网络边界分析和总结.pdfVIP

网络攻 防技术 一、网络边界 1.网络边界基本概念 网络边界是一个网络的重要组成部分，负责对网络流量进行最初及最后的过滤，对一些公共服 务器区进行保护， 因此边界安全的有效部署对整网安全意义重大。 网络边界通常理解就是企业网络 与其他网络的分界线。 事实上，我们应该把具有不同安全级别的网络之间的分界线都可以定义为网 络边界。 2.划分边界的依据 防止来自网络外界的入侵就要在网络边界上建立可靠的安全防御措施。对边界进行安全防护， 首先必须明确哪些网络边界需要防护， 这可以通过安全分区设计来确定。 安全区域是由一组具有相 同安全保护需求、 并相互信任的系统组成的逻辑区域。 同一安全域的系统共享相同的安全策略， 安 全域划分的目的是把一个大规模复杂系统的安全问题， 化解为更小区域的安全保护问题， 是实现大 规模复杂信息系统安全等级保护的有效方法。 定义安全分区的原则就是首先需要根据业务和信息敏感度定义安全资产， 其次对安全资产定义 安全策略和安全级别， 对于安全策略和级别相同的安全资产， 就可以认为属于同一安全区域。 归纳 起来划分网络边界主要有三步： 1) 确定安全资产 2) 定义安全策略和安全级别 3) 划分不同的安全区域 通常一个企业网络可划分为：互联网连接区、广域网连接区、外联数据区、数据中心区、内网 办公区、网络管理区等。 3.边界安全防护机制和措施 在 GB/T 20271-2006 《信息安全技术 信息系统通用安全技术要求》中提到：根据对信息系统 运行安全的不同要求，信息系统边界安全防护采用的安全机制和措施分为： 1) 基本安全防护： 采用常规的边界防护机制，如基本的登录 / 连接控制等，实现基本的信息系 统边界安全防护； 2) 较严格安全防护 ：采用较严格的安全防护机制，如较严格的登录 / 连接控制，普通功能的防 火墙、防病毒网关、入侵防范、信息过滤、边界完整性检查等。 3) 严格安全防护： 根据当前信息安全对抗技术的发展，采用严格的安全防护机制，如严格的 登录/ 连接机制， 高安全功能的防火墙、防病毒网关、入侵防范、信息过滤、边界完整性 检查等。 4) 特别安全防护： 采用当前最先进的边界防护技术，必要时可以采用物理隔离安全机制，实 现特别安全要求的边界安全防护。 1 网络攻 防技术 二、防火墙技术 网络隔离最初的形式是网段的隔离，因为不同的网段之间的通讯是通过路由器连通的，要限制 某些网段之间不互通，或有条件地互通， 就出现了访问控制技术，也就出现了防火墙， 防火墙是不 同网络互联时最初的安全网关。 图 1 防火墙 防火墙的安全设计原理来自于包过滤与应用代理技术，两边是连接不同网络的接口，中间是访 问控制列表 ACL ，数据流要经过 ACL 的过滤才能通过。因为 ACL 控制的是网络的三层与四层， 对于应用层是无法识别的。后来的防火墙增加了 NAT/PAT 技术，可以隐藏内网设备的 IP 地址，给 内部网络蒙上面纱，成为外部“看不到”的灰盒子，给入侵增加了一定的难度。但是木马技术可以 让内网的机器主动与外界建立联系，从而“穿透” NAT 的“防护”， P2P应用也采用这种方式“攻 破”了防火墙。 防火墙的作用就是建起了网络的“城门” ，把住了进入网络的必经通道，所以在网络的边界安 全设计中，防火墙成