計算機(jī)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)(第2版)-課件 3-5 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)(5)(網(wǎng)絡(luò)地址轉(zhuǎn)換與網(wǎng)絡(luò)隔離)_第1頁
計算機(jī)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)(第2版)-課件 3-5 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)(5)(網(wǎng)絡(luò)地址轉(zhuǎn)換與網(wǎng)絡(luò)隔離)_第2頁
計算機(jī)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)(第2版)-課件 3-5 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)(5)(網(wǎng)絡(luò)地址轉(zhuǎn)換與網(wǎng)絡(luò)隔離)_第3頁
計算機(jī)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)(第2版)-課件 3-5 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)(5)(網(wǎng)絡(luò)地址轉(zhuǎn)換與網(wǎng)絡(luò)隔離)_第4頁
計算機(jī)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)(第2版)-課件 3-5 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)(5)(網(wǎng)絡(luò)地址轉(zhuǎn)換與網(wǎng)絡(luò)隔離)_第5頁
已閱讀5頁,還剩8頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

第三章網(wǎng)絡(luò)隔離技術(shù)-網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)與網(wǎng)絡(luò)隔離計算機(jī)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換與網(wǎng)絡(luò)隔離NAT與網(wǎng)絡(luò)隔離NAT技術(shù)可以對內(nèi)部網(wǎng)絡(luò)起到隔離與隱藏作用可以將內(nèi)部網(wǎng)絡(luò)中重要的或者特殊的IP地址隱藏起來不被外部攻擊者發(fā)現(xiàn)也使得外部攻擊者無法直接訪問到內(nèi)部主機(jī)網(wǎng)絡(luò)地址轉(zhuǎn)換與網(wǎng)絡(luò)隔離NAT與網(wǎng)絡(luò)隔離NAT技術(shù)可以提供詳細(xì)的安全審計功能所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)均被發(fā)送到NAT設(shè)備的IP地址上NAT設(shè)備提供了完備的網(wǎng)絡(luò)通信日志功能,便于在攻擊事件發(fā)生后進(jìn)行安全審計網(wǎng)絡(luò)地址轉(zhuǎn)換與網(wǎng)絡(luò)隔離NAT對網(wǎng)絡(luò)安全的影響NAT技術(shù)破壞了端到端的網(wǎng)絡(luò)通信理論上一個合法的IP地址后面可以連接成百上千的主機(jī)在端到端安全服務(wù)中,數(shù)據(jù)包需要從源端完全不加修改的通過互聯(lián)網(wǎng)發(fā)送到目的端。例如,在IP層的安全解決方案IPSec中,由于原始的IP包頭進(jìn)行數(shù)字簽名、加密安全保護(hù),但經(jīng)過NAT設(shè)備時如果進(jìn)行了IP地址修改,目的端在安全驗證時就會發(fā)生錯誤。網(wǎng)絡(luò)地址轉(zhuǎn)換與網(wǎng)絡(luò)隔離NAT對網(wǎng)絡(luò)安全的影響NAT技術(shù)給安全管理帶來了一定的困難性例如,如何劃分網(wǎng)絡(luò)、網(wǎng)絡(luò)安全策略的調(diào)整以及網(wǎng)絡(luò)路由的修改等,均變得比較復(fù)雜。NAT對于一個缺少足夠的全球唯一IP地址的組織或者部門來說是一種不錯的解決方案但是當(dāng)這些組織或部門因為某種原因(如重組、合并等)需要對已有網(wǎng)絡(luò)和網(wǎng)絡(luò)安全方案進(jìn)行重新整合或修改時,NAT技術(shù)則變成了一個嚴(yán)重的問題。網(wǎng)絡(luò)地址轉(zhuǎn)換與網(wǎng)絡(luò)隔離NAT對網(wǎng)絡(luò)安全的影響NAT技術(shù)給攻擊溯源帶來的了挑戰(zhàn)如果互聯(lián)網(wǎng)上每臺主機(jī)均有一個唯一的IP地址,則當(dāng)攻擊發(fā)生后可以快速、有效地知道攻擊者的信息(如地址、主機(jī)信息等)。當(dāng)眾多主機(jī)通過NAT技術(shù)接入互聯(lián)網(wǎng)以后,安全監(jiān)管系統(tǒng)(如網(wǎng)絡(luò)取證)所采集到的IP地址實際是NAT設(shè)備配置的全局地址,因此無法直接定位和確定真正的攻擊者。網(wǎng)絡(luò)地址轉(zhuǎn)換與網(wǎng)絡(luò)隔離NAT與防火墻InternetIntranetPrivateIPPublicIPNAT防火墻規(guī)則必須修改網(wǎng)絡(luò)地址轉(zhuǎn)換與網(wǎng)絡(luò)隔離NAT與防火墻InternetIntranetPrivateIPPublicIPNAT攻擊者可以欺騙NAT網(wǎng)絡(luò)地址轉(zhuǎn)換與網(wǎng)絡(luò)隔離NAT與防火墻InternetIntranetPrivateIPPublicIPNAT在防火墻上實現(xiàn)OK網(wǎng)絡(luò)地址轉(zhuǎn)換與網(wǎng)絡(luò)隔離NAT與防火墻NAT影響防火墻系統(tǒng)的設(shè)計和部署防火墻根據(jù)IP報頭中包含的TCP端口號、源IP、目的IP以及其它一些信息來制定過濾規(guī)則,并以此來決定是否讓該數(shù)據(jù)包通過。如果一個NAT設(shè)備,被置于受防火墻保護(hù)的一側(cè),必須修改防火墻規(guī)則如果將NAT設(shè)備置于防火墻之外(即防火墻和外部網(wǎng)絡(luò)之間),外部攻擊者就可能欺騙NAT而攻擊內(nèi)部網(wǎng)絡(luò)。網(wǎng)絡(luò)地址轉(zhuǎn)換與網(wǎng)絡(luò)隔離NAT與VPNNAT影響VPN的設(shè)計和部署虛擬專網(wǎng)(VPN:VirtualPrivateNetwork)是常用的安全保護(hù)技術(shù)。構(gòu)建VPN最簡單的方法是使用IP安全協(xié)議(IPSec)由于IPSec會修改IP頭的信息,因此如果錯誤地放置NAT設(shè)備,會影響整個網(wǎng)絡(luò)安全防御系統(tǒng)的設(shè)計。原則上,由于NAT需要改動IP報頭中的IP地址等信息,因此NAT設(shè)備應(yīng)該被置于VPN受保護(hù)的一側(cè)。NAT是一把雙刃劍NAT解決了IPv4中IP地址緊張

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論