信息安全技术体系：第5章 安全网络子系统

1、目录第1章 信息安全概论第2章 信息安全整体原理第3章 信息安全技术要素第4章 安全主机子系统第5章 安全网络子系统第6章 安全检测子系统第7章 信息安全技术体系第5章 安全网络子系统5.1 安全网络概述 5.2 安全协议5.3 防火墙5.4 安全隔离系统5.1 安全网络概述 5.1.1 安全网络系统的地位和作用5.1.2 协议安全5.1.3 设备安全5.1.1 安全网络系统的地位和作用一、网络的地位和作用二、网络安全的地位三、网络安全的作用一、网络的地位和作用二、网络安全的地位计算机网络是基于操作系统提供的进程、内存、文件、输入输出等基本功能服务，再小的网络设备也需要一个操作系统的核心，计算

2、机网络是处在操作系统之上。应用软件硬件操作系统编译、数据库等支撑软件计算机网络系统三、网络安全的作用如果说安全操作系统和安全数据库管理系统提供网络空间中“点”上的安全，那么安全网络系统就是提供网络空间中“线”上的安全。 网络系统安全提供信息在通信过程中的安全保障。通过安全协议提供保密性、完整性、可用性、可鉴别性等信息安全保障的目标。5.1.2 协议安全一、安全协议的设计原则 二、安全协议的实施路线 一、安全协议的设计原则安全协议主要要解决三方面的问题。通信双方是真实的、可信的，由于在Internet网中，IP地址的设置有一定的随意性，攻击者可以假冒，用IP地址不能作为通信双方真实身份的依据，需

3、要其他的身份鉴别机制和技术。在身份鉴别机制中，在一般人的印象里，大多都是服务方对客户的认证（单向认证）。这在单机环境下是安全的（服务方是确定的），然而在网络环境下，还需要客户端认证服务器（双向认证），否则会出现假冒服务器攻击的威胁。通信协议本身应该是安全的，不因协议的安全漏洞，而造成第三方的攻击，如flood攻击、smurf攻击等案例；协议也不能被第三方攻击，假冒其中一方与另一方进行通信，而使另一方以为是正常的、安全的通信，破坏信息的完整性、可鉴别性，也致使用户的行为无法审计，例如，重放攻击。协议传输的数据应该提供保密性机制，防止敏感信息的泄密。 安全协议设计的10条原则 设计目标明确、无歧义

4、；对协议本身进行形式化描述；通过形式化分析，证明协议的正确性；安全性与具体采用的密码算法无关；保证临时值和会话密钥等重要信息的新鲜性；尽量采用异步认证，而不采用同步认证；具有抵抗常见攻击，特别是重放攻击的能力；进行运行环境的风险分析，减少安全假设；可用于网络协议的不同层，实用性强；尽量减少密码运算，降低成本，提高效率。 二、安全协议的实施路线建立一套全新的网络安全协议。对这方面的研究主要是建立在对协议的形式化分析方法的基础上，目前，比较成功的研究思路包括：基于推理知识和信念的模态逻辑、基于状态机理论的定理证明技术等新安全协议研究，例如对IPv6等的研究工作。建立一套基于形式化证明的、全新的安全

5、协议，以满足对网络的保密性、完整性、可用性、可鉴别性、可控性、可审计性、不可否认性等的安全要求。从这个角度研究，工作量大，有一定的难度。建立在原有安全协议之上的安全协议研究。目前，这方面的研究工作和成果比较多，这种方法比较现实，能解决一些安全协议问题，能满足一定的安全需求。但是，这些协议一般仅针对ISO/OSI七层协议或TCP/IP四层协议的某一层，安全协议之间关联性不强，整体性较差。 5.1.3 设备安全网络设备包含网卡、集线器（HUB）、交换机、路由器等很多内容，这里仅以路由器为例说明网络设备应该具备的安全性 。路由器安全的三个层面：物理环境安全；底层操作系统安全；路由器自身提供的安全措施

6、；改造后的路由表源IP地址目的IP地址 下一跳IP地址5.2 安全协议5.2.1 安全协议概述5.2.2 IPSec安全协议 5.2.3 SSL安全协议 5.2.4 SET安全协议5.2.1 安全协议概述一、协议二、安全协议一、协议（一）定义（二）特点（一）定义就是两个或两个以上的参与者采取一系列步骤以完成某项特定任务的约定。首先、协议需要两个或两个以上的参与者。其次、各参与者之间呈现为消息处理和消息交换是交替进行的。第三、通过执行协议必须能够完成某项任务或达成某项共识。（二）特点协议中的每个参与者都必须了解协议，并预先知道所要完成的所有步骤；协议中的每个参与者都必须同意并遵循它；协议必须是清

7、楚的，每一步必须明确定义，并且不会引起误解；协议必须是完整的，对每一种情况必须规定具体的动作。二、安全协议（一）定义（二）角色（三）攻击方式（一）定义安全协议是使用密码学完成某项特定的任务并满足安全需求的协议。经常使用的密码：对称密码公开密钥密码单向函数安全协议的目的是在网络环境中为用户提供各种安全服务。（二）角色安全协议运行环境中的角色有参与者、攻击者和可信第三方：参与者是协议执行过程中的双方或多方，也就是常说的发送方和接收方。攻击者(敌手)就是协议过程中企图破坏协议安全性和正确性的人。可信第三方是指在完成协议的过程中，值得信任的第三方，能帮助互不信任的双方完成协议。（三）攻击方式常见攻击手

8、段主要有：窃听篡改重放反射拒绝服务密码分析等5.2.2 IPSec安全协议一、概述二、体系结构三、工作模式四、AH协议五、ESP协议六、IKE协议一、概述IP协议不具有安全性，攻击者很容易伪造IP包的地址、修改IP数据包的内容、重放IP数据包等。为此，IPSec的设计目标为：认证：通过认证确保IP数据包发送者的真实性，防止IP数据包的伪造；保密性：通过加密，防止IP数据包的泄漏、被第三方窃听；完整性：通过验证，防止IP数据包被篡改。二、体系结构IPSec包括认证头（AH）、封装安全载荷（ESP）和Internet密钥交换（IKE）协议。IP AH协议提供数据源认证，无连接的完整性，以及一个可选

9、的抗重放服务。ESP协议提供数据保密性，有限的数据流保密性，数据源认证，无连接的完整性以及抗重放服务。对于AH和ESP都有两种操作模式：传输模式和隧道模式。IKE协议用于协商AH和ESP所使用的密码算法，并将算法所需要的密钥放在合适的位置。IPSec所使用的协议被设计成与算法无关的。算法的选择在安全策略数据库（SPD）中指定。IPSec允许系统或网络的用户和管理员控制安全服务提供的粒度。通过使用安全关联（SA），IPSec能够区分对不同数据流提供的安全服务。三、工作模式四、AH协议（一）AH的目标（二）AH的协议包格式（三）AH的处理（一）AH的目标AH协议提供无连接的完整性(connecti

10、onless integrity)数据源认证(data origin authentication)反重播(anti-replay)攻击服务然而，AH不提供任何保密性服务，也就是说它不加密所保护的数据包（二）AH的协议包格式（三）AH的处理1、发送过程2、接受过程1、发送过程第一步：计算SA第二步：填充值第三步：计算ICV第一步：计算SA外出数据包与一个SPDB条目匹配时，查看SADB是否有合适的SA。如果有，就将AH应用到这个与之相符的数据包，该数据包在SPDB条目指定的那个模式中。如果没有，可用IKE动态地建立一个，并把序列号计数器初始化为0。在利用这个SA构建一个AH头之前，计算器就开始

11、递增，这样保证了每个AH报头中的序列号都是一个独一无二的、非零的和单向递增的数。第二步：填充值向AH的其余字段填满恰当的值。SPI字段分配的值是取自SA的SPI；下一个头字段分配的是跟在AH之后的数据类型值；而载荷长度分配的则是“32位字减二”；“验证数据”字段设成0。需要注意的是：AH协议将安全保护扩展到外部IP报头的原有的字段，因此将“完整性检查值（ICV）”之前的不定字段清零是必要的。这和ESP协议的处理是不一样的。第三步：计算ICV根据验证算法的要求，或出于排列方面的原因，需要进行适当的填充。计算ICV。将计算得到的ICV复制到AH的“验证数据”字段中。2、接受过程第一步：重组分段第二

12、步：检查SA第三步：检查序列号第四步：检查ICV第一步：重组分段如果一个受AH安全保护的包在接收时被证实是分段数据，那么在AH输入处理之前需要对这些分段数据进行重新组合。因为如果分段的数据报没有重组为原来的完整数据，ICV检查就会失败。只有完整的AH保护的IP包可传送到AH输入处理。第二步：检查SA查询SADB，找出保护这个包的SA。用基于IP报头的SPI、目的IP地址和安全协议（AH）组成的三元组来对SA进行查询。如果没有找到合适的SA，这个包会被丢弃。第三步：检查序列号如果检查失败，这个包就会被丢弃。第四步：检查ICV首先，把AH报头中的“验证数据”字段中的ICV值取出来。然后，将这个字段

13、清零，同时将IP中所有不定字段也清零。根据验证算法的要求，以及载荷长度的要求，可能还要进行零数据的填充，使验证数据的长度符合算法的要求。随后对整个数据包应用验证算法，并将获得的摘要同保存下来的ICV值进行比较。如相符，IP包就通过了身份验证；如不符，该数据报丢弃。五、ESP协议（一）ESP的目标（二）ESP的协议包格式（三）ESP的处理（一）ESP的目标ESP为IP报文以无连接的方式提供完整性校验、认证和加密服务，同时还可能提供防重放攻击保护。约定：完整性校验和身份认证建议同时使用。使用防重放攻击时，建议同时使用完整性校验和身份认证。防重放攻击保护的使用建议由接收端选择。加密独立于其他的安全服

14、务，但建议使用加密时，同时使用完整性校验和身份认证。（二）ESP的协议包格式（三）ESP的处理1、发送过程2、接受过程1、发送过程查询SA加密包产生序列号计算ICV分段封装包查询SA得到处理包的策略和SA。其中，包括SPI，密钥等。加密包在增加了必要的填充项后，使用密钥、加密算法、由SA指定的算法模式以及密码同步对载荷数据、填充项、填充长度、下一个头进行加密。如果选择认证，则在认证前要进行加密，加密不包含认证数据字段。由于认证数据不被加密保护，因此要使用认证算法计算ICV。产生序列号当创建一个SA时，发送者的计数器初始化为0。利用这个SA，发送的第一个包的序列号设置为1，计数器的值从此开始递增

15、，并将新值插入到序列号字段，这样就可以保证序列号的唯一性、非零性和单向递增性。计算ICV计算ICV的参数包含：SPI序列号载荷数据（包括初始化向量，原IP头、TCP头和原载荷数据）填充项填充长度下一个头字段的密文数据。分段在进行ESP处理后，IPSec要进行IP分段。传输模式ESP只适用于整个IP数据报，由路由器对IP包进行分段，在ESP处理之前，由接收端进行分段重组。在隧道模式中，应用ESP协议处理IP包，载荷是分段的IP包。封装包重新计算位于ESP前面的IP头校验和，按IPSec格式重新封装数据报。2、接受过程重组查询SA验证序列号验证ICV解密包重组在ESP处理之前，执行分段包的重组。查

16、询SA接收到包含ESP头的包时，接收者根据目的地址、安全协议和SPI查询单向的SA。SA指示出是否检查序列号字段，认证数据字段是否出现，说明解密和ICV计算使用的算法和密钥等。验证序列号验证每个接收的包是否包含不重复的序列号。通过使用滑动接收窗口，可以拒绝重复序列号。序列号未重复，接收者就进行ICV验证。如果ICV验证失败，接收者丢弃无效的IP数据报。如果ICV验证成功，刷新接收窗口。验证ICV接收者使用认证算法，根据包的字段计算ICV验证包中认证数据字段内的ICV是否相同。解密包接收者使用密钥、加密算法、算法模式和密码同步数据，对ESP载荷数据、填充项、填充长度和下一个头进行解密。在解密数据

17、传送到上一层之前，接收者应检查填充项字段。原始数据报的重组取决于ESP的工作模式。六、IKE协议（一）概述（二）SA的建立（三）SA的生命期（一）概述两台IPSec计算机在交换数据之前，必须首先建立某种约定，这种约定，称为“安全关联”。它是指双方需要就如何保护信息、交换信息等公用的安全设置达成一致，更重要的是，必须有一种方法，使那两台计算机安全地交换一套密钥，以便在它们的连接中使用。Internet工程任务组IETF制定的安全关联标准和密钥交换解决方案IKE（Internet密钥交换）负责这些任务，它提供一种方法供两台计算机建立安全关联(SA)。IKE主要完成两个作用：(1)安全关联的集中化管

18、理，减少连接时间；(2)密钥的生成和管理。安全关联SA（Security Association）是单向的，在两个使用IPSec的实体（主机或路由器）间建立的逻辑连接，定义了实体间如何使用安全服务（如加密）进行通信。它由下列元素组成：1）安全参数索引SPI；2）IP目的地址；3）安全协议。SA是一个单向的逻辑连接，也就是说，在一次通信中，IPSec需要建立两个SA，一个用于入站通信，另一个用于出站通信。若某台主机，如文件服务器或远程访问服务器，需要同时与多台客户机通信，则该服务器需要与每台客户机分别建立不同的SA。每个SA用唯一的SPI索引标识，当处理接收数据包时，服务器根据SPI值来决定该使

19、用哪种SA。（二）SA的建立第一阶段协商（主模式协商）第二阶段协商（快速模式协商）第一阶段协商（主模式协商）策略协商：四个强制性参数值进行协商：a）加密算法：选择DES或3DES；b）hash算法：选择MD5或SHA；c）认证方法：选择证书认证、预置共享密钥认证或Kerberos v5认证；d）Diffie-Hellman组的选择。Diffie-Hellman(DH)交换：虽然名为“密钥交换”，但事实上在任何时候，两台通信主机之间都不会交换真正的密钥，它们之间交换的只是一些DH算法生成共享密钥所需要的基本材料信息。在彼此交换过密钥生成“材料”后，两端主机可以各自生成出完全一样的共享“主密钥”。

20、认证：DH交换需要得到进一步认证，如果认证不成功，通信将无法继续下去。“主密钥”结合在第一步中确定的协商算法，对通信实体和通信信道进行认证。第二阶段协商（快速模式协商）策略协商：双方交换保护需求：a）使用哪种IPSec协议：AH或ESP；b）使用哪种hash算法：MD5或SHA；c）是否要求加密，若是，选择加密算法：3DES或DES。在上述三方面达成一致后，将建立起两个SA，分别用于入站和出站通信。会话密钥材料刷新或交换：在这一步中，将生成加密IP数据包的“会话密钥”。生成“会话密钥”所使用的“材料”可以和生成第一阶段SA中“主密钥”的相同，也可以不同。提交：SA和密钥连同SPI，递交给IPS

21、ec驱动程序。（三）SA的生命期第一阶段SA有一个缺省有效时间，如果SA超时，或“主密钥”和“会话密钥”中任何一个生命期时间到，都要向对方发送第一阶段SA删除消息，通知对方第一阶段SA已经过期。之后需要重新进行SA协商。第二阶段SA的有效时间由IPSec驱动程序决定。 5.2.3 SSL安全协议一、SSL协议概述二、SSL体系结构三、SSL安全性讨论一、SSL协议概述SSL（Secure Socket Layer）是由Netscape公司研制，并由IETF完善为TLS（Transport Layer Security），因此，也称为SSL/TLS。其设计目标为：安全性：通过对称加密体制提供传输

22、数据的保密性；通过消息验证码（MAC）提供传输数据的完整性；通过非对称加密体制提供实体身份的认证。可扩展性：可以支持新的对称和非对称加密算法。效率：通过可选的会话高速缓存机制，减少需要从头建立连接的密钥运算。二、SSL体系结构（一）总图（二）SSL握手协议（三）SSL记录协议（四）SSL协议的工作流程（一）总图（二）SSL握手协议1、概述2、主要功能3、主要字段4、详细过程1、概述SSL握手协议在客户和服务器传送应用层数据之前，完成诸如加密算法和会话密钥的确定，通信双方的身份验证等功能；它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。

23、在初次建立SSL连接时服务器与客户机交换一系列消息。2、主要功能客户机认证服务器；允许客户机与服务器选择双方都支持的密码算法；可选择的服务器认证客户；使用公钥加密技术生成共享密钥；建立加密SSL连接。3、主要字段类型（1字节）：该字段指明使用的SSL握手协议报文类型。SSL握手协议报文包括10种类型。报文类型见表5-2。长度（3字节）：以字节为单位的报文长度。内容（1字节）：使用的报文的有关参数。4、详细过程建立连接认证服务器和密钥交换认证客户和密钥交换结束建立连接客户机向服务器发送client_hello报文服务器向客户机回应server_hello报文建立如下的安全属性：协议版本会话ID密

24、文族压缩方法同时生成并交换用于防止重放攻击的随机数。其中，密文族参数包括密钥交换方法（Deffie-Hellman密钥交换算法、基于RSA的密钥交换和另一种实现在Fortezza chip上的密钥交换）、加密算法（DES、RC4、RC2、3DES等）、MAC算法（MD5或SHA-1）、加密类型（流或分组）等内容。认证服务器和密钥交换在client_hello报文之后，如果服务器需要被认证，服务器将发送其证书。如果需要，服务器还要发送server_key_exchange。然后，服务器可以向客户发送certificate_request请求证书。服务器总是发送server_hello_done报

25、文，指示服务器的client_hello阶段结束。认证客户和密钥交换客户一旦收到服务器的server_hello_done报文，客户将检查服务器证书的合法性（如果服务器要求）如果服务器向客户请求了证书，客户必须发送客户证书，然后发送client_key_exchange报文，报文的内容依赖于client_hello与server_hello定义的密钥交换的类型。最后，客户可能发送client_verify 报文来校验客户发送的证书，这个报文只能在具有签名作用的客户证书之后发送。结束客户发送change_cipher_spec报文并将挂起的Cipher_Spec复制到当前的Cipher_Spec

26、。这个报文使用的是改变密码格式协议。然后，客户在新的算法、对称密钥和MAC秘密之下立即发送finished报文。finished报文验证密钥交换和鉴别过程是成功的。服务器对这两个报文响应，发送自己的change_cipher_spec报文、finished报文。握手结束，客户与服务器可以发送应用层数据了。（三）SSL记录协议1、概述2、主要字段3、详细过程1、概述SSL记录协议定义了要传输数据的格式，它位于一些可靠的的传输协议之上（如TCP），用于各种更高层协议的封装，记录协议主要完成分组和组合，压缩和解压缩，以及消息认证和加密等功能。SSL记录协议为SSL连接提供两种服务：机密性报文完整性2

27、、主要字段3、详细过程三、SSL安全性讨论不符合商用密码管理条例系统安全性差研究SSL协议的逻辑正确性是一个很有价值的问题SSL协议的“重放攻击”5.2.4 SET协议一、SET概述二、SET体系结构三、SET工作流程四、SET安全性讨论一、SET概述SET协议(Secure Electronic Transaction，安全电子交易)是由VISA和Master Card两大信用卡公司联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份，以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名

28、、电子信封、电子安全证书等。SET协议比SSL协议复杂，因为前者不仅加密两个端点间的单个会话，还可以加密和认定三方间的多个信息。1996年2月，Master Card和Visa国际信用卡组织与技术合作伙伴GTE、Netscape、IBM、Teresa Systems、VeriSign、Microsoft、SAIC等一批跨国公司共同开发了安全电子交易规范(SET)。1997年2月，由Master Card和Visa发起成立SETCO公司(也获得了American Express和JBC Credit Card Company的赞同)。二、SET体系结构三、SET工作流程用户向发卡银行申请并获得信

29、用卡帐户和数字证书（用户的RSA公钥等）。持卡用户向商家发送订货和支付信息，其中支付被加密。商家将支付信息发给支付银行，银行解密获得持卡用户信用卡帐号，并验证。支付银行在发卡银行确认持卡用户的信用卡帐号，并得到发卡银行的签证。支付银行认可商家并签证。商家向用户发送货物和收据，并向支付银行请求支付。支付银行将持卡用户的款项划拨到商家帐户。发卡银行定期向用户寄信用卡消费帐单。 12345678四、SET安全性讨论鉴别安全：采用PKI完整性安全：采用SHA-1机密性安全：会话密钥抗抵赖性：数字签名隐私权的安全保护：双重签名5.3 防火墙5.3.1 防火墙概述5.3.2 防火墙的分类5.3.3 防火墙

30、的安全体系5.3.4 代理服务技术5.3.1 防火墙概述一、防火墙的概念二、防火墙的设计策略三、防火墙的优点四、防火墙的缺点五、防火墙的发展一、防火墙的概念二、防火墙的设计策略第一种策略：定义禁止的网络流量或行为，允许其他一切未定义的网络流最或行为。第二种策略：定义允许的网络流量或行为，禁止其他一切未定义的网络流量或行为。三、防火墙的优点防止易受攻击的服务控制访问网点系统集中安全性增强保密性和强化私有权具有有关网络使用、滥用的记录和统计功能防火墙可提供实施和执行网络访问政策的工具四、防火墙的缺点一般参考文献均列出如下防火墙的不足：防火墙不能抵御内部的威胁；防火墙不能抵御IP欺骗；防火墙不能抵御

31、绕过防火墙的旁路威胁；防火墙只能抵御已知的威胁，不能防范未知的攻击；防火墙不能抵御病毒的传播，等等。 从系统角度看，作者认为防火墙的安全性应该考虑两个层面的问题。防火墙本身是否安全。防火墙也是一个小的信息系统，其安全性首先要考虑底层物理和操作系统的安全，防火墙的物理安全应该考虑第三章描述的所有因素。另外，防火墙系统是构建在操作系统之上的，底层的操作系统必须提供足够的安全功能保障。如果操作系统不安全，攻击者就可首先攻克操作系统，然后，修改防火墙的安全策略规则，甚至卸载防火墙系统，就可使防火墙形同虚设。为什么将实施防火墙功能的计算机称为堡垒主体就是这个含义，堡垒一旦被攻破，整个防火墙的安全功能将丧

32、失殆尽！防火墙的基础是基于IP地址的，正如在本章第一节所分析的，IP地址是不具真实性的，可以伪造也可以篡改。从本质上讲，防火墙技术提供的安全性是建立在“沙漠上的高楼大厦”，除非IP地址是真实、可信的。尽管如此，防火墙对一般的用户还是有一定的防范作用，能发挥一些安全作用。 五、防火墙的发展基于路由器的防火墙基于通用操作系统的防火墙基于安全操作系统的防火墙由于传统防分布式防火墙5.3.2 防火墙的分类一、包过滤和应用级防火墙二、动态和静态防火墙一、包过滤和应用级防火墙（一）包过滤防火墙（二）应用级防火墙（一）包过滤防火墙（二）应用级防火墙应用级防火墙的优点：外部只能与应用级防火墙联系，看不到防火墙

33、内部的局域网结构，安全性好。局域网内部的IP地址对外是不可见的，外部统一只能看到应用级防火墙的IP地址，这样，内部的IP地址就可以自行设置，而不会与Internet网上的IP地址冲突，可以节省大量宝贵的IP资源。应用级防火墙需要将经过他的数据包重现为应用层数据，可防止外网上恶意的IP数据包通过。例如，TCP flood攻击的无效数据只能到达应用级防火墙，而不会影响内部网的服务器。应用级防火墙可以识别高层的协议，如HTTP、FTP等，能控制和过滤应用协议。应用级防火墙可以与应用协议绑定实现身份认证，克服了包过滤防火墙只能根据IP（根据前述分析IP地址不可信）制定过滤策略的缺点。应用级防火墙的缺点

34、：应用级防火墙需要将数据包恢复到应用层，花费时间比较大，性能上劣于包过滤防火墙。应用级防火墙需要在内部网计算机上安装客户端软件，需要客户端进行一些配置工作，增加了用户使用的难度。支持身份认证的应用级防火墙需要外网用户使用内网服务时进行身份鉴别，而且这些认证一般与应用相关，不同的应用需要不同的身份认证，给用户使用带来不便。二、动态和静态防火墙动态防火墙是在静态防火墙的基础上，增加了由已通过IP包的状态信息确定新的IP包是否通过的一种静态防火墙改进的方法。例如，内部网的某个IP发出了对外网IP的请求服务，当外网返回信息时，可以根据以前是否有相关的IP请求，确定是否允许让该外网IP信息通过。 5.3

35、.3 防火墙的安全体系一、双宿主机结构二、屏蔽主机结构三、屏蔽子网结构一、双宿主机结构二、屏蔽主机结构三、屏蔽子网结构DMZ区5.3.4 代理服务技术一、代理服务概述二、应用代理技术三、电路级代理技术四、NAT代理技术一、代理服务概述（一）代理的定位（二）代理的功能（三）代理的优点（四）代理的缺点（一）代理的定位代理服务是运行在防火墙主机上的一些特定的应用程序或者服务器程序。代理服务具有网络地址转换（NAT）的功能。NAT对所有内部地址作转换，使外部网络无法了解内部网络的内部结构同时使用NAT的网络，与外部网络的连接只能由内部网络发起，极大地提高了内部网络的安全性。NAT的另一用途是解决IP地

36、址匮乏问题。（二）代理的功能能够接收和解释客户端的请求；能够创建到服务器的新连接；能够接收服务器发来的响应；能够发出或解释服务器的响应并将该响应传回给客户端。（三）代理的优点代理易于配置代理能灵活、完全地控制进出流量、内容代理能过滤数据内容代理能为用户提供透明的加密机制代理可以方便地与其它安全手段集成（四）代理的缺点代理速度比路由器慢代理对用户不透明对于每项服务代理可能要求不同的服务器代理服务通常要求对客户、过程之一或两者进行限制代理服务不能保证免受所有协议弱点的限制代理不能改进底层协议的安全性二、应用代理技术（一）应用代理的基本原理（二）应用代理的安全性（三）应用代理的优缺点（一）应用代理的

37、基本原理应用代理针对某一种具体的网络服务提供细致而安全的网络保护。应用代理工作在应用层，能够理解应用层协议的信息。在用户通过应用代理访问外部服务时，应用代理通过检查应用层的数据内容来提供安全性。（二）应用代理的安全性网络内部的用户不直接与外部服务器通信，服务器了解到的所有客户的信息均来自代理服务器。客户与服务器间的所有来往数据必须通过代理中转，而代理能够理解应用层的数据内容，因此可以在代理处对数据内容进行严格的检查。应用代理采用存储转发的机制进行工作，因此可以在代理处从容地记录数据，并为日后的审计提供支持。代理还可以提供用户级控制。（三）应用代理的优缺点1、优点2、缺点1、优点能够更好地隐藏内

38、部网络的信息。对于外部服务器来说，它所能见到的只有代理服务器。因此对外部而言，内部网络中除代理服务器以外的所有主机都是不可见的。具有强大的日志审核功能，可以实现内容的过滤。因为工作在应用层，包过滤所具有的日志审核、内容过滤方面的困难对于应用代理来说都迎刃而解。2、缺点对于每种不同的应用层服务都需要一种不同的应用代理程序，且对用户不透明。应用代理的处理内容多，因而处理速度较慢，不适合应用在主干网络中。不同服务的代理因为安全和效率方面的原因不能布置到同一台服务器上，需要为每种服务单独设置一个代理服务器，整个网络的造价较高。通常无法支持非公开协议的服务。三、电路级代理技术四、NAT代理技术5.4 安

39、全隔离系统5.4.1 隔离技术概述5.4.2 隔离网闸5.4.1 隔离技术概述一、隔离技术产生的背景二、隔离方法与产品分类一、隔离技术产生的背景信息系统的脆弱性以及信息安全技术和产品也正在发展过程中，信息安全的漏洞总是存在的。这些安全技术和产品的实施，对一般的信息系统能够达到满足用户希望的安全需求。但是，对涉及国家安全的军事、外交等涉密单位，这些安全措施仍然不能满足要求。在现有的安全技术条件下，一种可行的保护信息安全的办法就是进行物理隔离，把被保护的网络从开放、无边界、自由的环境中独立出来，使网络成为可控制、可管理的内部系统。 安全隔离系统的定义在有线传输上，两个网络没有相互的线路连接，防止外

40、网的攻击、内网信息的泄漏。在无线传输上，两个网络没有相互电磁辐射、耦合等的连接，防止外网的攻击、内网信息的泄漏。在存储介质上，对易失性存储介质，如内存、寄存器等，在网络转换时要清除相关客体的内容，防止客体重用；对非易失性存储介质，如硬盘、磁带、磁鼓等，内外网要使用不同的存储空间，互相隔离，严防通过磁介质导致内网信息的泄漏。 二、隔离方法与产品分类安全隔离系统的分类物理隔离网卡物理隔离集线器安全隔离网闸物理隔离网络物理隔离网卡内网硬盘内网外网外网硬盘物理隔离集线器内网硬盘外网硬盘内网外网安全隔离网闸内网审计单元审计日志密级标识检查内容保密检查认证与授权应用过滤协议转换应用代理内端机数据交换区1外

41、部处理单元审计日志防火墙入侵检测防病毒协议转换应用代理外端机通道2通道1数据交换区2物理隔离网络专用网络与外部网络物理隔离例如：公安专网。5.4.2 隔离网闸一、网闸的发展历史二、seaker NET模型三、网络隔离的技术原理四、网闸隔离的特点五、网络隔离的发展方向六、安全隔离系统的安全性讨论一、网闸的发展历史（一）网闸的概念（二）网闸的发展（三）网闸与防火墙的比较（一）网闸的概念网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。所以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使“黑客”无法入侵、无法攻击、无法破坏，实现了真正的安全。（二）网闸的发展第一代网闸的技术原理是利用单刀双掷开关使得内外网的处理单元分时存取共享存储设备来完成数据交换的，实现了在空气缝隙隔离(Air Gap)情况下的数据交换，安全原理是通过应用层