課程04-防火墻與網(wǎng)絡(luò)隔離技術(shù)課件

第四章防火墻與網(wǎng)絡(luò)隔離技術(shù)第四章防火墻與網(wǎng)絡(luò)隔離技術(shù)第4章防火墻與網(wǎng)絡(luò)隔離技術(shù)傳統(tǒng)情況下，當(dāng)構(gòu)筑和使用木結(jié)構(gòu)房屋的時候，為防止火災(zāi)的發(fā)生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護(hù)構(gòu)筑物被稱為防火墻。如今，人們借助這個概念，使用“防火墻”來保護(hù)敏感的數(shù)據(jù)不被竊取和篡改，不過，這些防火墻是由先進(jìn)的計算機(jī)系統(tǒng)構(gòu)成的。防火墻尤如一道護(hù)欄隔在被保護(hù)的內(nèi)部網(wǎng)與不安全的非信任網(wǎng)絡(luò)之間，用來保護(hù)計算機(jī)網(wǎng)絡(luò)免受非授權(quán)人員的騷擾與黑客的入侵。第4章防火墻與網(wǎng)絡(luò)隔離技術(shù)傳統(tǒng)情況下，當(dāng)構(gòu)筑和使用木結(jié)構(gòu)第4章防火墻與網(wǎng)絡(luò)隔離技術(shù)4.1防火墻技術(shù)及Windows防火墻配置4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用第4章防火墻與網(wǎng)絡(luò)隔離技術(shù)4.1防火墻技術(shù)及Wind4.1防火墻技術(shù)及Windows防火墻配置防火墻可以是非常簡單的過濾器，也可能是精心配置的網(wǎng)關(guān)，但它們的原理是一樣的，都是監(jiān)測并過濾所有內(nèi)部網(wǎng)和外部網(wǎng)之間的信息交換。防火墻通常是運行在一臺單獨計算機(jī)之上的一個特別的服務(wù)軟件，它可以識別并屏蔽非法的請求，保護(hù)內(nèi)部網(wǎng)絡(luò)敏感的數(shù)據(jù)不被偷竊和破壞，并記錄內(nèi)外通訊的有關(guān)狀態(tài)信息日志，如通訊發(fā)生的時間和進(jìn)行的操作等。4.1防火墻技術(shù)及Windows防火墻配置防火墻可以是非4.1防火墻技術(shù)及Windows防火墻配置防火墻技術(shù)是一種有效的網(wǎng)絡(luò)安全機(jī)制，它主要用于確定哪些內(nèi)部服務(wù)允許外部訪問，以及允許哪些外部服務(wù)訪問內(nèi)部服務(wù)。其基本準(zhǔn)則就是：一切未被允許的就是禁止的；一切未被禁止的就是允許的。4.1防火墻技術(shù)及Windows防火墻配置防火墻技術(shù)是一4.1.1防火墻技術(shù)防火墻是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，并越來越多地應(yīng)用于專用與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中。4.1.1防火墻技術(shù)防火墻是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息4.1.1防火墻技術(shù)1.防火墻的作用防火墻應(yīng)該是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全策略控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力，是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，它有效地監(jiān)控著內(nèi)部網(wǎng)和因特網(wǎng)之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。如圖4.1所示。4.1.1防火墻技術(shù)1.防火墻的作用圖4.1防火墻示意圖圖4.1防火墻示意圖4.1.1防火墻技術(shù)(1)防火墻是網(wǎng)絡(luò)安全的屏障。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以防火墻(作為阻塞點、控制點)能極大地提高內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險，使網(wǎng)絡(luò)環(huán)境變得更安全。防火墻同時可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑等。4.1.1防火墻技術(shù)(1)防火墻是網(wǎng)絡(luò)安全的屏障。由于4.1.1防火墻技術(shù)(2)防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略。通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認(rèn)證、審計等)配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問時，一次一密口令系統(tǒng)(即每一次加密都使用一個不同的密鑰)和其他的身份認(rèn)證系統(tǒng)完全可以集中于防火墻一身。4.1.1防火墻技術(shù)(2)防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略。4.1.1防火墻技術(shù)(3)對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計。如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當(dāng)發(fā)生可疑動作時，防火墻能進(jìn)行適當(dāng)?shù)膱缶?，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。4.1.1防火墻技術(shù)(3)對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計4.1.1防火墻技術(shù)另外，收集一個網(wǎng)絡(luò)的使用和誤用情況也是非常重要的，這樣可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，清楚防火墻的控制是否充分。而網(wǎng)絡(luò)使用統(tǒng)計對網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。4.1.1防火墻技術(shù)另外，收集一個網(wǎng)絡(luò)的使用和誤用情況也4.1.1防火墻技術(shù)(4)防止內(nèi)部信息的外泄。通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴露了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。4.1.1防火墻技術(shù)(4)防止內(nèi)部信息的外泄。通過利用4.1.1防火墻技術(shù)使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)的例如Finger(用來查詢使用者的資料)，DNS(域名系統(tǒng))等服務(wù)。Finger顯示了主機(jī)的所有用戶的注冊名、真名、最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。4.1.1防火墻技術(shù)使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)4.1.1防火墻技術(shù)攻擊者可以由此而知道一個系統(tǒng)使用的頻繁程度，這個系統(tǒng)是否有用戶正在連線上網(wǎng)，這個系統(tǒng)是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息，這樣一臺主機(jī)的域名和IP地址就不會被外界所了解。除了安全作用，防火墻還支持具有因特網(wǎng)服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN(虛擬專用網(wǎng)絡(luò))。4.1.1防火墻技術(shù)攻擊者可以由此而知道一個系統(tǒng)使用的頻4.1.1防火墻技術(shù)2.防火墻的種類根據(jù)防范的方式和側(cè)重點的不同，防火墻技術(shù)可分成很多類型，但總體來講還是兩大類：分組過濾和應(yīng)用代理。4.1.1防火墻技術(shù)2.防火墻的種類4.1.1防火墻技術(shù)(1)包過濾或分組過濾技術(shù)(Packetfiltering)。作用于網(wǎng)絡(luò)層和傳輸層，通常安裝在路由器上，對數(shù)據(jù)進(jìn)行選擇，它根據(jù)分組包頭源地址，目的地址和端口號、協(xié)議類型(TCP/UDP/ICMP/IPtunnel)等標(biāo)志，確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。4.1.1防火墻技術(shù)(1)包過濾或分組過濾技術(shù)(Pa4.1.1防火墻技術(shù)(2)代理服務(wù)技術(shù)。也叫應(yīng)用代理(ApplicationProxy)和應(yīng)用網(wǎng)關(guān)(ApplicationGateway)，它作用在應(yīng)用層，其特點是完全“阻隔”了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。與包過濾防火墻不同之處在于內(nèi)部網(wǎng)和外部網(wǎng)之間不存在直接連接，同時提供審計和日志服務(wù)。實際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實現(xiàn)。如圖4.2所示。4.1.1防火墻技術(shù)(2)代理服務(wù)技術(shù)。也叫應(yīng)用代理圖4.2應(yīng)用代理型防火墻圖4.2應(yīng)用代理型防火墻4.1.1防火墻技術(shù)應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點，工作在OSI模型的最高層，掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息，起著監(jiān)視和隔絕應(yīng)用層通信流的作用。同時也常結(jié)合過濾器的功能。4.1.1防火墻技術(shù)應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔4.1.1防火墻技術(shù)(3)復(fù)合型技術(shù)。針對更高安全性的要求，常把基于包過濾的方法與基于應(yīng)用代理的方法結(jié)合起來，形成復(fù)合型防火墻產(chǎn)品。所用主機(jī)稱為堡壘主機(jī)，負(fù)責(zé)提供代理服務(wù)。這種結(jié)合通常有屏蔽主機(jī)和屏蔽子網(wǎng)這兩種防火墻體系結(jié)構(gòu)方案。4.1.1防火墻技術(shù)(3)復(fù)合型技術(shù)。針對更高安全性的4.1.1防火墻技術(shù)在屏蔽主機(jī)防火墻體系結(jié)構(gòu)中(圖4.3)，包過濾路由器或防火墻與因特網(wǎng)相連，同時一個堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)，通過在包過濾路由器或防火墻上過濾規(guī)則的設(shè)置，使堡壘主機(jī)成為因特網(wǎng)上其他節(jié)點所能到達(dá)的唯一節(jié)點，確保內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶的攻擊。4.1.1防火墻技術(shù)在屏蔽主機(jī)防火墻體系結(jié)構(gòu)中(圖4.圖4.3屏蔽主機(jī)防火墻圖4.3屏蔽主機(jī)防火墻4.1.1防火墻技術(shù)在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中(圖4.4)，堡壘主機(jī)放在一個子網(wǎng)(非軍事區(qū)，DMZ)內(nèi)，兩個包過濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與因特網(wǎng)及內(nèi)部網(wǎng)分離，堡壘主機(jī)和包過濾路由器共同構(gòu)成了整個防火墻的安全基礎(chǔ)。4.1.1防火墻技術(shù)在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中(圖4.圖4.4屏蔽子網(wǎng)防火墻圖4.4屏蔽子網(wǎng)防火墻4.1.1防火墻技術(shù)(4)審計技術(shù)。通過對網(wǎng)絡(luò)上發(fā)生的各種訪問過程進(jìn)行記錄和產(chǎn)生日志，并對日志進(jìn)行統(tǒng)計分析，從而對資源使用情況進(jìn)行分析，對異?，F(xiàn)象進(jìn)行追蹤監(jiān)視。4.1.1防火墻技術(shù)(4)審計技術(shù)。通過對網(wǎng)絡(luò)上發(fā)生的4.1.1防火墻技術(shù)3.防火墻操作系統(tǒng)防火墻應(yīng)該建立在安全的操作系統(tǒng)之上，而安全的操作系統(tǒng)來自對專用操作系統(tǒng)的安全加固和改造。從現(xiàn)有的諸多產(chǎn)品看，對安全操作系統(tǒng)內(nèi)核的固化與改造主要從以下幾方面進(jìn)行：1)取消危險的系統(tǒng)調(diào)用。2)限制命令的執(zhí)行權(quán)限。4.1.1防火墻技術(shù)3.防火墻操作系統(tǒng)4.1.1防火墻技術(shù)3)取消IP的轉(zhuǎn)發(fā)功能。4)檢查每個分組的接口。5)采用隨機(jī)連接序號。6)駐留分組過濾模塊。7)取消動態(tài)路由功能。8)采用多個安全內(nèi)核等。4.1.1防火墻技術(shù)3)取消IP的轉(zhuǎn)發(fā)功能。4.1.1防火墻技術(shù)作為一種安全防護(hù)設(shè)備，防火墻在網(wǎng)絡(luò)中自然是眾多攻擊者的目標(biāo)，故抗攻擊能力也是防火墻的必備功能。4.1.1防火墻技術(shù)作為一種安全防護(hù)設(shè)備，防火墻在網(wǎng)絡(luò)中4.1.1防火墻技術(shù)防火墻也有局限性，存在著一些防火墻不能防范的安全威脅，如防火墻不能防范不經(jīng)過防火墻的攻擊(例如，如果允許從受保護(hù)的網(wǎng)絡(luò)內(nèi)部向外撥號，一些用戶就可能形成與因特網(wǎng)的直接連接)。另外，防火墻很難防范來自于網(wǎng)絡(luò)內(nèi)部的攻擊以及病毒的威脅等。4.1.1防火墻技術(shù)防火墻也有局限性，存在著一些防火墻不4.1.2防火墻的功能指標(biāo)防火墻的功能指標(biāo)主要包括：1)產(chǎn)品類型。從產(chǎn)品和技術(shù)發(fā)展來看，防火墻分為基于路由器的包過濾防火墻、基于通用操作系統(tǒng)的防火墻和基于專用安全操作系統(tǒng)的防火墻。2)局域網(wǎng)(LAN)接口。指防火墻所能保護(hù)的網(wǎng)絡(luò)類型，如以太網(wǎng)、快速以太網(wǎng)、千兆以太網(wǎng)、ATM、令牌環(huán)及FDDI等。4.1.2防火墻的功能指標(biāo)防火墻的功能指標(biāo)主要包括：4.1.2防火墻的功能指標(biāo)支持的最大LAN接口數(shù)：指防火墻所支持的局域網(wǎng)絡(luò)接口數(shù)目，也是其能夠保護(hù)的不同內(nèi)網(wǎng)數(shù)目。服務(wù)器平臺：防火墻所運行的操作系統(tǒng)平臺(如Linux、UNIX、Windows2000/XP、專用安全操作系統(tǒng)等)。3)協(xié)議支持。除支持IP協(xié)議之外，又支持AppleTalk、DECnet、IPX及NETBEUI等非IP協(xié)議。此外還有建立VPN通道的協(xié)議、可以在VPN中使用的協(xié)議等。4.1.2防火墻的功能指標(biāo)支持的最大LAN接口數(shù)：指防火4.1.2防火墻的功能指標(biāo)4)加密支持。VPN中支持的加密算法，例如數(shù)據(jù)加密標(biāo)準(zhǔn)DES、3DES、RC4以及國內(nèi)專用的加密算法等。此外還有加密的其他用途，如身份認(rèn)證、報文完整性認(rèn)證，密鑰分配等，以及是否提供硬件加密方法等。4.1.2防火墻的功能指標(biāo)4)加密支持。VPN中支持的4.1.2防火墻的功能指標(biāo)5)認(rèn)證支持。指防火墻支持的身份認(rèn)證協(xié)議，以及是否支持?jǐn)?shù)字證書等。一般情況下具有一個或多個認(rèn)證方案，如RADIUS、Kerberos、TACACS/TACACS+、口令方式、數(shù)字證書等。防火墻能夠為本地或遠(yuǎn)程用戶提供經(jīng)過認(rèn)證與授權(quán)的對網(wǎng)絡(luò)資源的訪問，防火墻管理員必須決定客戶以何種方式通過認(rèn)證。4.1.2防火墻的功能指標(biāo)5)認(rèn)證支持。指防火墻支持的4.1.2防火墻的功能指標(biāo)6)訪問控制。包過濾防火墻的過濾規(guī)則集由若干條規(guī)則組成，它應(yīng)涵蓋對所有出入防火墻的數(shù)據(jù)包的處理方法，對于沒有明確定義的數(shù)據(jù)包，應(yīng)該有一個缺省處理方法；過濾規(guī)則應(yīng)易于理解，易于編輯修改；同時應(yīng)具備一致性檢測機(jī)制，防止沖突。4.1.2防火墻的功能指標(biāo)6)訪問控制。包過濾防火墻的4.1.2防火墻的功能指標(biāo)應(yīng)考慮防火墻是否支持應(yīng)用層代理，如HTTP、FTP、TELNET、SNMP等；是否支持傳輸層代理服務(wù)；是否支持FTP文件類型過濾，允許FTP命令防止某些類型文件通過防火墻；用戶操作的代理類型，如HTTP、POP3；支持網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)；是否支持硬件口令、智能卡等。4.1.2防火墻的功能指標(biāo)應(yīng)考慮防火墻是否支持應(yīng)用層代理4.1.2防火墻的功能指標(biāo)7)防御功能。是否支持防病毒功能，是否支持信息內(nèi)容過濾，能防御的DoS攻擊類型；以及阻止ActiveX、Java、Cookies、Javascript侵入等。8)安全特性。是否支持ICMP(網(wǎng)間控制報文協(xié)議)代理，提供實時入侵告警功能，提供實時入侵響應(yīng)功能，識別/記錄/防止企圖進(jìn)行IP地址欺騙等。4.1.2防火墻的功能指標(biāo)7)防御功能。是否支持防病毒4.1.2防火墻的功能指標(biāo)9)管理功能。通過集成策略集中管理多個防火墻。防火墻管理是指對防火墻具有管理權(quán)限的管理員行為和防火墻運行狀態(tài)的管理，管理員的行為主要包括：通過防火墻的身份鑒別，編寫防火墻的安全規(guī)則，配置防火墻的安全參數(shù)，查看防火墻的日志等。防火墻的管理一般分為本地管理、遠(yuǎn)程管理和集中管理等。4.1.2防火墻的功能指標(biāo)9)管理功能。通過集成策略集4.1.2防火墻的功能指標(biāo)10)記錄和報表功能。防火墻規(guī)定了對于符合條件的報文做日志，應(yīng)該提供日志信息管理和存儲方法。應(yīng)考慮防火墻是否具有日志的自動分析和掃描功能，這可以獲得更詳細(xì)的統(tǒng)計結(jié)果，達(dá)到事后分析、亡羊補(bǔ)牢的目的。國內(nèi)有關(guān)部門的許可證類別及號碼是防火墻合格與銷售的關(guān)鍵要素之一，其中包括：公安部的銷售許可證、國家信息安全測評中心的認(rèn)證證書、總參的國防通信入網(wǎng)證和國家保密局的推薦證明等。4.1.2防火墻的功能指標(biāo)10)記錄和報表功能。防火墻4.1.3防火墻技術(shù)的發(fā)展目前對防火墻的發(fā)展普遍存在著兩種觀點，即所謂的胖、瘦防火墻之爭。一種觀點認(rèn)為，要采取分工協(xié)作，防火墻應(yīng)該做得精瘦，只做防火墻的專職工作，可采取多家安全廠商聯(lián)盟的方式來解決；另一種觀點認(rèn)為，應(yīng)該把防火墻做得盡量的胖，把所有安全功能盡可能多地附加在防火墻上，成為一個集成化的網(wǎng)絡(luò)安全平臺。4.1.3防火墻技術(shù)的發(fā)展目前對防火墻的發(fā)展普遍存在著兩4.1.3防火墻技術(shù)的發(fā)展從本質(zhì)上講，“胖、瘦”防火墻沒有好壞之分，只有需求上的差別。低端的防火墻是一個集成的產(chǎn)品，它可以具有簡單的安全防護(hù)功能，還可以具有一定的IDS(入侵檢測系統(tǒng))功能，但一般不會集成防病毒功能。4.1.3防火墻技術(shù)的發(fā)展從本質(zhì)上講，“胖、瘦”防火墻沒4.1.3防火墻技術(shù)的發(fā)展而中高端的防火墻更加專業(yè)化，安全和訪問控制并重，主要對經(jīng)過防火墻的數(shù)據(jù)包進(jìn)行審核，安全會更加深化，對協(xié)議的研究更加深入，同時會支持多種通用的路由協(xié)議，對網(wǎng)絡(luò)拓?fù)涓舆m應(yīng)，VPN會集成到防火墻內(nèi)，作為建立廣域網(wǎng)安全隧道的一種手段，但防火墻不會集成IDS和防病毒，這些還是由專門的設(shè)備負(fù)責(zé)完成。4.1.3防火墻技術(shù)的發(fā)展而中高端的防火墻更加專業(yè)化，安4.1.4Windows防火墻WindowsXP(SP2)為連接到因特網(wǎng)上的小型網(wǎng)絡(luò)提供了增強(qiáng)的防火墻安全保護(hù)。默認(rèn)情況下，會啟用Windows防火墻，以便幫助保護(hù)所有因特網(wǎng)和網(wǎng)絡(luò)連接。用戶還可以下載并安裝自己選擇的防火墻。Windows防火墻將限制從其他計算機(jī)發(fā)送來的信息，使用戶可以更好地控制自己計算機(jī)上的數(shù)據(jù)，并針對那些未經(jīng)邀請而嘗試連接的用戶或程序(包括病毒和蠕蟲)提供了一條防御線。4.1.4Windows防火墻WindowsXP(S4.1.4Windows防火墻用戶可以將防火墻視為一道屏障，它檢查來自因特網(wǎng)或網(wǎng)絡(luò)的信息，然后根據(jù)防火墻設(shè)置，拒絕信息或允許信息到達(dá)計算機(jī)。如圖4.5所示。4.1.4Windows防火墻用戶可以將防火墻視為一道屏圖4.5Windows防火墻的工作方式圖4.5Windows防火墻的工作方式4.1.4Windows防火墻當(dāng)因特網(wǎng)或網(wǎng)絡(luò)上的某人嘗試連接到你的計算機(jī)時，我們將這種嘗試稱為“未經(jīng)請求的請求”。當(dāng)收到“未經(jīng)請求的請求”時，Windows防火墻會阻止該連接。如果運行的程序(如即時消息程序或多人網(wǎng)絡(luò)游戲)需要從因特網(wǎng)或網(wǎng)絡(luò)接收信息，那么防火墻會詢問阻止連接還是取消阻止(允許)連接。4.1.4Windows防火墻當(dāng)因特網(wǎng)或網(wǎng)絡(luò)上的某人嘗試4.1.4Windows防火墻如果選擇取消阻止連接，Windows防火墻將創(chuàng)建一個“例外”，這樣當(dāng)該程序日后需要接收信息時，防火墻就會允許信息到達(dá)你的計算機(jī)。雖然可以為特定因特網(wǎng)連接和網(wǎng)絡(luò)連接關(guān)閉Windows防火墻，但這樣做會增加計算機(jī)安全性受到威脅的風(fēng)險。4.1.4Windows防火墻如果選擇取消阻止連接，Wi4.1.4Windows防火墻Windows防火墻有三種設(shè)置：“開”、“開并且無例外”和“關(guān)”。1)“開”：Windows防火墻在默認(rèn)情況下處于打開狀態(tài)，而且通常應(yīng)當(dāng)保留此設(shè)置不變。選擇此設(shè)置時，Windows防火墻阻止所有未經(jīng)請求的連接，但不包括那些對“例外”選項卡上選中的程序或服務(wù)發(fā)出的請求。4.1.4Windows防火墻Windows防火墻有三4.1.4Windows防火墻2)“開并且無例外”：當(dāng)選中“不允許例外”復(fù)選框時，Windows防火墻會阻止所有未經(jīng)請求的連接，包括那些對“例外”選項卡上選中的程序或服務(wù)發(fā)出的請求。當(dāng)需要為計算機(jī)提供最大程度的保護(hù)時(例如，當(dāng)你連接到旅館或機(jī)場中的公用網(wǎng)絡(luò)時，或者當(dāng)危險的病毒或蠕蟲正在因特網(wǎng)上擴(kuò)散時)，可以使用該設(shè)置。4.1.4Windows防火墻2)“開并且無例外”：當(dāng)4.1.4Windows防火墻但是，不必始終選擇“不允許例外”，其原因在于，如果該選項始終處于選中狀態(tài)，某些程序可能會無法正常工作，并且文件和打印機(jī)共享、遠(yuǎn)程協(xié)助和遠(yuǎn)程桌面、網(wǎng)絡(luò)設(shè)備發(fā)現(xiàn)、例外列表上預(yù)配置的程序和服務(wù)以及已添加到例外列表中的其他項等服務(wù)會被禁止接受未經(jīng)請求的請求。如果選中“不允許例外”，仍然可以收發(fā)電子郵件、使用即時消息程序或查看大多數(shù)網(wǎng)頁。4.1.4Windows防火墻但是，不必始終選擇“不允許4.1.4Windows防火墻3)“關(guān)”：此設(shè)置將關(guān)閉Windows防火墻。選擇此設(shè)置時，計算機(jī)更容易受到未知入侵者或因特網(wǎng)病毒的侵害。此設(shè)置只應(yīng)由高級用戶用于計算機(jī)管理目的，或者在計算機(jī)有其他防火墻保護(hù)的情況下使用。在計算機(jī)加入域時創(chuàng)建的設(shè)置與計算機(jī)沒有加入域時創(chuàng)建的設(shè)置是分開存儲的。這些單獨的設(shè)置組稱為“配置文件”。4.1.4Windows防火墻3)“關(guān)”：此設(shè)置將關(guān)閉實訓(xùn)與思考本節(jié)“實訓(xùn)與思考”的目的是：(1)熟悉防火墻技術(shù)的基本概念，了解防火墻技術(shù)的基本內(nèi)容。(2)通過因特網(wǎng)搜索與瀏覽，了解網(wǎng)絡(luò)環(huán)境中主流的防火墻技術(shù)網(wǎng)站，掌握通過專業(yè)網(wǎng)站不斷豐富防火墻技術(shù)最新知識的學(xué)習(xí)方法，嘗試通過專業(yè)網(wǎng)站的輔助與支持來開展防火墻技術(shù)應(yīng)用實踐。實訓(xùn)與思考本節(jié)“實訓(xùn)與思考”的目的是：實訓(xùn)與思考(3)在WindowsXP中配置簡易防火墻(IP篩選器)，完成后，將能夠在本機(jī)實現(xiàn)對IP站點、端口、DNS服務(wù)屏蔽，實現(xiàn)防火墻功能。實訓(xùn)與思考(3)在WindowsXP中配置簡易防火墻(4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用盡管我們正在廣泛地采用著各種復(fù)雜的安全技術(shù)，如防火墻、代理服務(wù)器、入侵檢測機(jī)制、通道控制機(jī)制等，但是，由于這些技術(shù)基本上都是一種邏輯機(jī)制，這對于邏輯實體(如黑客或內(nèi)部用戶等)而言，是可能被操縱的。4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用盡管我們正在廣泛地采用著各種4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用在政府、軍隊、企業(yè)等領(lǐng)域，由于核心部門的信息安全關(guān)系著國家安全、社會穩(wěn)定，因此迫切需要比傳統(tǒng)產(chǎn)品更為可靠的技術(shù)防護(hù)措施，由此產(chǎn)生了物理隔離技術(shù)，該技術(shù)主要基于這樣的思想：如果不存在與網(wǎng)絡(luò)的物理連接，網(wǎng)絡(luò)安全威脅便受到了真正的限制。4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用在政府、軍隊、企業(yè)等領(lǐng)域，由4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用在電子政務(wù)建設(shè)中，我們會遇到安全域的問題，安全域是以信息涉密程度劃分的網(wǎng)絡(luò)空間，它包括：1)涉密域。就是涉及國家秘密的網(wǎng)絡(luò)空間。2)非涉密域。就是不涉及國家的秘密，但是涉及本單位，本部門或者本系統(tǒng)的工作秘密的網(wǎng)絡(luò)空間。3)公共服務(wù)域是指既不涉及國家秘密也不涉及工作秘密，是一個向互聯(lián)網(wǎng)絡(luò)完全開放的公共信息交換空間。4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用在電子政務(wù)建設(shè)中，我們會遇到4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用國家有關(guān)文件嚴(yán)格規(guī)定，政務(wù)的內(nèi)網(wǎng)和政務(wù)的外網(wǎng)要實行嚴(yán)格的物理隔離。政務(wù)的外網(wǎng)和互聯(lián)網(wǎng)絡(luò)要實行邏輯隔離，按照安全域的劃分，政府的內(nèi)網(wǎng)就是涉密域，政府的外網(wǎng)就是非涉密域，因特網(wǎng)就是公共服務(wù)域。4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用國家有關(guān)文件嚴(yán)格規(guī)定，政務(wù)的4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用網(wǎng)絡(luò)隔離(networkisolation)主要是指把兩個或兩個以上可路由的網(wǎng)絡(luò)(如TCP/IP)通過不可路由的協(xié)議(如IPX/SPX、NetBEUI等)進(jìn)行數(shù)據(jù)交換而達(dá)到隔離目的。由于其原理主要是采用了不同的協(xié)議，所以通常也叫協(xié)議隔離(protocolisolation)。4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用網(wǎng)絡(luò)隔離(network4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用隔離概念是在保護(hù)高安全度網(wǎng)絡(luò)環(huán)境的情況下產(chǎn)生的，而隔離產(chǎn)品的大量出現(xiàn)，也經(jīng)歷了五代隔離技術(shù)的不斷的理論和實踐相結(jié)合的過程。第一代隔離技術(shù)——完全隔離。此方法使得網(wǎng)絡(luò)處于信息孤島狀態(tài)，做到了完全的物理隔離，一般需要至少兩套網(wǎng)絡(luò)和系統(tǒng)，更重要的是信息交流的不便和成本的提高，給維護(hù)和使用帶來了極大的不便。4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用隔離概念是在保護(hù)高安全度網(wǎng)絡(luò)4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用第二代隔離技術(shù)——硬件卡隔離。在客戶機(jī)端增加一塊硬件卡，客戶機(jī)端硬盤或其他存儲設(shè)備首先連接到該卡，然后再轉(zhuǎn)接到主板上，通過該卡能控制客戶機(jī)端硬盤或其他存儲設(shè)備。而在選擇不同的硬盤時，同時選擇了該卡上不同的網(wǎng)絡(luò)接口，連接到不同的網(wǎng)絡(luò)。但是，這種隔離產(chǎn)品有的仍然需要網(wǎng)絡(luò)布線為雙網(wǎng)線結(jié)構(gòu)，產(chǎn)品存在著較大的安全隱患。4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用第二代隔離技術(shù)——硬件卡隔離4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用第三代隔離技術(shù)——數(shù)據(jù)轉(zhuǎn)播隔離。利用轉(zhuǎn)播系統(tǒng)分時復(fù)制文件的途徑來實現(xiàn)隔離，但切換時間非常長。甚至需要手工完成。這不僅明顯地減緩了訪問速度，更不支持常見的網(wǎng)絡(luò)應(yīng)用，失去了網(wǎng)絡(luò)存在的意義。第四代隔離技術(shù)——空氣開關(guān)隔離。它通過使用單刀雙擲開關(guān)、使得內(nèi)外部網(wǎng)絡(luò)分時訪問臨時緩存器來完成數(shù)據(jù)交換，但在安全和性能上存在有許多問題。4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用第三代隔離技術(shù)——數(shù)據(jù)轉(zhuǎn)播隔4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用第五代隔離技術(shù)——安全通道隔離。此技術(shù)通過專用通信硬件和專有安全協(xié)議等安全機(jī)制，來實現(xiàn)內(nèi)、外部網(wǎng)絡(luò)的隔離和數(shù)據(jù)交換。不僅解決了以前隔離技術(shù)存在的問題，并有效地把內(nèi)、外部網(wǎng)絡(luò)隔離開來，而且高效地實現(xiàn)了內(nèi)、外網(wǎng)數(shù)據(jù)的安全交換，透明支持多種網(wǎng)絡(luò)應(yīng)用，成為當(dāng)前隔離技術(shù)的發(fā)展方向。4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用第五代隔離技術(shù)——安全通道隔4.2.1網(wǎng)絡(luò)隔離的技術(shù)原理物理隔離的技術(shù)架構(gòu)在隔離上，我們通過以下一組圖示來說明物理隔離是如何實現(xiàn)的。圖4.27表示沒有連接時內(nèi)外網(wǎng)的應(yīng)用狀況。從連接特征可以看出，這樣的結(jié)構(gòu)從物理上完全分離。外網(wǎng)是安全性不高的因特網(wǎng)，內(nèi)網(wǎng)是安全性很高的內(nèi)部專用網(wǎng)絡(luò)。4.2.1網(wǎng)絡(luò)隔離的技術(shù)原理物理隔離的技術(shù)架構(gòu)在隔離上圖4.27物理隔離示意圖1圖4.27物理隔離示意圖14.2.1網(wǎng)絡(luò)隔離的技術(shù)原理正常情況下，隔離設(shè)備和外網(wǎng)，隔離設(shè)備和內(nèi)網(wǎng)，外網(wǎng)和內(nèi)網(wǎng)是完全斷開的，即保證網(wǎng)絡(luò)之間是完全斷開的。隔離設(shè)備可以理解為純粹的存儲介質(zhì)和一個單純的調(diào)度和控制電路。4.2.1網(wǎng)絡(luò)隔離的技術(shù)原理正常情況下，隔離設(shè)備和外網(wǎng)，4.2.1網(wǎng)絡(luò)隔離的技術(shù)原理當(dāng)外網(wǎng)有數(shù)據(jù)需要到達(dá)內(nèi)網(wǎng)時，以電子郵件為例，外部服務(wù)器立即發(fā)起對隔離設(shè)備的非TCP/IP協(xié)議的數(shù)據(jù)連接，隔離設(shè)備將所有協(xié)議剝離，將原始的數(shù)據(jù)寫入存儲介質(zhì)(圖4.28)。根據(jù)不同的應(yīng)用，可能有必要對數(shù)據(jù)進(jìn)行完整性和安全性檢查，如防病毒和惡意代碼等。4.2.1網(wǎng)絡(luò)隔離的技術(shù)原理當(dāng)外網(wǎng)有數(shù)據(jù)需要到達(dá)內(nèi)網(wǎng)時，圖4.28物理隔離示意圖2圖4.28物理隔離示意圖24.2.1網(wǎng)絡(luò)隔離的技術(shù)原理一旦數(shù)據(jù)完全寫入隔離設(shè)備的存儲介質(zhì)，隔離設(shè)備立即中斷與外網(wǎng)的連接。轉(zhuǎn)而發(fā)起對內(nèi)網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)連接。隔離設(shè)備將存儲介質(zhì)內(nèi)的數(shù)據(jù)推向內(nèi)網(wǎng)。內(nèi)網(wǎng)收到數(shù)據(jù)后，立即進(jìn)行TCP/IP的封裝和應(yīng)用協(xié)議的封裝，并交給應(yīng)用系統(tǒng)。此時，內(nèi)網(wǎng)電子郵件系統(tǒng)就收到了外網(wǎng)的電子郵件系統(tǒng)通過隔離設(shè)備轉(zhuǎn)發(fā)的電子郵件(圖4.29)。4.2.1網(wǎng)絡(luò)隔離的技術(shù)原理一旦數(shù)據(jù)完全寫入隔離設(shè)備的存圖4.29物理隔離示意圖3圖4.29物理隔離示意圖34.2.1網(wǎng)絡(luò)隔離的技術(shù)原理在控制器收到完整的交換信號之后，隔離設(shè)備立即切斷隔離設(shè)備于內(nèi)網(wǎng)的直接連接，恢復(fù)到完全隔離狀態(tài)。4.2.1網(wǎng)絡(luò)隔離的技術(shù)原理在控制器收到完整的交換信號之4.2.1網(wǎng)絡(luò)隔離的技術(shù)原理如果內(nèi)網(wǎng)有電子郵件要發(fā)出，隔離設(shè)備收到內(nèi)網(wǎng)建立連接的請求之后，建立與內(nèi)網(wǎng)之間的非TCP/IP協(xié)議的數(shù)據(jù)連接。隔離設(shè)備剝離所有的TCP/IP協(xié)議和應(yīng)用協(xié)議，得到原始的數(shù)據(jù)，將數(shù)據(jù)寫入隔離設(shè)備的存儲介質(zhì)。如有必要，對其進(jìn)行防病毒處理和防惡意代碼檢查：然后中斷與內(nèi)網(wǎng)的直接連接(圖4.30)。4.2.1網(wǎng)絡(luò)隔離的技術(shù)原理如果內(nèi)網(wǎng)有電子郵件要發(fā)出，隔圖4.30物理隔離示意圖4圖4.30物理隔離示意圖44.2.1網(wǎng)絡(luò)隔離的技術(shù)原理一旦數(shù)據(jù)完全寫入隔離設(shè)備的存儲介質(zhì)，隔離設(shè)備立即中斷與內(nèi)網(wǎng)的連接。轉(zhuǎn)而發(fā)起對外網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)連接。隔離設(shè)備將存儲介質(zhì)內(nèi)的數(shù)據(jù)推向外網(wǎng)。外網(wǎng)收到數(shù)據(jù)后，立即進(jìn)行TCP/IP的封裝和應(yīng)用協(xié)議的封裝，完成數(shù)據(jù)的傳遞(圖4.31)。4.2.1網(wǎng)絡(luò)隔離的技術(shù)原理一旦數(shù)據(jù)完全寫入隔離設(shè)備的存圖4.31物理隔離示意圖5圖4.31物理隔離示意圖54.2.1網(wǎng)絡(luò)隔離的技術(shù)原理控制器收到信息處理完畢的消息后，立即中斷隔離設(shè)備與外網(wǎng)的連接，恢復(fù)到完全隔離狀態(tài)。每一次數(shù)據(jù)交換，隔離設(shè)備都經(jīng)歷了數(shù)據(jù)的接收、存儲和轉(zhuǎn)發(fā)三個過程。由于這些規(guī)則都是在內(nèi)存和內(nèi)核中完成的，因此速度上有保證，可以達(dá)到100％的總線處理能力。4.2.1網(wǎng)絡(luò)隔離的技術(shù)原理控制器收到信息處理完畢的消息4.2.1網(wǎng)絡(luò)隔離的技術(shù)原理物理隔離的一個特征，就是內(nèi)網(wǎng)與外網(wǎng)永不連接，內(nèi)網(wǎng)和外網(wǎng)在同一時間最多只有一個同隔離設(shè)備建立非TCP/IP協(xié)議的數(shù)據(jù)連接，其數(shù)據(jù)傳輸機(jī)制是存儲和轉(zhuǎn)發(fā)。4.2.1網(wǎng)絡(luò)隔離的技術(shù)原理物理隔離的一個特征，就是內(nèi)網(wǎng)4.2.2網(wǎng)絡(luò)隔離的技術(shù)分類網(wǎng)絡(luò)隔離技術(shù)主要分成下面3類：1)基于代碼、內(nèi)容等隔離的反病毒和內(nèi)容過濾技術(shù)。隨著網(wǎng)絡(luò)的迅速發(fā)展和普及，下載、瀏覽器、電子郵件、局域網(wǎng)等已成為最主要的病毒、惡意代碼及文件的傳播方式。防病毒和內(nèi)容過濾軟件可以將主機(jī)或網(wǎng)絡(luò)隔離成相對“干凈”的安全區(qū)域。4.2.2網(wǎng)絡(luò)隔離的技術(shù)分類網(wǎng)絡(luò)隔離技術(shù)主要分成下面3類4.2.2網(wǎng)絡(luò)隔離的技術(shù)分類2)基于網(wǎng)絡(luò)層隔離的防火墻技術(shù)。防火墻被稱為網(wǎng)絡(luò)安全防線中的第一道閘門，是目前企業(yè)網(wǎng)絡(luò)與外部實現(xiàn)隔離的最重要手段。防火墻包括包過濾、狀態(tài)檢測、應(yīng)用代理等基本結(jié)構(gòu)。目前主流的狀態(tài)檢測不但可以實現(xiàn)基于網(wǎng)絡(luò)層的IP包頭和TCP包頭的策略控制，還可以跟蹤TCP會話狀態(tài)，為用戶提供了安全和效能的較好結(jié)合。4.2.2網(wǎng)絡(luò)隔離的技術(shù)分類2)基于網(wǎng)絡(luò)層隔離的防火墻4.2.2網(wǎng)絡(luò)隔離的技術(shù)分類漏洞掃描、入侵檢測和管理等技術(shù)并不直接“隔離”，而是通過旁路監(jiān)測偵聽、審計、管理等功能使安全防護(hù)作用最有效化。4.2.2網(wǎng)絡(luò)隔離的技術(shù)分類漏洞掃描、入侵檢測和管理等技4.2.2網(wǎng)絡(luò)隔離的技術(shù)分類3)基于物理鏈路層的物理隔離技術(shù)。物理隔離的思路源于逆向思維，即首先切斷可能的攻擊途徑(如物理鏈路)，再盡力滿足用戶的應(yīng)用。物理隔離技術(shù)演變經(jīng)歷了幾個階段：雙機(jī)雙網(wǎng)通過人工磁盤拷貝實現(xiàn)網(wǎng)絡(luò)間隔離；單機(jī)雙網(wǎng)等通過物理隔離卡/隔離集線器切換機(jī)制實現(xiàn)終端隔離；隔離服務(wù)器實現(xiàn)網(wǎng)絡(luò)間文件交換拷貝等。4.2.2網(wǎng)絡(luò)隔離的技術(shù)分類3)基于物理鏈路層的物理隔4.2.2網(wǎng)絡(luò)隔離的技術(shù)分類這些物理隔離方式對于信息交換實效性要求不高，僅局限于少量文件交換的小規(guī)模網(wǎng)絡(luò)中采用。切斷物理通路可以避免基于網(wǎng)絡(luò)的攻擊和入侵，但不能有效地阻止依靠磁盤拷貝傳播的病毒、木馬程序等流入內(nèi)網(wǎng)。此外，采用隔離卡由于安全點分散容易造成管理困難。4.2.2網(wǎng)絡(luò)隔離的技術(shù)分類這些物理隔離方式對于信息交換4.2.3網(wǎng)絡(luò)隔離的安全要點網(wǎng)絡(luò)隔離的安全要點包括：1)要具有高度的自身安全性。隔離產(chǎn)品要保證自身具有高度的安全性，理論上至少要比防火墻高一個安全級別。從技術(shù)實現(xiàn)上，除了和防火墻一樣對操作系統(tǒng)進(jìn)行加固優(yōu)化或采用安全操作系統(tǒng)外，關(guān)鍵在于要把外網(wǎng)接口和內(nèi)網(wǎng)接口從一套操作系統(tǒng)中分離出來。4.2.3網(wǎng)絡(luò)隔離的安全要點網(wǎng)絡(luò)隔離的安全要點包括：4.2.3網(wǎng)絡(luò)隔離的安全要點也就是說至少要由兩套主機(jī)系統(tǒng)組成，一套控制外網(wǎng)接口，另一套控制內(nèi)網(wǎng)接口，然后在兩套主機(jī)系統(tǒng)之間通過不可路由的協(xié)議進(jìn)行數(shù)據(jù)交換，如此，即便黑客攻破外網(wǎng)系統(tǒng)，仍然無法控制內(nèi)網(wǎng)系統(tǒng)，就達(dá)到了更高的安全級別。4.2.3網(wǎng)絡(luò)隔離的安全要點也就是說至少要由兩套主機(jī)系統(tǒng)4.2.3網(wǎng)絡(luò)隔離的安全要點2)要確保網(wǎng)絡(luò)之間是隔離的。保證網(wǎng)間隔離的關(guān)鍵是網(wǎng)絡(luò)包不可路由到對方網(wǎng)絡(luò)，無論中間采用了什么轉(zhuǎn)換方法，只要最終使得一方的網(wǎng)絡(luò)包能夠進(jìn)入到對方的網(wǎng)絡(luò)中，都無法稱之為隔離，即達(dá)不到隔離的效果。顯然，只是對網(wǎng)間的包進(jìn)行轉(zhuǎn)發(fā)，并且允許建立端到端連接的防火墻，是沒有任何隔離效果的。此外，那些只是把網(wǎng)絡(luò)包轉(zhuǎn)換為文本，交換到對方網(wǎng)絡(luò)后，再把文本轉(zhuǎn)換為網(wǎng)絡(luò)包的產(chǎn)品也是沒有做到隔離的。4.2.3網(wǎng)絡(luò)隔離的安全要點2)要確保網(wǎng)絡(luò)之間是隔離的4.2.3網(wǎng)絡(luò)隔離的安全要點3)要保證網(wǎng)間交換的只是應(yīng)用數(shù)據(jù)。既然要達(dá)到網(wǎng)絡(luò)隔離，就必須做到徹底防范基于網(wǎng)絡(luò)協(xié)議的攻擊，即不能夠讓網(wǎng)絡(luò)層的攻擊包到達(dá)要保護(hù)的網(wǎng)絡(luò)中，所以就必須進(jìn)行協(xié)議分析，完成應(yīng)用層數(shù)據(jù)的提取，然后進(jìn)行數(shù)據(jù)交換，這樣就把諸如TearDrop\Land、Smurf和SYNFlood等網(wǎng)絡(luò)攻擊包徹底地阻擋在了可信網(wǎng)絡(luò)之外，從而明顯地增強(qiáng)了可信網(wǎng)絡(luò)的安全性。4.2.3網(wǎng)絡(luò)隔離的安全要點3)要保證網(wǎng)間交換的只是應(yīng)4.2.3網(wǎng)絡(luò)隔離的安全要點4)要對網(wǎng)間的訪問進(jìn)行嚴(yán)格的控制和檢查。作為一套適用于高安全度網(wǎng)絡(luò)的安全設(shè)備，要確保每次數(shù)據(jù)交換都是可信的和可控制的，嚴(yán)格防止非法通道的出現(xiàn)，以確保信息數(shù)據(jù)的安全和訪問的可審計性。所以必須施加以一定的技術(shù)，保證每一次數(shù)據(jù)交換過程都是可信的，并且內(nèi)容是可控制的，可采用基于會話的認(rèn)證技術(shù)和內(nèi)容分析與控制引擎等技術(shù)來實現(xiàn)。4.2.3網(wǎng)絡(luò)隔離的安全要點4)要對網(wǎng)間的訪問進(jìn)行嚴(yán)格4.2.3網(wǎng)絡(luò)隔離的安全要點5)要在堅持隔離的前提下保證網(wǎng)絡(luò)暢通和應(yīng)用透明。隔離產(chǎn)品會部署在多種多樣的復(fù)雜網(wǎng)絡(luò)環(huán)境中，并且往往是數(shù)據(jù)交換的關(guān)鍵點，因此，產(chǎn)品要具有很高的處理性能，不能夠成為網(wǎng)絡(luò)交換的瓶頸，要有很好的穩(wěn)定性；不能夠出現(xiàn)時斷時續(xù)的情況，要有很強(qiáng)的適應(yīng)性，能夠透明接入網(wǎng)絡(luò)，并且透明支持多種應(yīng)用。4.2.3網(wǎng)絡(luò)隔離的安全要點5)要在堅持隔離的前提下保4.2.3網(wǎng)絡(luò)隔離的安全要點網(wǎng)絡(luò)隔離的關(guān)鍵是在于系統(tǒng)對通信數(shù)據(jù)的控制，即通過不可路由的協(xié)議來完成網(wǎng)間的數(shù)據(jù)交換。由于通信硬件設(shè)備工作在網(wǎng)絡(luò)七層的最下層，并不能感知到交換數(shù)據(jù)的機(jī)密性、完整性、可用性、可控性、抗抵賴等安全要素，所以這要通過訪問控制、身份認(rèn)證、加密簽名等安全機(jī)制來實現(xiàn)，而這些機(jī)制都是通過軟件來實現(xiàn)的。4.2.3網(wǎng)絡(luò)隔離的安全要點網(wǎng)絡(luò)隔離的關(guān)鍵是在于系統(tǒng)對通4.2.3網(wǎng)絡(luò)隔離的安全要點因此，隔離的關(guān)鍵點就成了要盡量提高網(wǎng)間數(shù)據(jù)交換的速度，并且對應(yīng)用能夠透明支持，以適應(yīng)復(fù)雜和高帶寬需求的網(wǎng)間數(shù)據(jù)交換。4.2.3網(wǎng)絡(luò)隔離的安全要點因此，隔離的關(guān)鍵點就成了要盡4.2.4隔離網(wǎng)閘物理隔離網(wǎng)閘最早出現(xiàn)在美國、以色列等國家的軍方，用以解決涉密網(wǎng)絡(luò)與公共網(wǎng)絡(luò)連接時的安全。4.2.4隔離網(wǎng)閘物理隔離網(wǎng)閘最早出現(xiàn)在美國、以色列等國4.2.4隔離網(wǎng)閘網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個獨立主機(jī)系統(tǒng)的信息安全設(shè)備。由于物理隔離網(wǎng)閘所連接的兩個獨立主機(jī)系統(tǒng)之間不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無協(xié)議“擺渡”，且對固態(tài)存儲介質(zhì)只有“讀”和“寫”兩個命令。4.2.4隔離網(wǎng)閘網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀4.2.4隔離網(wǎng)閘所以物理隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使“黑客”無法入侵、無法攻擊、無法破壞，實現(xiàn)了真正的安全。傳統(tǒng)防火墻與網(wǎng)閘對比見表4.2。4.2.4隔離網(wǎng)閘所以物理隔離網(wǎng)閘從物理上隔離、阻斷了具4.2.4隔離網(wǎng)閘隔離網(wǎng)閘(GAP，又叫安全隔離網(wǎng)閘)技術(shù)是一種通過專用硬件使兩個或者兩個以上的網(wǎng)絡(luò)在不連通的情況下，實現(xiàn)安全數(shù)據(jù)傳輸和資源共享的技術(shù)，它采用獨特的硬件設(shè)計，能夠顯著地提高內(nèi)部用戶網(wǎng)絡(luò)的安全強(qiáng)度。4.2.4隔離網(wǎng)閘隔離網(wǎng)閘(GAP，又叫安全隔離網(wǎng)閘)4.2.4隔離網(wǎng)閘GAP技術(shù)的基本原理是：切斷網(wǎng)絡(luò)之間的通用協(xié)議連接；將數(shù)據(jù)包進(jìn)行分解或重組為靜態(tài)數(shù)據(jù)；對靜態(tài)數(shù)據(jù)進(jìn)行安全審查，包括網(wǎng)絡(luò)協(xié)議檢查和代碼掃描等；確認(rèn)后的安全數(shù)據(jù)流入內(nèi)部單元；內(nèi)部用戶通過嚴(yán)格的身份認(rèn)證機(jī)制獲取所需數(shù)據(jù)(如圖4.32)。4.2.4隔離網(wǎng)閘GAP技術(shù)的基本原理是：切斷網(wǎng)絡(luò)之間的圖4.32GAP的工作原理圖4.32GAP的工作原理4.2.4隔離網(wǎng)閘GAP一般由3個部分構(gòu)成：內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元和專用隔離硬件交換單元。內(nèi)網(wǎng)處理單元連接內(nèi)部網(wǎng)，外網(wǎng)處理單元連接外部網(wǎng)，專用隔離硬件交換單元在任一時刻點僅連接內(nèi)網(wǎng)處理單元或外網(wǎng)處理單元，與兩者間的連接受硬件電路控制高速切換。4.2.4隔離網(wǎng)閘GAP一般由3個部分構(gòu)成：內(nèi)網(wǎng)處理單元4.2.4隔離網(wǎng)閘這種獨特設(shè)計保證了專用隔離硬件交換單元在任一時刻僅連通內(nèi)部網(wǎng)或者外部網(wǎng)，既滿足了內(nèi)部網(wǎng)與外部網(wǎng)網(wǎng)絡(luò)物理隔離的要求，又能實現(xiàn)數(shù)據(jù)的動態(tài)交換。GAP系統(tǒng)的嵌入式軟件系統(tǒng)里內(nèi)置了協(xié)議分析引擎、內(nèi)容安全引擎和病毒查殺引擎等多種安全機(jī)制，可以根據(jù)用戶需求實現(xiàn)復(fù)雜的安全策略。4.2.4隔離網(wǎng)閘這種獨特設(shè)計保證了專用隔離硬件交換單元4.2.4隔離網(wǎng)閘GAP系統(tǒng)可以廣泛應(yīng)用于銀行、政府等部門的內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)，也可用于內(nèi)部網(wǎng)的不同信任域間的信息交互。4.2.4隔離網(wǎng)閘GAP系統(tǒng)可以廣泛應(yīng)用于銀行、政府等部實訓(xùn)與思考本節(jié)“實訓(xùn)與思考”的目的是：(1)熟悉網(wǎng)絡(luò)隔離技術(shù)的基本概念，了解網(wǎng)絡(luò)隔離技術(shù)的工作原理和基本內(nèi)容。(2)熟悉隔離網(wǎng)閘的基本概念和工作原理，了解網(wǎng)閘產(chǎn)品及其應(yīng)用。實訓(xùn)與思考本節(jié)“實訓(xùn)與思考”的目的是：第四章防火墻與網(wǎng)絡(luò)隔離技術(shù)第四章防火墻與網(wǎng)絡(luò)隔離技術(shù)第4章防火墻與網(wǎng)絡(luò)隔離技術(shù)傳統(tǒng)情況下，當(dāng)構(gòu)筑和使用木結(jié)構(gòu)房屋的時候，為防止火災(zāi)的發(fā)生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護(hù)構(gòu)筑物被稱為防火墻。如今，人們借助這個概念，使用“防火墻”來保護(hù)敏感的數(shù)據(jù)不被竊取和篡改，不過，這些防火墻是由先進(jìn)的計算機(jī)系統(tǒng)構(gòu)成的。防火墻尤如一道護(hù)欄隔在被保護(hù)的內(nèi)部網(wǎng)與不安全的非信任網(wǎng)絡(luò)之間，用來保護(hù)計算機(jī)網(wǎng)絡(luò)免受非授權(quán)人員的騷擾與黑客的入侵。第4章防火墻與網(wǎng)絡(luò)隔離技術(shù)傳統(tǒng)情況下，當(dāng)構(gòu)筑和使用木結(jié)構(gòu)第4章防火墻與網(wǎng)絡(luò)隔離技術(shù)4.1防火墻技術(shù)及Windows防火墻配置4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用第4章防火墻與網(wǎng)絡(luò)隔離技術(shù)4.1防火墻技術(shù)及Wind4.1防火墻技術(shù)及Windows防火墻配置防火墻可以是非常簡單的過濾器，也可能是精心配置的網(wǎng)關(guān)，但它們的原理是一樣的，都是監(jiān)測并過濾所有內(nèi)部網(wǎng)和外部網(wǎng)之間的信息交換。防火墻通常是運行在一臺單獨計算機(jī)之上的一個特別的服務(wù)軟件，它可以識別并屏蔽非法的請求，保護(hù)內(nèi)部網(wǎng)絡(luò)敏感的數(shù)據(jù)不被偷竊和破壞，并記錄內(nèi)外通訊的有關(guān)狀態(tài)信息日志，如通訊發(fā)生的時間和進(jìn)行的操作等。4.1防火墻技術(shù)及Windows防火墻配置防火墻可以是非4.1防火墻技術(shù)及Windows防火墻配置防火墻技術(shù)是一種有效的網(wǎng)絡(luò)安全機(jī)制，它主要用于確定哪些內(nèi)部服務(wù)允許外部訪問，以及允許哪些外部服務(wù)訪問內(nèi)部服務(wù)。其基本準(zhǔn)則就是：一切未被允許的就是禁止的；一切未被禁止的就是允許的。4.1防火墻技術(shù)及Windows防火墻配置防火墻技術(shù)是一4.1.1防火墻技術(shù)防火墻是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，并越來越多地應(yīng)用于專用與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中。4.1.1防火墻技術(shù)防火墻是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息4.1.1防火墻技術(shù)1.防火墻的作用防火墻應(yīng)該是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全策略控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力，是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，它有效地監(jiān)控著內(nèi)部網(wǎng)和因特網(wǎng)之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。如圖4.1所示。4.1.1防火墻技術(shù)1.防火墻的作用圖4.1防火墻示意圖圖4.1防火墻示意圖4.1.1防火墻技術(shù)(1)防火墻是網(wǎng)絡(luò)安全的屏障。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以防火墻(作為阻塞點、控制點)能極大地提高內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險，使網(wǎng)絡(luò)環(huán)境變得更安全。防火墻同時可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑等。4.1.1防火墻技術(shù)(1)防火墻是網(wǎng)絡(luò)安全的屏障。由于4.1.1防火墻技術(shù)(2)防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略。通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認(rèn)證、審計等)配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問時，一次一密口令系統(tǒng)(即每一次加密都使用一個不同的密鑰)和其他的身份認(rèn)證系統(tǒng)完全可以集中于防火墻一身。4.1.1防火墻技術(shù)(2)防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略。4.1.1防火墻技術(shù)(3)對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計。如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當(dāng)發(fā)生可疑動作時，防火墻能進(jìn)行適當(dāng)?shù)膱缶⑻峁┚W(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。4.1.1防火墻技術(shù)(3)對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計4.1.1防火墻技術(shù)另外，收集一個網(wǎng)絡(luò)的使用和誤用情況也是非常重要的，這樣可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，清楚防火墻的控制是否充分。而網(wǎng)絡(luò)使用統(tǒng)計對網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。4.1.1防火墻技術(shù)另外，收集一個網(wǎng)絡(luò)的使用和誤用情況也4.1.1防火墻技術(shù)(4)防止內(nèi)部信息的外泄。通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴露了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。4.1.1防火墻技術(shù)(4)防止內(nèi)部信息的外泄。通過利用4.1.1防火墻技術(shù)使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)的例如Finger(用來查詢使用者的資料)，DNS(域名系統(tǒng))等服務(wù)。Finger顯示了主機(jī)的所有用戶的注冊名、真名、最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。4.1.1防火墻技術(shù)使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)4.1.1防火墻技術(shù)攻擊者可以由此而知道一個系統(tǒng)使用的頻繁程度，這個系統(tǒng)是否有用戶正在連線上網(wǎng)，這個系統(tǒng)是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息，這樣一臺主機(jī)的域名和IP地址就不會被外界所了解。除了安全作用，防火墻還支持具有因特網(wǎng)服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN(虛擬專用網(wǎng)絡(luò))。4.1.1防火墻技術(shù)攻擊者可以由此而知道一個系統(tǒng)使用的頻4.1.1防火墻技術(shù)2.防火墻的種類根據(jù)防范的方式和側(cè)重點的不同，防火墻技術(shù)可分成很多類型，但總體來講還是兩大類：分組過濾和應(yīng)用代理。4.1.1防火墻技術(shù)2.防火墻的種類4.1.1防火墻技術(shù)(1)包過濾或分組過濾技術(shù)(Packetfiltering)。作用于網(wǎng)絡(luò)層和傳輸層，通常安裝在路由器上，對數(shù)據(jù)進(jìn)行選擇，它根據(jù)分組包頭源地址，目的地址和端口號、協(xié)議類型(TCP/UDP/ICMP/IPtunnel)等標(biāo)志，確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。4.1.1防火墻技術(shù)(1)包過濾或分組過濾技術(shù)(Pa4.1.1防火墻技術(shù)(2)代理服務(wù)技術(shù)。也叫應(yīng)用代理(ApplicationProxy)和應(yīng)用網(wǎng)關(guān)(ApplicationGateway)，它作用在應(yīng)用層，其特點是完全“阻隔”了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。與包過濾防火墻不同之處在于內(nèi)部網(wǎng)和外部網(wǎng)之間不存在直接連接，同時提供審計和日志服務(wù)。實際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實現(xiàn)。如圖4.2所示。4.1.1防火墻技術(shù)(2)代理服務(wù)技術(shù)。也叫應(yīng)用代理圖4.2應(yīng)用代理型防火墻圖4.2應(yīng)用代理型防火墻4.1.1防火墻技術(shù)應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點，工作在OSI模型的最高層，掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息，起著監(jiān)視和隔絕應(yīng)用層通信流的作用。同時也常結(jié)合過濾器的功能。4.1.1防火墻技術(shù)應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔4.1.1防火墻技術(shù)(3)復(fù)合型技術(shù)。針對更高安全性的要求，常把基于包過濾的方法與基于應(yīng)用代理的方法結(jié)合起來，形成復(fù)合型防火墻產(chǎn)品。所用主機(jī)稱為堡壘主機(jī)，負(fù)責(zé)提供代理服務(wù)。這種結(jié)合通常有屏蔽主機(jī)和屏蔽子網(wǎng)這兩種防火墻體系結(jié)構(gòu)方案。4.1.1防火墻技術(shù)(3)復(fù)合型技術(shù)。針對更高安全性的4.1.1防火墻技術(shù)在屏蔽主機(jī)防火墻體系結(jié)構(gòu)中(圖4.3)，包過濾路由器或防火墻與因特網(wǎng)相連，同時一個堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)，通過在包過濾路由器或防火墻上過濾規(guī)則的設(shè)置，使堡壘主機(jī)成為因特網(wǎng)上其他節(jié)點所能到達(dá)的唯一節(jié)點，確保內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶的攻擊。4.1.1防火墻技術(shù)在屏蔽主機(jī)防火墻體系結(jié)構(gòu)中(圖4.圖4.3屏蔽主機(jī)防火墻圖4.3屏蔽主機(jī)防火墻4.1.1防火墻技術(shù)在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中(圖4.4)，堡壘主機(jī)放在一個子網(wǎng)(非軍事區(qū)，DMZ)內(nèi)，兩個包過濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與因特網(wǎng)及內(nèi)部網(wǎng)分離，堡壘主機(jī)和包過濾路由器共同構(gòu)成了整個防火墻的安全基礎(chǔ)。4.1.1防火墻技術(shù)在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中(圖4.圖4.4屏蔽子網(wǎng)防火墻圖4.4屏蔽子網(wǎng)防火墻4.1.1防火墻技術(shù)(4)審計技術(shù)。通過對網(wǎng)絡(luò)上發(fā)生的各種訪問過程進(jìn)行記錄和產(chǎn)生日志，并對日志進(jìn)行統(tǒng)計分析，從而對資源使用情況進(jìn)行分析，對異常現(xiàn)象進(jìn)行追蹤監(jiān)視。4.1.1防火墻技術(shù)(4)審計技術(shù)。通過對網(wǎng)絡(luò)上發(fā)生的4.1.1防火墻技術(shù)3.防火墻操作系統(tǒng)防火墻應(yīng)該建立在安全的操作系統(tǒng)之上，而安全的操作系統(tǒng)來自對專用操作系統(tǒng)的安全加固和改造。從現(xiàn)有的諸多產(chǎn)品看，對安全操作系統(tǒng)內(nèi)核的固化與改造主要從以下幾方面進(jìn)行：1)取消危險的系統(tǒng)調(diào)用。2)限制命令的執(zhí)行權(quán)限。4.1.1防火墻技術(shù)3.防火墻操作系統(tǒng)4.1.1防火墻技術(shù)3)取消IP的轉(zhuǎn)發(fā)功能。4)檢查每個分組的接口。5)采用隨機(jī)連接序號。6)駐留分組過濾模塊。7)取消動態(tài)路由功能。8)采用多個安全內(nèi)核等。4.1.1防火墻技術(shù)3)取消IP的轉(zhuǎn)發(fā)功能。4.1.1防火墻技術(shù)作為一種安全防護(hù)設(shè)備，防火墻在網(wǎng)絡(luò)中自然是眾多攻擊者的目標(biāo)，故抗攻擊能力也是防火墻的必備功能。4.1.1防火墻技術(shù)作為一種安全防護(hù)設(shè)備，防火墻在網(wǎng)絡(luò)中4.1.1防火墻技術(shù)防火墻也有局限性，存在著一些防火墻不能防范的安全威脅，如防火墻不能防范不經(jīng)過防火墻的攻擊(例如，如果允許從受保護(hù)的網(wǎng)絡(luò)內(nèi)部向外撥號，一些用戶就可能形成與因特網(wǎng)的直接連接)。另外，防火墻很難防范來自于網(wǎng)絡(luò)內(nèi)部的攻擊以及病毒的威脅等。4.1.1防火墻技術(shù)防火墻也有局限性，存在著一些防火墻不4.1.2防火墻的功能指標(biāo)防火墻的功能指標(biāo)主要包括：1)產(chǎn)品類型。從產(chǎn)品和技術(shù)發(fā)展來看，防火墻分為基于路由器的包過濾防火墻、基于通用操作系統(tǒng)的防火墻和基于專用安全操作系統(tǒng)的防火墻。2)局域網(wǎng)(LAN)接口。指防火墻所能保護(hù)的網(wǎng)絡(luò)類型，如以太網(wǎng)、快速以太網(wǎng)、千兆以太網(wǎng)、ATM、令牌環(huán)及FDDI等。4.1.2防火墻的功能指標(biāo)防火墻的功能指標(biāo)主要包括：4.1.2防火墻的功能指標(biāo)支持的最大LAN接口數(shù)：指防火墻所支持的局域網(wǎng)絡(luò)接口數(shù)目，也是其能夠保護(hù)的不同內(nèi)網(wǎng)數(shù)目。服務(wù)器平臺：防火墻所運行的操作系統(tǒng)平臺(如Linux、UNIX、Windows2000/XP、專用安全操作系統(tǒng)等)。3)協(xié)議支持。除支持IP協(xié)議之外，又支持AppleTalk、DECnet、IPX及NETBEUI等非IP協(xié)議。此外還有建立VPN通道的協(xié)議、可以在VPN中使用的協(xié)議等。4.1.2防火墻的功能指標(biāo)支持的最大LAN接口數(shù)：指防火4.1.2防火墻的功能指標(biāo)4)加密支持。VPN中支持的加密算法，例如數(shù)據(jù)加密標(biāo)準(zhǔn)DES、3DES、RC4以及國內(nèi)專用的加密算法等。此外還有加密的其他用途，如身份認(rèn)證、報文完整性認(rèn)證，密鑰分配等，以及是否提供硬件加密方法等。4.1.2防火墻的功能指標(biāo)4)加密支持。VPN中支持的4.1.2防火墻的功能指標(biāo)5)認(rèn)證支持。指防火墻支持的身份認(rèn)證協(xié)議，以及是否支持?jǐn)?shù)字證書等。一般情況下具有一個或多個認(rèn)證方案，如RADIUS、Kerberos、TACACS/TACACS+、口令方式、數(shù)字證書等。防火墻能夠為本地或遠(yuǎn)程用戶提供經(jīng)過認(rèn)證與授權(quán)的對網(wǎng)絡(luò)資源的訪問，防火墻管理員必須決定客戶以何種方式通過認(rèn)證。4.1.2防火墻的功能指標(biāo)5)認(rèn)證支持。指防火墻支持的4.1.2防火墻的功能指標(biāo)6)訪問控制。包過濾防火墻的過濾規(guī)則集由若干條規(guī)則組成，它應(yīng)涵蓋對所有出入防火墻的數(shù)據(jù)包的處理方法，對于沒有明確定義的數(shù)據(jù)包，應(yīng)該有一個缺省處理方法；過濾規(guī)則應(yīng)易于理解，易于編輯修改；同時應(yīng)具備一致性檢測機(jī)制，防止沖突。4.1.2防火墻的功能指標(biāo)6)訪問控制。包過濾防火墻的4.1.2防火墻的功能指標(biāo)應(yīng)考慮防火墻是否支持應(yīng)用層代理，如HTTP、FTP、TELNET、SNMP等；是否支持傳輸層代理服務(wù)；是否支持FTP文件類型過濾，允許FTP命令防止某些類型文件通過防火墻；用戶操作的代理類型，如HTTP、POP3；支持網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)；是否支持硬件口令、智能卡等。4.1.2防火墻的功能指標(biāo)應(yīng)考慮防火墻是否支持應(yīng)用層代理4.1.2防火墻的功能指標(biāo)7)防御功能。是否支持防病毒功能，是否支持信息內(nèi)容過濾，能防御的DoS攻擊類型；以及阻止ActiveX、Java、Cookies、Javascript侵入等。8)安全特性。是否支持ICMP(網(wǎng)間控制報文協(xié)議)代理，提供實時入侵告警功能，提供實時入侵響應(yīng)功能，識別/記錄/防止企圖進(jìn)行IP地址欺騙等。4.1.2防火墻的功能指標(biāo)7)防御功能。是否支持防病毒4.1.2防火墻的功能指標(biāo)9)管理功能。通過集成策略集中管理多個防火墻。防火墻管理是指對防火墻具有管理權(quán)限的管理員行為和防火墻運行狀態(tài)的管理，管理員的行為主要包括：通過防火墻的身份鑒別，編寫防火墻的安全規(guī)則，配置防火墻的安全參數(shù)，查看防火墻的日志等。防火墻的管理一般分為本地管理、遠(yuǎn)程管理和集中管理等。4.1.2防火墻的功能指標(biāo)9)管理功能。通過集成策略集4.1.2防火墻的功能指標(biāo)10)記錄和報表功能。防火墻規(guī)定了對于符合條件的報文做日志，應(yīng)該提供日志信息管理和存儲方法。應(yīng)考慮防火墻是否具有日志的自動分析和掃描功能，這可以獲得更詳細(xì)的統(tǒng)計結(jié)果，達(dá)到事后分析、亡羊補(bǔ)牢的目的。國內(nèi)有關(guān)部門的許可證類別及號碼是防火墻合格與銷售的關(guān)鍵要素之一，其中包括：公安部的銷售許可證、國家信息安全測評中心的認(rèn)證證書、總參的國防通信入網(wǎng)證和國家保密局的推薦證明等。4.1.2防火墻的功能指標(biāo)10)記錄和報表功能。防火墻4.1.3防火墻技術(shù)的發(fā)展目前對防火墻的發(fā)展普遍存在著兩種觀點，即所謂的胖、瘦防火墻之爭。一種觀點認(rèn)為，要采取分工協(xié)作，防火墻應(yīng)該做得精瘦，只做防火墻的專職工作，可采取多家安全廠商聯(lián)盟的方式來解決；另一種觀點認(rèn)為，應(yīng)該把防火墻做得盡量的胖，把所有安全功能盡可能多地附加在防火墻上，成為一個集成化的網(wǎng)絡(luò)安全平臺。4.1.3防火墻技術(shù)的發(fā)展目前對防火墻的發(fā)展普遍存在著兩4.1.3防火墻技術(shù)的發(fā)展從本質(zhì)上講，“胖、瘦”防火墻沒有好壞之分，只有需求上的差別。低端的防火墻是一個集成的產(chǎn)品，它可以具有簡單的安全防護(hù)功能，還可以具有一定的IDS(入侵檢測系統(tǒng))功能，但一般不會集成防病毒功能。4.1.3防火墻技術(shù)的發(fā)展從本質(zhì)上講，“胖、瘦”防火墻沒4.1.3防火墻技術(shù)的發(fā)展而中高端的防火墻更加專業(yè)化，安全和訪問控制并重，主要對經(jīng)過防火墻的數(shù)據(jù)包進(jìn)行審核，安全會更加深化，對協(xié)議的研究更加深入，同時會支持多種通用的路由協(xié)議，對網(wǎng)絡(luò)拓?fù)涓舆m應(yīng)，VPN會集成到防火墻內(nèi)，作為建立廣域網(wǎng)安全隧道的一種手段，但防火墻不會集成IDS和防病毒，這些還是由專門的設(shè)備負(fù)責(zé)完成。4.1.3防火墻技術(shù)的發(fā)展而中高端的防火墻更加專業(yè)化，安4.1.4Windows防火墻WindowsXP(SP2)為連接到因特網(wǎng)上的小型網(wǎng)絡(luò)提供了增強(qiáng)的防火墻安全保護(hù)。默認(rèn)情況下，會啟用Windows防火墻，以便幫助保護(hù)所有因特網(wǎng)和網(wǎng)絡(luò)連接。用戶還可以下載并安裝自己選擇的防火墻。Windows防火墻將限制從其他計算機(jī)發(fā)送來的信息，使用戶可以更好地控制自己計算機(jī)上的數(shù)據(jù)，并針對那些未經(jīng)邀請而嘗試連接的用戶或程序(包括病毒和蠕蟲)提供了一條防御線。4.1.4Windows防火墻WindowsXP(S4.1.4Windows防火墻用戶可以將防火墻視為一道屏障，它檢查來自因特網(wǎng)或網(wǎng)絡(luò)的信息，然后根據(jù)防火墻設(shè)置，拒絕信息或允許信息到達(dá)計算機(jī)。如圖4.5所示。4.1.4Windows防火墻用戶可以將防火墻視為一道屏圖4.5Windows防火墻的工作方式圖4.5Windows防火墻的工作方式4.1.4Windows防火墻當(dāng)因特網(wǎng)或網(wǎng)絡(luò)上的某人嘗試連接到你的計算機(jī)時，我們將這種嘗試稱為“未經(jīng)請求的請求”。當(dāng)收到“未經(jīng)請求的請求”時，Windows防火墻會阻止該連接。如果運行的程序(如即時消息程序或多人網(wǎng)絡(luò)游戲)需要從因特網(wǎng)或網(wǎng)絡(luò)接收信息，那么防火墻會詢問阻止連接還是取消阻止(允許)連接。4.1.4Windows防火墻當(dāng)因特網(wǎng)或網(wǎng)絡(luò)上的某人嘗試4.1.4Windows防火墻如果選擇取消阻止連接，Windows防火墻將創(chuàng)建一個“例外”，這樣當(dāng)該程序日后需要接收信息時，防火墻就會允許信息到達(dá)你的計算機(jī)。雖然可以為特定因特網(wǎng)連接和網(wǎng)絡(luò)連接關(guān)閉Windows防火墻，但這樣做會增加計算機(jī)安全性受到威脅的風(fēng)險。4.1.4Windows防火墻如果選擇取消阻止連接，Wi4.1.4Windows防火墻Windows防火墻有三種設(shè)置：“開”、“開并且無例外”和“關(guān)”。1)“開”：Windows防火墻在默認(rèn)情況下處于打開狀態(tài)，而且通常應(yīng)當(dāng)保留此設(shè)置不變。選擇此設(shè)置時，Windows防火墻阻止所有未經(jīng)請求的連接，但不包括那些對“例外”選項卡上選中的程序或服務(wù)發(fā)出的請求。4.1.4Windows防火墻Windows防火墻有三4.1.4Windows防火墻2)“開并且無例外”：當(dāng)選中“不允許例外”復(fù)選框時，Windows防火墻會阻止所有未經(jīng)請求的連接，包括那些對“例外”選項卡上選中的程序或服務(wù)發(fā)出的請求。當(dāng)需要為計算機(jī)提供最大程度的保護(hù)時(例如，當(dāng)你連接到旅館或機(jī)場中的公用網(wǎng)絡(luò)時，或者當(dāng)危險的病毒或蠕蟲正在因特網(wǎng)上擴(kuò)散時)，可以使用該設(shè)置。4.1.4Windows防火墻2)“開并且無例外”：當(dāng)4.1.4Windows防火墻但是，不必始終選擇“不允許例外”，其原因在于，如果該選項始終處于選中狀態(tài)，某些程序可能會無法正常工作，并且文件和打印機(jī)共享、遠(yuǎn)程協(xié)助和遠(yuǎn)程桌面、網(wǎng)絡(luò)設(shè)備發(fā)現(xiàn)、例外列表上預(yù)配置的程序和服務(wù)以及已添加到例外列表中的其他項等服務(wù)會被禁止接受未經(jīng)請求的請求。如果選中“不允許例外”，仍然可以收發(fā)電子郵件、使用即時消息程序或查看大多數(shù)網(wǎng)頁。4.1.4Windows防火墻但是，不必始終選擇“不允許4.1.4Windows防火墻3)“關(guān)”：此設(shè)置將關(guān)閉Windows防火墻。選擇此設(shè)置時，計算機(jī)更容易受到未知入侵者或因特網(wǎng)病毒的侵害。此設(shè)置只應(yīng)由高級用戶用于計算機(jī)管理目的，或者在計算機(jī)有其他防火墻保護(hù)的情況下使用。在計算機(jī)加入域時創(chuàng)建的設(shè)置與計算機(jī)沒有加入域時創(chuàng)建的設(shè)置是分開存儲的。這些單獨的設(shè)置組稱為“配置文件”。4.1.4Windows防火墻3)“關(guān)”：此設(shè)置將關(guān)閉實訓(xùn)與思考本節(jié)“實訓(xùn)與思考”的目的是：(1)熟悉防火墻技術(shù)的基本概念，了解防火墻技術(shù)的基本內(nèi)容。(2)通過因特網(wǎng)搜索與瀏覽，了解網(wǎng)絡(luò)環(huán)境中主流的防火墻技術(shù)網(wǎng)站，掌握通過專業(yè)網(wǎng)站不斷豐富防火墻技術(shù)最新知識的學(xué)習(xí)方法，嘗試通過專業(yè)網(wǎng)站的輔助與支持來開展防火墻技術(shù)應(yīng)用實踐。實訓(xùn)與思考本節(jié)“實訓(xùn)與思考”的目的是：實訓(xùn)與思考(3)在WindowsXP中配置簡易防火墻(IP篩選器)，完成后，將能夠在本機(jī)實現(xiàn)對IP站點、端口、DNS服務(wù)屏蔽，實現(xiàn)防火墻功能。實訓(xùn)與思考(3)在WindowsXP中配置簡易防火墻(4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用盡管我們正在廣泛地采用著各種復(fù)雜的安全技術(shù)，如防火墻、代理服務(wù)器、入侵檢測機(jī)制、通道控制機(jī)制等，但是，由于這些技術(shù)基本上都是一種邏輯機(jī)制，這對于邏輯實體(如黑客或內(nèi)部用戶等)而言，是可能被操縱的。4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用盡管我們正在廣泛地采用著各種4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用在政府、軍隊、企業(yè)等領(lǐng)域，由于核心部門的信息安全關(guān)系著國家安全、社會穩(wěn)定，因此迫切需要比傳統(tǒng)產(chǎn)品更為可靠的技術(shù)防護(hù)措施，由此產(chǎn)生了物理隔離技術(shù)，該技術(shù)主要基于這樣的思想：如果不存在與網(wǎng)絡(luò)的物理連接，網(wǎng)絡(luò)安全威脅便受到了真正的限制。4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用在政府、軍隊、企業(yè)等領(lǐng)域，由4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用在電子政務(wù)建設(shè)中，我們會遇到安全域的問題，安全域是以信息涉密程度劃分的網(wǎng)絡(luò)空間，它包括：1)涉密域。就是涉及國家秘密的網(wǎng)絡(luò)空間。2)非涉密域。就是不涉及國家的秘密，但是涉及本單位，本部門或者本系統(tǒng)的工作秘密的網(wǎng)絡(luò)空間。3)公共服務(wù)域是指既不涉及國家秘密也不涉及工作秘密，是一個向互聯(lián)網(wǎng)絡(luò)完全開放的公共信息交換空間。4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用在電子政務(wù)建設(shè)中，我們會遇到4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用國家有關(guān)文件嚴(yán)格規(guī)定，政務(wù)的內(nèi)網(wǎng)和政務(wù)的外網(wǎng)要實行嚴(yán)格的物理隔離。政務(wù)的外網(wǎng)和互聯(lián)網(wǎng)絡(luò)要實行邏輯隔離，按照安全域的劃分，政府的內(nèi)網(wǎng)就是涉密域，政府的外網(wǎng)就是非涉密域，因特網(wǎng)就是公共服務(wù)域。4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用國家有關(guān)文件嚴(yán)格規(guī)定，政務(wù)的4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用網(wǎng)絡(luò)隔離(networkisolation)主要是指把兩個或兩個以上可路由的網(wǎng)絡(luò)(如TCP/IP)通過不可路由的協(xié)議(如IPX/SPX、NetBEUI等)進(jìn)行數(shù)據(jù)交換而達(dá)到隔離目的。由于其原理主要是采用了不同的協(xié)議，所以通常也叫協(xié)議隔離(protocolisolation)。4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用網(wǎng)絡(luò)隔離(network4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用隔離概念是在保護(hù)高安全度網(wǎng)絡(luò)環(huán)境的情況下產(chǎn)生的，而隔離產(chǎn)品的大量出現(xiàn)，也經(jīng)歷了五代隔離技術(shù)的不斷的理論和實踐相結(jié)合的過程。第一代隔離技術(shù)——完全隔離。此方法使得網(wǎng)絡(luò)處于信息孤島狀態(tài)，做到了完全的物理隔離，一般需要至少兩套網(wǎng)絡(luò)和系統(tǒng)，更重要的是信息交流的不便和成本的提高，給維護(hù)和使用帶來了極大的不便。4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用隔離概念是在保護(hù)高安全度網(wǎng)絡(luò)4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用第二代隔離技術(shù)——硬件卡隔離。在客戶機(jī)端增加一塊硬件卡，客戶機(jī)端硬盤或其他存儲設(shè)備首先連接到該卡，然后再轉(zhuǎn)接到主板上，通過該卡能控制客戶機(jī)端硬盤或其他存儲設(shè)備。而在選擇不同的硬盤時，同時選擇了該卡上不同的網(wǎng)絡(luò)接口，連接到不同的網(wǎng)絡(luò)。但是，這種隔離產(chǎn)品有的仍然需要網(wǎng)絡(luò)布線為雙網(wǎng)線結(jié)構(gòu)，產(chǎn)品存在著較大的安全隱患。4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用第二代隔離技術(shù)——硬件卡隔離4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用第三代隔離技術(shù)——數(shù)據(jù)轉(zhuǎn)播隔離。利用轉(zhuǎn)播系統(tǒng)分時復(fù)制文件的途徑來實現(xiàn)隔離，但切換時間非常長。甚至需要手工完成。這不僅明顯地減緩了訪問速度，更不支持常見的網(wǎng)絡(luò)應(yīng)用，失去了網(wǎng)絡(luò)存在的意義。第四代隔離技術(shù)——空氣開關(guān)隔離。它通過使用單刀雙擲開關(guān)、使得內(nèi)外部網(wǎng)絡(luò)分時訪問臨時緩存器來完成數(shù)據(jù)交換，但在安全和性能上存在有許多問題。4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用第三代隔離技術(shù)——數(shù)據(jù)轉(zhuǎn)播隔4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用第五代隔離技術(shù)——安全通道隔離。此技術(shù)通過專用通信硬件和專有安全協(xié)議等安全機(jī)制，來實現(xiàn)內(nèi)、外部網(wǎng)絡(luò)的隔離和數(shù)據(jù)交換。不僅解決了以前隔離技術(shù)存在的問題，并有效地把內(nèi)、外部網(wǎng)絡(luò)隔離開來，而且高效地實現(xiàn)了內(nèi)、外網(wǎng)數(shù)據(jù)的安全交換，透明支持多種網(wǎng)絡(luò)應(yīng)用，成為當(dāng)前隔離技術(shù)的發(fā)展方向。4.2網(wǎng)絡(luò)隔離技術(shù)與網(wǎng)閘應(yīng)用第五代隔離技術(shù)——安全通道隔4.2.1網(wǎng)絡(luò)隔離的技術(shù)原理物理隔離的技術(shù)架構(gòu)在隔離上，我們通過以下一組圖示來說明物理隔離是如何實現(xiàn)的。圖4.27表示沒有連接時內(nèi)外網(wǎng)的應(yīng)用狀況。從連接特征可以看出，這樣的結(jié)構(gòu)從物理上完全分離。外網(wǎng)是安全性不高的因特網(wǎng)，內(nèi)網(wǎng)是安全性很高的內(nèi)部專用網(wǎng)絡(luò)。4.2.1網(wǎng)絡(luò)隔離的技術(shù)原理物理隔離的技術(shù)架構(gòu)在隔離上圖4.27物理隔離示意圖1圖4.27物理隔離示意圖14.2.1網(wǎng)絡(luò)隔離的技術(shù)原理正常情況下，隔離設(shè)備和外網(wǎng)，隔離設(shè)備和內(nèi)網(wǎng)，外網(wǎng)和內(nèi)網(wǎng)是完全斷開的，即保證網(wǎng)絡(luò)之間是完全斷開的。隔離設(shè)備可以理解為純粹的存儲介質(zhì)和一個單純的調(diào)度和控制電路。4.2.1網(wǎng)絡(luò)隔離的技術(shù)原理正常情況下，隔離設(shè)備和外網(wǎng)，4.2.1網(wǎng)絡(luò)隔離的技術(shù)原理當(dāng)外網(wǎng)有數(shù)據(jù)需要到達(dá)內(nèi)網(wǎng)時，以電子郵件為例，外部服務(wù)器立即發(fā)起對隔離設(shè)備的非TCP/IP協(xié)議的數(shù)據(jù)連接，隔離設(shè)備將所有協(xié)議剝離，將原始的數(shù)據(jù)寫入存儲介質(zhì)(圖4.28)。根據(jù)不同的應(yīng)用，可能有必要對數(shù)據(jù)進(jìn)行完整性和安全性檢查，如防病毒和惡意代碼等。4.2.1網(wǎng)絡(luò)隔離的技術(shù)原理當(dāng)外網(wǎng)有數(shù)據(jù)需要到達(dá)內(nèi)網(wǎng)時，圖4.28物理隔離示意圖2圖4.28物理隔離示意圖24.2.1網(wǎng)絡(luò)隔離的技術(shù)原理一旦數(shù)據(jù)完全寫入隔離設(shè)備的存儲介質(zhì)，隔離設(shè)備立即中斷與外網(wǎng)的連接。轉(zhuǎn)而發(fā)起對內(nèi)網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)連接。隔離設(shè)備將存儲介質(zhì)內(nèi)的數(shù)據(jù)推向內(nèi)網(wǎng)。內(nèi)網(wǎng)收到數(shù)據(jù)后，立即進(jìn)行TCP/IP的封裝和應(yīng)用協(xié)議的封裝，并交給應(yīng)用系統(tǒng)。此時，內(nèi)網(wǎng)電子郵件系統(tǒng)就收到了外網(wǎng)的電子郵件系統(tǒng)通過隔離設(shè)備轉(zhuǎn)發(fā)的電子郵件(圖4.29)。4.2.1網(wǎng)絡(luò)隔離的技術(shù)原理一旦數(shù)據(jù)完全寫入隔離設(shè)備的存圖4.29物理隔離示意圖3圖4.29物理隔離示意圖34.2.1網(wǎng)絡(luò)隔離的技術(shù)原理在控制器收到完整的交換信號之后，隔離設(shè)備立即切斷隔離設(shè)備于內(nèi)網(wǎng)的直接連接，恢復(fù)到完全隔離狀態(tài)。4.2.1網(wǎng)絡(luò)隔離的技術(shù)原理在控制器收到完整的交換信號之4.2.1網(wǎng)絡(luò)隔離的技術(shù)原理如果內(nèi)網(wǎng)有電子郵件要發(fā)出，隔離設(shè)備收到內(nèi)網(wǎng)建立連接的請求之后，建立與內(nèi)網(wǎng)之間的非TCP/IP協(xié)議的數(shù)據(jù)連接。隔離設(shè)備剝離所有的TCP/IP協(xié)議和應(yīng)用協(xié)議，得到原始的數(shù)據(jù)，將數(shù)據(jù)寫入隔離設(shè)備的存儲介質(zhì)。如有必要，對其進(jìn)行防病毒處理和防惡意代碼檢查：然后中斷與內(nèi)網(wǎng)的直接連接(圖4.30)。4.2.1網(wǎng)絡(luò)隔離的技術(shù)原理如果內(nèi)網(wǎng)有電子郵件要發(fā)出，隔圖4