第4章防火墙.ppt

《第4章防火墙.ppt》由会员分享，可在线阅读，更多相关《第4章防火墙.ppt（66页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、电子商务安全与电子支付电子商务安全与电子支付 王红玲王红玲第第4 4章防火墙章防火墙 2学习目标学习目标l掌握防火墙的工作原理掌握防火墙的工作原理l掌握典型防火墙的配置掌握典型防火墙的配置34.14.1防火墙技术防火墙技术4.1.14.1.1防火墙技术及访问控制技术防火墙技术及访问控制技术 所谓防火墙，就是在内部网所谓防火墙，就是在内部网(如如IntranetIntranet)和外部网和外部网(如如InternetInternet)之间的界面上构造一个之间的界面上构造一个保护层，并强制所有的连接都必须经过此保护保护层，并强制所有的连接都必须经过此保护层，由其进行检查和连接。它是一个或一组网层，

2、由其进行检查和连接。它是一个或一组网络设备系统和部件的汇集器，用来在两个或多络设备系统和部件的汇集器，用来在两个或多个网络间加强访问控制、实施相应的访问控制个网络间加强访问控制、实施相应的访问控制策略，力求把那些非法用户隔离在特定的网络策略，力求把那些非法用户隔离在特定的网络之外，从而保护某个特定的网络不受其他网络之外，从而保护某个特定的网络不受其他网络的攻击，但又不影响该特定网络正常的工作。的攻击，但又不影响该特定网络正常的工作。45现状现状l19951995年防火墙产品刚面市，销售量不到年防火墙产品刚面市，销售量不到1 1万套万套l19961996年增长到年增长到1010万套万套l营业额由

3、营业额由19951995年的年的1.61.6亿美元上升到亿美元上升到2020亿亿美元美元l20072007年企业防火墙市场规模年企业防火墙市场规模5353亿元，亿元，20092009年年7272亿，预计亿，预计20142014年年170170亿亿6防火墙是不是万能的？防火墙是不是万能的？思考思考7防火墙不能对付的安全威胁防火墙不能对付的安全威胁l 不能防范来自内部恶意的知情者的攻击不能防范来自内部恶意的知情者的攻击l 不能防范不通过它的连接不能防范不通过它的连接l 不能防范病毒不能防范病毒l 不能防范全部的威胁不能防范全部的威胁8根据防火墙在网络上的物理位置和在根据防火墙在网络上的物理位置和在

4、OSI(Open System Interconnect Reference Model，开放式系统互联参考模型，开放式系统互联参考模型)七层七层协议中的逻辑位置以及所具备的功能，协议中的逻辑位置以及所具备的功能，可作如下的分类：可作如下的分类：9（1）电路级网关）电路级网关 它工作在传输层，它在两个主机首它工作在传输层，它在两个主机首次建立次建立TCPTCP连接时创立一个电子屏障。它连接时创立一个电子屏障。它监视两主机建立连接时的握手信息，如监视两主机建立连接时的握手信息，如SYNSYN、ACKACK等标志和序列号等是否合乎逻等标志和序列号等是否合乎逻辑，判定该会话请求是否合法。一旦会辑，判

5、定该会话请求是否合法。一旦会话连接有效后网关仅复制、传递数据，话连接有效后网关仅复制、传递数据，而不进行过滤。而不进行过滤。10 电路层网关在网络的传输层上实施访电路层网关在网络的传输层上实施访问策略，是在内、外网络主机之间建立问策略，是在内、外网络主机之间建立一个虚拟电路，进行通信，相当于在防一个虚拟电路，进行通信，相当于在防火墙上直接开了个口子进行传输，不像火墙上直接开了个口子进行传输，不像应用层防火墙那样能严密地控制应用层应用层防火墙那样能严密地控制应用层的信息。的信息。11 电路级网关还提供一个重要的安全电路级网关还提供一个重要的安全功能：代理服务器。代理服务器是个防功能：代理服务器。

6、代理服务器是个防火墙，在其上运行一个叫做地址转换火墙，在其上运行一个叫做地址转换NATNAT的进程，来将所有你公司内部的的进程，来将所有你公司内部的IPIP地址地址映射到一个安全的网关映射到一个安全的网关IPIP地址，这个地地址，这个地址是由防火墙使用的。最终，在设有电址是由防火墙使用的。最终，在设有电路级网关的网络中，所有输出的数据包路级网关的网络中，所有输出的数据包好像是直接由网关产生的，这样就避免好像是直接由网关产生的，这样就避免了直接在了直接在“受信任网络受信任网络”与与“不受信任不受信任网络网络”间建立连接。间建立连接。12（2 2）包过滤路由器）包过滤路由器 这是一个检查所通过数据

7、包合法性的路由这是一个检查所通过数据包合法性的路由器，它对外部用户传入局域网的数据包加以限器，它对外部用户传入局域网的数据包加以限定。通常根据网络协议、按照特定规则，定。通常根据网络协议、按照特定规则，用用IPIP地址和端口号来进行限制处理地址和端口号来进行限制处理。该路由器允许。该路由器允许那些符合协议和规则的那些符合协议和规则的IPIP地址的某些端口号通地址的某些端口号通过路由器，而对其他过路由器，而对其他IPIP地址的端口号加以限制。地址的端口号加以限制。由于包过滤是在七层协议的下三层实现的，数由于包过滤是在七层协议的下三层实现的，数据包的类型也可以进行拦截、检验和登录，所据包的类型也可

8、以进行拦截、检验和登录，所以它比其他类型的防火墙更易于实现。以它比其他类型的防火墙更易于实现。13（3 3）应用网关。此类防火墙的物理位置与前述的）应用网关。此类防火墙的物理位置与前述的包过滤路由器一样，但它的逻辑位置是在包过滤路由器一样，但它的逻辑位置是在OSIOSI七七层协议的应用层上。它主要采取应用协议代理服层协议的应用层上。它主要采取应用协议代理服务的工作方式实施安全策略。务的工作方式实施安全策略。（4 4）屏蔽主机防火墙。此类防火墙的应用网关只）屏蔽主机防火墙。此类防火墙的应用网关只需要单个网络端口，并以物理方式连接在包过滤需要单个网络端口，并以物理方式连接在包过滤路由器的网络总线上

9、。但是其工作的逻辑位置仍路由器的网络总线上。但是其工作的逻辑位置仍然是在应用层，所有的通信业务都要通过它的代然是在应用层，所有的通信业务都要通过它的代理服务。信息服务器可被看做是所有网络对外开理服务。信息服务器可被看做是所有网络对外开展信息发布工作的数据中心，它被展信息发布工作的数据中心，它被“挂挂”在主网在主网之外，又处于包过滤路由器和应用网关的安全保之外，又处于包过滤路由器和应用网关的安全保护之内，因而具备了较强的隐蔽性和安全防护能护之内，因而具备了较强的隐蔽性和安全防护能力。力。14除了上述的基于技术层面的分类，根据除了上述的基于技术层面的分类，根据对防火墙技术的综合分析，还可以将其对防

10、火墙技术的综合分析，还可以将其分为包过滤型防火墙分为包过滤型防火墙(PacketPacket FilterFilter)和代和代理服务器型防火墙理服务器型防火墙(ProxyProxy ServiceService)两大类两大类型，以及最近几年来将上述两种类型的型，以及最近几年来将上述两种类型的防火墙加以结合而形成的新产物防火墙加以结合而形成的新产物复复合型防火墙合型防火墙(HybridHybrid)。15包过滤型防火墙（包过滤型防火墙（Packet FilterPacket Filter）包过滤防火墙是最简单的防火墙，一般包过滤防火墙是最简单的防火墙，一般在路由器上实现。包过滤防火墙通常只包括

11、在路由器上实现。包过滤防火墙通常只包括对源和目的对源和目的IPIP地址及端口的检查。其工作原地址及端口的检查。其工作原理如图理如图2-12-1所示。包过滤防火墙的安全性是基所示。包过滤防火墙的安全性是基于对包的于对包的IPIP地址的校验。包过滤防火墙将所地址的校验。包过滤防火墙将所有通过的数据包中发送方有通过的数据包中发送方IPIP地址、接收方地址、接收方IPIP地址、地址、TCPTCP端口、端口、TCPTCP链路状态等信息读出，链路状态等信息读出，并按照预先设定的过滤原则过滤数据包。那并按照预先设定的过滤原则过滤数据包。那些不符合规定的些不符合规定的IPIP地址的数据包会被防火墙地址的数据包

12、会被防火墙过滤掉，以保证网络系统的安全。过滤掉，以保证网络系统的安全。16图图 4 1包过滤防火墙的工作原理包过滤防火墙的工作原理17包过滤型防火墙通常被安装在路由器上，而且许包过滤型防火墙通常被安装在路由器上，而且许多常用的商业路由器缺省配置了包过滤型防火墙。多常用的商业路由器缺省配置了包过滤型防火墙。此外，若使用此外，若使用PCPC机作为路由器，同样可以安装包机作为路由器，同样可以安装包过滤型防火墙；并且，在过滤型防火墙；并且，在PCPC平台上的防火墙将具平台上的防火墙将具有更为强大的功能。包过滤型防火墙一般都具有有更为强大的功能。包过滤型防火墙一般都具有日志功能，这就具备了更为可靠的安全

13、性。不同日志功能，这就具备了更为可靠的安全性。不同种类的包过滤型防火墙使用起来非常方便，只需种类的包过滤型防火墙使用起来非常方便，只需根据自己的网络访问原则稍加修改，就可以获得根据自己的网络访问原则稍加修改，就可以获得符合特定网络要求的包过滤型防火墙。符合特定网络要求的包过滤型防火墙。18包过滤防火墙的优点是不需要用户名和密包过滤防火墙的优点是不需要用户名和密码来登录，速度快而且易于维护，通常做码来登录，速度快而且易于维护，通常做为第一道防线。包过滤防火墙的弊端，通为第一道防线。包过滤防火墙的弊端，通常它没有用户的使用记录，这样我们就不常它没有用户的使用记录，这样我们就不能从访问记录中发现黑客

14、的攻击记录。另能从访问记录中发现黑客的攻击记录。另外，包过滤防火墙需从建立安全策略和过外，包过滤防火墙需从建立安全策略和过滤规则集入手，需要花费大量的时间和人滤规则集入手，需要花费大量的时间和人力，还要不断根据新情况不断更新力，还要不断根据新情况不断更新过滤规过滤规则集则集，对于采用动态分配端口的服务，如，对于采用动态分配端口的服务，如很多很多RPCRPC（远程过程调用）服务相关联的服（远程过程调用）服务相关联的服务器在系统启动时随机分配端口的，包过务器在系统启动时随机分配端口的，包过滤防火墙很难进行有效地过滤。滤防火墙很难进行有效地过滤。19代理服务器型防火墙代理服务器型防火墙(Proxy

15、ServiceProxy Service)代理型防火墙也叫应用层网关代理型防火墙也叫应用层网关(ApplicationApplication GatewayGateway)防火墙。这种防火墙通过一种代理防火墙。这种防火墙通过一种代理(ProxyProxy)技术参与到一个技术参与到一个TCPTCP连接的全过程。连接的全过程。从内部发出的数据包经过这样的防火墙处从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公种类型的防火墙被网络

16、安全专家和媒体公认为是最安全的防火墙。它的核心技术就认为是最安全的防火墙。它的核心技术就是代理服务器技术。是代理服务器技术。20代理型防火墙接收客户请求后会检查验证其合代理型防火墙接收客户请求后会检查验证其合法性，如其合法，代理型防火墙象一台客户机法性，如其合法，代理型防火墙象一台客户机一样取回所需的信息再转发给客户。它将内部一样取回所需的信息再转发给客户。它将内部系统与外界隔离开来，从外面只能看到代理型系统与外界隔离开来，从外面只能看到代理型防火墙而看不到任何内部资源。代理型防火墙防火墙而看不到任何内部资源。代理型防火墙只允许有代理的服务通过，而其他所有服务都只允许有代理的服务通过，而其他所

17、有服务都完全被封锁住。只有那些被认为完全被封锁住。只有那些被认为“可信赖的可信赖的”服务才允许通过防火墙。另外代理服务还可以服务才允许通过防火墙。另外代理服务还可以过滤协议，如可以过滤过滤协议，如可以过滤FTPFTP连接，拒绝使用连接，拒绝使用FTPFTP putput（放置）命令，以保证用户不能将文件写（放置）命令，以保证用户不能将文件写到匿名服务器。代理服务具有信息隐蔽、保证到匿名服务器。代理服务具有信息隐蔽、保证有效的认证和登录、简化了过滤规则等优点。有效的认证和登录、简化了过滤规则等优点。21网络地址转换服务网络地址转换服务(NAT-NAT-NetworkNetwork Address

18、Address TranslationTranslation)可以屏蔽内部网络的可以屏蔽内部网络的IPIP地址，地址，使网络结构对使网络结构对 外部来讲是不可见的。代理外部来讲是不可见的。代理型防火墙非常适合那些根本就不希望外部型防火墙非常适合那些根本就不希望外部用户访问企业内部的网络，同时也不希望用户访问企业内部的网络，同时也不希望内部的用户无限制的使用或滥用内部的用户无限制的使用或滥用InternetInternet。采用代理型防火墙，可以把企业的内部网采用代理型防火墙，可以把企业的内部网络隐蔽起来，内部的用户需要验证和授权络隐蔽起来，内部的用户需要验证和授权之后才可以去访问之后才可以去访

19、问InternetInternet。代理型防火墙。代理型防火墙包含两大类：一类是电路级网关，另一类包含两大类：一类是电路级网关，另一类是应用级网关。是应用级网关。22应用层网关：在应用层上建立协议过滤和转发：在应用层上建立协议过滤和转发规则，内外计算机系统间应用层的规则，内外计算机系统间应用层的“链接链接”由由两个代理服务器上的两个代理服务器上的“链接链接”来实现。针对特来实现。针对特定的应用层协议，如超文本传输定的应用层协议，如超文本传输(HTTP)(HTTP)，文件，文件传输传输(FTP)(FTP)等等。它提供的控制最多，但是不等等。它提供的控制最多，但是不灵活，必须要有相应的协议支持。如

20、果协议不灵活，必须要有相应的协议支持。如果协议不支持代理（如支持代理（如SMTPSMTP和和POPPOP），那就只能在应用），那就只能在应用层以下代理（传输层代理、层以下代理（传输层代理、SOCKSSOCKS代理）。最代理）。最常用的应用层网关是常用的应用层网关是HTTPHTTP代理服务器，端口通代理服务器，端口通常为常为8080或或80808080。23实例：实例：IPIP地址过滤的使用地址过滤的使用 预期目的：不允许内网预期目的：不允许内网192.168.1.100-192.168.1.100-192.168.1.102192.168.1.102的的IPIP地址访问外网所有地址访问外网所有

21、IPIP地地址；允许址；允许192.168.1.103192.168.1.103完全不受限制的访完全不受限制的访问外网的所有问外网的所有IPIP地址。设置方法如下：地址。设置方法如下：1.1.选择缺省过滤规则为：凡是不符合已设选择缺省过滤规则为：凡是不符合已设IPIP地址过滤规则的数据包，禁止通过本路地址过滤规则的数据包，禁止通过本路由器：由器：2425 2.2.添加添加IPIP地址过滤新条目：地址过滤新条目：允许内网允许内网192.168.1.103192.168.1.103完全不受限制的访问外网的所有完全不受限制的访问外网的所有IPIP地址。因默认规则为地址。因默认规则为“禁止不符合禁止不

22、符合IPIP过滤规则的数据包通过过滤规则的数据包通过路由器路由器”，所以内网电脑，所以内网电脑IPIP地址段：地址段：192.168.1.100-192.168.1.100-192.168.1.102192.168.1.102不需要进行添加，默认禁止其通过。不需要进行添加，默认禁止其通过。263.3.保存后生成如下条目，即能达到预期目保存后生成如下条目，即能达到预期目的：的：27思考思考28预期目的：内网预期目的：内网192.168.1.100-192.168.1.102192.168.1.100-192.168.1.102的的IPIP地址在任何时候都只能浏览外网网页；地址在任何时候都只能浏览

23、外网网页；192.168.1.103192.168.1.103从上午从上午8 8点到下午点到下午6 6点只允在外网点只允在外网219.134.132.62219.134.132.62邮件服务器上收发邮件，其余时邮件服务器上收发邮件，其余时间不能和对外网通信。间不能和对外网通信。浏览网页需使用到浏览网页需使用到8080端口（端口（HTTPHTTP协议），收发电协议），收发电子邮件使用子邮件使用2525（SMTPSMTP）与）与110110（POPPOP），同时域名），同时域名服务器端口号服务器端口号5353（DNSDNS）29复合型防火墙（复合型防火墙（HybridHybrid）复合型防火墙的设

24、计目标是既有包过滤复合型防火墙的设计目标是既有包过滤的功能，又能在应用层进行代理，能从的功能，又能在应用层进行代理，能从数据链路层到应用层进行全方位安全处数据链路层到应用层进行全方位安全处理。由于理。由于TCP/IPTCP/IP协议和代理的直接相互配协议和代理的直接相互配合，使系统的防欺骗能力和运行的安全合，使系统的防欺骗能力和运行的安全性都大大提高。复合型防火墙的系统构性都大大提高。复合型防火墙的系统构成如图成如图2-42-4所示。所示。30图图 4 4 4 4 新型防火墙的系统构成新型防火墙的系统构成31从图可知，该防火墙既不是单纯的代理从图可知，该防火墙既不是单纯的代理防火墙，又不是纯粹

25、的包过滤。从数据防火墙，又不是纯粹的包过滤。从数据链路层、链路层、IPIP层、层、TCPTCP层到应用层都能施加层到应用层都能施加安全控制，且能直接对网卡操作，对出安全控制，且能直接对网卡操作，对出入的数据进行加密或解密。入的数据进行加密或解密。32ApplicationApplication ProxyProxy。提供。提供TCP/IPTCP/IP应用层的服应用层的服务代理，例如务代理，例如HTTPHTTP、FTPFTP、EmailEmail等代理。它等代理。它接收用户的请求，在应用层对用户加以认证，接收用户的请求，在应用层对用户加以认证，并可由安全控制模块加以控制。并可由安全控制模块加以控

26、制。DESDES和和RSARSA。针对进出防火墙的数据进行加密。针对进出防火墙的数据进行加密和解密，并可产生密钥。这是一个可选项。和解密，并可产生密钥。这是一个可选项。TCP/IPTCP/IP协议处理。在协议处理。在TCP/IPTCP/IP协议层进行各项协议层进行各项处理。例如：处理。例如：TCPTCP、UDPUDP、IPIP和和ICMPICMP、ARPARP等。等。利用它，可以避免利用它，可以避免TCP/IPTCP/IP协议本身的安全隐协议本身的安全隐患，增强网络的安全性。它可以提供比过滤患，增强网络的安全性。它可以提供比过滤路由器更广泛的检查。路由器更广泛的检查。33RawRaw Acce

27、ssAccess toto NICNIC。对网卡的直接读写，。对网卡的直接读写，可以控制底层协议。它对收到的数据进行可以控制底层协议。它对收到的数据进行封装与拆封，并可监听网上数据。封装与拆封，并可监听网上数据。安全、日志。产生各种日志安全、日志。产生各种日志配置、报表。配置该防火墙系统，制定安配置、报表。配置该防火墙系统，制定安全规则，并可产生各种报表。全规则，并可产生各种报表。34目前，市场上可选用的防火墙种类很多，目前，市场上可选用的防火墙种类很多，仅仅NetScreenNetScreen公司的防火墙产品就有十余种。公司的防火墙产品就有十余种。国内获得公安部许可证的防火墙产品已有国内获得

28、公安部许可证的防火墙产品已有几十种，如网络卫士、蓝盾、神州数码等。几十种，如网络卫士、蓝盾、神州数码等。这些新型防火墙具有简单易用的这些新型防火墙具有简单易用的WebWeb界面，界面，没有用户限制，支持多用户身份认证，检没有用户限制，支持多用户身份认证，检测黑客攻击手段有测黑客攻击手段有2020多种，可以有效地防多种，可以有效地防止黑客攻击。此外，千兆防火墙产品，如止黑客攻击。此外，千兆防火墙产品，如中科网威，也开始问世。中科网威，也开始问世。352.防火墙体系结构防火墙体系结构防火墙系统的体系结构可以说成是构成防火墙系统的体系结构可以说成是构成防火墙系统的拓扑结构。网络对外呈现防火墙系统的拓

29、扑结构。网络对外呈现的安全水平依赖于所用防火墙系统的体的安全水平依赖于所用防火墙系统的体系结构。一般将防火墙体系结构区分三系结构。一般将防火墙体系结构区分三种：双宿主机体系结构、种：双宿主机体系结构、.屏蔽主机体系屏蔽主机体系结构、屏蔽子网体系结构。结构、屏蔽子网体系结构。防火墙包括安全操作系统、过滤器、网防火墙包括安全操作系统、过滤器、网关、域名服务和关、域名服务和E-mail处理五个部分。处理五个部分。36（1）屏蔽路由器防火墙屏蔽路由器防火墙（2）屏蔽主机网关防火墙）屏蔽主机网关防火墙组成、安全层次、堡垒主机的作用组成、安全层次、堡垒主机的作用优点：优点：内部不影响防火墙的配置。内部不影

30、响防火墙的配置。公开信息服公开信息服务器可以和防火墙共用网段。务器可以和防火墙共用网段。（3 3）双）双(多多)宿主机网关防火墙宿主机网关防火墙采用了一台堡垒主机上安装两块网卡的方法，对内采用了一台堡垒主机上安装两块网卡的方法，对内部网络进行保护。部网络进行保护。注意：不允许用户注册到堡垒主机注意：不允许用户注册到堡垒主机37被屏蔽主机防火墙被屏蔽主机防火墙3839（4）屏蔽子网防火墙屏蔽子网防火墙定义定义优点：优点：三个设备难于渗透；三个设备难于渗透；不可见内部路由器不可见内部路由器和网络；和网络；内部不能直接通往内部不能直接通往InternetInternet；不需不需要将堡垒主机设置成双

31、宿的；要将堡垒主机设置成双宿的；避免对内部网络避免对内部网络重新编址或重新划分子网。重新编址或重新划分子网。（5 5）安全服务器网络防火墙）安全服务器网络防火墙定义：在堡垒主机上安装定义：在堡垒主机上安装3 3块网卡，防火墙系统把公块网卡，防火墙系统把公共服务器设置为一个独立的网络，并与堡垒主机共服务器设置为一个独立的网络，并与堡垒主机上的其中一块网络相连，另外两块网卡分别与上的其中一块网络相连，另外两块网卡分别与InternetInternet和内部网络相连。和内部网络相连。优点：安全服务器网络与外部网络和内部网络之间优点：安全服务器网络与外部网络和内部网络之间都有防火墙保护。都有防火墙保护

32、。4041物理隔离技术物理隔离技术物理隔离技术是近年来发展起来的防止物理隔离技术是近年来发展起来的防止外部黑客攻击的有效手段。物理隔离产外部黑客攻击的有效手段。物理隔离产品主要有物理隔离卡和隔离网闸。品主要有物理隔离卡和隔离网闸。42物理隔离卡主要分为单硬盘物理隔离卡物理隔离卡主要分为单硬盘物理隔离卡和双硬盘物理隔离卡。单硬盘物理隔离和双硬盘物理隔离卡。单硬盘物理隔离卡的主要工作原理是通过把用户的一个卡的主要工作原理是通过把用户的一个硬盘分成两个区，一个为公共硬盘硬盘分成两个区，一个为公共硬盘/区区(外网外网)，另一个为安全硬盘，另一个为安全硬盘/区区(内网内网)，将一台普通计算机变成两台虚拟

33、计算机，将一台普通计算机变成两台虚拟计算机，每次启动进入其中的一个硬盘每次启动进入其中的一个硬盘/区。它们区。它们分别拥有独立的操作系统，并能通过各分别拥有独立的操作系统，并能通过各自的专用接口与网络连接。自的专用接口与网络连接。43在外网时，操作系统对于数据交换区可以在外网时，操作系统对于数据交换区可以任意读写，可以把外网的数据任意读写，可以把外网的数据复制到数据复制到数据交换区中。当切换到交换区中。当切换到内网内网时，操作系统对时，操作系统对于数据交换区是于数据交换区是只读只读的，无法写入任何数的，无法写入任何数据，但这时可以把从外网复制到数据交换据，但这时可以把从外网复制到数据交换区中的

34、数据复制到内网中使用。由于在内区中的数据复制到内网中使用。由于在内网中数据交换区是只读的，因此数据只能网中数据交换区是只读的，因此数据只能够从外网导入到内网中，而内网中的保密够从外网导入到内网中，而内网中的保密数据绝对不可能通过这个通道传到外网中数据绝对不可能通过这个通道传到外网中去。也就是说，即使黑客写了一段很高明去。也就是说，即使黑客写了一段很高明的程序进入了内网，他也无法窃取到任何的程序进入了内网，他也无法窃取到任何保密数据保密数据(参见图参见图2-52-5)。44图图 4-5物理隔离卡工作示意图物理隔离卡工作示意图45相对于高端的单硬盘物理隔离卡，双硬盘相对于高端的单硬盘物理隔离卡，双

35、硬盘物理隔离卡是一种功能相对简单但较为经物理隔离卡是一种功能相对简单但较为经济的物理隔离产品。双硬盘物理隔离卡的济的物理隔离产品。双硬盘物理隔离卡的基本原理是：在连接内部网络的同时，启基本原理是：在连接内部网络的同时，启动内网硬盘及其操作系统，同时关闭外网动内网硬盘及其操作系统，同时关闭外网硬盘；在连接外部网络的同时，启动外网硬盘；在连接外部网络的同时，启动外网硬盘及其操作系统，同时关闭内网硬盘。硬盘及其操作系统，同时关闭内网硬盘。双网主要适用于政府、军队、企业等已经双网主要适用于政府、军队、企业等已经拥有内外网两套环境和设备的用户。拥有内外网两套环境和设备的用户。46物理隔离卡物理隔离卡WL

36、GLQ-IIWLGLQ-II型型一块插在电脑主机内的插卡，通过外接手动开关来控制电脑中两块硬盘的工作电源、以及内、外网线的切换，彻底隔断了涉密网（或内网）与互联网（或外网）之间的数据信息交换途径，从而起到安全、保密的作用，确保本地系统不受侵害、信息资源不外泄，保证了内、外网络之间的安全物理隔离 47中孚隔离卡48物理隔离网闸由物理隔离网络电脑和物理物理隔离网闸由物理隔离网络电脑和物理隔离系统交换机组成。其中，物理隔离网隔离系统交换机组成。其中，物理隔离网络电脑负责与物理隔离交换机通信，并承络电脑负责与物理隔离交换机通信，并承担选择内网服务器和外网服务器的功能。担选择内网服务器和外网服务器的功能

37、。物理隔离交换机实际上就是一个加载了智物理隔离交换机实际上就是一个加载了智能功能的电子选择开关。物理隔离交换机能功能的电子选择开关。物理隔离交换机不但具有传统交换机的功能，而且增加了不但具有传统交换机的功能，而且增加了选择网络的能力（参见图选择网络的能力（参见图4-64-6）。）。49图图 46物理隔离闸示意图物理隔离闸示意图50工作原理工作原理51为什么需要物理隔离？为什么需要物理隔离？在实行物理隔离之前，我们对网络的在实行物理隔离之前，我们对网络的信息安全信息安全有许有许多措施，如在网络中增加多措施，如在网络中增加防火墙防火墙、防病毒系统，对、防病毒系统，对网络进行网络进行入侵检测、漏洞扫

38、描入侵检测、漏洞扫描等。由于这些技术的等。由于这些技术的极端复杂性与有限性，使得无法提供某些机构（如极端复杂性与有限性，使得无法提供某些机构（如军事、政府、金融等）提出的高度军事、政府、金融等）提出的高度数据安全要求。数据安全要求。而且，此类基于软件的保护是一种逻辑机制，极易而且，此类基于软件的保护是一种逻辑机制，极易被指黑客、内部用户操纵。被指黑客、内部用户操纵。所以，涉密网不能把机所以，涉密网不能把机密数据的安全完全寄托在用概率来作判断的防护上，密数据的安全完全寄托在用概率来作判断的防护上，必须有一道绝对安全的大门，保证涉密网的信息不必须有一道绝对安全的大门，保证涉密网的信息不被泄露和破坏

39、，这就是物理隔离所起的作用。被泄露和破坏，这就是物理隔离所起的作用。思考思考52思考问题思考问题安全隔离网闸是硬件设备还是软件设备？安全隔离网闸是硬件设备还是软件设备？隔离网闸与物理隔离卡的主要区别是什么？隔离网闸与物理隔离卡的主要区别是什么？安全隔离网闸是由软件和硬件组成。安全隔离网闸是由软件和硬件组成。安全隔离网闸能够实现网络间的安全适度的信安全隔离网闸能够实现网络间的安全适度的信息交换，而物理隔离卡不提供这样的功能。息交换，而物理隔离卡不提供这样的功能。53隔离了，怎么还可以交换数据？隔离了，怎么还可以交换数据？隔离网闸与防火墙有何不同？隔离网闸与防火墙有何不同？通过网闸隔离硬件实现两个

40、网络在链路层断开，但通过网闸隔离硬件实现两个网络在链路层断开，但是为了交换数据，通过设计的隔离硬件在两个网络是为了交换数据，通过设计的隔离硬件在两个网络对应的服务器上进行切换，通过对硬件上的存储芯对应的服务器上进行切换，通过对硬件上的存储芯片的读写，完成数据的交换。片的读写，完成数据的交换。防火墙一般在进行防火墙一般在进行IPIP包转发的同时，通过对包转发的同时，通过对IPIP包包的处理，实现对的处理，实现对TCPTCP会话的控制，但是对应用数据会话的控制，但是对应用数据的内容不进行检查。这种工作方式无法防止泄密，的内容不进行检查。这种工作方式无法防止泄密，也无法防止病毒和黑客程序的攻击。也无

41、法防止病毒和黑客程序的攻击。54安全隔离网闸接受外来请求吗？安全隔离网闸接受外来请求吗？安全隔离网闸直接转发安全隔离网闸直接转发IP包吗？包吗？不接受，安全隔离网闸上的数据交换全部由管不接受，安全隔离网闸上的数据交换全部由管理员来进行配置，其所有的请求都由安全隔离理员来进行配置，其所有的请求都由安全隔离网闸主动发起，不接受外来请求，不提供任何网闸主动发起，不接受外来请求，不提供任何系统服务。系统服务。否。安全隔离网闸从不直接或者间接地转发否。安全隔离网闸从不直接或者间接地转发IPIP包形式的数据。安全隔离网闸的安全性体现包形式的数据。安全隔离网闸的安全性体现在链路层断开，直接处理应用层数据，对

42、应用在链路层断开，直接处理应用层数据，对应用层数据进行内容检查和控制层数据进行内容检查和控制 55隔离网闸能取代防火墙吗？隔离网闸能取代防火墙吗？无论从功能还是实现原理上讲，安全隔离网闸无论从功能还是实现原理上讲，安全隔离网闸和防火墙是完全不同的两个产品，防火墙是保和防火墙是完全不同的两个产品，防火墙是保证网络层安全的边界安全工具（如通常的非军证网络层安全的边界安全工具（如通常的非军事化区），而安全隔离网闸重点是保护内部网事化区），而安全隔离网闸重点是保护内部网络的安全。因此两种产品由于定位的不同，因络的安全。因此两种产品由于定位的不同，因此不能相互取代。此不能相互取代。564.2.24.2.

43、2入侵检测技术入侵检测技术入侵检测是网络安全领域中一个较新的课题。入侵检测是网络安全领域中一个较新的课题。从从2020世纪世纪9090年代开始就有一些针对具体入侵行年代开始就有一些针对具体入侵行为或具体的入侵过程进行的入侵检测研究，为或具体的入侵过程进行的入侵检测研究，19941994年以后逐渐出现一些入侵检测的产品，其年以后逐渐出现一些入侵检测的产品，其中比较有代表性的产品有中比较有代表性的产品有ISSISS(InternetInternet SecuritySecurity SystemSystem)公司的公司的RealSecureRealSecure，NAINAI(NetworkNetw

44、ork AssociationAssociation，IncInc)公司的公司的CyberCopCyberCop和和CiscoCisco公司的公司的NetrangerNetranger。现在入侵。现在入侵检测技术已经成为网络安全中的一个重要研究检测技术已经成为网络安全中的一个重要研究方向。方向。57入侵检测系统入侵检测系统(IntrusionIntrusion DetectDetect SystemSystem，IDSIDS)是对传统安全产品的合理补充，帮助系统对付网是对传统安全产品的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力络攻击，扩展了系统管理员的安全管理能力(包括包括

45、安全审计、监视、进攻识别和响应安全审计、监视、进攻识别和响应)，提高了信息，提高了信息安全基础结构的完整性。它从计算机网络系统中安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遇到袭击的网络中是否有违反安全策略的行为和遇到袭击的迹象。入侵检测系统被认为是防火墙之后的第二迹象。入侵检测系统被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和络进行监测，从而提供对内部攻击、外部攻击和误操作的实

46、时保护。这些都通过它执行以下任务误操作的实时保护。这些都通过它执行以下任务来实现：来实现：58监视、分析用户及系统活动；监视、分析用户及系统活动；对系统构造和弱点的审计；对系统构造和弱点的审计；识别反映已知进攻的话动模式并向相关人识别反映已知进攻的话动模式并向相关人士报警；士报警；异常行为模式的统计分析；异常行为模式的统计分析；评估重要系统和数据文件的完整性；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违操作系统的审计跟踪管理，并识别用户违反安全策略的行为。反安全策略的行为。59入侵检测系统根据其实现技术可以分为入侵检测系统根据其实现技术可以分为两类：误用检测和异常检测。

47、两类：误用检测和异常检测。误用检测即基于特征的检测。首先根据误用检测即基于特征的检测。首先根据已知的攻击行为建立一个特征库，然后已知的攻击行为建立一个特征库，然后提取系统当前动作到特征库中进行匹配，提取系统当前动作到特征库中进行匹配，如果匹配则表明当前动作是一个入侵行如果匹配则表明当前动作是一个入侵行为。优点是误报率低，但由于攻击行为为。优点是误报率低，但由于攻击行为多，特征库会变得很大，并只能检测到多，特征库会变得很大，并只能检测到已知的攻击行为。已知的攻击行为。60异常检测即基于行为的检测。原理是建立一个异常检测即基于行为的检测。原理是建立一个正常的特征库，根据使用者的行为或资源使用正常的

48、特征库，根据使用者的行为或资源使用情况来判断是否入侵。优点是与系统关联不大，情况来判断是否入侵。优点是与系统关联不大，通用性强，有可能检测到以前未出现过的攻击通用性强，有可能检测到以前未出现过的攻击方法。但由于产生的正常行为概述不可能对整方法。但由于产生的正常行为概述不可能对整个系统内的所有用户行为进行全面描述，并每个系统内的所有用户行为进行全面描述，并每个用户的行为是经常变化的，所以误检率高，个用户的行为是经常变化的，所以误检率高，尤其是在用户数目多，工作目的地经常变化的尤其是在用户数目多，工作目的地经常变化的环境中。其次，入侵者如果知道某系统在监视环境中。其次，入侵者如果知道某系统在监视下

49、，他们会慢慢地训练检测系统，以使检测系下，他们会慢慢地训练检测系统，以使检测系统在经过一段时间训练后将异常行为视为正常统在经过一段时间训练后将异常行为视为正常行为。行为。61入侵检测系统根据其检测数据来源分为两类：入侵检测系统根据其检测数据来源分为两类：基于主机的入侵检测系统和基于网络的入侵检基于主机的入侵检测系统和基于网络的入侵检测系统。测系统。基于主机的入侵检测系统从单个主机上提取数基于主机的入侵检测系统从单个主机上提取数据据(如审计记录等如审计记录等)作为入侵分析的数据源，其作为入侵分析的数据源，其输入数据来源于系统的审计日志，一般只能检输入数据来源于系统的审计日志，一般只能检测该主机上

50、发生的入侵。检测系统通常安装在测该主机上发生的入侵。检测系统通常安装在测试的主机上，对该主机的网络实时连接以及测试的主机上，对该主机的网络实时连接以及系统审计日志进行智能分析和判断。系统审计日志进行智能分析和判断。62而基于网络的入侵检测系统从网络上提取数据而基于网络的入侵检测系统从网络上提取数据(加网络链路层的数据帧加网络链路层的数据帧)作为入侵分析的数据作为入侵分析的数据源。源。输入数据源来源于网络的信息流，能够输入数据源来源于网络的信息流，能够检测该网段上发生的网络入侵。实时监视网段检测该网段上发生的网络入侵。实时监视网段内的各种数据包，对每一个数据包或可疑的数内的各种数据包，对每一个数