2023年全國(guó)碩士研究生考試考研英語(yǔ)一試題真題(含答案詳解+作文范文)_第1頁(yè)
已閱讀1頁(yè),還剩136頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、第1頁(yè) 共136頁(yè),第7章 網(wǎng)絡(luò)安全設(shè)計(jì),7.1 網(wǎng)絡(luò)安全體系與技術(shù)7.2 防火墻與DMZ設(shè)計(jì)【重點(diǎn)】7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)【重點(diǎn)】7.4 網(wǎng)絡(luò)物理隔離設(shè)計(jì),第2頁(yè) 共136頁(yè),7.1 網(wǎng)絡(luò)安全體系與技術(shù),第3頁(yè) 共136頁(yè),7.1 網(wǎng)絡(luò)安全體系與技術(shù),7.1.1 網(wǎng)絡(luò)安全故障案例分析網(wǎng)絡(luò)安全性是指在人為攻擊或自然破壞作用下,網(wǎng)絡(luò)在規(guī)定條件下生存的能力。網(wǎng)絡(luò)安全設(shè)計(jì)往往是多種方法綜合的結(jié)果。,第4頁(yè) 共136

2、頁(yè),7.1 網(wǎng)絡(luò)安全體系與技術(shù),1. 519網(wǎng)絡(luò)故障事件【案例7-1】 2009年5月19日晚,一個(gè)游戲“私服”網(wǎng)站對(duì)它的競(jìng)爭(zhēng)對(duì)手發(fā)動(dòng)攻擊,黑客對(duì)國(guó)內(nèi)最大的免費(fèi)域名服務(wù)器DNSpod進(jìn)行了攻擊,大流量攻擊導(dǎo)致DNSpod服務(wù)中止,運(yùn)行在DNSpod免費(fèi)服務(wù)器上的10萬(wàn)個(gè)域名無(wú)法解析,由于DNSpod的DNS服務(wù)完全中斷。造成北京、天津、上海、河北、山西、內(nèi)蒙古、遼寧、吉林、江蘇、黑龍江、浙江、安徽、湖北、廣西、廣東等地區(qū)的DNS

3、陸續(xù)癱瘓。中國(guó)互聯(lián)網(wǎng)遭遇了“多米諾骨牌”連鎖反應(yīng),出現(xiàn)了全國(guó)范圍的網(wǎng)絡(luò)故障。,第5頁(yè) 共136頁(yè),7.1 網(wǎng)絡(luò)安全體系與技術(shù),2. 519網(wǎng)絡(luò)故障原因分析網(wǎng)絡(luò)故障的三個(gè)關(guān)鍵環(huán)節(jié):DNSPod服務(wù)器暴風(fēng)影音軟件電信運(yùn)營(yíng)商DNS服務(wù)器。DNS提供公共服務(wù),IP地址必須向公眾公開(kāi),而且相對(duì)固定。如果IP地址經(jīng)常變更,會(huì)影響客戶端的服務(wù),因此DNS具有目標(biāo)大、易受攻擊的特點(diǎn)。519網(wǎng)絡(luò)故障事件曝露出我國(guó)互聯(lián)網(wǎng)諸多環(huán)節(jié)中,存在大量

4、潛在的安全風(fēng)險(xiǎn)。,第6頁(yè) 共136頁(yè),7.1 網(wǎng)絡(luò)安全體系與技術(shù),3. 范·艾克實(shí)驗(yàn)【案例7-2】 1985年,在國(guó)際計(jì)算機(jī)安全會(huì)議上,范·艾克(Fan Ettc)用幾百美元的器件,對(duì)普通電視機(jī)進(jìn)行改造,安裝在汽車(chē)?yán)?,這樣從街道上接收到了放置在8層樓上的計(jì)算機(jī)電磁波信息,并顯示出計(jì)算機(jī)屏幕上的圖像。他的演示給與會(huì)的各國(guó)代表以巨大的震動(dòng)。距離計(jì)算機(jī)數(shù)百米的地方,都可以收到并還原計(jì)算機(jī)屏幕上的圖像。網(wǎng)絡(luò)設(shè)備電磁

5、輻射引起的安全問(wèn)題不容忽視。,第7頁(yè) 共136頁(yè),7.1 網(wǎng)絡(luò)安全體系與技術(shù),7.1.2 IATF網(wǎng)絡(luò)安全體系結(jié)構(gòu)1.IATE (信息保障技術(shù)框架)標(biāo)準(zhǔn)IATF標(biāo)準(zhǔn)理論:深度保護(hù)戰(zhàn)略。IATF標(biāo)準(zhǔn)三個(gè)核心原則:人、技術(shù)和操作。四個(gè)信息安全保障領(lǐng)域:保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施;保護(hù)邊界;保護(hù)計(jì)算環(huán)境;保護(hù)支撐基礎(chǔ)設(shè)施。,第8頁(yè) 共136頁(yè),7.1 網(wǎng)絡(luò)安全體系與技術(shù),[案例] IATF深度保護(hù)戰(zhàn)略結(jié)構(gòu),第9頁(yè) 共136

6、頁(yè),7.1 網(wǎng)絡(luò)安全體系與技術(shù),2.IATF網(wǎng)絡(luò)模型飛地指位于非安全區(qū)中的一小塊安全區(qū)域。IATF模型將網(wǎng)絡(luò)系統(tǒng)分成4種類(lèi)型局域網(wǎng);飛地邊界;網(wǎng)絡(luò)設(shè)備;支持性基礎(chǔ)設(shè)施。,第10頁(yè) 共136頁(yè),7.1 網(wǎng)絡(luò)安全體系與技術(shù),[P165圖7-1] IATF模型,[P165] IATF模型,第11頁(yè) 共136頁(yè),7.1 網(wǎng)絡(luò)安全體系與技術(shù),在IATF模型中,局域網(wǎng)包括:涉密網(wǎng)絡(luò)(紅網(wǎng),如財(cái)務(wù)網(wǎng));專(zhuān)用網(wǎng)絡(luò)(黃網(wǎng),如

7、內(nèi)部辦公網(wǎng)絡(luò));公共網(wǎng)絡(luò)(白網(wǎng),如公開(kāi)信息網(wǎng)站)網(wǎng)絡(luò)設(shè)備。這些部分由企業(yè)建設(shè)和管理。網(wǎng)絡(luò)支持性基礎(chǔ)設(shè)施包括:專(zhuān)用網(wǎng)絡(luò)(如VPN);公共網(wǎng)絡(luò)(如Internet);通信網(wǎng)等基礎(chǔ)電信設(shè)施(如城域傳輸網(wǎng));這些部分由電信服務(wù)商提供。,第12頁(yè) 共136頁(yè),7.1 網(wǎng)絡(luò)安全體系與技術(shù),IATF最重要的設(shè)計(jì)思想:在網(wǎng)絡(luò)中進(jìn)行不同等級(jí)的區(qū)域劃分與網(wǎng)絡(luò)邊界保護(hù)。,第13頁(yè) 共136頁(yè),7.1 網(wǎng)絡(luò)安全體系與技術(shù),[案例]

8、安全等級(jí)防護(hù)設(shè)計(jì),第14頁(yè) 共136頁(yè),7.1 網(wǎng)絡(luò)安全體系與技術(shù),3.對(duì)手、動(dòng)機(jī)和攻擊類(lèi)型5類(lèi)攻擊方法:被動(dòng)攻擊;主動(dòng)攻擊;物理臨近攻擊;內(nèi)部人員攻擊;分發(fā)攻擊。,第15頁(yè) 共136頁(yè),7.1 網(wǎng)絡(luò)安全體系與技術(shù),[案例] 黑客攻擊過(guò)程,第16頁(yè) 共136頁(yè),7.1 網(wǎng)絡(luò)安全體系與技術(shù),[案例] 黑客攻擊路徑發(fā)現(xiàn),[P165] IATF模型,第17頁(yè) 共136頁(yè),7.1 網(wǎng)絡(luò)安全體系與技術(shù),4.安全威脅

9、的表現(xiàn)形式安全威脅的表現(xiàn)形式:信息泄漏、媒體廢棄(如報(bào)廢的硬盤(pán))、人員不慎、非授權(quán)訪問(wèn)、旁路控制(如線路搭接)、假冒、竊聽(tīng)、電磁信號(hào)截獲、完整性侵犯(如篡改Email內(nèi)容)、數(shù)據(jù)截獲與修改、物理侵入、重放(如后臺(tái)屏幕錄像或鍵盤(pán)掃描)、業(yè)務(wù)否認(rèn)、業(yè)務(wù)拒絕、資源耗盡、業(yè)務(wù)欺騙、業(yè)務(wù)流分析、特洛伊木馬程序等。,第18頁(yè) 共136頁(yè),7.1 網(wǎng)絡(luò)安全體系與技術(shù),5.深度保護(hù)戰(zhàn)略模型深度保護(hù)戰(zhàn)略(DDS)認(rèn)為:信息保障依賴于人、技術(shù)和

10、操作共同實(shí)現(xiàn)。操作也稱為運(yùn)行操作是各種安全技術(shù)結(jié)合在一起的過(guò)程。操作包括:風(fēng)險(xiǎn)評(píng)估、安全監(jiān)控、安全審計(jì)、跟蹤告警、入侵檢測(cè)、響應(yīng)恢復(fù)等。,第19頁(yè) 共136頁(yè),7.1 網(wǎng)絡(luò)安全體系與技術(shù),7.1.3 TCP/IP各層安全技術(shù)1.常用網(wǎng)絡(luò)安全技術(shù)定義:網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或者惡意的原因而遭到破壞、更改和泄漏,系統(tǒng)能連續(xù)、可靠地正常運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。,第20頁(yè) 共136頁(yè),

11、7.1 網(wǎng)絡(luò)安全體系與技術(shù),表7-2 TCP/IP各個(gè)層次常用安全保護(hù)技術(shù),第21頁(yè) 共136頁(yè),7.1 網(wǎng)絡(luò)安全體系與技術(shù),2.接口層的安全物理層面臨的安全威脅有:搭線竊聽(tīng),電磁輻射信號(hào)還原、物理臨近等。3.網(wǎng)絡(luò)層的安全網(wǎng)絡(luò)層的安全威脅有:數(shù)據(jù)包竊聽(tīng)、ARP欺騙、流量攻擊、拒絕服務(wù)攻擊等。網(wǎng)絡(luò)層的安全技術(shù)有:IP路由安全機(jī)制、IPSec(IP安全協(xié)議)和防火墻技術(shù)。,第22頁(yè) 共136頁(yè),7.1 網(wǎng)絡(luò)安全

12、體系與技術(shù),4.傳輸層的安全傳輸層主要的安全協(xié)議有SSL(安全套接層協(xié)議),它在兩實(shí)體之間建立了一個(gè)安全通道,當(dāng)數(shù)據(jù)在通道中傳輸時(shí)是經(jīng)過(guò)認(rèn)證和保密的。SSL提供三個(gè)方面的服務(wù):用戶和服務(wù)器認(rèn)證,對(duì)數(shù)據(jù)進(jìn)行加密服務(wù)和維護(hù)數(shù)據(jù)的完整性。SSL對(duì)于應(yīng)用層協(xié)議和程序是透明的,它可以為HTTP、SMTP和FTP等應(yīng)用層協(xié)議提供安全性。,第23頁(yè) 共136頁(yè),7.1 網(wǎng)絡(luò)安全體系與技術(shù),5.應(yīng)用層的安全應(yīng)用層的安全問(wèn)題:操作系統(tǒng)漏洞,

13、應(yīng)用程序BUG,非法訪問(wèn),病毒木馬程序攻擊等。應(yīng)用層采用的安全技術(shù):加密、用戶級(jí)認(rèn)證、數(shù)字簽名等。應(yīng)用層安全協(xié)議為特定應(yīng)用提供安全服務(wù)。如S/MIME(安全/通用因特網(wǎng)郵件擴(kuò)展服務(wù))是一個(gè)用于保護(hù)電子郵件的規(guī)范,標(biāo)準(zhǔn)內(nèi)容包括數(shù)據(jù)加密、數(shù)據(jù)簽名等。,第24頁(yè) 共136頁(yè),7.1 網(wǎng)絡(luò)安全體系與技術(shù),[案例] 網(wǎng)絡(luò)計(jì)算機(jī)病毒解決方案,[P165] IATF模型,第25頁(yè) 共136頁(yè),7.1 網(wǎng)絡(luò)安全體系與技術(shù),7.1.4

14、 網(wǎng)絡(luò)信息加密技術(shù)1. 加密系統(tǒng)的組成加密系統(tǒng)包括4個(gè)組件:軟件組件負(fù)責(zé)各功能子系統(tǒng)的協(xié)調(diào)和用戶交互加密算法根據(jù)一定規(guī)則對(duì)輸入信息進(jìn)行加密處理協(xié)議加密系統(tǒng)和運(yùn)行環(huán)境需要加密密鑰用戶加密/解密信息所需的鑰匙,第26頁(yè) 共136頁(yè),7.1 網(wǎng)絡(luò)安全體系與技術(shù),2.常用加密算法(1)對(duì)稱加密加密和解密都使用相同密鑰的加密算法。優(yōu)點(diǎn):加解密的高速度和使用長(zhǎng)密鑰時(shí)難以破解性。常見(jiàn)的對(duì)稱加密算法:DES、3DES

15、、IDEA等。DES的典型應(yīng)用是IPSec(VPN安全標(biāo)準(zhǔn)),第27頁(yè) 共136頁(yè),7.1 網(wǎng)絡(luò)安全體系與技術(shù),(2)非對(duì)稱加密加密和解密使用不同密鑰的加密算法。常見(jiàn)的非對(duì)稱加密算法:RSA,SSL(傳輸層安全標(biāo)準(zhǔn)),ECC(移動(dòng)設(shè)備安全標(biāo)準(zhǔn)),S-MIME(電子郵件安全標(biāo)準(zhǔn)),SET(電子交易安全標(biāo)準(zhǔn)),DSA(數(shù)字簽名安全標(biāo)準(zhǔn))等。缺點(diǎn):加解密速度遠(yuǎn)遠(yuǎn)慢于對(duì)稱加密,在某些極端情況下,比對(duì)稱加密慢1000倍。,第28頁(yè)

16、 共136頁(yè),7.1 網(wǎng)絡(luò)安全體系與技術(shù),(3)Hash(哈希)加密Hash算法是一種單向加密算法。常見(jiàn)Hash算法:MD5(消息摘要)等。MD5常用于密碼校驗(yàn)、數(shù)字簽名等應(yīng)用中。,第29頁(yè) 共136頁(yè),7.1 網(wǎng)絡(luò)安全體系與技術(shù),3. 加密系統(tǒng)在網(wǎng)絡(luò)中的應(yīng)用基本應(yīng)用:存儲(chǔ)、傳輸、認(rèn)證數(shù)據(jù)量較少時(shí),常采用RSA等對(duì)稱加密算法;校驗(yàn)常采用MD5算法;商業(yè)加密軟件PGP;開(kāi)源加密軟件GPG等。,第30頁(yè) 共136頁(yè)

17、,7.1 網(wǎng)絡(luò)安全體系與技術(shù),【案例7-4】 經(jīng)常采用MD5算法進(jìn)行用戶密碼校驗(yàn)。用戶密碼經(jīng)過(guò)MD5運(yùn)算后存儲(chǔ)在文件系統(tǒng)中。當(dāng)用戶登錄時(shí),系統(tǒng)將用戶輸入的密碼進(jìn)行MD5運(yùn)算,然后再與系統(tǒng)中保存密碼的MD5值進(jìn)行比較,從而確定輸入的密碼是否正確。通過(guò)這樣的步驟,系統(tǒng)在并不知道用戶密碼的情況下,就可以確定用戶登錄系統(tǒng)的合法性。這可以避免用戶密碼被具有系統(tǒng)管理員權(quán)限的人員知道。,第31頁(yè) 共136頁(yè),7.2 防火墻與DMZ設(shè)計(jì),第3

18、2頁(yè) 共136頁(yè),7.2 防火墻與DMZ設(shè)計(jì),7.2.1 防火墻的類(lèi)型與功能防火墻是由軟件或硬件構(gòu)成的網(wǎng)絡(luò)安全系統(tǒng),用來(lái)在兩個(gè)網(wǎng)絡(luò)之間實(shí)施訪問(wèn)控制策略。1.防火墻在網(wǎng)絡(luò)中的位置所有從內(nèi)網(wǎng)到外網(wǎng)或從外網(wǎng)到內(nèi)網(wǎng)的通信都必須經(jīng)過(guò)防火墻,否則,防火墻將無(wú)法起到保護(hù)作用。防火墻本身應(yīng)當(dāng)是一個(gè)安全、可靠、防攻擊的可信任系統(tǒng),它應(yīng)有足夠的可靠性和抵御外界的攻擊。,第33頁(yè) 共136頁(yè),7.2 防火墻與DMZ設(shè)計(jì),2. 防火墻的類(lèi)型硬

19、件防火墻可以是一臺(tái)獨(dú)立的硬件設(shè)備(如Cisco PIX);也可以在一臺(tái)路由器上,經(jīng)過(guò)配置成為一臺(tái)具有安全功能的防火墻。軟件防火墻是運(yùn)行在服務(wù)器主機(jī)上的一個(gè)軟件(如ISA Server)。硬件防火墻在功能和性能上都優(yōu)于軟件防火墻,但是成本較高。,第34頁(yè) 共136頁(yè),7.2 防火墻與DMZ設(shè)計(jì),3.防火墻的功能所有內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的數(shù)據(jù)交換,都可以而且必須經(jīng)過(guò)防火墻。只有符合防火墻安全策略的數(shù)據(jù),才可以自由出入防火墻。防

20、火墻受到攻擊后,應(yīng)能穩(wěn)定有效地工作。應(yīng)當(dāng)記錄和統(tǒng)計(jì)網(wǎng)絡(luò)的使用情況。有效地過(guò)濾、篩選和屏蔽有害服務(wù)和數(shù)據(jù)包。能隔離網(wǎng)絡(luò)中的某些網(wǎng)段,防止一個(gè)網(wǎng)段的故障傳播到整個(gè)網(wǎng)絡(luò)。,第35頁(yè) 共136頁(yè),7.2 防火墻與DMZ設(shè)計(jì),4.防火墻的不足不能防范不經(jīng)過(guò)防火墻的攻擊。不能防范惡意的知情者。不能防范內(nèi)部用戶誤操作造成的威脅。不能防止受病毒感染的軟件或木馬文件的傳輸。防火墻不檢測(cè)數(shù)據(jù)包的內(nèi)容,因此不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊。不安全

21、的防火墻、配置不合理的防火墻、防火墻在網(wǎng)絡(luò)中的位置不當(dāng)?shù)?,?huì)使防火墻形同虛設(shè)。,第36頁(yè) 共136頁(yè),7.2 防火墻與DMZ設(shè)計(jì),7.2.2 DMZ的功能與安全策略1.DMZ(隔離區(qū)/非軍事區(qū))的基本結(jié)構(gòu)和功能DMZ設(shè)立在非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)?!景咐?-5】 如圖7-3所示,DMZ位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一個(gè)區(qū)域內(nèi),在DMZ內(nèi)可以放置一些對(duì)外的服務(wù)器設(shè)備,如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。DMZ的

22、目的是將敏感的內(nèi)部網(wǎng)絡(luò)和提供外部訪問(wèn)服務(wù)的網(wǎng)絡(luò)分離開(kāi),為網(wǎng)絡(luò)提供深度防御。,第37頁(yè) 共136頁(yè),7.2 防火墻與DMZ設(shè)計(jì),[P171圖7-3] DMZ網(wǎng)絡(luò)安全結(jié)構(gòu),第38頁(yè) 共136頁(yè),7.2 防火墻與DMZ設(shè)計(jì),2.防火墻的接口硬件防火墻最少有三個(gè)接口:內(nèi)網(wǎng)接口,用于連接內(nèi)部網(wǎng)絡(luò)設(shè)備;外網(wǎng)接口,相當(dāng)于主機(jī)接口,用于連接邊界路由器等外部網(wǎng)關(guān)設(shè)備;DMZ接口,用于連接DMZ區(qū)網(wǎng)絡(luò)設(shè)備。硬件防火墻中的網(wǎng)卡一般設(shè)置為混雜模

23、式,這樣可以監(jiān)測(cè)到通過(guò)防火墻的數(shù)據(jù)包。,第39頁(yè) 共136頁(yè),7.2 防火墻與DMZ設(shè)計(jì),3.DMZ訪問(wèn)安全策略DMZ的設(shè)計(jì)基本原則:設(shè)計(jì)最小權(quán)限,例如定義允許訪問(wèn)的網(wǎng)絡(luò)資源和網(wǎng)絡(luò)的安全級(jí)別;確定可信用戶和可信任區(qū)域;明確各個(gè)網(wǎng)絡(luò)之間的訪問(wèn)關(guān)系。,第40頁(yè) 共136頁(yè),7.2 防火墻與DMZ設(shè)計(jì),訪問(wèn)安全策略(1)內(nèi)網(wǎng)可以訪問(wèn)外網(wǎng)。(2)內(nèi)網(wǎng)可以訪問(wèn)DMZ。(3)外網(wǎng)不能訪問(wèn)內(nèi)網(wǎng)。(4)外網(wǎng)可以訪問(wèn)DMZ。(5)D

24、MZ不能訪問(wèn)內(nèi)網(wǎng)。(6)DMZ不能訪問(wèn)外網(wǎng)。,第41頁(yè) 共136頁(yè),7.2 防火墻與DMZ設(shè)計(jì),7.2.3 DMZ的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)1.單防火墻DMZ網(wǎng)絡(luò)結(jié)構(gòu)單防火墻DMZ結(jié)構(gòu)將網(wǎng)絡(luò)劃分為三個(gè)區(qū)域,內(nèi)網(wǎng)(LAN)、外網(wǎng)(Internet)和DMZ。DMZ是外網(wǎng)與內(nèi)網(wǎng)之間附加的一個(gè)安全層,這個(gè)安全區(qū)域也稱為屏蔽子網(wǎng)、過(guò)濾子網(wǎng)等。這種網(wǎng)絡(luò)結(jié)構(gòu)構(gòu)建成本低,多用于小型企業(yè)網(wǎng)絡(luò)設(shè)計(jì)。,第42頁(yè) 共136頁(yè),7.2 防火墻與DMZ設(shè)計(jì),[

25、案例] 單防火墻DMZ網(wǎng)絡(luò)結(jié)構(gòu),第43頁(yè) 共136頁(yè),7.2 防火墻與DMZ設(shè)計(jì),2.雙防火墻DMZ網(wǎng)絡(luò)結(jié)構(gòu)防火墻通常與邊界路由器協(xié)同工作,邊界路由器是網(wǎng)絡(luò)安全的第一道屏障。通常的方法是在路由器中設(shè)置數(shù)據(jù)包過(guò)濾和NAT功能,讓防火墻完成特定的端口阻塞和數(shù)據(jù)包檢查,這樣在整體上提高了網(wǎng)絡(luò)性能。,第44頁(yè) 共136頁(yè),7.2 防火墻與DMZ設(shè)計(jì),[案例] 雙防火墻DMZ網(wǎng)絡(luò)結(jié)構(gòu),第45頁(yè) 共136頁(yè),7.2 防火墻與DMZ設(shè)計(jì)

26、,7.2.4 PIX防火墻配置命令1. 接口配置命令interfaceInterface的功能是開(kāi)啟或關(guān)閉接口、配置接口的速度、對(duì)接口進(jìn)行命名等。新防火墻的各個(gè)端口都是關(guān)閉的,如果不進(jìn)行任何配置,則防火墻無(wú)法工作。防火墻接口速度可以手工配置和自動(dòng)配置。,第46頁(yè) 共136頁(yè),7.2 防火墻與DMZ設(shè)計(jì),(1)配置接口速度命令格式:interface ethernet0 auto //對(duì)e0接口設(shè)置為自動(dòng)設(shè)置連接速度//

27、命令格式:interface ethernet2 100 ful //為接口2手工指定連接速度為100M //,第47頁(yè) 共136頁(yè),7.2 防火墻與DMZ設(shè)計(jì),(2)關(guān)閉與開(kāi)啟接口防火墻打開(kāi)的接口不用時(shí)要及時(shí)關(guān)閉。打開(kāi)的接口越多,會(huì)影響防火墻的運(yùn)行效率??捎貌粠?shù)的shutdown命令關(guān)閉防火墻接口。注意:打開(kāi)接口不采用no shutdown命令。,第48頁(yè) 共136頁(yè),7.2 防火墻與DMZ設(shè)計(jì),2. 別名配置命

28、令nameif廠商會(huì)為防火墻接口配置默認(rèn)名,如ethernet0等。網(wǎng)絡(luò)工程師可以用更加直觀的名字來(lái)描述接口的用途。如用outside命令說(shuō)明這個(gè)接口用來(lái)連接外部網(wǎng)絡(luò);用inside命令說(shuō)明這個(gè)接口用來(lái)連接內(nèi)部網(wǎng)絡(luò)。命令格式:nameif ,第49頁(yè) 共136頁(yè),7.2 防火墻與DMZ設(shè)計(jì),3. 地址配置命令I(lǐng)P address 防火墻的IP地址可以通過(guò)DHCP自動(dòng)獲得;也可以通過(guò)手工設(shè)置IP地址。命令格式:ip a

29、dress []防火墻的接口IP地址,在整個(gè)內(nèi)部網(wǎng)絡(luò)中必須保持唯一,否則會(huì)造成IP地址沖突。沒(méi)有配置網(wǎng)絡(luò)掩碼時(shí),防火墻會(huì)根據(jù)內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu),自動(dòng)設(shè)置一個(gè)網(wǎng)絡(luò)掩碼。,第50頁(yè) 共136頁(yè),7.2 防火墻與DMZ設(shè)計(jì),4. 地址轉(zhuǎn)換配置命令NAT、Global、StaticNAT命令可以將內(nèi)部的一組IP地址轉(zhuǎn)換成為外部的公網(wǎng)地址;global命令用于定義用網(wǎng)絡(luò)地址轉(zhuǎn)換命令NAT轉(zhuǎn)換成的地址或者地址的范圍。企業(yè)只有一個(gè)公有IP

30、地址時(shí),可以利用static命令實(shí)現(xiàn)端口的重定向配置。,第51頁(yè) 共136頁(yè),7.2 防火墻與DMZ設(shè)計(jì),5. 測(cè)試命令I(lǐng)CMP Ping與Debug是常用的測(cè)試命令。防火墻在默認(rèn)情況下,會(huì)拒絕所有來(lái)自外部接口的ICMP數(shù)據(jù)包流量,這主要是出于安全方面的考慮。如果需要防火墻接收來(lái)自外部的ICMP流量,就需要利用permit命令來(lái)允許防火墻通過(guò)ICMP流量。命令格式:icmp permit any any outside測(cè)試

31、完后,最好讓防火墻拒絕接收外部接口的ICMP流量,這可以防止DOS等攻擊。,第52頁(yè) 共136頁(yè),7.2 防火墻與DMZ設(shè)計(jì),6. 配置保存命令write memory對(duì)防火墻所做的更改,不會(huì)直接寫(xiě)入防火墻閃存中。防火墻先把它存放在RAM 中,防火墻重啟后,更改的配置就會(huì)丟失。當(dāng)配置測(cè)試無(wú)誤后可以用write memory命令將更改的配置寫(xiě)入到閃存中。,第53頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),第54頁(yè) 共136頁(yè),7.3

32、 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),7.3.1 IDS網(wǎng)絡(luò)安全設(shè)計(jì)1. IDS(入侵檢測(cè)系統(tǒng))IDS分為實(shí)時(shí)入侵檢測(cè)和事后入侵檢測(cè)。實(shí)時(shí)入侵檢測(cè)在網(wǎng)絡(luò)連接過(guò)程中進(jìn)行,IDS發(fā)現(xiàn)入侵跡象立即斷開(kāi)入侵者與主機(jī)的連接,實(shí)施數(shù)據(jù)恢復(fù)。事后入侵檢測(cè)由網(wǎng)絡(luò)管理人員定期或不定期進(jìn)行。入侵檢測(cè)系統(tǒng)本質(zhì)上是一種“嗅探設(shè)備” 。,第55頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),2.IDS常用入侵檢測(cè)方法IDS常用檢測(cè)方法有:特征檢測(cè)、統(tǒng)計(jì)檢測(cè)與專(zhuān)家系統(tǒng)

33、。國(guó)內(nèi)90%的IDS使用特征檢測(cè)方法。特征檢測(cè)與計(jì)算機(jī)病毒檢測(cè)方式類(lèi)似,主要是對(duì)數(shù)據(jù)包進(jìn)行特征模式匹配,但對(duì)于采用新技術(shù)和新方法的入侵與攻擊行為則無(wú)能為力。統(tǒng)計(jì)檢測(cè)常用異常檢測(cè)。測(cè)量參數(shù)包括:事件的數(shù)量、間隔時(shí)間、資源消耗情況等。,第56頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),3. IDS網(wǎng)絡(luò)安全設(shè)計(jì)IDS可以串聯(lián)或并聯(lián)的部署在網(wǎng)絡(luò)中各個(gè)關(guān)鍵位置。[P178圖7-7] IDS在網(wǎng)絡(luò)中的位置,第57頁(yè) 共136頁(yè),7.3

34、 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),[案例] IDS產(chǎn)品外觀,第58頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),(1)IDS安裝在網(wǎng)絡(luò)邊界區(qū)域。IDS非常適合于安裝在網(wǎng)絡(luò)邊界處,如防火墻的兩端以及到其他網(wǎng)絡(luò)連接處。如果IDS2與路由器并聯(lián)安裝,可以實(shí)時(shí)監(jiān)測(cè)進(jìn)入到內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包,但是這個(gè)位置的帶寬很高,IDS性能必須跟上通信流的速度。,第59頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),(2)IDS系統(tǒng)安裝在服務(wù)器群區(qū)域。對(duì)于流量速度不是很高的

35、應(yīng)用服務(wù)器,安裝IDS是非常好的選擇;對(duì)于流量速度高,而且特別重要的服務(wù)器,可以考慮安裝專(zhuān)用IDS進(jìn)行監(jiān)測(cè)。DMZ往往是遭受攻擊最多的區(qū)域,在此部署一臺(tái)IDS非常必要。,第60頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),(3)IDS系統(tǒng)安裝在網(wǎng)絡(luò)主機(jī)區(qū)域??梢詫DS安裝在主機(jī)區(qū)域,從而監(jiān)測(cè)位于同一交換機(jī)上的其他主機(jī)是否存在攻擊現(xiàn)象。如IDS部署在內(nèi)部各個(gè)網(wǎng)段,可以監(jiān)測(cè)來(lái)自內(nèi)部的網(wǎng)絡(luò)攻擊行為。(4)網(wǎng)絡(luò)核心層。網(wǎng)絡(luò)核心層帶

36、寬非常高,不適宜布置IDS。,第61頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),4. IDS存在的問(wèn)題(1)誤報(bào)/漏報(bào)率高。(2)沒(méi)有主動(dòng)防御能力。(3)缺乏準(zhǔn)確定位和處理機(jī)制。,第62頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),[案例] IDS在網(wǎng)絡(luò)中的應(yīng)用,第63頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),[案例] IDS在網(wǎng)絡(luò)中的應(yīng)用,第64頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),7.3.2 IPS網(wǎng)絡(luò)安全設(shè)計(jì)1

37、.IPS (入侵防御系統(tǒng))的功能IPS不但能檢測(cè)入侵的發(fā)生,而且能實(shí)時(shí)終止入侵行為。IPS一般部署在網(wǎng)絡(luò)的進(jìn)出口處,當(dāng)它檢測(cè)到攻擊企圖后,它會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷。,第65頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),[案例] IPS產(chǎn)品外觀,第66頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),[案例] IPS工作原理,第67頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),2.IPS的性能參數(shù)IPS的吞吐率與延時(shí)重

38、要的性能參數(shù)。不同廠家IPS支持的協(xié)議數(shù)量、默認(rèn)功能開(kāi)啟程度、檢測(cè)精細(xì)度、承受攻擊的時(shí)間等指標(biāo)差異極大,獲取性能指標(biāo)的前提條件有很大不同。高性能的IPS往往伴隨著高成本。,第68頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),3.IPS在網(wǎng)絡(luò)中的部署IDS設(shè)備在網(wǎng)絡(luò)中采用旁路式連接;IPS在網(wǎng)絡(luò)中采用串接式連接。串接工作模式保證所有網(wǎng)絡(luò)數(shù)據(jù)都必須經(jīng)過(guò)IPS設(shè)備,IPS檢測(cè)數(shù)據(jù)流中的惡意代碼,核對(duì)策略,在未轉(zhuǎn)發(fā)到服務(wù)器之前,將信息包

39、或數(shù)據(jù)流阻截。IPS是網(wǎng)關(guān)型設(shè)備,最好串接在網(wǎng)絡(luò)出口處,IPS經(jīng)常部署在網(wǎng)關(guān)出口的防火墻和路由器之間,監(jiān)控和保護(hù)內(nèi)部網(wǎng)絡(luò)。,第69頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),[P179圖7-8] IPS在網(wǎng)絡(luò)中的位置,第70頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),[案例] IPS在網(wǎng)絡(luò)中的應(yīng)用,第71頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),4. IPS存在的問(wèn)題(1)單點(diǎn)故障。(2)性能瓶頸。(3)誤報(bào)和漏報(bào)。(4

40、)規(guī)則動(dòng)態(tài)更新。(5)總體擁有成本(TOC)較高。,第72頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),[案例] 統(tǒng)一威脅隔離系統(tǒng)(UTM),第73頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),7.3.3 ACL網(wǎng)絡(luò)安全技術(shù)1. ACL(訪問(wèn)控制列表)工作原理ACL是網(wǎng)絡(luò)設(shè)備處理數(shù)據(jù)包轉(zhuǎn)發(fā)的一組規(guī)則。ACL采用包過(guò)濾技術(shù),在路由器中讀取第三層和第四層數(shù)據(jù)包包頭中的信息,如源地址、目的地址、源端口、目的端口等,然后根據(jù)網(wǎng)絡(luò)工程師預(yù)

41、先定義好的ACL規(guī)則,對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾,從而達(dá)到訪問(wèn)控制的目的。,第74頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),[案例] ACL處理流程,第75頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),2. ACL配置的基本原則 (1)最小權(quán)限原則。只滿足ACL部分條件的數(shù)據(jù)包不允許通過(guò)。(2)最靠近受控對(duì)象原則。標(biāo)準(zhǔn)ACL盡可能放置在靠近目的地址的地方;擴(kuò)展ACL盡量放置在靠近源地址的地方。(3)立即終止原則。(4)默認(rèn)丟棄原則

42、。如果數(shù)據(jù)包與所有ACL行都不匹配,將被丟棄。,第76頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),(5)單一性原則。一個(gè)接口在一個(gè)方向上只能有一個(gè)ACL。(6)默認(rèn)設(shè)置原則。路由器或三層交換機(jī)在沒(méi)有配置ACL的情況下,默認(rèn)允許所有數(shù)據(jù)包通過(guò)。防火墻在在沒(méi)有配置ACL的情況下,默認(rèn)不允許所有數(shù)據(jù)包通過(guò)。,第77頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),3. 標(biāo)準(zhǔn)ACL配置(1)創(chuàng)建ACL命令格式:Router (conf

43、ig)# access-list {permit | deny } { | any }(2)將ACL應(yīng)用到某一接口命令格式:Router (config-if)# {protocol} access-group {in| out },第78頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),4. 擴(kuò)展ACL配置標(biāo)準(zhǔn)ACL只能控制源IP地址,不能控制到端口。要控制第四層的端口,需要使用擴(kuò)展ACL配置。如果路由器沒(méi)有硬件ACL加速

44、功能,它會(huì)消耗路由器大量的CPU資源,因此擴(kuò)展ACL要盡量放置在靠近源地址的地方。命令格式:Router(config)# access-list {permit | deny} { | }{ } { } [ ] [log],第79頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),5. ACL單向訪問(wèn)控制問(wèn)題:重要部門(mén)(如財(cái)務(wù)部)的主機(jī)不允許其他部門(mén)訪問(wèn),而這個(gè)部門(mén)卻可以訪問(wèn)其他的部門(mén)(如市場(chǎng)部)的主機(jī)。ACL可以實(shí)現(xiàn)單向訪問(wèn)功能

45、。命令格式:Router(config)# access-list {permit | deny} [operator port] [operator port] [established] [log],第80頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),7.3.4 VPN網(wǎng)絡(luò)安全設(shè)計(jì)2.VPN的概念定義:使用IP機(jī)制仿真出一個(gè)私有的廣域網(wǎng)。VPN通過(guò)私有隧道技術(shù),在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專(zhuān)線。虛擬是指用

46、戶不需要擁有實(shí)際的長(zhǎng)途數(shù)據(jù)線路,而是利用Internet的數(shù)據(jù)傳輸線路;專(zhuān)用網(wǎng)絡(luò)是指用戶可以制定一個(gè)最符合自己需求的網(wǎng)絡(luò)。VPN是在Internet上臨時(shí)建立的安全專(zhuān)用虛擬網(wǎng)絡(luò)。,第81頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),3.VPN隧道技術(shù)工作原理隧道是一種數(shù)據(jù)加密傳輸技術(shù)。數(shù)據(jù)包通過(guò)隧道進(jìn)行安全傳輸。被封裝的數(shù)據(jù)包在隧道的兩個(gè)端點(diǎn)之間通過(guò)Internet進(jìn)行路由。被封裝的數(shù)據(jù)包在公共互聯(lián)網(wǎng)上傳遞時(shí)所經(jīng)過(guò)的邏輯路徑稱

47、為隧道。數(shù)據(jù)包一旦到達(dá)隧道終點(diǎn),將被解包并轉(zhuǎn)發(fā)到最終目的主機(jī)。,第82頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),[案例] VPN隧道,第83頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),[P183圖7-10] 隧道技術(shù)工作原理,第84頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),在數(shù)據(jù)傳輸過(guò)程中,用戶和VPN服務(wù)器之間可以協(xié)商數(shù)據(jù)加密傳輸。加密之后,即使是ISP也無(wú)法了解數(shù)據(jù)包的內(nèi)容。即使用戶不對(duì)數(shù)據(jù)加密,NAS和VPN服務(wù)器建立

48、的隧道兩側(cè)也可以協(xié)商加密傳輸,這使得Internet上的其他用戶無(wú)法識(shí)別隧道中傳輸?shù)臄?shù)據(jù)信息。因此VPN服務(wù)的安全性是有保證的。,第85頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),4.VPN工作協(xié)議VPN有兩種隧道協(xié)議:PPTP(點(diǎn)到點(diǎn)隧道協(xié)議)PPTP是PPP的擴(kuò)展,它增加了安全等級(jí),并且可以通過(guò)Internet進(jìn)行多協(xié)議通信。L2TP(第二層隧道協(xié)議)L2TP與PPTP功能大致相同。不同的是L2TP使用IPSec機(jī)制進(jìn)行身

49、份驗(yàn)證和數(shù)據(jù)加密。L2TP只支持IP網(wǎng)絡(luò)建立的隧道,不支持X.25、FR或ATM網(wǎng)絡(luò)的本地隧道。,第86頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),[案例] IPv6中IPSec協(xié)議的實(shí)現(xiàn),第87頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),5. VPN網(wǎng)絡(luò)設(shè)計(jì)構(gòu)建VPN只需在資源共享處放置一臺(tái)VPN服務(wù)器即可。(1)自建VPN網(wǎng)絡(luò)企業(yè)可以自建VPN網(wǎng)絡(luò),在企業(yè)總部和分支機(jī)構(gòu)中安裝專(zhuān)用VPN設(shè)備,或在路由器、防火墻等設(shè)備中配置V

50、PN協(xié)議,就可以將各個(gè)外地機(jī)構(gòu)與企業(yè)總部安全地連接在一起了。自建VPN的優(yōu)勢(shì)在于可控制性強(qiáng),可以滿足企業(yè)的某些特殊業(yè)務(wù)要求。,第88頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),[P185圖7-11] 企業(yè)自建VPN結(jié)構(gòu),第89頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),[案例] VPN端到端安全保證,第90頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),(2)外包VPN網(wǎng)絡(luò)電信企業(yè)、ISP目前都提供VPN外包服務(wù)。VPN外包可以簡(jiǎn)

51、化企業(yè)網(wǎng)絡(luò)部署,但降低了企業(yè)對(duì)網(wǎng)絡(luò)的控制權(quán)。[P185圖7-12] 企業(yè)擴(kuò)展虛擬網(wǎng)結(jié)構(gòu),第91頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),[案例] ISP的VPN網(wǎng)絡(luò),第92頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),[案例] VPN在企業(yè)網(wǎng)絡(luò)中的應(yīng)用,第93頁(yè) 共136頁(yè),7.3 網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù),[案例] VPN在企業(yè)網(wǎng)絡(luò)中的應(yīng)用,第94頁(yè) 共136頁(yè),7.4 網(wǎng)絡(luò)物理隔離設(shè)計(jì),第95頁(yè) 共136頁(yè),7.4 網(wǎng)絡(luò)物理

52、隔離設(shè)計(jì),7.4.1 網(wǎng)絡(luò)隔離的技術(shù)特點(diǎn)我國(guó)《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》規(guī)定:涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng),不得直接或間接地與國(guó)際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)相連接,必須實(shí)行物理隔離。,第96頁(yè) 共136頁(yè),7.4 網(wǎng)絡(luò)物理隔離設(shè)計(jì),1.網(wǎng)絡(luò)隔離技術(shù)的發(fā)展隔離技術(shù)物理隔離(物理隔離卡或物理隔離交換機(jī))協(xié)議隔離(安全網(wǎng)閘)網(wǎng)絡(luò)物理隔離卡確保了計(jì)算機(jī)在同一時(shí)間只能訪問(wèn)一個(gè)網(wǎng)絡(luò),兩個(gè)網(wǎng)絡(luò)在同一時(shí)間內(nèi)不會(huì)有任何連接。網(wǎng)絡(luò)物

53、理隔離卡解決了網(wǎng)絡(luò)的攻擊問(wèn)題,缺點(diǎn)是信息交流仍然不便。,第97頁(yè) 共136頁(yè),7.4 網(wǎng)絡(luò)物理隔離設(shè)計(jì),[案例] 網(wǎng)絡(luò)安全技術(shù)的發(fā)展,第98頁(yè) 共136頁(yè),7.4 網(wǎng)絡(luò)物理隔離設(shè)計(jì),2.網(wǎng)絡(luò)隔離的安全要求網(wǎng)絡(luò)隔離必須達(dá)到以下要求:在物理傳輸上使內(nèi)網(wǎng)與外網(wǎng)徹底隔斷。在物理輻射上隔斷內(nèi)網(wǎng)與外網(wǎng)。在物理存儲(chǔ)上隔斷兩個(gè)網(wǎng)絡(luò)環(huán)境。對(duì)于斷電后會(huì)清除信息的部件,如內(nèi)存、CPU寄存器等,要在內(nèi)外網(wǎng)絡(luò)轉(zhuǎn)換時(shí)做清除處理,防止殘留信息流出網(wǎng)絡(luò)

54、。對(duì)于斷電后數(shù)據(jù)非遺失性設(shè)備,如硬盤(pán)等,內(nèi)網(wǎng)與外網(wǎng)的信息要分開(kāi)存儲(chǔ)(不能使用同一個(gè)硬盤(pán))。,第99頁(yè) 共136頁(yè),7.4 網(wǎng)絡(luò)物理隔離設(shè)計(jì),網(wǎng)絡(luò)隔離產(chǎn)品比防火墻高一個(gè)安全級(jí)別。網(wǎng)絡(luò)隔離產(chǎn)品的安全措施:對(duì)操作系統(tǒng)進(jìn)行加固優(yōu)化;由兩套操作系統(tǒng)(OS)組成;一套OS控制外網(wǎng)接口,另一套OS控制內(nèi)網(wǎng)接口,在兩套操作系統(tǒng)之間通過(guò)不可路由的協(xié)議進(jìn)行數(shù)據(jù)交換。即使黑客進(jìn)入了內(nèi)網(wǎng)系統(tǒng),仍然無(wú)法控制內(nèi)網(wǎng)系統(tǒng)。數(shù)據(jù)包不能路由到對(duì)方網(wǎng)絡(luò)。對(duì)

55、網(wǎng)間訪問(wèn)進(jìn)行嚴(yán)格控制和檢查,確保每次數(shù)據(jù)交換都是可信和可控制的。產(chǎn)品要求很高的處理性能,不能成為網(wǎng)絡(luò)的瓶頸。,第100頁(yè) 共136頁(yè),7.4 網(wǎng)絡(luò)物理隔離設(shè)計(jì),7.4.2 網(wǎng)絡(luò)物理隔離工作原理1.單主板安全隔離計(jì)算機(jī)工作原理:采用雙硬盤(pán),將內(nèi)網(wǎng)與外網(wǎng)的轉(zhuǎn)換功能嵌入在主板BIOS中。主板網(wǎng)卡也分為內(nèi)網(wǎng)和外網(wǎng)。價(jià)格介于雙主機(jī)和網(wǎng)絡(luò)物理隔離卡之間。這種安全技術(shù)在低層的BIOS上開(kāi)發(fā),因此CPU、內(nèi)存、顯卡等設(shè)備的升級(jí),不會(huì)給

56、計(jì)算機(jī)帶來(lái)不兼容的影響。,第101頁(yè) 共136頁(yè),7.4 網(wǎng)絡(luò)物理隔離設(shè)計(jì),計(jì)算機(jī)形成了兩個(gè)網(wǎng)絡(luò)物理隔離環(huán)境,它們分別對(duì)應(yīng)于Internet和內(nèi)部局域網(wǎng),構(gòu)成了網(wǎng)絡(luò)接入和信息存儲(chǔ)環(huán)境的各自獨(dú)立。計(jì)算機(jī)每次啟動(dòng)后,只能工作在一種網(wǎng)絡(luò)環(huán)境下。BIOS還可以對(duì)所有輸入/輸出設(shè)備進(jìn)行控制。例如,對(duì)U盤(pán)、光驅(qū)提供限制功能,在系統(tǒng)引導(dǎo)時(shí)不允許驅(qū)動(dòng)器中有移動(dòng)存儲(chǔ)介質(zhì)。BIOS自身的安全采用硬件防寫(xiě)入跳線,防止病毒破壞、非法刷新或破壞BIOS

57、的攻擊行為。,第102頁(yè) 共136頁(yè),7.4 網(wǎng)絡(luò)物理隔離設(shè)計(jì),2.雙主板安全隔離計(jì)算機(jī)每臺(tái)計(jì)算機(jī)有兩塊主板,每塊主板一個(gè)網(wǎng)卡,分別連接內(nèi)網(wǎng)和外網(wǎng)。每塊主板有一個(gè)串行口,雙端口RAM是連接兩塊主板的唯一通道。 [P187圖7-14] 雙主板安全隔離計(jì)算機(jī)結(jié)構(gòu),第103頁(yè) 共136頁(yè),7.4 網(wǎng)絡(luò)物理隔離設(shè)計(jì),兩塊主板之間通過(guò)雙端口RAM進(jìn)行數(shù)據(jù)傳輸。雙端口RAM分為兩個(gè)區(qū),第一區(qū)是內(nèi)網(wǎng)客戶端向外網(wǎng)服務(wù)器單向傳輸數(shù)據(jù)的通道;第

58、二區(qū)是外網(wǎng)客戶端向內(nèi)網(wǎng)服務(wù)器單向傳輸數(shù)據(jù)時(shí)的通道。平時(shí)內(nèi)網(wǎng)與外網(wǎng)之間是斷開(kāi)的,雙端口RAM處于斷開(kāi)狀態(tài)。當(dāng)有數(shù)據(jù)傳輸時(shí),內(nèi)網(wǎng)與外網(wǎng)才通過(guò)雙端口RAM進(jìn)行數(shù)據(jù)傳輸。,第104頁(yè) 共136頁(yè),7.4 網(wǎng)絡(luò)物理隔離設(shè)計(jì),3.物理隔離卡技術(shù)物理隔離卡分為單網(wǎng)口卡和雙網(wǎng)口卡。 [P187圖7-15] 物理隔離卡結(jié)構(gòu),第105頁(yè) 共136頁(yè),7.4 網(wǎng)絡(luò)物理隔離設(shè)計(jì),[案例] 物理隔離卡,第106頁(yè) 共136頁(yè),7.4 網(wǎng)絡(luò)物理隔

59、離設(shè)計(jì),采用物理隔離卡時(shí),需要在主板BIOS中做一些定制和修改,將內(nèi)網(wǎng)與外網(wǎng)的轉(zhuǎn)換功能嵌入BIOS中。工作原理:物理隔離卡采用雙硬盤(pán),啟動(dòng)外網(wǎng)時(shí)關(guān)閉內(nèi)網(wǎng)硬盤(pán),啟動(dòng)內(nèi)網(wǎng)時(shí)關(guān)閉外網(wǎng)硬盤(pán),使兩個(gè)網(wǎng)絡(luò)和硬盤(pán)進(jìn)行物理隔離。這種技術(shù)的優(yōu)點(diǎn)是價(jià)格低。進(jìn)行內(nèi)網(wǎng)與外網(wǎng)轉(zhuǎn)換時(shí),需要重新啟動(dòng)計(jì)算機(jī)。,第107頁(yè) 共136頁(yè),7.4 網(wǎng)絡(luò)物理隔離設(shè)計(jì),物理隔離卡的功能是以物理方式將一臺(tái)計(jì)算機(jī)機(jī)虛擬為兩臺(tái)計(jì)算機(jī),實(shí)現(xiàn)計(jì)算機(jī)的雙重狀態(tài),既可在內(nèi)部安全狀態(tài)

60、,又可在公共外部狀態(tài),兩種狀態(tài)是完全隔離的。物理隔離卡與操作系統(tǒng)無(wú)關(guān),兼容所有操作系統(tǒng),可以應(yīng)用于所有SATA或IDE接口硬盤(pán)。物理隔離卡對(duì)網(wǎng)絡(luò)技術(shù)和協(xié)議完全透明,支持單或雙布線的隔離網(wǎng)絡(luò)。,第108頁(yè) 共136頁(yè),7.4 網(wǎng)絡(luò)物理隔離設(shè)計(jì),[案例] 物理隔離卡在網(wǎng)絡(luò)中的應(yīng)用,第109頁(yè) 共136頁(yè),7.4 網(wǎng)絡(luò)物理隔離設(shè)計(jì),6.隔離交換機(jī)隔離交換機(jī)簡(jiǎn)化了用戶PC到隔離交換機(jī)之間的布線,使用戶端不需要布放雙網(wǎng)線。隔離交換機(jī)根

61、據(jù)數(shù)據(jù)包包頭的標(biāo)記信息來(lái)決定數(shù)據(jù)包是通過(guò)內(nèi)網(wǎng)還是通過(guò)外網(wǎng)。利用物理隔離卡、計(jì)算機(jī)和隔離交換機(jī)組成的網(wǎng)絡(luò),是徹底的物理隔離網(wǎng)絡(luò),兩個(gè)網(wǎng)絡(luò)之間沒(méi)有信息交流,因此可以抵御所有的網(wǎng)絡(luò)攻擊。,第110頁(yè) 共136頁(yè),7.4 網(wǎng)絡(luò)物理隔離設(shè)計(jì),[P188圖7-17] 隔離交換機(jī),第111頁(yè) 共136頁(yè),7.4 網(wǎng)絡(luò)物理隔離設(shè)計(jì),[P188圖7-17] 隔離交換機(jī)應(yīng)用,第112頁(yè) 共136頁(yè),7.4 網(wǎng)絡(luò)物理隔離設(shè)計(jì),[P188圖7-17

62、] 隔離交換機(jī)應(yīng)用,第113頁(yè) 共136頁(yè),7.4 網(wǎng)絡(luò)物理隔離設(shè)計(jì),7.物理隔離卡產(chǎn)品的技術(shù)性能(1)兼容性(2)網(wǎng)絡(luò)環(huán)境(3)操作系統(tǒng)(4)硬盤(pán)規(guī)格(5)安裝簡(jiǎn)單(6)維護(hù)簡(jiǎn)單,第114頁(yè) 共136頁(yè),7.4 網(wǎng)絡(luò)物理隔離設(shè)計(jì),7.4.3 安全隔離網(wǎng)閘工作原理GAP(安全隔離網(wǎng)閘)通過(guò)專(zhuān)用硬件和軟件技術(shù),使兩個(gè)或者兩個(gè)以上的網(wǎng)絡(luò)在不連通的情況下,實(shí)現(xiàn)數(shù)據(jù)安全傳輸和資源共享。,第115頁(yè) 共136頁(yè),7.4 網(wǎng)

63、絡(luò)物理隔離設(shè)計(jì),1.GAP技術(shù)的特點(diǎn)GAP由固態(tài)讀寫(xiě)開(kāi)關(guān)和存儲(chǔ)介質(zhì)系統(tǒng)組成,存儲(chǔ)介質(zhì)通常采用SCSI硬盤(pán)。GAP在同一時(shí)刻只有一個(gè)網(wǎng)絡(luò)與安全隔離網(wǎng)閘建立無(wú)協(xié)議的數(shù)據(jù)連接。GAP沒(méi)有網(wǎng)絡(luò)連接,并將通信協(xié)議全部剝離。數(shù)據(jù)文件以原始數(shù)據(jù)方式進(jìn)行“擺渡”,因此,它能夠抵御互聯(lián)網(wǎng)絕大部分攻擊。,第116頁(yè) 共136頁(yè),7.4 網(wǎng)絡(luò)物理隔離設(shè)計(jì),2.GAP數(shù)據(jù)交換過(guò)程當(dāng)內(nèi)網(wǎng)與外網(wǎng)之間無(wú)數(shù)據(jù)交換時(shí),GAP與內(nèi)網(wǎng)和外網(wǎng)之間是完全斷開(kāi)的。[P

64、189圖7-18] GAP無(wú)數(shù)據(jù)交換時(shí)的狀態(tài),第117頁(yè) 共136頁(yè),7.4 網(wǎng)絡(luò)物理隔離設(shè)計(jì),[案例] 安全隔離網(wǎng)閘工作原理,第118頁(yè) 共136頁(yè),7.4 網(wǎng)絡(luò)物理隔離設(shè)計(jì),[案例] 安全隔離網(wǎng)閘工作原理,第119頁(yè) 共136頁(yè),7.4 網(wǎng)絡(luò)物理隔離設(shè)計(jì),當(dāng)內(nèi)網(wǎng)數(shù)據(jù)傳輸?shù)酵饩W(wǎng)時(shí),GAP向內(nèi)網(wǎng)服務(wù)器發(fā)起非TCP/IP的數(shù)據(jù)連接請(qǐng)求,并發(fā)出“寫(xiě)”命令,將GAP寫(xiě)入控制開(kāi)關(guān)合上,并把所有協(xié)議剝離,將原始數(shù)據(jù)寫(xiě)入存儲(chǔ)介質(zhì)。一旦

65、數(shù)據(jù)完全寫(xiě)入GAP存儲(chǔ)介質(zhì)中,GAP與內(nèi)網(wǎng)服務(wù)器之間的控制開(kāi)關(guān)立即斷開(kāi)。接下來(lái)GAP與外網(wǎng)服務(wù)器之間的控制開(kāi)關(guān)接通,GAP發(fā)起對(duì)外網(wǎng)非TCP/IP的數(shù)據(jù)連接請(qǐng)求。外網(wǎng)服務(wù)器收到請(qǐng)求后,發(fā)出“讀”命令,將GAP存儲(chǔ)介質(zhì)內(nèi)的數(shù)據(jù)傳輸?shù)酵饩W(wǎng)服務(wù)器。,第120頁(yè) 共136頁(yè),7.4 網(wǎng)絡(luò)物理隔離設(shè)計(jì),外網(wǎng)服務(wù)器收到數(shù)據(jù)后,按TCP/IP協(xié)議要求重新封裝接收到的數(shù)據(jù),交給應(yīng)用系統(tǒng)。,第121頁(yè) 共136頁(yè),7.4 網(wǎng)絡(luò)物理隔離設(shè)計(jì),3.G

66、AP系統(tǒng)的邏輯隔離屬性GAP提取數(shù)據(jù)的整個(gè)過(guò)程由軟件自動(dòng)完成。有關(guān)部門(mén)鑒定,GAP仍然屬于邏輯隔離產(chǎn)品,不能直接用于內(nèi)部網(wǎng)絡(luò)與Internet之間的隔離。GAP技術(shù)的安全性高于防火墻,數(shù)據(jù)交換性能遠(yuǎn)優(yōu)于網(wǎng)絡(luò)物理隔離卡,但是隔離效果低于網(wǎng)絡(luò)物理隔離卡。,第122頁(yè) 共136頁(yè),7.4 網(wǎng)絡(luò)物理隔離設(shè)計(jì),4.GAP主要產(chǎn)品國(guó)外GAP產(chǎn)品美國(guó)Whalecommunications公司e-GAP系統(tǒng)美國(guó)Spearhead公司的Ne

67、tGAP等國(guó)內(nèi)GAP產(chǎn)品天行網(wǎng)安公司的“安全隔離網(wǎng)閘”聯(lián)想公司的“聯(lián)想網(wǎng)御安全隔離網(wǎng)閘”中網(wǎng)公司的“中網(wǎng)隔離網(wǎng)閘”偉思公司的“偉思網(wǎng)絡(luò)安全隔離網(wǎng)閘”等。,第123頁(yè) 共136頁(yè),7.4 網(wǎng)絡(luò)物理隔離設(shè)計(jì),7.4.4 物理隔離網(wǎng)絡(luò)設(shè)計(jì)案例1.GAP安全隔離網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)[P190圖7-19] 利用GAP構(gòu)建網(wǎng)絡(luò),第124頁(yè) 共136頁(yè),7.4 網(wǎng)絡(luò)物理隔離設(shè)計(jì),[案例] GAP在電子政務(wù)網(wǎng)絡(luò)中的應(yīng)用,第125頁(yè) 共1

68、36頁(yè),7.4 網(wǎng)絡(luò)物理隔離設(shè)計(jì),[案例] GAP在電子政務(wù)網(wǎng)絡(luò)中的應(yīng)用,第126頁(yè) 共136頁(yè),7.4 網(wǎng)絡(luò)物理隔離設(shè)計(jì),[案例] 安全隔離網(wǎng)閘在大型政務(wù)網(wǎng)絡(luò)中的應(yīng)用,第127頁(yè) 共136頁(yè),7.4 網(wǎng)絡(luò)物理隔離設(shè)計(jì),[案例] 安全隔離網(wǎng)閘在金融系統(tǒng)的應(yīng)用,第128頁(yè) 共136頁(yè),7.4 網(wǎng)絡(luò)物理隔離設(shè)計(jì),[案例] 安全隔離網(wǎng)閘在金融系統(tǒng)的應(yīng)用,第129頁(yè) 共136頁(yè),7.4 網(wǎng)絡(luò)物理隔離設(shè)計(jì),[案例] 安全隔離網(wǎng)

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論