訪問(wèn)控制與網(wǎng)絡(luò)隔離技術(shù).ppt

第五章 訪問(wèn)控制 與網(wǎng)絡(luò)隔離技術(shù),信息安全,本章重點(diǎn)介紹訪問(wèn)控制技術(shù)、防火墻技術(shù)及網(wǎng)絡(luò)隔離技術(shù)的基本概念、作用、分類(lèi)、基本原理、防火墻的組成以及基本實(shí)現(xiàn)技術(shù)等。 通過(guò)本章的學(xué)習(xí)，學(xué)生應(yīng)該掌握以下內(nèi)容： (1)理解訪問(wèn)控制技術(shù)的定義、分類(lèi)、手段、模型； (2)理解防火墻基本概念、作用、分類(lèi)、基本原理、組成； (3)掌握防火墻基本實(shí)現(xiàn)技術(shù)； (4)掌握網(wǎng)絡(luò)隔離基本原理及實(shí)現(xiàn)技術(shù)； (5)掌握簡(jiǎn)單防火墻軟件的使用。,本章學(xué)習(xí)目標(biāo),5.1 訪問(wèn)控制技術(shù),訪問(wèn)是使信息在主體和對(duì)象間流動(dòng)的一種交互方式。訪問(wèn)控制的目的是為了限制訪問(wèn)主體對(duì)訪問(wèn)客體的訪問(wèn)權(quán)限，能訪問(wèn)系統(tǒng)的何種資源以及如何使用這些資源。 主體（Subject）是指主動(dòng)的實(shí)體，該實(shí)體造成了信息的流動(dòng)和系統(tǒng)狀態(tài)的改變，主體通常包括用戶(hù)、進(jìn)程和設(shè)備。 客體（Object）是指包含或接受信息的被動(dòng)實(shí)體。對(duì)客體的訪問(wèn)意味著對(duì)其中所包含信息的訪問(wèn)。客體通常包括記錄、塊、頁(yè)、段、文件、目錄、目錄樹(shù)和程序以及位、字節(jié)、字、字段處理器、顯示器、鍵盤(pán)、時(shí)鐘、打印機(jī)和網(wǎng)絡(luò)節(jié)點(diǎn)、系統(tǒng)。,5.1.1 訪問(wèn)控制定義,1.訪問(wèn)控制和其它安全內(nèi)部控制的關(guān)系 控制（Control）是為了達(dá)成既定的目的和目標(biāo)而采取的管理行動(dòng)。管理通過(guò)計(jì)劃、組織和指導(dǎo)一系列有效的活動(dòng)為目的和目標(biāo)的達(dá)成提供保障。這樣，控制就成為適當(dāng)?shù)墓芾碛?jì)劃、組織和指導(dǎo)的必然結(jié)果。 內(nèi)部控制（Internal Control）是為了在組織內(nèi)保障以下目標(biāo)的實(shí)現(xiàn)而采取的方法： （1）信息的可靠性和完整性； （2）政策、計(jì)劃、規(guī)程、法律、法規(guī)和合同的執(zhí)行； （3）資產(chǎn)的保護(hù)； （4）資源使用的經(jīng)濟(jì)性和有效性； （5）業(yè)務(wù)及計(jì)劃既定目的和目標(biāo)的達(dá)成。,5.1.1 訪問(wèn)控制定義,5.1 訪問(wèn)控制技術(shù),1.訪問(wèn)控制和其它安全內(nèi)部控制的關(guān)系 訪問(wèn)控制（Access Control）與計(jì)算機(jī)信息系統(tǒng)相關(guān)的內(nèi)容包括： （1）限制主體對(duì)客體的訪問(wèn)； （2）限制主體和其它主體通信或使用計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)中的功能或服務(wù)的權(quán)力或能力。例如，人是主體，文件是客體。 “保護(hù)資產(chǎn)”是內(nèi)部控制和訪問(wèn)控制的共同目標(biāo)。例如，內(nèi)部控制涉及所有的資產(chǎn)，包括有形的和無(wú)形的資產(chǎn)，包括計(jì)算機(jī)相關(guān)的資產(chǎn)也包括和計(jì)算機(jī)無(wú)關(guān)的資產(chǎn)。訪問(wèn)控制涉及無(wú)形（知識(shí)）資產(chǎn)如程序、數(shù)據(jù)、程序庫(kù)以及有形資產(chǎn)如硬件和放置計(jì)算機(jī)的房產(chǎn)。訪問(wèn)控制是整體安全控制的一部分。,5.1.1 訪問(wèn)控制定義,5.1 訪問(wèn)控制技術(shù),2.訪問(wèn)控制的類(lèi)型 安全控制包括六種類(lèi)型的主要控制手段：其功能為： （1）防御型控制用于阻止不良事件的發(fā)生。 （2）探測(cè)型控制用于探測(cè)已經(jīng)發(fā)生的不良事件。 （3）矯正型控制用于矯正已經(jīng)發(fā)生的不良事件。 （4）管理型控制用于管理系統(tǒng)的開(kāi)發(fā)、維護(hù)和使用，針對(duì)系統(tǒng)的策略、規(guī)程、行為規(guī)范、個(gè)人的角色和義務(wù)、個(gè)人職能和人事安全決策。 （5）技術(shù)型控制是用于為信息技術(shù)系統(tǒng)和應(yīng)用提供自動(dòng)保護(hù)的硬件和軟件控制手段。 （6）操作型控制是用于保護(hù)操作系統(tǒng)和應(yīng)用的日常規(guī)程和機(jī)制。,5.1.1 訪問(wèn)控制定義,5.1 訪問(wèn)控制技術(shù),2.訪問(wèn)控制的類(lèi)型 另外，也有三種和控制有關(guān)的概念： （7）補(bǔ)償型控制在一個(gè)領(lǐng)域的控制能力較弱而在另一個(gè)領(lǐng)域控制能力較強(qiáng)。 （8）綜合型控制使用兩個(gè)或更多的控制來(lái)加強(qiáng)對(duì)功能、程序或操作的控制效果。這樣兩個(gè)控制協(xié)同工作能夠強(qiáng)化整個(gè)控制環(huán)境。 （9）規(guī)避型控制的原理就是對(duì)資源進(jìn)行分割管理。資源是系統(tǒng)或系統(tǒng)網(wǎng)絡(luò)中需要管理的實(shí)體。資源可以包括物理實(shí)體如打印機(jī)、盤(pán)庫(kù)、路由器和邏輯實(shí)體如用戶(hù)和用戶(hù)組。規(guī)避型控制的目的是將兩個(gè)實(shí)體彼此分開(kāi)以保證實(shí)體的安全和可靠。,5.1.1 訪問(wèn)控制定義,5.1 訪問(wèn)控制技術(shù),2.訪問(wèn)控制的類(lèi)型 規(guī)避型控制的例子有：將資產(chǎn)和威脅分隔開(kāi)來(lái)以規(guī)避潛在的風(fēng)險(xiǎn)；計(jì)算機(jī)設(shè)備和無(wú)線(xiàn)電接收設(shè)備分隔開(kāi)來(lái)以避免擴(kuò)散的電磁信號(hào)被外界截獲；生產(chǎn)系統(tǒng)和測(cè)試系統(tǒng)分隔開(kāi)來(lái)以避免對(duì)程序代碼的污染和數(shù)據(jù)的破壞；將系統(tǒng)開(kāi)發(fā)過(guò)程和數(shù)據(jù)輸入過(guò)程分隔開(kāi)來(lái)；將系統(tǒng)組件相互分隔開(kāi)來(lái)。,5.1.1 訪問(wèn)控制定義,5.1 訪問(wèn)控制技術(shù),3.訪問(wèn)控制的手段 訪問(wèn)控制的手段可分為物理類(lèi)控制手段、管理類(lèi)控制手段、技術(shù)類(lèi)控制手段三個(gè)層次，每個(gè)層次又可分為防御型和探測(cè)型，以下分類(lèi)列出部分訪問(wèn)控制手段，如表 51所示。,5.1.1 訪問(wèn)控制定義,5.1 訪問(wèn)控制技術(shù),訪問(wèn)控制的手段分類(lèi)說(shuō)明,5.1 訪問(wèn)控制技術(shù),5.1 訪問(wèn)控制技術(shù),訪問(wèn)控制的手段分類(lèi)說(shuō)明,訪問(wèn)控制模型是用于規(guī)定如何作出訪問(wèn)決定的模型。傳統(tǒng)的訪問(wèn)控制模型包括一組由操作規(guī)則定義的基本操作狀態(tài)。典型的狀態(tài)包含一組主體（S）、一組對(duì)象（O）、一組訪問(wèn)權(quán)(AS，O)包括讀、寫(xiě)、執(zhí)行和擁有。 訪問(wèn)控制模型涵蓋對(duì)象、主體和操作，通過(guò)對(duì)訪問(wèn)者的控制達(dá)到保護(hù)重要資源的目的。對(duì)象包括終端、文本和文件，系統(tǒng)用戶(hù)和程序被定義為主體。操作是主體和對(duì)象的交互。訪問(wèn)控制模型除了提供機(jī)密性和完整性外還提供記帳性。記帳性是通過(guò)審計(jì)訪問(wèn)記錄實(shí)現(xiàn)的，訪問(wèn)記錄包括主體訪問(wèn)了什么對(duì)象和進(jìn)行了什么操作。,5.1.3 主機(jī)訪問(wèn)控制模型,5.1 訪問(wèn)控制技術(shù),5.1.2 主機(jī)訪問(wèn)控制模型,5.1 訪問(wèn)控制技術(shù),自主 訪問(wèn)控制,強(qiáng)制 訪問(wèn)控制,基于角色 訪問(wèn)控制,訪問(wèn)控制,表 52訪問(wèn)矩陣,5.1 訪問(wèn)控制技術(shù),1.自主訪問(wèn)控制（DAC-discretionary Access Control） 自主訪問(wèn)控制是由客體自主地確定各個(gè)主體對(duì)它的直接訪問(wèn)權(quán)限（又稱(chēng)訪問(wèn)模式）。 這種方法能夠控制主體對(duì)客體的直接訪問(wèn)，但不能控制主體對(duì)客體的間接訪問(wèn)(利用訪問(wèn)的傳遞性，即A可訪問(wèn)B，B可訪問(wèn)C，于是A可訪問(wèn)C)。 目前常用的操作系統(tǒng)中的文件系統(tǒng)，使用的是自主訪問(wèn)控制方式，因?yàn)檫@比較適合操作系統(tǒng)的資源的管理特性 。 自主訪問(wèn)控制經(jīng)常通過(guò)訪問(wèn)控制列表實(shí)現(xiàn)，訪問(wèn)控制列表難于集中進(jìn)行訪問(wèn)控制和訪問(wèn)權(quán)力的管理。,5.1.2 主機(jī)訪問(wèn)控制模型,5.1 訪問(wèn)控制技術(shù),2.強(qiáng)制訪問(wèn)控制（MAC-Mandatory Access Control） 強(qiáng)制訪問(wèn)控制是一種不允許主體干涉的訪問(wèn)控制類(lèi)型。它是基于安全標(biāo)識(shí)和信息分級(jí)等信息敏感性的訪問(wèn)控制。 由一個(gè)授權(quán)機(jī)構(gòu)為主體和客體分別定義固定的訪問(wèn)屬性，且這些訪問(wèn)權(quán)限不能通過(guò)用戶(hù)來(lái)修改。B類(lèi)計(jì)算機(jī)采用這種方法，常用于軍隊(duì)和政府機(jī)構(gòu)。 例如將數(shù)據(jù)分成絕密、機(jī)密、秘密和一般等幾類(lèi)。用戶(hù)的訪問(wèn)權(quán)限也類(lèi)似定義，即擁有相應(yīng)權(quán)限的用戶(hù)可以訪問(wèn)對(duì)應(yīng)安全級(jí)別的數(shù)據(jù)，從而避免了自主訪問(wèn)控制方法中出現(xiàn)的訪問(wèn)傳遞問(wèn)題。這種方法具有層次性的特點(diǎn)，高級(jí)別的權(quán)限可訪問(wèn)低級(jí)別的數(shù)據(jù)。,5.1.2 主機(jī)訪問(wèn)控制模型,5.1 訪問(wèn)控制技術(shù),3.基于角色的訪問(wèn)控制 是對(duì)自主控制和強(qiáng)制控制機(jī)制的改進(jìn)，它基于用戶(hù)在系統(tǒng)中所起的作用來(lái)規(guī)定其訪問(wèn)權(quán)限。這個(gè)作用（即角色rule）可被定義為與一個(gè)特定活動(dòng)相關(guān)聯(lián)的一組動(dòng)作和責(zé)任。角色包括職務(wù)特征、任務(wù)、責(zé)任、義務(wù)和資格。 例如擔(dān)任系統(tǒng)管理員的用戶(hù)便有維護(hù)系統(tǒng)文件的責(zé)任和權(quán)限，而并不管這個(gè)用戶(hù)是誰(shuí)。,5.1.2 主機(jī)訪問(wèn)控制模型,5.1 訪問(wèn)控制技術(shù),3.基于角色的訪問(wèn)控制 特點(diǎn)： (1)提供了三種授權(quán)管理的控制途徑： 改變客體的訪問(wèn)權(quán)限； 改變角色的訪問(wèn)權(quán)限； 改變主體所擔(dān)任的角色。 (2)提供了層次化的管理結(jié)構(gòu)，由于訪問(wèn)權(quán)限是客體的屬性，所以角色的定義可以用面向?qū)ο蟮姆椒▉?lái)表達(dá)，并可用類(lèi)和繼承等概念來(lái)表示角色之間的關(guān)系。 (3)具有提供最小權(quán)限的能力，由于可以按照角色的具體要求來(lái)定義對(duì)客體的訪問(wèn)權(quán)限，因此具有針對(duì)性，不出現(xiàn)多余的訪問(wèn)權(quán)限，從而降低了不安全性。,5.1.2 主機(jī)訪問(wèn)控制模型,5.1 訪問(wèn)控制技術(shù),3.基于角色的訪問(wèn)控制 特點(diǎn)： (4)具有責(zé)任分離的能力，不同角色的訪問(wèn)權(quán)限可相互制約，即定義角色的人不一定能擔(dān)任這個(gè)角色。因此具有更高的安全性。 非任意訪問(wèn)控制（non-discretionary access control）是為滿(mǎn)足安全策略和目標(biāo)而采用的一系列集中管理的控制手段。訪問(wèn)控制是由訪問(wèn)者在機(jī)構(gòu)中的角色決定的。角色包括職務(wù)特征、任務(wù)、責(zé)任、義務(wù)和資格。訪問(wèn)者在系統(tǒng)中的角色有管理者賦予或吊銷(xiāo)。,5.1.2 主機(jī)訪問(wèn)控制模型,5.1 訪問(wèn)控制技術(shù),信息系統(tǒng)中所有可控制的資源均可抽象為客體，對(duì)客體實(shí)施動(dòng)作的實(shí)體稱(chēng)為主體，主體對(duì)客體所實(shí)施的動(dòng)作需要通過(guò)訪問(wèn)矩陣（Access Matrix）得到授權(quán)，如表 52所示，其中，矩陣列展現(xiàn)控制，矩陣行展現(xiàn)能力。 這些授權(quán)對(duì)于主體可表示為訪問(wèn)權(quán)限，對(duì)于客體可表示為訪問(wèn)模式。顯然，訪問(wèn)權(quán)限應(yīng)是訪問(wèn)模式的子集。,5.1 訪問(wèn)控制技術(shù),5.1.3 主機(jī)訪問(wèn)控制的基本方案,表 52訪問(wèn)矩陣,5.1 訪問(wèn)控制技術(shù),1.訪問(wèn)控制表方案,這是一種傳統(tǒng)的授控機(jī)制，用訪問(wèn)矩陣表示，以客體為索引。即每一個(gè)訪問(wèn)控制列表（ACL-Access Control List）是客體（目標(biāo)對(duì)象）的屬性表，它給定每個(gè)主體（用戶(hù)）對(duì)給定的目標(biāo)的訪問(wèn)權(quán)限，即一系列實(shí)體及其對(duì)資源的訪問(wèn)權(quán)限的列表。,5.1 訪問(wèn)控制技術(shù),5.1.3 主機(jī)訪問(wèn)控制的基本方案,維護(hù)訪問(wèn)控表和實(shí)施訪問(wèn)控制本質(zhì)上是系統(tǒng)和圍繞目標(biāo)的環(huán)境的責(zé)任。訪問(wèn)控制列表反映了一個(gè)目標(biāo)對(duì)應(yīng)于訪問(wèn)矩陣列中的內(nèi)容。因此，基于身份的訪問(wèn)控制策略包括基于個(gè)人的、基于組的和基于角色的多重策略，可以用很簡(jiǎn)單地應(yīng)用訪問(wèn)控制列表來(lái)實(shí)現(xiàn)?；镜脑L問(wèn)控制列表概念能以多種形式推廣。,5.1 訪問(wèn)控制技術(shù),5.1.3 主機(jī)訪問(wèn)控制的基本方案,表 53 訪問(wèn)控制列表示例,5.1 訪問(wèn)控制技術(shù),5.1.3 主機(jī)訪問(wèn)控制的基本方案,訪問(wèn)控制列表最適合于有相對(duì)少的需要補(bǔ)區(qū)分的用戶(hù)，并且這些用戶(hù)中的絕大多數(shù)是穩(wěn)定的情況。如果訪問(wèn)控制列表太大或經(jīng)常改動(dòng)，維護(hù)訪問(wèn)控制列表會(huì)成為最主要的問(wèn)題。,5.1 訪問(wèn)控制技術(shù),5.1.3 主機(jī)訪問(wèn)控制的基本方案,2.訪問(wèn)能力表方案（CL-Capabilities List） 訪問(wèn)能力表這也是一種矩陣表示法，但以主體為索引。每個(gè)主體對(duì)應(yīng)有一個(gè)訪問(wèn)能力表，指出對(duì)各個(gè)客體的訪問(wèn)權(quán)限。這種方法的優(yōu)缺點(diǎn)與直ACL相反。在分布式系統(tǒng)中，可允許主體只進(jìn)行一次認(rèn)證便獲得它的CL，不必在會(huì)話(huà)期間不斷地對(duì)各個(gè)分布的系統(tǒng)進(jìn)行授權(quán)申請(qǐng)和處理。,5.1 訪問(wèn)控制技術(shù),5.1.3 主機(jī)訪問(wèn)控制的基本方案,Obj2 Own R W O,Obj2 R O,Obj2 R W O,User A,2.訪問(wèn)能力表方案 網(wǎng)絡(luò)中通常包括多種安全區(qū)域。直接地圍繞一個(gè)目標(biāo)的安全區(qū)域，通常立即需要一個(gè)關(guān)于該目標(biāo)的訪問(wèn)決策的表達(dá)。然而，訪問(wèn)能力適合于聯(lián)系相對(duì)少的目標(biāo)，并且對(duì)發(fā)起者訪問(wèn)控制決策容易實(shí)現(xiàn)的情況。訪問(wèn)能力方案的實(shí)施主要依賴(lài)于在系統(tǒng)間所采用的安全傳遞能力。其缺點(diǎn)是，目標(biāo)的擁有者不容易廢除以前授予的權(quán)限。,5.1 訪問(wèn)控制技術(shù),5.1.3 主機(jī)訪問(wèn)控制的基本方案,5.1 訪問(wèn)控制技術(shù),5.1.3 主機(jī)訪問(wèn)控制的基本方案,3.授權(quán)關(guān)系方案 授權(quán)關(guān)系(Authorization relations)這種方案是ACL與CL的 結(jié)合，使用關(guān)系來(lái)表示訪問(wèn)矩陣。每個(gè)關(guān)系表示一個(gè)主 體對(duì)一個(gè)客體的訪問(wèn)權(quán)限，并使用關(guān)系式數(shù)據(jù)庫(kù)來(lái)存放 這個(gè)訪問(wèn)矩陣。,網(wǎng)絡(luò)中通常包括多種安全區(qū)域。直接地圍繞一個(gè)目標(biāo)的安全區(qū)域，通常立即需要一個(gè)關(guān)于該目標(biāo)的訪問(wèn)決策的表達(dá)。然而，訪問(wèn)能力適合于聯(lián)系相對(duì)少的目標(biāo)，并且對(duì)發(fā)起者訪問(wèn)控制決策容易實(shí)現(xiàn)的情況。訪問(wèn)能力方案的實(shí)施主要依賴(lài)于在系統(tǒng)間所采用的安全傳遞能力。其缺點(diǎn)是，目標(biāo)的擁有者不容易廢除以前授予的權(quán)限。,5.1 訪問(wèn)控制技術(shù),5.1.3 主機(jī)訪問(wèn)控制的基本方案,訪問(wèn)控制管理涉及訪問(wèn)控制在系統(tǒng)中的部署、測(cè)試、監(jiān)控以及對(duì)用戶(hù)訪問(wèn)的終止。雖然不一定需要對(duì)每一個(gè)用戶(hù)設(shè)定具體的訪問(wèn)權(quán)限，但是訪問(wèn)控制管理依然需要大量復(fù)雜和艱巨的工作。訪問(wèn)控制決定需要考慮機(jī)構(gòu)的策略、員工的職務(wù)描述、信息的敏感性、用戶(hù)的職務(wù)需求等因素。,5.1.4主機(jī)訪問(wèn)控制管理,5.1 訪問(wèn)控制技術(shù),有三種基本的訪問(wèn)管理模式： （1）集中式 （2）分布式 （3）混合式 每種管理模式各有優(yōu)缺點(diǎn)。應(yīng)該根據(jù)機(jī)構(gòu)的實(shí)際情況選擇合適的管理模式。,5.1 訪問(wèn)控制技術(shù),5.1.4主機(jī)訪問(wèn)控制管理,1.集中式管理 集中管理就是由一個(gè)管理者設(shè)置訪問(wèn)控制。當(dāng)用戶(hù)對(duì)信息的需求發(fā)生變化時(shí)，只能由這個(gè)管理者改變用戶(hù)的訪問(wèn)權(quán)限。由于只有極少數(shù)人有更改訪問(wèn)權(quán)限的權(quán)力，所以這種控制是比較嚴(yán)格的。每個(gè)用戶(hù)的賬號(hào)都可以被集中監(jiān)控，當(dāng)用戶(hù)離開(kāi)機(jī)構(gòu)時(shí)，其所有的訪問(wèn)權(quán)限可以很容易地被終止。因?yàn)楣芾碚咻^少，所以整個(gè)過(guò)程和執(zhí)行標(biāo)準(zhǔn)的一致性就比較容易達(dá)到。但是，當(dāng)需要快速而大量修改訪問(wèn)權(quán)限時(shí)，管理者的工作負(fù)擔(dān)和壓力就會(huì)很大。,5.1 訪問(wèn)控制技術(shù),5.1.4主機(jī)訪問(wèn)控制管理,2.分布式管理 分布式管理就是把訪問(wèn)的控制權(quán)交給了文件的擁有者或創(chuàng)建者，通常是職能部門(mén)的管理者（functional managers）。這就等于把控制權(quán)交給了對(duì)信息負(fù)有直接責(zé)任、對(duì)信息的使用最熟悉、最有資格判斷誰(shuí)需要信息的管理者的手中。但是這也同時(shí)造成在執(zhí)行訪問(wèn)控制的過(guò)程和標(biāo)準(zhǔn)上的不一致性。在任一時(shí)刻，很難確定整個(gè)系統(tǒng)所有的用戶(hù)的訪問(wèn)控制情況。不同管理者在實(shí)施訪問(wèn)控制時(shí)的差異會(huì)造成控制的相互沖突以致無(wú)法滿(mǎn)足整個(gè)機(jī)構(gòu)的需求。同時(shí)也有可能造成在員工調(diào)動(dòng)和離職時(shí)訪問(wèn)權(quán)不能有效地清除。,5.1 訪問(wèn)控制技術(shù),5.1.4主機(jī)訪問(wèn)控制管理,3.混合式管理 混合式管理是集中式管理和分布式管理的結(jié)合。它的特點(diǎn)是由集中式管理負(fù)責(zé)整個(gè)機(jī)構(gòu)中基本的訪問(wèn)控制，而由職能管理者就其所負(fù)責(zé)的資源對(duì)用戶(hù)進(jìn)行具體的訪問(wèn)控制。混合式管理的主要缺點(diǎn)是難以劃分哪些訪問(wèn)控制應(yīng)集中控制，哪些應(yīng)在本地控制。,5.1 訪問(wèn)控制技術(shù),5.1.4主機(jī)訪問(wèn)控制管理,5.2 防火墻技術(shù),防火墻是一種安全有效的防范技術(shù)，是訪問(wèn)控制機(jī)制、安全策略和防入侵措施。 從狹義上講，防火墻是指安裝了防火墻軟件的主機(jī)或路由器系統(tǒng)； 從廣義上講，防火墻還包括了整個(gè)網(wǎng)絡(luò)的安全策略和安全行為。它是通過(guò)在網(wǎng)絡(luò)邊界上建立起來(lái)的相應(yīng)網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)來(lái)隔離內(nèi)部和外部網(wǎng)絡(luò)，以確定哪些內(nèi)部服務(wù)允許外部訪問(wèn)，以及允許哪些外部服務(wù)訪問(wèn)內(nèi)部服務(wù)，阻擋外部網(wǎng)絡(luò)的入侵。,防火墻在Internet與內(nèi)部網(wǎng)中的位置,5.2 防火墻技術(shù),1.防火墻的作用 防火墻從本質(zhì)上說(shuō)是一些設(shè)備，是外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)控制設(shè)備，是用來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)、資源和用戶(hù)聲譽(yù)的。防止Internet上的危險(xiǎn)（病毒、資源盜用等）傳播到的網(wǎng)絡(luò)內(nèi)部。這樣的設(shè)備通常是單獨(dú)的計(jì)算機(jī)，路由器或防火墻盒（專(zhuān)有硬件設(shè)備）。 它們充當(dāng)訪問(wèn)網(wǎng)絡(luò)的唯一入口點(diǎn)，并且判斷是否接收某個(gè)連接請(qǐng)求。只有來(lái)自授權(quán)主機(jī)根據(jù)用戶(hù)的服務(wù)需要，保證一定的安全系數(shù)。,5.2.1 防火墻概述,5.2 防火墻技術(shù),1.防火墻的作用,5.2.1 防火墻概述,5.2 防火墻技術(shù),把安全網(wǎng)絡(luò)連接到不安全全網(wǎng)上。 保護(hù)安全網(wǎng)絡(luò)最大程度地訪問(wèn)網(wǎng)絡(luò)。 將不安全網(wǎng)絡(luò)轉(zhuǎn)變成安全網(wǎng)絡(luò)。,間諜：試圖偷走敏感信息的黑客的和闖入者；,盜竊：盜竊對(duì)象包括數(shù)據(jù)、磁盤(pán)空間、資源等；,破壞系統(tǒng)：通過(guò)路由器或主機(jī)/服務(wù)器蓄意破壞文件系統(tǒng)或阻止授權(quán)用戶(hù)訪問(wèn)內(nèi)部網(wǎng)絡(luò)（外部網(wǎng)絡(luò)）和服務(wù)器。,2.防火墻設(shè)置的必要性 （1）集中化的安全管理，強(qiáng)化安全策略 由于Internet上每天都有上百萬(wàn)人在 那里收集信息、交換信息，不可避免地會(huì)出現(xiàn)個(gè)別品德不良的人，或違反規(guī)則的人，防火墻是為了防止不良現(xiàn)象發(fā)生的“交通警察”，它執(zhí)行站點(diǎn)的安全策略，僅僅容許“認(rèn)可的”和符合規(guī)則的請(qǐng)求通過(guò)。 （2）網(wǎng)絡(luò)日志及使用統(tǒng)計(jì) 因?yàn)榉阑饓κ撬羞M(jìn)出信息必須通路，所以防火墻非常適用收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為訪問(wèn)的唯一點(diǎn)，防火墻能在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行記錄，對(duì)網(wǎng)絡(luò)存取訪問(wèn)進(jìn)行和統(tǒng)計(jì)。,5.2.1 防火墻概述,5.2 防火墻技術(shù),2.防火墻設(shè)置的必要性 （3）保護(hù)那些易受攻擊的服務(wù) 防火墻能夠用來(lái)隔開(kāi)網(wǎng)絡(luò)中一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段。這樣，能夠防止影響一個(gè)網(wǎng)段的問(wèn)題通過(guò)整個(gè)網(wǎng)絡(luò)傳播。 （4）增強(qiáng)的保密 用來(lái)封鎖有關(guān)網(wǎng)點(diǎn)系統(tǒng)的DNS信息。因此，網(wǎng)點(diǎn)系統(tǒng)名字和IP地址都不要提供給Internet。 （5）實(shí)施安全策略 防火墻是一個(gè)安全策略的檢查站，控制對(duì)特殊站點(diǎn)的訪問(wèn)。所有進(jìn)出的信息都必須通過(guò)防火墻，防火墻便成為安全問(wèn)題的檢查點(diǎn)，使可疑的訪問(wèn)被拒絕于門(mén)外。,5.2.1 防火墻概述,5.2 防火墻技術(shù),3.防火墻組成,5.2.1 防火墻概述,5.2 防火墻技術(shù),5.2.1 防火墻概述,5.2 防火墻技術(shù),防火墻由安全操作系統(tǒng) 過(guò)濾器：過(guò)濾器（filter）阻止某一類(lèi)別的流量 網(wǎng)關(guān) 域名服務(wù) E-mail處理等部分組件構(gòu)成，如圖 56所示。 SOCKS協(xié)議：IETF的AFT（Authenticated Firewall Traversal） 工作組開(kāi)發(fā)了一種同時(shí)支持TCP和UDP應(yīng)用 穿越防火墻的通用認(rèn)證框架。,開(kāi)放式 Internet 接入,過(guò)濾器,過(guò)濾器、網(wǎng)關(guān),過(guò)濾器、網(wǎng)關(guān)和域名服務(wù)及郵件處理,過(guò)濾器、網(wǎng)關(guān)、域名服務(wù)、郵件處理、安全操作系統(tǒng),過(guò)濾器、網(wǎng)關(guān)、域名服務(wù)郵件處理、數(shù)據(jù)完整性、安全操作系統(tǒng),無(wú)接入,功能,安全性 完全安全性 安全級(jí),4.防火墻的安全級(jí) 根據(jù)防火墻的安全策略的不同，防火墻的安全級(jí)別也不同。,5.2.1 防火墻概述,5.2 防火墻技術(shù),5.防火墻不能對(duì)付的安全脅協(xié) (1)不能防范來(lái)自?xún)?nèi)部惡意的知情者的攻擊 防火墻不能防止專(zhuān)用網(wǎng)中內(nèi)部用戶(hù)對(duì)資源的攻擊。它只是設(shè)在專(zhuān)用網(wǎng)和Internet之間，對(duì)其間的信息進(jìn)行干預(yù)的安全設(shè)施。防火墻可以禁止系統(tǒng)用戶(hù)經(jīng)過(guò)網(wǎng)絡(luò)連接發(fā)送專(zhuān)有的信息，但用戶(hù)可以將數(shù)據(jù)復(fù)制到磁盤(pán)、磁帶上，放在 公文包中帶出去。 (2)不能防范不通過(guò)它的連接 只對(duì)所有通過(guò)防火墻的進(jìn)行Internet數(shù)據(jù)流進(jìn)行處理，才能發(fā)揮防火墻的作用。防火墻能夠有效地防止通過(guò)它進(jìn)行傳輸信息，然而不能防止不通過(guò)它而傳輸?shù)男畔?。如果用網(wǎng)中有些資源繞過(guò)防火墻直接與Internet連通，則得不到防火墻的保護(hù)。,5.2.1 防火墻概述,5.2 防火墻技術(shù),5.防火墻不能對(duì)付的安全脅協(xié) (3)防火墻不能防范病毒 一般防火墻不對(duì)專(zhuān)用網(wǎng)提供防護(hù)外部病毒的侵犯。病毒可以通過(guò)FTP或其它工具傳至專(zhuān)用網(wǎng)。如果要實(shí)現(xiàn)這種防護(hù)，防火墻中應(yīng)設(shè)置檢測(cè)病毒的邏輯。 (4)不能防備全部的威脅 防火墻被用來(lái)防備已知的威脅，如果是一個(gè)很好的防火墻設(shè)計(jì)方案，可以防備新的威脅，但沒(méi)有一個(gè)防火墻能自動(dòng)防御所有的新的威脅。,5.2.1 防火墻概述,5.2 防火墻技術(shù),防火墻系統(tǒng)的體系結(jié)構(gòu)可以說(shuō)成為夠成防火墻系統(tǒng)的拓?fù)浣Y(jié)構(gòu)。 網(wǎng)絡(luò)對(duì)外呈現(xiàn)的安全水平依賴(lài)于所用防火墻系統(tǒng)的體系結(jié)構(gòu)。一般將防火墻體系結(jié)構(gòu)區(qū)分三種。 1.雙宿主機(jī)體系結(jié)構(gòu) 2.屏蔽主機(jī)體系結(jié)構(gòu) 3.屏蔽子網(wǎng)體系結(jié)構(gòu),5.2.2 防火墻系統(tǒng)的體系結(jié)構(gòu),5.2 防火墻技術(shù),1.雙宿主機(jī)體系結(jié)構(gòu) (1)多宿主機(jī)（multi-homed host） 多宿主機(jī)一詞用來(lái)描述具有多個(gè)網(wǎng)絡(luò) 接口板控制的的主機(jī)。它們被廣泛用于兩個(gè)或多個(gè)局域網(wǎng)的系統(tǒng)中。,5.2.2 防火墻系統(tǒng)的體系結(jié)構(gòu),5.2 防火墻技術(shù),1.雙宿主機(jī)體系結(jié)構(gòu) (2)雙宿主機(jī) 雙宿主機(jī)體系結(jié)構(gòu)是多宿主機(jī)的一個(gè)特例，是連接兩個(gè)網(wǎng)絡(luò)的計(jì)算機(jī)系統(tǒng)，是圍繞具有雙宿主的主機(jī)計(jì)算機(jī)而構(gòu)筑的，這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，并能夠從一個(gè)網(wǎng)絡(luò)到另一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。然而，實(shí)現(xiàn)雙宿主機(jī)的作為防火墻的雙宿主機(jī)體系結(jié)構(gòu)禁止這種發(fā)送IP數(shù)據(jù)包功能。,5.2.2 防火墻系統(tǒng)的體系結(jié)構(gòu),5.2 防火墻技術(shù),1.雙宿主機(jī)體系結(jié)構(gòu),5.2.2 防火墻系統(tǒng)的體系結(jié)構(gòu),5.2 防火墻技術(shù),網(wǎng)絡(luò)1上的主機(jī)A可以訪雙宿主機(jī)上的應(yīng)用程序A。類(lèi)似的，主機(jī)B可以訪問(wèn)雙宿主機(jī)上的應(yīng)用程序B。雙宿主機(jī)上的這個(gè)兩個(gè)應(yīng)用程序甚至可以共享數(shù)據(jù)來(lái)交換信息是完全可能的，并且，在雙宿主機(jī)上相連的兩個(gè)網(wǎng)絡(luò)段之間沒(méi)有網(wǎng)絡(luò)流量的交換。 雙宿主機(jī)網(wǎng)關(guān)是在堡壘主機(jī)中插裝兩塊網(wǎng)絡(luò)口卡，并在其上運(yùn)行服務(wù)器軟件，受保護(hù)網(wǎng)與Internet之間不能直接進(jìn)行通信，必須經(jīng)過(guò)壁壘主機(jī)，因此，不必現(xiàn)實(shí)的列出保護(hù)網(wǎng)與外部網(wǎng)之間的路由，從而達(dá)到受保護(hù)網(wǎng)除了看到壁壘主機(jī)之外，不能看到其他任何系統(tǒng)效果。,5.2.2 防火墻系統(tǒng)的體系結(jié)構(gòu),5.2 防火墻技術(shù),因而，IP數(shù)據(jù)分組從一個(gè)網(wǎng)絡(luò)（例如，Internet）并不是直接發(fā)送到其它網(wǎng)絡(luò)（例如，內(nèi)部的、被保護(hù)的網(wǎng)絡(luò)）。防火墻內(nèi)部的系統(tǒng)能與雙宿主機(jī)通信，同時(shí)防火墻外部的系統(tǒng)（在Internet上）能與雙宿主機(jī)通信，但是這些系統(tǒng)不能直接互相通信。它們之間的IP通信被完全阻止。,雙宿主機(jī)的防火墻體系結(jié)構(gòu)很簡(jiǎn)單，雙宿主機(jī)位于兩者之間，并且被連接到Internet和內(nèi)部的網(wǎng)絡(luò)。如圖 510所示.,5.2.2 防火墻系統(tǒng)的體系結(jié)構(gòu),5.2 防火墻技術(shù),作為防火墻的雙宿主機(jī),外部,內(nèi)部,5.2.2 防火墻系統(tǒng)的體系結(jié)構(gòu),5.2 防火墻技術(shù),雙宿主機(jī)是防火墻使用的最基本配置，雙宿主防火墻主機(jī)的重要性是路由被禁；網(wǎng)段之間唯一的路徑是通過(guò)應(yīng)用層的功能。如果路由意外地設(shè)有配置，且IP轉(zhuǎn)發(fā)允許，那么雙宿主防火墻的應(yīng)用層功能就可能被越過(guò)。,5.2.2 防火墻系統(tǒng)的體系結(jié)構(gòu),5.2 防火墻技術(shù),屏蔽主機(jī)體系結(jié)構(gòu),2.屏蔽主機(jī)體系結(jié)構(gòu) 屏蔽主機(jī)體系結(jié)構(gòu)防火墻配置需要一個(gè)帶數(shù)據(jù)分組過(guò)濾功能的路由器和一臺(tái)堡壘主機(jī)，如圖所示。 .,5.2.2 防火墻系統(tǒng)的體系結(jié)構(gòu),5.2 防火墻技術(shù),2.屏蔽主機(jī)體系結(jié)構(gòu) 在這種體系結(jié)構(gòu)中，防火墻系統(tǒng)提供的安全等級(jí)較高，因?yàn)樗鼘?shí)現(xiàn)了網(wǎng)絡(luò)層安全和應(yīng)用層安全。所以入侵者在破壞內(nèi)部網(wǎng)絡(luò)安全之前，必須首先滲透兩種不同的安全系統(tǒng)。 使用一個(gè)單獨(dú)的路由器控制所有出入內(nèi)部網(wǎng)的訪問(wèn)，并將所有的請(qǐng)求傳送給堡壘主機(jī)。主要的安全由數(shù)據(jù)包過(guò)濾。代理服務(wù)將通過(guò)防火墻的通信鏈路分為兩段：防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)的應(yīng)用層鏈路優(yōu)先兩個(gè)終止于Proxy Server的“鏈路”來(lái)實(shí)現(xiàn)：外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能達(dá)到Proxy Server，從而內(nèi)網(wǎng)與外網(wǎng)計(jì)算機(jī)系統(tǒng)實(shí)現(xiàn)隔離。,5.2.2 防火墻系統(tǒng)的體系結(jié)構(gòu),5.2 防火墻技術(shù),3.屏蔽子網(wǎng)體系結(jié)構(gòu) 屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到屏蔽主機(jī)體系結(jié)構(gòu)。用兩個(gè)分組過(guò)濾路由器和一個(gè)堡壘主機(jī)，在內(nèi)部網(wǎng)絡(luò)與Internet之間有一個(gè)小型的獨(dú)立網(wǎng)絡(luò)，即通過(guò)添加周邊網(wǎng)絡(luò)更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與Internet隔離開(kāi)，如圖所示。,5.2.2 防火墻系統(tǒng)的體系結(jié)構(gòu),5.2 防火墻技術(shù),3.屏蔽子網(wǎng)體系結(jié)構(gòu),5.2.2 防火墻系統(tǒng)的體系結(jié)構(gòu),5.2 防火墻技術(shù),3.屏蔽子網(wǎng)體系結(jié)構(gòu) 兩個(gè)分組過(guò)濾路由器，一個(gè)位于周邊網(wǎng)與內(nèi)部的網(wǎng)絡(luò)之間，另一個(gè)位于周邊網(wǎng)與外部網(wǎng)絡(luò)之間。 通過(guò)屏蔽子網(wǎng)防火墻訪問(wèn)內(nèi)部網(wǎng)絡(luò)要受到路由器過(guò)濾規(guī)則的保護(hù)。堡壘主機(jī)、信息服務(wù)器、調(diào)制解調(diào)器組以及其他公用服務(wù)器放在子網(wǎng)中。屏蔽子網(wǎng)中的主機(jī)是內(nèi)部網(wǎng)和Internet都能訪問(wèn)唯一系統(tǒng)，他支持網(wǎng)絡(luò)層和應(yīng)用層安全功能。 （1）周邊網(wǎng)絡(luò) 周邊網(wǎng)絡(luò)是另一個(gè)安全層，是在外部網(wǎng)絡(luò)與用戶(hù)的被保護(hù)的內(nèi)部網(wǎng)絡(luò)之間的附加的網(wǎng)絡(luò)。如果侵襲者成功地侵入用戶(hù)的防火墻的外層領(lǐng)域，周邊網(wǎng)絡(luò)在那個(gè)侵襲者與用戶(hù)的內(nèi)部系統(tǒng)之間提供一個(gè)附加的保護(hù)層。,5.2.2 防火墻系統(tǒng)的體系結(jié)構(gòu),5.2 防火墻技術(shù),3.屏蔽子網(wǎng)體系結(jié)構(gòu) （2）堡壘主機(jī) 將過(guò)濾和代理服務(wù)等功能結(jié)合起來(lái)形成新的防火墻，所用主機(jī)稱(chēng)為堡壘主機(jī)（bastion Hosts）。堡壘主機(jī)是一個(gè)組織的網(wǎng)絡(luò)安全的中心主機(jī)。它是一個(gè)專(zhuān)門(mén)的系統(tǒng)，具有特殊的裝備，并能抵御攻擊。堡壘主機(jī)提供安全性功能的幾種特點(diǎn)如下： 堡壘主機(jī)的硬件執(zhí)行一個(gè)安全版本的操作系統(tǒng)。 只有網(wǎng)絡(luò)管理員認(rèn)為必需的服務(wù)才能在堡壘主機(jī)上安裝。 每個(gè)代理在堡壘主機(jī)上都以非特權(quán)用戶(hù)的身份運(yùn)行在其自己的并且是安全的目錄中。,5.2.2 防火墻系統(tǒng)的體系結(jié)構(gòu),5.2 防火墻技術(shù),3.屏蔽子網(wǎng)體系結(jié)構(gòu) （2）堡壘主機(jī) 堡壘主機(jī)負(fù)責(zé)提供代理服務(wù)。一般采用以下幾種技術(shù)： 動(dòng)態(tài)包過(guò)濾； 內(nèi)核透明技術(shù)； 用戶(hù)認(rèn)證機(jī)制； 內(nèi)容和策略感知能力； 內(nèi)部信息隱藏； 智能日志、審計(jì)和實(shí)時(shí)報(bào)警； 防火墻的交互操作性等。,5.2.2 防火墻系統(tǒng)的體系結(jié)構(gòu),5.2 防火墻技術(shù),3.屏蔽子網(wǎng)體系結(jié)構(gòu) （3）內(nèi)部路由器 內(nèi)部路由器（有時(shí)被稱(chēng)為阻塞路由器）保護(hù)內(nèi)部的網(wǎng)絡(luò)使之免受 Internet 和周邊網(wǎng)的侵犯。 內(nèi)部路由器為用戶(hù)的防火墻執(zhí)行大部分的數(shù)據(jù)包過(guò)濾工作。它允許從內(nèi)部網(wǎng)到Internet的有選擇的出站服務(wù)。這些服務(wù)是用戶(hù)的站點(diǎn)能使用數(shù)據(jù)包過(guò)濾而不是代理服務(wù) 安全支持和安全提供的服務(wù)。 內(nèi)部路由器所允許的在堡壘主機(jī)（在周邊網(wǎng)上）和用戶(hù)的內(nèi)部網(wǎng)之間服務(wù)可以不同于內(nèi)部路由器所允許的在 Internet和用戶(hù)的內(nèi)部網(wǎng)之間的服務(wù)。限制堡壘主機(jī)和內(nèi)部網(wǎng)之間服務(wù)的理由是減少由此而導(dǎo)致的受到來(lái)自堡壘主機(jī)侵襲的機(jī)器的數(shù)量。,5.2.2 防火墻系統(tǒng)的體系結(jié)構(gòu),5.2 防火墻技術(shù),3.屏蔽子網(wǎng)體系結(jié)構(gòu) （4）外部路由器 外部路由器有時(shí)也被稱(chēng)為訪問(wèn)路由器，起著保護(hù)周邊網(wǎng)和內(nèi)部網(wǎng)免受來(lái)自Internet 的攻擊。實(shí)際上，外部路由器傾向于允許幾乎任何信息從周邊網(wǎng)出站，并且它們通常只執(zhí)行非常少的數(shù)據(jù)包過(guò)濾。保護(hù)內(nèi)部機(jī)器的數(shù)據(jù)包過(guò)濾規(guī)則在內(nèi)部路由器和外部路由器上基本上應(yīng)該是一樣的；如果在規(guī)則中有允許攻擊者訪問(wèn)的錯(cuò)誤，錯(cuò)誤就可能出現(xiàn)在兩個(gè)路由器上。 實(shí)際上外部路由器能有效地執(zhí)行的安全任務(wù)之一是：阻止從Internet上偽造源地址進(jìn)來(lái)的任何數(shù)據(jù)包。這樣的數(shù)據(jù)包自稱(chēng)來(lái)自?xún)?nèi)部的網(wǎng)絡(luò)，但實(shí)際上是來(lái)自 Internet。,5.2.2 防火墻系統(tǒng)的體系結(jié)構(gòu),5.2 防火墻技術(shù),4.防火墻體系結(jié)構(gòu)的組合形式 建造防火墻時(shí)，一般很少用單一的技術(shù)，通常是多種解決不同問(wèn)題的技術(shù)的組合。這種組合主要取決于網(wǎng)管中心向用戶(hù)提供什么樣的服務(wù)，以及網(wǎng)管中心能接受什么等級(jí)風(fēng)險(xiǎn)。采用哪種技術(shù)主要取決于經(jīng)費(fèi)，投資的大小或技術(shù)人員的技術(shù)、時(shí)間等因素。,5.2.2 防火墻系統(tǒng)的體系結(jié)構(gòu),5.2 防火墻技術(shù),4.防火墻體系結(jié)構(gòu)的組合形式 使用多堡壘主機(jī)； 合并內(nèi)部路由器與外部路由器； 合并堡壘主機(jī)與外部路由器； 合并堡壘主機(jī)與內(nèi)部路由器； 使用多臺(tái)內(nèi)部路由器； 使用多臺(tái)外部路由器； 使用多個(gè)周邊網(wǎng)絡(luò)； 使用雙重宿主機(jī)與屏蔽子網(wǎng)。,5.2.2 防火墻系統(tǒng)的體系結(jié)構(gòu),5.2 防火墻技術(shù),防火墻系統(tǒng)是外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間的物理與邏輯界面。從外部來(lái)看，防火墻借助于不同的傳輸接口打開(kāi)了進(jìn)入內(nèi)部網(wǎng)絡(luò)的通道。通信接口支配著控制裝置，允許內(nèi)部與外部網(wǎng)絡(luò)之間建立連接。對(duì)于接口的不同訪問(wèn)，防火墻基本上分為三種類(lèi)。數(shù)據(jù)包過(guò)濾器、電路層網(wǎng)關(guān)和應(yīng)用層網(wǎng)關(guān)。這三種類(lèi)型的防火墻個(gè)有利弊，在實(shí)際應(yīng)用中需考慮網(wǎng)絡(luò)環(huán)境、安全策略和安全級(jí)別等各方面的因素來(lái)選擇相應(yīng)的防火墻。,5.2.3防火墻的類(lèi)型,5.2 防火墻技術(shù),1.包過(guò)濾路由器 欲保護(hù)網(wǎng)絡(luò)的一種辦法是正確配置過(guò)濾器，路由能夠區(qū)分網(wǎng)絡(luò)流量、協(xié)議特寫(xiě)的標(biāo)準(zhǔn)，路由在其端口具有區(qū)分分組和限制分組的能力叫作分組過(guò)濾。因此，過(guò)濾路由器也稱(chēng)作分組過(guò)濾路由器（Packet-filtering Firewall）。 分組過(guò)濾器安裝在路由器上，當(dāng)然PC機(jī)上也可以安裝包過(guò)濾軟件。它工作在網(wǎng)絡(luò)層（IP），因此也稱(chēng)為網(wǎng)絡(luò)防火墻。分組過(guò)濾路由器對(duì)每個(gè)進(jìn)入的IP分組使用一個(gè)規(guī)則集合，然后轉(zhuǎn)發(fā)或者丟棄該分組。該路由器通常都被配置成過(guò)濾雙向的分組(來(lái)自?xún)?nèi)部或進(jìn)入內(nèi)部網(wǎng)絡(luò))。,5.2.3防火墻的類(lèi)型,5.2 防火墻技術(shù),1.包過(guò)濾路由器 （1）過(guò)濾規(guī)則 包過(guò)濾規(guī)則是基于所收到的數(shù)據(jù)包的源地址、目的地址、TCP/UDP、源端口號(hào)及目的端口號(hào)、分組出入接口、協(xié)議類(lèi)型和數(shù)據(jù)包中的各種標(biāo)志位等參數(shù)，與管理者預(yù)定的訪問(wèn)控制表（擬定一個(gè)提供接收和服務(wù)對(duì)象的清單，一個(gè)不接受訪問(wèn)或服務(wù)對(duì)象的清單）進(jìn)行比較，按所定安全政策實(shí)施允許或拒絕訪問(wèn)，決定數(shù)據(jù)是否符合預(yù)先制定的安全策略，決定數(shù)據(jù)分組的轉(zhuǎn)發(fā)或丟棄，即實(shí)施信息過(guò)濾。,5.2.3防火墻的類(lèi)型,5.2 防火墻技術(shù),1.包過(guò)濾路由器 （1）過(guò)濾規(guī)則 它實(shí)際上是控制內(nèi)部網(wǎng)絡(luò)上的主機(jī)直接訪問(wèn)外部網(wǎng)絡(luò)，而外部網(wǎng)絡(luò)上的主機(jī)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)則要受到限制，大多數(shù)在路由增設(shè)這類(lèi)功能。如圖 513所示數(shù)據(jù)包過(guò)濾路由器用于OSI七層模型中的例子。,5.2.3防火墻的類(lèi)型,5.2 防火墻技術(shù),1.包過(guò)濾路由器 （1）過(guò)濾規(guī)則 典型地，分組過(guò)濾器被建立成一組規(guī)則的列表。這些規(guī)則基于與IP或TCP首部中字段的匹配。如果存在與一個(gè)規(guī)則的匹配，那條規(guī)則就會(huì)被調(diào)用來(lái)決定轉(zhuǎn)發(fā)規(guī)則還是丟棄規(guī)則。如果和任何規(guī)則都不能匹配，那就采取一個(gè)默認(rèn)動(dòng)作。 兩個(gè)默認(rèn)策略是可能的： 默認(rèn)=丟棄：沒(méi)有明確允許的就被禁止。 默認(rèn)=轉(zhuǎn)發(fā)：沒(méi)有明確禁止的就是允許。,5.2.3防火墻的類(lèi)型,5.2 防火墻技術(shù),1.包過(guò)濾路由器 （1）過(guò)濾規(guī)則 表5-5至表5-9給出某個(gè)防火墻的一些分組過(guò)濾規(guī)則集合的例子。在每個(gè)集合中，規(guī)則是自頂向下應(yīng)用的。字段中的“*”是一個(gè)匹配所有信息的通配符指示符，假設(shè)防火墻執(zhí)行的是默認(rèn)=丟棄的策略。 表5-5,5.2.3防火墻的類(lèi)型,5.2 防火墻技術(shù),1.包過(guò)濾路由器 （1）過(guò)濾規(guī)則 表5-5 表 55所示的規(guī)則是，允許的來(lái)自其它主機(jī)的郵件進(jìn)入端口25（用于SMTP輸入），但只是到網(wǎng)關(guān)主機(jī)OUR-GW。而來(lái)自特定外部主機(jī)SPIGOT的郵件要被阻塞，因?yàn)槟莻€(gè)主機(jī)有在電子郵件報(bào)文中發(fā)送大規(guī)模文件的歷史。,5.2.3防火墻的類(lèi)型,5.2 防火墻技術(shù),1.包過(guò)濾路由器 （1）過(guò)濾規(guī)則 表5-6 表 56所示的規(guī)則顯式說(shuō)明是默認(rèn)策略。所有規(guī)則集合都是將這個(gè)規(guī)則隱含地作為最后一條規(guī)則。,5.2.3防火墻的類(lèi)型,5.2 防火墻技術(shù),1.包過(guò)濾路由器 （1）過(guò)濾規(guī)則 表5-7 表 57所示規(guī)則說(shuō)明，任何內(nèi)部主機(jī)都可以向外界發(fā)送郵件。目的端口為25的TCP分組被路由到目的機(jī)器上的SMTP服務(wù)器。這條規(guī)則的問(wèn)題在于使用端口25作為SMTP接收者只是默認(rèn)的；外部的機(jī)器可能配置成將某個(gè)其他應(yīng)用連接到端口25。當(dāng)這個(gè)規(guī)則寫(xiě)下后，攻擊者就可以通過(guò)發(fā)送TCP源端口號(hào)為25的分組來(lái)獲得內(nèi)部機(jī)器的訪問(wèn)權(quán)。,5.2.3防火墻的類(lèi)型,5.2 防火墻技術(shù),1.包過(guò)濾路由器 （1）過(guò)濾規(guī)則 表5-8 表中規(guī)則說(shuō)明，允許源IP地址是指定的內(nèi)部主機(jī)中的一個(gè),并且目的TCP 端口號(hào)為25的IP分組進(jìn)入；并允許源端口號(hào)為25且TCP報(bào)文段的ACK標(biāo)記被置位的分組進(jìn)入。規(guī)則利用了TCP連接的一個(gè)特征。一旦建立連接，另一方發(fā)送的確認(rèn)報(bào)文段中的TCP報(bào)文段的ACK標(biāo)記會(huì)被置位。,5.2.3防火墻的類(lèi)型,5.2 防火墻技術(shù),1.包過(guò)濾路由器 （1）過(guò)濾規(guī)則 表5-9 表中的規(guī)則是處理FTP連接的一種方法。對(duì)于FTP使用了兩個(gè)TCP連接：建立文件傳輸?shù)目刂七B接和用于實(shí)際文件傳輸?shù)臄?shù)據(jù)連接。數(shù)據(jù)連接使用了為這個(gè)傳輸動(dòng)態(tài)分配的不同的端口號(hào)。大多數(shù)服務(wù)器，因此也是大多數(shù)的攻擊目標(biāo)，存在于低編號(hào)的端口；大多數(shù)的輸出調(diào)用傾向于使用更高編號(hào)的端口，典型1023以上。,5.2.3防火墻的類(lèi)型,5.2 防火墻技術(shù),1.包過(guò)濾路由器 （2）對(duì)分組過(guò)濾路由器攻擊及安全策略 1）IP地址欺騙 入侵者傳輸來(lái)自外部的、源站IP地址字段包含了一個(gè)內(nèi)部主要機(jī)地址的分組。攻擊者希望使用欺騙地址將允許其滲透到配置了簡(jiǎn)單的源地址安全性的系統(tǒng)里，其中來(lái)自指定的可信任的內(nèi)部主機(jī)的分組將被接受。對(duì)策是丟棄那些從外部接口到達(dá)的，但卻具有一個(gè)內(nèi)部源地址的分組。 2）源站選路攻擊 源站說(shuō)明了分組穿過(guò)Internet應(yīng)該采用的路由，希望可以繞過(guò)不對(duì)源路由選擇信息進(jìn)行分析的安全檢查。對(duì)策是丟棄所有使用這個(gè)選項(xiàng)的分組。,5.2.3防火墻的類(lèi)型,5.2 防火墻技術(shù),1.包過(guò)濾路由器 （2）對(duì)分組過(guò)濾路由器攻擊及安全策略 3）微小分片攻擊 入侵者使用IP分片選項(xiàng)來(lái)創(chuàng)建及其小的分片，并且迫使TCP首部信息進(jìn)入一個(gè)單獨(dú)的分組分片。這種攻擊被設(shè)計(jì)成用來(lái)逃避依賴(lài)于TCP首都信息的過(guò)濾規(guī)則。攻擊者希望只有第一個(gè)分片被過(guò)濾路由器檢查，剩余的分片就會(huì)被傳遞過(guò)去。通過(guò)丟棄所有協(xié)議類(lèi)型，是TCP并且IP分片偏移等于1的分組打敗微小分片攻擊方法。,5.2.3防火墻的類(lèi)型,5.2 防火墻技術(shù),1.包過(guò)濾路由器 （3）特點(diǎn) 分組過(guò)濾路由器優(yōu)點(diǎn)： 簡(jiǎn)單、方便、速度快、透明性好，成本較低，對(duì)網(wǎng)絡(luò)性能影響不大。 分組過(guò)濾路由器缺點(diǎn)： 缺乏用戶(hù)日志（log）和審計(jì)信息（audit），缺乏用戶(hù)認(rèn)證機(jī)制，不具備登錄和報(bào)告性能，不能進(jìn)行審核管理，且過(guò)濾規(guī)則的完備性難以得到檢驗(yàn)，復(fù)雜過(guò)濾規(guī)則的管理很困難。許多路由對(duì)欺騙性攻擊很脆弱。它不能分辨好的和壞的用戶(hù)，只能區(qū)分好的分組和壞的分組。 過(guò)多地嚴(yán)格強(qiáng)調(diào)過(guò)濾的時(shí)候，路由器的性能會(huì)迅速下降（取決于預(yù)期的流入流量有多少）。,5.2.3防火墻的類(lèi)型,5.2 防火墻技術(shù),2.代理服務(wù)器 （1）代理 代理服務(wù)器型防火墻（Proxy Service Firewall）通過(guò)在主機(jī)上運(yùn)行代理的服務(wù)程序，直接對(duì)特定的應(yīng)用層進(jìn)行服務(wù)，因此也稱(chēng)為應(yīng)用級(jí)網(wǎng)關(guān)。它擔(dān)任應(yīng)用級(jí)通信量的中繼，應(yīng)用網(wǎng)關(guān)與ISO七層模型如圖 514所示，其核心是運(yùn)行于防火墻主機(jī)上的代理服務(wù)器進(jìn)程，代理網(wǎng)絡(luò)用戶(hù)完成TCP/IP功能。,5.2.3防火墻的類(lèi)型,5.2 防火墻技術(shù),2.代理服務(wù)器 （1）代理,5.2.3防火墻的類(lèi)型,5.2 防火墻技術(shù),應(yīng)用網(wǎng)關(guān)與OSI七層模型,2.代理服務(wù)器 （1）代理 在堡壘主機(jī)中設(shè)置一個(gè)負(fù)責(zé)與外部網(wǎng)絡(luò)進(jìn)行郵件交互的外部SMTP服務(wù)器轉(zhuǎn)發(fā)； 外部網(wǎng)絡(luò)發(fā)到內(nèi)部網(wǎng)絡(luò)的郵件由外部SMTP服務(wù)器送到內(nèi)部SMTP服務(wù)器處理，而不直達(dá)內(nèi)部主機(jī)。這樣作為代理的堡壘主機(jī)就不必處理內(nèi)部別名和內(nèi)部郵件配置，簡(jiǎn)化了堡壘主機(jī)的配置工作。 在內(nèi)邊界路由器中設(shè)置端口變換功能，將向內(nèi)的郵件通信變換到內(nèi)部約定的非標(biāo)準(zhǔn)端口，向外的郵件通過(guò)變換成標(biāo)準(zhǔn)端口。攻擊者即使攻破了外部的郵件系統(tǒng)，也仍然被內(nèi)部路由器所阻擋，無(wú)法通過(guò)SMTP連接攻擊內(nèi)部系統(tǒng)。,5.2.3防火墻的類(lèi)型,5.2 防火墻技術(shù),2.代理服務(wù)器 （1）代理 例如,SMTP代理。因?yàn)镾MTP是一個(gè)存儲(chǔ)轉(zhuǎn)發(fā)協(xié)議，每一個(gè)SMTP服務(wù)器都有可能為其他服務(wù)器轉(zhuǎn)發(fā)郵件，所以特別適合于進(jìn)行代理。為了便于內(nèi)外信息交換和信息的安全管理，SMTP的配置往往使用多服務(wù)器的方式，如圖所示。,5.2.3防火墻的類(lèi)型,5.2 防火墻技術(shù),2.代理服務(wù)器 （2）代理服務(wù)器特點(diǎn) 優(yōu)點(diǎn)：代理服務(wù)器比分組過(guò)濾器更安全。這種防火墻能完全控制網(wǎng)絡(luò)信息的交換、控制會(huì)話(huà)過(guò)程，具有靈活性和安全性，但可能影響網(wǎng)絡(luò)的性能，對(duì)用戶(hù)不透明，且對(duì)每一種服務(wù)器都要設(shè)計(jì)1個(gè)代理模塊，應(yīng)用層網(wǎng)關(guān)能讓網(wǎng)絡(luò)管理員對(duì)服務(wù)進(jìn)行全面的控制。 在應(yīng)用層對(duì)所有進(jìn)入的通信量記錄日志和審計(jì)也很容易。支持可靠的用戶(hù)認(rèn)證并提供詳細(xì)的注冊(cè)信息； 用于應(yīng)用層的過(guò)濾規(guī)則相對(duì)于包過(guò)濾路由器來(lái)說(shuō)更容易配置和測(cè)試。,5.2.3防火墻的類(lèi)型,5.2 防火墻技術(shù),2.代理服務(wù)器 （1）代理服務(wù)器特點(diǎn) 缺點(diǎn)：是每個(gè)連接上增加了額外的處理負(fù)載。從效果上看，最終用戶(hù)之間存在兩個(gè)串接的連接，網(wǎng)關(guān)處于串接點(diǎn)，網(wǎng)關(guān)必須在兩個(gè)方向上檢查和轉(zhuǎn)發(fā)所有通信量。要求用戶(hù)改變自己的行為，或者在訪問(wèn)代理服務(wù)的每個(gè)系統(tǒng)上安裝特殊的軟件。 例如，透過(guò)應(yīng)用層網(wǎng)關(guān)Telnet訪問(wèn)要求用戶(hù)通過(guò)二步而不是一步來(lái)建立連接。不過(guò)，特殊的端系統(tǒng)軟件可以讓用戶(hù)在Telnet命令中指定目標(biāo)主機(jī)而不是應(yīng)用層網(wǎng)關(guān)來(lái)應(yīng)用層網(wǎng)關(guān)透明。,5.2.3防火墻的類(lèi)型,5.2 防火墻技術(shù),3.電路層網(wǎng)關(guān) 電路層網(wǎng)關(guān)（Circuit level Gateways ）在網(wǎng)絡(luò)的傳輸層上實(shí)施訪問(wèn)策略，這可能是一個(gè)單獨(dú)的系統(tǒng)或者可能是一個(gè)應(yīng)用網(wǎng)關(guān)為特定應(yīng)用程序完成的專(zhuān)門(mén)功能，電路層網(wǎng)關(guān)與OSI七層模型如圖所示。,5.2.3防火墻的類(lèi)型,5.2 防火墻技術(shù),3.電路層網(wǎng)關(guān) 網(wǎng)關(guān)建立了兩個(gè)TCP連接，一個(gè)是在網(wǎng)關(guān)本身和內(nèi)部主機(jī)上的一個(gè)TCP用戶(hù)之間，一個(gè)是在網(wǎng)關(guān)和外部主機(jī)上的一個(gè)TCP用戶(hù)之間。一旦兩個(gè)連接建立起來(lái)了，網(wǎng)關(guān)的中繼程序從一個(gè)連接向另個(gè)連接轉(zhuǎn)發(fā)TCP報(bào)文段，而不檢查其內(nèi)容。安全功能體現(xiàn)在決定哪些連接是允許的。電路級(jí)網(wǎng)關(guān)典型應(yīng)用場(chǎng)合是系統(tǒng)管理員信任內(nèi)部用戶(hù)的情況。即是在內(nèi)、外網(wǎng)絡(luò)主機(jī)之間建立1個(gè)虛擬電路，進(jìn)行通信，相當(dāng)于在防火墻上直接開(kāi)了個(gè)口子進(jìn)行傳輸。在這種配置中，網(wǎng)關(guān)可能為了禁止功能而導(dǎo)致檢查進(jìn)入的應(yīng)用數(shù)據(jù)的開(kāi)支，但不會(huì)導(dǎo)致輸出數(shù)據(jù)上的處理開(kāi)支。,5.2.3防火墻的類(lèi)型,5.2 防火墻技術(shù),在同一結(jié)構(gòu)的兩個(gè)部分之間，或者在同一內(nèi)部網(wǎng)的兩個(gè)不同組織結(jié)構(gòu)之間建立的防火墻,被稱(chēng)為內(nèi)部防火墻。 因?yàn)榫W(wǎng)絡(luò)中每一個(gè)用戶(hù)所需要的服務(wù)和信息經(jīng)常是不一樣的，它們對(duì)安全保障的要求也不一樣，所以可以將網(wǎng)絡(luò)組織結(jié)構(gòu)的一部分與其余站點(diǎn)隔離開(kāi)。例如，財(cái)務(wù)部門(mén)與其它部門(mén)分開(kāi)，人事部門(mén)與辦公管理部門(mén)分開(kāi)等。許多用于建立外部防火墻的工具與技術(shù)也可用于建立內(nèi)部防火墻。,5.2.4 內(nèi)部防火墻,5.2 防火墻技術(shù),防火墻技術(shù)向著混合使用包過(guò)濾技術(shù)、代理服務(wù)技術(shù)和其它一些新技術(shù)方向發(fā)展。 客戶(hù)端和服務(wù)器端的應(yīng)用程序本身就支持代理服務(wù)方式。例如，許多WWW 客戶(hù)服務(wù)軟件包就具有代理能力。而許多象SOCKS這樣的軟件在運(yùn)行編譯時(shí)也支持類(lèi)代理服務(wù)。 包過(guò)濾系統(tǒng)向著更具柔性和多功能的方向發(fā)展。例如動(dòng)態(tài)包過(guò)濾系統(tǒng)中的包過(guò)濾規(guī)則可由路由器靈活、快速的來(lái)設(shè)置。一個(gè)輸出的UDP 數(shù)據(jù)包可以引起對(duì)應(yīng)的允許應(yīng)答UDP創(chuàng)立一個(gè)臨時(shí)的包過(guò)濾規(guī)則，允許其對(duì)應(yīng)的UDP包進(jìn)入內(nèi)部網(wǎng)。 Ipv6協(xié)議對(duì)防火墻的建立與運(yùn)行產(chǎn)生影響。,5.2.5防火墻的未來(lái)發(fā)展趨勢(shì),5.2 防火墻技術(shù),盡管廣泛地采用如防火墻、代理服務(wù)器、入侵檢測(cè)機(jī)制，通道控制機(jī)制等安全技術(shù)，但是由于這些技術(shù)基本都是一種邏輯機(jī)制，這對(duì)于邏輯實(shí)體（即黑客或內(nèi)部用戶(hù)）而言，是可能被操縱的，具有技術(shù)的極端復(fù)雜性與有限性，無(wú)法滿(mǎn)足某些組織(如軍隊(duì)、軍工、政府、金融研究院、電信以及企業(yè))提出的高度信息安全的要求，由此產(chǎn)生了物理隔離技術(shù)。 物理隔離技術(shù)主要思想：如果不存在與網(wǎng)絡(luò)的物理連接，網(wǎng)絡(luò)安全威脅便受到了真正的限制。,5.3 網(wǎng)絡(luò)隔離技術(shù),實(shí)現(xiàn)網(wǎng)絡(luò)隔離的最徹底的方法是安裝兩套網(wǎng)絡(luò)和計(jì)算機(jī)設(shè)備，一套對(duì)應(yīng)內(nèi)部網(wǎng)絡(luò)，另一套連結(jié)Internet，兩套網(wǎng)絡(luò)互相不干擾。工作人員在進(jìn)行不同的工作時(shí)，使用不同的網(wǎng)絡(luò)和計(jì)算機(jī)。這種實(shí)施方案存在成本高和效率低兩個(gè)問(wèn)題，不能被多數(shù)用戶(hù)接受。 要實(shí)現(xiàn)外部網(wǎng)絡(luò)(公眾信息網(wǎng))與內(nèi)部網(wǎng)絡(luò)物理隔離的目的，就必須保證做到以下幾點(diǎn)： 在物理傳輸上使內(nèi)外網(wǎng)絡(luò)隔斷 在物理輻射上隔斷內(nèi)部網(wǎng)與外部網(wǎng) 在物理存儲(chǔ)上隔斷兩個(gè)網(wǎng)絡(luò)環(huán)境,5.3 網(wǎng)絡(luò)隔離技術(shù),物理隔離技術(shù)實(shí)現(xiàn)內(nèi)外網(wǎng)信息的隔離。網(wǎng)絡(luò)物理隔離主要有以下幾種方式： 1.客戶(hù)端的物理隔離 2.集線(xiàn)器級(jí)的物理隔離 3.服務(wù)器端的物理隔離,5.3.1網(wǎng)絡(luò)物理隔離的方式,5.3 網(wǎng)絡(luò)隔離技術(shù),1.客戶(hù)端的物理隔離 這種方案用于解決網(wǎng)絡(luò)的客戶(hù)端的信息安全問(wèn)題。 在網(wǎng)絡(luò)的客戶(hù)端應(yīng)用物理隔離卡產(chǎn)品，可以使一臺(tái)工作站既可連接內(nèi)部網(wǎng)又可連接外部網(wǎng)，可在內(nèi)外網(wǎng)上分時(shí)工作，同時(shí)絕對(duì)保證內(nèi)外網(wǎng)之間的物理隔離，起到了方便工作、節(jié)約資源等目的。,5.3.1網(wǎng)絡(luò)物理隔離的方式,5.3 網(wǎng)絡(luò)隔離技術(shù),2.集線(xiàn)器級(jí)的物理隔離 集線(xiàn)器級(jí)的物理隔離方式需要與客戶(hù)端的物理隔離產(chǎn)品結(jié)合起來(lái)應(yīng)用。在客戶(hù)端的內(nèi)外雙網(wǎng)的布線(xiàn)上使用一條網(wǎng)絡(luò)線(xiàn)，通過(guò)遠(yuǎn)端切換器連接內(nèi)外雙網(wǎng)，實(shí)現(xiàn)一臺(tái)工作站連接內(nèi)外兩個(gè)網(wǎng)絡(luò)的目的，并在網(wǎng)絡(luò)布線(xiàn)上避免了客戶(hù)端要用兩條網(wǎng)絡(luò)線(xiàn)連接網(wǎng)絡(luò)。,5.3 網(wǎng)絡(luò)隔離技術(shù),5.3.1網(wǎng)絡(luò)物理隔離的方式,3.服務(wù)器端的物理隔離 服務(wù)器端的物理隔離方式是通過(guò)復(fù)雜的軟、硬件技術(shù)實(shí)現(xiàn)在服務(wù)器端的數(shù)據(jù)過(guò)濾和傳輸任務(wù)，其技術(shù)關(guān)鍵還是在同一時(shí)刻內(nèi)外網(wǎng)絡(luò)沒(méi)有物理上的數(shù)據(jù)連通，但又快速分時(shí)地處理并傳遞數(shù)據(jù)。,5.3 網(wǎng)絡(luò)隔離技術(shù),5.3.1網(wǎng)絡(luò)物理隔離的方式,物理隔離技術(shù)的發(fā)展基本可分為三個(gè)階段: 雙網(wǎng)機(jī)技術(shù)階段。 基于雙網(wǎng)線(xiàn)的安全隔離卡技術(shù)階段。 采用基于單網(wǎng)線(xiàn)的安全隔離卡加上網(wǎng)絡(luò)選擇器的技術(shù)階段。,5.3 網(wǎng)絡(luò)隔離技術(shù),5.3.2 物理隔離技術(shù)的發(fā)展,1.雙網(wǎng)機(jī)技術(shù)階段 工作原理：在一個(gè)機(jī)箱內(nèi)，設(shè)有兩塊主板、兩套內(nèi)存、兩塊硬盤(pán)，相當(dāng)于兩臺(tái)機(jī)器共用一臺(tái)顯示器。用戶(hù)通過(guò)客戶(hù)端開(kāi)關(guān)，分別選擇兩套計(jì)算機(jī)系統(tǒng)。這一代產(chǎn)品客戶(hù)端的成本很高，并且要求網(wǎng)絡(luò)布線(xiàn)為雙間線(xiàn)結(jié)構(gòu)，技術(shù)水平相對(duì)簡(jiǎn)單，目前的用戶(hù)已經(jīng)不多。,5.3 網(wǎng)絡(luò)隔離技術(shù),5.3.2 物理隔離技術(shù)的發(fā)展,1.基于雙網(wǎng)線(xiàn)的安全隔離卡技術(shù)階段 工作原理：客戶(hù)端增加一塊PCI卡，客戶(hù)端硬盤(pán)或其他存儲(chǔ)設(shè)備首先連接到該卡，然后再轉(zhuǎn)接到主板，通過(guò)該卡用戶(hù)就能控制客戶(hù)端硬盤(pán)或其他存儲(chǔ)設(shè)備。用戶(hù)在選擇硬盤(pán)的時(shí)候，同時(shí)也選擇了該卡上所對(duì)應(yīng)的網(wǎng)絡(luò)接口，連接到不同的網(wǎng)絡(luò)。該方法較第一代產(chǎn)品技術(shù)水干更高，而且大大降低了成本。但是，這一代產(chǎn)品仍然要求網(wǎng)絡(luò)布線(xiàn)采用雙網(wǎng)線(xiàn)結(jié)構(gòu)。這樣，如果用戶(hù)在客戶(hù)端交換兩個(gè)網(wǎng)絡(luò)的網(wǎng)線(xiàn)連接，內(nèi)外網(wǎng)的存儲(chǔ)介質(zhì)也就同時(shí)被交換了，因此這一代產(chǎn)品客戶(hù)端還存在較大的安全隱患。,5.3 網(wǎng)絡(luò)隔離技術(shù),5.3.2 物理隔離技術(shù)的發(fā)展,3.采用基于單網(wǎng)線(xiàn)的安全隔離卡加上網(wǎng)絡(luò)選擇器的技術(shù)階段。 客戶(hù)端依然采用類(lèi)似第二代雙網(wǎng)線(xiàn)安全隔離卡的技術(shù)，所不同的是，第三代產(chǎn)品只采用一個(gè)網(wǎng)絡(luò)接口，通過(guò)網(wǎng)線(xiàn)將不同的電平信號(hào)傳遞到網(wǎng)絡(luò)的選擇端，在網(wǎng)絡(luò)選擇端安裝網(wǎng)絡(luò)選擇器，并根據(jù)不同的電平信號(hào)，選擇不同的網(wǎng)絡(luò)連接。該類(lèi)產(chǎn)品能有效地利用用戶(hù)現(xiàn)有的單網(wǎng)線(xiàn)網(wǎng)絡(luò)環(huán)境，實(shí)現(xiàn)成本較低。由于選擇網(wǎng)絡(luò)的選擇器不在客戶(hù)端。因此系統(tǒng)的安全性有了極大提高。,5.3 網(wǎng)絡(luò)隔離技術(shù),5.3.2 物理隔離技術(shù)的發(fā)展,目前實(shí)現(xiàn)網(wǎng)絡(luò)隔離的基本技術(shù)主要有: 網(wǎng)絡(luò)安全隔離卡; 安全集線(xiàn)器技術(shù); 單主板安全隔離計(jì)算機(jī);,5.3 網(wǎng)絡(luò)隔離技術(shù),5.3.3 網(wǎng)絡(luò)隔離的基本技術(shù),1.網(wǎng)絡(luò)安全隔離卡 功能：以物理方式將一臺(tái)工作站或PC虛擬為兩部計(jì)算機(jī)，實(shí)現(xiàn)工作站的雙重狀態(tài)（安全狀態(tài)、公共狀態(tài)） ，這兩種狀態(tài)是完全隔離的，從而使一部工作站可在完全狀態(tài)下連接內(nèi)外網(wǎng)。網(wǎng)絡(luò)安全隔離卡實(shí)際上是將一臺(tái)工作站或PC的單個(gè)硬盤(pán)物理分割為兩個(gè)分區(qū)，即公共區(qū)(Public)和安全區(qū)(Secure)。這些分區(qū)容量可以由用戶(hù)指定。這樣可以使一臺(tái)工作站或PC能夠連接兩個(gè)網(wǎng)絡(luò)。,5.3 網(wǎng)絡(luò)隔離技術(shù),5.3.3 網(wǎng)絡(luò)隔離的基本技術(shù),1.網(wǎng)絡(luò)安全隔離卡 做法：利用S1S2轉(zhuǎn)換開(kāi)關(guān)進(jìn)行網(wǎng)絡(luò)轉(zhuǎn)換，并利用可移動(dòng)磁盤(pán)來(lái)存鍺數(shù)據(jù)。連接到安全網(wǎng)絡(luò)時(shí)必須插入安全硬盤(pán)。連接到公共網(wǎng)絡(luò)時(shí)必須進(jìn)行操作：按正常方式退出操作系統(tǒng)；關(guān)閉計(jì)算機(jī)；將安全硬盤(pán)轉(zhuǎn)換為公共硬盤(pán)；切換S1S2轉(zhuǎn)換開(kāi)關(guān)到公共網(wǎng)絡(luò)；啟動(dòng)計(jì)算機(jī)，在公共區(qū)內(nèi)繼續(xù)工作。,5.3 網(wǎng)絡(luò)隔離技術(shù),5.3.3 網(wǎng)絡(luò)隔離的基本技術(shù),網(wǎng)絡(luò)安全隔離卡示意,2.網(wǎng)絡(luò)安全隔離集線(xiàn)器 網(wǎng)絡(luò)安全隔離集線(xiàn)器系統(tǒng)可以讓所有用戶(hù)（使用以太網(wǎng)、快速以太網(wǎng)或令牌環(huán)網(wǎng)連接到兩個(gè)物理獨(dú)立的網(wǎng)絡(luò)用戶(hù)），能使用現(xiàn)有的單一布線(xiàn)系統(tǒng)，節(jié)約了費(fèi)用和精力。 網(wǎng)絡(luò)安全隔離集線(xiàn)器是一種多路開(kāi)關(guān)切換設(shè)備，它與網(wǎng)絡(luò)安全隔離卡配合使用。它具有標(biāo)準(zhǔn)的