第7章網絡安全隔離-2

1、網絡安全技術網絡安全技術1第第7章章 網絡安全隔離網絡安全隔離 本章學習目標本章學習目標理解網絡安全隔離的意義理解網絡安全隔離的意義掌握劃分子網的方法掌握劃分子網的方法掌握通過創(chuàng)建掌握通過創(chuàng)建VLAN實現網絡安全隔離的方法實現網絡安全隔離的方法了解物理隔離產品及應用了解物理隔離產品及應用網絡安全技術網絡安全技術2第第7章章 網絡安全隔離網絡安全隔離隨著網絡技術的發(fā)展，可以根據有特殊要求的隨著網絡技術的發(fā)展，可以根據有特殊要求的部門和用戶進行隔離保護，當然這里的隔離保部門和用戶進行隔離保護，當然這里的隔離保護只是阻止未經允許的用戶訪問敏感部門和關護只是阻止未經允許的用戶訪問敏感部門和關鍵用戶網絡

2、，而這些敏感部門和關鍵用戶，可鍵用戶網絡，而這些敏感部門和關鍵用戶，可以通過相應配置與其他未被隔離的網絡進行正以通過相應配置與其他未被隔離的網絡進行正常的數據交換，現在有如下三種解決方案。常的數據交換，現在有如下三種解決方案。 （1）通過子網掩碼劃分子網對網絡進行隔離。）通過子網掩碼劃分子網對網絡進行隔離。 （2）通過劃分）通過劃分VLAN網段對網絡進行隔離。網段對網絡進行隔離。 （3）通過構建網絡隔離系統對網絡進行隔離。）通過構建網絡隔離系統對網絡進行隔離。 網絡安全技術網絡安全技術37.1 利用子網掩碼劃分子網的應用利用子網掩碼劃分子網的應用7.1.1 Packet Tracer模擬器簡介

3、模擬器簡介網絡安全技術網絡安全技術47.1 利用子網掩碼劃分子網的應用利用子網掩碼劃分子網的應用7.1.2 項目背景及方案設計項目背景及方案設計 1項目背景項目背景某公司申請到某公司申請到198.16.1.0/24網段，設置了生產車間、網段，設置了生產車間、銷售處、財務處等三個部門，各部門分處不同的地銷售處、財務處等三個部門，各部門分處不同的地理位置。該公司需要建立內部網絡，要求如下。理位置。該公司需要建立內部網絡，要求如下。（1）最大的部門可以容納）最大的部門可以容納30臺計算機。臺計算機。（2）各部門內部計算機終端之間能夠直接通信。）各部門內部計算機終端之間能夠直接通信。（3）各部門之間數

4、據信息具有一定的獨立性。）各部門之間數據信息具有一定的獨立性。（4）財務處的數據必須受到嚴格保護，非授權人員）財務處的數據必須受到嚴格保護，非授權人員不能訪問。不能訪問。（5）公司內所有計算機都能夠訪問互聯網。）公司內所有計算機都能夠訪問互聯網。（6）網絡設備要高速、穩(wěn)定運行。）網絡設備要高速、穩(wěn)定運行。網絡安全技術網絡安全技術57.1 利用子網掩碼劃分子網的應用利用子網掩碼劃分子網的應用 2方案設計方案設計根據公司要求，設計方案如下。根據公司要求，設計方案如下。（1）通過子網掩碼劃分子網，使三個部門分別屬于）通過子網掩碼劃分子網，使三個部門分別屬于不同的子網，便于管理。不同的子網，便于管理。

5、（2）各部門分別配置一臺交換機，用于連接該部門）各部門分別配置一臺交換機，用于連接該部門所有終端設備。所有終端設備。（3）各部門之間通過路由器連接，實現互相通信，）各部門之間通過路由器連接，實現互相通信，并通過該路由器連接到并通過該路由器連接到Internet。（4）方案的網絡拓撲圖如圖）方案的網絡拓撲圖如圖7-4所示。所示。（5）路由器）路由器Router2端口規(guī)劃如表端口規(guī)劃如表7-1所示。所示。 網絡安全技術網絡安全技術67.1 利用子網掩碼劃分子網的應用利用子網掩碼劃分子網的應用圖7-4 子網掩碼劃分子網網絡拓撲圖網絡安全技術網絡安全技術77.1 利用子網掩碼劃分子網的應用利用子網掩碼

6、劃分子網的應用表7-1 Router2端口規(guī)劃設備名稱設備名稱端口端口用途用途Router2FastEthernet 0 / 0連接Switch0FastEthernet 0 / 1連接Switch1FastEthernet 1 / 0連接Switch2FastEthernet 1 / 1連接遠程分支機構網絡安全技術網絡安全技術87.1 利用子網掩碼劃分子網的應用利用子網掩碼劃分子網的應用7.1.3 實施步驟實施步驟 1確定子網掩碼確定子網掩碼 2確定并分配子網及確定并分配子網及IP地址范圍地址范圍 3搭建如圖搭建如圖7-4所示網絡環(huán)境，配置所示網絡環(huán)境，配置Router2路由器路由器 4配置

7、各配置各PC機機 5測試子網之間的連通性測試子網之間的連通性網絡安全技術網絡安全技術97.2 VLAN子網的劃分子網的劃分7.2.1 VLAN簡介簡介VLAN（Virtual Local Area Network，虛擬局，虛擬局域網）是一種通過將局域網內的設備邏輯地而域網）是一種通過將局域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。作組的新興技術。 網絡安全技術網絡安全技術107.2 VLAN子網的劃分子網的劃分7.2.2 VLAN的劃分的劃分 1根據端口來劃分根據端口來劃分VLAN 2根據根據MAC（Media Acces

8、s Control，介，介質訪問控制）地址劃分質訪問控制）地址劃分VLAN 3根據網絡層劃分根據網絡層劃分VLAN 4根據根據IP組播劃分組播劃分VLAN網絡安全技術網絡安全技術117.2 VLAN子網的劃分子網的劃分7.2.3 VLAN的主要用途的主要用途 1控制廣播風暴控制廣播風暴一個一個VLAN就是一個邏輯廣播域就是一個邏輯廣播域 。 2提高網絡的安全性提高網絡的安全性不同不同VLAN間不可以直接通信，要實現通信必須通間不可以直接通信，要實現通信必須通過具有網絡層交換功能的路由器或第三層交換機。過具有網絡層交換功能的路由器或第三層交換機。 3網絡管理簡單、直觀網絡管理簡單、直觀一個一個V

9、LAN可以根據部門職能、對象組或者應用將可以根據部門職能、對象組或者應用將不同地理位置的網絡用戶劃分為一個邏輯網段。在不同地理位置的網絡用戶劃分為一個邏輯網段。在不改動網絡物理連接的情況下可以任意地將工作站不改動網絡物理連接的情況下可以任意地將工作站在工作組或子網之間移動。在工作組或子網之間移動。 網絡安全技術網絡安全技術127.3 單一交換機單一交換機VLAN的配置的配置 在一臺交換機上進行在一臺交換機上進行VLAN的劃分及配置，是的劃分及配置，是通過劃分通過劃分VLAN網段對網絡進行隔離的最簡單、網段對網絡進行隔離的最簡單、最基本的形式。搭建如圖所示網絡環(huán)境最基本的形式。搭建如圖所示網絡環(huán)

10、境 。網絡安全技術網絡安全技術137.3 單一交換機單一交換機VLAN的配置的配置詳細步驟如下。詳細步驟如下。 1給交換機命名并設置登錄密碼給交換機命名并設置登錄密碼 2顯示顯示VLAN配置信息配置信息 3創(chuàng)建創(chuàng)建VLAN 4劃分劃分VLAN端口端口 5保存配置保存配置 6測試測試 7刪除刪除VLAN網絡安全技術網絡安全技術147.4 跨交換機跨交換機VLAN的配置的配置在多臺交換機上進行在多臺交換機上進行VLAN的劃分及配置，是的劃分及配置，是通過劃分通過劃分VLAN網段對網絡進行隔離的最常用、網段對網絡進行隔離的最常用、較復雜的形式。較復雜的形式。7.4.1 VTP簡介簡介 VTP（VLA

11、N Trunking Protocol，VLAN鏈路鏈路聚集協議）是一個在建立了匯聚鏈路的交換機聚集協議）是一個在建立了匯聚鏈路的交換機之間同步和傳遞之間同步和傳遞VLAN配置信息的協議，以在配置信息的協議，以在同一個同一個VTP域中維持域中維持VLAN配置的一致性。在配置的一致性。在創(chuàng)建創(chuàng)建VLAN之前，應先定義之前，應先定義VTP管理域。管理域。 網絡安全技術網絡安全技術157.4 跨交換機跨交換機VLAN的配置的配置 1VTP工作模式工作模式VTP有有server（服務器）（服務器） client（客戶端）（客戶端） transparent（透明）（透明） 2創(chuàng)建創(chuàng)建VTP管理域管理域（

12、1）創(chuàng)建）創(chuàng)建VTP管理域管理域（2）設置）設置VTP模式模式（3）執(zhí)行）執(zhí)行exit命令退出命令退出VLAN數據庫配置模式數據庫配置模式（4）查看）查看VTP信息信息網絡安全技術網絡安全技術167.4 跨交換機跨交換機VLAN的配置的配置7.4.2 項目背景及方案設計項目背景及方案設計 1項目背景項目背景某公司有計算機約某公司有計算機約50臺，設置了信息處、銷售處、臺，設置了信息處、銷售處、財務處等三個部門，各部門的地理位置如圖財務處等三個部門，各部門的地理位置如圖7-12所所示示 。該公司需要建立內部網絡，要求如下。該公司需要建立內部網絡，要求如下。（1）各部門內部計算機終端之間能夠直接通

13、信。）各部門內部計算機終端之間能夠直接通信。（2）各部門之間數據信息具有一定的獨立性。）各部門之間數據信息具有一定的獨立性。（3）公司內所有計算機都能夠訪問互聯網。）公司內所有計算機都能夠訪問互聯網。（4）財務處的數據必須受到嚴格保護，非授權人員）財務處的數據必須受到嚴格保護，非授權人員不能訪問。不能訪問。（5）總經理兼管財務處，副總經理兼管銷售處。）總經理兼管財務處，副總經理兼管銷售處。（6）網絡設備要高速、穩(wěn)定運行。）網絡設備要高速、穩(wěn)定運行。網絡安全技術網絡安全技術177.4 跨交換機跨交換機VLAN的配置的配置圖7-12 各部門地理位置圖 網絡安全技術網絡安全技術187.4 跨交換機跨

14、交換機VLAN的配置的配置 2方案設計方案設計根據公司要求，設計方案如下。根據公司要求，設計方案如下。（1）每層樓配置一臺交換機，用于連接該樓層所有）每層樓配置一臺交換機，用于連接該樓層所有終端設備。終端設備。（2）創(chuàng)建）創(chuàng)建VTP管理域，為每一個部門創(chuàng)建一個管理域，為每一個部門創(chuàng)建一個VLAN。（3）在交換機上劃分）在交換機上劃分VLAN，進行跨交換機，進行跨交換機VLAN的配置，實現各的配置，實現各VLAN內部計算機終端能相互通信。內部計算機終端能相互通信。（4）給各）給各VLAN創(chuàng)建虛擬子端口創(chuàng)建虛擬子端口IP地址，實現地址，實現VLAN間的通信。間的通信。（5）使用路由器連接到）使用路

15、由器連接到Internet。（6）方案的網絡拓撲圖如圖）方案的網絡拓撲圖如圖7-13所示。所示。網絡安全技術網絡安全技術197.4 跨交換機跨交換機VLAN的配置的配置圖7-13 網絡拓撲圖網絡安全技術網絡安全技術207.4 跨交換機跨交換機VLAN的配置的配置（7）各部門）各部門IP地址規(guī)劃和各設備端口規(guī)劃如表地址規(guī)劃和各設備端口規(guī)劃如表7-4、表表7-5所示。所示。 表7-4 各部門地址分配部門名部門名稱稱地址空間地址空間所屬所屬VLAN虛擬子端口虛擬子端口IP地址地址（默認網關）（默認網關）示例示例PC機名機名稱稱總經理192.168.5.100 / 24VLAN 30192.168.5

16、.1 / 24PC0副 總 經理192.168.3.101 / 24VLAN 20192.168.3.1 / 24PC1財務處192.168.5.0 / 24VLAN 30192.168.5.1 / 24PC4信息處192.168.2.0 / 24VLAN 10192.168.2.1 / 24PC2、PC6銷售處192.168.3.0 / 24VLAN 20192.168.3.1 / 24PC3、PC5網絡安全技術網絡安全技術21表7-5 各設備端口規(guī)劃設備名稱設備名稱端口端口用途用途端口類型端口類型R0FastEthernet 0 / 0連接CORE路由端口FastEthernet 0 /

17、1連接遠程分支機構路由端口COREFastEthernet 0 / 1-5連接用戶PCAccess端口，VLAN 10FastEthernet 0 / 11連接總經理PCAccess端口，VLAN 30FastEthernet 0 / 12連接副總經理PCAccess端口，VLAN 20FastEthernet 0 / 22連接SWBTrunk端口FastEthernet 0 / 23連接SWATrunk端口FastEthernet 0 / 24連接R0三層交換端口SWAFastEthernet 0 / 1-5連接用戶PCAccess端口，VLAN 10FastEthernet 0 / 6-1

18、0連接用戶PCAccess端口，VLAN 20FastEthernet 0 / 24連接CORETrunk端口SWBFastEthernet 0 / 1-5連接用戶PCAccess端口，VLAN 30FastEthernet 0 / 6-10連接用戶PCAccess端口，VLAN 20FastEthernet 0 / 24連接CORETrunk端口網絡安全技術網絡安全技術227.4 跨交換機跨交換機VLAN的配置的配置7.4.3 VLAN配置步驟配置步驟 網絡安全技術網絡安全技術237.5 網絡隔離概述網絡隔離概述 7.5.1 網絡隔離技術網絡隔離技術 1理解網絡隔離理解網絡隔離網絡中的網絡中

19、的“隔離隔離”并不是網絡間完全斷開，而是隔并不是網絡間完全斷開，而是隔離不安全因素，使受保護的網絡能安全地與外部網離不安全因素，使受保護的網絡能安全地與外部網絡通信。絡通信。 2網絡隔離技術分類網絡隔離技術分類（1）物理隔離）物理隔離（2）網絡隔離）網絡隔離（3）安全隔離）安全隔離網絡安全技術網絡安全技術247.5 網絡隔離概述網絡隔離概述 3網絡隔離技術發(fā)展階段網絡隔離技術發(fā)展階段（1）完全的物理隔離）完全的物理隔離（2）硬件隔離卡隔離）硬件隔離卡隔離（3）數據轉播隔離）數據轉播隔離（4）空氣開關隔離）空氣開關隔離（5）安全通道隔離）安全通道隔離網絡安全技術網絡安全技術257.5 網絡隔離概

20、述網絡隔離概述7.5.2 網絡隔離安全要素網絡隔離安全要素 1隔離產品自身有較高的安全性隔離產品自身有較高的安全性 2確保網絡包不能到達受保護網絡確保網絡包不能到達受保護網絡 3只允許應用層數據交換只允許應用層數據交換 4在確保安全的前提下盡可能暢通在確保安全的前提下盡可能暢通網絡安全技術網絡安全技術267.6 物理隔離物理隔離物理隔離是指內部網絡不得直接或間接地連接物理隔離是指內部網絡不得直接或間接地連接外部網絡即互聯網。外部網絡即互聯網。 7.6.1 物理隔離原理物理隔離原理 物理隔離設備在任意時刻只能與一個網絡的主物理隔離設備在任意時刻只能與一個網絡的主機系統建立非機系統建立非TCP/I

21、P協議的數據連接，即當它協議的數據連接，即當它與外部網絡的主機系統連接時，它與內部網絡與外部網絡的主機系統連接時，它與內部網絡的主機系統必須是斷開的，反之亦然，保證內、的主機系統必須是斷開的，反之亦然，保證內、外部網絡不能同時連接在物理隔離設備上。外部網絡不能同時連接在物理隔離設備上。網絡安全技術網絡安全技術277.6 物理隔離物理隔離通過如下步驟對物理隔離原理進行說明。通過如下步驟對物理隔離原理進行說明。 （1）當內網與專網之間無信息交換時，物理隔離）當內網與專網之間無信息交換時，物理隔離設備與內網之間、物理隔離設備與專用網之間、內設備與內網之間、物理隔離設備與專用網之間、內網與外網之間是完

22、全斷開的。網與外網之間是完全斷開的。 圖7-15 網絡安全技術網絡安全技術287.6 物理隔離物理隔離（2）當外網有數據需要到達內網的時候，控制電路）當外網有數據需要到達內網的時候，控制電路控制隔離設備與外網服務器建立非控制隔離設備與外網服務器建立非TCP/IP的數據連的數據連接接 。圖7-16 網絡安全技術網絡安全技術297.6 物理隔離物理隔離 （3）一旦數據完全寫入外網存儲設備，隔離設備）一旦數據完全寫入外網存儲設備，隔離設備在控制電路的控制下立即中斷與外網的連接，轉而在控制電路的控制下立即中斷與外網的連接，轉而發(fā)起對內網的非發(fā)起對內網的非TCP/IP協議的數據連接協議的數據連接 。圖7

23、-17 網絡安全技術網絡安全技術307.6 物理隔離物理隔離 （4）在控制臺收到完整的交換信號之后，控制電）在控制臺收到完整的交換信號之后，控制電路控制隔離設備立即切斷隔離設備與內網的連接，路控制隔離設備立即切斷隔離設備與內網的連接，又回到圖又回到圖7-15所示內外網完全斷開狀態(tài)。所示內外網完全斷開狀態(tài)。 網絡安全技術網絡安全技術317.6 物理隔離物理隔離 （5）如果這時內網有文件需要發(fā)出，隔離設備在）如果這時內網有文件需要發(fā)出，隔離設備在收到內網建立連接的請求之后，控制電路控制隔離收到內網建立連接的請求之后，控制電路控制隔離設備建立與內網之間的非設備建立與內網之間的非TCP/IP協議的數據連接。協議的數據連接。 圖7-18 網絡安全技術網絡安全技術327.6 物理隔離物理隔離 （6）當數據完全寫入內網專用存儲設備后，控制）當數據完全寫入內網專用存儲設備后，控制電路控制隔離設備立即中斷與內網的連接電路控制隔離設備立即中斷與內網的連接 圖7-19 網絡安全技術網絡安全技術337.6 物理隔離物理隔離 （7）在所有的數據發(fā)送完成后，控制電路就會控）在所有的數據發(fā)送完成后，控制電路就會控制隔離設備立即中斷隔離設備與外肉的連接，恢復制隔離設備立即中斷隔離設備與外肉的連接，恢復到如圖到如圖7-15所示的完全隔離狀態(tài)。所示的完全隔離狀態(tài)。 網絡安全技術網絡安全技術347