网络隔离技术
概述
- 隔离技术 是通过对具有不同安全需求的应用系统进行分类保护,从而有助于将风险较大的应用系统与 其它应用 系统隔离,达到 安全 保护 的目的。
- 隔离技术一般通过 隔离设备 来实现。
- 隔离设备 可以是 网路设备 ,也可以是专门的 隔离设备
网络设备简介
- 集线器:集线器只是对数据的传输起到同步、放大和整形的作用,对数据传输中的短帧、碎片等无法有效处理,不能保证数据传输的完整性和正确性。
- 交换机:交换机可以识别连在网络上的节点的网卡 MAC 地址,并把它们放到一个叫做 MAC 地址表的地方。
- 路由器:路由器属于网络层互联设备,用于连接多个逻辑上分开的网络。路由器支持各种局域网和广域网接口,主要用于互联局域网和广域网,实现不同的网络互相通信。以及路由器还提供包括分组过滤,分组转发,优先级,复用,加密,压缩和防火墙等功能。路由器还提供包括配置管理,性能管理和流量控制等功能。路由器有自己的操作系统,运行各种网络层协议(如IP 协议、IPX 协议、AppleTalk 协议等),用于实现网络层的功能
- 三层交换机:三层交换机是将传统交换器与传统路由器结合起来的网络设备,它既可以完成传统交换机的端口交换功能,又可完成部分路由器的路由功能。
针对网络设备的隔离技术
集线器隔离:基于物理层的隔离技术,因为都是使用广播来放大数据,所以并不能起到很好的隔离作用,容易被攻击者窃听。
交换机隔离-基于端口:基于数据链路层的隔离技术,通过不同端口的划分,也能起到不错的隔离
交换机隔离-vlan划分:即通过部分端口属于特定的子网,从而达到网络隔离的作用,此外vlan划分的方式有:
- 基于端口划分的vlan
- 基于mac地址划分的vlan
- 基于网络层划分vlan
- 根据ip组播划分vlan
路由器隔离技术:通过不同端口以及相应配置的路由表达到隔离的作用
优点
- 相对交换机,集线器,能提供更高层次的安全功能。
- 在一个全面的安全体系结构中,与其他安全组件协同工作
缺点 - 对安全性的考虑不够,以及路由器的安全策略大多基于命令行,配置出错率高
- 路由器审计功能使用不便
协同工作的方式
- 在安全防护系统中,路由器一般作为屏蔽设备,执行简单的包过滤功能
- 与防火墙协同工作,由防火墙执行数据包深度检查等复杂的处理工作
防火墙基本
基本概念
防火墙(Firewall)是用一个或一组网络设备(计算机系统或路由器等)
- 在两个或多个网络间加强访问控制,以保护一个网络不受来自另一个网络攻击的安全技术。
- 防火墙作为外部网络数据进入内部网络数据的唯一出入口,能根据企业的访问控制策略(允许通过、拒绝通过等),对出入网络的信息流进行控制
- 防止外部网络攻击,保证内部网络安全。
防火墙特征
作为安全组件的防火墙的特征包括:
(1)所有进出网络的网络通信都应该通过防火墙。
(2)所有穿过防火墙进入内部网络的网络通信都经过了安全策略
的确认和授权。
(3)理论上说,防火墙是穿不透的,即违反防火墙安全策略的网
络通信无法进入内部网络。
功能
由软件和硬件组成的防火墙一般来说应具有以下功能:
(1)防火墙是一个访问控制机构
(2)防火墙是一个审计机构
(3)防火墙屏蔽机构
(4)防火墙是一个多功能的安全机构
防火墙不足
防火墙的 不足: :
(1)不能防范恶意的内部攻击者
(2)防火墙不能防范不通过它的网络通信
(3)防火墙不能防御全部的威胁
(4)防火墙不能防范病毒
防火墙在网络隔离中的作用
- 通过过滤不安全的服务而降低风险,提高内部网络安全性
- 保护网络免受基于路由的攻击
- 强化网络安全策略
- 对网络存取和访问进行监控审计
- 利用防火墙对内部网络的划分,实现内部网重点或敏感网段的隔离
包过滤技术
概述
包过滤,也叫分组过滤,它是根据数据IP包头信息对网络流量进行处理的一种访问控制技术。
过滤规则
- 分组过滤是一种访问控制机制,它控制哪些数据包可以进出网络而哪
些数据包应被网络拒绝。 - 分组过滤技术可以处理网络层的数据包, 因此依据源IP地址、目标IP地址、源端口、目标端口、包类型等IP包头信息,允许或拒绝IP包通过
过滤规则注意事项
(1)最常用的规则放在前面
(2)按从最特殊的规则到最一般的规则的顺序创建
(3)配置过滤规则必须注意协议的双向性
(4)“往内”与“往外”的含义
(5)规则表通常都有一条默认规则(通常放在最末尾的拒绝规则)
包过滤优缺点
优点
- 包过滤技术的优点在于简单、易于使用,实现成本低。
- 处理开销小,因此对使用该技术的防火墙系统的性能影响不大。
缺点
- 当过滤规则较多时,对过滤规则表的管理和维护较为麻烦
- 无法识别入侵
- 无法识别恶意代码
- 易遭受IP地址欺骗
状态检测技术
概述
状态检测技术是指根据协议数据的状态来实现包过滤功能的访问控制技术。
- 状态检测技术也叫状态包过滤技术
- 顾名思义 , 状态检测既要根据IP 包头信息也要根据协议的状态信息来制定过滤规则。
状态的含义
在TCP/IP协议中,状态是指协议过去执行的历史信息。
例如,对于TCP而言,要进行数据通信,必须建立三次握手,因此对于使用TCP进行数据传输的应用来说,TCP的三次握手所建立的连接信息就是其状态。
在TCP/IP协议族中,有些协议是有状态的协议(如TCP协议等),有些协议是无状态协议(如UDP协议等)。
状态信息类型
- 网络通信 信息
- 所有TCP/IP协议的当前信息
-
网络通信状态
以前的网络通信信息
例如,同样对于FTP而言,可以记录FTP请求的服务器地址和端口、客户
端地址和为此次FTP临时打开的端口 -
应用状态
应用程序的信息
例如,已经通过防火墙认证的用户可以通过防火墙访问其他授权的服务 -
操作信息
例如,已经通过防火墙认证的用户可以通过防火墙访问其他授权的服务
构造更加复杂、更灵活、实用性强的策略规则
状态记录的保存
一般采用 连接 状态 表 来存放状态信息,连接状态表, 就是 存放协议历史信息的信息表。
获取无状态协议的状态信息
对于无连接的应用(如UDP协议),状态检测技术通过虚连接的方法来建立其状态信息。
虚连接:为保存协议的状态信息而虚构的网络连接
例如,对于基于UDP应用的安全需求,状态检测技术通过在UDP通信之上
保持一个虚拟连接
保存通过防火墙的每一个虚连接的状态信息,允许穿过防火墙的UDP请求
包被记录
当UDP包在相反方向上通过时,则可以依据连接状态表确定该UDP包是否
被授权的,若已被授权,则通过,否则拒绝。
典型的状态信息包括超时检测、是否有以前的UDP数据包通过等
状态检测技术的优点
- 安全性好
- 灵活性强
- 扩展性好
- 应用范围广
状态检测技术 的 缺点
- 计算开销大
- 处理速度慢
- 规则管理复杂