第四章防火墻與網絡隔離技術第四章防火墻與網絡隔離技術第4章防火墻與網絡隔離技術傳統情況下，當構筑和使用木結構房屋的時候，為防止火災的發生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護構筑物被稱為防火墻。如今，人們借助這個概念，使用“防火墻”來保護敏感的數據不被竊取和篡改，不過，這些防火墻是由先進的計算機系統構成的。防火墻尤如一道護欄隔在被保護的內部網與不安全的非信任網絡之間，用來保護計算機網絡免受非授權人員的騷擾與黑客的入侵。第4章防火墻與網絡隔離技術傳統情況下，當構筑和使用木結構第4章防火墻與網絡隔離技術4.1防火墻技術及Windows防火墻配置4.2網絡隔離技術與網閘應用第4章防火墻與網絡隔離技術4.1防火墻技術及Wind4.1防火墻技術及Windows防火墻配置防火墻可以是非常簡單的過濾器，也可能是精心配置的網關，但它們的原理是一樣的，都是監測并過濾所有內部網和外部網之間的信息交換。防火墻通常是運行在一臺單獨計算機之上的一個特別的服務軟件，它可以識別并屏蔽非法的請求，保護內部網絡敏感的數據不被偷竊和破壞，并記錄內外通訊的有關狀態信息日志，如通訊發生的時間和進行的操作等。4.1防火墻技術及Windows防火墻配置防火墻可以是非4.1防火墻技術及Windows防火墻配置防火墻技術是一種有效的網絡安全機制，它主要用于確定哪些內部服務允許外部訪問，以及允許哪些外部服務訪問內部服務。其基本準則就是：一切未被允許的就是禁止的；一切未被禁止的就是允許的。4.1防火墻技術及Windows防火墻配置防火墻技術是一4.1.1防火墻技術防火墻是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術，并越來越多地應用于專用與公用網絡的互聯環境之中。4.1.1防火墻技術防火墻是建立在現代通信網絡技術和信息4.1.1防火墻技術1.防火墻的作用防火墻應該是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業的安全策略控制(允許、拒絕、監測)出入網絡的信息流，且本身具有較強的抗攻擊能力，是提供信息安全服務，實現網絡和信息安全的基礎設施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，它有效地監控著內部網和因特網之間的任何活動，保證了內部網絡的安全。如圖4.1所示。4.1.1防火墻技術1.防火墻的作用圖4.1防火墻示意圖圖4.1防火墻示意圖4.1.1防火墻技術(1)防火墻是網絡安全的屏障。由于只有經過精心選擇的應用協議才能通過防火墻，所以防火墻(作為阻塞點、控制點)能極大地提高內部網絡的安全性，并通過過濾不安全的服務而降低風險，使網絡環境變得更安全。防火墻同時可以保護網絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑等。4.1.1防火墻技術(1)防火墻是網絡安全的屏障。由于4.1.1防火墻技術(2)防火墻可以強化網絡安全策略。通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。與將網絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經濟。例如在網絡訪問時，一次一密口令系統(即每一次加密都使用一個不同的密鑰)和其他的身份認證系統完全可以集中于防火墻一身。4.1.1防火墻技術(2)防火墻可以強化網絡安全策略。4.1.1防火墻技術(3)對網絡存取和訪問進行監控審計。如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網絡使用情況的統計數據。當發生可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監測和攻擊的詳細信息。4.1.1防火墻技術(3)對網絡存取和訪問進行監控審計4.1.1防火墻技術另外，收集一個網絡的使用和誤用情況也是非常重要的，這樣可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，清楚防火墻的控制是否充分。而網絡使用統計對網絡需求分析和威脅分析等而言也是非常重要的。4.1.1防火墻技術另外，收集一個網絡的使用和誤用情況也4.1.1防火墻技術(4)防止內部信息的外泄。通過利用防火墻對內部網絡的劃分，可實現內部網重點網段的隔離，從而限制局部重點或敏感網絡安全問題對全局網絡造成的影響。再者，隱私是內部網絡非常關心的問題，一個內部網絡中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴露了內部網絡的某些安全漏洞。4.1.1防火墻技術(4)防止內部信息的外泄。通過利用4.1.1防火墻技術使用防火墻就可以隱蔽那些透漏內部細節的例如Finger(用來查詢使用者的資料)，DNS(域名系統)等服務。Finger顯示了主機的所有用戶的注冊名、真名、最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。4.1.1防火墻技術使用防火墻就可以隱蔽那些透漏內部細節4.1.1防火墻技術攻擊者可以由此而知道一個系統使用的頻繁程度，這個系統是否有用戶正在連線上網，這個系統是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關內部網絡中的DNS信息，這樣一臺主機的域名和IP地址就不會被外界所了解。除了安全作用，防火墻還支持具有因特網服務特性的企業內部網絡技術體系VPN(虛擬專用網絡)。4.1.1防火墻技術攻擊者可以由此而知道一個系統使用的頻4.1.1防火墻技術2.防火墻的種類根據防范的方式和側重點的不同，防火墻技術可分成很多類型，但總體來講還是兩大類：分組過濾和應用代理。4.1.1防火墻技術2.防火墻的種類4.1.1防火墻技術(1)包過濾或分組過濾技術(Packetfiltering)。作用于網絡層和傳輸層，通常安裝在路由器上，對數據進行選擇，它根據分組包頭源地址，目的地址和端口號、協議類型(TCP/UDP/ICMP/IPtunnel)等標志，確定是否允許數據包通過。只有滿足過濾邏輯的數據包才被轉發到相應的目的地出口端，其余數據包則被從數據流中丟棄。4.1.1防火墻技術(1)包過濾或分組過濾技術(Pa4.1.1防火墻技術(2)代理服務技術。也叫應用代理(ApplicationProxy)和應用網關(ApplicationGateway)，它作用在應用層，其特點是完全“阻隔”了網絡通信流，通過對每種應用服務編制專門的代理程序，實現監視和控制應用層通信流的作用。與包過濾防火墻不同之處在于內部網和外部網之間不存在直接連接，同時提供審計和日志服務。實際中的應用網關通常由專用工作站實現。如圖4.2所示。4.1.1防火墻技術(2)代理服務技術。也叫應用代理圖4.2應用代理型防火墻圖4.2應用代理型防火墻4.1.1防火墻技術應用代理型防火墻是內部網與外部網的隔離點，工作在OSI模型的最高層，掌握著應用系統中可用作安全決策的全部信息，起著監視和隔絕應用層通信流的作用。同時也常結合過濾器的功能。4.1.1防火墻技術應用代理型防火墻是內部網與外部網的隔4.1.1防火墻技術(3)復合型技術。針對更高安全性的要求，常把基于包過濾的方法與基于應用代理的方法結合起來，形成復合型防火墻產品。所用主機稱為堡壘主機，負責提供代理服務。這種結合通常有屏蔽主機和屏蔽子網這兩種防火墻體系結構方案。4.1.1防火墻技術(3)復合型技術。針對更高安全性的4.1.1防火墻技術在屏蔽主機防火墻體系結構中(圖4.3)，包過濾路由器或防火墻與因特網相連，同時一個堡壘主機安裝在內部網絡，通過在包過濾路由器或防火墻上過濾規則的設置，使堡壘主機成為因特網上其他節點所能到達的唯一節點，確保內部網絡不受未授權外部用戶的攻擊。4.1.1防火墻技術在屏蔽主機防火墻體系結構中(圖4.圖4.3屏蔽主機防火墻圖4.3屏蔽主機防火墻4.1.1防火墻技術在屏蔽子網防火墻體系結構中(圖4.4)，堡壘主機放在一個子網(非軍事區，DMZ)內，兩個包過濾路由器放在這一子網的兩端，使這一子網與因特網及內部網分離，堡壘主機和包過濾路由器共同構成了整個防火墻的安全基礎。4.1.1防火墻技術在屏蔽子網防火墻體系結構中(圖4.圖4.4屏蔽子網防火墻圖4.4屏蔽子網防火墻4.1.1防火墻技術(4)審計技術。通過對網絡上發生的各種訪問過程進行記錄和產生日志，并對日志進行統計分析，從而對資源使用情況進行分析，對異常現象進行追蹤監視。4.1.1防火墻技術(4)審計技術。通過對網絡上發生的4.1.1防火墻技術3.防火墻操作系統防火墻應該建立在安全的操作系統之上，而安全的操作系統來自對專用操作系統的安全加固和改造。從現有的諸多產品看，對安全操作系統內核的固化與改造主要從以下幾方面進行：1)取消危險的系統調用。2)限制命令的執行權限。4.1.1防火墻技術3.防火墻操作系統4.1.1防火墻技術3)取消IP的轉發功能。4)檢查每個分組的接口。5)采用隨機連接序號。6)駐留分組過濾模塊。7)取消動態路由功能。8)采用多個安全內核等。4.1.1防火墻技術3)取消IP的轉發功能。4.1.1防火墻技術作為一種安全防護設備，防火墻在網絡中自然是眾多攻擊者的目標，故抗攻擊能力也是防火墻的必備功能。4.1.1防火墻技術作為一種安全防護設備，防火墻在網絡中4.1.1防火墻技術防火墻也有局限性，存在著一些防火墻不能防范的安全威脅，如防火墻不能防范不經過防火墻的攻擊(例如，如果允許從受保護的網絡內部向外撥號，一些用戶就可能形成與因特網的直接連接)。另外，防火墻很難防范來自于網絡內部的攻擊以及病毒的威脅等。4.1.1防火墻技術防火墻也有局限性，存在著一些防火墻不4.1.2防火墻的功能指標防火墻的功能指標主要包括：1)產品類型。從產品和技術發展來看，防火墻分為基于路由器的包過濾防火墻、基于通用操作系統的防火墻和基于專用安全操作系統的防火墻。2)局域網(LAN)接口。指防火墻所能保護的網絡類型，如以太網、快速以太網、千兆以太網、ATM、令牌環及FDDI等。4.1.2防火墻的功能指標防火墻的功能指標主要包括：4.1.2防火墻的功能指標支持的最大LAN接口數：指防火墻所支持的局域網絡接口數目，也是其能夠保護的不同內網數目。服務器平臺：防火墻所運行的操作系統平臺(如Linux、UNIX、Windows2000/XP、專用安全操作系統等)。3)協議支持。除支持IP協議之外，又支持AppleTalk、DECnet、IPX及NETBEUI等非IP協議。此外還有建立VPN通道的協議、可以在VPN中使用的協議等。4.1.2防火墻的功能指標支持的最大LAN接口數：指防火4.1.2防火墻的功能指標4)加密支持。VPN中支持的加密算法，例如數據加密標準DES、3DES、RC4以及國內專用的加密算法等。此外還有加密的其他用途，如身份認證、報文完整性認證，密鑰分配等，以及是否提供硬件加密方法等。4.1.2防火墻的功能指標4)加密支持。VPN中支持的4.1.2防火墻的功能指標5)認證支持。指防火墻支持的身份認證協議，以及是否支持數字證書等。一般情況下具有一個或多個認證方案，如RADIUS、Kerberos、TACACS/TACACS+、口令方式、數字證書等。防火墻能夠為本地或遠程用戶提供經過認證與授權的對網絡資源的訪問，防火墻管理員必須決定客戶以何種方式通過認證。4.1.2防火墻的功能指標5)認證支持。指防火墻支持的4.1.2防火墻的功能指標6)訪問控制。包過濾防火墻的過濾規則集由若干條規則組成，它應涵蓋對所有出入防火墻的數據包的處理方法，對于沒有明確定義的數據包，應該有一個缺省處理方法；過濾規則應易于理解，易于編輯修改；同時應具備一致性檢測機制，防止沖突。4.1.2防火墻的功能指標6)訪問控制。包過濾防火墻的4.1.2防火墻的功能指標應考慮防火墻是否支持應用層代理，如HTTP、FTP、TELNET、SNMP等；是否支持傳輸層代理服務；是否支持FTP文件類型過濾，允許FTP命令防止某些類型文件通過防火墻；用戶操作的代理類型，如HTTP、POP3；支持網絡地址轉換(NAT)；是否支持硬件口令、智能卡等。4.1.2防火墻的功能指標應考慮防火墻是否支持應用層代理4.1.2防火墻的功能指標7)防御功能。是否支持防病毒功能，是否支持信息內容過濾，能防御的DoS攻擊類型；以及阻止ActiveX、Java、Cookies、Javascript侵入等。8)安全特性。是否支持ICMP(網間控制報文協議)代理，提供實時入侵告警功能，提供實時入侵響應功能，識別/記錄/防止企圖進行IP地址欺騙等。4.1.2防火墻的功能指標7)防御功能。是否支持防病毒4.1.2防火墻的功能指標9)管理功能。通過集成策略集中管理多個防火墻。防火墻管理是指對防火墻具有管理權限的管理員行為和防火墻運行狀態的管理，管理員的行為主要包括：通過防火墻的身份鑒別，編寫防火墻的安全規則，配置防火墻的安全參數，查看防火墻的日志等。防火墻的管理一般分為本地管理、遠程管理和集中管理等。4.1.2防火墻的功能指標9)管理功能。通過集成策略集4.1.2防火墻的功能指標10)記錄和報表功能。防火墻規定了對于符合條件的報文做日志，應該提供日志信息管理和存儲方法。應考慮防火墻是否具有日志的自動分析和掃描功能，這可以獲得更詳細的統計結果，達到事后分析、亡羊補牢的目的。國內有關部門的許可證類別及號碼是防火墻合格與銷售的關鍵要素之一，其中包括：公安部的銷售許可證、國家信息安全測評中心的認證證書、總參的國防通信入網證和國家保密局的推薦證明等。4.1.2防火墻的功能指標10)記錄和報表功能。防火墻4.1.3防火墻技術的發展目前對防火墻的發展普遍存在著兩種觀點，即所謂的胖、瘦防火墻之爭。一種觀點認為，要采取分工協作，防火墻應該做得精瘦，只做防火墻的專職工作，可采取多家安全廠商聯盟的方式來解決；另一種觀點認為，應該把防火墻做得盡量的胖，把所有安全功能盡可能多地附加在防火墻上，成為一個集成化的網絡安全平臺。4.1.3防火墻技術的發展目前對防火墻的發展普遍存在著兩4.1.3防火墻技術的發展從本質上講，“胖、瘦”防火墻沒有好壞之分，只有需求上的差別。低端的防火墻是一個集成的產品，它可以具有簡單的安全防護功能，還可以具有一定的IDS(入侵檢測系統)功能，但一般不會集成防病毒功能。4.1.3防火墻技術的發展從本質上講，“胖、瘦”防火墻沒4.1.3防火墻技術的發展而中高端的防火墻更加專業化，安全和訪問控制并重，主要對經過防火墻的數據包進行審核，安全會更加深化，對協議的研究更加深入，同時會支持多種通用的路由協議，對網絡拓撲更加適應，VPN會集成到防火墻內，作為建立廣域網安全隧道的一種手段，但防火墻不會集成IDS和防病毒，這些還是由專門的設備負責完成。4.1.3防火墻技術的發展而中高端的防火墻更加專業化，安4.1.4Windows防火墻WindowsXP(SP2)為連接到因特網上的小型網絡提供了增強的防火墻安全保護。默認情況下，會啟用Windows防火墻，以便幫助保護所有因特網和網絡連接。用戶還可以下載并安裝自己選擇的防火墻。Windows防火墻將限制從其他計算機發送來的信息，使用戶可以更好地控制自己計算機上的數據，并針對那些未經邀請而嘗試連接的用戶或程序(包括病毒和蠕蟲)提供了一條防御線。4.1.4Windows防火墻WindowsXP(S4.1.4Windows防火墻用戶可以將防火墻視為一道屏障，它檢查來自因特網或網絡的信息，然后根據防火墻設置，拒絕信息或允許信息到達計算機。如圖4.5所示。4.1.4Windows防火墻用戶可以將防火墻視為一道屏圖4.5Windows防火墻的工作方式圖4.5Windows防火墻的工作方式4.1.4Windows防火墻當因特網或網絡上的某人嘗試連接到你的計算機時，我們將這種嘗試稱為“未經請求的請求”。當收到“未經請求的請求”時，Windows防火墻會阻止該連接。如果運行的程序(如即時消息程序或多人網絡游戲)需要從因特網或網絡接收信息，那么防火墻會詢問阻止連接還是取消阻止(允許)連接。4.1.4Windows防火墻當因特網或網絡上的某人嘗試4.1.4Windows防火墻如果選擇取消阻止連接，Windows防火墻將創建一個“例外”，這樣當該程序日后需要接收信息時，防火墻就會允許信息到達你的計算機。雖然可以為特定因特網連接和網絡連接關閉Windows防火墻，但這樣做會增加計算機安全性受到威脅的風險。4.1.4Windows防火墻如果選擇取消阻止連接，Wi4.1.4Windows防火墻Windows防火墻有三種設置：“開”、“開并且無例外”和“關”。1)“開”：Windows防火墻在默認情況下處于打開狀態，而且通常應當保留此設置不變。選擇此設置時，Windows防火墻阻止所有未經請求的連接，但不包括那些對“例外”選項卡上選中的程序或服務發出的請求。4.1.4Windows防火墻Windows防火墻有三4.1.4Windows防火墻2)“開并且無例外”：當選中“不允許例外”復選框時，Windows防火墻會阻止所有未經請求的連接，包括那些對“例外”選項卡上選中的程序或服務發出的請求。當需要為計算機提供最大程度的保護時(例如，當你連接到旅館或機場中的公用網絡時，或者當危險的病毒或蠕蟲正在因特網上擴散時)，可以使用該設置。4.1.4Windows防火墻2)“開并且無例外”：當4.1.4Windows防火墻但是，不必始終選擇“不允許例外”，其原因在于，如果該選項始終處于選中狀態，某些程序可能會無法正常工作，并且文件和打印機共享、遠程協助和遠程桌面、網絡設備發現、例外列表上預配置的程序和服務以及已添加到例外列表中的其他項等服務會被禁止接受未經請求的請求。如果選中“不允許例外”，仍然可以收發電子郵件、使用即時消息程序或查看大多數網頁。4.1.4Windows防火墻但是，不必始終選擇“不允許4.1.4Windows防火墻3)“關”：此設置將關閉Windows防火墻。選擇此設置時，計算機更容易受到未知入侵者或因特網病毒的侵害。此設置只應由高級用戶用于計算機管理目的，或者在計算機有其他防火墻保護的情況下使用。在計算機加入域時創建的設置與計算機沒有加入域時創建的設置是分開存儲的。這些單獨的設置組稱為“配置文件”。4.1.4Windows防火墻3)“關”：此設置將關閉實訓與思考本節“實訓與思考”的目的是：(1)熟悉防火墻技術的基本概念，了解防火墻技術的基本內容。(2)通過因特網搜索與瀏覽，了解網絡環境中主流的防火墻技術網站，掌握通過專業網站不斷豐富防火墻技術最新知識的學習方法，嘗試通過專業網站的輔助與支持來開展防火墻技術應用實踐。實訓與思考本節“實訓與思考”的目的是：實訓與思考(3)在WindowsXP中配置簡易防火墻(IP篩選器)，完成后，將能夠在本機實現對IP站點、端口、DNS服務屏蔽，實現防火墻功能。實訓與思考(3)在WindowsXP中配置簡易防火墻(4.2網絡隔離技術與網閘應用盡管我們正在廣泛地采用著各種復雜的安全技術，如防火墻、代理服務器、入侵檢測機制、通道控制機制等，但是，由于這些技術基本上都是一種邏輯機制，這對于邏輯實體(如黑客或內部用戶等)而言，是可能被操縱的。4.2網絡隔離技術與網閘應用盡管我們正在廣泛地采用著各種4.2網絡隔離技術與網閘應用在政府、軍隊、企業等領域，由于核心部門的信息安全關系著國家安全、社會穩定，因此迫切需要比傳統產品更為可靠的技術防護措施，由此產生了物理隔離技術，該技術主要基于這樣的思想：如果不存在與網絡的物理連接，網絡安全威脅便受到了真正的限制。4.2網絡隔離技術與網閘應用在政府、軍隊、企業等領域，由4.2網絡隔離技術與網閘應用在電子政務建設中，我們會遇到安全域的問題，安全域是以信息涉密程度劃分的網絡空間，它包括：1)涉密域。就是涉及國家秘密的網絡空間。2)非涉密域。就是不涉及國家的秘密，但是涉及本單位，本部門或者本系統的工作秘密的網絡空間。3)公共服務域是指既不涉及國家秘密也不涉及工作秘密，是一個向互聯網絡完全開放的公共信息交換空間。4.2網絡隔離技術與網閘應用在電子政務建設中，我們會遇到4.2網絡隔離技術與網閘應用國家有關文件嚴格規定，政務的內網和政務的外網要實行嚴格的物理隔離。政務的外網和互聯網絡要實行邏輯隔離，按照安全域的劃分，政府的內網就是涉密域，政府的外網就是非涉密域，因特網就是公共服務域。4.2網絡隔離技術與網閘應用國家有關文件嚴格規定，政務的4.2網絡隔離技術與網閘應用網絡隔離(networkisolation)主要是指把兩個或兩個以上可路由的網絡(如TCP/IP)通過不可路由的協議(如IPX/SPX、NetBEUI等)進行數據交換而達到隔離目的。由于其原理主要是采用了不同的協議，所以通常也叫協議隔離(protocolisolation)。4.2網絡隔離技術與網閘應用網絡隔離(network4.2網絡隔離技術與網閘應用隔離概念是在保護高安全度網絡環境的情況下產生的，而隔離產品的大量出現，也經歷了五代隔離技術的不斷的理論和實踐相結合的過程。第一代隔離技術——完全隔離。此方法使得網絡處于信息孤島狀態，做到了完全的物理隔離，一般需要至少兩套網絡和系統，更重要的是信息交流的不便和成本的提高，給維護和使用帶來了極大的不便。4.2網絡隔離技術與網閘應用隔離概念是在保護高安全度網絡4.2網絡隔離技術與網閘應用第二代隔離技術——硬件卡隔離。在客戶機端增加一塊硬件卡，客戶機端硬盤或其他存儲設備首先連接到該卡，然后再轉接到主板上，通過該卡能控制客戶機端硬盤或其他存儲設備。而在選擇不同的硬盤時，同時選擇了該卡上不同的網絡接口，連接到不同的網絡。但是，這種隔離產品有的仍然需要網絡布線為雙網線結構，產品存在著較大的安全隱患。4.2網絡隔離技術與網閘應用第二代隔離技術——硬件卡隔離4.2網絡隔離技術與網閘應用第三代隔離技術——數據轉播隔離。利用轉播系統分時復制文件的途徑來實現隔離，但切換時間非常長。甚至需要手工完成。這不僅明顯地減緩了訪問速度，更不支持常見的網絡應用，失去了網絡存在的意義。第四代隔離技術——空氣開關隔離。它通過使用單刀雙擲開關、使得內外部網絡分時訪問臨時緩存器來完成數據交換，但在安全和性能上存在有許多問題。4.2網絡隔離技術與網閘應用第三代隔離技術——數據轉播隔4.2網絡隔離技術與網閘應用第五代隔離技術——安全通道隔離。此技術通過專用通信硬件和專有安全協議等安全機制，來實現內、外部網絡的隔離和數據交換。不僅解決了以前隔離技術存在的問題，并有效地把內、外部網絡隔離開來，而且高效地實現了內、外網數據的安全交換，透明支持多種網絡應用，成為當前隔離技術的發展方向。4.2網絡隔離技術與網閘應用第五代隔離技術——安全通道隔4.2.1網絡隔離的技術原理物理隔離的技術架構在隔離上，我們通過以下一組圖示來說明物理隔離是如何實現的。圖4.27表示沒有連接時內外網的應用狀況。從連接特征可以看出，這樣的結構從物理上完全分離。外網是安全性不高的因特網，內網是安全性很高的內部專用網絡。4.2.1網絡隔離的技術原理物理隔離的技術架構在隔離上圖4.27物理隔離示意圖1圖4.27物理隔離示意圖14.2.1網絡隔離的技術原理正常情況下，隔離設備和外網，隔離設備和內網，外網和內網是完全斷開的，即保證網絡之間是完全斷開的。隔離設備可以理解為純粹的存儲介質和一個單純的調度和控制電路。4.2.1網絡隔離的技術原理正常情況下，隔離設備和外網，4.2.1網絡隔離的技術原理當外網有數據需要到達內網時，以電子郵件為例，外部服務器立即發起對隔離設備的非TCP/IP協議的數據連接，隔離設備將所有協議剝離，將原始的數據寫入存儲介質(圖4.28)。根據不同的應用，可能有必要對數據進行完整性和安全性檢查，如防病毒和惡意代碼等。4.2.1網絡隔離的技術原理當外網有數據需要到達內網時，圖4.28物理隔離示意圖2圖4.28物理隔離示意圖24.2.1網絡隔離的技術原理一旦數據完全寫入隔離設備的存儲介質，隔離設備立即中斷與外網的連接。轉而發起對內網的非TCP/IP協議的數據連接。隔離設備將存儲介質內的數據推向內網。內網收到數據后，立即進行TCP/IP的封裝和應用協議的封裝，并交給應用系統。此時，內網電子郵件系統就收到了外網的電子郵件系統通過隔離設備轉發的電子郵件(圖4.29)。4.2.1網絡隔離的技術原理一旦數據完全寫入隔離設備的存圖4.29物理隔離示意圖3圖4.29物理隔離示意圖34.2.1網絡隔離的技術原理在控制器收到完整的交換信號之后，隔離設備立即切斷隔離設備于內網的直接連接，恢復到完全隔離狀態。4.2.1網絡隔離的技術原理在控制器收到完整的交換信號之4.2.1網絡隔離的技術原理如果內網有電子郵件要發出，隔離設備收到內網建立連接的請求之后，建立與內網之間的非TCP/IP協議的數據連接。隔離設備剝離所有的TCP/IP協議和應用協議，得到原始的數據，將數據寫入隔離設備的存儲介質。如有必要，對其進行防病毒處理和防惡意代碼檢查：然后中斷與內網的直接連接(圖4.30)。4.2.1網絡隔離的技術原理如果內網有電子郵件要發出，隔圖4.30物理隔離示意圖4圖4.30物理隔離示意圖44.2.1網絡隔離的技術原理一旦數據完全寫入隔離設備的存儲介質，隔離設備立即中斷與內網的連接。轉而發起對外網的非TCP/IP協議的數據連接。隔離設備將存儲介質內的數據推向外網。外網收到數據后，立即進行TCP/IP的封裝和應用協議的封裝，完成數據的傳遞(圖4.31)。4.2.1網絡隔離的技術原理一旦數據完全寫入隔離設備的存圖4.31物理隔離示意圖5圖4.31物理隔離示意圖54.2.1網絡隔離的技術原理控制器收到信息處理完畢的消息后，立即中斷隔離設備與外網的連接，恢復到完全隔離狀態。每一次數據交換，隔離設備都經歷了數據的接收、存儲和轉發三個過程。由于這些規則都是在內存和內核中完成的，因此速度上有保證，可以達到100％的總線處理能力。4.2.1網絡隔離的技術原理控制器收到信息處理完畢的消息4.2.1網絡隔離的技術原理物理隔離的一個特征，就是內網與外網永不連接，內網和外網在同一時間最多只有一個同隔離設備建立非TCP/IP協議的數據連接，其數據傳輸機制是存儲和轉發。4.2.1網絡隔離的技術原理物理隔離的一個特征，就是內網4.2.2網絡隔離的技術分類網絡隔離技術主要分成下面3類：1)基于代碼、內容等隔離的反病毒和內容過濾技術。隨著網絡的迅速發展和普及，下載、瀏覽器、電子郵件、局域網等已成為最主要的病毒、惡意代碼及文件的傳播方式。防病毒和內容過濾軟件可以將主機或網絡隔離成相對“干凈”的安全區域。4.2.2網絡隔離的技術分類網絡隔離技術主要分成下面3類4.2.2網絡隔離的技術分類2)基于網絡層隔離的防火墻技術。防火墻被稱為網絡安全防線中的第一道閘門，是目前企業網絡與外部實現隔離的最重要手段。防火墻包括包過濾、狀態檢測、應用代理等基本結構。目前主流的狀態檢測不但可以實現基于網絡層的IP包頭和TCP包頭的策略控制，還可以跟蹤TCP會話狀態，為用戶提供了安全和效能的較好結合。4.2.2網絡隔離的技術分類2)基于網絡層隔離的防火墻4.2.2網絡隔離的技術分類漏洞掃描、入侵檢測和管理等技術并不直接“隔離”，而是通過旁路監測偵聽、審計、管理等功能使安全防護作用最有效化。4.2.2網絡隔離的技術分類漏洞掃描、入侵檢測和管理等技4.2.2網絡隔離的技術分類3)基于物理鏈路層的物理隔離技術。物理隔離的思路源于逆向思維，即首先切斷可能的攻擊途徑(如物理鏈路)，再盡力滿足用戶的應用。物理隔離技術演變經歷了幾個階段：雙機雙網通過人工磁盤拷貝實現網絡間隔離；單機雙網等通過物理隔離卡/隔離集線器切換機制實現終端隔離；隔離服務器實現網絡間文件交換拷貝等。4.2.2網絡隔離的技術分類3)基于物理鏈路層的物理隔4.2.2網絡隔離的技術分類這些物理隔離方式對于信息交換實效性要求不高，僅局限于少量文件交換的小規模網絡中采用。切斷物理通路可以避免基于網絡的攻擊和入侵，但不能有效地阻止依靠磁盤拷貝傳播的病毒、木馬程序等流入內網。此外，采用隔離卡由于安全點分散容易造成管理困難。4.2.2網絡隔離的技術分類這些物理隔離方式對于信息交換4.2.3網絡隔離的安全要點網絡隔離的安全要點包括：1)要具有高度的自身安全性。隔離產品要保證自身具有高度的安全性，理論上至少要比防火墻高一個安全級別。從技術實現上，除了和防火墻一樣對操作系統進行加固優化或采用安全操作系統外，關鍵在于要把外網接口和內網接口從一套操作系統中分離出來。4.2.3網絡隔離的安全要點網絡隔離的安全要點包括：4.2.3網絡隔離的安全要點也就是說至少要由兩套主機系統組成，一套控制外網接口，另一套控制內網接口，然后在兩套主機系統之間通過不可路由的協議進行數據交換，如此，即便黑客攻破外網系統，仍然無法控制內網系統，就達到了更高的安全級別。4.2.3網絡隔離的安全要點也就是說至少要由兩套主機系統4.2.3網絡隔離的安全要點2)要確保網絡之間是隔離的。保證網間隔離的關鍵是網絡包不可路由到對方網絡，無論中間采用了什么轉換方法，只要最終使得一方的網絡包能夠進入到對方的網絡中，都無法稱之為隔離，即達不到隔離的效果。顯然，只是對網間的包進行轉發，并且允許建立端到端連接的防火墻，是沒有任何隔離效果的。此外，那些只是把網絡包轉換為文本，交換到對方網絡后，再把文本轉換為網絡包的產品也是沒有做到隔離的。4.2.3網絡隔離的安全要點2)要確保網絡之間是隔離的4.2.3網絡隔離的安全要點3)要保證網間交換的只是應用數據。既然要達到網絡隔離，就必須做到徹底防范基于網絡協議的攻擊，即不能夠讓網絡層的攻擊包到達要保護的網絡中，所以就必須進行協議分析，完成應用層數據的提取，然后進行數據交換，這樣就把諸如TearDrop\Land、Smurf和SYNFlood等網絡攻擊包徹底地阻擋在了可信網絡之外，從而明顯地增強了可信網絡的安全性。4.2.3網絡隔離的安全要點3)要保證網間交換的只是應4.2.3網絡隔離的安全要點4)要對網間的訪問進行嚴格的控制和檢查。作為一套適用于高安全度網絡的安全設備，要確保每次數據交換都是可信的和可控制的，嚴格防止非法通道的出現，以確保信息數據的安全和訪問的可審計性。所以必須施加以一定的技術，保證每一次數據交換過程都是可信的，并且內容是可控制的，可采用基于會話的認證技術和內容分析與控制引擎等技術來實現。4.2.3網絡隔離的安全要點4)要對網間的訪問進行嚴格4.2.3網絡隔離的安全要點5)要在堅持隔離的前提下保證網絡暢通和應用透明。隔離產品會部署在多種多樣的復雜網絡環境中，并且往往是數據交換的關鍵點，因此，產品要具有很高的處理性能，不能夠成為網絡交換的瓶頸，要有很好的穩定性；不能夠出現時斷時續的情況，要有很強的適應性，能夠透明接入網絡，并且透明支持多種應用。4.2.3網絡隔離的安全要點5)要在堅持隔離的前提下保4.2.3網絡隔離的安全要點網絡隔離的關鍵是在于系統對通信數據的控制，即通過不可路由的協議來完成網間的數據交換。由于通信硬件設備工作在網絡七層的最下層，并不能感知到交換數據的機密性、完整性、可用性、可控性、抗抵賴等安全要素，所以這要通過訪問控制、身份認證、加密簽名等安全機制來實現，而這些機制都是通過軟件來實現的。4.2.3網絡隔離的安全要點網絡隔離的關鍵是在于系統對通4.2.3網絡隔離的安全要點因此，隔離的關鍵點就成了要盡量提高網間數據交換的速度，并且對應用能夠透明支持，以適應復雜和高帶寬需求的網間數據交換。4.2.3網絡隔離的安全要點因此，隔離的關鍵點就成了要盡4.2.4隔離網閘物理隔離網閘最早出現在美國、以色列等國家的軍方，用以解決涉密網絡與公共網絡連接時的安全。4.2.4隔離網閘物理隔離網閘最早出現在美國、以色列等國4.2.4隔離網閘網閘是使用帶有多種控制功能的固態開關讀寫介質連接兩個獨立主機系統的信息安全設備。由于物理隔離網閘所連接的兩個獨立主機系統之間不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協議，不存在依據協議的信息包轉發，只有數據文件的無協議“擺渡”，且對固態存儲介質只有“讀”和“寫”兩個命令。4.2.4隔離網閘網閘是使用帶有多種控制功能的固態開關讀4.2.4隔離網閘所以物理隔離網閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使“黑客”無法入侵、無法攻擊、無法破壞，實現了真正的安全。傳統防火墻與網閘對比見表4.2。4.2.4隔離網閘所以物理隔離網閘從物理上隔離、阻斷了具4.2.4隔離網閘隔離網閘(GAP，又叫安全隔離網閘)技術是一種通過專用硬件使兩個或者兩個以上的網絡在不連通的情況下，實現安全數據傳輸和資源共享的技術，它采用獨特的硬件設計，能夠顯著地提高內部用戶網絡的安全強度。4.2.4隔離網閘隔離網閘(GAP，又叫安全隔離網閘)4.2.4隔離網閘GAP技術的基本原理是：切斷網絡之間的通用協議連接；將數據包進行分解或重組為靜態數據；對靜態數據進行安全審查，包括網絡協議檢查和代碼掃描等；確認后的安全數據流入內部單元；內部用戶通過嚴格的身份認證機制獲取所需數據(如圖4.32)。4.2.4隔離網閘GAP技術的基本原理是：切斷網絡之間的圖4.32GAP的工作原理圖4.32GAP的工作原理4.2.4隔離網閘GAP一般由3個部分構成：內網處理單元、外網處理單元和專用隔離硬件交換單元。內網處理單元連接內部網，外網處理單元連接外部網，專用隔離硬件交換單元在任一時刻點僅連接內網處理單元或外網處理單元，與兩者間的連接受硬件電路控制高速切換。4.2.4隔離網閘GAP一般由3個部分構成：內網處理單元4.2.4隔離網閘這種獨特設計保證了專用隔離硬件交換單元在任一時刻僅連通內部網或者外部網，既滿足了內部網與外部網網絡物理隔離的要求，又能實現數據的動態交換。GAP系統的嵌入式軟件系統里內置了協議分析引擎、內容安全引擎和病毒查殺引擎等多種安全機制，可以根據用戶需求實現復雜的安全策略。4.2.4隔離網閘這種獨特設計保證了專用隔離硬件交換單元4.2.4隔離網閘GAP系統可以廣泛應用于銀行、政府等部門的內部網絡訪問外部網絡，也可用于內部網的不同信任域間的信息交互。4.2.4隔離網閘GAP系統可以廣泛應用于銀行、政府等部實訓與思考本節“實訓與思考”的目的是：(1)熟悉網絡隔離技術的基本概念，了解網絡隔離技術的工作原理和基本內容。(2)熟悉隔離網閘的基本概念和工作原理，了解網閘產品及其應用。實訓與思考本節“實訓與思考”的目的是：第四章防火墻與網絡隔離技術第四章防火墻與網絡隔離技術第4章防火墻與網絡隔離技術傳統情況下，當構筑和使用木結構房屋的時候，為防止火災的發生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護構筑物被稱為防火墻。如今，人們借助這個概念，使用“防火墻”來保護敏感的數據不被竊取和篡改，不過，這些防火墻是由先進的計算機系統構成的。防火墻尤如一道護欄隔在被保護的內部網與不安全的非信任網絡之間，用來保護計算機網絡免受非授權人員的騷擾與黑客的入侵。第4章防火墻與網絡隔離技術傳統情況下，當構筑和使用木結構第4章防火墻與網絡隔離技術4.1防火墻技術及Windows防火墻配置4.2網絡隔離技術與網閘應用第4章防火墻與網絡隔離技術4.1防火墻技術及Wind4.1防火墻技術及Windows防火墻配置防火墻可以是非常簡單的過濾器，也可能是精心配置的網關，但它們的原理是一樣的，都是監測并過濾所有內部網和外部網之間的信息交換。防火墻通常是運行在一臺單獨計算機之上的一個特別的服務軟件，它可以識別并屏蔽非法的請求，保護內部網絡敏感的數據不被偷竊和破壞，并記錄內外通訊的有關狀態信息日志，如通訊發生的時間和進行的操作等。4.1防火墻技術及Windows防火墻配置防火墻可以是非4.1防火墻技術及Windows防火墻配置防火墻技術是一種有效的網絡安全機制，它主要用于確定哪些內部服務允許外部訪問，以及允許哪些外部服務訪問內部服務。其基本準則就是：一切未被允許的就是禁止的；一切未被禁止的就是允許的。4.1防火墻技術及Windows防火墻配置防火墻技術是一4.1.1防火墻技術防火墻是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術，并越來越多地應用于專用與公用網絡的互聯環境之中。4.1.1防火墻技術防火墻是建立在現代通信網絡技術和信息4.1.1防火墻技術1.防火墻的作用防火墻應該是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業的安全策略控制(允許、拒絕、監測)出入網絡的信息流，且本身具有較強的抗攻擊能力，是提供信息安全服務，實現網絡和信息安全的基礎設施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，它有效地監控著內部網和因特網之間的任何活動，保證了內部網絡的安全。如圖4.1所示。4.1.1防火墻技術1.防火墻的作用圖4.1防火墻示意圖圖4.1防火墻示意圖4.1.1防火墻技術(1)防火墻是網絡安全的屏障。由于只有經過精心選擇的應用協議才能通過防火墻，所以防火墻(作為阻塞點、控制點)能極大地提高內部網絡的安全性，并通過過濾不安全的服務而降低風險，使網絡環境變得更安全。防火墻同時可以保護網絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑等。4.1.1防火墻技術(1)防火墻是網絡安全的屏障。由于4.1.1防火墻技術(2)防火墻可以強化網絡安全策略。通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。與將網絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經濟。例如在網絡訪問時，一次一密口令系統(即每一次加密都使用一個不同的密鑰)和其他的身份認證系統完全可以集中于防火墻一身。4.1.1防火墻技術(2)防火墻可以強化網絡安全策略。4.1.1防火墻技術(3)對網絡存取和訪問進行監控審計。如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網絡使用情況的統計數據。當發生可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監測和攻擊的詳細信息。4.1.1防火墻技術(3)對網絡存取和訪問進行監控審計4.1.1防火墻技術另外，收集一個網絡的使用和誤用情況也是非常重要的，這樣可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，清楚防火墻的控制是否充分。而網絡使用統計對網絡需求分析和威脅分析等而言也是非常重要的。4.1.1防火墻技術另外，收集一個網絡的使用和誤用情況也4.1.1防火墻技術(4)防止內部信息的外泄。通過利用防火墻對內部網絡的劃分，可實現內部網重點網段的隔離，從而限制局部重點或敏感網絡安全問題對全局網絡造成的影響。再者，隱私是內部網絡非常關心的問題，一個內部網絡中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴露了內部網絡的某些安全漏洞。4.1.1防火墻技術(4)防止內部信息的外泄。通過利用4.1.1防火墻技術使用防火墻就可以隱蔽那些透漏內部細節的例如Finger(用來查詢使用者的資料)，DNS(域名系統)等服務。Finger顯示了主機的所有用戶的注冊名、真名、最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。4.1.1防火墻技術使用防火墻就可以隱蔽那些透漏內部細節4.1.1防火墻技術攻擊者可以由此而知道一個系統使用的頻繁程度，這個系統是否有用戶正在連線上網，這個系統是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關內部網絡中的DNS信息，這樣一臺主機的域名和IP地址就不會被外界所了解。除了安全作用，防火墻還支持具有因特網服務特性的企業內部網絡技術體系VPN(虛擬專用網絡)。4.1.1防火墻技術攻擊者可以由此而知道一個系統使用的頻4.1.1防火墻技術2.防火墻的種類根據防范的方式和側重點的不同，防火墻技術可分成很多類型，但總體來講還是兩大類：分組過濾和應用代理。4.1.1防火墻技術2.防火墻的種類4.1.1防火墻技術(1)包過濾或分組過濾技術(Packetfiltering)。作用于網絡層和傳輸層，通常安裝在路由器上，對數據進行選擇，它根據分組包頭源地址，目的地址和端口號、協議類型(TCP/UDP/ICMP/IPtunnel)等標志，確定是否允許數據包通過。只有滿足過濾邏輯的數據包才被轉發到相應的目的地出口端，其余數據包則被從數據流中丟棄。4.1.1防火墻技術(1)包過濾或分組過濾技術(Pa4.1.1防火墻技術(2)代理服務技術。也叫應用代理(ApplicationProxy)和應用網關(ApplicationGateway)，它作用在應用層，其特點是完全“阻隔”了網絡通信流，通過對每種應用服務編制專門的代理程序，實現監視和控制應用層通信流的作用。與包過濾防火墻不同之處在于內部網和外部網之間不存在直接連接，同時提供審計和日志服務。實際中的應用網關通常由專用工作站實現。如圖4.2所示。4.1.1防火墻技術(2)代理服務技術。也叫應用代理圖4.2應用代理型防火墻圖4.2應用代理型防火墻4.1.1防火墻技術應用代理型防火墻是內部網與外部網的隔離點，工作在OSI模型的最高層，掌握著應用系統中可用作安全決策的全部信息，起著監視和隔絕應用層通信流的作用。同時也常結合過濾器的功能。4.1.1防火墻技術應用代理型防火墻是內部網與外部網的隔4.1.1防火墻技術(3)復合型技術。針對更高安全性的要求，常把基于包過濾的方法與基于應用代理的方法結合起來，形成復合型防火墻產品。所用主機稱為堡壘主機，負責提供代理服務。這種結合通常有屏蔽主機和屏蔽子網這兩種防火墻體系結構方案。4.1.1防火墻技術(3)復合型技術。針對更高安全性的4.1.1防火墻技術在屏蔽主機防火墻體系結構中(圖4.3)，包過濾路由器或防火墻與因特網相連，同時一個堡壘主機安裝在內部網絡，通過在包過濾路由器或防火墻上過濾規則的設置，使堡壘主機成為因特網上其他節點所能到達的唯一節點，確保內部網絡不受未授權外部用戶的攻擊。4.1.1防火墻技術在屏蔽主機防火墻體系結構中(圖4.圖4.3屏蔽主機防火墻圖4.3屏蔽主機防火墻4.1.1防火墻技術在屏蔽子網防火墻體系結構中(圖4.4)，堡壘主機放在一個子網(非軍事區，DMZ)內，兩個包過濾路由器放在這一子網的兩端，使這一子網與因特網及內部網分離，堡壘主機和包過濾路由器共同構成了整個防火墻的安全基礎。4.1.1防火墻技術在屏蔽子網防火墻體系結構中(圖4.圖4.4屏蔽子網防火墻圖4.4屏蔽子網防火墻4.1.1防火墻技術(4)審計技術。通過對網絡上發生的各種訪問過程進行記錄和產生日志，并對日志進行統計分析，從而對資源使用情況進行分析，對異常現象進行追蹤監視。4.1.1防火墻技術(4)審計技術。通過對網絡上發生的4.1.1防火墻技術3.防火墻操作系統防火墻應該建立在安全的操作系統之上，而安全的操作系統來自對專用操作系統的安全加固和改造。從現有的諸多產品看，對安全操作系統內核的固化與改造主要從以下幾方面進行：1)取消危險的系統調用。2)限制命令的執行權限。4.1.1防火墻技術3.防火墻操作系統4.1.1防火墻技術3)取消IP的轉發功能。4)檢查每個分組的接口。5)采用隨機連接序號。6)駐留分組過濾模塊。7)取消動態路由功能。8)采用多個安全內核等。4.1.1防火墻技術3)取消IP的轉發功能。4.1.1防火墻技術作為一種安全防護設備，防火墻在網絡中自然是眾多攻擊者的目標，故抗攻擊能力也是防火墻的必備功能。4.1.1防火墻技術作為一種安全防護設備，防火墻在網絡中4.1.1防火墻技術防火墻也有局限性，存在著一些防火墻不能防范的安全威脅，如防火墻不能防范不經過防火墻的攻擊(例如，如果允許從受保護的網絡內部向外撥號，一些用戶就可能形成與因特網的直接連接)。另外，防火墻很難防范來自于網絡內部的攻擊以及病毒的威脅等。4.1.1防火墻技術防火墻也有局限性，存在著一些防火墻不4.1.2防火墻的功能指標防火墻的功能指標主要包括：1)產品類型。從產品和技術發展來看，防火墻分為基于路由器的包過濾防火墻、基于通用操作系統的防火墻和基于專用安全操作系統的防火墻。2)局域網(LAN)接口。指防火墻所能保護的網絡類型，如以太網、快速以太網、千兆以太網、ATM、令牌環及FDDI等。4.1.2防火墻的功能指標防火墻的功能指標主要包括：4.1.2防火墻的功能指標支持的最大LAN接口數：指防火墻所支持的局域網絡接口數目，也是其能夠保護的不同內網數目。服務器平臺：防火墻所運行的操作系統平臺(如Linux、UNIX、Windows2000/XP、專用安全操作系統等)。3)協議支持。除支持IP協議之外，又支持AppleTalk、DECnet、IPX及NETBEUI等非IP協議。此外還有建立VPN通道的協議、可以在VPN中使用的協議等。4.1.2防火墻的功能指標支持的最大LAN接口數：指防火4.1.2防火墻的功能指標4)加密支持。VPN中支持的加密算法，例如數據加密標準DES、3DES、RC4以及國內專用的加密算法等。此外還有加密的其他用途，如身份認證、報文完整性認證，密鑰分配等，以及是否提供硬件加密方法等。4.1.2防火墻的功能指標4)加密支持。VPN中支持的4.1.2防火墻的功能指標5)認證支持。指防火墻支持的身份認證協議，以及是否支持數字證書等。一般情況下具有一個或多個認證方案，如RADIUS、Kerberos、TACACS/TACACS+、口令方式、數字證書等。防火墻能夠為本地或遠程用戶提供經過認證與授權的對網絡資源的訪問，防火墻管理員必須決定客戶以何種方式通過認證。4.1.2防火墻的功能指標5)認證支持。指防火墻支持的4.1.2防火墻的功能指標6)訪問控制。包過濾防火墻的過濾規則集由若干條規則組成，它應涵蓋對所有出入防火墻的數據包的處理方法，對于沒有明確定義的數據包，應該有一個缺省處理方法；過濾規則應易于理解，易于編輯修改；同時應具備一致性檢測機制，防止沖突。4.1.2防火墻的功能指標6)訪問控制。包過濾防火墻的4.1.2防火墻的功能指標應考慮防火墻是否支持應用層代理，如HTTP、FTP、TELNET、SNMP等；是否支持傳輸層代理服務；是否支持FTP文件類型過濾，允許FTP命令防止某些類型文件通過防火墻；用戶操作的代理類型，如HTTP、POP3；支持網絡地址轉換(NAT)；是否支持硬件口令、智能卡等。4.1.2防火墻的功能指標應考慮防火墻是否支持應用層代理4.1.2防火墻的功能指標7)防御功能。是否支持防病毒功能，是否支持信息內容過濾，能防御的DoS攻擊類型；以及阻止ActiveX、Java、Cookies、Javascript侵入等。8)安全特性。是否支持ICMP(網間控制報文協議)代理，提供實時入侵告警功能，提供實時入侵響應功能，識別/記錄/防止企圖進行IP地址欺騙等。4.1.2防火墻的功能指標7)防御功能。是否支持防病毒4.1.2防火墻的功能指標9)管理功能。通過集成策略集中管理多個防火墻。防火墻管理是指對防火墻具有管理權限的管理員行為和防火墻運行狀態的管理，管理員的行為主要包括：通過防火墻的身份鑒別，編寫防火墻的安全規則，配置防火墻的安全參數，查看防火墻的日志等。防火墻的管理一般分為本地管理、遠程管理和集中管理等。4.1.2防火墻的功能指標9)管理功能。通過集成策略集4.1.2防火墻的功能指標10)記錄和報表功能。防火墻規定了對于符合條件的報文做日志，應該提供日志信息管理和存儲方法。應考慮防火墻是否具有日志的自動分析和掃描功能，這可以獲得更詳細的統計結果，達到事后分析、亡羊補牢的目的。國內有關部門的許可證類別及號碼是防火墻合格與銷售的關鍵要素之一，其中包括：公安部的銷售許可證、國家信息安全測評中心的認證證書、總參的國防通信入網證和國家保密局的推薦證明等。4.1.2防火墻的功能指標10)記錄和報表功能。防火墻4.1.3防火墻技術的發展目前對防火墻的發展普遍存在著兩種觀點，即所謂的胖、瘦防火墻之爭。一種觀點認為，要采取分工協作，防火墻應該做得精瘦，只做防火墻的專職工作，可采取多家安全廠商聯盟的方式來解決；另一種觀點認為，應該把防火墻做得盡量的胖，把所有安全功能盡可能多地附加在防火墻上，成為一個集成化的網絡安全平臺。4.1.3防火墻技術的發展目前對防火墻的發展普遍存在著兩4.1.3防火墻技術的發展從本質上講，“胖、瘦”防火墻沒有好壞之分，只有需求上的差別。低端的防火墻是一個集成的產品，它可以具有簡單的安全防護功能，還可以具有一定的IDS(入侵檢測系統)功能，但一般不會集成防病毒功能。4.1.3防火墻技術的發展從本質上講，“胖、瘦”防火墻沒4.1.3防火墻技術的發展而中高端的防火墻更加專業化，安全和訪問控制并重，主要對經過防火墻的數據包進行審核，安全會更加深化，對協議的研究更加深入，同時會支持多種通用的路由協議，對網絡拓撲更加適應，VPN會集成到防火墻內，作為建立廣域網安全隧道的一種手段，但防火墻不會集成IDS和防病毒，這些還是由專門的設備負責完成。4.1.3防火墻技術的發展而中高端的防火墻更加專業化，安4.1.4Windows防火墻WindowsXP(SP2)為連接到因特網上的小型網絡提供了增強的防火墻安全保護。默認情況下，會啟用Windows防火墻，以便幫助保護所有因特網和網絡連接。用戶還可以下載并安裝自己選擇的防火墻。Windows防火墻將限制從其他計算機發送來的信息，使用戶可以更好地控制自己計算機上的數據，并針對那些未經邀請而嘗試連接的用戶或程序(包括病毒和蠕蟲)提供了一條防御線。4.1.4Windows防火墻WindowsXP(S4.1.4Windows防火墻用戶可以將防火墻視為一道屏障，它檢查來自因特網或網絡的信息，然后根據防火墻設置，拒絕信息或允許信息到達計算機。如圖4.5所示。4.1.4Windows防火墻用戶可以將防火墻視為一道屏圖4.5Windows防火墻的工作方式圖4.5Windows防火墻的工作方式4.1.4Windows防火墻當因特網或網絡上的某人嘗試連接到你的計算機時，我們將這種嘗試稱為“未經請求的請求”。當收到“未經請求的請求”時，Windows防火墻會阻止該連接。如果運行的程序(如即時消息程序或多人網絡游戲)需要從因特網或網絡接收信息，那么防火墻會詢問阻止連接還是取消阻止(允許)連接。4.1.4Windows防火墻當因特網或網絡上的某人嘗試4.1.4Windows防火墻如果選擇取消阻止連接，Windows防火墻將創建一個“例外”，這樣當該程序日后需要接收信息時，防火墻就會允許信息到達你的計算機。雖然可以為特定因特網連接和網絡連接關閉Windows防火墻，但這樣做會增加計算機安全性受到威脅的風險。4.1.4Windows防火墻如果選擇取消阻止連接，Wi4.1.4Windows防火墻Windows防火墻有三種設置：“開”、“開并且無例外”和“關”。1)“開”：Windows防火墻在默認情況下處于打開狀態，而且通常應當保留此設置不變。選擇此設置時，Windows防火墻阻止所有未經請求的連接，但不包括那些對“例外”選項卡上選中的程序或服務發出的請求。4.1.4Windows防火墻Windows防火墻有三4.1.4Windows防火墻2)“開并且無例外”：當選中“不允許例外”復選框時，Windows防火墻會阻止所有未經請求的連接，包括那些對“例外”選項卡上選中的程序或服務發出的請求。當需要為計算機提供最大程度的保護時(例如，當你連接到旅館或機場中的公用網絡時，或者當危險的病毒或蠕蟲正在因特網上擴散時)，可以使用該設置。4.1.4Windows防火墻2)“開并且無例外”：當4.1.4Windows防火墻但是，不必始終選擇“不允許例外”，其原因在于，如果該選項始終處于選中狀態，某些程序可能會無法正常工作，并且文件和打印機共享、遠程協助和遠程桌面、網絡設備發現、例外列表上預配置的程序和服務以及已添加到例外列表中的其他項等服務會被禁止接受未經請求的請求。如果選中“不允許例外”，仍然可以收發電子郵件、使用即時消息程序或查看大多數網頁。4.1.4Windows防火墻但是，不必始終選擇“不允許4.1.4Windows防火墻3)“關”：此設置將關閉Windows防火墻。選擇此設置時，計算機更容易受到未知入侵者或因特網病毒的侵害。此設置只應由高級用戶用于計算機管理目的，或者在計算機有其他防火墻保護的情況下使用。在計算機加入域時創建的設置與計算機沒有加入域時創建的設置是分開存儲的。這些單獨的設置組稱為“配置文件”。4.1.4Windows防火墻3)“關”：此設置將關閉實訓與思考本節“實訓與思考”的目的是：(1)熟悉防火墻技術的基本概念，了解防火墻技術的基本內容。(2)通過因特網搜索與瀏覽，了解網絡環境中主流的防火墻技術網站，掌握通過專業網站不斷豐富防火墻技術最新知識的學習方法，嘗試通過專業網站的輔助與支持來開展防火墻技術應用實踐。實訓與思考本節“實訓與思考”的目的是：實訓與思考(3)在WindowsXP中配置簡易防火墻(IP篩選器)，完成后，將能夠在本機實現對IP站點、端口、DNS服務屏蔽，實現防火墻功能。實訓與思考(3)在WindowsXP中配置簡易防火墻(4.2網絡隔離技術與網閘應用盡管我們正在廣泛地采用著各種復雜的安全技術，如防火墻、代理服務器、入侵檢測機制、通道控制機制等，但是，由于這些技術基本上都是一種邏輯機制，這對于邏輯實體(如黑客或內部用戶等)而言，是可能被操縱的。4.2網絡隔離技術與網閘應用盡管我們正在廣泛地采用著各種4.2網絡隔離技術與網閘應用在政府、軍隊、企業等領域，由于核心部門的信息安全關系著國家安全、社會穩定，因此迫切需要比傳統產品更為可靠的技術防護措施，由此產生了物理隔離技術，該技術主要基于這樣的思想：如果不存在與網絡的物理連接，網絡安全威脅便受到了真正的限制。4.2網絡隔離技術與網閘應用在政府、軍隊、企業等領域，由4.2網絡隔離技術與網閘應用在電子政務建設中，我們會遇到安全域的問題，安全域是以信息涉密程度劃分的網絡空間，它包括：1)涉密域。就是涉及國家秘密的網絡空間。2)非涉密域。就是不涉及國家的秘密，但是涉及本單位，本部門或者本系統的工作秘密的網絡空間。3)公共服務域是指既不涉及國家秘密也不涉及工作秘密，是一個向互聯網絡完全開放的公共信息交換空間。4.2網絡隔離技術與網閘應用在電子政務建設中，我們會遇到4.2網絡隔離技術與網閘應用國家有關文件嚴格規定，政務的內網和政務的外網要實行嚴格的物理隔離。政務的外網和互聯網絡要實行邏輯隔離，按照安全域的劃分，政府的內網就是涉密域，政府的外網就是非涉密域，因特網就是公共服務域。4.2網絡隔離技術與網閘應用國家有關文件嚴格規定，政務的4.2網絡隔離技術與網閘應用網絡隔離(networkisolation)主要是指把兩個或兩個以上可路由的網絡(如TCP/IP)通過不可路由的協議(如IPX/SPX、NetBEUI等)進行數據交換而達到隔離目的。由于其原理主要是采用了不同的協議，所以通常也叫協議隔離(protocolisolation)。4.2網絡隔離技術與網閘應用網絡隔離(network4.2網絡隔離技術與網閘應用隔離概念是在保護高安全度網絡環境的情況下產生的，而隔離產品的大量出現，也經歷了五代隔離技術的不斷的理論和實踐相結合的過程。第一代隔離技術——完全隔離。此方法使得網絡處于信息孤島狀態，做到了完全的物理隔離，一般需要至少兩套網絡和系統，更重要的是信息交流的不便和成本的提高，給維護和使用帶來了極大的不便。4.2網絡隔離技術與網閘應用隔離概念是在保護高安全度網絡4.2網絡隔離技術與網閘應用第二代隔離技術——硬件卡隔離。在客戶機端增加一塊硬件卡，客戶機端硬盤或其他存儲設備首先連接到該卡，然后再轉接到主板上，通過該卡能控制客戶機端硬盤或其他存儲設備。而在選擇不同的硬盤時，同時選擇了該卡上不同的網絡接口，連接到不同的網絡。但是，這種隔離產品有的仍然需要網絡布線為雙網線結構，產品存在著較大的安全隱患。4.2網絡隔離技術與網閘應用第二代隔離技術——硬件卡隔離4.2網絡隔離技術與網閘應用第三代隔離技術——數據轉播隔離。利用轉播系統分時復制文件的途徑來實現隔離，但切換時間非常長。甚至需要手工完成。這不僅明顯地減緩了訪問速度，更不支持常見的網絡應用，失去了網絡存在的意義。第四代隔離技術——空氣開關隔離。它通過使用單刀雙擲開關、使得內外部網絡分時訪問臨時緩存器來完成數據交換，但在安全和性能上存在有許多問題。4.2網絡隔離技術與網閘應用第三代隔離技術——數據轉播隔4.2網絡隔離技術與網閘應用第五代隔離技術——安全通道隔離。此技術通過專用通信硬件和專有安全協議等安全機制，來實現內、外部網絡的隔離和數據交換。不僅解決了以前隔離技術存在的問題，并有效地把內、外部網絡隔離開來，而且高效地實現了內、外網數據的安全交換，透明支持多種網絡應用，成為當前隔離技術的發展方向。4.2網絡隔離技術與網閘應用第五代隔離技術——安全通道隔4.2.1網絡隔離的技術原理物理隔離的技術架構在隔離上，我們通過以下一組圖示來說明物理隔離是如何實現的。圖4.27表示沒有連接時內外網的應用狀況。從連接特征可以看出，這樣的結構從物理上完全分離。外網是安全性不高的因特網，內網是安全性很高的內部專用網絡。4.2.1網絡隔離的技術原理物理隔離的技術架構在隔離上圖4.27物理隔離示意圖1圖4.27物理隔離示意圖14.2.1網絡隔離的技術原理正常情況下，隔離設備和外網，隔離設備和內網，外網和內網是完全斷開的，即保證網絡之間是完全斷開的。隔離設備可以理解為純粹的存儲介質和一個單純的調度和控制電路。4.2.1網絡隔離的技術原理正常情況下，隔離設備和外網，4.2.1網絡隔離的技術原理當外網有數據需要到達內網時，以電子郵件為例，外部服務器立即發起對隔離設備的非TCP/IP協議的數據連接，隔離設備將所有協議剝離，將原始的數據寫入存儲介質(圖4.28)。根據不同的應用，可能有必要對數據進行完整性和安全性檢查，如防病毒和惡意代碼等。4.2.1網絡隔離的技術原理當外網有數據需要到達內網時，圖4.28物理隔離示意圖2圖4.28物理隔離示意圖24.2.1網絡隔離的技術原理一旦數據完全寫入隔離設備的存儲介質，隔離設備立即中斷與外網的連接。轉而發起對內網的非TCP/IP協議的數據連接。隔離設備將存儲介質內的數據推向內網。內網收到數據后，立即進行TCP/IP的封裝和應用協議的封裝，并交給應用系統。此時，內網電子郵件系統就收到了外網的電子郵件系統通過隔離設備轉發的電子郵件(圖4.29)。4.2.1網絡隔離的技術原理一旦數據完全寫入隔離設備的存圖4.29物理隔離示意圖3圖4.29物理隔離示意圖34.2.1網絡隔離的技術原理在控制器收到完整的交換信號之后，隔離設備立即切斷隔離設備于內網的直接連接，恢復到完全隔離狀態。4.2.1網絡隔離的技術原理在控制器收到完整的交換信號之4.2.1網絡隔離的技術原理如果內網有電子郵件要發出，隔離設備收到內網建立連接的請求之后，建立與內網之間的非TCP/IP協議的數據連接。隔離設備剝離所有的TCP/IP協議和應用協議，得到原始的數據，將數據寫入隔離設備的存儲介質。如有必要，對其進行防病毒處理和防惡意代碼檢查：然后中斷與內網的直接連接(圖4.30)。4.2.1網絡隔離的技術原理如果內網有電子郵件要發出，隔圖4