信息安全原理張基溫電子教案第3章網(wǎng)絡防御

第3章信息系統(tǒng)隔離技術隔離就是在內部系統(tǒng)與對外連接通道上設置阻塞點，以便對攻擊者進行監(jiān)視和控制，有效地維持被保護網(wǎng)絡的邊界平安。按照?國家信息化領導小組關于我國電子政務建設的指導意見?，“電子政務網(wǎng)絡由政務內網(wǎng)和政務外網(wǎng)構成，兩網(wǎng)之間物理隔離，政務外網(wǎng)與Internet之間邏輯隔離〞，網(wǎng)絡隔離技術從大的方面看，可以分為邏輯隔離〔主要指防火墻〕和物理隔離〔主要指網(wǎng)閘〕。本章主要介紹它們及其相關技術。信息系統(tǒng)隔離技術3.1數(shù)據(jù)過濾技術3.2網(wǎng)絡地址轉換3.3代理技術3.4網(wǎng)絡防火墻3.5網(wǎng)絡的物理隔離技術3.6計算機系統(tǒng)的電磁防護3.1.1數(shù)據(jù)過濾技術概述1.數(shù)據(jù)包及其結構在網(wǎng)絡中傳輸?shù)臄?shù)據(jù)是從應用程序那里遞交來的。應用程序遞交給網(wǎng)絡要傳輸?shù)臄?shù)據(jù)后，網(wǎng)絡就要逐層向下，轉交給下面的一層去實施，每交到下一層，就要按照本層的協(xié)議要求進行一次打包，形成不同協(xié)議層中的數(shù)據(jù)包〔Packet〕，直到物理網(wǎng)絡。圖3.1說明在TCP/IP網(wǎng)絡中數(shù)據(jù)包的封裝與解包過程。圖中的虛箭頭為發(fā)送端的數(shù)據(jù)封裝過程，實箭頭表示接收端的數(shù)據(jù)解包過程。圖3.1TCP/IP網(wǎng)絡中數(shù)據(jù)包的封裝與解包圖中的虛箭頭為發(fā)送端的數(shù)據(jù)封裝過程；數(shù)據(jù)包體傳輸層包頭包體網(wǎng)絡層包頭包體鏈路層包頭應用層SMTP,Telnet,FTPTCP,UDP,ICMP傳輸層IP網(wǎng)絡層網(wǎng)絡接口層ATM,Ethernet等包的封裝數(shù)據(jù)解包實箭頭表示接收端的數(shù)據(jù)解包過程。應當注意，包過濾是根據(jù)數(shù)據(jù)包的特征進行的。其中，主要根據(jù)數(shù)據(jù)包頭的一些字段的特征進行。同時，不同的協(xié)議所規(guī)定的包頭格式不同。因此在制定過濾規(guī)那么前，應當充分了解數(shù)據(jù)包的格式。前面圖2.8介紹了TCP數(shù)據(jù)報的格式，圖2.9介紹了用于以太網(wǎng)的ARP分組格式，下面在圖3.2中，還列出了其他一些常用的數(shù)據(jù)包的格式，供本書后面的討論中使用。圖3.2其它一些數(shù)據(jù)包的格式類型碼代碼校驗和首部其余部分數(shù)據(jù)部分0…78…15版本頭標長服務類型總

長標

識標志片偏移生存時間協(xié)議報頭校驗和源IP地址目的IP地址IP分組選項填充

數(shù)

據(jù)0…34…78…1516…1819…2324…31〔a〕IP分組格式〔b〕UDP數(shù)據(jù)報格式〔c〕ICMP分組的格式數(shù)據(jù)包中可以表達數(shù)據(jù)包特征的有關字段〔1〕源地址〔SourceAddress〕和目的地址〔DestinationAddress〕它們各說明數(shù)據(jù)包的源IP地址和目標IP目的地址。根據(jù)地址，還可以判斷出數(shù)據(jù)流的方向：是由外部網(wǎng)絡流入內部網(wǎng)絡——往內〔流入〕，還是由內部網(wǎng)絡流入外部網(wǎng)絡——往外〔流出〕。〔2〕標識符是發(fā)送方分配的一個獨一無二的編號，用于標識同一數(shù)據(jù)報中的各分組，以便組裝?！?〕標志F〔Flag〕F共占3位：第1位恒為0；第2位為0時是可分片，為1時是不可分片；第3位為0時是最后報片，為1時是非最后報片?！?〕片偏移量FO〔FragmentOffset〕FO占13位，用以標明當前段片在初始IP分組中的位置，目的主機可以根據(jù)FO來重新組合IP分組。〔5〕源端口〔SourcePort〕和目的端口〔DestinationPort〕在TCP和UDP數(shù)據(jù)包中，源端口和目的端口分別表示本地通信端口和地通信端口。端口號是按照協(xié)議類型分配的，所以端口號也說明了所傳輸?shù)臄?shù)據(jù)包效勞的協(xié)議類型。〔6〕協(xié)議Prot〔Protocol〕在IP數(shù)據(jù)包中，“協(xié)議字段〞用以標識接收的IP分組中的數(shù)據(jù)的高層〔傳輸層〕協(xié)議。高層協(xié)議號由TCP/IP協(xié)議中央權威機構NIC〔NetworkInformationCenter〕分配，如:1——控制報文協(xié)議ICMP，6——傳輸控制協(xié)議TCP，8——外部網(wǎng)關協(xié)議EGP，17——用戶數(shù)據(jù)抱協(xié)議UDP，29——傳輸層協(xié)議第4類ISO-TP4。〔7〕效勞類型ToS〔TypeofService〕在IP數(shù)據(jù)包中，ToS描述IP分組所希望獲得的效勞質量，占8位，包括：低延遲、高吞吐量、高可靠性，各占1位；優(yōu)先級，共8級，占3位；未用2位?！?〕數(shù)據(jù)包內容前面的7個字段都來自數(shù)據(jù)包頭中，而數(shù)據(jù)內容那么是來自數(shù)據(jù)包體中。如數(shù)據(jù)內容中一些關鍵詞可以代表數(shù)據(jù)內容的某一方面的特征。對數(shù)據(jù)包內容的抽取，將會形成依據(jù)內容的包過濾規(guī)那么。這是目前包過濾技術研究的一個重要方面。表3.1列出了RFC1349[Almquist1992]對于不同應用建議的ToS值。表3.1RFC1349[Almquist1992]對于不同應用建議的ToS值應用程序最小時延最大吞吐量最高可靠性最小費用十六進制值Telnet/Rlogin10000x10FTP

控制10000x10

數(shù)據(jù)01000x08

任意塊數(shù)據(jù)01000x08TFTP10000x10SMTP

命令10000x10

數(shù)據(jù)01000x08DNS

UDP查詢10000x10

TCP查詢00000x00

區(qū)域傳輸01000x08ICMP

差錯00000x00

查詢00000x00

任何IGP00100x04SNMP00100x04BOOTP00000x00NNTP00010x022.數(shù)據(jù)包過濾根本準那么最早的包過濾是在路由器上進行的。通過對路由表的配置，來決定數(shù)據(jù)包是否符合過濾規(guī)那么。數(shù)據(jù)包的過濾規(guī)那么由一些規(guī)那么邏輯描述：一條過濾規(guī)那么規(guī)定了允許數(shù)據(jù)包流進或流出內部網(wǎng)絡的一個條件。在制定了數(shù)據(jù)包過濾規(guī)那么后，對于每一個數(shù)據(jù)包，路由器會從第一條規(guī)那么開始諸條進行檢查，最后決定該數(shù)據(jù)包是否符合過濾邏輯。數(shù)據(jù)包規(guī)那么的應用有兩種策略：默認接受：一切未被禁止的，就是允許的。即除明確指定禁止的數(shù)據(jù)包，其他都是允許通過的。這也稱為“黑名單〞策略。默認拒絕：一切未被允許的，就是禁止的。即除明確指定通過的數(shù)據(jù)包，其他都是被禁止的。這也稱為“白名單〞策略。 從平安的角度，默認拒絕應該更可靠。 此外，包過濾還有禁入和禁出的區(qū)別。前者不允許指定的數(shù)據(jù)包由外部網(wǎng)絡流入內部網(wǎng)絡，后者不允許指定的數(shù)據(jù)包由內部網(wǎng)絡流入外部網(wǎng)絡。建立數(shù)據(jù)包過濾規(guī)那么的大致步驟如下：平安需求分析，確定平安策略：根據(jù)網(wǎng)絡的具體情況，確定需要保護什么，需要提供什么效勞，進一步明確所允許和禁止的任務。將平安策略轉化為數(shù)據(jù)包分組字段的邏輯表達式。用防火墻提供的過濾規(guī)那么語法描述過濾邏輯。按照過濾邏輯對路由器進行設置。3.1.2數(shù)據(jù)包的地址過濾策略1.地址過濾策略概述按照地址進行過濾是最簡單的過濾方式，它的過濾規(guī)那么只對數(shù)據(jù)包的源地址、目標地址和地址偏移量進行判斷，這在路由器上是非常容易配置的。對于信譽不好或內容不宜并且地址確定的主機，用這種策略通過簡單配置，就可以將之拒之門外。但是，對于攻擊，尤其是地址欺騙攻擊的防御，過濾規(guī)那么的配置就要復雜多了。下面分幾種情形分別考慮?！?〕IP源地址欺騙攻擊對于攻擊者偽裝內部用戶的IP地址攻擊，可以按照下面的原那么配置過濾規(guī)那么：如果發(fā)現(xiàn)具有內部地址的數(shù)據(jù)包到達路由器的外部接口，就將其丟棄。顯然，這種規(guī)那么對于外部主機冒充另外一臺主機的攻擊那么無能為力?！?〕源路由攻擊攻擊者有時為了躲過網(wǎng)絡的平安設施，要為數(shù)據(jù)包指定一個路由，這條路由可以使數(shù)據(jù)包以不期望路徑到達目標。對付這種攻擊的過濾規(guī)那么是丟棄所有含有源路由的數(shù)據(jù)包?！?〕小分段攻擊當一個IP包太長時，就要對其進行分片傳輸。分組后，傳輸層的首部只出現(xiàn)在IP層的第1片中。攻擊者利用IP分片的這一特點，往往會建立極小的分片，希望過濾路由器只檢查第1片，而忽略后面的分組。對付小分段攻擊的策略是丟棄FO為1的TCP、UDP數(shù)據(jù)包。2.基于地址的過濾規(guī)那么的設計某公司有一B類網(wǎng)〔123.45〕。該網(wǎng)的子網(wǎng)〔/24〕有一合作網(wǎng)絡〔135.79〕。管理員希望：〔1〕禁止一切來自Internet的對公司內網(wǎng)的訪問；〔2〕允許來自合作網(wǎng)絡的所有子網(wǎng)〔/16〕訪問公司的子網(wǎng)〔/24〕；〔3〕禁止對合作網(wǎng)絡的子網(wǎng)〔/24〕的訪問權〔除對全網(wǎng)開放的特定子網(wǎng)外〕。為簡單起見，只考慮從合作網(wǎng)絡流向公司的數(shù)據(jù)包，對稱地處理逆向數(shù)據(jù)包只需互換規(guī)那么行中源地址和目標地址即可。表3.2該公司網(wǎng)絡的包過濾規(guī)那么表中規(guī)那么C是默認規(guī)那么。規(guī)

則源

地

址目

的

地

址過濾操作A/16/24允許B/24/16拒絕C/0/0拒絕數(shù)據(jù)包源地址目的地址目標行為操作ABC行為操作BAC行為操作1拒絕拒絕(B)拒絕(B)2允許允許(A)拒絕(B)3允許允許(A)允許(A)4拒絕拒絕(C)拒絕(C)表3.3使用樣本數(shù)據(jù)包測試結果3.3是使用一些樣本數(shù)據(jù)包對表3.2所示過濾規(guī)那么的測試結果。表3.3使用樣本數(shù)據(jù)包測試結果由表3.3可見，按ABC的規(guī)那么順序，能夠得到想要的操作結果；而按BAC的規(guī)那么順序那么得不到預期的操作結果，原本允許的數(shù)據(jù)包2被拒絕了。數(shù)據(jù)包源地址目的地址目標行為操作ABC行為操作BAC行為操作1拒絕拒絕(B)拒絕(B)2允許允許(A)拒絕(B)3允許允許(A)允許(A)4拒絕拒絕(C)拒絕(C)仔細分析可以發(fā)現(xiàn)，表3.2中用來禁止合作網(wǎng)的特定子網(wǎng)的訪問規(guī)那么B是不必要的。它正是在BAC規(guī)那么集中造成數(shù)據(jù)包2被拒絕的原因。如果刪除規(guī)那么B，得到表3.4所示的行為操作。表3.4刪除規(guī)那么B后的行為操作這才是想要的結果。由此得出兩點結論：數(shù)據(jù)包源地址目的地址目標行為操作AC行為操作1拒絕拒絕(C)2允許允許(A)3允許允許(A)4拒絕拒絕(C)正確地制定過濾規(guī)那么是困難的；過濾規(guī)那么的重新排序使得正確地指定規(guī)那么變得越發(fā)困難。3.1.3數(shù)據(jù)包的效勞過濾策略按效勞進行過濾，就是根據(jù)TCP/UDP的端口號制定過濾策略。但是，由于源端口是可以偽裝的，所以基于源端口的過濾是會有風險的。同時還需要確認內部效勞確實是在相應的端口上。下面進行一些分析?！?〕關于外部效勞的端口號如果過濾規(guī)那么完全依賴于外部主機的端口號，例如允許內部主機向外部效勞器的郵件發(fā)送效勞，而且TCP的端口25就是常規(guī)郵件〔SMTP〕端口時，這樣的配置是平安的。但是，包過濾路由器是無法控制外部主機上的效勞確實在常規(guī)的端口上，攻擊者往往會通過偽造，利用端口25向內部主機發(fā)送其他應用程序〔非常規(guī)郵件〕的數(shù)據(jù)包，建立連接，進行非授權訪問。這時，只能禁止25端口對于內部主機的訪問。因為內部主機對這個外部端口不能信任。〔2〕關于內部主機的源端口號從內部到外部的TCP/UDP連接中，內部主機的源端口一般采用大于1024的隨機端口。為此，對端口號大于1024的所有返回到內部的數(shù)據(jù)包都要允許。對此，就需要識別端口號大于1024的數(shù)據(jù)包中哪些是非法的。對于TCP數(shù)據(jù)包來說，可以通過flag位識別哪些是來自外部的連接請求。但是UDP是無連接的，沒有這樣的flag位可使用，只能唯一地識別端口號。所以允許UDP協(xié)議對外訪問會帶來風險。因為返回的數(shù)據(jù)包上的端口號有可能是攻擊者偽造的。當請求端口和目的端口都是固定的時，這個問題才能解決。 表3.5與表3.6就是否考慮數(shù)據(jù)包的源端口進行對照。規(guī)那么表3.5由于未考慮到數(shù)據(jù)包的源端口，出現(xiàn)了兩端所有端口號大于1024的端口上的非預期的作用。而規(guī)那么表3.6考慮到數(shù)據(jù)包的源端口，所有規(guī)那么限定在25號端口上，故不可能出現(xiàn)兩端端口號均在1024以上的端口上連接的交互。規(guī)則方向類型源地址目的地址目的端口行為操作A入TCP外內25允許B出TCP內外>=1024允許C出TCP內外25允許D入TCP外內>=1024允許E出/入任何任何任何任何禁止規(guī)則方向類型源地址目的地址源端口目的端口行為操作A入TCP外內>=102425允許B出TCP內外25>=1024允許C出TCP內外>=102425允許D入TCP外內25>=1024允許E出/入任何任何任何任何任何禁止表3.5未考慮源端口時的包過濾規(guī)那么表3.6考慮了源端口時的包過濾規(guī)那么3.1.4數(shù)據(jù)包的狀態(tài)檢測過濾策略使用C/S模式的數(shù)據(jù)通信具有連接狀態(tài)。最典型的是TCP連接。如圖3.3所示，TCP連接具有11個狀態(tài)：

CLOSED、LISTEN、SYS_SENT、SYS_REVD、FIN_WAIT_1、FIE_WAIT_2、ESTAB、CLOSE_WAIT、LAST_ACK、CLOSING、TIME_WAIT。圖3.3TCP協(xié)議狀態(tài)轉換圖PassiveOpen：本地用戶的被動翻開連接rcv:本地TCP在引發(fā)事件中收到TCP控制消息ActiveOpen：本地用戶的主動翻開連接send:本地TCP在結果動作中發(fā)出TCP控制消息CLOSE:關閉連接請求 x:無動作createTCB:本地TCP創(chuàng)立了對應虛電路的協(xié)議控制塊；createTCB:本地TCP撤消TCP協(xié)議控制塊并結束通信連接；Timeout=2MSL:本地TCP等待超時2MSL〔2倍的最大段生存期〕；CLOSEDLISTENESTABCLOSINGTIMEWAITCLOSEDFINWAIT_1CLOSEWAITLAST_ACKSYSSENTSYSREVDpassiveOPENcreateTCBFINWAIT_2CLOSEdeleteTCBCLOSEdeleteTCBactiveOPENcreateTCBsendSYNSENDsendSYNrcvSYNsendSYN,ACKrcvSYNsendACKrcvSYN,ACKsendACKrcvACKofSYNxCLOSEsendFINCLOSEsendFINrcvFINsendACKCLOSEsendFINrcvFINsendACKrcvACKofFINxrcvFINsendACKrcvACKofFINxrcvACKofFINxTimeout=2MSLdeleteTCBTCP連接狀態(tài)的特征由圖3.3描述可以看出TCP連接狀態(tài)的如下特征：TCP連接是有狀態(tài)的，連接進入不同的階段具有不同的狀態(tài)；TCP連接狀態(tài)的轉換要按一定的順序進行，不可隨意改變；在TCP連接中客戶機與效勞器的狀態(tài)不相同，如客戶機不能進入LISTEN狀態(tài)，效勞器不可能進入SYN_SEND狀態(tài)；TCP包中有6個標志位：FIN、SYS、RST、PSH、ACK、URG，其中一些不能同時存在，如SYS不能和FIN、RST、PSH同時存在。 這些特征就是設置狀態(tài)檢測包過濾規(guī)那么的根底。狀態(tài)信息可以從數(shù)據(jù)包中的源地址、目的地址、協(xié)議類型、連接狀態(tài)、超時時間以及其他信息〔如TCP/UDP協(xié)議的端口號，ICMP的ID號等〕中獲得。 在檢測中，一旦發(fā)現(xiàn)數(shù)據(jù)包的狀態(tài)不符，就可以認為是狀態(tài)異常包而加以拒絕。3.1.5數(shù)據(jù)包的內容過濾策略1.內容平安的概念內容平安是包過濾技術中正在興起的一個重要的分支，也是目前最活潑的平安領域。它是基于內容平安的一項技術。內容平安涵蓋如下3個方面?！?〕基于內容的破壞內容破壞的典型是帶有病毒的文件，是被篡改了的正常文件上帶有病毒特征代碼。這些代碼在被執(zhí)行的時候，具有有害的特性?！?〕違禁內容的傳播違禁內容是指內容本身要表達的意思，違反了某種規(guī)那么或平安策略，尤其是政策法規(guī)允許的范疇。例如，傳播關于SRARS的謠言，發(fā)布關于恐怖襲擊的謠言，制造或傳播淫穢色情等，都是違法的。違禁內容的危害是對思想造成破壞。在很多情況下，違禁內容的表達方式和格式并沒有什么特殊，因此無法從表達方式或格式來加以禁止，必須從語意和關鍵詞上理解該內容是違禁的?！?〕基于內容的攻擊基于內容的攻擊，是以內容為載體容，以應用程序為攻擊對象，目標是取得對應用主機的控制權。例如，在web上表格填寫數(shù)據(jù)時，填寫惡意格式，導致CGI程序執(zhí)行錯誤，引發(fā)應用程序出錯。在web效勞和web應用盛行的今天，基于內容的攻擊越來越流行，危害越來越大，對電子政務和電子商務是一個巨大的災難。2.內容平安解決方案〔1〕禁止違禁內容傳播的解決方案禁止違禁內容的傳播的方法，一是對違禁內容進行內容過濾，如基于關鍵詞的內容過濾，基于語意的內容過濾。前者在技術上很成熟，準確度很高，漏報率低，但誤報率高。二是對違禁內容的來源進行訪問控制，這種方式對已經(jīng)知道惡意傳播的對象非常有效。到目前為止，還沒有禁止違禁內容傳播的理想的理論方法，在必須執(zhí)行違禁內容控制的情況下，多采用人工和技術相結合的策略?！?〕防止基于內容破壞的解決方案防病毒是目前采用最多的防止基于內容破壞的解決方案。通過查找內容中的惡意病毒代碼來消除基于內容的破壞。防病毒軟件同樣存在漏報和誤報的問題。最關鍵的問題是，每次總數(shù)病毒爆發(fā)在前，才能取得病毒特征代碼，然后才能防止該病毒。預防病毒的實現(xiàn)較為成功，但預防未知病毒的能力較弱。為了解決防病毒軟件這方面的缺乏，出現(xiàn)了很多的相關技術如專家會診，引發(fā)病毒隔離區(qū)等，來補充和彌補方病毒軟件的缺乏?！?〕防止基于內容攻擊的解決方案基于內容的攻擊已經(jīng)超過違禁內容傳播和病毒，成為目前最熱門的威脅之一。目前存在的十大漏洞和風險包括：參數(shù)無效、訪問控制失效、賬戶和會話管理失效、跨站點腳本、緩沖溢出、惡意命令、錯誤處理問題、不平安加密、遠程管理缺陷、配置錯誤。目前已經(jīng)出現(xiàn)一類新的產(chǎn)品稱為應用平安代理來解決基于內容攻擊的問題。與傳統(tǒng)的過濾方法相比，基于內容的過濾技術需要消耗更多的計算資源。如何突破內容過濾的性能瓶頸，已經(jīng)成為用戶和廠商普遍關心的問題。3.內容掃描原理在接收到網(wǎng)絡流量后，平安網(wǎng)關進行內容掃描，定向到TCP/IP堆棧，其他數(shù)據(jù)流直接定向到狀態(tài)檢測引擎，按根本檢測方式進行處理。高性能的硬件體系結構協(xié)助TCP/IP堆棧進行協(xié)議內容的處理。內容協(xié)議數(shù)據(jù)包括Web流量〔HTTP〕和E-mail流量〔SMTP、POP3、IMAP〕。當接收到內容數(shù)據(jù)流時，TCP/IP堆棧建立Client和Server會話，開始數(shù)據(jù)包的傳輸。堆棧接收數(shù)據(jù)包，然后轉化成內容數(shù)據(jù)流。效勞分析器根據(jù)數(shù)據(jù)流效勞類型別離內容數(shù)據(jù)流，傳送數(shù)據(jù)流到一個命令解析器中。命令解析器定制和分析每一個內容協(xié)議，分析內容數(shù)據(jù)流，檢測病毒和蠕蟲。如果檢測到信息流是一個HTTP數(shù)據(jù)流，那么命令解析器檢查上載和下載的文件;如果數(shù)據(jù)是Mail類型，那么檢查郵件的附件。如果數(shù)據(jù)流包含附件或上載/下載文件，附件和文件將傳輸?shù)讲《緬呙枰?，所有其他內容傳輸?shù)絻热葸^濾引擎。如果內容過濾啟動，數(shù)據(jù)流將根據(jù)過濾的設置進行匹配，通過或拒絕數(shù)據(jù)。3.2網(wǎng)絡地址轉換1.NAT概述網(wǎng)絡地址轉換(NetworkAddressTranslation，NAT)就是使用使用兩套IP地址——內部IP地址〔也稱私有IP地址〕和外部IP地址〔也稱公共IP地址〕。當受受保護的內部網(wǎng)連接到Internet并且有用戶要訪問Internet時，它首先使用自己網(wǎng)絡的內部IP地址，到了NAT后，NAT就會從公共IP地址集中選一個未分配的地址分配給該用戶，該用戶即可使用這個合法的IP地址進行通信。同時，對于內部的某些效勞器如Web效勞器，網(wǎng)絡地址轉換器允許為其分配一個固定的合法地址。外部網(wǎng)絡的用戶就可通過NAT來訪問內部的效勞器。這種技術既緩解了少量的IP地址和大量的主機之間的矛盾——被保護網(wǎng)絡中的主機不必擁有固定的IP地址；又對外隱藏了內部主機的IP地址，提高了平安性。2.NAT的工作過程NAT的工作過程如圖3.4所示。NAT源地址目的地址源地址目的地址源地址目的地址123.456.111.3源地址123.456.111.3目的地址Internet被保護內部網(wǎng)源IP包目的IP包圖3.4NAT的工作過程在內部網(wǎng)絡通過平安網(wǎng)卡訪問外部網(wǎng)絡時，將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非平安網(wǎng)卡與外部網(wǎng)絡連接，這樣對外就隱藏了真實的內部網(wǎng)絡地址。在外部網(wǎng)絡通過非平安網(wǎng)卡訪問內部網(wǎng)絡時，它并不知道內部網(wǎng)絡的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。NAT據(jù)預先定義好的映射規(guī)那么來判斷這個訪問是否平安：當符合規(guī)那么時，防火墻認為訪問是平安的，可以接受訪問請求，也可以將連接請求映射到不同的內部計算機中；當不符合規(guī)那么時，被認為該訪問是不平安的，不能被接受，外部的連接請求即被屏蔽。網(wǎng)絡地址轉換的過程對于用戶來說是透明的，不需要用戶進行設置，用戶只要進行常規(guī)操作即可。3.使用NAT的優(yōu)缺點NAT使內部網(wǎng)絡的計算機就不可能直接訪問外部網(wǎng)絡：通過包過濾分析，當所有傳入的包如果沒有專門指定配置到NAT，就將之丟棄。同時使所有內部的IP地址對外部是隱蔽的。因此，網(wǎng)絡之外沒有誰可以通過指定IP地址的方式直接對網(wǎng)絡內的任何一臺特定的計算機發(fā)起攻擊。NAT還可以使多個內部主機共享數(shù)量有限的IP地址，還可以啟用根本的包過濾平安機制。NAT雖然可以保障內部網(wǎng)絡的平安，但也是一些局限。例如，內網(wǎng)用戶可以利用某些木馬程序通過NAT做外部連接。3.3代理技術應用于網(wǎng)絡平安的代理〔Proxy〕技術，來自代理效勞器〔ProxyServer〕技術。代理效勞器是用戶計算機與Internet之間的中間代理機制，它采用客戶機/效勞器工作模式。代理效勞器位于客戶與Internet上的效勞器之間。請求由客戶端向效勞器發(fā)起，但是這個請求要首先被送的代理效勞器；代理效勞器分析請求，確定其是合法的以后，首先查看自己的緩存中有無要請求的數(shù)據(jù)，有就直接傳送給客戶端，否那么再以代理效勞器作為客戶端向遠程的效勞器發(fā)出請求；遠程效勞器的響應也要由代理效勞器轉交給客戶端，同時代理效勞器還將響應數(shù)據(jù)在自己的緩存中保存一份拷貝，以被客戶端下次請求時使用。圖3.5為代理效勞的結構及其數(shù)據(jù)控制和傳輸過程示意圖。圖3.5代理效勞的結構及其數(shù)據(jù)控制和傳輸過程應用于網(wǎng)絡平安的代理技術，也是要建立一個數(shù)據(jù)包的中轉機制，并在數(shù)據(jù)的中轉過程中，參加一些平安機制。被保護網(wǎng)絡內部客戶服務器客戶代理訪問控制代理服務器代理服務請求請求轉發(fā)轉發(fā)應答應答代理技術可以在不同的網(wǎng)絡層次上進行。主要的實現(xiàn)層次在應用層和運輸層，分別稱為應用級代理和電路級代理。它們的工作原理有所不同。3.3.1應用級代理1.概述應用級代理沒有通用的平安機制和平安規(guī)那么描述，它們通用性差，對不同的應用具有很強的針對性和專用性。它們不但轉發(fā)流量而且對應用層協(xié)議做出結實。圖3.6為其示意圖。顯然，如果不為特定的應用程序安裝代理程序代碼，該效勞是不會被支持的，不能建立任何連接。這種方式可以拒絕任何沒有明確配置的連接，從而提供了額外的平安性和控制性。FTP代理TELNET代理HTTP代理POP代理SMTP代理DNS代理outininoutinoutoutininoutinout…外部客戶內部服務器客戶—代理連接代理—服務器連接外部內部圖3.6應用級代理工作原理2.應用級代理的工作特點圖3.7為應用級代理的根本工作過程。內部接口外部接口客戶公共服務時間請求頁URL檢查請求頁返回頁返回頁內容過濾圖3.7應用級代理的根本工作過程下面介紹應用級代理的一些功能。〔1〕阻斷路由與URL代理是通過偵聽網(wǎng)絡內部客戶的效勞請求，然后把這些請求發(fā)向外部網(wǎng)絡。在這一過程中，代理要重新產(chǎn)生效勞級請求。例如，一個Web客戶向外部發(fā)出一個請求時，這個請求會被代理效勞器“攔截〞，再由代理效勞器向目標效勞器發(fā)出一個請求。效勞協(xié)議〔如HTTP〕才可以通過代理效勞器，而TCP/IP和其他低級協(xié)議不能通過，必須由代理效勞器重新產(chǎn)生。因此外部主機與內部機器之間并不存在直接連接，從而可以防止傳輸層因源路由、分段和不同的效勞拒絕造成的攻擊，確保沒有建立代理效勞的協(xié)議不會被發(fā)送的外部網(wǎng)絡?！?〕隱藏客戶應用級代理既可以隱藏內部IP地址，也可以給單個用戶授權，即使攻擊者盜用了一個合法的IP地址，也通不過嚴格的身份認證。因此應用級代理比數(shù)據(jù)包過濾具有更高的平安性。但是這種認證使得應用網(wǎng)關不透明，用戶每次連接都要受到認證，這給用戶帶來許多不便。這種代理技術需要為每個應用寫專門的程序?！?〕平安監(jiān)控代理效勞是一種效勞程序，它位于客戶機與效勞器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看,代理效勞器相當于一臺真正的效勞器；而從效勞器來看,代理效勞器又是一臺真正的客戶機。當客戶機需要使用效勞器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給代理效勞器,代理效勞器再根據(jù)這一請求向效勞器索取數(shù)據(jù),然后再由代理效勞器將數(shù)據(jù)傳輸給客戶機。由于外部系統(tǒng)與內部效勞器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內部網(wǎng)絡系統(tǒng)。3.3.2電路級代理1.電路級代理概述電路級代理即通常意義的代理效勞器，它適用于多個協(xié)議，但不能解釋應用協(xié)議，需要通過其他方式來獲得信息，只對數(shù)據(jù)包進行轉發(fā)。電路級代理也稱電路級網(wǎng)關，其工作原理如圖3.8所示。傳輸層網(wǎng)絡層數(shù)據(jù)鏈路/物理層電路級網(wǎng)關TCP端口TCP端口圖3.8電路級網(wǎng)關工作原理電路級網(wǎng)關依賴于TCP連接，并且只用來在兩個通信端點之間轉接，進行簡單的字節(jié)復制式的數(shù)據(jù)包轉接。數(shù)據(jù)包處理是要在應用層進行。電路級網(wǎng)關對外像一個代理，對內又像一個過濾器。這種特點使它可以為各種不同的協(xié)議提供效勞。簡單的電路級網(wǎng)關僅傳輸TCP的數(shù)據(jù)段，增強的電路級網(wǎng)關還具有認證作用。2.SOCKS代理技術SOCKS協(xié)議〔套接字協(xié)議〕是一個電路級網(wǎng)關協(xié)議。一個SOCKS代理主要由兩局部組成：〔1〕SOCKS客戶程序：經(jīng)過修改的Internet客戶程序，改造的目的是使運行客戶程序的主機從與Internet通信改為與運行SOCKS代理的主機通信?！?〕SOCKS效勞程序：既可以Internet通信又可以和內部網(wǎng)絡通信的程序。SOCKS代理的工作過程SOCKS代理的工作過程如下：對用戶來說，受保護網(wǎng)與外部網(wǎng)的信息交換是透明的，感覺不到代理的存在，那是因為網(wǎng)絡用戶不需要登錄到代理上。但是客戶端的應用軟件必須支持“SocketsifiedAPI〞，受保護網(wǎng)絡用戶訪問公共網(wǎng)所使用的IP地址也都是代理效勞器的IP地址。1〕當一個經(jīng)過SOCKS化的客戶程序要連接到Internet時，SOCKS就會截獲這個這個連接，將之連接到運行SOCKS效勞器的主機上。2〕連接建立后，SOCKS客戶程序發(fā)送如下信息： ?版本號 ?連接請求命令 ?客戶端端口號 ?發(fā)起連接的用戶名3〕經(jīng)過確認后，SOCKS效勞器才與外部的效勞器建立連接。3.4網(wǎng)絡防火墻1.防火墻的概念在建筑群中，防火墻(FireWall)用來防止火災蔓延。在計算機網(wǎng)絡中，防火墻是設置在可信任的內部網(wǎng)絡和不可信任的外界之間的一道屏障，來保護計算機網(wǎng)絡的資源和用戶的聲譽,使一個網(wǎng)絡不受來自另一個網(wǎng)絡的攻擊。2.防火墻的根本功能在邏輯上，防火墻是一個別離器，一個限制器，也是一個分析器，有效地監(jiān)控了內部網(wǎng)和Internet之間的任何活動，保證了內部網(wǎng)絡的平安。作為一個中心“遏制點〞，它可以將局域網(wǎng)的平安管理集中起來，屏蔽非法請求，防止跨權限訪問并產(chǎn)生平安報警。具體地說，防火墻有以下一些功能：防火墻的一些功能〔1〕作為網(wǎng)絡平安的屏障防火墻由一系列的軟件和硬件設備組合而成，它保護網(wǎng)絡中有明確閉合邊界的一個網(wǎng)塊。所有進出該網(wǎng)塊的信息，都必須經(jīng)過防火墻，將發(fā)現(xiàn)的可疑訪問拒之門外。當然，防火墻也可以防止未經(jīng)允許的訪問進入外部網(wǎng)絡。因此，防火墻的屏障作用是雙向的，即進行內外網(wǎng)絡之間的隔離，包括地址數(shù)據(jù)包過濾、代理和地址轉換?！?〕強化網(wǎng)絡平安策略防火墻能將所有平安軟件〔如口令、加密、身份認證、審計等〕配置在防火墻上，形成以防火墻為中心的平安方案。與將網(wǎng)絡平安問題分散到各個主機上相比，防火墻的集中平安管理更經(jīng)濟。例如在網(wǎng)絡訪問時，一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)完全可以不必分散在各個主機上，而集中在防火墻一身上?！?〕對網(wǎng)絡存取和訪問進行監(jiān)控審計審計是一種重要的平安措施，用以監(jiān)控通信行為和完善平安策略，檢查平安漏洞和錯誤配置，并對入侵者起到一定的威懾作用。報警機制是在通信違反相關策略以后，以多種方式如聲音、郵件、、短信息及時報告給管理人員。防火墻的審計和報警機制在防火墻體系中是很重要的，只有有了審計和報警，管理人員才可能知道網(wǎng)絡是否受到了攻擊。另外，防火墻的該功能也有很大的開展空間，如日志的過濾、抽取、簡化等等。日志還可以進行統(tǒng)計、分析、〔按照特征〕存儲〔在數(shù)據(jù)庫中〕，稍加擴展便又是一個網(wǎng)絡分析與查詢模塊。由于日志數(shù)據(jù)量比較大，主要通過兩種方式解決，一種是將日志掛接在內網(wǎng)的一臺專門存放日志的日志效勞器上；一種是將日志直接存放在防火墻本身的存儲器上。目前這兩種方案國內〔包括國外〕都有使用。如果所有的訪問都經(jīng)過防火墻，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶⑻峁┚W(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。收集一個網(wǎng)絡的使用和誤用情況也非常重要。這樣可以對網(wǎng)絡進行需求分析和威脅分析，清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。〔4〕遠程管理管理界面一般完成對防火墻的配置、管理和監(jiān)控。管理界面設計直接關系到防火墻的易用性和平安性。目前防火墻主要有兩種遠程管理界面：web界面和GUI界面。對于硬件防火墻，一般還有串口配置模塊和或控制臺控制界面。管理主機和防火墻之間的通信一般經(jīng)過加密。國內比較普遍采用自定義協(xié)議、一次性口令進行管理主機與防火墻之間通信〔適用GUI界面〕。GUI界面可以設計的比較美觀和方便，并且可以自定義協(xié)議，也為多數(shù)廠商使用。一般使用語言VB、VC，有局部廠家使用Java開發(fā)，并把此作為一個賣點〔所謂跨平臺〕。Web界面也有廠商使用，然而由于防火墻因此要增加一個CGI解釋局部，減少了防火墻的可靠性〔GUI界面只需要一個簡單的后臺進程就可以〕，故應用不是太廣泛。〔5〕防止攻擊性故障蔓延和內部信息的泄露防火墻也能夠將隔開網(wǎng)絡中一個網(wǎng)塊〔也稱網(wǎng)段〕與另一個網(wǎng)塊隔開，從而限制了局部重點或敏感網(wǎng)絡平安問題對全局網(wǎng)絡造成的影響。此外，隱私是內部網(wǎng)絡非常關心的問題，一個內部網(wǎng)絡中不引人注意的細節(jié)可能包含了有關平安的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網(wǎng)絡的某些平安漏洞。使用防火墻就可以隱蔽那些透漏內部細節(jié)如Finger，DNS等效勞。Finger顯示了主機的所有用戶的注冊名、真名，最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所得悉。攻擊者可以知道一個系統(tǒng)使用的頻繁程度，這個系統(tǒng)是否有用戶正在連線上網(wǎng)，這個系統(tǒng)是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關內部網(wǎng)絡中的DNS信息，這樣一臺主機的域名和IP地址就不會被外界所了解?！?〕MAC與IP地址的綁定MAC與IP地址綁定起來，主要用于防止受控〔不可訪問外網(wǎng)〕的內部用戶通過更換IP地址訪問外網(wǎng)。這其實是一個可有可無的功能。不過因為它實現(xiàn)起來太簡單了，內部只需要兩個命令就可以實現(xiàn)，所以絕大多數(shù)防火墻都提供了該功能?！?〕流量控制〔帶寬管理〕和統(tǒng)計分析、流量計費流量控制可以分為基于IP地址的控制和基于用戶的控制?；贗P地址的控制是對通過防火墻各個網(wǎng)絡接口的流量進行控制，基于用戶的控制是通過用戶登錄來控制每個用戶的流量，從而防止某些應用或用戶占用過多的資源。并且通過流量控制可以保證重要用戶和重要接口的連接?！?〕其他特殊功能流量統(tǒng)計是建立在流量控制根底之上的。一般防火墻通過對基于IP、效勞、時間、協(xié)議等等進行統(tǒng)計，并可以與管理界面實現(xiàn)掛接，實時或者以統(tǒng)計報表的形式輸出結果。流量計費從而也是非常容易實現(xiàn)的。3.4.2網(wǎng)絡防火墻構建與根本結構舉例1.屏蔽路由器〔ScreeningRouter〕和屏蔽主機〔ScreeningHost〕防火墻最根本、也是最簡單技術是數(shù)據(jù)包過濾。而過濾規(guī)那么可以安裝在路由器上，也可以安裝在主機上。具有數(shù)據(jù)包過濾功能的路由器稱為屏蔽路由器。具有數(shù)據(jù)包過濾功能的主機稱為屏蔽主機。圖3.9為包過濾防火墻的兩種根本結構。防火墻外部網(wǎng)屏蔽路由器內部網(wǎng)圖3.9路由過濾式防火墻路由器是內部網(wǎng)絡與Internet連接的必要設備，是一種“天然〞的防火墻，它除具有路由功能之外，還安裝了分組/包過濾〔數(shù)據(jù)包過濾或應用網(wǎng)關〕軟件，可以決定對到來的數(shù)據(jù)包是否要進行轉發(fā)。這種防火墻實現(xiàn)方式相當簡捷，效率較高,在應用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的平安。但由于過濾路由器是在網(wǎng)關之上的包過濾，因此它允許被保護網(wǎng)絡的多臺主機與Internet的多臺主機直接通信。這樣，其危險性便分布在被保護網(wǎng)絡內的全部主機以及允許訪問的各種效勞器上，隨著效勞的增加，網(wǎng)絡的危險性也增加。其次，也是特別重要的一點是，這種網(wǎng)絡由于僅靠單一的部件來保護系統(tǒng)，一旦部件被攻破，就再也沒有任何設防了，并且當防火墻被攻破時幾乎可以不留下任何痕跡，甚至難于發(fā)現(xiàn)已發(fā)生的攻擊。它只能根據(jù)數(shù)據(jù)包的來源、目標和端口等網(wǎng)絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗的黑客很容易偽造IP地址,騙過包過濾型防火墻，一旦突破防火墻，即可對主機上的軟件和配置漏洞進行攻擊。進一步說，由于數(shù)據(jù)包的源地址、目標地址以及IP的端口號都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒；并且數(shù)據(jù)包缺乏用戶日志〔log〕和審計信息〔audit〕，不具備登錄和報告性能，不能進行審核管理，因而過濾規(guī)那么的完整性難以驗證，所以平安性較差。2.雙宿主網(wǎng)關〔DualHomedGateway〕如圖3.10所示，雙宿主主機是一臺有兩塊NIC的計算機，每一塊NIC各有一個IP地址。所以它可以是NAT和代理兩種平安機制。如果Internet上的一臺計算機想與被保護網(wǎng)〔Intranet〕上的一個工作站通信，必須先行注冊，與它能看到的IP地址聯(lián)系；代理效勞器軟件通過另一塊NIC啟動到Intranet的連接。外部網(wǎng)雙穴主機內部網(wǎng)圖3.10雙宿主機網(wǎng)關防火墻雙宿主網(wǎng)關使用代理效勞器簡化了用戶的訪問過程，它將被保護網(wǎng)絡與外界完全隔離，由域名系統(tǒng)的信息不會通過被保護系統(tǒng)傳到外部，所以系統(tǒng)的名字和IP地址對Internet是隱蔽的，做到對用戶全透明。由于該防火墻仍是由單機組成，沒有平安冗余機制，一旦該“單失效點〞出問題，網(wǎng)絡將無平安可言。3.堡壘主機〔BastionHost〕堡壘主機有如下特性：〔1〕堡壘主機的概念·它是專門暴露在外部網(wǎng)絡上的一臺計算機，是被保護的內部網(wǎng)絡在外網(wǎng)上的代表，并作為進入內部網(wǎng)的一個檢查點?！に鎸Υ罅繍阂夤舻娘L險，并且它的平安對于建立一個平安周邊具有重要作用，因此必須強化對它的保護，使風險降至最小。·它通常提供公共效勞，如郵件效勞、WWW效勞、FTP效勞、WWW效勞、DNS效勞等?！け局鳈C與內部網(wǎng)絡是隔離的。它不知道內部網(wǎng)絡上的其他主機的任何系統(tǒng)細節(jié)，如內部主機的身份認證效勞和正在運行的程序的細節(jié)。這樣，對堡壘主機的攻擊不會殃及內部網(wǎng)絡。所以，堡壘主機是一個被強化的、被暴露在被保護網(wǎng)絡外部的、可以預防進攻的計算機?！?〕單連點堡壘主機過濾式防火墻單連點堡壘主機過濾式防火墻有圖3.11所示的結構。它實現(xiàn)了網(wǎng)絡層平安〔包過濾〕和應用層平安〔代理〕，具有比單純包過濾更高的平安等級。外部網(wǎng)過濾路由器內部網(wǎng)堡壘主機信息服務器專用網(wǎng)主機圖3.11單連點堡壘主機過濾式防火墻在該系統(tǒng)中，堡壘主機被配置在過濾路由器的前方，并且過濾規(guī)那么的配置使得外部主機只能訪問堡壘主機，發(fā)往內部網(wǎng)的其他業(yè)務流那么全部被阻塞。對于內部主機來說，由于內部主機和堡壘主機同在一個內部網(wǎng)絡上，所以機構的平安策略可以決定內部系統(tǒng)允許直接訪問外部網(wǎng)，還是要求使用配置在堡壘主機上的代理效勞。當配置路由器的過濾規(guī)那么，使其僅僅接收來自堡壘主機的內部業(yè)務流時，內部用戶就不得不使用代理效勞。主機過濾防火墻具有雙重保護，從外網(wǎng)來的訪問只能訪問到堡壘主機，而不允許訪問被保護網(wǎng)絡的其他資源，有較高的平安可靠性。但是它要求考慮到堡壘主機和路由器兩個方面的平安性?！?〕雙連點堡壘主機過濾式防火墻雙連點堡壘主機過濾式防火墻有圖3.12所示的結構。它比連點堡壘主機過濾式防火墻有更高的平安等級。由于堡壘主機具有兩個網(wǎng)絡接口，除了外部用戶可以直接訪問信息效勞器外，外部用戶發(fā)往內部網(wǎng)絡的業(yè)務流和內部系統(tǒng)對外部網(wǎng)絡的訪問都不得不經(jīng)過堡壘主機，以提高附加的平安性。外部網(wǎng)屏蔽路由器內部網(wǎng)堡壘主機信息服務器內部主機圖3.12雙連點堡壘主機過濾式防火墻在這種系統(tǒng)中，由于堡壘主機成為外部網(wǎng)絡訪問內部網(wǎng)絡的唯一入口，所以對內部網(wǎng)絡的可能平安威脅都集中到了堡壘主機上。因而對堡壘主機的保護強度，關系到整個內部網(wǎng)的平安。4.屏蔽子網(wǎng)〔ScreenedSubnet〕防火墻被保護網(wǎng)絡和Internet之間設置一個獨立的子網(wǎng)作為防火墻，就是子網(wǎng)過濾防火墻。具體的配置方法是在過濾主機的配置上再加上一個路由器，形成具有外部路由過濾器、內部路由過濾器、應用網(wǎng)關等三道防線的過濾子網(wǎng)，如圖3.13所示。外部網(wǎng)堡壘主機信息服務器內部網(wǎng)內部路由器外部路由器DMZ圖3.13子網(wǎng)過濾防火墻配置在子網(wǎng)過濾防火墻中，外部過濾路由器用于防范通常的外部攻擊〔如源地址欺騙和源路由攻擊〕，并管理外部網(wǎng)到過濾子網(wǎng)的訪問。外部系統(tǒng)只能訪問到堡壘主機，通過堡壘主機向內部網(wǎng)傳送數(shù)據(jù)包。內部過濾路由器管理過濾子網(wǎng)與內部網(wǎng)絡之間的訪問，內部系統(tǒng)只能訪問到堡壘主機，通過堡壘主機向外部網(wǎng)發(fā)送數(shù)據(jù)包。簡單地說，任何跨越子網(wǎng)的直接訪問都是被嚴格禁止的。從而在兩個路有器之間定義了一個“非軍事區(qū)〞〔DemilitarizedZone，DMZ〕。這種配置的防火墻具有最高的平安性，但是它要求的設備和軟件模塊較多，價格較貴且相當復雜。3.4.3網(wǎng)絡防火墻的局限1.防火墻可能留有漏洞防火墻應當是不可滲透或繞過的。實際上，防火墻往往會留有漏洞。如圖3.14所示，如果內部網(wǎng)絡中有一個未加限制的撥出，內部網(wǎng)絡用戶就可以〔用向ISP購置等方式〕通過SLIP〔SerialLineInternetProtocol,串行鏈路網(wǎng)際協(xié)議〕或PPP〔Pointer-to-Pointerprotocol，點到點協(xié)議〕與ISP直接連接，從而饒過防火墻。Internet防火墻專用網(wǎng)安全漏洞ISP圖3.14防火墻的漏洞防火墻可能留有的漏洞由于防火墻依賴于口令，所以防火墻不能防范黑客對口令的攻擊。前不久，兩個在校學生編了一個簡單的程序，通過對波音公司的口令字的排列組合，試出了開啟內部網(wǎng)的鑰匙，從網(wǎng)中搞到了一張授權的波音公司的口令表，將口令一一出賣。所以美國馬德里蘭州的一家計算機平安咨詢機構負責人諾爾·馬切特說：“防火墻不過是一道較矮的籬笆墻〞。黑客像耗子一樣，能從這道籬笆墻上的窟窿中出入。這些窟窿常常是人們無意中留下來的，甚至包括一些對平安性有清醒認識的公司。例如，由于Web效勞器通常處于防火墻體系之外，而有些公司隨意擴展瀏覽器的功能，使之含有Applet編寫工具。黑客們便可以利用這些工具鉆空子，接管Web效勞器，接著便可以從Web效勞器出發(fā)溜過防火墻，大搖大擺地“回到〞內部網(wǎng)中，好似他們是內部用戶，剛剛出來辦完事又返回去一樣。2.防火墻不能防止內部出賣性攻擊或內部誤操作顯然，當內部人員將敏感數(shù)據(jù)或文件拷貝在優(yōu)盤等移動存儲設備上提供給外部攻擊者時，防火墻是無能為力的。此外，防火墻也不能防范黑客防火墻黑客有可能偽裝成管理人員或新職工，以騙取沒有防范心理的用戶的口令或假用他們的臨時訪問權限實施的攻擊。3.防火墻不能防止數(shù)據(jù)驅動式的攻擊有些數(shù)據(jù)外表上看起來無害，可是當它們被郵寄或拷貝到內部網(wǎng)的主機中后，就可能會發(fā)起攻擊，或為其他入侵準備好條件。這種攻擊就稱為數(shù)據(jù)驅動式攻擊。防火墻無法御防這類攻擊。3.5網(wǎng)絡的物理隔離技術3.5.1物理隔離的概念1.問題的提出國家保密局2000年1月1日起實施的?計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定?第二章第六條要求：“涉及國家機密的計算機信息系統(tǒng)，不得直接或間接地與國際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡相連接，必須實行物理隔離。〞2.關于物理隔離的定義和理解較早的用詞為PhysicalDisconnection。Disconnection有使斷開，切斷，不連接的意思，直譯為物理斷開。這是在還沒有解決涉密網(wǎng)與Internet連接后出現(xiàn)的很多平安問題的技術手段之前說法，在無可奈何的情況下，只有先斷開再說。后來使用了詞匯PhysicalSeparation。Separation有分開，別離，間隔和距離的意思，直譯為物理分開。但是光分開不是方法，理智的策略應當是為該連即連，不該連那么不連。為此要把該連的局部與不該連的局部分開。于是有了PhysicalIsolation。Isolation有孤立，隔離，封閉，絕緣的意思，直譯為物理封閉。事實上，沒有與Internet相連的系統(tǒng)不多，因此，希望能將一局部高平安性的網(wǎng)絡隔離封閉起來。于是開始使用PhysicalGap。Gap有豁口，裂口，缺口和差異的意思，直譯為物理隔離，意為通過制造物理的豁口，來到達隔離的目的。由于Physical這個詞顯得非常僵硬，于是有人用AirGap來代替PhysicalGap。AirGap意為空氣豁口，很明顯在物理上是隔開的。但有人不同意，理由是空氣豁口就“物理隔離〞了嗎？電磁輻射，無線網(wǎng)絡，衛(wèi)星等都是空氣豁口，卻沒有物理隔離，甚至連邏輯上都沒有隔離。于是，E-Gap，Netgap，I-Gap等都出來了。現(xiàn)在，一般稱GapTechnology，意為物理隔離，成為Internet上一個專用名詞。物理隔離的內涵這也是一個隨認識和技術進步不斷開展的概念。2002年?國家信息化領導小組關于我國電子政務建設的指導意見?〔13號文件〕提出了“十五〞期間，我國電子政務建設的主要任務之一是：“建設和整合統(tǒng)一的電子政務網(wǎng)絡。為適應業(yè)務開展和平安保密的要求，有效遏制重復建設，要加快建設和整合統(tǒng)一的網(wǎng)絡平臺。電子政務網(wǎng)絡由政務內網(wǎng)和政務外網(wǎng)構成，兩網(wǎng)之間物理隔離，政務外網(wǎng)與Internet之間邏輯隔離。政務內網(wǎng)主要是副省級以上政務部門的辦公網(wǎng)，與副省級以下政務部門的辦公網(wǎng)物理隔離。政務外網(wǎng)是政府的業(yè)務專網(wǎng)，主要運行政務部門面向社會的專業(yè)性效勞業(yè)務和不需在內網(wǎng)上運行的業(yè)務。要統(tǒng)一標準，利用統(tǒng)一平臺，促進各個業(yè)務系統(tǒng)的互聯(lián)互通、資源共享。要用一年左右的時間，根本形成統(tǒng)一的電子政務內外網(wǎng)絡平臺，在運行中逐步完善。〞政務網(wǎng)在公網(wǎng)和外網(wǎng)之間實行邏輯隔離；簡單地說，如圖3.15所示，政務網(wǎng)應當跨越公網(wǎng)、外網(wǎng)和內部網(wǎng)。其平安要求是：公網(wǎng)t內部網(wǎng)外網(wǎng)邏輯隔離物理隔離圖3.15電子政務的三網(wǎng)在內網(wǎng)和外網(wǎng)之間實行物理隔離。對物理隔離的理解對物理隔離的理解表現(xiàn)為以下幾個方面：阻斷網(wǎng)絡的直接連接，即沒有兩個網(wǎng)絡同時連在隔離設備上；阻斷網(wǎng)絡的Internet邏輯連接，即TCP/IP的協(xié)議必需被剝離，將原始數(shù)據(jù)通過P2P的非TCP/IP連接協(xié)議透過隔離設備傳遞；隔離設備的傳輸機制具有不可編程的特性，因此不具有感染的特性；任何數(shù)據(jù)都是通過兩級移動代理的方式來完成，兩級移動代理之間是物理隔離的；隔離設備具有審查的功能；隔離設備傳輸?shù)脑紨?shù)據(jù)，不具有攻擊或對網(wǎng)絡平安有害的特性。就像txt文本不會有病毒一樣，也不會執(zhí)行命令等。強大的管理和控制功能。隔離的內容從隔離的內容看，隔離分為網(wǎng)絡隔離和數(shù)據(jù)隔離：數(shù)據(jù)隔離主要是指存儲設備的隔離——一個存儲設備不能被幾個網(wǎng)絡共享。網(wǎng)絡隔離就是把被保護的網(wǎng)絡從公開的、無邊界的、自由的環(huán)境中獨立出來。只有實現(xiàn)了兩種隔離，才是真正意義上的物理隔離。3.邏輯隔離部件與物理隔離部件中華人民共和國公安部2001年12月24日發(fā)布〔2002年5月1日實施〕的?端設備部件平安技術要求?〔GA370-2001〕指出：〔1〕物理隔離部件的平安功能應保證被隔離的計算機資源不能被訪問〔至少應包括硬盤、軟盤和光盤〕，計算機數(shù)據(jù)不能被重用〔至少應包括內存〕?！?〕邏輯隔離部件的平安功能應保證被隔離的計算機資源不能被訪問，只能進行隔離器內外的原始應用數(shù)據(jù)交換。〔3〕單向隔離部件的平安功能應保證被隔離的計算機資源不能被訪問〔至少應包括硬盤/硬盤分區(qū)、軟盤和光盤〕，計算機數(shù)據(jù)不能被重用〔至少應包括內存〕。〔4〕邏輯隔離部件應保證其存在泄露網(wǎng)絡資源的風險不得多于開發(fā)商的評估文檔中所提及的內容。〔5〕邏輯隔離部件的平安功能應保證在進行數(shù)據(jù)交換時數(shù)據(jù)的完整性?！?〕邏輯隔離部件的平安功能應保證隔離措施的可控性，隔離的平安策略應由用戶進行控制，開發(fā)者必須提供可控方法?！?〕單向隔離部件使數(shù)據(jù)流無法從專網(wǎng)流向外網(wǎng)，數(shù)據(jù)流能在指定存儲區(qū)域從公網(wǎng)流向專網(wǎng)；對專網(wǎng)而言，能使用外網(wǎng)的某些指定的要導入的數(shù)據(jù)。隔離部件連接示意圖圖3.16為使用物理隔離部件和單向隔離部件進行連接的示意圖。外網(wǎng)t專網(wǎng)存儲設備公網(wǎng)存儲設備計算機專網(wǎng)物理隔離部件t外網(wǎng)t交換存儲設備公網(wǎng)存儲設備計算機專網(wǎng)單向隔離部件t專網(wǎng)存儲設備〔a〕用物理隔離部件連接〔b〕用單向隔離部件連接圖3.16物理隔離部件和單向隔離部件的連接示意圖4.物理隔離的技術路線1〕網(wǎng)絡開關〔NetworkSwitcher〕是比較容易理解的一種。在一個系統(tǒng)里安裝兩套虛擬系統(tǒng)和一個數(shù)據(jù)系統(tǒng)，數(shù)據(jù)被寫入到一個虛擬系統(tǒng)，然后交換到數(shù)據(jù)系統(tǒng)，再交換到另一個虛擬系統(tǒng)。網(wǎng)絡隔離就是把被保護的網(wǎng)絡從公開的、無邊界的、自由的環(huán)境中獨立出來。2〕實時交換〔Real-timeSwitch〕，相當于在兩個系統(tǒng)之間，共用一個交換設備，交換設備連接到網(wǎng)絡A，得到數(shù)據(jù)，然后交換到網(wǎng)絡B。3〕單向連接〔OneWayLink〕，指數(shù)據(jù)從低平安性的網(wǎng)絡向高平安性的網(wǎng)絡流動，如交換主機單向流動到發(fā)布主機,3.5.2網(wǎng)絡物理隔離根本技術目前物理隔離技術主要在如下三個網(wǎng)絡位置上實施：與此對應，實現(xiàn)網(wǎng)絡物理隔離的技術主要有：網(wǎng)絡平安隔離卡技術、平安集線器技術和單主板隔離計算機技術。1〕客戶端物理隔離：采用隔離卡使一臺計算機既連接內網(wǎng)又連接外網(wǎng)，在兩個網(wǎng)上分時地工作，在保證內外網(wǎng)絡隔離的同時，資源節(jié)省、工作方便。2〕集線器物理隔離：在集線器處的物理隔離常常要與客戶端的物理隔離相結合，它可以使客戶端使用一條網(wǎng)線由遠端切換器連接雙網(wǎng)，實現(xiàn)一臺工作站連接兩個網(wǎng)絡的目的。3〕效勞器端物理隔離：它采用復雜的軟硬件技術，實現(xiàn)在效勞器端的數(shù)據(jù)過濾和傳輸，使內外網(wǎng)之間同一時刻沒有連線，能快速、分時地傳遞數(shù)據(jù)。1.網(wǎng)絡平安隔離卡技術網(wǎng)絡平安隔離卡是一個硬件插卡，可以在物理上將計算機劃分成兩個獨立的局部，每一局部都有自己的的“虛擬〞硬盤；內部網(wǎng)絡連接外部網(wǎng)絡安全區(qū)公共區(qū)SP網(wǎng)絡安全隔離卡圖3.17網(wǎng)絡平安隔離卡的工作方式網(wǎng)絡平安隔離卡設置在PC最低層的物理部件上，卡的一邊通過IDE總線連接主板，另一邊連接IDE硬盤。PC機的硬盤被分割成兩個物理區(qū)：·平安區(qū)，只與內部網(wǎng)絡連接；·公共區(qū)，只與外部網(wǎng)絡連接。如圖3.17所示，網(wǎng)絡平安隔離卡就像一個分接開關，在IDE硬件層上，由固件控制磁盤通道，任何時刻計算機只能與一個數(shù)據(jù)分區(qū)以及相應的網(wǎng)絡連通。于是算機也因此被分為平安模式和公共模式，并且某一時刻只可以在一個模式下工作。兩個模式轉換時，所有的臨時數(shù)據(jù)都會被徹底刪除。兩個狀態(tài)各有自己獨立的操作系統(tǒng)，并分別導入，保證兩個硬盤不會同時被激活。兩個分區(qū)不可以直接交換數(shù)據(jù)，但是可以通過專門設置的中間功能區(qū)進行，或通過設置的平安通道使數(shù)據(jù)由公共區(qū)向平安區(qū)轉移〔不可逆向〕。·在平安狀態(tài)時，主機只能使用硬盤的平安區(qū)與內部網(wǎng)連接，此時外部網(wǎng)是斷開的，硬盤的公共區(qū)也是封閉的；·在公共狀態(tài)時，主機只能使用硬盤的公共區(qū)與外網(wǎng)連接，此時與內網(wǎng)是斷開的，且硬盤的平安區(qū)是封閉的。平安狀態(tài)轉換到公共環(huán)境時的操作 在平安區(qū)及內網(wǎng)連接狀態(tài)下可以禁用軟驅、光驅等移動存儲設備，防止內部數(shù)據(jù)泄密。要轉換到公共環(huán)境時，須進行如下操作：按正常方式退出操作系統(tǒng)； 這些操作是由網(wǎng)絡平安隔離卡自動完成的。為了便于用戶從Internet上下載數(shù)據(jù)，特設的硬盤數(shù)據(jù)交換區(qū)，通過讀寫控制只允許數(shù)據(jù)從外網(wǎng)分區(qū)向內網(wǎng)分區(qū)單向流動。關閉計算機；將平安硬盤轉換為公共硬盤；將S/P開關轉換到公共網(wǎng)絡。2.隔離集線器技術如圖3.18所示，網(wǎng)絡平安集線器是一種多路開關切換設備。它與網(wǎng)絡平安隔離卡配合使用，并通過對網(wǎng)絡平安隔離卡上發(fā)出的特殊信號的檢測，識別出所連接的計算機，自動將其網(wǎng)線切換到相應的網(wǎng)絡的HUB上，從而實現(xiàn)多臺獨立的平安計算機與內、外兩個網(wǎng)絡的平安連接與自動切換。內網(wǎng)HUB外網(wǎng)HUB隔離集線器網(wǎng)絡安全隔離卡安全區(qū)公共區(qū)控制信號圖3.18網(wǎng)絡平安集線器的工作原理3.單主板隔離計算機技術單主板隔離計算機技術的核心是雙硬盤技術，它將內外網(wǎng)轉換功能做入BIOS中，并將插槽也分為內網(wǎng)和外網(wǎng)。使用方便，也平安，價格介于雙主機與隔離卡之間。這種平安計算機是在較低層的BIOS上開發(fā)的。BIOS提供信息發(fā)送和輸出設備的控制，并在PC主板上形成兩個各自獨立的由網(wǎng)卡和硬盤構成的網(wǎng)絡接入和信息存儲環(huán)境，并只能在相應的網(wǎng)絡環(huán)境下才能工作，不可能在一種環(huán)境下使用另一種環(huán)境下才能使用的設備，包括：·對軟驅、光驅提供功能限制，在系統(tǒng)引導時不允許驅動器中有移動存儲介質。雙網(wǎng)計算機提供軟驅關閉/禁用控制?！ぬ峁╇p端口設