第4-2講-網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用課件

信息安全技術(shù)第4講

防火墻與網(wǎng)絡(luò)隔離技術(shù)防火墻技術(shù)及Windows防火墻配置網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用第4-2講

網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用盡管我們正在廣泛地采用著各種復(fù)雜的安全技術(shù)，如防火墻、代理服務(wù)器、入侵檢測機制、通道控制機制等，但是，由于這些技術(shù)基本上都是一種邏輯機制，這對于邏輯實體(如黑客或內(nèi)部用戶等)而言，是可能被操縱的。在政府、軍隊、企業(yè)等領(lǐng)域，由于核心部門的信息安全關(guān)系著國家安全、社會穩(wěn)定，因此迫切需要比傳統(tǒng)產(chǎn)品更為可靠的技術(shù)防護措施，由此產(chǎn)生了物理隔離技術(shù)，該技術(shù)主要基于這樣的思想：如果不存在與網(wǎng)絡(luò)的物理連接，網(wǎng)絡(luò)安全威脅便受到了真正的限制。第4-2講網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用在電子政務(wù)建設(shè)中，我們會遇到安全域的問題安全域是以信息涉密程度劃分的網(wǎng)絡(luò)空間，包括：涉密域。就是涉及國家秘密的網(wǎng)絡(luò)空間。非涉密域。就是不涉及國家的秘密，但是涉及本單位，本部門或者本系統(tǒng)的工作秘密的網(wǎng)絡(luò)空間。公共服務(wù)域是指既不涉及國家秘密也不涉及工作秘密，是一個向互聯(lián)網(wǎng)絡(luò)完全開放的公共信息交換空間。第4-2講網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用網(wǎng)絡(luò)隔離(networkisolation)主要是指把兩個或兩個以上可路由的網(wǎng)絡(luò)(如TCP/IP)通過不可路由的協(xié)議(如IPX/SPX、NetBEUI等)進行數(shù)據(jù)交換而達到隔離目的。由于其原理主要是采用了不同的協(xié)議，所以通常也叫協(xié)議隔離(protocolisolation)。第4-2講網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用不可路由的傳輸協(xié)議，也就是傳輸協(xié)議可不可以路由（RoutaleorNonroutable）的意思，數(shù)據(jù)能不能使用這個傳輸協(xié)議，通過路由器將數(shù)據(jù)傳送到其他網(wǎng)絡(luò)網(wǎng)段。換言之，可不可以路由，表示這個協(xié)議的信息包格式可否被路由器接受。不可路由的協(xié)議通常通過網(wǎng)橋、集線器或中繼器傳送數(shù)據(jù)。第4-2講網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用可路由協(xié)議是為路由選擇協(xié)議算法提供必要信息的，比如路由選擇協(xié)議用目的IP選路由IP協(xié)議，也就是可路由協(xié)議為路由選擇協(xié)議提供算法所必須的信息(IP地址等).

TCP/IP、IPX/SPX屬于可路由的協(xié)議，NetBUEI則屬于不可路由的協(xié)議。第4-2講網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用隔離概念是在保護高安全度網(wǎng)絡(luò)環(huán)境的情況下產(chǎn)生的，而隔離產(chǎn)品的大量出現(xiàn)，也經(jīng)歷了五代隔離技術(shù)的不斷的理論和實踐相結(jié)合的過程。五代隔離技術(shù)分別為：第4-2講網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用第一代隔離技術(shù)——完全隔離。此方法使得網(wǎng)絡(luò)處于信息孤島狀態(tài)，做到了完全的物理隔離，一般需要至少兩套網(wǎng)絡(luò)和系統(tǒng)，更重要的是信息交流的不便和成本的提高，給維護和使用帶來了極大的不便。第4-2講網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用第二代隔離技術(shù)——硬件卡隔離。在客戶機端增加一塊硬件卡，客戶機端硬盤或其他存儲設(shè)備首先連接到該卡，然后再轉(zhuǎn)接到主板上，通過該卡能控制客戶機端硬盤或其他存儲設(shè)備。而在選擇不同的硬盤時，同時選擇了該卡上不同的網(wǎng)絡(luò)接口，連接到不同的網(wǎng)絡(luò)。但是，這種隔離產(chǎn)品有的仍然需要網(wǎng)絡(luò)布線為雙網(wǎng)線結(jié)構(gòu)，產(chǎn)品存在著較大的安全隱患。第4-2講網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用第三代隔離技術(shù)——數(shù)據(jù)轉(zhuǎn)播隔離。利用轉(zhuǎn)播系統(tǒng)分時復(fù)制文件的途徑來實現(xiàn)隔離，但切換時間非常長。甚至需要手工完成。這不僅明顯地減緩了訪問速度，更不支持常見的網(wǎng)絡(luò)應(yīng)用，失去了網(wǎng)絡(luò)存在的意義。第4-2講網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用第四代隔離技術(shù)——空氣開關(guān)隔離。它通過使用單刀雙擲開關(guān)、使得內(nèi)外部網(wǎng)絡(luò)分時訪問臨時緩存器來完成數(shù)據(jù)交換，但在安全和性能上存在有許多問題。第4-2講網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用第五代隔離技術(shù)——安全通道隔離。此技術(shù)通過專用通信硬件和專有安全協(xié)議等安全機制，來實現(xiàn)內(nèi)、外部網(wǎng)絡(luò)的隔離和數(shù)據(jù)交換。不僅解決了以前隔離技術(shù)存在的問題，并有效地把內(nèi)、外部網(wǎng)絡(luò)隔離開來，而且高效地實現(xiàn)了內(nèi)、外網(wǎng)數(shù)據(jù)的安全交換，透明支持多種網(wǎng)絡(luò)應(yīng)用，成為當前隔離技術(shù)的發(fā)展方向。第4-2講網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用1.網(wǎng)絡(luò)隔離的技術(shù)原理物理隔離的技術(shù)架構(gòu)在隔離上，我們通過以下一組圖示來說明物理隔離是如何實現(xiàn)的。第4-2講網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用圖4.24物理隔離示意圖1上圖表示沒有連接時內(nèi)外網(wǎng)的應(yīng)用狀況。從連接特征可以看出，這樣的結(jié)構(gòu)從物理上完全分離。外網(wǎng)是安全性不高的因特網(wǎng)，內(nèi)網(wǎng)是安全性很高的內(nèi)部專用網(wǎng)絡(luò)。正常情況下，隔離設(shè)備和外網(wǎng)，隔離設(shè)備和內(nèi)網(wǎng)，外網(wǎng)和內(nèi)網(wǎng)是完全斷開的，即保證網(wǎng)絡(luò)之間是完全斷開的。隔離設(shè)備可以理解為純粹的存儲介質(zhì)和一個單純的調(diào)度和控制電路。第4-2講網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用當外網(wǎng)有數(shù)據(jù)需要到達內(nèi)網(wǎng)時，以電子郵件為例，外部服務(wù)器立即發(fā)起對隔離設(shè)備的非TCP/IP協(xié)議的數(shù)據(jù)連接，隔離設(shè)備將所有協(xié)議剝離，將原始的數(shù)據(jù)寫入存儲介質(zhì)(圖4.25)。根據(jù)不同的應(yīng)用；可能有必要對數(shù)據(jù)進行完整性和安全性檢查，如防病毒和惡意代碼等。第4-2講網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用圖4.25物理隔離示意圖2一旦數(shù)據(jù)完全寫入隔離設(shè)備的存儲介質(zhì)，隔離設(shè)備立即中斷與外網(wǎng)的連接。轉(zhuǎn)而發(fā)起對內(nèi)網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)連接。隔離設(shè)備將存儲介質(zhì)內(nèi)的數(shù)據(jù)推向內(nèi)網(wǎng)。內(nèi)網(wǎng)收到數(shù)據(jù)后，立即進行TCP/IP的封裝和應(yīng)用協(xié)議的封裝，并交給應(yīng)用系統(tǒng)。此時，內(nèi)網(wǎng)電子郵件系統(tǒng)就收到了外網(wǎng)的電子郵件系統(tǒng)通過隔離設(shè)備轉(zhuǎn)發(fā)的電子郵件(圖4.26)。第4-2講網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用圖4.26物理隔離示意圖3在控制器收到完整的交換信號之后，隔離設(shè)備立即切斷隔離設(shè)備于內(nèi)網(wǎng)的直接連接，恢復(fù)到完全隔離狀態(tài)。如果內(nèi)網(wǎng)有郵件要發(fā)出，隔離設(shè)備收到內(nèi)網(wǎng)建立連接的請求之后，建立與內(nèi)網(wǎng)之間的非TCP/IP協(xié)議的數(shù)據(jù)連接。隔離設(shè)備剝離所有的TCP/IP協(xié)議和應(yīng)用協(xié)議，得到原始的數(shù)據(jù)，將數(shù)據(jù)寫入隔離設(shè)備的存儲介質(zhì)。在進行防病毒處理和防惡意代碼檢查后，中斷與內(nèi)網(wǎng)的直接連接(圖4.27)。第4-2講網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用圖4.27物理隔離示意圖4一旦數(shù)據(jù)完全寫入隔離設(shè)備的存儲介質(zhì)，隔離設(shè)備立即中斷與內(nèi)網(wǎng)的連接。轉(zhuǎn)而發(fā)起對外網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)連接。隔離設(shè)備將存儲介質(zhì)內(nèi)的數(shù)據(jù)推向外網(wǎng)。外網(wǎng)收到數(shù)據(jù)后，立即進行TCP/IP的封裝和應(yīng)用協(xié)議的封裝，完成數(shù)據(jù)的傳遞(圖4.28)。第4-2講網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用圖4.28物理隔離示意圖5控制器收到信息處理完畢的消息后，立即中斷隔離設(shè)備與外網(wǎng)的連接，恢復(fù)到完全隔離狀態(tài)。每一次數(shù)據(jù)交換，隔離設(shè)備都經(jīng)歷了數(shù)據(jù)的接受、存儲和轉(zhuǎn)發(fā)三個過程。由于這些規(guī)則都是在內(nèi)存和內(nèi)核中完成的，因此速度上有保證，可以達到100％的總線處理能力。第4-2講網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用物理隔離的一個特征，就是內(nèi)網(wǎng)與外網(wǎng)永不連接，內(nèi)網(wǎng)和外網(wǎng)在同一時間最多只有一個同隔離設(shè)備建立非TCP/IP協(xié)議的數(shù)據(jù)連接，其數(shù)據(jù)傳輸機制是存儲和轉(zhuǎn)發(fā)。第4-2講網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用2.網(wǎng)絡(luò)隔離的技術(shù)分類網(wǎng)絡(luò)隔離技術(shù)主要分成3類第4-2講網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用1)基于代碼、內(nèi)容等隔離的反病毒和內(nèi)容過濾技術(shù)。隨著網(wǎng)絡(luò)的迅速發(fā)展和普及，下載、瀏覽器、電子郵件、局域網(wǎng)等已成為最主要的病毒、惡意代碼及文件的傳播方式。防病毒和內(nèi)容過濾軟件可以將主機或網(wǎng)絡(luò)隔離成相對“干凈”的安全區(qū)域。第4-2講網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用2)基于網(wǎng)絡(luò)層隔離的防火墻技術(shù)。防火墻被稱為網(wǎng)絡(luò)安全防線中的第一道閘門，是目前企業(yè)網(wǎng)絡(luò)與外部實現(xiàn)隔離的最重要手段。防火墻包括包過濾、狀態(tài)檢測、應(yīng)用代理等基本結(jié)構(gòu)。目前主流的狀態(tài)檢測不但可以實現(xiàn)基于網(wǎng)絡(luò)層的IP包頭和TCP包頭的策略控制，還可以跟蹤TCP會話狀態(tài)，為用戶提供了安全和效能的較好結(jié)合。第4-2講網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用漏洞掃描、入侵檢測和管理等技術(shù)并不直接“隔離”，而是通過旁路監(jiān)測偵聽、審計、管理等功能使安全防護作用最有效化。第4-2講網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用3)基于物理鏈路層的物理隔離技術(shù)。物理隔離的思路源于逆向思維，即首先切斷可能的攻擊途徑(如物理鏈路)，再盡力滿足用戶的應(yīng)用。第4-2講網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用物理隔離技術(shù)演變經(jīng)歷了幾個階段：雙機雙網(wǎng)通過人工磁盤拷貝實現(xiàn)網(wǎng)絡(luò)間隔離；單機雙網(wǎng)等通過物理隔離卡/隔離集線器切換機制實現(xiàn)終端隔離；隔離服務(wù)器實現(xiàn)網(wǎng)絡(luò)間文件交換拷貝等。第4-2講網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用這些物理隔離方式對于信息交換實效性要求不高，僅局限于少量文件交換的小規(guī)模網(wǎng)絡(luò)中采用。切斷物理通路可以避免基于網(wǎng)絡(luò)的攻擊和入侵，但不能有效地阻止依靠磁盤拷貝傳播的病毒、木馬程序等流入內(nèi)網(wǎng)。此外，采用隔離卡由于安全點分散容易造成管理困難。第4-2講網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用3.網(wǎng)絡(luò)隔離的安全要點網(wǎng)絡(luò)隔離的安全要點包括：1)要具有高度的自身安全性。隔離產(chǎn)品要保證自身具有高度的安全性，理論上至少要比防火墻高一個安全級別。第4-2講網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用從技術(shù)實現(xiàn)上，除了和防火墻一樣對操作系統(tǒng)進行加固優(yōu)化或采用安全操作系統(tǒng)外，關(guān)鍵在于要把外網(wǎng)接口和內(nèi)網(wǎng)接口從一套操作系統(tǒng)中分離出來。也就是說至少要由兩套主機系統(tǒng)組成，一套控制外網(wǎng)接口，另一套控制內(nèi)網(wǎng)接口，然后在兩套主機系統(tǒng)之間通過不可路由的協(xié)議進行數(shù)據(jù)交換，如此，即便黑客攻破外網(wǎng)系統(tǒng)，仍然無法控制內(nèi)網(wǎng)系統(tǒng)，就達到了更高的安全級別。第4-2講網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用2)要確保網(wǎng)絡(luò)之間是隔離的。保證網(wǎng)間隔離的關(guān)鍵是網(wǎng)絡(luò)包不可路由到對方網(wǎng)絡(luò)，無論中間采用了什么轉(zhuǎn)換方法，只要最終使得一方的網(wǎng)絡(luò)包能夠進入到對方的網(wǎng)絡(luò)中，都無法稱之為隔離，達不到隔離的效果。顯然，只是對網(wǎng)間的包進行轉(zhuǎn)發(fā)，并且允許建立端到端連接的防火墻，是沒有任何隔離效果的。此外，那些只是把網(wǎng)絡(luò)包轉(zhuǎn)換為文本，交換到對方網(wǎng)絡(luò)后，再把文本轉(zhuǎn)換為網(wǎng)絡(luò)包的產(chǎn)品也是沒有做到隔離的。第4-2講網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用3)要保證網(wǎng)間交換的只是應(yīng)用數(shù)據(jù)。既然要達到網(wǎng)絡(luò)隔離，就必須做到徹底防范基于網(wǎng)絡(luò)協(xié)議的攻擊，即不能夠讓網(wǎng)絡(luò)層的攻擊包到達要保護的網(wǎng)絡(luò)中，所以就必須進行協(xié)議分析，完成應(yīng)用層數(shù)據(jù)的提取，然后進行數(shù)據(jù)交換，這樣就把諸如TearDrop\Land、Smurf和SYNFlood等網(wǎng)絡(luò)攻擊包徹底地阻擋在了可信網(wǎng)絡(luò)之外，從而明顯地增強了可信網(wǎng)絡(luò)的安全性。第4-2講網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用4)要對網(wǎng)間的訪問進行嚴格的控制和檢查。作為一套適用于高安全度網(wǎng)絡(luò)的安全設(shè)備，要確保每次數(shù)據(jù)交換都是可信的和可控制的，嚴格防止非法通道的出現(xiàn)，以確保信息數(shù)據(jù)的安全和訪問的可審計性。所以必須施加以一定的技術(shù)，保證每一次數(shù)據(jù)交換過程都是可信的，并且內(nèi)容是可控制的，可采用基于會話的認證技術(shù)和內(nèi)容分析與控制引擎等技術(shù)來實現(xiàn)。第4-2講網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用5)要在堅持隔離的前提下保證網(wǎng)絡(luò)暢通和應(yīng)用透明。隔離產(chǎn)品會部署在多種多樣的復(fù)雜網(wǎng)絡(luò)環(huán)境中，并且往往是數(shù)據(jù)交換的關(guān)鍵點，因此，產(chǎn)品要具有很高的處理性能，不能夠成為網(wǎng)絡(luò)交換的瓶頸，要有很好的穩(wěn)定性,不能夠出現(xiàn)時斷時續(xù)的情況，要有很強的適應(yīng)性，能夠透明接入網(wǎng)絡(luò)，并且透明支持多種應(yīng)用。第4-2講網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用網(wǎng)絡(luò)隔離的關(guān)鍵是在于系統(tǒng)對通信數(shù)據(jù)的控制，即通過不可路由的協(xié)議來完成網(wǎng)間的數(shù)據(jù)交換。由于通信硬件設(shè)備工作在網(wǎng)絡(luò)七層的最下層，并不能感知到交換數(shù)據(jù)的機密性、完整性、可用性、可控性、抗抵賴等安全要素，所以這要通過訪問控制、身份認證、加密簽名等安全機制來實現(xiàn)，而這些機制都是通過軟件來實現(xiàn)的。第4-2講網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用因此，隔離的關(guān)鍵點就成了要盡量提高網(wǎng)間數(shù)據(jù)交換的速度，并且對應(yīng)用能夠透明支持，以適應(yīng)復(fù)雜和高帶寬需求的網(wǎng)間數(shù)據(jù)交換。第4-2講網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用4.隔離網(wǎng)閘物理隔離網(wǎng)閘最早出現(xiàn)在美國、以色列等國家的軍方，用以解決涉密網(wǎng)絡(luò)與公共網(wǎng)絡(luò)連接時的安全。第4-2講網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個獨立主機系統(tǒng)的信息安全設(shè)備。由于物理隔離網(wǎng)閘所連接的兩個獨立主機系統(tǒng)之間不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無協(xié)議“擺渡”，且對固態(tài)存儲介質(zhì)只有“讀”和“寫”兩個命令。第4-2講網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用所以物理隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使“黑客”無法入侵、無法攻擊、無法破壞，實現(xiàn)了真正的安全。第4-2講網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用隔離網(wǎng)閘(GAP，又叫安全隔離網(wǎng)閘)技術(shù)是一種通過專用硬件使兩個或者兩個以上的網(wǎng)絡(luò)在