第7章網絡安全設計7.1網絡安全體系與技術7.2防火墻與DMZ設計【重點】7.3網絡安全設計技術【重點】7.4網絡物理隔離設計17.1網絡安全體系與技術27.1網絡安全體系與技術7.1.1網絡安全故障案例分析網絡安全性是指在人為攻擊或自然破壞作用下，網絡在規定條件下生存的能力。網絡安全設計往往是多種方法綜合的結果。37.1網絡安全體系與技術1.519網絡故障事件【案例7-1】2009年5月19日晚，一個游戲“私服”網站對它的競爭對手發動攻擊，黑客對國內最大的免費域名服務器DNSpod進行了攻擊，大流量攻擊導致DNSpod服務中止，運行在DNSpod免費服務器上的10萬個域名無法解析，由于DNSpod的DNS服務完全中斷。造成北京、天津、上海、河北、山西、內蒙古、遼寧、吉林、江蘇、黑龍江、浙江、安徽、湖北、廣西、廣東等地區的DNS陸續癱瘓。中國互聯網遭遇了“多米諾骨牌”連鎖反應，出現了全國范圍的網絡故障。47.1網絡安全體系與技術2.519網絡故障原因分析網絡故障的三個關鍵環節：DNSPod服務器暴風影音軟件電信運營商DNS服務器。DNS提供公共服務，IP地址必須向公眾公開，而且相對固定。如果IP地址經常變更，會影響客戶端的服務，因此DNS具有目標大、易受攻擊的特點。519網絡故障事件曝露出我國互聯網諸多環節中，存在大量潛在的安全風險。57.1網絡安全體系與技術3.范·艾克實驗【案例7-2】1985年，在國際計算機安全會議上，范·艾克（FanEttc）用幾百美元的器件，對普通電視機進行改造，安裝在汽車里，這樣從街道上接收到了放置在8層樓上的計算機電磁波信息，并顯示出計算機屏幕上的圖像。他的演示給與會的各國代表以巨大的震動。距離計算機數百米的地方，都可以收到并還原計算機屏幕上的圖像。網絡設備電磁輻射引起的安全問題不容忽視。67.1網絡安全體系與技術7.1.2IATF網絡安全體系結構1．IATE（信息保障技術框架）標準IATF標準理論：深度保護戰略。IATF標準三個核心原則：人、技術和操作。四個信息安全保障領域：保護網絡和基礎設施；保護邊界；保護計算環境；保護支撐基礎設施。77.1網絡安全體系與技術[案例]IATF深度保護戰略結構87.1網絡安全體系與技術2．IATF網絡模型飛地指位于非安全區中的一小塊安全區域。IATF模型將網絡系統分成4種類型局域網;飛地邊界;網絡設備;支持性基礎設施。97.1網絡安全體系與技術[P165圖7-1]IATF模型[P165]IATF模型107.1網絡安全體系與技術在IATF模型中，局域網包括:涉密網絡（紅網，如財務網）;專用網絡（黃網，如內部辦公網絡）;公共網絡（白網，如公開信息網站）網絡設備。這些部分由企業建設和管理。網絡支持性基礎設施包括：專用網絡（如VPN）；公共網絡（如Internet）；通信網等基礎電信設施（如城域傳輸網）；這些部分由電信服務商提供。117.1網絡安全體系與技術IATF最重要的設計思想：在網絡中進行不同等級的區域劃分與網絡邊界保護。127.1網絡安全體系與技術[案例]安全等級防護設計137.1網絡安全體系與技術3．對手、動機和攻擊類型5類攻擊方法：被動攻擊;主動攻擊;物理臨近攻擊;內部人員攻擊;分發攻擊。147.1網絡安全體系與技術[案例]黑客攻擊過程157.1網絡安全體系與技術[案例]黑客攻擊路徑發現[P165]IATF模型167.1網絡安全體系與技術4．安全威脅的表現形式安全威脅的表現形式：信息泄漏、媒體廢棄（如報廢的硬盤）、人員不慎、非授權訪問、旁路控制（如線路搭接）、假冒、竊聽、電磁信號截獲、完整性侵犯（如篡改Email內容）、數據截獲與修改、物理侵入、重放（如后臺屏幕錄像或鍵盤掃描）、業務否認、業務拒絕、資源耗盡、業務欺騙、業務流分析、特洛伊木馬程序等。177.1網絡安全體系與技術5．深度保護戰略模型深度保護戰略（DDS）認為：信息保障依賴于人、技術和操作共同實現。操作也稱為運行操作是各種安全技術結合在一起的過程。操作包括：風險評估、安全監控、安全審計、跟蹤告警、入侵檢測、響應恢復等。187.1網絡安全體系與技術7.1.3TCP/IP各層安全技術1．常用網絡安全技術定義：網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改和泄漏，系統能連續、可靠地正常運行，網絡服務不中斷。197.1網絡安全體系與技術表7-2TCP/IP各個層次常用安全保護技術207.1網絡安全體系與技術2．接口層的安全物理層面臨的安全威脅有：搭線竊聽，電磁輻射信號還原、物理臨近等。3．網絡層的安全網絡層的安全威脅有：數據包竊聽、ARP欺騙、流量攻擊、拒絕服務攻擊等。網絡層的安全技術有：IP路由安全機制、IPSec（IP安全協議）和防火墻技術。217.1網絡安全體系與技術4．傳輸層的安全傳輸層主要的安全協議有SSL（安全套接層協議），它在兩實體之間建立了一個安全通道，當數據在通道中傳輸時是經過認證和保密的。SSL提供三個方面的服務：用戶和服務器認證，對數據進行加密服務和維護數據的完整性。SSL對于應用層協議和程序是透明的，它可以為HTTP、SMTP和FTP等應用層協議提供安全性。227.1網絡安全體系與技術5．應用層的安全應用層的安全問題：操作系統漏洞，應用程序BUG，非法訪問，病毒木馬程序攻擊等。應用層采用的安全技術：加密、用戶級認證、數字簽名等。應用層安全協議為特定應用提供安全服務。如S/MIME（安全/通用因特網郵件擴展服務）是一個用于保護電子郵件的規范，標準內容包括數據加密、數據簽名等。237.1網絡安全體系與技術[案例]網絡計算機病毒解決方案[P165]IATF模型247.1網絡安全體系與技術7.1.4網絡信息加密技術1.加密系統的組成加密系統包括4個組件：軟件組件負責各功能子系統的協調和用戶交互加密算法根據一定規則對輸入信息進行加密處理協議加密系統和運行環境需要加密密鑰用戶加密/解密信息所需的鑰匙257.1網絡安全體系與技術2.常用加密算法（1）對稱加密加密和解密都使用相同密鑰的加密算法。優點：加解密的高速度和使用長密鑰時難以破解性。常見的對稱加密算法：DES、3DES、IDEA等。DES的典型應用是IPSec（VPN安全標準）267.1網絡安全體系與技術（2）非對稱加密加密和解密使用不同密鑰的加密算法。常見的非對稱加密算法：RSA，SSL（傳輸層安全標準），ECC（移動設備安全標準），S-MIME（電子郵件安全標準），SET（電子交易安全標準），DSA（數字簽名安全標準）等。缺點：加解密速度遠遠慢于對稱加密，在某些極端情況下，比對稱加密慢1000倍。277.1網絡安全體系與技術（3）Hash（哈希）加密Hash算法是一種單向加密算法。常見Hash算法：MD5（消息摘要）等。MD5常用于密碼校驗、數字簽名等應用中。287.1網絡安全體系與技術3.加密系統在網絡中的應用基本應用：存儲、傳輸、認證數據量較少時，常采用RSA等對稱加密算法；校驗常采用MD5算法；商業加密軟件PGP；開源加密軟件GPG等。297.1網絡安全體系與技術【案例7-4】經常采用MD5算法進行用戶密碼校驗。用戶密碼經過MD5運算后存儲在文件系統中。當用戶登錄時，系統將用戶輸入的密碼進行MD5運算，然后再與系統中保存密碼的MD5值進行比較，從而確定輸入的密碼是否正確。通過這樣的步驟，系統在并不知道用戶密碼的情況下，就可以確定用戶登錄系統的合法性。這可以避免用戶密碼被具有系統管理員權限的人員知道。307.2防火墻與DMZ設計317.2防火墻與DMZ設計7.2.1防火墻的類型與功能防火墻是由軟件或硬件構成的網絡安全系統，用來在兩個網絡之間實施訪問控制策略。1．防火墻在網絡中的位置所有從內網到外網或從外網到內網的通信都必須經過防火墻，否則，防火墻將無法起到保護作用。防火墻本身應當是一個安全、可靠、防攻擊的可信任系統，它應有足夠的可靠性和抵御外界的攻擊。327.2防火墻與DMZ設計2.防火墻的類型硬件防火墻可以是一臺獨立的硬件設備（如CiscoPIX）；也可以在一臺路由器上，經過配置成為一臺具有安全功能的防火墻。軟件防火墻是運行在服務器主機上的一個軟件（如ISAServer）。硬件防火墻在功能和性能上都優于軟件防火墻，但是成本較高。337.2防火墻與DMZ設計3．防火墻的功能所有內部網絡和外部網絡之間的數據交換，都可以而且必須經過防火墻。只有符合防火墻安全策略的數據，才可以自由出入防火墻。防火墻受到攻擊后，應能穩定有效地工作。應當記錄和統計網絡的使用情況。有效地過濾、篩選和屏蔽有害服務和數據包。能隔離網絡中的某些網段，防止一個網段的故障傳播到整個網絡。347.2防火墻與DMZ設計4．防火墻的不足不能防范不經過防火墻的攻擊。不能防范惡意的知情者。不能防范內部用戶誤操作造成的威脅。不能防止受病毒感染的軟件或木馬文件的傳輸。防火墻不檢測數據包的內容，因此不能防止數據驅動式的攻擊。不安全的防火墻、配置不合理的防火墻、防火墻在網絡中的位置不當等，會使防火墻形同虛設。357.2防火墻與DMZ設計7.2.2DMZ的功能與安全策略1．DMZ（隔離區/非軍事區）的基本結構和功能DMZ設立在非安全系統與安全系統之間的緩沖區。【案例7-5】如圖7-3所示，DMZ位于企業內部網絡和外部網絡之間的一個區域內，在DMZ內可以放置一些對外的服務器設備，如企業Web服務器、FTP服務器和論壇等。DMZ的目的是將敏感的內部網絡和提供外部訪問服務的網絡分離開，為網絡提供深度防御。367.2防火墻與DMZ設計[P171圖7-3]DMZ網絡安全結構377.2防火墻與DMZ設計2．防火墻的接口硬件防火墻最少有三個接口：內網接口，用于連接內部網絡設備；外網接口，相當于主機接口，用于連接邊界路由器等外部網關設備；DMZ接口，用于連接DMZ區網絡設備。硬件防火墻中的網卡一般設置為混雜模式，這樣可以監測到通過防火墻的數據包。387.2防火墻與DMZ設計3．DMZ訪問安全策略DMZ的設計基本原則：設計最小權限，例如定義允許訪問的網絡資源和網絡的安全級別；確定可信用戶和可信任區域；明確各個網絡之間的訪問關系。397.2防火墻與DMZ設計訪問安全策略（1）內網可以訪問外網。（2）內網可以訪問DMZ。（3）外網不能訪問內網。（4）外網可以訪問DMZ。（5）DMZ不能訪問內網。（6）DMZ不能訪問外網。407.2防火墻與DMZ設計7.2.3DMZ的網絡結構設計1．單防火墻DMZ網絡結構單防火墻DMZ結構將網絡劃分為三個區域，內網（LAN）、外網（Internet）和DMZ。DMZ是外網與內網之間附加的一個安全層，這個安全區域也稱為屏蔽子網、過濾子網等。這種網絡結構構建成本低，多用于小型企業網絡設計。417.2防火墻與DMZ設計[案例]單防火墻DMZ網絡結構427.2防火墻與DMZ設計2．雙防火墻DMZ網絡結構防火墻通常與邊界路由器協同工作，邊界路由器是網絡安全的第一道屏障。通常的方法是在路由器中設置數據包過濾和NAT功能，讓防火墻完成特定的端口阻塞和數據包檢查，這樣在整體上提高了網絡性能。437.2防火墻與DMZ設計[案例]雙防火墻DMZ網絡結構447.2防火墻與DMZ設計7.2.4PIX防火墻配置命令1.接口配置命令interfaceInterface的功能是開啟或關閉接口、配置接口的速度、對接口進行命名等。新防火墻的各個端口都是關閉的，如果不進行任何配置，則防火墻無法工作。防火墻接口速度可以手工配置和自動配置。457.2防火墻與DMZ設計（1）配置接口速度命令格式：interfaceethernet0auto//對e0接口設置為自動設置連接速度//命令格式：interfaceethernet2100ful//為接口2手工指定連接速度為100M//467.2防火墻與DMZ設計（2）關閉與開啟接口防火墻打開的接口不用時要及時關閉。打開的接口越多，會影響防火墻的運行效率。可用不帶參數的shutdown命令關閉防火墻接口。注意：打開接口不采用noshutdown命令。477.2防火墻與DMZ設計2.別名配置命令nameif廠商會為防火墻接口配置默認名，如ethernet0等。網絡工程師可以用更加直觀的名字來描述接口的用途。如用outside命令說明這個接口用來連接外部網絡；用inside命令說明這個接口用來連接內部網絡。命令格式：nameif<接口名><接口別名><安全級別>487.2防火墻與DMZ設計3.地址配置命令IPaddress防火墻的IP地址可以通過DHCP自動獲得；也可以通過手工設置IP地址。命令格式：ipadress<接口別名><IP地址>[<網絡掩碼>]防火墻的接口IP地址，在整個內部網絡中必須保持唯一，否則會造成IP地址沖突。沒有配置網絡掩碼時，防火墻會根據內部網絡的結構，自動設置一個網絡掩碼。497.2防火墻與DMZ設計4.地址轉換配置命令NAT、Global、StaticNAT命令可以將內部的一組IP地址轉換成為外部的公網地址；global命令用于定義用網絡地址轉換命令NAT轉換成的地址或者地址的范圍。企業只有一個公有IP地址時，可以利用static命令實現端口的重定向配置。507.2防火墻與DMZ設計5.測試命令ICMPPing與Debug是常用的測試命令。防火墻在默認情況下，會拒絕所有來自外部接口的ICMP數據包流量，這主要是出于安全方面的考慮。如果需要防火墻接收來自外部的ICMP流量，就需要利用permit命令來允許防火墻通過ICMP流量。命令格式：icmppermitanyanyoutside測試完后，最好讓防火墻拒絕接收外部接口的ICMP流量，這可以防止DOS等攻擊。517.2防火墻與DMZ設計6.配置保存命令writememory對防火墻所做的更改，不會直接寫入防火墻閃存中。防火墻先把它存放在RAM中，防火墻重啟后，更改的配置就會丟失。當配置測試無誤后可以用writememory命令將更改的配置寫入到閃存中。527.3網絡安全設計技術537.3網絡安全設計技術7.3.1IDS網絡安全設計1．IDS（入侵檢測系統）IDS分為實時入侵檢測和事后入侵檢測。實時入侵檢測在網絡連接過程中進行，IDS發現入侵跡象立即斷開入侵者與主機的連接，實施數據恢復。事后入侵檢測由網絡管理人員定期或不定期進行。入侵檢測系統本質上是一種“嗅探設備”。547.3網絡安全設計技術2．IDS常用入侵檢測方法IDS常用檢測方法有：特征檢測、統計檢測與專家系統。國內90%的IDS使用特征檢測方法。特征檢測與計算機病毒檢測方式類似，主要是對數據包進行特征模式匹配，但對于采用新技術和新方法的入侵與攻擊行為則無能為力。統計檢測常用異常檢測。測量參數包括：事件的數量、間隔時間、資源消耗情況等。557.3網絡安全設計技術3.IDS網絡安全設計IDS可以串聯或并聯的部署在網絡中各個關鍵位置。[P178圖7-7]IDS在網絡中的位置567.3網絡安全設計技術[案例]IDS產品外觀577.3網絡安全設計技術（1）IDS安裝在網絡邊界區域。IDS非常適合于安裝在網絡邊界處，如防火墻的兩端以及到其他網絡連接處。如果IDS2與路由器并聯安裝，可以實時監測進入到內部網絡的數據包，但是這個位置的帶寬很高，IDS性能必須跟上通信流的速度。587.3網絡安全設計技術（2）IDS系統安裝在服務器群區域。對于流量速度不是很高的應用服務器，安裝IDS是非常好的選擇；對于流量速度高，而且特別重要的服務器，可以考慮安裝專用IDS進行監測。DMZ往往是遭受攻擊最多的區域，在此部署一臺IDS非常必要。597.3網絡安全設計技術（3）IDS系統安裝在網絡主機區域。可以將IDS安裝在主機區域，從而監測位于同一交換機上的其他主機是否存在攻擊現象。如IDS部署在內部各個網段，可以監測來自內部的網絡攻擊行為。（4）網絡核心層。網絡核心層帶寬非常高，不適宜布置IDS。607.3網絡安全設計技術4.IDS存在的問題（1）誤報/漏報率高。（2）沒有主動防御能力。（3）缺乏準確定位和處理機制。617.3網絡安全設計技術[案例]IDS在網絡中的應用627.3網絡安全設計技術[案例]IDS在網絡中的應用637.3網絡安全設計技術7.3.2IPS網絡安全設計1．IPS（入侵防御系統）的功能IPS不但能檢測入侵的發生，而且能實時終止入侵行為。IPS一般部署在網絡的進出口處，當它檢測到攻擊企圖后，它會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。647.3網絡安全設計技術[案例]IPS產品外觀657.3網絡安全設計技術[案例]IPS工作原理667.3網絡安全設計技術2．IPS的性能參數IPS的吞吐率與延時重要的性能參數。不同廠家IPS支持的協議數量、默認功能開啟程度、檢測精細度、承受攻擊的時間等指標差異極大，獲取性能指標的前提條件有很大不同。高性能的IPS往往伴隨著高成本。677.3網絡安全設計技術3．IPS在網絡中的部署IDS設備在網絡中采用旁路式連接；IPS在網絡中采用串接式連接。串接工作模式保證所有網絡數據都必須經過IPS設備，IPS檢測數據流中的惡意代碼，核對策略，在未轉發到服務器之前，將信息包或數據流阻截。IPS是網關型設備，最好串接在網絡出口處，IPS經常部署在網關出口的防火墻和路由器之間，監控和保護內部網絡。687.3網絡安全設計技術[P179圖7-8]IPS在網絡中的位置697.3網絡安全設計技術[案例]IPS在網絡中的應用707.3網絡安全設計技術4.IPS存在的問題（1）單點故障。（2）性能瓶頸。（3）誤報和漏報。（4）規則動態更新。（5）總體擁有成本（TOC）較高。717.3網絡安全設計技術[案例]統一威脅隔離系統（UTM）727.3網絡安全設計技術7.3.3ACL網絡安全技術1.ACL（訪問控制列表）工作原理ACL是網絡設備處理數據包轉發的一組規則。ACL采用包過濾技術，在路由器中讀取第三層和第四層數據包包頭中的信息，如源地址、目的地址、源端口、目的端口等，然后根據網絡工程師預先定義好的ACL規則，對數據包進行過濾，從而達到訪問控制的目的。737.3網絡安全設計技術[案例]ACL處理流程747.3網絡安全設計技術2.ACL配置的基本原則

（1）最小權限原則。只滿足ACL部分條件的數據包不允許通過。（2）最靠近受控對象原則。標準ACL盡可能放置在靠近目的地址的地方；擴展ACL盡量放置在靠近源地址的地方。（3）立即終止原則。（4）默認丟棄原則。如果數據包與所有ACL行都不匹配，將被丟棄。757.3網絡安全設計技術（5）單一性原則。一個接口在一個方向上只能有一個ACL。（6）默認設置原則。路由器或三層交換機在沒有配置ACL的情況下，默認允許所有數據包通過。防火墻在在沒有配置ACL的情況下，默認不允許所有數據包通過。767.3網絡安全設計技術3.標準ACL配置（1）創建ACL命令格式：Router(config)#access-list<ACL表號>{permit|deny}{<源IP地址|host><通配符掩碼>|any}（2）將ACL應用到某一接口命令格式：Router(config-if)#

{protocol}access-group<ACL表號>{in|out}777.3網絡安全設計技術4.擴展ACL配置標準ACL只能控制源IP地址，不能控制到端口。要控制第四層的端口，需要使用擴展ACL配置。如果路由器沒有硬件ACL加速功能，它會消耗路由器大量的CPU資源，因此擴展ACL要盡量放置在靠近源地址的地方。命令格式：Router(config)#

access-list<ACL表號>{permit|deny}{<協議名稱>|<端口號>}{<源IP地址><通配符掩碼>}{<目的IP地址><通配符掩碼>}[<關系><協議名稱>][log]787.3網絡安全設計技術5.ACL單向訪問控制問題：重要部門（如財務部）的主機不允許其他部門訪問，而這個部門卻可以訪問其他的部門（如市場部）的主機。ACL可以實現單向訪問功能。命令格式：Router(config)#

access-list<ACL表號>{permit|deny}<協議名稱><源IP地址><源通配符掩碼>[operatorport]<目標IP地址><目標通配符掩碼>[operatorport][established][log]797.3網絡安全設計技術7.3.4VPN網絡安全設計2．VPN的概念定義：使用IP機制仿真出一個私有的廣域網。VPN通過私有隧道技術，在公共數據網絡上仿真一條點到點的專線。虛擬是指用戶不需要擁有實際的長途數據線路，而是利用Internet的數據傳輸線路；專用網絡是指用戶可以制定一個最符合自己需求的網絡。VPN是在Internet上臨時建立的安全專用虛擬網絡。807.3網絡安全設計技術3．VPN隧道技術工作原理隧道是一種數據加密傳輸技術。數據包通過隧道進行安全傳輸。被封裝的數據包在隧道的兩個端點之間通過Internet進行路由。被封裝的數據包在公共互聯網上傳遞時所經過的邏輯路徑稱為隧道。數據包一旦到達隧道終點，將被解包并轉發到最終目的主機。817.3網絡安全設計技術[案例]VPN隧道827.3網絡安全設計技術[P183圖7-10]隧道技術工作原理837.3網絡安全設計技術在數據傳輸過程中，用戶和VPN服務器之間可以協商數據加密傳輸。加密之后，即使是ISP也無法了解數據包的內容。即使用戶不對數據加密，NAS和VPN服務器建立的隧道兩側也可以協商加密傳輸，這使得Internet上的其他用戶無法識別隧道中傳輸的數據信息。因此VPN服務的安全性是有保證的。847.3網絡安全設計技術4．VPN工作協議VPN有兩種隧道協議：PPTP（點到點隧道協議）PPTP是PPP的擴展，它增加了安全等級，并且可以通過Internet進行多協議通信。L2TP（第二層隧道協議）L2TP與PPTP功能大致相同。不同的是L2TP使用IPSec機制進行身份驗證和數據加密。L2TP只支持IP網絡建立的隧道，不支持X.25、FR或ATM網絡的本地隧道。857.3網絡安全設計技術[案例]IPv6中IPSec協議的實現867.3網絡安全設計技術5.VPN網絡設計構建VPN只需在資源共享處放置一臺VPN服務器即可。（1）自建VPN網絡企業可以自建VPN網絡，在企業總部和分支機構中安裝專用VPN設備，或在路由器、防火墻等設備中配置VPN協議，就可以將各個外地機構與企業總部安全地連接在一起了。自建VPN的優勢在于可控制性強，可以滿足企業的某些特殊業務要求。877.3網絡安全設計技術[P185圖7-11]企業自建VPN結構887.3網絡安全設計技術[案例]VPN端到端安全保證897.3網絡安全設計技術（2）外包VPN網絡電信企業、ISP目前都提供VPN外包服務。VPN外包可以簡化企業網絡部署，但降低了企業對網絡的控制權。[P185圖7-12]企業擴展虛擬網結構907.3網絡安全設計技術[案例]ISP的VPN網絡917.3網絡安全設計技術[案例]VPN在企業網絡中的應用927.3網絡安全設計技術[案例]VPN在企業網絡中的應用937.4網絡物理隔離設計947.4網絡物理隔離設計7.4.1網絡隔離的技術特點我國《計算機信息系統國際聯網保密管理規定》規定：涉及國家秘密的計算機信息系統，不得直接或間接地與國際互聯網或其他公共信息網絡相連接，必須實行物理隔離。957.4網絡物理隔離設計1．網絡隔離技術的發展隔離技術物理隔離（物理隔離卡或物理隔離交換機）協議隔離（安全網閘）網絡物理隔離卡確保了計算機在同一時間只能訪問一個網絡，兩個網絡在同一時間內不會有任何連接。網絡物理隔離卡解決了網絡的攻擊問題，缺點是信息交流仍然不便。967.4網絡物理隔離設計[案例]網絡安全技術的發展977.4網絡物理隔離設計2．網絡隔離的安全要求網絡隔離必須達到以下要求：在物理傳輸上使內網與外網徹底隔斷。在物理輻射上隔斷內網與外網。在物理存儲上隔斷兩個網絡環境。對于斷電后會清除信息的部件，如內存、CPU寄存器等，要在內外網絡轉換時做清除處理，防止殘留信息流出網絡。對于斷電后數據非遺失性設備，如硬盤等，內網與外網的信息要分開存儲（不能使用同一個硬盤）。987.4網絡物理隔離設計網絡隔離產品比防火墻高一個安全級別。網絡隔離產品的安全措施：對操作系統進行加固優化；由兩套操作系統(OS)組成;一套OS控制外網接口，另一套OS控制內網接口，在兩套操作系統之間通過不可路由的協議進行數據交換。即使黑客進入了內網系統，仍然無法控制內網系統。數據包不能路由到對方網絡。對網間訪問進行嚴格控制和檢查，確保每次數據交換都是可信和可控制的。產品要求很高的處理性能，不能成為網絡的瓶頸。997.4網絡物理隔離設計7.4.2網絡物理隔離工作原理1．單主板安全隔離計算機工作原理：采用雙硬盤，將內網與外網的轉換功能嵌入在主板BIOS中。主板網卡也分為內網和外網。價格介于雙主機和網絡物理隔離卡之間。這種安全技術在低層的BIOS上開發，因此CPU、內存、顯卡等設備的升級，不會給計算機帶來不兼容的影響。1007.4網絡物理隔離設計計算機形成了兩個網絡物理隔離環境，它們分別對應于Internet和內部局域網，構成了網絡接入和信息存儲環境的各自獨立。計算機每次啟動后，只能工作在一種網絡環境下。BIOS還可以對所有輸入/輸出設備進行控制。例如，對U盤、光驅提供限制功能，在系統引導時不允許驅動器中有移動存儲介質。BIOS自身的安全采用硬件防寫入跳線，防止病毒破壞、非法刷新或破壞BIOS的攻擊行為。1017.4網絡物理隔離設計2．雙主板安全隔離計算機每臺計算機有兩塊主板，每塊主板一個網卡，分別連接內網和外網。每塊主板有一個串行口，雙端口RAM是連接兩塊主板的唯一通道。[P187圖7-14]雙主板安全隔離計算機結構1027.4網絡物理隔離設計兩塊主板之間通過雙端口RAM進行數據傳輸。雙端口RAM分為兩個區，第一區是內網客戶端向外網服務器單向傳輸數據的通道；第二區是外網客戶端向內網服務器單向傳輸數據時的通道。平時內網與外網之間是斷開的，雙端口RAM處于斷開狀態。當有數據傳輸時，內網與外網才通過雙端口RAM進行數據傳輸。1037.4網絡物理隔離設計3．物理隔離卡技術物理隔離卡分為單網口卡和雙網口卡。[P187圖7-15]物理隔離卡結構1047.4網絡物理隔離設計[案例]物理隔離卡1057.4網絡物理隔離設計采用物理隔離卡時，需要在主板BIOS中做一些定制和修改，將內網與外網的轉換功能嵌入BIOS中。工作原理：物理隔離卡采用雙硬盤，啟動外網時關閉內網硬盤，啟動內網時關閉外網硬盤，使兩個網絡和硬盤進行物理隔離。這種技術的優點是價格低。進行內網與外網轉換時，需要重新啟動計算機。1067.4網絡物理隔離設計物理隔離卡的功能是以物理方式將一臺計算機機虛擬為兩臺計算機，實現計算機的雙重狀態，既可在內部安全狀態，又可在公共外部狀態，兩種狀態是完全隔離的。物理隔離卡與操作系統無關，兼容所有操作系統，可以應用于所有SATA或IDE接口硬盤。物理隔離卡對網絡技術和協議完全透明，支持單或雙布線的隔離網絡。1077.4網絡物理隔離設計[案例]物理隔離卡在網絡中的應用1087.4網絡物理隔離設計6．隔離交換機隔離交換機簡化了用戶PC到隔離交換機之間的布線，使用戶端不需要布放雙網線。隔離交換機根據數據包包頭的標記信息來決定數據包是通過內網還是通過外網。利用物理隔離卡、計算機和隔離交換機組成的網絡，是徹底的物理隔離網絡，兩個網絡之間沒有信息交流，因此可以抵御所有的網絡攻擊。1097.4網絡物理隔離設計[P188圖7-17]隔離交換機1107.4網絡物理隔離設計[P188圖7-17]隔離交換機應用1117.4網絡物理隔離設計[P188圖7-17]隔離交換機應用1127.4網絡物理隔離設計7．物理隔離卡產品的技術性能（1）兼容性（2）網絡環境（3）操作系統（4）硬盤規格（5）安裝簡單（6）維護簡單1137.4網絡物理隔離設計7.4.3安全隔離網閘工作原理GAP（安全隔離網閘）通過專用硬件和軟件技術，使兩個或者兩個以上的網絡在不連通的情況下，實現數據安全傳輸和資源共享。1147.4網絡物理隔離設計1．GAP技術的特點GAP由固態讀寫開關和存儲介質系統組成，存儲介質通常采用SCSI硬盤。GAP在同一時刻只有一個網絡與安全隔離網閘建立無協議的數據連接。GAP沒有網絡連接，并將通信協議全部剝離。數據文件以原始數據方式進行“擺渡”，因此，它能夠抵御互聯網絕大部分攻擊。115