xié)議，以在同一個(gè)同一個(gè)VTP域中維持域中維持VLAN配置的一致性。在配置的一致性。在創(chuàng)建創(chuàng)建VLAN之前，應(yīng)先定義之前，應(yīng)先定義VTP管理域。管理域。 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)157.4 跨交換機(jī)跨交換機(jī)VLAN的配置的配置 1VTP工作模式工作模式VTP有有server（服務(wù)器）（服務(wù)器） client（客戶端）（客戶端） transparent（透明）（透明） 2創(chuàng)建創(chuàng)建VTP管理域管理域（

12、1）創(chuàng)建）創(chuàng)建VTP管理域管理域（2）設(shè)置）設(shè)置VTP模式模式（3）執(zhí)行）執(zhí)行exit命令退出命令退出VLAN數(shù)據(jù)庫(kù)配置模式數(shù)據(jù)庫(kù)配置模式（4）查看）查看VTP信息信息網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)167.4 跨交換機(jī)跨交換機(jī)VLAN的配置的配置7.4.2 項(xiàng)目背景及方案設(shè)計(jì)項(xiàng)目背景及方案設(shè)計(jì) 1項(xiàng)目背景項(xiàng)目背景某公司有計(jì)算機(jī)約某公司有計(jì)算機(jī)約50臺(tái)，設(shè)置了信息處、銷售處、臺(tái)，設(shè)置了信息處、銷售處、財(cái)務(wù)處等三個(gè)部門，各部門的地理位置如圖財(cái)務(wù)處等三個(gè)部門，各部門的地理位置如圖7-12所所示示 。該公司需要建立內(nèi)部網(wǎng)絡(luò)，要求如下。該公司需要建立內(nèi)部網(wǎng)絡(luò)，要求如下。（1）各部門內(nèi)部計(jì)算機(jī)終端之間能夠直接通

13、信。）各部門內(nèi)部計(jì)算機(jī)終端之間能夠直接通信。（2）各部門之間數(shù)據(jù)信息具有一定的獨(dú)立性。）各部門之間數(shù)據(jù)信息具有一定的獨(dú)立性。（3）公司內(nèi)所有計(jì)算機(jī)都能夠訪問互聯(lián)網(wǎng)。）公司內(nèi)所有計(jì)算機(jī)都能夠訪問互聯(lián)網(wǎng)。（4）財(cái)務(wù)處的數(shù)據(jù)必須受到嚴(yán)格保護(hù)，非授權(quán)人員）財(cái)務(wù)處的數(shù)據(jù)必須受到嚴(yán)格保護(hù)，非授權(quán)人員不能訪問。不能訪問。（5）總經(jīng)理兼管財(cái)務(wù)處，副總經(jīng)理兼管銷售處。）總經(jīng)理兼管財(cái)務(wù)處，副總經(jīng)理兼管銷售處。（6）網(wǎng)絡(luò)設(shè)備要高速、穩(wěn)定運(yùn)行。）網(wǎng)絡(luò)設(shè)備要高速、穩(wěn)定運(yùn)行。網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)177.4 跨交換機(jī)跨交換機(jī)VLAN的配置的配置圖7-12 各部門地理位置圖 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)187.4 跨交換機(jī)跨

14、交換機(jī)VLAN的配置的配置 2方案設(shè)計(jì)方案設(shè)計(jì)根據(jù)公司要求，設(shè)計(jì)方案如下。根據(jù)公司要求，設(shè)計(jì)方案如下。（1）每層樓配置一臺(tái)交換機(jī)，用于連接該樓層所有）每層樓配置一臺(tái)交換機(jī)，用于連接該樓層所有終端設(shè)備。終端設(shè)備。（2）創(chuàng)建）創(chuàng)建VTP管理域，為每一個(gè)部門創(chuàng)建一個(gè)管理域，為每一個(gè)部門創(chuàng)建一個(gè)VLAN。（3）在交換機(jī)上劃分）在交換機(jī)上劃分VLAN，進(jìn)行跨交換機(jī)，進(jìn)行跨交換機(jī)VLAN的配置，實(shí)現(xiàn)各的配置，實(shí)現(xiàn)各VLAN內(nèi)部計(jì)算機(jī)終端能相互通信。內(nèi)部計(jì)算機(jī)終端能相互通信。（4）給各）給各VLAN創(chuàng)建虛擬子端口創(chuàng)建虛擬子端口IP地址，實(shí)現(xiàn)地址，實(shí)現(xiàn)VLAN間的通信。間的通信。（5）使用路由器連接到）使用路

15、由器連接到Internet。（6）方案的網(wǎng)絡(luò)拓?fù)鋱D如圖）方案的網(wǎng)絡(luò)拓?fù)鋱D如圖7-13所示。所示。網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)197.4 跨交換機(jī)跨交換機(jī)VLAN的配置的配置圖7-13 網(wǎng)絡(luò)拓?fù)鋱D網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)207.4 跨交換機(jī)跨交換機(jī)VLAN的配置的配置（7）各部門）各部門IP地址規(guī)劃和各設(shè)備端口規(guī)劃如表地址規(guī)劃和各設(shè)備端口規(guī)劃如表7-4、表表7-5所示。所示。 表7-4 各部門地址分配部門名部門名稱稱地址空間地址空間所屬所屬VLAN虛擬子端口虛擬子端口IP地址地址（默認(rèn)網(wǎng)關(guān)）（默認(rèn)網(wǎng)關(guān)）示例示例PC機(jī)名機(jī)名稱稱總經(jīng)理192.168.5.100 / 24VLAN 30192.168.5

16、.1 / 24PC0副 總 經(jīng)理192.168.3.101 / 24VLAN 20192.168.3.1 / 24PC1財(cái)務(wù)處192.168.5.0 / 24VLAN 30192.168.5.1 / 24PC4信息處192.168.2.0 / 24VLAN 10192.168.2.1 / 24PC2、PC6銷售處192.168.3.0 / 24VLAN 20192.168.3.1 / 24PC3、PC5網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)21表7-5 各設(shè)備端口規(guī)劃設(shè)備名稱設(shè)備名稱端口端口用途用途端口類型端口類型R0FastEthernet 0 / 0連接CORE路由端口FastEthernet 0 /

17、1連接遠(yuǎn)程分支機(jī)構(gòu)路由端口COREFastEthernet 0 / 1-5連接用戶PCAccess端口，VLAN 10FastEthernet 0 / 11連接總經(jīng)理PCAccess端口，VLAN 30FastEthernet 0 / 12連接副總經(jīng)理PCAccess端口，VLAN 20FastEthernet 0 / 22連接SWBTrunk端口FastEthernet 0 / 23連接SWATrunk端口FastEthernet 0 / 24連接R0三層交換端口SWAFastEthernet 0 / 1-5連接用戶PCAccess端口，VLAN 10FastEthernet 0 / 6-1

18、0連接用戶PCAccess端口，VLAN 20FastEthernet 0 / 24連接CORETrunk端口SWBFastEthernet 0 / 1-5連接用戶PCAccess端口，VLAN 30FastEthernet 0 / 6-10連接用戶PCAccess端口，VLAN 20FastEthernet 0 / 24連接CORETrunk端口網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)227.4 跨交換機(jī)跨交換機(jī)VLAN的配置的配置7.4.3 VLAN配置步驟配置步驟 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)237.5 網(wǎng)絡(luò)隔離概述網(wǎng)絡(luò)隔離概述 7.5.1 網(wǎng)絡(luò)隔離技術(shù)網(wǎng)絡(luò)隔離技術(shù) 1理解網(wǎng)絡(luò)隔離理解網(wǎng)絡(luò)隔離網(wǎng)絡(luò)中的網(wǎng)絡(luò)中

19、的“隔離隔離”并不是網(wǎng)絡(luò)間完全斷開，而是隔并不是網(wǎng)絡(luò)間完全斷開，而是隔離不安全因素，使受保護(hù)的網(wǎng)絡(luò)能安全地與外部網(wǎng)離不安全因素，使受保護(hù)的網(wǎng)絡(luò)能安全地與外部網(wǎng)絡(luò)通信。絡(luò)通信。 2網(wǎng)絡(luò)隔離技術(shù)分類網(wǎng)絡(luò)隔離技術(shù)分類（1）物理隔離）物理隔離（2）網(wǎng)絡(luò)隔離）網(wǎng)絡(luò)隔離（3）安全隔離）安全隔離網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)247.5 網(wǎng)絡(luò)隔離概述網(wǎng)絡(luò)隔離概述 3網(wǎng)絡(luò)隔離技術(shù)發(fā)展階段網(wǎng)絡(luò)隔離技術(shù)發(fā)展階段（1）完全的物理隔離）完全的物理隔離（2）硬件隔離卡隔離）硬件隔離卡隔離（3）數(shù)據(jù)轉(zhuǎn)播隔離）數(shù)據(jù)轉(zhuǎn)播隔離（4）空氣開關(guān)隔離）空氣開關(guān)隔離（5）安全通道隔離）安全通道隔離網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)257.5 網(wǎng)絡(luò)隔離概

20、述網(wǎng)絡(luò)隔離概述7.5.2 網(wǎng)絡(luò)隔離安全要素網(wǎng)絡(luò)隔離安全要素 1隔離產(chǎn)品自身有較高的安全性隔離產(chǎn)品自身有較高的安全性 2確保網(wǎng)絡(luò)包不能到達(dá)受保護(hù)網(wǎng)絡(luò)確保網(wǎng)絡(luò)包不能到達(dá)受保護(hù)網(wǎng)絡(luò) 3只允許應(yīng)用層數(shù)據(jù)交換只允許應(yīng)用層數(shù)據(jù)交換 4在確保安全的前提下盡可能暢通在確保安全的前提下盡可能暢通網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)267.6 物理隔離物理隔離物理隔離是指內(nèi)部網(wǎng)絡(luò)不得直接或間接地連接物理隔離是指內(nèi)部網(wǎng)絡(luò)不得直接或間接地連接外部網(wǎng)絡(luò)即互聯(lián)網(wǎng)。外部網(wǎng)絡(luò)即互聯(lián)網(wǎng)。 7.6.1 物理隔離原理物理隔離原理 物理隔離設(shè)備在任意時(shí)刻只能與一個(gè)網(wǎng)絡(luò)的主物理隔離設(shè)備在任意時(shí)刻只能與一個(gè)網(wǎng)絡(luò)的主機(jī)系統(tǒng)建立非機(jī)系統(tǒng)建立非TCP/I

21、P協(xié)議的數(shù)據(jù)連接，即當(dāng)它協(xié)議的數(shù)據(jù)連接，即當(dāng)它與外部網(wǎng)絡(luò)的主機(jī)系統(tǒng)連接時(shí)，它與內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的主機(jī)系統(tǒng)連接時(shí)，它與內(nèi)部網(wǎng)絡(luò)的主機(jī)系統(tǒng)必須是斷開的，反之亦然，保證內(nèi)、的主機(jī)系統(tǒng)必須是斷開的，反之亦然，保證內(nèi)、外部網(wǎng)絡(luò)不能同時(shí)連接在物理隔離設(shè)備上。外部網(wǎng)絡(luò)不能同時(shí)連接在物理隔離設(shè)備上。網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)277.6 物理隔離物理隔離通過如下步驟對(duì)物理隔離原理進(jìn)行說明。通過如下步驟對(duì)物理隔離原理進(jìn)行說明。 （1）當(dāng)內(nèi)網(wǎng)與專網(wǎng)之間無(wú)信息交換時(shí)，物理隔離）當(dāng)內(nèi)網(wǎng)與專網(wǎng)之間無(wú)信息交換時(shí)，物理隔離設(shè)備與內(nèi)網(wǎng)之間、物理隔離設(shè)備與專用網(wǎng)之間、內(nèi)設(shè)備與內(nèi)網(wǎng)之間、物理隔離設(shè)備與專用網(wǎng)之間、內(nèi)網(wǎng)與外網(wǎng)之間是完

22、全斷開的。網(wǎng)與外網(wǎng)之間是完全斷開的。 圖7-15 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)287.6 物理隔離物理隔離（2）當(dāng)外網(wǎng)有數(shù)據(jù)需要到達(dá)內(nèi)網(wǎng)的時(shí)候，控制電路）當(dāng)外網(wǎng)有數(shù)據(jù)需要到達(dá)內(nèi)網(wǎng)的時(shí)候，控制電路控制隔離設(shè)備與外網(wǎng)服務(wù)器建立非控制隔離設(shè)備與外網(wǎng)服務(wù)器建立非TCP/IP的數(shù)據(jù)連的數(shù)據(jù)連接接 。圖7-16 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)297.6 物理隔離物理隔離 （3）一旦數(shù)據(jù)完全寫入外網(wǎng)存儲(chǔ)設(shè)備，隔離設(shè)備）一旦數(shù)據(jù)完全寫入外網(wǎng)存儲(chǔ)設(shè)備，隔離設(shè)備在控制電路的控制下立即中斷與外網(wǎng)的連接，轉(zhuǎn)而在控制電路的控制下立即中斷與外網(wǎng)的連接，轉(zhuǎn)而發(fā)起對(duì)內(nèi)網(wǎng)的非發(fā)起對(duì)內(nèi)網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)連接協(xié)議的數(shù)據(jù)連接 。圖7

23、-17 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)307.6 物理隔離物理隔離 （4）在控制臺(tái)收到完整的交換信號(hào)之后，控制電）在控制臺(tái)收到完整的交換信號(hào)之后，控制電路控制隔離設(shè)備立即切斷隔離設(shè)備與內(nèi)網(wǎng)的連接，路控制隔離設(shè)備立即切斷隔離設(shè)備與內(nèi)網(wǎng)的連接，又回到圖又回到圖7-15所示內(nèi)外網(wǎng)完全斷開狀態(tài)。所示內(nèi)外網(wǎng)完全斷開狀態(tài)。 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)317.6 物理隔離物理隔離 （5）如果這時(shí)內(nèi)網(wǎng)有文件需要發(fā)出，隔離設(shè)備在）如果這時(shí)內(nèi)網(wǎng)有文件需要發(fā)出，隔離設(shè)備在收到內(nèi)網(wǎng)建立連接的請(qǐng)求之后，控制電路控制隔離收到內(nèi)網(wǎng)建立連接的請(qǐng)求之后，控制電路控制隔離設(shè)備建立與內(nèi)網(wǎng)之間的非設(shè)備建立與內(nèi)網(wǎng)之間的非TCP/IP協(xié)議的數(shù)據(jù)連接。協(xié)議的數(shù)據(jù)連接。 圖7-18 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)327.6 物理隔離物理隔離 （6）當(dāng)數(shù)據(jù)完全寫入內(nèi)網(wǎng)專用存儲(chǔ)設(shè)備后，控制）當(dāng)數(shù)據(jù)完全寫入內(nèi)網(wǎng)專用存儲(chǔ)設(shè)備后，控制電路控制隔離設(shè)備立即中斷與內(nèi)網(wǎng)的連接電路控制隔離設(shè)備立即中斷與內(nèi)網(wǎng)的連接 圖7-19 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)337.6 物理隔離物理隔離 （7）在所有的數(shù)據(jù)發(fā)送完成后，控制電路就會(huì)控）在所有的數(shù)據(jù)發(fā)送完成后，控制電路就會(huì)控制隔離設(shè)備立即中斷隔離設(shè)備與外肉的連接，恢復(fù)制隔離設(shè)備立即中斷隔離設(shè)備與外肉的連接，恢復(fù)到如圖到如圖7-15所示的完全隔離狀態(tài)。所示的完全隔離狀態(tài)。 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)347