防火墙与网络隔离技术课件.ppt

第四章防火墙与网络隔离技术,第4章 防火墙与网络隔离技术,传统情况下，当构筑和使用木结构房屋的时候，为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物被称为防火墙。如今，人们借助这个概念，使用“防火墙”来保护敏感的数据不被窃取和篡改，不过，这些防火墙是由先进的计算机系统构成的。防火墙尤如一道护栏隔在被保护的内部网与不安全的非信任网络之间，用来保护计算机网络免受非授权人员的骚扰与黑客的入侵。,第4章 防火墙与网络隔离技术,4.1 防火墙技术及Windows防火墙配置4.2 网络隔离技术与网闸应用,4.1 防火墙技术及Windows防火墙配置,防火墙可以是非常简单的过滤器，也可能是精心配置的网关，但它们的原理是一样的，都是监测并过滤所有内部网和外部网之间的信息交换。防火墙通常是运行在一台单独计算机之上的一个特别的服务软件，它可以识别并屏蔽非法的请求，保护内部网络敏感的数据不被偷窃和破坏，并记录内外通讯的有关状态信息日志，如通讯发生的时间和进行的操作等。,4.1 防火墙技术及Windows防火墙配置,防火墙技术是一种有效的网络安全机制，它主要用于确定哪些内部服务允许外部访问，以及允许哪些外部服务访问内部服务。其基本准则就是：一切未被允许的就是禁止的；一切未被禁止的就是允许的。,4.1.1 防火墙技术,防火墙是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，并越来越多地应用于专用与公用网络的互联环境之中。,4.1.1 防火墙技术,1. 防火墙的作用防火墙应该是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全策略控制 (允许、拒绝、监测) 出入网络的信息流，且本身具有较强的抗攻击能力，是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，它有效地监控着内部网和因特网之间的任何活动，保证了内部网络的安全。如图4.1所示。,图4.1 防火墙示意图,4.1.1 防火墙技术,(1) 防火墙是网络安全的屏障。由于只有经过精心选择的应用协议才能通过防火墙，所以防火墙 (作为阻塞点、控制点) 能极大地提高内部网络的安全性，并通过过滤不安全的服务而降低风险，使网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径等。,4.1.1 防火墙技术,(2) 防火墙可以强化网络安全策略。通过以防火墙为中心的安全方案配置，能将所有安全软件 (如口令、加密、身份认证、审计等) 配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统(即每一次加密都使用一个不同的密钥)和其他的身份认证系统完全可以集中于防火墙一身。,4.1.1 防火墙技术,(3) 对网络存取和访问进行监控审计。如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。,4.1.1 防火墙技术,另外，收集一个网络的使用和误用情况也是非常重要的，这样可以清楚防火墙是否能够抵挡攻击者的探测和攻击，清楚防火墙的控制是否充分。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。,4.1.1 防火墙技术,(4) 防止内部信息的外泄。通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴露了内部网络的某些安全漏洞。,4.1.1 防火墙技术,使用防火墙就可以隐蔽那些透漏内部细节的例如Finger (用来查询使用者的资料) ，DNS (域名系统) 等服务。Finger显示了主机的所有用户的注册名、真名、最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。,4.1.1 防火墙技术,攻击者可以由此而知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。除了安全作用，防火墙还支持具有因特网服务特性的企业内部网络技术体系VPN (虚拟专用网络) 。,4.1.1 防火墙技术,2. 防火墙的种类根据防范的方式和侧重点的不同，防火墙技术可分成很多类型，但总体来讲还是两大类：分组过滤和应用代理。,4.1.1 防火墙技术,(1) 包过滤或分组过滤技术 (Packet filtering) 。作用于网络层和传输层，通常安装在路由器上，对数据进行选择，它根据分组包头源地址，目的地址和端口号、协议类型 (TCP/UDP/ICMP/IP tunnel) 等标志，确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。,4.1.1 防火墙技术,(2) 代理服务技术。也叫应用代理 (Application Proxy) 和应用网关 (Application Gateway) ，它作用在应用层，其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。与包过滤防火墙不同之处在于内部网和外部网之间不存在直接连接，同时提供审计和日志服务。实际中的应用网关通常由专用工作站实现。如图4.2所示。,图4.2 应用代理型防火墙,4.1.1 防火墙技术,应用代理型防火墙是内部网与外部网的隔离点，工作在OSI模型的最高层，掌握着应用系统中可用作安全决策的全部信息，起着监视和隔绝应用层通信流的作用。同时也常结合过滤器的功能。,4.1.1 防火墙技术,(3) 复合型技术。针对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法结合起来，形成复合型防火墙产品。所用主机称为堡垒主机，负责提供代理服务。这种结合通常有屏蔽主机和屏蔽子网这两种防火墙体系结构方案。,4.1.1 防火墙技术,在屏蔽主机防火墙体系结构中 (图4.3) ，包过滤路由器或防火墙与因特网相连，同时一个堡垒主机安装在内部网络，通过在包过滤路由器或防火墙上过滤规则的设置，使堡垒主机成为因特网上其他节点所能到达的唯一节点，确保内部网络不受未授权外部用户的攻击。,图4.3 屏蔽主机防火墙,4.1.1 防火墙技术,在屏蔽子网防火墙体系结构中 (图4.4) ，堡垒主机放在一个子网 (非军事区，DMZ) 内，两个包过滤路由器放在这一子网的两端，使这一子网与因特网及内部网分离，堡垒主机和包过滤路由器共同构成了整个防火墙的安全基础。,图4.4 屏蔽子网防火墙,4.1.1 防火墙技术,(4) 审计技术。通过对网络上发生的各种访问过程进行记录和产生日志，并对日志进行统计分析，从而对资源使用情况进行分析，对异常现象进行追踪监视。,4.1.1 防火墙技术,3. 防火墙操作系统防火墙应该建立在安全的操作系统之上，而安全的操作系统来自对专用操作系统的安全加固和改造。从现有的诸多产品看，对安全操作系统内核的固化与改造主要从以下几方面进行：1) 取消危险的系统调用。2) 限制命令的执行权限。,4.1.1 防火墙技术,3) 取消IP的转发功能。4) 检查每个分组的接口。5) 采用随机连接序号。6) 驻留分组过滤模块。7) 取消动态路由功能。8) 采用多个安全内核等。,4.1.1 防火墙技术,作为一种安全防护设备，防火墙在网络中自然是众多攻击者的目标，故抗攻击能力也是防火墙的必备功能。,4.1.1 防火墙技术,防火墙也有局限性，存在着一些防火墙不能防范的安全威胁，如防火墙不能防范不经过防火墙的攻击 (例如，如果允许从受保护的网络内部向外拨号，一些用户就可能形成与因特网的直接连接) 。另外，防火墙很难防范来自于网络内部的攻击以及病毒的威胁等。,4.1.2 防火墙的功能指标,防火墙的功能指标主要包括：1) 产品类型。从产品和技术发展来看，防火墙分为基于路由器的包过滤防火墙、基于通用操作系统的防火墙和基于专用安全操作系统的防火墙。2) 局域网 (LAN) 接口。指防火墙所能保护的网络类型，如以太网、快速以太网、千兆以太网、ATM、令牌环及FDDI等。,4.1.2 防火墙的功能指标,支持的最大LAN接口数：指防火墙所支持的局域网络接口数目，也是其能够保护的不同内网数目。服务器平台：防火墙所运行的操作系统平台 (如 Linux、UNIX、Windows 2000/XP、专用安全操作系统等) 。3) 协议支持。除支持IP协议之外，又支持AppleTalk、DECnet、IPX及NETBEUI等非IP协议。此外还有建立VPN通道的协议、可以在VPN中使用的协议等。,4.1.2 防火墙的功能指标,4) 加密支持。VPN中支持的加密算法，例如数据加密标准DES、3DES、RC4以及国内专用的加密算法等。此外还有加密的其他用途，如身份认证、报文完整性认证，密钥分配等，以及是否提供硬件加密方法等。,4.1.2 防火墙的功能指标,5) 认证支持。指防火墙支持的身份认证协议，以及是否支持数字证书等。一般情况下具有一个或多个认证方案，如RADIUS、Kerberos、TACACS/TACACS+、口令方式、数字证书等。防火墙能够为本地或远程用户提供经过认证与授权的对网络资源的访问，防火墙管理员必须决定客户以何种方式通过认证。,4.1.2 防火墙的功能指标,6) 访问控制。包过滤防火墙的过滤规则集由若干条规则组成，它应涵盖对所有出入防火墙的数据包的处理方法，对于没有明确定义的数据包，应该有一个缺省处理方法；过滤规则应易于理解，易于编辑修改；同时应具备一致性检测机制，防止冲突。,4.1.2 防火墙的功能指标,应考虑防火墙是否支持应用层代理，如HTTP、FTP、TELNET、SNMP等；是否支持传输层代理服务；是否支持FTP文件类型过滤，允许FTP命令防止某些类型文件通过防火墙；用户操作的代理类型，如HTTP、POP3；支持网络地址转换 (NAT) ；是否支持硬件口令、智能卡等。,4.1.2 防火墙的功能指标,7) 防御功能。是否支持防病毒功能，是否支持信息内容过滤，能防御的DoS攻击类型；以及阻止ActiveX、Java、Cookies、Javascript侵入等。8) 安全特性。是否支持ICMP (网间控制报文协议) 代理，提供实时入侵告警功能，提供实时入侵响应功能，识别/记录/防止企图进行IP地址欺骗等。,4.1.2 防火墙的功能指标,9) 管理功能。通过集成策略集中管理多个防火墙。防火墙管理是指对防火墙具有管理权限的管理员行为和防火墙运行状态的管理，管理员的行为主要包括：通过防火墙的身份鉴别，编写防火墙的安全规则，配置防火墙的安全参数，查看防火墙的日志等。防火墙的管理一般分为本地管理、远程管理和集中管理等。,4.1.2 防火墙的功能指标,10) 记录和报表功能。防火墙规定了对于符合条件的报文做日志，应该提供日志信息管理和存储方法。应考虑防火墙是否具有日志的自动分析和扫描功能，这可以获得更详细的统计结果，达到事后分析、亡羊补牢的目的。国内有关部门的许可证类别及号码是防火墙合格与销售的关键要素之一，其中包括：公安部的销售许可证、国家信息安全测评中心的认证证书、总参的国防通信入网证和国家保密局的推荐证明等。,4.1.3 防火墙技术的发展,目前对防火墙的发展普遍存在着两种观点，即所谓的胖、瘦防火墙之争。一种观点认为，要采取分工协作，防火墙应该做得精瘦，只做防火墙的专职工作，可采取多家安全厂商联盟的方式来解决；另一种观点认为，应该把防火墙做得尽量的胖，把所有安全功能尽可能多地附加在防火墙上，成为一个集成化的网络安全平台。,4.1.3 防火墙技术的发展,从本质上讲，“胖、瘦”防火墙没有好坏之分，只有需求上的差别。低端的防火墙是一个集成的产品，它可以具有简单的安全防护功能，还可以具有一定的IDS (入侵检测系统) 功能，但一般不会集成防病毒功能。,4.1.3 防火墙技术的发展,而中高端的防火墙更加专业化，安全和访问控制并重，主要对经过防火墙的数据包进行审核，安全会更加深化，对协议的研究更加深入，同时会支持多种通用的路由协议，对网络拓扑更加适应，VPN会集成到防火墙内，作为建立广域网安全隧道的一种手段，但防火墙不会集成IDS和防病毒，这些还是由专门的设备负责完成。,4.1.4 Windows防火墙,Windows XP (SP2) 为连接到因特网上的小型网络提供了增强的防火墙安全保护。默认情况下，会启用Windows防火墙，以便帮助保护所有因特网和网络连接。用户还可以下载并安装自己选择的防火墙。Windows 防火墙将限制从其他计算机发送来的信息，使用户可以更好地控制自己计算机上的数据，并针对那些未经邀请而尝试连接的用户或程序 (包括病毒和蠕虫) 提供了一条防御线。,4.1.4 Windows防火墙,用户可以将防火墙视为一道屏障，它检查来自因特网或网络的信息，然后根据防火墙设置，拒绝信息或允许信息到达计算机。如图4.5所示。,图4.5 Windows防火墙的工作方式,4.1.4 Windows防火墙,当因特网或网络上的某人尝试连接到你的计算机时，我们将这种尝试称为“未经请求的请求”。当收到“未经请求的请求”时，Windows防火墙会阻止该连接。如果运行的程序 (如即时消息程序或多人网络游戏) 需要从因特网或网络接收信息，那么防火墙会询问阻止连接还是取消阻止 (允许) 连接。,4.1.4 Windows防火墙,如果选择取消阻止连接，Windows防火墙将创建一个“例外”，这样当该程序日后需要接收信息时，防火墙就会允许信息到达你的计算机。虽然可以为特定因特网连接和网络连接关闭Windows防火墙，但这样做会增加计算机安全性受到威胁的风险。,4.1.4 Windows防火墙,Windows 防火墙有三种设置：“开”、“开并且无例外”和“关”。1) “开”：Windows防火墙在默认情况下处于打开状态，而且通常应当保留此设置不变。选择此设置时，Windows防火墙阻止所有未经请求的连接，但不包括那些对“例外”选项卡上选中的程序或服务发出的请求。,4.1.4 Windows防火墙,2) “开并且无例外”：当选中“不允许例外”复选框时，Windows防火墙会阻止所有未经请求的连接，包括那些对“例外”选项卡上选中的程序或服务发出的请求。当需要为计算机提供最大程度的保护时 (例如，当你连接到旅馆或机场中的公用网络时，或者当危险的病毒或蠕虫正在因特网上扩散时) ，可以使用该设置。,4.1.4 Windows防火墙,但是，不必始终选择“不允许例外”，其原因在于，如果该选项始终处于选中状态，某些程序可能会无法正常工作，并且文件和打印机共享、远程协助和远程桌面、网络设备发现、例外列表上预配置的程序和服务以及已添加到例外列表中的其他项等服务会被禁止接受未经请求的请求。如果选中“不允许例外”，仍然可以收发电子邮件、使用即时消息程序或查看大多数网页。,4.1.4 Windows防火墙,3) “关”：此设置将关闭Windows防火墙。选择此设置时，计算机更容易受到未知入侵者或因特网病毒的侵害。此设置只应由高级用户用于计算机管理目的，或者在计算机有其他防火墙保护的情况下使用。在计算机加入域时创建的设置与计算机没有加入域时创建的设置是分开存储的。这些单独的设置组称为“配置文件”。,实训与思考,本节“实训与思考”的目的是：(1) 熟悉防火墙技术的基本概念，了解防火墙技术的基本内容。(2) 通过因特网搜索与浏览，了解网络环境中主流的防火墙技术网站，掌握通过专业网站不断丰富防火墙技术最新知识的学习方法，尝试通过专业网站的辅助与支持来开展防火墙技术应用实践。,实训与思考,(3) 在Windows XP中配置简易防火墙 (IP筛选器) ，完成后，将能够在本机实现对IP站点、端口、DNS服务屏蔽，实现防火墙功能。,4.2 网络隔离技术与网闸应用,尽管我们正在广泛地采用着各种复杂的安全技术，如防火墙、代理服务器、入侵检测机制、通道控制机制等，但是，由于这些技术基本上都是一种逻辑机制，这对于逻辑实体 (如黑客或内部用户等) 而言，是可能被操纵的。,4.2 网络隔离技术与网闸应用,在政府、军队、企业等领域，由于核心部门的信息安全关系着国家安全、社会稳定，因此迫切需要比传统产品更为可靠的技术防护措施，由此产生了物理隔离技术，该技术主要基于这样的思想：如果不存在与网络的物理连接，网络安全威胁便受到了真正的限制。,4.2 网络隔离技术与网闸应用,在电子政务建设中，我们会遇到安全域的问题，安全域是以信息涉密程度划分的网络空间，它包括：1) 涉密域。就是涉及国家秘密的网络空间。2) 非涉密域。就是不涉及国家的秘密，但是涉及本单位，本部门或者本系统的工作秘密的网络空间。3) 公共服务域是指既不涉及国家秘密也不涉及工作秘密，是一个向互联网络完全开放的公共信息交换空间。,4.2 网络隔离技术与网闸应用,国家有关文件严格规定，政务的内网和政务的外网要实行严格的物理隔离。政务的外网和互联网络要实行逻辑隔离，按照安全域的划分，政府的内网就是涉密域，政府的外网就是非涉密域，因特网就是公共服务域。,4.2 网络隔离技术与网闸应用,网络隔离 (network isolation) 主要是指把两个或两个以上可路由的网络 (如TCP/IP) 通过不可路由的协议 (如IPX/SPX、NetBEUI等) 进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议，所以通常也叫协议隔离 (protocol isolation) 。,4.2 网络隔离技术与网闸应用,隔离概念是在保护高安全度网络环境的情况下产生的，而隔离产品的大量出现，也经历了五代隔离技术的不断的理论和实践相结合的过程。第一代隔离技术完全隔离。此方法使得网络处于信息孤岛状态，做到了完全的物理隔离，一般需要至少两套网络和系统，更重要的是信息交流的不便和成本的提高，给维护和使用带来了极大的不便。,4.2 网络隔离技术与网闸应用,第二代隔离技术硬件卡隔离。在客户机端增加一块硬件卡，客户机端硬盘或其他存储设备首先连接到该卡，然后再转接到主板上，通过该卡能控制客户机端硬盘或其他存储设备。而在选择不同的硬盘时，同时选择了该卡上不同的网络接口，连接到不同的网络。但是，这种隔离产品有的仍然需要网络布线为双网线结构，产品存在着较大的安全隐患。,4.2 网络隔离技术与网闸应用,第三代隔离技术数据转播隔离。利用转播系统分时复制文件的途径来实现隔离，但切换时间非常长。甚至需要手工完成。这不仅明显地减缓了访问速度，更不支持常见的网络应用，失去了网络存在的意义。第四代隔离技术空气开关隔离。它通过使用单刀双掷开关、使得内外部网络分时访问临时缓存器来完成数据交换，但在安全和性能上存在有许多问题。,4.2 网络隔离技术与网闸应用,第五代隔离技术安全通道隔离。此技术通过专用通信硬件和专有安全协议等安全机制，来实现内、外部网络的隔离和数据交换。不仅解决了以前隔离技术存在的问题，并有效地把内、外部网络隔离开来，而且高效地实现了内、外网数据的安全交换，透明支持多种网络应用，成为当前隔离技术的发展方向。,4.2.1 网络隔离的技术原理,物理隔离的技术架构在隔离上，我们通过以下一组图示来说明物理隔离是如何实现的。图4.27表示没有连接时内外网的应用状况。从连接特征可以看出，这样的结构从物理上完全分离。外网是安全性不高的因特网，内网是安全性很高的内部专用网络。,图4.27 物理隔离示意图1,4.2.1 网络隔离的技术原理,正常情况下，隔离设备和外网，隔离设备和内网，外网和内网是完全断开的，即保证网络之间是完全断开的。隔离设备可以理解为纯粹的存储介质和一个单纯的调度和控制电路。,4.2.1 网络隔离的技术原理,当外网有数据需要到达内网时，以电子邮件为例，外部服务器立即发起对隔离设备的非TCP/IP协议的数据连接，隔离设备将所有协议剥离，将原始的数据写入存储介质 (图4.28) 。根据不同的应用，可能有必要对数据进行完整性和安全性检查，如防病毒和恶意代码等。,图4.28 物理隔离示意图2,4.2.1 网络隔离的技术原理,一旦数据完全写入隔离设备的存储介质，隔离设备立即中断与外网的连接。转而发起对内网的非TCP/IP协议的数据连接。隔离设备将存储介质内的数据推向内网。内网收到数据后，立即进行TCP/IP的封装和应用协议的封装，并交给应用系统。此时，内网电子邮件系统就收到了外网的电子邮件系统通过隔离设备转发的电子邮件 (图4.29) 。,图4.29 物理隔离示意图3,4.2.1 网络隔离的技术原理,在控制器收到完整的交换信号之后，隔离设备立即切断隔离设备于内网的直接连接，恢复到完全隔离状态。,4.2.1 网络隔离的技术原理,如果内网有电子邮件要发出，隔离设备收到内网建立连接的请求之后，建立与内网之间的非TCP/IP协议的数据连接。隔离设备剥离所有的TCP/IP协议和应用协议，得到原始的数据，将数据写入隔离设备的存储介质。如有必要，对其进行防病毒处理和防恶意代码检查：然后中断与内网的直接连接 (图4.30) 。,图4.30 物理隔离示意图4,4.2.1 网络隔离的技术原理,一旦数据完全写入隔离设备的存储介质，隔离设备立即中断与内网的连接。转而发起对外网的非TCP/IP协议的数据连接。隔离设备将存储介质内的数据推向外网。外网收到数据后，立即进行TCP/IP的封装和应用协议的封装，完成数据的传递 (图4.31) 。,图4.31 物理隔离示意图5,4.2.1 网络隔离的技术原理,控制器收到信息处理完毕的消息后，立即中断隔离设备与外网的连接，恢复到完全隔离状态。每一次数据交换，隔离设备都经历了数据的接收、存储和转发三个过程。由于这些规则都是在内存和内核中完成的，因此速度上有保证，可以达到100的总线处理能力。,4.2.1 网络隔离的技术原理,物理隔离的一个特征，就是内网与外网永不连接，内网和外网在同一时间最多只有一个同隔离设备建立非TCP/IP协议的数据连接，其数据传输机制是存储和转发。,4.2.2 网络隔离的技术分类,网络隔离技术主要分成下面3类：1) 基于代码、内容等隔离的反病毒和内容过滤技术。随着网络的迅速发展和普及，下载、浏览器、电子邮件、局域网等已成为最主要的病毒、恶意代码及文件的传播方式。防病毒和内容过滤软件可以将主机或网络隔离成相对“干净”的安全区域。,4.2.2 网络隔离的技术分类,2) 基于网络层隔离的防火墙技术。防火墙被称为网络安全防线中的第一道闸门，是目前企业网络与外部实现隔离的最重要手段。防火墙包括包过滤、状态检测、应用代理等基本结构。目前主流的状态检测不但可以实现基于网络层的IP包头和TCP包头的策略控制，还可以跟踪TCP会话状态，为用户提供了安全和效能的较好结合。,4.2.2 网络隔离的技术分类,漏洞扫描、入侵检测和管理等技术并不直接“隔离”，而是通过旁路监测侦听、审计、管理等功能使安全防护作用最有效化。,4.2.2 网络隔离的技术分类,3) 基于物理链路层的物理隔离技术。物理隔离的思路源于逆向思维，即首先切断可能的攻击途径 (如物理链路) ，再尽力满足用户的应用。物理隔离技术演变经历了几个阶段：双机双网通过人工磁盘拷贝实现网络间隔离；单机双网等通过物理隔离卡/隔离集线器切换机制实现终端隔离；隔离服务器实现网络间文件交换拷贝等。,4.2.2 网络隔离的技术分类,这些物理隔离方式对于信息交换实效性要求不高，仅局限于少量文件交换的小规模网络中采用。切断物理通路可以避免基于网络的攻击和入侵，但不能有效地阻止依靠磁盘拷贝传播的病毒、木马程序等流入内网。此外，采用隔离卡由于安全点分散容易造成管理困难。,4.2.3 网络隔离的安全要点,网络隔离的安全要点包括：1) 要具有高度的自身安全性。隔离产品要保证自身具有高度的安全性，理论上至少要比防火墙高一个安全级别。从技术实现上，除了和防火墙一样对操作系统进行加固优化或采用安全操作系统外，关键在于要把外网接口和内网接口从一套操作系统中分离出来。,4.2.3 网络隔离的安全要点,也就是说至少要由两套主机系统组成，一套控制外网接口，另一套控制内网接口，然后在两套主机系统之间通过不可路由的协议进行数据交换，如此，即便黑客攻破外网系统，仍然无法控制内网系统，就达到了更高的安全级别。,4.2.3 网络隔离的安全要点,2) 要确保网络之间是隔离的。保证网间隔离的关键是网络包不可路由到对方网络，无论中间采用了什么转换方法，只要最终使得一方的网络包能够进入到对方的网络中，都无法称之为隔离，即达不到隔离的效果。显然，只是对网间的包进行转发，并且允许建立端到端连接的防火墙，是没有任何隔离效果的。此外，那些只是把网络包转换为文本，交换到对方网络后，再把文本转换为网络包的产品也是没有做到隔离的。,4.2.3 网络隔离的安全要点,3) 要保证网间交换的只是应用数据。既然要达到网络隔离，就必须做到彻底防范基于网络协议的攻击，即不能够让网络层的攻击包到达要保护的网络中，所以就必须进行协议分析，完成应用层数据的提取，然后进行数据交换，这样就把诸如TearDropLand、Smurf和SYN Flood等网络攻击包彻底地阻挡在了可信网络之外，从而明显地增强了可信网络的安全性。,4.2.3 网络隔离的安全要点,4) 要对网间的访问进行严格的控制和检查。作为一套适用于高安全度网络的安全设备，要确保每次数据交换都是可信的和可控制的，严格防止非法通道的出现，以确保信息数据的安全和访问的可审计性。所以必须施加以一定的技术，保证每一次数据交换过程都是可信的，并且内容是可控制的，可采用基于会话的认证技术和内容分析与控制引擎等技术来实现。,4.2.3 网络隔离的安全要点,5) 要在坚持隔离的前提下保证网络畅通和应用透明。隔离产品会部署在多种多样的复杂网络环境中，并且往往是数据交换的关键点，因此，产品要具有很高的处理性能，不能够成为网络交换的瓶颈，要有很好的稳定性；不能够出现时断时续的情况，要有很强的适应性，能够透明接入网络，并且透明支持多种应用。,4.2.3 网络隔离的安全要点,网络隔离的关键是在于系统对通信数据的控制，即通过不可路由的协议来完成网间的数据交换。由于通信硬件设备工作在网络七层的最下层，并不能感知到交换数据的机密性、完整性、可用性、可控性、抗抵赖等安全要素，所以这要通过访问控制、身份认证、加密签名等安全机制来实现，而这些机制都是通过软件来实现的。,4.2.3 网络隔离的安全要点,因此，隔离的关键点就成了要尽量提高网间数据交换的速度，并且对应用能够透明支持，以适应复杂和高带宽需求的网间数据交换。,4.2.4 隔离网闸,物理隔离网闸最早出现在美国、以色列等国家的军方，用以解决涉密网络与公共网络连接时的安全。,4.2.4 隔离网闸,网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。,4.2.4 隔离网闸,所以物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使“黑客”无法入侵、无法攻击、无法破坏，实现了真正的安全。传统防火墙与网闸对比见表4.2。,4.2.4 隔离网闸,隔离网闸 (GAP，又叫安全隔离网闸) 技术是一种通过专用硬件使两个或者两个以上的网络在不连通的情况下，实现安全数据传输和资源共享的技术，它采用独特的硬件设计，能够显著地提高内部用户网络的安全强度。,4.2.4 隔离网闸,GAP技术的基本原理是：切断网络之间的通用协议连接；将数据包进行分解或重组为静态数据；对静态数据进行安全审查，包括网络协议检查和代码扫描等；确认后的安全数据流入内部单元；内部用户通过严格的身份认证机制获取所需数据 (如图4.32) 。,图4.32 GAP的工作原理,4.2.4 隔离网闸,GAP一般由3个部分构成：内网处理单元、外网处理单元和专用隔离硬件交换单元。内网处理单元连接内部网，外网处理单元连接外部网，专用隔离硬件交换单元在任一时刻点仅连接内网处理单元或外网处理单元，与两者间的连接受硬件电路控制高速切换。,4.2.4 隔离网闸,这种独特设计保证了专用隔离硬件交换单元在任一时刻仅连通内部网或者外部网，既满足了内部网与外部网网络物理隔离的要求，又能实现数据的动态交换。GAP系统的嵌入式软件系统里内置了协议分析引擎、内容安全引擎和病毒查杀引擎等多种安全机制，可以根据用户需求实现复杂的安全策略。,4.2.4 隔离网闸,GAP系统可以广泛应用于银行、政府等部门的内部网络访问外部网络，也可用于内部网的不同信任域间的信息交互。,实训与思考,本节“实训与思考”的目的是：(1) 熟悉网络隔离技术的基本概念，了解网络隔离技术的工作原理和基本内容。(2) 熟悉隔离网闸的基本概念和工作原理，了解网闸产品及其应用。,