第3篇信息系统隔离技术.pptVIP

第3章 信息系统隔离技术 信息系统隔离技术 3.1 数据过滤技术 3.1.1 数据过滤技术概述 1. 数据包及其结构 图3.1 TCP/IP网络中数据包的封装与解包 图中的虚箭头为发送端的数据封装过程； 图3.2 其它一些数据包的格式 数据包中可以体现数据包特征的有关字段 （1）源地址（Source Address）和目的地址（Destination Address） （4）片偏移量FO（Fragment Offset） （7）服务类型ToS（Type of Service） 表3.1 RFC 1349[Almquist 1992]对于不同应用建议的ToS值 2. 数据包过滤基本准则 建立数据包过滤规则的大致步骤如下： 3.1.2 数据包的地址过滤策略 1. 地址过滤策略概述 （1）IP源地址欺骗攻击 2. 基于地址的过滤规则的设计 表3.2 该公司网络的包过滤规则 表中规则C是默认规则。 表3.3 使用样本数据包测试结果 由表3.3可见，按ABC的规则顺序，能够得到想要的操作结果；而按BAC的规则顺序则得不到预期的操作结果，原本允许的数据包2被拒绝了。 表3.4 删除规则B后的行为操作 这才是想要的结果。由此得出两点结论： 3.1.3 数据包的服务过滤策略 按服务进行过滤，就是根据TCP/UDP的端口号制定过滤策略。但是，由于源端口是可以伪装的，所以基于源端口的过滤是会有风险的。同时还需要确认内部服务确实是在相应的端口上。下面进行一些分析。 （1） 关于外部服务的端口号 （2） 关于内部主机的源端口号 例3.1.2 表3.5与表3.6就是否考虑数据包的源端口进行对照。规则表3.5由于未考虑到数据包的源端口，出现了两端所有端口号大于1024的端口上的非预期的作用。而规则表3.6考虑到数据包的源端口，所有规则限定在25号端口上，故不可能出现两端端口号均在1024以上的端口上连接的交互。 3.1.4 数据包的状态检测过滤策略 使用C/S模式的数据通信具有连接状态。最典型的是TCP连接。如图3.3所示，TCP连接具有11个状态： CLOSED、LISTEN、SYS_SENT、SYS_REVD、FIN_WAIT_1、FIE_WAIT_2、ESTAB、CLOSE_WAIT、LAST_ACK、CLOSING、TIME_WAIT。 图3.3 TCP协议状态转换图 Passive Open：本地用户的被动打开连接 rcv:本地TCP在引发事件中收到TCP控制消息 Active Open：本地用户的主动打开连接 send:本地TCP在结果动作中发出TCP控制消息 CLOSE:关闭连接请求 x:无动作 create TCB:本地TCP创建了对应虚电路的协议控制块； create TCB:本地TCP撤消TCP协议控制块并结束通信连接； Timeout=2MSL: 本地TCP等待超时2MSL（2倍的最大段生存期）； TCP连接状态的特征 由图3.3描述可以看出TCP连接状态的如下特征： 3.1.5 数据包的内容过滤策略 1. 内容安全的概念 2. 内容安全解决方案 3. 内容扫描原理 3.2 网络地址转换 1. NAT概述 2. NAT的工作过程 3. 使用NAT的优缺点 3.3 代理技术 应用于网络安全的代理（Proxy）技术，来自代理服务器（Proxy Server）技术。代理服务器是用户计算机与Internet之间的中间代理机制，它采用客户机/服务器工作模式。代理服务器位于客户与Internet上的服务器之间。请求由客户端向服务器发起，但是这个请求要首先被送的代理服务器；代理服务器分析请求，确定其是合法的以后，首先查看自己的缓存中有无要请求的数据，有就直接传送给客户端，否则再以代理服务器作为客户端向远程的服务器发出请求；远程服务器的响应也要由代理服务器转交给客户端，同时代理服务器还将响应数据在自己的缓存中保留一份拷贝，以被客户端下次请求时使用。图3.5为代理服务的结构及其数据控制和传输过程示意图。 图3.5 代理服务的结构及其数据控制和传输过程 应用于网络安全的代理技术，也是要建立一个数据包的中转机制，并在数据的中转过程中，加入一些安全机制。 3.3.1 应用级代理 1. 概述 2. 应用级代理的工作特点 （1） 阻断路由与URL （3）安全监控 3.3.2 电路级代理 1. 电路级代理概述 2. SOCKS代理技术 SOCKS代理的工作过程 SOCKS代理的工作过程如下： 3.4 网络防火墙 1. 防火墙的概念 防火墙的一些功能 （1）作为网络安全的屏障 （3）对网络存取和访问进行监控审计 （4）远程管理 （5）防止攻击性故障蔓延和内