网络设备隔离技术
隔离技术是通过对具有不同安全需求的应用系统进行分类保护,从而有助于将风险较大的应用系统与其它应用系统隔离,达到安全保护的目的。
其中:
- 隔离技术一般通过隔离设备来实现。
- 隔离设备可以是网路设备,也可以是专门的隔离设备。
网络设备
网络设备包括集线器,交换机,路由器,三层交换机,下面分别对其进行简单的介绍。
- 集线器
集线器只是对数据的传输起到同步、放大和整形 的作用,并不会对数据的传输过程进行改变,对数据传输中的短帧、碎片等无法有效处理,不 能保证数据传输的完整性和正确性。 - 交换机
交换机可以识别连在网络上的节点的网卡MAC地 址,并把它们放到一个叫做MAC地址表的地方。 交换机是通过端口来决定数据的传输方向 - 路由器
网关,路由器属于网络层互联设备,用于连接多个逻辑 上分开的网络。路由器有自己的操作系统,运行各种网络 层协议(如IP协议、IPX协议、AppleTalk协议等),用于 实现网络层的功能。 既有选址的作用也有隔离的作用 - 三层交换机
三层交换机是将传统交换器与传统路由器结 合起来的网络设备,它既可以完成传统交换机的端口交换 功能,又可完成部分路由器的路由功能。
隔离技术
-
集线器隔离技术
集线器工作在物理层,所以只是对物理信号进行简单的放大,如果只是从集线器来对网络进行隔离,并不能起到很好的作用,因为通过集线器传输的信息都会以广播的方式在网络上进行广播,那么信息就可能被攻击者窃听。 -
交换机隔离技术
交换机工作在数据链路层,除了对信号进行放大以外,它还可以通过端口发送数据,交换机可以完成的功能有:流控,帧序列化,错误校验,网络拓扑结构,物理编址。
交换机有很多的端口,它可以通过特定的端口来发送数据,避免了攻击者只通过简单的窃听就获取到数据,所以交换机起到的隔离效果要大于集线器所起的效果。通过交换机,我们也能够进行VLAN的划分,我们可以使交换机的某些端口属于一个特定的子网,不同的子网之间就不能进行通信。
VLAN的划分方式有:
(1)基于端口划分的VLAN
(2)基于MAC地址划分VLAN
(3)基于网络层划分VLAN
(4)根据IP组播划分VLAN。 -
路由器隔离技术
路由器(Router)是具备路由功能的主机,是一种连接多个网络或网段的网络设备。
路由器主要功能包括:
(1)网络互连:路由器支持各种局域网和广域网接口,主要用 于互连局域网和广域网,实现不同网络互相通信。
(2)数据处理:提供包括分组过滤、分组转发、优先级、复用、 加密、压缩和防火墙等功能。
(3)网络管理:路由器提供包括配置管理、性能管理、容错 管理和流量控制等功能。
路由器是工作在网络层的,所以路由器的隔离效果要远大于之前介绍的两种。
路由器隔离技术有以下几种:
(1)网络互连
(2)网络管理
(3)数据处理
不同路由器管理的网络是属于一个单独的区域的,路由器上不同的端口也可以将其他的区域隔离开,因为我们可以对路由器的路由表进行控制,以便于决定消息是否可以从一个区域向另一个区域传播。
不同路由器管理的网络是属于一个单独的区域的,路由器上不同的端口也可以将其他的区域隔离开,因为我们可以对路由器的路由表进行控制,以便于决定消息是否可以从一个区域向另一个区域传播。如上面的路由器包含三个端口,通过不同的端口连接了不同的区域,如果通过路由表进行控制,那么不同的区域就不能够相互访问而起到了网络隔离的作用。
路由器网络隔离的两种形式
- 路由器作为唯一安全组件
即整个网络隔离只由路由器来实现,相对交换机,集线器,能提供更高层次的安全功能。 但是作为唯一的安全组件用于网络隔离会有缺点:
(1)路由器的默认配置对安全性的考虑不够。一般来说,路由器都需要一些高级配置才能达到一些防范攻击的作用。此外,路由器的很多安全策略往往基于命令行,配置出错的概率较高。
(2)路由器的审计功能使用不便。与专门的审计系统或者防火墙相比,很多路由自身审计分析功能不强,对日志、异常事件的描述也不能标准化。 - 路由器作为安全组件的一部分
在一个全面安全体系结构中,与其他安全组件协同工作,如防火墙,如何协同工作:
(1)在整个安全防护系统中,路由器一般用作屏蔽设备,执行简单的包过滤功能。
(2)同时,路由器与防火墙协同工作,由防火墙去执行数据包深度检查等复杂的处理工作。
在路由器与其他安全组件协同工作的方案中,路由器将是保护内部网的第一道关口,而其他安全组件(如防火墙)将是后续安全防护关口。
