第3章 網(wǎng)絡(luò)防御

第3章信息系統(tǒng)隔離技術(shù)隔離就是在內(nèi)部系統(tǒng)與對外連接通道上設(shè)置阻塞點(diǎn)，以便對攻擊者進(jìn)行監(jiān)視和控制，有效地維持被保護(hù)網(wǎng)絡(luò)的邊界安全。按照《國家信息化領(lǐng)導(dǎo)小組關(guān)于我國電子政務(wù)建設(shè)的指導(dǎo)意見》，“電子政務(wù)網(wǎng)絡(luò)由政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)構(gòu)成，兩網(wǎng)之間物理隔離，政務(wù)外網(wǎng)與Internet之間邏輯隔離”，網(wǎng)絡(luò)隔離技術(shù)從大的方面看，可以分為邏輯隔離（主要指防火墻）和物理隔離（主要指網(wǎng)閘）。本章主要介紹它們及其相關(guān)技術(shù)。信息系統(tǒng)隔離技術(shù)3.1數(shù)據(jù)過濾技術(shù)3.2網(wǎng)絡(luò)地址轉(zhuǎn)換3.3代理技術(shù)3.4網(wǎng)絡(luò)防火墻3.5網(wǎng)絡(luò)的物理隔離技術(shù)3.6計(jì)算機(jī)系統(tǒng)的電磁防護(hù)3.1.1數(shù)據(jù)過濾技術(shù)概述1.數(shù)據(jù)包及其結(jié)構(gòu)在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)是從應(yīng)用程序那里遞交來的。應(yīng)用程序遞交給網(wǎng)絡(luò)要傳輸?shù)臄?shù)據(jù)后，網(wǎng)絡(luò)就要逐層向下，轉(zhuǎn)交給下面的一層去實(shí)施，每交到下一層，就要按照本層的協(xié)議要求進(jìn)行一次打包，形成不同協(xié)議層中的數(shù)據(jù)包（Packet），直到物理網(wǎng)絡(luò)。圖3.1表明在TCP/IP網(wǎng)絡(luò)中數(shù)據(jù)包的封裝與解包過程。圖中的虛箭頭為發(fā)送端的數(shù)據(jù)封裝過程，實(shí)箭頭表示接收端的數(shù)據(jù)解包過程。圖3.1TCP/IP網(wǎng)絡(luò)中數(shù)據(jù)包的封裝與解包圖中的虛箭頭為發(fā)送端的數(shù)據(jù)封裝過程；數(shù)據(jù)包體傳輸層包頭包體網(wǎng)絡(luò)層包頭包體鏈路層包頭應(yīng)用層SMTP,Telnet,FTPTCP,UDP,ICMP傳輸層IP網(wǎng)絡(luò)層網(wǎng)絡(luò)接口層ATM,Ethernet等包的封裝數(shù)據(jù)解包實(shí)箭頭表示接收端的數(shù)據(jù)解包過程。應(yīng)當(dāng)注意，包過濾是根據(jù)數(shù)據(jù)包的特征進(jìn)行的。其中，主要根據(jù)數(shù)據(jù)包頭的一些字段的特征進(jìn)行。同時(shí)，不同的協(xié)議所規(guī)定的包頭格式不同。因此在制定過濾規(guī)則前，應(yīng)當(dāng)充分了解數(shù)據(jù)包的格式。前面圖2.8介紹了TCP數(shù)據(jù)報(bào)的格式，圖2.9介紹了用于以太網(wǎng)的ARP分組格式，下面在圖3.2中，還列出了其他一些常用的數(shù)據(jù)包的格式，供本書后面的討論中使用。圖3.2其它一些數(shù)據(jù)包的格式類型碼代碼校驗(yàn)和首部其余部分?jǐn)?shù)據(jù)部分0…78…15版本頭標(biāo)長服務(wù)類型總

長標(biāo)

識(shí)標(biāo)志片偏移生存時(shí)間協(xié)議報(bào)頭校驗(yàn)和源IP地址目的IP地址IP分組選項(xiàng)填充

數(shù)

據(jù)0…34…78…1516…1819…2324…31（a）IP分組格式（b）UDP數(shù)據(jù)報(bào)格式（c）ICMP分組的格式數(shù)據(jù)包中可以體現(xiàn)數(shù)據(jù)包特征的有關(guān)字段（1）源地址（SourceAddress）和目的地址（DestinationAddress）它們各表明數(shù)據(jù)包的源IP地址和目標(biāo)IP目的地址。根據(jù)地址，還可以判斷出數(shù)據(jù)流的方向：是由外部網(wǎng)絡(luò)流入內(nèi)部網(wǎng)絡(luò)——往內(nèi)（流入），還是由內(nèi)部網(wǎng)絡(luò)流入外部網(wǎng)絡(luò)——往外（流出）。（2）標(biāo)識(shí)符是發(fā)送方分配的一個(gè)獨(dú)一無二的編號，用于標(biāo)識(shí)同一數(shù)據(jù)報(bào)中的各分組，以便組裝。（3）標(biāo)志F（Flag）F共占3位：第1位恒為0；第2位為0時(shí)是可分片，為1時(shí)是不可分片；第3位為0時(shí)是最后報(bào)片，為1時(shí)是非最后報(bào)片。（4）片偏移量FO（FragmentOffset）FO占13位，用以標(biāo)明當(dāng)前段片在初始IP分組中的位置，目的主機(jī)可以根據(jù)FO來重新組合IP分組。（5）源端口（SourcePort）和目的端口（DestinationPort）在TCP和UDP數(shù)據(jù)包中，源端口和目的端口分別表示本地通信端口和地通信端口。端口號是按照協(xié)議類型分配的，所以端口號也表明了所傳輸?shù)臄?shù)據(jù)包服務(wù)的協(xié)議類型。（6）協(xié)議Prot（Protocol）在IP數(shù)據(jù)包中，“協(xié)議字段”用以標(biāo)識(shí)接收的IP分組中的數(shù)據(jù)的高層（傳輸層）協(xié)議。高層協(xié)議號由TCP/IP協(xié)議中央權(quán)威機(jī)構(gòu)NIC（NetworkInformationCenter）分配，如:1——控制報(bào)文協(xié)議ICMP，6——傳輸控制協(xié)議TCP，8——外部網(wǎng)關(guān)協(xié)議EGP，17——用戶數(shù)據(jù)抱協(xié)議UDP，29——傳輸層協(xié)議第4類ISO-TP4。（7）服務(wù)類型ToS（TypeofService）在IP數(shù)據(jù)包中，ToS描述IP分組所希望獲得的服務(wù)質(zhì)量，占8位，包括：低延遲、高吞吐量、高可靠性，各占1位；優(yōu)先級，共8級，占3位；未用2位。（8）數(shù)據(jù)包內(nèi)容前面的7個(gè)字段都來自數(shù)據(jù)包頭中，而數(shù)據(jù)內(nèi)容則是來自數(shù)據(jù)包體中。如數(shù)據(jù)內(nèi)容中一些關(guān)鍵詞可以代表數(shù)據(jù)內(nèi)容的某一方面的特征。對數(shù)據(jù)包內(nèi)容的抽取，將會(huì)形成依據(jù)內(nèi)容的包過濾規(guī)則。這是目前包過濾技術(shù)研究的一個(gè)重要方面。表3.1列出了RFC1349[Almquist1992]對于不同應(yīng)用建議的ToS值。表3.1RFC1349[Almquist1992]對于不同應(yīng)用建議的ToS值應(yīng)用程序最小時(shí)延最大吞吐量最高可靠性最小費(fèi)用十六進(jìn)制值Telnet/Rlogin10000x10FTP

控制10000x10

數(shù)據(jù)01000x08

任意塊數(shù)據(jù)01000x08TFTP10000x10SMTP

命令10000x10

數(shù)據(jù)01000x08DNS

UDP查詢10000x10

TCP查詢00000x00

區(qū)域傳輸01000x08ICMP

差錯(cuò)00000x00

查詢00000x00

任何IGP00100x04SNMP00100x04BOOTP00000x00NNTP00010x022.數(shù)據(jù)包過濾基本準(zhǔn)則最早的包過濾是在路由器上進(jìn)行的。通過對路由表的配置，來決定數(shù)據(jù)包是否符合過濾規(guī)則。數(shù)據(jù)包的過濾規(guī)則由一些規(guī)則邏輯描述：一條過濾規(guī)則規(guī)定了允許數(shù)據(jù)包流進(jìn)或流出內(nèi)部網(wǎng)絡(luò)的一個(gè)條件。在制定了數(shù)據(jù)包過濾規(guī)則后，對于每一個(gè)數(shù)據(jù)包，路由器會(huì)從第一條規(guī)則開始諸條進(jìn)行檢查，最后決定該數(shù)據(jù)包是否符合過濾邏輯。數(shù)據(jù)包規(guī)則的應(yīng)用有兩種策略：默認(rèn)接受：一切未被禁止的，就是允許的。即除明確指定禁止的數(shù)據(jù)包，其他都是允許通過的。這也稱為“黑名單”策略。默認(rèn)拒絕：一切未被允許的，就是禁止的。即除明確指定通過的數(shù)據(jù)包，其他都是被禁止的。這也稱為“白名單”策略。 從安全的角度，默認(rèn)拒絕應(yīng)該更可靠。 此外，包過濾還有禁入和禁出的區(qū)別。前者不允許指定的數(shù)據(jù)包由外部網(wǎng)絡(luò)流入內(nèi)部網(wǎng)絡(luò)，后者不允許指定的數(shù)據(jù)包由內(nèi)部網(wǎng)絡(luò)流入外部網(wǎng)絡(luò)。建立數(shù)據(jù)包過濾規(guī)則的大致步驟如下：安全需求分析，確定安全策略：根據(jù)網(wǎng)絡(luò)的具體情況，確定需要保護(hù)什么，需要提供什么服務(wù)，進(jìn)一步明確所允許和禁止的任務(wù)。將安全策略轉(zhuǎn)化為數(shù)據(jù)包分組字段的邏輯表達(dá)式。用防火墻提供的過濾規(guī)則語法描述過濾邏輯。按照過濾邏輯對路由器進(jìn)行設(shè)置。3.1.2數(shù)據(jù)包的地址過濾策略1.地址過濾策略概述按照地址進(jìn)行過濾是最簡單的過濾方式，它的過濾規(guī)則只對數(shù)據(jù)包的源地址、目標(biāo)地址和地址偏移量進(jìn)行判斷，這在路由器上是非常容易配置的。對于信譽(yù)不好或內(nèi)容不宜并且地址確定的主機(jī)，用這種策略通過簡單配置，就可以將之拒之門外。但是，對于攻擊，尤其是地址欺騙攻擊的防御，過濾規(guī)則的配置就要復(fù)雜多了。下面分幾種情形分別考慮。（1）IP源地址欺騙攻擊對于攻擊者偽裝內(nèi)部用戶的IP地址攻擊，可以按照下面的原則配置過濾規(guī)則：如果發(fā)現(xiàn)具有內(nèi)部地址的數(shù)據(jù)包到達(dá)路由器的外部接口，就將其丟棄。顯然，這種規(guī)則對于外部主機(jī)冒充另外一臺(tái)主機(jī)的攻擊則無能為力。（2）源路由攻擊攻擊者有時(shí)為了躲過網(wǎng)絡(luò)的安全設(shè)施，要為數(shù)據(jù)包指定一個(gè)路由，這條路由可以使數(shù)據(jù)包以不期望路徑到達(dá)目標(biāo)。對付這種攻擊的過濾規(guī)則是丟棄所有含有源路由的數(shù)據(jù)包。（3）小分段攻擊當(dāng)一個(gè)IP包太長時(shí)，就要對其進(jìn)行分片傳輸。分組后，傳輸層的首部只出現(xiàn)在IP層的第1片中。攻擊者利用IP分片的這一特點(diǎn)，往往會(huì)建立極小的分片，希望過濾路由器只檢查第1片，而忽略后面的分組。對付小分段攻擊的策略是丟棄FO為1的TCP、UDP數(shù)據(jù)包。2.基于地址的過濾規(guī)則的設(shè)計(jì)例3.1.1某公司有一B類網(wǎng)（123.45）。該網(wǎng)的子網(wǎng)（/24）有一合作網(wǎng)絡(luò)（135.79）。管理員希望：（1）禁止一切來自Internet的對公司內(nèi)網(wǎng)的訪問；（2）允許來自合作網(wǎng)絡(luò)的所有子網(wǎng)（/16）訪問公司的子網(wǎng)（/24）；（3）禁止對合作網(wǎng)絡(luò)的子網(wǎng)（/24）的訪問權(quán)（除對全網(wǎng)開放的特定子網(wǎng)外）。為簡單起見，只考慮從合作網(wǎng)絡(luò)流向公司的數(shù)據(jù)包，對稱地處理逆向數(shù)據(jù)包只需互換規(guī)則行中源地址和目標(biāo)地址即可。表3.2該公司網(wǎng)絡(luò)的包過濾規(guī)則表中規(guī)則C是默認(rèn)規(guī)則。規(guī)

則源

地

址目

的

地

址過濾操作A/16/24允許B/24/16拒絕C/0/0拒絕數(shù)據(jù)包源地址目的地址目標(biāo)行為操作ABC行為操作BAC行為操作1拒絕拒絕(B)拒絕(B)2允許允許(A)拒絕(B)3允許允許(A)允許(A)4拒絕拒絕(C)拒絕(C)表3.3使用樣本數(shù)據(jù)包測試結(jié)果3.3是使用一些樣本數(shù)據(jù)包對表3.2所示過濾規(guī)則的測試結(jié)果。表3.3使用樣本數(shù)據(jù)包測試結(jié)果由表3.3可見，按ABC的規(guī)則順序，能夠得到想要的操作結(jié)果；而按BAC的規(guī)則順序則得不到預(yù)期的操作結(jié)果，原本允許的數(shù)據(jù)包2被拒絕了。數(shù)據(jù)包源地址目的地址目標(biāo)行為操作ABC行為操作BAC行為操作1拒絕拒絕(B)拒絕(B)2允許允許(A)拒絕(B)3允許允許(A)允許(A)4拒絕拒絕(C)拒絕(C)仔細(xì)分析可以發(fā)現(xiàn)，表3.2中用來禁止合作網(wǎng)的特定子網(wǎng)的訪問規(guī)則B是不必要的。它正是在BAC規(guī)則集中造成數(shù)據(jù)包2被拒絕的原因。如果刪除規(guī)則B，得到表3.4所示的行為操作。表3.4刪除規(guī)則B后的行為操作這才是想要的結(jié)果。由此得出兩點(diǎn)結(jié)論：數(shù)據(jù)包源地址目的地址目標(biāo)行為操作AC行為操作1拒絕拒絕(C)2允許允許(A)3允許允許(A)4拒絕拒絕(C)正確地制定過濾規(guī)則是困難的；過濾規(guī)則的重新排序使得正確地指定規(guī)則變得越發(fā)困難。3.1.3數(shù)據(jù)包的服務(wù)過濾策略按服務(wù)進(jìn)行過濾，就是根據(jù)TCP/UDP的端口號制定過濾策略。但是，由于源端口是可以偽裝的，所以基于源端口的過濾是會(huì)有風(fēng)險(xiǎn)的。同時(shí)還需要確認(rèn)內(nèi)部服務(wù)確實(shí)是在相應(yīng)的端口上。下面進(jìn)行一些分析。（1）關(guān)于外部服務(wù)的端口號如果過濾規(guī)則完全依賴于外部主機(jī)的端口號，例如允許內(nèi)部主機(jī)向外部服務(wù)器的郵件發(fā)送服務(wù)，而且TCP的端口25就是常規(guī)郵件（SMTP）端口時(shí)，這樣的配置是安全的。但是，包過濾路由器是無法控制外部主機(jī)上的服務(wù)確實(shí)在常規(guī)的端口上，攻擊者往往會(huì)通過偽造，利用端口25向內(nèi)部主機(jī)發(fā)送其他應(yīng)用程序（非常規(guī)郵件）的數(shù)據(jù)包，建立連接，進(jìn)行非授權(quán)訪問。這時(shí)，只能禁止25端口對于內(nèi)部主機(jī)的訪問。因?yàn)閮?nèi)部主機(jī)對這個(gè)外部端口不能信任。（2）關(guān)于內(nèi)部主機(jī)的源端口號從內(nèi)部到外部的TCP/UDP連接中，內(nèi)部主機(jī)的源端口一般采用大于1024的隨機(jī)端口。為此，對端口號大于1024的所有返回到內(nèi)部的數(shù)據(jù)包都要允許。對此，就需要辨認(rèn)端口號大于1024的數(shù)據(jù)包中哪些是非法的。對于TCP數(shù)據(jù)包來說，可以通過flag位辨認(rèn)哪些是來自外部的連接請求。但是UDP是無連接的，沒有這樣的flag位可使用，只能唯一地辨認(rèn)端口號。所以允許UDP協(xié)議對外訪問會(huì)帶來風(fēng)險(xiǎn)。因?yàn)榉祷氐臄?shù)據(jù)包上的端口號有可能是攻擊者偽造的。當(dāng)請求端口和目的端口都是固定的時(shí)，這個(gè)問題才能解決。例3.1.2

表3.5與表3.6就是否考慮數(shù)據(jù)包的源端口進(jìn)行對照。規(guī)則表3.5由于未考慮到數(shù)據(jù)包的源端口，出現(xiàn)了兩端所有端口號大于1024的端口上的非預(yù)期的作用。而規(guī)則表3.6考慮到數(shù)據(jù)包的源端口，所有規(guī)則限定在25號端口上，故不可能出現(xiàn)兩端端口號均在1024以上的端口上連接的交互。規(guī)則方向類型源地址目的地址目的端口行為操作A入TCP外內(nèi)25允許B出TCP內(nèi)外>=1024允許C出TCP內(nèi)外25允許D入TCP外內(nèi)>=1024允許E出/入任何任何任何任何禁止規(guī)則方向類型源地址目的地址源端口目的端口行為操作A入TCP外內(nèi)>=102425允許B出TCP內(nèi)外25>=1024允許C出TCP內(nèi)外>=102425允許D入TCP外內(nèi)25>=1024允許E出/入任何任何任何任何任何禁止表3.5未考慮源端口時(shí)的包過濾規(guī)則表3.6考慮了源端口時(shí)的包過濾規(guī)則3.1.4數(shù)據(jù)包的狀態(tài)檢測過濾策略使用C/S模式的數(shù)據(jù)通信具有連接狀態(tài)。最典型的是TCP連接。如圖3.3所示，TCP連接具有11個(gè)狀態(tài)：

CLOSED、LISTEN、SYS_SENT、SYS_REVD、FIN_WAIT_1、FIE_WAIT_2、ESTAB、CLOSE_WAIT、LAST_ACK、CLOSING、TIME_WAIT。圖3.3TCP協(xié)議狀態(tài)轉(zhuǎn)換圖PassiveOpen：本地用戶的被動(dòng)打開連接rcv:本地TCP在引發(fā)事件中收到TCP控制消息ActiveOpen：本地用戶的主動(dòng)打開連接send:本地TCP在結(jié)果動(dòng)作中發(fā)出TCP控制消息CLOSE:關(guān)閉連接請求 x:無動(dòng)作createTCB:本地TCP創(chuàng)建了對應(yīng)虛電路的協(xié)議控制塊；createTCB:本地TCP撤消TCP協(xié)議控制塊并結(jié)束通信連接；Timeout=2MSL:本地TCP等待超時(shí)2MSL（2倍的最大段生存期）；CLOSEDLISTENESTABCLOSINGTIMEWAITCLOSEDFINWAIT_1CLOSEWAITLAST_ACKSYSSENTSYSREVDpassiveOPENcreateTCBFINWAIT_2CLOSEdeleteTCBCLOSEdeleteTCBactiveOPENcreateTCBsendSYNSENDsendSYNrcvSYNsendSYN,ACKrcvSYNsendACKrcvSYN,ACKsendACKrcvACKofSYNxCLOSEsendFINCLOSEsendFINrcvFINsendACKCLOSEsendFINrcvFINsendACKrcvACKofFINxrcvFINsendACKrcvACKofFINxrcvACKofFINxTimeout=2MSLdeleteTCBTCP連接狀態(tài)的特征由圖3.3描述可以看出TCP連接狀態(tài)的如下特征：TCP連接是有狀態(tài)的，連接進(jìn)入不同的階段具有不同的狀態(tài)；TCP連接狀態(tài)的轉(zhuǎn)換要按一定的順序進(jìn)行，不可隨意改變；在TCP連接中客戶機(jī)與服務(wù)器的狀態(tài)不相同，如客戶機(jī)不能進(jìn)入LISTEN狀態(tài)，服務(wù)器不可能進(jìn)入SYN_SEND狀態(tài)；TCP包中有6個(gè)標(biāo)志位：FIN、SYS、RST、PSH、ACK、URG，其中一些不能同時(shí)存在，如SYS不能和FIN、RST、PSH同時(shí)存在。 這些特征就是設(shè)置狀態(tài)檢測包過濾規(guī)則的基礎(chǔ)。狀態(tài)信息可以從數(shù)據(jù)包中的源地址、目的地址、協(xié)議類型、連接狀態(tài)、超時(shí)時(shí)間以及其他信息（如TCP/UDP協(xié)議的端口號，ICMP的ID號等）中獲得。 在檢測中，一旦發(fā)現(xiàn)數(shù)據(jù)包的狀態(tài)不符，就可以認(rèn)為是狀態(tài)異常包而加以拒絕。3.1.5數(shù)據(jù)包的內(nèi)容過濾策略1.內(nèi)容安全的概念內(nèi)容安全是包過濾技術(shù)中正在興起的一個(gè)重要的分支，也是目前最活躍的安全領(lǐng)域。它是基于內(nèi)容安全的一項(xiàng)技術(shù)。內(nèi)容安全涵蓋如下3個(gè)方面。（2）基于內(nèi)容的破壞內(nèi)容破壞的典型是帶有病毒的文件，是被篡改了的正常文件上帶有病毒特征代碼。這些代碼在被執(zhí)行的時(shí)候，具有有害的特性。（1）違禁內(nèi)容的傳播違禁內(nèi)容是指內(nèi)容本身要表達(dá)的意思，違反了某種規(guī)則或安全策略，尤其是政策法規(guī)允許的范疇。例如，傳播關(guān)于SRARS的謠言，發(fā)布關(guān)于恐怖襲擊的謠言，制造或傳播淫穢色情等，都是違法的。違禁內(nèi)容的危害是對思想造成破壞。在很多情況下，違禁內(nèi)容的表達(dá)方式和格式并沒有什么特殊，因此無法從表達(dá)方式或格式來加以禁止，必須從語意和關(guān)鍵詞上理解該內(nèi)容是違禁的。（3）基于內(nèi)容的攻擊基于內(nèi)容的攻擊，是以內(nèi)容為載體容，以應(yīng)用程序?yàn)楣魧ο螅繕?biāo)是取得對應(yīng)用主機(jī)的控制權(quán)。例如，在web上表格填寫數(shù)據(jù)時(shí)，填寫惡意格式，導(dǎo)致CGI程序執(zhí)行錯(cuò)誤，引發(fā)應(yīng)用程序出錯(cuò)。在web服務(wù)和web應(yīng)用盛行的今天，基于內(nèi)容的攻擊越來越流行，危害越來越大，對電子政務(wù)和電子商務(wù)是一個(gè)巨大的災(zāi)難。2.內(nèi)容安全解決方案（1）禁止違禁內(nèi)容傳播的解決方案禁止違禁內(nèi)容的傳播的方法，一是對違禁內(nèi)容進(jìn)行內(nèi)容過濾，如基于關(guān)鍵詞的內(nèi)容過濾，基于語意的內(nèi)容過濾。前者在技術(shù)上很成熟，準(zhǔn)確度很高，漏報(bào)率低，但誤報(bào)率高。二是對違禁內(nèi)容的來源進(jìn)行訪問控制，這種方式對已經(jīng)知道惡意傳播的對象非常有效。到目前為止，還沒有禁止違禁內(nèi)容傳播的理想的理論方法，在必須執(zhí)行違禁內(nèi)容控制的情況下，多采用人工和技術(shù)相結(jié)合的策略。（2）防止基于內(nèi)容破壞的解決方案防病毒是目前采用最多的防止基于內(nèi)容破壞的解決方案。通過查找內(nèi)容中的惡意病毒代碼來消除基于內(nèi)容的破壞。防病毒軟件同樣存在漏報(bào)和誤報(bào)的問題。最關(guān)鍵的問題是，每次總數(shù)病毒爆發(fā)在前，才能取得病毒特征代碼，然后才能防止該病毒。預(yù)防已知病毒的實(shí)現(xiàn)較為成功，但預(yù)防未知病毒的能力較弱。為了解決防病毒軟件這方面的不足，出現(xiàn)了很多的相關(guān)技術(shù)如專家會(huì)診，引發(fā)病毒隔離區(qū)等，來補(bǔ)充和彌補(bǔ)方病毒軟件的不足。（3）防止基于內(nèi)容攻擊的解決方案基于內(nèi)容的攻擊已經(jīng)超過違禁內(nèi)容傳播和病毒，成為目前最熱門的威脅之一。目前存在的十大漏洞和風(fēng)險(xiǎn)包括：參數(shù)無效、訪問控制失效、賬戶和會(huì)話管理失效、跨站點(diǎn)腳本、緩沖溢出、惡意命令、錯(cuò)誤處理問題、不安全加密、遠(yuǎn)程管理缺陷、配置錯(cuò)誤。目前已經(jīng)出現(xiàn)一類新的產(chǎn)品稱為應(yīng)用安全代理來解決基于內(nèi)容攻擊的問題。與傳統(tǒng)的過濾方法相比，基于內(nèi)容的過濾技術(shù)需要耗費(fèi)更多的計(jì)算資源。如何突破內(nèi)容過濾的性能瓶頸，已經(jīng)成為用戶和廠商普遍關(guān)心的問題。3.內(nèi)容掃描原理在接收到網(wǎng)絡(luò)流量后，安全網(wǎng)關(guān)進(jìn)行內(nèi)容掃描，定向到TCP/IP堆棧，其他數(shù)據(jù)流直接定向到狀態(tài)檢測引擎，按基本檢測方式進(jìn)行處理。高性能的硬件體系結(jié)構(gòu)協(xié)助TCP/IP堆棧進(jìn)行協(xié)議內(nèi)容的處理。內(nèi)容協(xié)議數(shù)據(jù)包括Web流量（HTTP）和E-mail流量（SMTP、POP3、IMAP）。當(dāng)接收到內(nèi)容數(shù)據(jù)流時(shí)，TCP/IP堆棧建立Client和Server會(huì)話，開始數(shù)據(jù)包的傳輸。堆棧接收數(shù)據(jù)包，然后轉(zhuǎn)化成內(nèi)容數(shù)據(jù)流。服務(wù)分析器根據(jù)數(shù)據(jù)流服務(wù)類型分離內(nèi)容數(shù)據(jù)流，傳送數(shù)據(jù)流到一個(gè)命令解析器中。命令解析器定制和分析每一個(gè)內(nèi)容協(xié)議，分析內(nèi)容數(shù)據(jù)流，檢測病毒和蠕蟲。如果檢測到信息流是一個(gè)HTTP數(shù)據(jù)流，則命令解析器檢查上載和下載的文件;如果數(shù)據(jù)是Mail類型，則檢查郵件的附件。如果數(shù)據(jù)流包含附件或上載/下載文件，附件和文件將傳輸?shù)讲《緬呙枰?，所有其他?nèi)容傳輸?shù)絻?nèi)容過濾引擎。如果內(nèi)容過濾啟動(dòng)，數(shù)據(jù)流將根據(jù)過濾的設(shè)置進(jìn)行匹配，通過或拒絕數(shù)據(jù)。3.2網(wǎng)絡(luò)地址轉(zhuǎn)換1.NAT概述網(wǎng)絡(luò)地址轉(zhuǎn)換(NetworkAddressTranslation，NAT)就是使用使用兩套IP地址——內(nèi)部IP地址（也稱私有IP地址）和外部IP地址（也稱公共IP地址）。當(dāng)受受保護(hù)的內(nèi)部網(wǎng)連接到Internet并且有用戶要訪問Internet時(shí)，它首先使用自己網(wǎng)絡(luò)的內(nèi)部IP地址，到了NAT后，NAT就會(huì)從公共IP地址集中選一個(gè)未分配的地址分配給該用戶，該用戶即可使用這個(gè)合法的IP地址進(jìn)行通信。同時(shí)，對于內(nèi)部的某些服務(wù)器如Web服務(wù)器，網(wǎng)絡(luò)地址轉(zhuǎn)換器允許為其分配一個(gè)固定的合法地址。外部網(wǎng)絡(luò)的用戶就可通過NAT來訪問內(nèi)部的服務(wù)器。這種技術(shù)既緩解了少量的IP地址和大量的主機(jī)之間的矛盾——被保護(hù)網(wǎng)絡(luò)中的主機(jī)不必?fù)碛泄潭ǖ腎P地址；又對外隱藏了內(nèi)部主機(jī)的IP地址，提高了安全性。2.NAT的工作過程N(yùn)AT的工作過程如圖3.4所示。NAT源地址目的地址源地址目的地址源地址目的地址123.456.111.3源地址123.456.111.3目的地址Internet被保護(hù)內(nèi)部網(wǎng)源IP包目的IP包圖3.4NAT的工作過程在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時(shí)，將產(chǎn)生一個(gè)映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口，讓這個(gè)偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時(shí)，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個(gè)開放的IP地址和端口來請求訪問。NAT據(jù)預(yù)先定義好的映射規(guī)則來判斷這個(gè)訪問是否安全：當(dāng)符合規(guī)則時(shí)，防火墻認(rèn)為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部計(jì)算機(jī)中；當(dāng)不符合規(guī)則時(shí)，被認(rèn)為該訪問是不安全的，不能被接受，外部的連接請求即被屏蔽。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的，不需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可。3.使用NAT的優(yōu)缺點(diǎn)NAT使內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)就不可能直接訪問外部網(wǎng)絡(luò)：通過包過濾分析，當(dāng)所有傳入的包如果沒有專門指定配置到NAT，就將之丟棄。同時(shí)使所有內(nèi)部的IP地址對外部是隱蔽的。因此，網(wǎng)絡(luò)之外沒有誰可以通過指定IP地址的方式直接對網(wǎng)絡(luò)內(nèi)的任何一臺(tái)特定的計(jì)算機(jī)發(fā)起攻擊。NAT還可以使多個(gè)內(nèi)部主機(jī)共享數(shù)量有限的IP地址，還可以啟用基本的包過濾安全機(jī)制。NAT雖然可以保障內(nèi)部網(wǎng)絡(luò)的安全，但也是一些局限。例如，內(nèi)網(wǎng)用戶可以利用某些木馬程序通過NAT做外部連接。3.3代理技術(shù)應(yīng)用于網(wǎng)絡(luò)安全的代理（Proxy）技術(shù)，來自代理服務(wù)器（ProxyServer）技術(shù)。代理服務(wù)器是用戶計(jì)算機(jī)與Internet之間的中間代理機(jī)制，它采用客戶機(jī)/服務(wù)器工作模式。代理服務(wù)器位于客戶與Internet上的服務(wù)器之間。請求由客戶端向服務(wù)器發(fā)起，但是這個(gè)請求要首先被送的代理服務(wù)器；代理服務(wù)器分析請求，確定其是合法的以后，首先查看自己的緩存中有無要請求的數(shù)據(jù)，有就直接傳送給客戶端，否則再以代理服務(wù)器作為客戶端向遠(yuǎn)程的服務(wù)器發(fā)出請求；遠(yuǎn)程服務(wù)器的響應(yīng)也要由代理服務(wù)器轉(zhuǎn)交給客戶端，同時(shí)代理服務(wù)器還將響應(yīng)數(shù)據(jù)在自己的緩存中保留一份拷貝，以被客戶端下次請求時(shí)使用。圖3.5為代理服務(wù)的結(jié)構(gòu)及其數(shù)據(jù)控制和傳輸過程示意圖。圖3.5代理服務(wù)的結(jié)構(gòu)及其數(shù)據(jù)控制和傳輸過程應(yīng)用于網(wǎng)絡(luò)安全的代理技術(shù)，也是要建立一個(gè)數(shù)據(jù)包的中轉(zhuǎn)機(jī)制，并在數(shù)據(jù)的中轉(zhuǎn)過程中，加入一些安全機(jī)制。被保護(hù)網(wǎng)絡(luò)內(nèi)部客戶服務(wù)器客戶代理訪問控制代理服務(wù)器代理服務(wù)請求請求轉(zhuǎn)發(fā)轉(zhuǎn)發(fā)應(yīng)答應(yīng)答代理技術(shù)可以在不同的網(wǎng)絡(luò)層次上進(jìn)行。主要的實(shí)現(xiàn)層次在應(yīng)用層和運(yùn)輸層，分別稱為應(yīng)用級代理和電路級代理。它們的工作原理有所不同。3.3.1應(yīng)用級代理1.概述應(yīng)用級代理沒有通用的安全機(jī)制和安全規(guī)則描述，它們通用性差，對不同的應(yīng)用具有很強(qiáng)的針對性和專用性。它們不但轉(zhuǎn)發(fā)流量而且對應(yīng)用層協(xié)議做出結(jié)實(shí)。圖3.6為其示意圖。顯然，如果不為特定的應(yīng)用程序安裝代理程序代碼，該服務(wù)是不會(huì)被支持的，不能建立任何連接。這種方式可以拒絕任何沒有明確配置的連接，從而提供了額外的安全性和控制性。FTP代理TELNET代理HTTP代理POP代理SMTP代理DNS代理outininoutinoutoutininoutinout…外部客戶內(nèi)部服務(wù)器客戶—代理連接代理—服務(wù)器連接外部內(nèi)部圖3.6應(yīng)用級代理工作原理2.應(yīng)用級代理的工作特點(diǎn)圖3.7為應(yīng)用級代理的基本工作過程。內(nèi)部接口外部接口客戶公共服務(wù)時(shí)間請求頁URL檢查請求頁返回頁返回頁內(nèi)容過濾圖3.7應(yīng)用級代理的基本工作過程下面介紹應(yīng)用級代理的一些功能。（1）阻斷路由與URL代理是通過偵聽網(wǎng)絡(luò)內(nèi)部客戶的服務(wù)請求，然后把這些請求發(fā)向外部網(wǎng)絡(luò)。在這一過程中，代理要重新產(chǎn)生服務(wù)級請求。例如，一個(gè)Web客戶向外部發(fā)出一個(gè)請求時(shí)，這個(gè)請求會(huì)被代理服務(wù)器“攔截”，再由代理服務(wù)器向目標(biāo)服務(wù)器發(fā)出一個(gè)請求。服務(wù)協(xié)議（如HTTP）才可以通過代理服務(wù)器，而TCP/IP和其他低級協(xié)議不能通過，必須由代理服務(wù)器重新產(chǎn)生。因此外部主機(jī)與內(nèi)部機(jī)器之間并不存在直接連接，從而可以防止傳輸層因源路由、分段和不同的服務(wù)拒絕造成的攻擊，確保沒有建立代理服務(wù)的協(xié)議不會(huì)被發(fā)送的外部網(wǎng)絡(luò)。（2）隱藏客戶應(yīng)用級代理既可以隱藏內(nèi)部IP地址，也可以給單個(gè)用戶授權(quán)，即使攻擊者盜用了一個(gè)合法的IP地址，也通不過嚴(yán)格的身份認(rèn)證。因此應(yīng)用級代理比數(shù)據(jù)包過濾具有更高的安全性。但是這種認(rèn)證使得應(yīng)用網(wǎng)關(guān)不透明，用戶每次連接都要受到認(rèn)證，這給用戶帶來許多不便。這種代理技術(shù)需要為每個(gè)應(yīng)用寫專門的程序。（3）安全監(jiān)控代理服務(wù)是一種服務(wù)程序，它位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來看,代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器；而從服務(wù)器來看,代理服務(wù)器又是一臺(tái)真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí),首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù),然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。3.3.2電路級代理1.電路級代理概述電路級代理即通常意義的代理服務(wù)器，它適用于多個(gè)協(xié)議，但不能解釋應(yīng)用協(xié)議，需要通過其他方式來獲得信息，只對數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)。電路級代理也稱電路級網(wǎng)關(guān)，其工作原理如圖3.8所示。傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路/物理層電路級網(wǎng)關(guān)TCP端口TCP端口圖3.8電路級網(wǎng)關(guān)工作原理電路級網(wǎng)關(guān)依賴于TCP連接，并且只用來在兩個(gè)通信端點(diǎn)之間轉(zhuǎn)接，進(jìn)行簡單的字節(jié)復(fù)制式的數(shù)據(jù)包轉(zhuǎn)接。數(shù)據(jù)包處理是要在應(yīng)用層進(jìn)行。電路級網(wǎng)關(guān)對外像一個(gè)代理，對內(nèi)又像一個(gè)過濾器。這種特點(diǎn)使它可以為各種不同的協(xié)議提供服務(wù)。簡單的電路級網(wǎng)關(guān)僅傳輸TCP的數(shù)據(jù)段，增強(qiáng)的電路級網(wǎng)關(guān)還具有認(rèn)證作用。2.SOCKS代理技術(shù)SOCKS協(xié)議（套接字協(xié)議）是一個(gè)電路級網(wǎng)關(guān)協(xié)議。一個(gè)SOCKS代理主要由兩部分組成：（1）SOCKS客戶程序：經(jīng)過修改的Internet客戶程序，改造的目的是使運(yùn)行客戶程序的主機(jī)從與Internet通信改為與運(yùn)行SOCKS代理的主機(jī)通信。（2）SOCKS服務(wù)程序：既可以Internet通信又可以和內(nèi)部網(wǎng)絡(luò)通信的程序。SOCKS代理的工作過程SOCKS代理的工作過程如下：對用戶來說，受保護(hù)網(wǎng)與外部網(wǎng)的信息交換是透明的，感覺不到代理的存在，那是因?yàn)榫W(wǎng)絡(luò)用戶不需要登錄到代理上。但是客戶端的應(yīng)用軟件必須支持“SocketsifiedAPI”，受保護(hù)網(wǎng)絡(luò)用戶訪問公共網(wǎng)所使用的IP地址也都是代理服務(wù)器的IP地址。1）當(dāng)一個(gè)經(jīng)過SOCKS化的客戶程序要連接到Internet時(shí)，SOCKS就會(huì)截獲這個(gè)這個(gè)連接，將之連接到運(yùn)行SOCKS服務(wù)器的主機(jī)上。2）連接建立后，SOCKS客戶程序發(fā)送如下信息： ?版本號 ?連接請求命令 ?客戶端端口號 ?發(fā)起連接的用戶名3）經(jīng)過確認(rèn)后，SOCKS服務(wù)器才與外部的服務(wù)器建立連接。3.4網(wǎng)絡(luò)防火墻1.防火墻的概念在建筑群中，防火墻(FireWall)用來防止火災(zāi)蔓延。在計(jì)算機(jī)網(wǎng)絡(luò)中，防火墻是設(shè)置在可信任的內(nèi)部網(wǎng)絡(luò)和不可信任的外界之間的一道屏障，來保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的資源和用戶的聲譽(yù),使一個(gè)網(wǎng)絡(luò)不受來自另一個(gè)網(wǎng)絡(luò)的攻擊。2.防火墻的基本功能在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。作為一個(gè)中心“遏制點(diǎn)”，它可以將局域網(wǎng)的安全管理集中起來，屏蔽非法請求，防止跨權(quán)限訪問并產(chǎn)生安全報(bào)警。具體地說，防火墻有以下一些功能：防火墻的一些功能（1）作為網(wǎng)絡(luò)安全的屏障防火墻由一系列的軟件和硬件設(shè)備組合而成，它保護(hù)網(wǎng)絡(luò)中有明確閉合邊界的一個(gè)網(wǎng)塊。所有進(jìn)出該網(wǎng)塊的信息，都必須經(jīng)過防火墻，將發(fā)現(xiàn)的可疑訪問拒之門外。當(dāng)然，防火墻也可以防止未經(jīng)允許的訪問進(jìn)入外部網(wǎng)絡(luò)。因此，防火墻的屏障作用是雙向的，即進(jìn)行內(nèi)外網(wǎng)絡(luò)之間的隔離，包括地址數(shù)據(jù)包過濾、代理和地址轉(zhuǎn)換。（2）強(qiáng)化網(wǎng)絡(luò)安全策略防火墻能將所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上，形成以防火墻為中心的安全方案。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問時(shí)，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上，而集中在防火墻一身上。（3）對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)審計(jì)是一種重要的安全措施，用以監(jiān)控通信行為和完善安全策略，檢查安全漏洞和錯(cuò)誤配置，并對入侵者起到一定的威懾作用。報(bào)警機(jī)制是在通信違反相關(guān)策略以后，以多種方式如聲音、郵件、電話、手機(jī)短信息及時(shí)報(bào)告給管理人員。防火墻的審計(jì)和報(bào)警機(jī)制在防火墻體系中是很重要的，只有有了審計(jì)和報(bào)警，管理人員才可能知道網(wǎng)絡(luò)是否受到了攻擊。另外，防火墻的該功能也有很大的發(fā)展空間，如日志的過濾、抽取、簡化等等。日志還可以進(jìn)行統(tǒng)計(jì)、分析、（按照特征）存儲(chǔ)（在數(shù)據(jù)庫中），稍加擴(kuò)展便又是一個(gè)網(wǎng)絡(luò)分析與查詢模塊。由于日志數(shù)據(jù)量比較大，主要通過兩種方式解決，一種是將日志掛接在內(nèi)網(wǎng)的一臺(tái)專門存放日志的日志服務(wù)器上；一種是將日志直接存放在防火墻本身的存儲(chǔ)器上。目前這兩種方案國內(nèi)（包括國外）都有使用。如果所有的訪問都經(jīng)過防火墻，防火墻就能記錄下這些訪問并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也非常重要。這樣可以對網(wǎng)絡(luò)進(jìn)行需求分析和威脅分析，清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。（4）遠(yuǎn)程管理管理界面一般完成對防火墻的配置、管理和監(jiān)控。管理界面設(shè)計(jì)直接關(guān)系到防火墻的易用性和安全性。目前防火墻主要有兩種遠(yuǎn)程管理界面：web界面和GUI界面。對于硬件防火墻，一般還有串口配置模塊和或控制臺(tái)控制界面。管理主機(jī)和防火墻之間的通信一般經(jīng)過加密。國內(nèi)比較普遍采用自定義協(xié)議、一次性口令進(jìn)行管理主機(jī)與防火墻之間通信（適用GUI界面）。GUI界面可以設(shè)計(jì)的比較美觀和方便，并且可以自定義協(xié)議，也為多數(shù)廠商使用。一般使用語言VB、VC，有部分廠家使用Java開發(fā)，并把此作為一個(gè)賣點(diǎn)（所謂跨平臺(tái)）。Web界面也有廠商使用，然而由于防火墻因此要增加一個(gè)CGI解釋部分，減少了防火墻的可靠性（GUI界面只需要一個(gè)簡單的后臺(tái)進(jìn)程就可以），故應(yīng)用不是太廣泛。（5）防止攻擊性故障蔓延和內(nèi)部信息的泄露防火墻也能夠?qū)⒏糸_網(wǎng)絡(luò)中一個(gè)網(wǎng)塊（也稱網(wǎng)段）與另一個(gè)網(wǎng)塊隔開，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。此外，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger，DNS等服務(wù)。Finger顯示了主機(jī)的所有用戶的注冊名、真名，最后登錄時(shí)間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程度，這個(gè)系統(tǒng)是否有用戶正在連線上網(wǎng)，這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息，這樣一臺(tái)主機(jī)的域名和IP地址就不會(huì)被外界所了解。（6）MAC與IP地址的綁定MAC與IP地址綁定起來，主要用于防止受控（不可訪問外網(wǎng)）的內(nèi)部用戶通過更換IP地址訪問外網(wǎng)。這其實(shí)是一個(gè)可有可無的功能。不過因?yàn)樗鼘?shí)現(xiàn)起來太簡單了，內(nèi)部只需要兩個(gè)命令就可以實(shí)現(xiàn)，所以絕大多數(shù)防火墻都提供了該功能。（7）流量控制（帶寬管理）和統(tǒng)計(jì)分析、流量計(jì)費(fèi)流量控制可以分為基于IP地址的控制和基于用戶的控制?；贗P地址的控制是對通過防火墻各個(gè)網(wǎng)絡(luò)接口的流量進(jìn)行控制，基于用戶的控制是通過用戶登錄來控制每個(gè)用戶的流量，從而防止某些應(yīng)用或用戶占用過多的資源。并且通過流量控制可以保證重要用戶和重要接口的連接。（8）其他特殊功能流量統(tǒng)計(jì)是建立在流量控制基礎(chǔ)之上的。一般防火墻通過對基于IP、服務(wù)、時(shí)間、協(xié)議等等進(jìn)行統(tǒng)計(jì)，并可以與管理界面實(shí)現(xiàn)掛接，實(shí)時(shí)或者以統(tǒng)計(jì)報(bào)表的形式輸出結(jié)果。流量計(jì)費(fèi)從而也是非常容易實(shí)現(xiàn)的。3.4.2網(wǎng)絡(luò)防火墻構(gòu)建與基本結(jié)構(gòu)舉例1.屏蔽路由器（ScreeningRouter）和屏蔽主機(jī)（ScreeningHost）防火墻最基本、也是最簡單技術(shù)是數(shù)據(jù)包過濾。而過濾規(guī)則可以安裝在路由器上，也可以安裝在主機(jī)上。具有數(shù)據(jù)包過濾功能的路由器稱為屏蔽路由器。具有數(shù)據(jù)包過濾功能的主機(jī)稱為屏蔽主機(jī)。圖3.9為包過濾防火墻的兩種基本結(jié)構(gòu)。防火墻外部網(wǎng)屏蔽路由器內(nèi)部網(wǎng)圖3.9路由過濾式防火墻路由器是內(nèi)部網(wǎng)絡(luò)與Internet連接的必要設(shè)備，是一種“天然”的防火墻，它除具有路由功能之外，還安裝了分組/包過濾（數(shù)據(jù)包過濾或應(yīng)用網(wǎng)關(guān)）軟件，可以決定對到來的數(shù)據(jù)包是否要進(jìn)行轉(zhuǎn)發(fā)。這種防火墻實(shí)現(xiàn)方式相當(dāng)簡捷，效率較高,在應(yīng)用環(huán)境比較簡單的情況下,能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。但由于過濾路由器是在網(wǎng)關(guān)之上的包過濾，因此它允許被保護(hù)網(wǎng)絡(luò)的多臺(tái)主機(jī)與Internet的多臺(tái)主機(jī)直接通信。這樣，其危險(xiǎn)性便分布在被保護(hù)網(wǎng)絡(luò)內(nèi)的全部主機(jī)以及允許訪問的各種服務(wù)器上，隨著服務(wù)的增加，網(wǎng)絡(luò)的危險(xiǎn)性也增加。其次，也是特別重要的一點(diǎn)是，這種網(wǎng)絡(luò)由于僅靠單一的部件來保護(hù)系統(tǒng)，一旦部件被攻破，就再也沒有任何設(shè)防了，并且當(dāng)防火墻被攻破時(shí)幾乎可以不留下任何痕跡，甚至難于發(fā)現(xiàn)已發(fā)生的攻擊。它只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無法識(shí)別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗(yàn)的黑客很容易偽造IP地址,騙過包過濾型防火墻，一旦突破防火墻，即可對主機(jī)上的軟件和配置漏洞進(jìn)行攻擊。進(jìn)一步說，由于數(shù)據(jù)包的源地址、目標(biāo)地址以及IP的端口號都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒；并且數(shù)據(jù)包缺乏用戶日志（log）和審計(jì)信息（audit），不具備登錄和報(bào)告性能，不能進(jìn)行審核管理，因而過濾規(guī)則的完整性難以驗(yàn)證，所以安全性較差。2.雙宿主網(wǎng)關(guān)（DualHomedGateway）如圖3.10所示，雙宿主主機(jī)是一臺(tái)有兩塊NIC的計(jì)算機(jī)，每一塊NIC各有一個(gè)IP地址。所以它可以是NAT和代理兩種安全機(jī)制。如果Internet上的一臺(tái)計(jì)算機(jī)想與被保護(hù)網(wǎng)（Intranet）上的一個(gè)工作站通信，必須先行注冊，與它能看到的IP地址聯(lián)系；代理服務(wù)器軟件通過另一塊NIC啟動(dòng)到Intranet的連接。外部網(wǎng)雙穴主機(jī)內(nèi)部網(wǎng)圖3.10雙宿主機(jī)網(wǎng)關(guān)防火墻雙宿主網(wǎng)關(guān)使用代理服務(wù)器簡化了用戶的訪問過程，它將被保護(hù)網(wǎng)絡(luò)與外界完全隔離，由域名系統(tǒng)的信息不會(huì)通過被保護(hù)系統(tǒng)傳到外部，所以系統(tǒng)的名字和IP地址對Internet是隱蔽的，做到對用戶全透明。由于該防火墻仍是由單機(jī)組成，沒有安全冗余機(jī)制，一旦該“單失效點(diǎn)”出問題，網(wǎng)絡(luò)將無安全可言。3.堡壘主機(jī)（BastionHost）堡壘主機(jī)有如下特性：（1）堡壘主機(jī)的概念·它是專門暴露在外部網(wǎng)絡(luò)上的一臺(tái)計(jì)算機(jī)，是被保護(hù)的內(nèi)部網(wǎng)絡(luò)在外網(wǎng)上的代表，并作為進(jìn)入內(nèi)部網(wǎng)的一個(gè)檢查點(diǎn)?！に鎸Υ罅繍阂夤舻娘L(fēng)險(xiǎn)，并且它的安全對于建立一個(gè)安全周邊具有重要作用，因此必須強(qiáng)化對它的保護(hù)，使風(fēng)險(xiǎn)降至最小?！にǔＬ峁┕卜?wù)，如郵件服務(wù)、WWW服務(wù)、FTP服務(wù)、WWW服務(wù)、DNS服務(wù)等。·堡壘主機(jī)與內(nèi)部網(wǎng)絡(luò)是隔離的。它不知道內(nèi)部網(wǎng)絡(luò)上的其他主機(jī)的任何系統(tǒng)細(xì)節(jié)，如內(nèi)部主機(jī)的身份認(rèn)證服務(wù)和正在運(yùn)行的程序的細(xì)節(jié)。這樣，對堡壘主機(jī)的攻擊不會(huì)殃及內(nèi)部網(wǎng)絡(luò)。所以，堡壘主機(jī)是一個(gè)被強(qiáng)化的、被暴露在被保護(hù)網(wǎng)絡(luò)外部的、可以預(yù)防進(jìn)攻的計(jì)算機(jī)。（2）單連點(diǎn)堡壘主機(jī)過濾式防火墻單連點(diǎn)堡壘主機(jī)過濾式防火墻有圖3.11所示的結(jié)構(gòu)。它實(shí)現(xiàn)了網(wǎng)絡(luò)層安全（包過濾）和應(yīng)用層安全（代理），具有比單純包過濾更高的安全等級。外部網(wǎng)過濾路由器內(nèi)部網(wǎng)堡壘主機(jī)信息服務(wù)器專用網(wǎng)主機(jī)圖3.11單連點(diǎn)堡壘主機(jī)過濾式防火墻在該系統(tǒng)中，堡壘主機(jī)被配置在過濾路由器的后方，并且過濾規(guī)則的配置使得外部主機(jī)只能訪問堡壘主機(jī)，發(fā)往內(nèi)部網(wǎng)的其他業(yè)務(wù)流則全部被阻塞。對于內(nèi)部主機(jī)來說，由于內(nèi)部主機(jī)和堡壘主機(jī)同在一個(gè)內(nèi)部網(wǎng)絡(luò)上，所以機(jī)構(gòu)的安全策略可以決定內(nèi)部系統(tǒng)允許直接訪問外部網(wǎng)，還是要求使用配置在堡壘主機(jī)上的代理服務(wù)。當(dāng)配置路由器的過濾規(guī)則，使其僅僅接收來自堡壘主機(jī)的內(nèi)部業(yè)務(wù)流時(shí)，內(nèi)部用戶就不得不使用代理服務(wù)。主機(jī)過濾防火墻具有雙重保護(hù)，從外網(wǎng)來的訪問只能訪問到堡壘主機(jī)，而不允許訪問被保護(hù)網(wǎng)絡(luò)的其他資源，有較高的安全可靠性。但是它要求考慮到堡壘主機(jī)和路由器兩個(gè)方面的安全性。（3）雙連點(diǎn)堡壘主機(jī)過濾式防火墻雙連點(diǎn)堡壘主機(jī)過濾式防火墻有圖3.12所示的結(jié)構(gòu)。它比連點(diǎn)堡壘主機(jī)過濾式防火墻有更高的安全等級。由于堡壘主機(jī)具有兩個(gè)網(wǎng)絡(luò)接口，除了外部用戶可以直接訪問信息服務(wù)器外，外部用戶發(fā)往內(nèi)部網(wǎng)絡(luò)的業(yè)務(wù)流和內(nèi)部系統(tǒng)對外部網(wǎng)絡(luò)的訪問都不得不經(jīng)過堡壘主機(jī)，以提高附加的安全性。外部網(wǎng)屏蔽路由器內(nèi)部網(wǎng)堡壘主機(jī)信息服務(wù)器內(nèi)部主機(jī)圖3.12雙連點(diǎn)堡壘主機(jī)過濾式防火墻在這種系統(tǒng)中，由于堡壘主機(jī)成為外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)的唯一入口，所以對內(nèi)部網(wǎng)絡(luò)的可能安全威脅都集中到了堡壘主機(jī)上。因而對堡壘主機(jī)的保護(hù)強(qiáng)度，關(guān)系到整個(gè)內(nèi)部網(wǎng)的安全。4.屏蔽子網(wǎng)（ScreenedSubnet）防火墻被保護(hù)網(wǎng)絡(luò)和Internet之間設(shè)置一個(gè)獨(dú)立的子網(wǎng)作為防火墻，就是子網(wǎng)過濾防火墻。具體的配置方法是在過濾主機(jī)的配置上再加上一個(gè)路由器，形成具有外部路由過濾器、內(nèi)部路由過濾器、應(yīng)用網(wǎng)關(guān)等三道防線的過濾子網(wǎng)，如圖3.13所示。外部網(wǎng)堡壘主機(jī)信息服務(wù)器內(nèi)部網(wǎng)內(nèi)部路由器外部路由器DMZ圖3.13子網(wǎng)過濾防火墻配置在子網(wǎng)過濾防火墻中，外部過濾路由器用于防范通常的外部攻擊（如源地址欺騙和源路由攻擊），并管理外部網(wǎng)到過濾子網(wǎng)的訪問。外部系統(tǒng)只能訪問到堡壘主機(jī)，通過堡壘主機(jī)向內(nèi)部網(wǎng)傳送數(shù)據(jù)包。內(nèi)部過濾路由器管理過濾子網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間的訪問，內(nèi)部系統(tǒng)只能訪問到堡壘主機(jī)，通過堡壘主機(jī)向外部網(wǎng)發(fā)送數(shù)據(jù)包。簡單地說，任何跨越子網(wǎng)的直接訪問都是被嚴(yán)格禁止的。從而在兩個(gè)路有器之間定義了一個(gè)“非軍事區(qū)”（DemilitarizedZone，DMZ）。這種配置的防火墻具有最高的安全性，但是它要求的設(shè)備和軟件模塊較多，價(jià)格較貴且相當(dāng)復(fù)雜。3.4.3網(wǎng)絡(luò)防火墻的局限1.防火墻可能留有漏洞防火墻應(yīng)當(dāng)是不可滲透或繞過的。實(shí)際上，防火墻往往會(huì)留有漏洞。如圖3.14所示，如果內(nèi)部網(wǎng)絡(luò)中有一個(gè)未加限制的撥出，內(nèi)部網(wǎng)絡(luò)用戶就可以（用向ISP購買等方式）通過SLIP（SerialLineInternetProtocol,串行鏈路網(wǎng)際協(xié)議）或PPP（Pointer-to-Pointerprotocol，點(diǎn)到點(diǎn)協(xié)議）與ISP直接連接，從而饒過防火墻。Internet防火墻專用網(wǎng)安全漏洞ISP圖3.14防火墻的漏洞防火墻可能留有的漏洞由于防火墻依賴于口令，所以防火墻不能防范黑客對口令的攻擊。前不久，兩個(gè)在校學(xué)生編了一個(gè)簡單的程序，通過對波音公司的口令字的排列組合，試出了開啟內(nèi)部網(wǎng)的鑰匙，從網(wǎng)中搞到了一張授權(quán)的波音公司的口令表，將口令一一出賣。所以美國馬德里蘭州的一家計(jì)算機(jī)安全咨詢機(jī)構(gòu)負(fù)責(zé)人諾爾·馬切特說：“防火墻不過是一道較矮的籬笆墻”。黑客像耗子一樣，能從這道籬笆墻上的窟窿中出入。這些窟窿常常是人們無意中留下來的，甚至包括一些對安全性有清醒認(rèn)識(shí)的公司。例如，由于Web服務(wù)器通常處于防火墻體系之外，而有些公司隨意擴(kuò)展瀏覽器的功能，使之含有Applet編寫工具。黑客們便可以利用這些工具鉆空子，接管Web服務(wù)器，接著便可以從Web服務(wù)器出發(fā)溜過防火墻，大搖大擺地“回到”內(nèi)部網(wǎng)中，好像他們是內(nèi)部用戶，剛剛出來辦完事又返回去一樣。2.防火墻不能防止內(nèi)部出賣性攻擊或內(nèi)部誤操作顯然，當(dāng)內(nèi)部人員將敏感數(shù)據(jù)或文件拷貝在優(yōu)盤等移動(dòng)存儲(chǔ)設(shè)備上提供給外部攻擊者時(shí)，防火墻是無能為力的。此外，防火墻也不能防范黑客防火墻黑客有可能偽裝成管理人員或新職工，以騙取沒有防范心理的用戶的口令或假用他們的臨時(shí)訪問權(quán)限實(shí)施的攻擊。3.防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊有些數(shù)據(jù)表面上看起來無害，可是當(dāng)它們被郵寄或拷貝到內(nèi)部網(wǎng)的主機(jī)中后，就可能會(huì)發(fā)起攻擊，或?yàn)槠渌肭譁?zhǔn)備好條件。這種攻擊就稱為數(shù)據(jù)驅(qū)動(dòng)式攻擊。防火墻無法御防這類攻擊。3.5網(wǎng)絡(luò)的物理隔離技術(shù)3.5.1物理隔離的概念1.問題的提出國家保密局2000年1月1日起實(shí)施的《計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》第二章第六條要求：“涉及國家機(jī)密的計(jì)算機(jī)信息系統(tǒng)，不得直接或間接地與國際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)相連接，必須實(shí)行物理隔離?！?.關(guān)于物理隔離的定義和理解較早的用詞為PhysicalDisconnection。Disconnection有使斷開，切斷，不連接的意思，直譯為物理斷開。這是在還沒有解決涉密網(wǎng)與Internet連接后出現(xiàn)的很多安全問題的技術(shù)手段之前說法，在無可奈何的情況下，只有先斷開再說。后來使用了詞匯PhysicalSeparation。Separation有分開，分離，間隔和距離的意思，直譯為物理分開。但是光分開不是辦法，理智的策略應(yīng)當(dāng)是為該連即連，不該連則不連。為此要把該連的部分與不該連的部分分開。于是有了PhysicalIsolation。Isolation有孤立，隔離，封閉，絕緣的意思，直譯為物理封閉。事實(shí)上，沒有與Internet相連的系統(tǒng)不多，因此，希望能將一部分高安全性的網(wǎng)絡(luò)隔離封閉起來。于是開始使用PhysicalGap。Gap有豁口，裂口，缺口和差異的意思，直譯為物理隔離，意為通過制造物理的豁口，來達(dá)到隔離的目的。由于Physical這個(gè)詞顯得非常僵硬，于是有人用AirGap來代替PhysicalGap。AirGap意為空氣豁口，很明顯在物理上是隔開的。但有人不同意，理由是空氣豁口就“物理隔離”了嗎？電磁輻射，無線網(wǎng)絡(luò)，衛(wèi)星等都是空氣豁口，卻沒有物理隔離，甚至連邏輯上都沒有隔離。于是，E-Gap，Netgap，I-Gap等都出來了?，F(xiàn)在，一般稱GapTechnology，意為物理隔離，成為Internet上一個(gè)專用名詞。物理隔離的內(nèi)涵這也是一個(gè)隨認(rèn)識(shí)和技術(shù)進(jìn)步不斷發(fā)展的概念。2002年《國家信息化領(lǐng)導(dǎo)小組關(guān)于我國電子政務(wù)建設(shè)的指導(dǎo)意見》（13號文件）提出了“十五”期間，我國電子政務(wù)建設(shè)的主要任務(wù)之一是：“建設(shè)和整合統(tǒng)一的電子政務(wù)網(wǎng)絡(luò)。為適應(yīng)業(yè)務(wù)發(fā)展和安全保密的要求，有效遏制重復(fù)建設(shè)，要加快建設(shè)和整合統(tǒng)一的網(wǎng)絡(luò)平臺(tái)。電子政務(wù)網(wǎng)絡(luò)由政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)構(gòu)成，兩網(wǎng)之間物理隔離，政務(wù)外網(wǎng)與Internet之間邏輯隔離。政務(wù)內(nèi)網(wǎng)主要是副省級以上政務(wù)部門的辦公網(wǎng)，與副省級以下政務(wù)部門的辦公網(wǎng)物理隔離。政務(wù)外網(wǎng)是政府的業(yè)務(wù)專網(wǎng)，主要運(yùn)行政務(wù)部門面向社會(huì)的專業(yè)性服務(wù)業(yè)務(wù)和不需在內(nèi)網(wǎng)上運(yùn)行的業(yè)務(wù)。要統(tǒng)一標(biāo)準(zhǔn)，利用統(tǒng)一平臺(tái)，促進(jìn)各個(gè)業(yè)務(wù)系統(tǒng)的互聯(lián)互通、資源共享。要用一年左右的時(shí)間，基本形成統(tǒng)一的電子政務(wù)內(nèi)外網(wǎng)絡(luò)平臺(tái)，在運(yùn)行中逐步完善?！闭?wù)網(wǎng)在公網(wǎng)和外網(wǎng)之間實(shí)行邏輯隔離；簡單地說，如圖3.15所示，政務(wù)網(wǎng)應(yīng)當(dāng)跨越公網(wǎng)、外網(wǎng)和內(nèi)部網(wǎng)。其安全要求是：公網(wǎng)t內(nèi)部網(wǎng)外網(wǎng)邏輯隔離物理隔離圖3.15電子政務(wù)的三網(wǎng)在內(nèi)網(wǎng)和外網(wǎng)之間實(shí)行物理隔離。對物理隔離的理解對物理隔離的理解表現(xiàn)為以下幾個(gè)方面：阻斷網(wǎng)絡(luò)的直接連接，即沒有兩個(gè)網(wǎng)絡(luò)同時(shí)連在隔離設(shè)備上；阻斷網(wǎng)絡(luò)的Internet邏輯連接，即TCP/IP的協(xié)議必需被剝離，將原始數(shù)據(jù)通過P2P的非TCP/IP連接協(xié)議透過隔離設(shè)備傳遞；隔離設(shè)備的傳輸機(jī)制具有不可編程的特性，因此不具有感染的特性；任何數(shù)據(jù)都是通過兩級移動(dòng)代理的方式來完成，兩級移動(dòng)代理之間是物理隔離的；隔離設(shè)備具有審查的功能；隔離設(shè)備傳輸?shù)脑紨?shù)據(jù)，不具有攻擊或?qū)W(wǎng)絡(luò)安全有害的特性。就像txt文本不會(huì)有病毒一樣，也不會(huì)執(zhí)行命令等。強(qiáng)大的管理和控制功能。隔離的內(nèi)容從隔離的內(nèi)容看，隔離分為網(wǎng)絡(luò)隔離和數(shù)據(jù)隔離：數(shù)據(jù)隔離主要是指存儲(chǔ)設(shè)備的隔離——一個(gè)存儲(chǔ)設(shè)備不能被幾個(gè)網(wǎng)絡(luò)共享。網(wǎng)絡(luò)隔離就是把被保護(hù)的網(wǎng)絡(luò)從公開的、無邊界的、自由的環(huán)境中獨(dú)立出來。只有實(shí)現(xiàn)了兩種隔離，才是真正意義上的物理隔離。3.邏輯隔離部件與物理隔離部件中華人民共和國公安部2001年12月24日發(fā)布（2002年5月1日實(shí)施）的《端設(shè)備部件安全技術(shù)要求》（GA370-2001）指出：（1）物理隔離部件的安全功能應(yīng)保證被隔離的計(jì)算機(jī)資源不能被訪問（至少應(yīng)包括硬盤、軟盤和光盤），計(jì)算機(jī)數(shù)據(jù)不能被重用（至少應(yīng)包括內(nèi)存）。（2）邏輯隔離部件的安全功能應(yīng)保證被隔離的計(jì)算機(jī)資源不能被訪問，只能進(jìn)行隔離器內(nèi)外的原始應(yīng)用數(shù)據(jù)交換。（3）單向隔離部件的安全功能應(yīng)保證被隔離的計(jì)算機(jī)資源不能被訪問（至少應(yīng)包括硬盤/硬盤分區(qū)、軟盤和光盤），計(jì)算機(jī)數(shù)據(jù)不能被重用（至少應(yīng)包括內(nèi)存）。（4）邏輯隔離部件應(yīng)保證其存在泄露網(wǎng)絡(luò)資源的風(fēng)險(xiǎn)不得多于開發(fā)商的評估文檔中所提及的內(nèi)容。（5）邏輯隔離部件的安全功能應(yīng)保證在進(jìn)行數(shù)據(jù)交換時(shí)數(shù)據(jù)的完整性。（6）邏輯隔離部件的安全功能應(yīng)保證隔離措施的可控性，隔離的安全策略應(yīng)由用戶進(jìn)行控制，開發(fā)者必須提供可控方法。（7）單向隔離部件使數(shù)據(jù)流無法從專網(wǎng)流向外網(wǎng)，數(shù)據(jù)流能在指定存儲(chǔ)區(qū)域從公網(wǎng)流向?qū)＞W(wǎng)；對專網(wǎng)而言，能使用外網(wǎng)的某些指定的要導(dǎo)入的數(shù)據(jù)。隔離部件連接示意圖圖3.16為使用物理隔離部件和單向隔離部件進(jìn)行連接的示意圖。外網(wǎng)t專網(wǎng)存儲(chǔ)設(shè)備公網(wǎng)存儲(chǔ)設(shè)備計(jì)算機(jī)專網(wǎng)物理隔離部件t外網(wǎng)t交換存儲(chǔ)設(shè)備公網(wǎng)存儲(chǔ)設(shè)備計(jì)算機(jī)專網(wǎng)單向隔離部件t專網(wǎng)存儲(chǔ)設(shè)備（a）用物理隔離部件連接（b）用單向隔離部件連接圖3.16物理隔離部件和單向隔離部件的連接示意圖4.物理隔離的技術(shù)路線1）網(wǎng)絡(luò)開關(guān)（NetworkSwitcher）是比較容易理解的一種。在一個(gè)系統(tǒng)里安裝兩套虛擬系統(tǒng)和一個(gè)數(shù)據(jù)系統(tǒng)，數(shù)據(jù)被寫入到一個(gè)虛擬系統(tǒng)，然后交換到數(shù)據(jù)系統(tǒng)，再交換到另一個(gè)虛擬系統(tǒng)。網(wǎng)絡(luò)隔離就是把被保護(hù)的網(wǎng)絡(luò)從公開的、無邊界的、自由的環(huán)境中獨(dú)立出來。2）實(shí)時(shí)交換（Real-timeSwitch）

，相當(dāng)于在兩個(gè)系統(tǒng)之間，共用一個(gè)交換設(shè)備，交換設(shè)備連接到網(wǎng)絡(luò)A，得到數(shù)據(jù)，然后交換到網(wǎng)絡(luò)B。3）單向連接（OneWayLink）

，指數(shù)據(jù)從低安全性的網(wǎng)絡(luò)向高安全性的網(wǎng)絡(luò)流動(dòng)，如交換主機(jī)單向流動(dòng)到發(fā)布主機(jī),3.5.2網(wǎng)絡(luò)物理隔離基本技術(shù)目前物理隔離技術(shù)主要在如下三個(gè)網(wǎng)絡(luò)位置上實(shí)施：與此對應(yīng)，實(shí)現(xiàn)網(wǎng)絡(luò)物理隔離的技術(shù)主要有：網(wǎng)絡(luò)安全隔離卡技術(shù)、安全集線器技術(shù)和單主板隔離計(jì)算機(jī)技術(shù)。1）客戶端物理隔離：采用隔離卡使一臺(tái)計(jì)算機(jī)既連接內(nèi)網(wǎng)又連接外網(wǎng)，在兩個(gè)網(wǎng)上分時(shí)地工作，在保證內(nèi)外網(wǎng)絡(luò)隔離的同時(shí)，資源節(jié)省、工作方便。2）集線器物理隔離：在集線器處的物理隔離常常要與客戶端的物理隔離相結(jié)合，它可以使客戶端使用一條網(wǎng)線由遠(yuǎn)端切換器連接雙網(wǎng)，實(shí)現(xiàn)一臺(tái)工作站連接兩個(gè)網(wǎng)絡(luò)的目的。3）服務(wù)器端物理隔離：它采用復(fù)雜的軟硬件技術(shù)，實(shí)現(xiàn)在服務(wù)器端的數(shù)據(jù)過濾和傳輸，使內(nèi)外網(wǎng)之間同一時(shí)刻沒有連線，能快速、分時(shí)地傳遞數(shù)據(jù)。1.網(wǎng)絡(luò)安全隔離卡技術(shù)網(wǎng)絡(luò)安全隔離卡是一個(gè)硬件插卡，可以在物理上將計(jì)算機(jī)劃分成兩個(gè)獨(dú)立的部分，每一部分都有自己的的“虛擬”硬盤；內(nèi)部網(wǎng)絡(luò)連接外部網(wǎng)絡(luò)安全區(qū)公共區(qū)SP網(wǎng)絡(luò)安全隔離卡圖3.17網(wǎng)絡(luò)安全隔離卡的工作方式網(wǎng)絡(luò)安全隔離卡設(shè)置在PC最低層的物理部件上，卡的一邊通過IDE總線連接主板，另一邊連接IDE硬盤。PC機(jī)的硬盤被分割成兩個(gè)物理區(qū)：·安全區(qū)，只與內(nèi)部網(wǎng)絡(luò)連接；·公共區(qū)，只與外部網(wǎng)絡(luò)連接。如圖3.17所示，網(wǎng)絡(luò)安全隔離卡就像一個(gè)分接開關(guān)，在IDE硬件層上，由固件控制磁盤通道，任何時(shí)刻計(jì)算機(jī)只能與一個(gè)數(shù)據(jù)分區(qū)以及相應(yīng)的網(wǎng)絡(luò)連通。于是算機(jī)也因此被分為安全模式和公共模式，并且某一時(shí)刻只可以在一個(gè)模式下工作。兩個(gè)模式轉(zhuǎn)換時(shí)，所有的臨時(shí)數(shù)據(jù)都會(huì)被徹底刪除。兩個(gè)狀態(tài)各有自己獨(dú)立的操作系統(tǒng)，并分別導(dǎo)入，保證兩個(gè)硬盤不會(huì)同時(shí)被激活。兩個(gè)分區(qū)不可以直接交換數(shù)據(jù)，但是可以通過專門設(shè)置的中間功能區(qū)進(jìn)行，或通過設(shè)置的安全通道使數(shù)據(jù)由公共區(qū)向安全區(qū)轉(zhuǎn)移（不可逆向）。·在安全狀態(tài)時(shí)，主機(jī)只能使用硬盤的安全區(qū)與內(nèi)部網(wǎng)連接，此時(shí)外部網(wǎng)是斷開的，硬盤的公共區(qū)也是封閉的；·在公共狀態(tài)時(shí)，主機(jī)只能使用硬盤的公共區(qū)與外網(wǎng)連接，此時(shí)與內(nèi)網(wǎng)是斷開的，且硬盤的安全區(qū)是封閉的。安全狀態(tài)轉(zhuǎn)換到公共環(huán)境時(shí)的操作 在安全區(qū)及內(nèi)網(wǎng)連接狀態(tài)下可以禁用軟驅(qū)、光驅(qū)等移動(dòng)存儲(chǔ)設(shè)備，防止內(nèi)部數(shù)據(jù)泄密。要轉(zhuǎn)換到公共環(huán)境時(shí)，須進(jìn)行如下操作：按正常方式退出操作系統(tǒng)； 這些操作是由網(wǎng)絡(luò)安全隔離卡自動(dòng)完成的。為了便于用戶從Internet上下載數(shù)據(jù)，特設(shè)的硬盤數(shù)據(jù)交換區(qū)，通過讀寫控制只允許數(shù)據(jù)從外網(wǎng)分區(qū)向內(nèi)網(wǎng)分區(qū)單向流動(dòng)。關(guān)閉計(jì)算機(jī)；將安全硬盤轉(zhuǎn)換為公共硬盤；將S/P開關(guān)轉(zhuǎn)換到公共網(wǎng)絡(luò)。2.隔離集線器技術(shù)如圖3.18所示，網(wǎng)絡(luò)安全集線器是一種多路開關(guān)切換設(shè)備。它與網(wǎng)絡(luò)安全隔離卡配合使用，并通過對網(wǎng)絡(luò)安全隔離卡上發(fā)出的特殊信號的檢測，識(shí)別出所連接的計(jì)算機(jī)，自動(dòng)將其網(wǎng)線切換到相應(yīng)的網(wǎng)絡(luò)的HUB上，從而實(shí)現(xiàn)多臺(tái)獨(dú)立的安全計(jì)算機(jī)與內(nèi)、外兩個(gè)網(wǎng)絡(luò)的安全連接與自動(dòng)切換。內(nèi)網(wǎng)HUB外網(wǎng)HUB隔離集線器網(wǎng)絡(luò)安全隔離卡安全區(qū)公共區(qū)控制信號圖3.18網(wǎng)絡(luò)安全集線器的工作原理3.單主板隔離計(jì)算機(jī)技術(shù)單主板隔離計(jì)算機(jī)技術(shù)的核心是雙硬盤技術(shù)，它將內(nèi)外網(wǎng)轉(zhuǎn)換功能做入BIOS中，并將插槽也分為內(nèi)網(wǎng)和外網(wǎng)。使用方便，也安全，價(jià)格介于雙主機(jī)與隔離卡之間。這種安全計(jì)算機(jī)是在較低層的BIOS上開發(fā)的。BIOS提供信息發(fā)送和輸出設(shè)備的控制，并在PC主板上形成兩個(gè)各自獨(dú)立的由網(wǎng)卡和硬盤構(gòu)成的網(wǎng)絡(luò)接入和信息存儲(chǔ)環(huán)境，并只能在相應(yīng)的網(wǎng)絡(luò)環(huán)境下才能工作，不可能在一種環(huán)境下使用另一種環(huán)境下才能使用的設(shè)備，包括：·對軟驅(qū)、光驅(qū)提供功能限制，在系