計算機網(wǎng)絡(luò)設(shè)計第2版

1、第1頁 共136頁,第7章 網(wǎng)絡(luò)安全設(shè)計,7.1 網(wǎng)絡(luò)安全體系與技術(shù)7.2 防火墻與DMZ設(shè)計【重點】7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù)【重點】7.4 網(wǎng)絡(luò)物理隔離設(shè)計,第2頁 共136頁,7.1 網(wǎng)絡(luò)安全體系與技術(shù),第3頁 共136頁,7.1 網(wǎng)絡(luò)安全體系與技術(shù),7.1.1 網(wǎng)絡(luò)安全故障案例分析網(wǎng)絡(luò)安全性是指在人為攻擊或自然破壞作用下，網(wǎng)絡(luò)在規(guī)定條件下生存的能力。網(wǎng)絡(luò)安全設(shè)計往往是多種方法綜合的結(jié)果。,第4頁 共136

2、頁,7.1 網(wǎng)絡(luò)安全體系與技術(shù),1. 519網(wǎng)絡(luò)故障事件【案例7-1】 2009年5月19日晚，一個游戲“私服”網(wǎng)站對它的競爭對手發(fā)動攻擊，黑客對國內(nèi)最大的免費域名服務(wù)器DNSpod進行了攻擊，大流量攻擊導致DNSpod服務(wù)中止，運行在DNSpod免費服務(wù)器上的10萬個域名無法解析，由于DNSpod的DNS服務(wù)完全中斷。造成北京、天津、上海、河北、山西、內(nèi)蒙古、遼寧、吉林、江蘇、黑龍江、浙江、安徽、湖北、廣西、廣東等地區(qū)的DNS

3、陸續(xù)癱瘓。中國互聯(lián)網(wǎng)遭遇了“多米諾骨牌”連鎖反應(yīng)，出現(xiàn)了全國范圍的網(wǎng)絡(luò)故障。,第5頁 共136頁,7.1 網(wǎng)絡(luò)安全體系與技術(shù),2. 519網(wǎng)絡(luò)故障原因分析網(wǎng)絡(luò)故障的三個關(guān)鍵環(huán)節(jié)：DNSPod服務(wù)器暴風影音軟件電信運營商DNS服務(wù)器。DNS提供公共服務(wù)，IP地址必須向公眾公開，而且相對固定。如果IP地址經(jīng)常變更，會影響客戶端的服務(wù)，因此DNS具有目標大、易受攻擊的特點。519網(wǎng)絡(luò)故障事件曝露出我國互聯(lián)網(wǎng)諸多環(huán)節(jié)中，存在大量

4、潛在的安全風險。,第6頁 共136頁,7.1 網(wǎng)絡(luò)安全體系與技術(shù),3. 范·艾克實驗【案例7-2】 1985年，在國際計算機安全會議上，范·艾克（Fan Ettc）用幾百美元的器件，對普通電視機進行改造，安裝在汽車里，這樣從街道上接收到了放置在8層樓上的計算機電磁波信息，并顯示出計算機屏幕上的圖像。他的演示給與會的各國代表以巨大的震動。距離計算機數(shù)百米的地方，都可以收到并還原計算機屏幕上的圖像。網(wǎng)絡(luò)設(shè)備電磁

5、輻射引起的安全問題不容忽視。,第7頁 共136頁,7.1 網(wǎng)絡(luò)安全體系與技術(shù),7.1.2 IATF網(wǎng)絡(luò)安全體系結(jié)構(gòu)1．IATE （信息保障技術(shù)框架）標準IATF標準理論：深度保護戰(zhàn)略。IATF標準三個核心原則：人、技術(shù)和操作。四個信息安全保障領(lǐng)域：保護網(wǎng)絡(luò)和基礎(chǔ)設(shè)施；保護邊界；保護計算環(huán)境；保護支撐基礎(chǔ)設(shè)施。,第8頁 共136頁,7.1 網(wǎng)絡(luò)安全體系與技術(shù),[案例] IATF深度保護戰(zhàn)略結(jié)構(gòu),第9頁 共136

6、頁,7.1 網(wǎng)絡(luò)安全體系與技術(shù),2．IATF網(wǎng)絡(luò)模型飛地指位于非安全區(qū)中的一小塊安全區(qū)域。IATF模型將網(wǎng)絡(luò)系統(tǒng)分成4種類型局域網(wǎng);飛地邊界;網(wǎng)絡(luò)設(shè)備;支持性基礎(chǔ)設(shè)施。,第10頁 共136頁,7.1 網(wǎng)絡(luò)安全體系與技術(shù),[P165圖7-1] IATF模型,[P165] IATF模型,第11頁 共136頁,7.1 網(wǎng)絡(luò)安全體系與技術(shù),在IATF模型中，局域網(wǎng)包括:涉密網(wǎng)絡(luò)（紅網(wǎng)，如財務(wù)網(wǎng)）;專用網(wǎng)絡(luò)（黃網(wǎng)，如

7、內(nèi)部辦公網(wǎng)絡(luò)）;公共網(wǎng)絡(luò)（白網(wǎng)，如公開信息網(wǎng)站）網(wǎng)絡(luò)設(shè)備。這些部分由企業(yè)建設(shè)和管理。網(wǎng)絡(luò)支持性基礎(chǔ)設(shè)施包括：專用網(wǎng)絡(luò)（如VPN）；公共網(wǎng)絡(luò)（如Internet）；通信網(wǎng)等基礎(chǔ)電信設(shè)施（如城域傳輸網(wǎng)）；這些部分由電信服務(wù)商提供。,第12頁 共136頁,7.1 網(wǎng)絡(luò)安全體系與技術(shù),IATF最重要的設(shè)計思想：在網(wǎng)絡(luò)中進行不同等級的區(qū)域劃分與網(wǎng)絡(luò)邊界保護。,第13頁 共136頁,7.1 網(wǎng)絡(luò)安全體系與技術(shù),[案例]

8、安全等級防護設(shè)計,第14頁 共136頁,7.1 網(wǎng)絡(luò)安全體系與技術(shù),3．對手、動機和攻擊類型5類攻擊方法：被動攻擊;主動攻擊;物理臨近攻擊;內(nèi)部人員攻擊;分發(fā)攻擊。,第15頁 共136頁,7.1 網(wǎng)絡(luò)安全體系與技術(shù),[案例] 黑客攻擊過程,第16頁 共136頁,7.1 網(wǎng)絡(luò)安全體系與技術(shù),[案例] 黑客攻擊路徑發(fā)現(xiàn),[P165] IATF模型,第17頁 共136頁,7.1 網(wǎng)絡(luò)安全體系與技術(shù),4．安全威脅

9、的表現(xiàn)形式安全威脅的表現(xiàn)形式：信息泄漏、媒體廢棄（如報廢的硬盤）、人員不慎、非授權(quán)訪問、旁路控制（如線路搭接）、假冒、竊聽、電磁信號截獲、完整性侵犯（如篡改Email內(nèi)容）、數(shù)據(jù)截獲與修改、物理侵入、重放（如后臺屏幕錄像或鍵盤掃描）、業(yè)務(wù)否認、業(yè)務(wù)拒絕、資源耗盡、業(yè)務(wù)欺騙、業(yè)務(wù)流分析、特洛伊木馬程序等。,第18頁 共136頁,7.1 網(wǎng)絡(luò)安全體系與技術(shù),5．深度保護戰(zhàn)略模型深度保護戰(zhàn)略（DDS）認為：信息保障依賴于人、技術(shù)和

10、操作共同實現(xiàn)。操作也稱為運行操作是各種安全技術(shù)結(jié)合在一起的過程。操作包括：風險評估、安全監(jiān)控、安全審計、跟蹤告警、入侵檢測、響應(yīng)恢復等。,第19頁 共136頁,7.1 網(wǎng)絡(luò)安全體系與技術(shù),7.1.3 TCP/IP各層安全技術(shù)1．常用網(wǎng)絡(luò)安全技術(shù)定義：網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改和泄漏，系統(tǒng)能連續(xù)、可靠地正常運行，網(wǎng)絡(luò)服務(wù)不中斷。,第20頁 共136頁,

11、7.1 網(wǎng)絡(luò)安全體系與技術(shù),表7-2 TCP/IP各個層次常用安全保護技術(shù),第21頁 共136頁,7.1 網(wǎng)絡(luò)安全體系與技術(shù),2．接口層的安全物理層面臨的安全威脅有：搭線竊聽，電磁輻射信號還原、物理臨近等。3．網(wǎng)絡(luò)層的安全網(wǎng)絡(luò)層的安全威脅有：數(shù)據(jù)包竊聽、ARP欺騙、流量攻擊、拒絕服務(wù)攻擊等。網(wǎng)絡(luò)層的安全技術(shù)有：IP路由安全機制、IPSec（IP安全協(xié)議）和防火墻技術(shù)。,第22頁 共136頁,7.1 網(wǎng)絡(luò)安全

12、體系與技術(shù),4．傳輸層的安全傳輸層主要的安全協(xié)議有SSL（安全套接層協(xié)議），它在兩實體之間建立了一個安全通道，當數(shù)據(jù)在通道中傳輸時是經(jīng)過認證和保密的。SSL提供三個方面的服務(wù)：用戶和服務(wù)器認證，對數(shù)據(jù)進行加密服務(wù)和維護數(shù)據(jù)的完整性。SSL對于應(yīng)用層協(xié)議和程序是透明的，它可以為HTTP、SMTP和FTP等應(yīng)用層協(xié)議提供安全性。,第23頁 共136頁,7.1 網(wǎng)絡(luò)安全體系與技術(shù),5．應(yīng)用層的安全應(yīng)用層的安全問題：操作系統(tǒng)漏洞，

13、應(yīng)用程序BUG，非法訪問，病毒木馬程序攻擊等。應(yīng)用層采用的安全技術(shù)：加密、用戶級認證、數(shù)字簽名等。應(yīng)用層安全協(xié)議為特定應(yīng)用提供安全服務(wù)。如S/MIME（安全/通用因特網(wǎng)郵件擴展服務(wù)）是一個用于保護電子郵件的規(guī)范，標準內(nèi)容包括數(shù)據(jù)加密、數(shù)據(jù)簽名等。,第24頁 共136頁,7.1 網(wǎng)絡(luò)安全體系與技術(shù),[案例] 網(wǎng)絡(luò)計算機病毒解決方案,[P165] IATF模型,第25頁 共136頁,7.1 網(wǎng)絡(luò)安全體系與技術(shù),7.1.4

14、 網(wǎng)絡(luò)信息加密技術(shù)1. 加密系統(tǒng)的組成加密系統(tǒng)包括4個組件：軟件組件負責各功能子系統(tǒng)的協(xié)調(diào)和用戶交互加密算法根據(jù)一定規(guī)則對輸入信息進行加密處理協(xié)議加密系統(tǒng)和運行環(huán)境需要加密密鑰用戶加密/解密信息所需的鑰匙,第26頁 共136頁,7.1 網(wǎng)絡(luò)安全體系與技術(shù),2.常用加密算法（1）對稱加密加密和解密都使用相同密鑰的加密算法。優(yōu)點：加解密的高速度和使用長密鑰時難以破解性。常見的對稱加密算法：DES、3DES

15、、IDEA等。DES的典型應(yīng)用是IPSec（VPN安全標準）,第27頁 共136頁,7.1 網(wǎng)絡(luò)安全體系與技術(shù),（2）非對稱加密加密和解密使用不同密鑰的加密算法。常見的非對稱加密算法：RSA，SSL（傳輸層安全標準），ECC（移動設(shè)備安全標準），S-MIME（電子郵件安全標準），SET（電子交易安全標準），DSA（數(shù)字簽名安全標準）等。缺點：加解密速度遠遠慢于對稱加密，在某些極端情況下，比對稱加密慢1000倍。,第28頁

16、 共136頁,7.1 網(wǎng)絡(luò)安全體系與技術(shù),（3）Hash（哈希）加密Hash算法是一種單向加密算法。常見Hash算法：MD5（消息摘要）等。MD5常用于密碼校驗、數(shù)字簽名等應(yīng)用中。,第29頁 共136頁,7.1 網(wǎng)絡(luò)安全體系與技術(shù),3. 加密系統(tǒng)在網(wǎng)絡(luò)中的應(yīng)用基本應(yīng)用：存儲、傳輸、認證數(shù)據(jù)量較少時，常采用RSA等對稱加密算法；校驗常采用MD5算法；商業(yè)加密軟件PGP；開源加密軟件GPG等。,第30頁 共136頁

17、,7.1 網(wǎng)絡(luò)安全體系與技術(shù),【案例7-4】 經(jīng)常采用MD5算法進行用戶密碼校驗。用戶密碼經(jīng)過MD5運算后存儲在文件系統(tǒng)中。當用戶登錄時，系統(tǒng)將用戶輸入的密碼進行MD5運算，然后再與系統(tǒng)中保存密碼的MD5值進行比較，從而確定輸入的密碼是否正確。通過這樣的步驟，系統(tǒng)在并不知道用戶密碼的情況下，就可以確定用戶登錄系統(tǒng)的合法性。這可以避免用戶密碼被具有系統(tǒng)管理員權(quán)限的人員知道。,第31頁 共136頁,7.2 防火墻與DMZ設(shè)計,第3

18、2頁 共136頁,7.2 防火墻與DMZ設(shè)計,7.2.1 防火墻的類型與功能防火墻是由軟件或硬件構(gòu)成的網(wǎng)絡(luò)安全系統(tǒng)，用來在兩個網(wǎng)絡(luò)之間實施訪問控制策略。1．防火墻在網(wǎng)絡(luò)中的位置所有從內(nèi)網(wǎng)到外網(wǎng)或從外網(wǎng)到內(nèi)網(wǎng)的通信都必須經(jīng)過防火墻，否則，防火墻將無法起到保護作用。防火墻本身應(yīng)當是一個安全、可靠、防攻擊的可信任系統(tǒng)，它應(yīng)有足夠的可靠性和抵御外界的攻擊。,第33頁 共136頁,7.2 防火墻與DMZ設(shè)計,2. 防火墻的類型硬

19、件防火墻可以是一臺獨立的硬件設(shè)備（如Cisco PIX）；也可以在一臺路由器上，經(jīng)過配置成為一臺具有安全功能的防火墻。軟件防火墻是運行在服務(wù)器主機上的一個軟件（如ISA Server）。硬件防火墻在功能和性能上都優(yōu)于軟件防火墻，但是成本較高。,第34頁 共136頁,7.2 防火墻與DMZ設(shè)計,3．防火墻的功能所有內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的數(shù)據(jù)交換，都可以而且必須經(jīng)過防火墻。只有符合防火墻安全策略的數(shù)據(jù)，才可以自由出入防火墻。防

20、火墻受到攻擊后，應(yīng)能穩(wěn)定有效地工作。應(yīng)當記錄和統(tǒng)計網(wǎng)絡(luò)的使用情況。有效地過濾、篩選和屏蔽有害服務(wù)和數(shù)據(jù)包。能隔離網(wǎng)絡(luò)中的某些網(wǎng)段，防止一個網(wǎng)段的故障傳播到整個網(wǎng)絡(luò)。,第35頁 共136頁,7.2 防火墻與DMZ設(shè)計,4．防火墻的不足不能防范不經(jīng)過防火墻的攻擊。不能防范惡意的知情者。不能防范內(nèi)部用戶誤操作造成的威脅。不能防止受病毒感染的軟件或木馬文件的傳輸。防火墻不檢測數(shù)據(jù)包的內(nèi)容，因此不能防止數(shù)據(jù)驅(qū)動式的攻擊。不安全

21、的防火墻、配置不合理的防火墻、防火墻在網(wǎng)絡(luò)中的位置不當?shù)?，會使防火墻形同虛設(shè)。,第36頁 共136頁,7.2 防火墻與DMZ設(shè)計,7.2.2 DMZ的功能與安全策略1．DMZ（隔離區(qū)/非軍事區(qū)）的基本結(jié)構(gòu)和功能DMZ設(shè)立在非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)?！景咐?-5】 如圖7-3所示，DMZ位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一個區(qū)域內(nèi)，在DMZ內(nèi)可以放置一些對外的服務(wù)器設(shè)備，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。DMZ的

22、目的是將敏感的內(nèi)部網(wǎng)絡(luò)和提供外部訪問服務(wù)的網(wǎng)絡(luò)分離開，為網(wǎng)絡(luò)提供深度防御。,第37頁 共136頁,7.2 防火墻與DMZ設(shè)計,[P171圖7-3] DMZ網(wǎng)絡(luò)安全結(jié)構(gòu),第38頁 共136頁,7.2 防火墻與DMZ設(shè)計,2．防火墻的接口硬件防火墻最少有三個接口：內(nèi)網(wǎng)接口，用于連接內(nèi)部網(wǎng)絡(luò)設(shè)備；外網(wǎng)接口，相當于主機接口，用于連接邊界路由器等外部網(wǎng)關(guān)設(shè)備；DMZ接口，用于連接DMZ區(qū)網(wǎng)絡(luò)設(shè)備。硬件防火墻中的網(wǎng)卡一般設(shè)置為混雜模

23、式，這樣可以監(jiān)測到通過防火墻的數(shù)據(jù)包。,第39頁 共136頁,7.2 防火墻與DMZ設(shè)計,3．DMZ訪問安全策略DMZ的設(shè)計基本原則：設(shè)計最小權(quán)限，例如定義允許訪問的網(wǎng)絡(luò)資源和網(wǎng)絡(luò)的安全級別；確定可信用戶和可信任區(qū)域；明確各個網(wǎng)絡(luò)之間的訪問關(guān)系。,第40頁 共136頁,7.2 防火墻與DMZ設(shè)計,訪問安全策略（1）內(nèi)網(wǎng)可以訪問外網(wǎng)。（2）內(nèi)網(wǎng)可以訪問DMZ。（3）外網(wǎng)不能訪問內(nèi)網(wǎng)。（4）外網(wǎng)可以訪問DMZ。（5）D

24、MZ不能訪問內(nèi)網(wǎng)。（6）DMZ不能訪問外網(wǎng)。,第41頁 共136頁,7.2 防火墻與DMZ設(shè)計,7.2.3 DMZ的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計1．單防火墻DMZ網(wǎng)絡(luò)結(jié)構(gòu)單防火墻DMZ結(jié)構(gòu)將網(wǎng)絡(luò)劃分為三個區(qū)域，內(nèi)網(wǎng)（LAN）、外網(wǎng)（Internet）和DMZ。DMZ是外網(wǎng)與內(nèi)網(wǎng)之間附加的一個安全層，這個安全區(qū)域也稱為屏蔽子網(wǎng)、過濾子網(wǎng)等。這種網(wǎng)絡(luò)結(jié)構(gòu)構(gòu)建成本低，多用于小型企業(yè)網(wǎng)絡(luò)設(shè)計。,第42頁 共136頁,7.2 防火墻與DMZ設(shè)計,[

25、案例] 單防火墻DMZ網(wǎng)絡(luò)結(jié)構(gòu),第43頁 共136頁,7.2 防火墻與DMZ設(shè)計,2．雙防火墻DMZ網(wǎng)絡(luò)結(jié)構(gòu)防火墻通常與邊界路由器協(xié)同工作，邊界路由器是網(wǎng)絡(luò)安全的第一道屏障。通常的方法是在路由器中設(shè)置數(shù)據(jù)包過濾和NAT功能，讓防火墻完成特定的端口阻塞和數(shù)據(jù)包檢查，這樣在整體上提高了網(wǎng)絡(luò)性能。,第44頁 共136頁,7.2 防火墻與DMZ設(shè)計,[案例] 雙防火墻DMZ網(wǎng)絡(luò)結(jié)構(gòu),第45頁 共136頁,7.2 防火墻與DMZ設(shè)計

26、,7.2.4 PIX防火墻配置命令1. 接口配置命令interfaceInterface的功能是開啟或關(guān)閉接口、配置接口的速度、對接口進行命名等。新防火墻的各個端口都是關(guān)閉的，如果不進行任何配置，則防火墻無法工作。防火墻接口速度可以手工配置和自動配置。,第46頁 共136頁,7.2 防火墻與DMZ設(shè)計,（1）配置接口速度命令格式：interface ethernet0 auto //對e0接口設(shè)置為自動設(shè)置連接速度//

27、命令格式：interface ethernet2 100 ful //為接口2手工指定連接速度為100M //,第47頁 共136頁,7.2 防火墻與DMZ設(shè)計,（2）關(guān)閉與開啟接口防火墻打開的接口不用時要及時關(guān)閉。打開的接口越多，會影響防火墻的運行效率?？捎貌粠?shù)的shutdown命令關(guān)閉防火墻接口。注意：打開接口不采用no shutdown命令。,第48頁 共136頁,7.2 防火墻與DMZ設(shè)計,2. 別名配置命

28、令nameif廠商會為防火墻接口配置默認名，如ethernet0等。網(wǎng)絡(luò)工程師可以用更加直觀的名字來描述接口的用途。如用outside命令說明這個接口用來連接外部網(wǎng)絡(luò)；用inside命令說明這個接口用來連接內(nèi)部網(wǎng)絡(luò)。命令格式：nameif ,第49頁 共136頁,7.2 防火墻與DMZ設(shè)計,3. 地址配置命令I(lǐng)P address 防火墻的IP地址可以通過DHCP自動獲得；也可以通過手工設(shè)置IP地址。命令格式：ip a

29、dress []防火墻的接口IP地址，在整個內(nèi)部網(wǎng)絡(luò)中必須保持唯一，否則會造成IP地址沖突。沒有配置網(wǎng)絡(luò)掩碼時，防火墻會根據(jù)內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，自動設(shè)置一個網(wǎng)絡(luò)掩碼。,第50頁 共136頁,7.2 防火墻與DMZ設(shè)計,4. 地址轉(zhuǎn)換配置命令NAT、Global、StaticNAT命令可以將內(nèi)部的一組IP地址轉(zhuǎn)換成為外部的公網(wǎng)地址；global命令用于定義用網(wǎng)絡(luò)地址轉(zhuǎn)換命令NAT轉(zhuǎn)換成的地址或者地址的范圍。企業(yè)只有一個公有IP

30、地址時，可以利用static命令實現(xiàn)端口的重定向配置。,第51頁 共136頁,7.2 防火墻與DMZ設(shè)計,5. 測試命令I(lǐng)CMP Ping與Debug是常用的測試命令。防火墻在默認情況下，會拒絕所有來自外部接口的ICMP數(shù)據(jù)包流量，這主要是出于安全方面的考慮。如果需要防火墻接收來自外部的ICMP流量，就需要利用permit命令來允許防火墻通過ICMP流量。命令格式：icmp permit any any outside測試

31、完后，最好讓防火墻拒絕接收外部接口的ICMP流量，這可以防止DOS等攻擊。,第52頁 共136頁,7.2 防火墻與DMZ設(shè)計,6. 配置保存命令write memory對防火墻所做的更改，不會直接寫入防火墻閃存中。防火墻先把它存放在RAM 中，防火墻重啟后，更改的配置就會丟失。當配置測試無誤后可以用write memory命令將更改的配置寫入到閃存中。,第53頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),第54頁 共136頁,7.3

32、 網(wǎng)絡(luò)安全設(shè)計技術(shù),7.3.1 IDS網(wǎng)絡(luò)安全設(shè)計1． IDS（入侵檢測系統(tǒng)）IDS分為實時入侵檢測和事后入侵檢測。實時入侵檢測在網(wǎng)絡(luò)連接過程中進行，IDS發(fā)現(xiàn)入侵跡象立即斷開入侵者與主機的連接，實施數(shù)據(jù)恢復。事后入侵檢測由網(wǎng)絡(luò)管理人員定期或不定期進行。入侵檢測系統(tǒng)本質(zhì)上是一種“嗅探設(shè)備” 。,第55頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),2．IDS常用入侵檢測方法IDS常用檢測方法有：特征檢測、統(tǒng)計檢測與專家系統(tǒng)

33、。國內(nèi)90%的IDS使用特征檢測方法。特征檢測與計算機病毒檢測方式類似，主要是對數(shù)據(jù)包進行特征模式匹配，但對于采用新技術(shù)和新方法的入侵與攻擊行為則無能為力。統(tǒng)計檢測常用異常檢測。測量參數(shù)包括：事件的數(shù)量、間隔時間、資源消耗情況等。,第56頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),3. IDS網(wǎng)絡(luò)安全設(shè)計IDS可以串聯(lián)或并聯(lián)的部署在網(wǎng)絡(luò)中各個關(guān)鍵位置。[P178圖7-7] IDS在網(wǎng)絡(luò)中的位置,第57頁 共136頁,7.3

34、 網(wǎng)絡(luò)安全設(shè)計技術(shù),[案例] IDS產(chǎn)品外觀,第58頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),（1）IDS安裝在網(wǎng)絡(luò)邊界區(qū)域。IDS非常適合于安裝在網(wǎng)絡(luò)邊界處，如防火墻的兩端以及到其他網(wǎng)絡(luò)連接處。如果IDS2與路由器并聯(lián)安裝，可以實時監(jiān)測進入到內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包，但是這個位置的帶寬很高，IDS性能必須跟上通信流的速度。,第59頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),（2）IDS系統(tǒng)安裝在服務(wù)器群區(qū)域。對于流量速度不是很高的

35、應(yīng)用服務(wù)器，安裝IDS是非常好的選擇；對于流量速度高，而且特別重要的服務(wù)器，可以考慮安裝專用IDS進行監(jiān)測。DMZ往往是遭受攻擊最多的區(qū)域，在此部署一臺IDS非常必要。,第60頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),（3）IDS系統(tǒng)安裝在網(wǎng)絡(luò)主機區(qū)域?？梢詫DS安裝在主機區(qū)域，從而監(jiān)測位于同一交換機上的其他主機是否存在攻擊現(xiàn)象。如IDS部署在內(nèi)部各個網(wǎng)段，可以監(jiān)測來自內(nèi)部的網(wǎng)絡(luò)攻擊行為。（4）網(wǎng)絡(luò)核心層。網(wǎng)絡(luò)核心層帶

36、寬非常高，不適宜布置IDS。,第61頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),4. IDS存在的問題（1）誤報/漏報率高。（2）沒有主動防御能力。（3）缺乏準確定位和處理機制。,第62頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),[案例] IDS在網(wǎng)絡(luò)中的應(yīng)用,第63頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),[案例] IDS在網(wǎng)絡(luò)中的應(yīng)用,第64頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),7.3.2 IPS網(wǎng)絡(luò)安全設(shè)計1

37、．IPS （入侵防御系統(tǒng)）的功能IPS不但能檢測入侵的發(fā)生，而且能實時終止入侵行為。IPS一般部署在網(wǎng)絡(luò)的進出口處，當它檢測到攻擊企圖后，它會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。,第65頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),[案例] IPS產(chǎn)品外觀,第66頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),[案例] IPS工作原理,第67頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),2．IPS的性能參數(shù)IPS的吞吐率與延時重

38、要的性能參數(shù)。不同廠家IPS支持的協(xié)議數(shù)量、默認功能開啟程度、檢測精細度、承受攻擊的時間等指標差異極大，獲取性能指標的前提條件有很大不同。高性能的IPS往往伴隨著高成本。,第68頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),3．IPS在網(wǎng)絡(luò)中的部署IDS設(shè)備在網(wǎng)絡(luò)中采用旁路式連接；IPS在網(wǎng)絡(luò)中采用串接式連接。串接工作模式保證所有網(wǎng)絡(luò)數(shù)據(jù)都必須經(jīng)過IPS設(shè)備，IPS檢測數(shù)據(jù)流中的惡意代碼，核對策略，在未轉(zhuǎn)發(fā)到服務(wù)器之前，將信息包

39、或數(shù)據(jù)流阻截。IPS是網(wǎng)關(guān)型設(shè)備，最好串接在網(wǎng)絡(luò)出口處，IPS經(jīng)常部署在網(wǎng)關(guān)出口的防火墻和路由器之間，監(jiān)控和保護內(nèi)部網(wǎng)絡(luò)。,第69頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),[P179圖7-8] IPS在網(wǎng)絡(luò)中的位置,第70頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),[案例] IPS在網(wǎng)絡(luò)中的應(yīng)用,第71頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),4. IPS存在的問題（1）單點故障。（2）性能瓶頸。（3）誤報和漏報。（4

40、）規(guī)則動態(tài)更新。（5）總體擁有成本（TOC）較高。,第72頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),[案例] 統(tǒng)一威脅隔離系統(tǒng)（UTM）,第73頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),7.3.3 ACL網(wǎng)絡(luò)安全技術(shù)1. ACL（訪問控制列表）工作原理ACL是網(wǎng)絡(luò)設(shè)備處理數(shù)據(jù)包轉(zhuǎn)發(fā)的一組規(guī)則。ACL采用包過濾技術(shù)，在路由器中讀取第三層和第四層數(shù)據(jù)包包頭中的信息，如源地址、目的地址、源端口、目的端口等，然后根據(jù)網(wǎng)絡(luò)工程師預

41、先定義好的ACL規(guī)則，對數(shù)據(jù)包進行過濾，從而達到訪問控制的目的。,第74頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),[案例] ACL處理流程,第75頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),2. ACL配置的基本原則 （1）最小權(quán)限原則。只滿足ACL部分條件的數(shù)據(jù)包不允許通過。（2）最靠近受控對象原則。標準ACL盡可能放置在靠近目的地址的地方；擴展ACL盡量放置在靠近源地址的地方。（3）立即終止原則。（4）默認丟棄原則

42、。如果數(shù)據(jù)包與所有ACL行都不匹配，將被丟棄。,第76頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),（5）單一性原則。一個接口在一個方向上只能有一個ACL。（6）默認設(shè)置原則。路由器或三層交換機在沒有配置ACL的情況下，默認允許所有數(shù)據(jù)包通過。防火墻在在沒有配置ACL的情況下，默認不允許所有數(shù)據(jù)包通過。,第77頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),3. 標準ACL配置（1）創(chuàng)建ACL命令格式：Router (conf

43、ig)# access-list {permit | deny } { | any }（2）將ACL應(yīng)用到某一接口命令格式：Router (config-if)# {protocol} access-group {in| out },第78頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),4. 擴展ACL配置標準ACL只能控制源IP地址，不能控制到端口。要控制第四層的端口，需要使用擴展ACL配置。如果路由器沒有硬件ACL加速

44、功能，它會消耗路由器大量的CPU資源，因此擴展ACL要盡量放置在靠近源地址的地方。命令格式：Router(config)# access-list {permit | deny} { | }{ } { } [ ] [log],第79頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),5. ACL單向訪問控制問題：重要部門（如財務(wù)部）的主機不允許其他部門訪問，而這個部門卻可以訪問其他的部門（如市場部）的主機。ACL可以實現(xiàn)單向訪問功能

45、。命令格式：Router(config)# access-list {permit | deny} [operator port] [operator port] [established] [log],第80頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),7.3.4 VPN網(wǎng)絡(luò)安全設(shè)計2．VPN的概念定義：使用IP機制仿真出一個私有的廣域網(wǎng)。VPN通過私有隧道技術(shù)，在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點到點的專線。虛擬是指用

46、戶不需要擁有實際的長途數(shù)據(jù)線路，而是利用Internet的數(shù)據(jù)傳輸線路；專用網(wǎng)絡(luò)是指用戶可以制定一個最符合自己需求的網(wǎng)絡(luò)。VPN是在Internet上臨時建立的安全專用虛擬網(wǎng)絡(luò)。,第81頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),3．VPN隧道技術(shù)工作原理隧道是一種數(shù)據(jù)加密傳輸技術(shù)。數(shù)據(jù)包通過隧道進行安全傳輸。被封裝的數(shù)據(jù)包在隧道的兩個端點之間通過Internet進行路由。被封裝的數(shù)據(jù)包在公共互聯(lián)網(wǎng)上傳遞時所經(jīng)過的邏輯路徑稱

47、為隧道。數(shù)據(jù)包一旦到達隧道終點，將被解包并轉(zhuǎn)發(fā)到最終目的主機。,第82頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),[案例] VPN隧道,第83頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),[P183圖7-10] 隧道技術(shù)工作原理,第84頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),在數(shù)據(jù)傳輸過程中，用戶和VPN服務(wù)器之間可以協(xié)商數(shù)據(jù)加密傳輸。加密之后，即使是ISP也無法了解數(shù)據(jù)包的內(nèi)容。即使用戶不對數(shù)據(jù)加密，NAS和VPN服務(wù)器建立

48、的隧道兩側(cè)也可以協(xié)商加密傳輸，這使得Internet上的其他用戶無法識別隧道中傳輸?shù)臄?shù)據(jù)信息。因此VPN服務(wù)的安全性是有保證的。,第85頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),4．VPN工作協(xié)議VPN有兩種隧道協(xié)議：PPTP（點到點隧道協(xié)議）PPTP是PPP的擴展，它增加了安全等級，并且可以通過Internet進行多協(xié)議通信。L2TP（第二層隧道協(xié)議）L2TP與PPTP功能大致相同。不同的是L2TP使用IPSec機制進行身

49、份驗證和數(shù)據(jù)加密。L2TP只支持IP網(wǎng)絡(luò)建立的隧道，不支持X.25、FR或ATM網(wǎng)絡(luò)的本地隧道。,第86頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),[案例] IPv6中IPSec協(xié)議的實現(xiàn),第87頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),5. VPN網(wǎng)絡(luò)設(shè)計構(gòu)建VPN只需在資源共享處放置一臺VPN服務(wù)器即可。（1）自建VPN網(wǎng)絡(luò)企業(yè)可以自建VPN網(wǎng)絡(luò)，在企業(yè)總部和分支機構(gòu)中安裝專用VPN設(shè)備，或在路由器、防火墻等設(shè)備中配置V

50、PN協(xié)議，就可以將各個外地機構(gòu)與企業(yè)總部安全地連接在一起了。自建VPN的優(yōu)勢在于可控制性強，可以滿足企業(yè)的某些特殊業(yè)務(wù)要求。,第88頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),[P185圖7-11] 企業(yè)自建VPN結(jié)構(gòu),第89頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),[案例] VPN端到端安全保證,第90頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),（2）外包VPN網(wǎng)絡(luò)電信企業(yè)、ISP目前都提供VPN外包服務(wù)。VPN外包可以簡

51、化企業(yè)網(wǎng)絡(luò)部署，但降低了企業(yè)對網(wǎng)絡(luò)的控制權(quán)。[P185圖7-12] 企業(yè)擴展虛擬網(wǎng)結(jié)構(gòu),第91頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),[案例] ISP的VPN網(wǎng)絡(luò),第92頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),[案例] VPN在企業(yè)網(wǎng)絡(luò)中的應(yīng)用,第93頁 共136頁,7.3 網(wǎng)絡(luò)安全設(shè)計技術(shù),[案例] VPN在企業(yè)網(wǎng)絡(luò)中的應(yīng)用,第94頁 共136頁,7.4 網(wǎng)絡(luò)物理隔離設(shè)計,第95頁 共136頁,7.4 網(wǎng)絡(luò)物理

52、隔離設(shè)計,7.4.1 網(wǎng)絡(luò)隔離的技術(shù)特點我國《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》規(guī)定：涉及國家秘密的計算機信息系統(tǒng)，不得直接或間接地與國際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)相連接，必須實行物理隔離。,第96頁 共136頁,7.4 網(wǎng)絡(luò)物理隔離設(shè)計,1．網(wǎng)絡(luò)隔離技術(shù)的發(fā)展隔離技術(shù)物理隔離（物理隔離卡或物理隔離交換機）協(xié)議隔離（安全網(wǎng)閘）網(wǎng)絡(luò)物理隔離卡確保了計算機在同一時間只能訪問一個網(wǎng)絡(luò)，兩個網(wǎng)絡(luò)在同一時間內(nèi)不會有任何連接。網(wǎng)絡(luò)物

53、理隔離卡解決了網(wǎng)絡(luò)的攻擊問題，缺點是信息交流仍然不便。,第97頁 共136頁,7.4 網(wǎng)絡(luò)物理隔離設(shè)計,[案例] 網(wǎng)絡(luò)安全技術(shù)的發(fā)展,第98頁 共136頁,7.4 網(wǎng)絡(luò)物理隔離設(shè)計,2．網(wǎng)絡(luò)隔離的安全要求網(wǎng)絡(luò)隔離必須達到以下要求：在物理傳輸上使內(nèi)網(wǎng)與外網(wǎng)徹底隔斷。在物理輻射上隔斷內(nèi)網(wǎng)與外網(wǎng)。在物理存儲上隔斷兩個網(wǎng)絡(luò)環(huán)境。對于斷電后會清除信息的部件，如內(nèi)存、CPU寄存器等，要在內(nèi)外網(wǎng)絡(luò)轉(zhuǎn)換時做清除處理，防止殘留信息流出網(wǎng)絡(luò)

54、。對于斷電后數(shù)據(jù)非遺失性設(shè)備，如硬盤等，內(nèi)網(wǎng)與外網(wǎng)的信息要分開存儲（不能使用同一個硬盤）。,第99頁 共136頁,7.4 網(wǎng)絡(luò)物理隔離設(shè)計,網(wǎng)絡(luò)隔離產(chǎn)品比防火墻高一個安全級別。網(wǎng)絡(luò)隔離產(chǎn)品的安全措施：對操作系統(tǒng)進行加固優(yōu)化；由兩套操作系統(tǒng)(OS)組成;一套OS控制外網(wǎng)接口，另一套OS控制內(nèi)網(wǎng)接口，在兩套操作系統(tǒng)之間通過不可路由的協(xié)議進行數(shù)據(jù)交換。即使黑客進入了內(nèi)網(wǎng)系統(tǒng)，仍然無法控制內(nèi)網(wǎng)系統(tǒng)。數(shù)據(jù)包不能路由到對方網(wǎng)絡(luò)。對

55、網(wǎng)間訪問進行嚴格控制和檢查，確保每次數(shù)據(jù)交換都是可信和可控制的。產(chǎn)品要求很高的處理性能，不能成為網(wǎng)絡(luò)的瓶頸。,第100頁 共136頁,7.4 網(wǎng)絡(luò)物理隔離設(shè)計,7.4.2 網(wǎng)絡(luò)物理隔離工作原理1．單主板安全隔離計算機工作原理：采用雙硬盤，將內(nèi)網(wǎng)與外網(wǎng)的轉(zhuǎn)換功能嵌入在主板BIOS中。主板網(wǎng)卡也分為內(nèi)網(wǎng)和外網(wǎng)。價格介于雙主機和網(wǎng)絡(luò)物理隔離卡之間。這種安全技術(shù)在低層的BIOS上開發(fā)，因此CPU、內(nèi)存、顯卡等設(shè)備的升級，不會給

56、計算機帶來不兼容的影響。,第101頁 共136頁,7.4 網(wǎng)絡(luò)物理隔離設(shè)計,計算機形成了兩個網(wǎng)絡(luò)物理隔離環(huán)境，它們分別對應(yīng)于Internet和內(nèi)部局域網(wǎng)，構(gòu)成了網(wǎng)絡(luò)接入和信息存儲環(huán)境的各自獨立。計算機每次啟動后，只能工作在一種網(wǎng)絡(luò)環(huán)境下。BIOS還可以對所有輸入/輸出設(shè)備進行控制。例如，對U盤、光驅(qū)提供限制功能，在系統(tǒng)引導時不允許驅(qū)動器中有移動存儲介質(zhì)。BIOS自身的安全采用硬件防寫入跳線，防止病毒破壞、非法刷新或破壞BIOS

57、的攻擊行為。,第102頁 共136頁,7.4 網(wǎng)絡(luò)物理隔離設(shè)計,2．雙主板安全隔離計算機每臺計算機有兩塊主板，每塊主板一個網(wǎng)卡，分別連接內(nèi)網(wǎng)和外網(wǎng)。每塊主板有一個串行口，雙端口RAM是連接兩塊主板的唯一通道。 [P187圖7-14] 雙主板安全隔離計算機結(jié)構(gòu),第103頁 共136頁,7.4 網(wǎng)絡(luò)物理隔離設(shè)計,兩塊主板之間通過雙端口RAM進行數(shù)據(jù)傳輸。雙端口RAM分為兩個區(qū)，第一區(qū)是內(nèi)網(wǎng)客戶端向外網(wǎng)服務(wù)器單向傳輸數(shù)據(jù)的通道；第

58、二區(qū)是外網(wǎng)客戶端向內(nèi)網(wǎng)服務(wù)器單向傳輸數(shù)據(jù)時的通道。平時內(nèi)網(wǎng)與外網(wǎng)之間是斷開的，雙端口RAM處于斷開狀態(tài)。當有數(shù)據(jù)傳輸時，內(nèi)網(wǎng)與外網(wǎng)才通過雙端口RAM進行數(shù)據(jù)傳輸。,第104頁 共136頁,7.4 網(wǎng)絡(luò)物理隔離設(shè)計,3．物理隔離卡技術(shù)物理隔離卡分為單網(wǎng)口卡和雙網(wǎng)口卡。 [P187圖7-15] 物理隔離卡結(jié)構(gòu),第105頁 共136頁,7.4 網(wǎng)絡(luò)物理隔離設(shè)計,[案例] 物理隔離卡,第106頁 共136頁,7.4 網(wǎng)絡(luò)物理隔

59、離設(shè)計,采用物理隔離卡時，需要在主板BIOS中做一些定制和修改，將內(nèi)網(wǎng)與外網(wǎng)的轉(zhuǎn)換功能嵌入BIOS中。工作原理：物理隔離卡采用雙硬盤，啟動外網(wǎng)時關(guān)閉內(nèi)網(wǎng)硬盤，啟動內(nèi)網(wǎng)時關(guān)閉外網(wǎng)硬盤，使兩個網(wǎng)絡(luò)和硬盤進行物理隔離。這種技術(shù)的優(yōu)點是價格低。進行內(nèi)網(wǎng)與外網(wǎng)轉(zhuǎn)換時，需要重新啟動計算機。,第107頁 共136頁,7.4 網(wǎng)絡(luò)物理隔離設(shè)計,物理隔離卡的功能是以物理方式將一臺計算機機虛擬為兩臺計算機，實現(xiàn)計算機的雙重狀態(tài)，既可在內(nèi)部安全狀態(tài)

60、，又可在公共外部狀態(tài)，兩種狀態(tài)是完全隔離的。物理隔離卡與操作系統(tǒng)無關(guān)，兼容所有操作系統(tǒng)，可以應(yīng)用于所有SATA或IDE接口硬盤。物理隔離卡對網(wǎng)絡(luò)技術(shù)和協(xié)議完全透明，支持單或雙布線的隔離網(wǎng)絡(luò)。,第108頁 共136頁,7.4 網(wǎng)絡(luò)物理隔離設(shè)計,[案例] 物理隔離卡在網(wǎng)絡(luò)中的應(yīng)用,第109頁 共136頁,7.4 網(wǎng)絡(luò)物理隔離設(shè)計,6．隔離交換機隔離交換機簡化了用戶PC到隔離交換機之間的布線，使用戶端不需要布放雙網(wǎng)線。隔離交換機根

61、據(jù)數(shù)據(jù)包包頭的標記信息來決定數(shù)據(jù)包是通過內(nèi)網(wǎng)還是通過外網(wǎng)。利用物理隔離卡、計算機和隔離交換機組成的網(wǎng)絡(luò)，是徹底的物理隔離網(wǎng)絡(luò)，兩個網(wǎng)絡(luò)之間沒有信息交流，因此可以抵御所有的網(wǎng)絡(luò)攻擊。,第110頁 共136頁,7.4 網(wǎng)絡(luò)物理隔離設(shè)計,[P188圖7-17] 隔離交換機,第111頁 共136頁,7.4 網(wǎng)絡(luò)物理隔離設(shè)計,[P188圖7-17] 隔離交換機應(yīng)用,第112頁 共136頁,7.4 網(wǎng)絡(luò)物理隔離設(shè)計,[P188圖7-17

62、] 隔離交換機應(yīng)用,第113頁 共136頁,7.4 網(wǎng)絡(luò)物理隔離設(shè)計,7．物理隔離卡產(chǎn)品的技術(shù)性能（1）兼容性（2）網(wǎng)絡(luò)環(huán)境（3）操作系統(tǒng)（4）硬盤規(guī)格（5）安裝簡單（6）維護簡單,第114頁 共136頁,7.4 網(wǎng)絡(luò)物理隔離設(shè)計,7.4.3 安全隔離網(wǎng)閘工作原理GAP（安全隔離網(wǎng)閘）通過專用硬件和軟件技術(shù)，使兩個或者兩個以上的網(wǎng)絡(luò)在不連通的情況下，實現(xiàn)數(shù)據(jù)安全傳輸和資源共享。,第115頁 共136頁,7.4 網(wǎng)

63、絡(luò)物理隔離設(shè)計,1．GAP技術(shù)的特點GAP由固態(tài)讀寫開關(guān)和存儲介質(zhì)系統(tǒng)組成，存儲介質(zhì)通常采用SCSI硬盤。GAP在同一時刻只有一個網(wǎng)絡(luò)與安全隔離網(wǎng)閘建立無協(xié)議的數(shù)據(jù)連接。GAP沒有網(wǎng)絡(luò)連接，并將通信協(xié)議全部剝離。數(shù)據(jù)文件以原始數(shù)據(jù)方式進行“擺渡”，因此，它能夠抵御互聯(lián)網(wǎng)絕大部分攻擊。,第116頁 共136頁,7.4 網(wǎng)絡(luò)物理隔離設(shè)計,2．GAP數(shù)據(jù)交換過程當內(nèi)網(wǎng)與外網(wǎng)之間無數(shù)據(jù)交換時，GAP與內(nèi)網(wǎng)和外網(wǎng)之間是完全斷開的。[P

64、189圖7-18] GAP無數(shù)據(jù)交換時的狀態(tài),第117頁 共136頁,7.4 網(wǎng)絡(luò)物理隔離設(shè)計,[案例] 安全隔離網(wǎng)閘工作原理,第118頁 共136頁,7.4 網(wǎng)絡(luò)物理隔離設(shè)計,[案例] 安全隔離網(wǎng)閘工作原理,第119頁 共136頁,7.4 網(wǎng)絡(luò)物理隔離設(shè)計,當內(nèi)網(wǎng)數(shù)據(jù)傳輸?shù)酵饩W(wǎng)時，GAP向內(nèi)網(wǎng)服務(wù)器發(fā)起非TCP/IP的數(shù)據(jù)連接請求，并發(fā)出“寫”命令，將GAP寫入控制開關(guān)合上，并把所有協(xié)議剝離，將原始數(shù)據(jù)寫入存儲介質(zhì)。一旦

65、數(shù)據(jù)完全寫入GAP存儲介質(zhì)中，GAP與內(nèi)網(wǎng)服務(wù)器之間的控制開關(guān)立即斷開。接下來GAP與外網(wǎng)服務(wù)器之間的控制開關(guān)接通，GAP發(fā)起對外網(wǎng)非TCP/IP的數(shù)據(jù)連接請求。外網(wǎng)服務(wù)器收到請求后，發(fā)出“讀”命令，將GAP存儲介質(zhì)內(nèi)的數(shù)據(jù)傳輸?shù)酵饩W(wǎng)服務(wù)器。,第120頁 共136頁,7.4 網(wǎng)絡(luò)物理隔離設(shè)計,外網(wǎng)服務(wù)器收到數(shù)據(jù)后，按TCP/IP協(xié)議要求重新封裝接收到的數(shù)據(jù)，交給應(yīng)用系統(tǒng)。,第121頁 共136頁,7.4 網(wǎng)絡(luò)物理隔離設(shè)計,3．G

66、AP系統(tǒng)的邏輯隔離屬性GAP提取數(shù)據(jù)的整個過程由軟件自動完成。有關(guān)部門鑒定，GAP仍然屬于邏輯隔離產(chǎn)品，不能直接用于內(nèi)部網(wǎng)絡(luò)與Internet之間的隔離。GAP技術(shù)的安全性高于防火墻，數(shù)據(jù)交換性能遠優(yōu)于網(wǎng)絡(luò)物理隔離卡，但是隔離效果低于網(wǎng)絡(luò)物理隔離卡。,第122頁 共136頁,7.4 網(wǎng)絡(luò)物理隔離設(shè)計,4．GAP主要產(chǎn)品國外GAP產(chǎn)品美國Whalecommunications公司e-GAP系統(tǒng)美國Spearhead公司的Ne

67、tGAP等國內(nèi)GAP產(chǎn)品天行網(wǎng)安公司的“安全隔離網(wǎng)閘”聯(lián)想公司的“聯(lián)想網(wǎng)御安全隔離網(wǎng)閘”中網(wǎng)公司的“中網(wǎng)隔離網(wǎng)閘”偉思公司的“偉思網(wǎng)絡(luò)安全隔離網(wǎng)閘”等。,第123頁 共136頁,7.4 網(wǎng)絡(luò)物理隔離設(shè)計,7.4.4 物理隔離網(wǎng)絡(luò)設(shè)計案例1．GAP安全隔離網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計[P190圖7-19] 利用GAP構(gòu)建網(wǎng)絡(luò),第124頁 共136頁,7.4 網(wǎng)絡(luò)物理隔離設(shè)計,[案例] GAP在電子政務(wù)網(wǎng)絡(luò)中的應(yīng)用,第125頁 共1

68、36頁,7.4 網(wǎng)絡(luò)物理隔離設(shè)計,[案例] GAP在電子政務(wù)網(wǎng)絡(luò)中的應(yīng)用,第126頁 共136頁,7.4 網(wǎng)絡(luò)物理隔離設(shè)計,[案例] 安全隔離網(wǎng)閘在大型政務(wù)網(wǎng)絡(luò)中的應(yīng)用,第127頁 共136頁,7.4 網(wǎng)絡(luò)物理隔離設(shè)計,[案例] 安全隔離網(wǎng)閘在金融系統(tǒng)的應(yīng)用,第128頁 共136頁,7.4 網(wǎng)絡(luò)物理隔離設(shè)計,[案例] 安全隔離網(wǎng)閘在金融系統(tǒng)的應(yīng)用,第129頁 共136頁,7.4 網(wǎng)絡(luò)物理隔離設(shè)計,[案例] 安全隔離網(wǎng)