网络隔离技术分析

1、第四章 网络隔离技术1、防火墙2、虚拟专网技术3、物理隔离技术 隔离的本质是在需要交换信息甚至共享资源的情况下才出现，既要信息交换或共享资源，又要隔离。haohao基带和宽带基带是一种信号传输方法，它通过直接将电流送到电缆上完成。占用整个电缆传输。宽带，通常将电缆分为通道，以便不同的数据能同时发送，即在同一电缆中可以发送多个信号。资源隔离基本概念对资源分组取决于：资源的敏感程度、资源受到损害的可能性，或者是设计者所选择的资源分组的标准。安全区域，是资源的一个逻辑分组（如系统、网络或进程），这些分组与可接受的风险级别类似。安全区域的思想不只局限于网络。在某种程度上，安全区域可以这样来实现：将某些

2、性质相类似的应用程序驻留在专门的服务器上隔离的必要性 例如Slammer等蠕虫病毒对交换机的冲击，就是利用了流转发技术的三层交换机的工作原理，第一个数据包进来的时候，三层交换机要像路由器那样通过查找路由表，确定如何转发，并形成一个用ASIC完成转发查找的硬件流转发表。感染Slammer等蠕虫病毒的计算机会在很大的一段地址空间中，逐个发送指向不同IP地址的数据包。这种行为是恶意的。这样的操作会导致交换机的硬件流转发表溢出，导致CPU资源的大量浪费，甚至使交换机的CPU资源完全耗尽。典型的网络环境防火墙的定义传统的防火墙概念概念：防火墙被设计用来防止火从大厦的一部分传播到另一部分I T 领域使用的

3、防火墙概念两个安全域之间通信流的唯一通道安全域1Host A Host B 安全域2Host C Host D UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。I T 领域使用的防火墙概念 防火墙（FireWall）是一种隔离控制技术，在某个机构的网络和不安全的网络（如Internet）之间设置屏

4、障，阻止对信息资源的非法访问，也可以使用防火墙阻止重要信息从企业的网络上被非法输出。 FireWall一般安装在路由器上以保护一个子网，也可以安装在一台主机上，保护这台主机不受侵犯。 防火墙的发展历程将过滤功能从路由器中独立出来，针对用户需求，提供模块化的软件包用户可根据需要构造防火墙安全性提高了，价格降低了利用路由器本身对分组的解析,进行分组过滤过滤判断依据：地址、端口号防火墙与路由器合为一体，只有过滤功能适用于对安全性要求不高的网络环境是批量上市的专用防火墙产品包括分组过滤或者借用路由器的分组过滤功能装有专用的代理系统，监控所有协议的数据和指令保护用户编程空间和用户可配置内核参数的设置安全

5、性和速度大为提高。防火墙厂商具有操作系统的源代码，并可实现安全内核在功能上包括了分组过滤、应用网关、电路级网关增加了许多附加功能：加密、鉴别、审计、NAT转换透明性好，易于使用基于通用操作系统的防火墙防火墙工具套基于安全操作系统的防火墙防火墙技术防火墙的位置包过滤技术应用代理技术状态检测技术防火墙在网络中的位置防火墙放置于不同网络安全域之间包过滤技术也叫网络级防火墙，一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙，大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发，但它不能判断出一个IP包来自何方，去向何处。防

6、火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。其次，通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。 表示层会话层网络层数据链路层物理层传输层应用层表示层会话层网络层数据链路层物理层传输层应用层表示层会话层网络层数据链路层物理层传输层 非信任域 防火墙 信任域应用层 网络层 网络层 网络层包过滤原理安全网域Host C Host D UDPBlockHost CHost BTCPPassHost CHost ADestinationProt

7、ocolPermitSource数据包数据包数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包控制策略数据包过滤依据主要是TCP/IP报头里面的信息，不能对应用层数据进行处理数据TCP报头IP报头分组过滤判断信息应用代理技术防火墙应用层表示层会话层网络层数据链路层物理层传输层应用层表示层会话层NETWORK数据链路层物理层传输层应用层表示层会话层NETWORK数据链路层物理层传输层 非信任域 防火墙 信任域网络层网络层应用代理技术应用级网关能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能

8、够做复杂一些的访问控制，并做精细的注册和稽核。它针对特别的网络应用服务协议即数据过滤协议，并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制，以防有价值的程序和数据被窃取。 在实际工作中，应用网关一般由专用工作站系统来完成。但每一种协议需要相应的代理软件，使用时工作量大，效率不如网络级防火墙。一般情况下，附加proxy服务器，如squid，能有效增加效率，并能实施关键字过滤。应用级网关有较好的访问控制，是目前最安全的防火墙技术，但实现困难，而且有的应用级网关缺乏“透明度”。在实际使用中，用户在受信任的网络上通过防火墙访问Internet时，

9、经常会发现存在延迟并且必须进行多次登录（Login）才能访问Internet或Intranet。 应用代理原理安全网域Host C Host D 数据包数据包数据包数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包数据包应用代理可以对数据包的数据区进行分析，并以此判断数据是否允许通过控制策略数据TCP报头IP报头分组过滤判断信息应用代理判断信息状态检测技术表示层会话层网络层数据链路层物理层传输层应用层表示层会话层网络层数据链路层物理层传输层应用层表示层会话层网络层数据链路层物理层传输层 非信任域 防火墙 信任域 网络层 网络层 网络层应用层检测引擎状态检测原理安全网域Host

10、 C Host D 数据包数据包数据包数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包数据包状态检测可以结合前后数据包里的数据信息进行综合分析决定是否允许该包通过控制策略数据3TCP报头IP报头数据2TCP报头IP报头数据1TCP报头IP报头状态检测防火墙的功能、性能 防火墙的功能 防火墙的性能状态检测表 提高了效率 防止假冒IP攻击Host C Host D No访问控制规则表Yes数据包状态检测防火墙访问控制的范围源和目的地址；源和目的端口；“欺诈”的IP地址；IP协议号；端口范围；ICMP信息类型；IP和TCP中都有的选项类型；IP和TCP标记组合；VLAN信息。防火

11、墙的防御攻击的能力抵抗DOS/DDOS攻击防止入侵者的扫描防止源路由攻击防止IP碎片攻击防止ICMP/IGMP攻击防止IP假冒攻击 应用控制可以对常用的高层应用做更细的控制 如HTTP的GET、POST、HEAD 如FTP的GET、PUT等 物理层链路层网络层传输层会话层表示层应用层物理层链路层网络层传输层会话层表示层应用层内部网络外部网络防火墙内部接口外部接口根据策略检查应用层的数据符合策略应用层应用层应用层应用代理InternetHost A Host BHost CHost D00-50-04-BB-71-A600-50-04-BB-71-BCBIND To 00-50-04-BB-71

12、-A6BIND To 00-50-04-BB-71-BCIP与MAC地址绑定后，不允许Host B假冒Host A的IP地址上网防火墙允许Host A上网IP和MAC地址绑定Internet4Host A受保护网络Host C Host D 15防火墙Eth2：3Eth0：数据IP报头数据IP报头源地址：1目地址：4源地址：目地址：4 隐藏了内部网络的结构 内部网络可以使用私有IP地址 公开地址不足的网络可以使用这种方式提供IP复用功能NAT地址转换反向地址映射Internet 公开服务器可以使用私有地址 隐藏内部网络的结构WWW FTP MAIL DNS 8MAP ：53 TO ：53MAP

13、 ：21 TO ：21MAP ：80 TO ：80MAP ：25 TO ：25WWW 192.168.15分布式防火墙传统防火墙技术的几个问题依赖于防火墙一端可信，另一端是潜在的敌人Internet的发展使从外部穿过防火墙访问内部网的需求增加了一些内部主机需要更多的权限只依赖于端-端加密并不能完全解决问题过于依赖物理拓扑结构考虑到下面几个事实个人防火墙已得到了广泛的应用操作系统大多已提供了许多在传统意义上还属于防火墙的手段IPv6以及IPSec技术的发展防火墙这一概念还不能抛弃分布式防火墙(续一)思路主要工作防护工作在主机端打破传统防火墙的物理拓扑结构，不单纯依靠物理位置来划分内外由安全策略来

14、划分内外网具体方法：依赖于下面三点策略描述语言：说明什么连接允许，什么连接不允许一系列系统管理工具：用于将策略发布到每一主机处，以保证机构的安全IPSec技术及其他高层安全协议防火墙的性能指标 延时 并发连接数 平均无故障时间 吞吐量防火墙在不丢包的情况下能够达到的最大包转发速率 数据包通过防火墙所用的时间防火墙能够同时处理的点对点连接的最大数目 系统平均能够正常运行多长时间，才发生一次故障 防火墙的应用 “访问控制”的应用 “防火墙在VLAN网络”应用 “内网安全分段”的应用 “动态IP分配”的应用 “多出口”的应用 “端口映射”应用“访问控制”的应用Vlan2财务部Vlan3技术部Vlan

15、4培训中心internetVlan网关“防火墙在VLAN网络”应用internet财务部工程部销售部行政部“内网安全分段”的应用InternetInternetInternetLAN可以根据需要，按照源IP地址、服务，将数据流从不同的端口送出“多出口”的应用财务VLAN工程技术VLAN项目VLAN内部WEB服务器内部数据库服务器内部文件服务器宽带网(城域网)内部服务器VLAN动态获得IP“动态IP分配”的应用托管主机Internet电信机房8800“端口映射”应用 防火墙不足之处 无法防护内部用户之间的攻击 无法防护基于操作系统漏洞的攻击 无法防护内部用户的其他行为 无法

16、防护端口反弹木马的攻击 无法防护病毒的侵袭 无法防护非法通道出现企业部署防火墙的误区 最全的就是最好的，最贵的就是最好的 软件防火墙部署后不对操作系统加固 一次配置，永远运行 测试不够完全 审计是可有可无的安全通信和内容检测冲突 防火墙拦截画面 IP 的安全性I P包本身并不继承任何安全特性不安全的表现伪造出I P包的地址修改其内容重播以前的包以传输途中拦截并查看包的内容解决方案VPNVPN发展趋势 基于IP的VPN业务获得了极大的增长空间. VPN对推动整个电子商务、电子贸易将起到不可低估的作用 制约VPN的发展、普及的因素大致可分为客观因素和主观因素两方面: 客观因素：包括互联网带宽和服务

17、质量 (QOS) 问题; 主观因素是用户总害怕自己内部的数据在Internet上传输不安全. 虚拟专用网络VPNVPN采用四种技术来保证安全隧道技术（Tuneling）加密技术密钥管理技术身份认证技术VPN关键技术-隧道技术隧道技术类似于点对点连接技术，隧道技术在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。实现以下功能将数据流量强制到特定的目的地隐藏私有的网络地址在IP网上传输非IP协议数据包提供数据安全支持协助完成用户基于AAA(authentication鉴定,authorization授权,accounting计费)的管理。VPN的关键技术安全隧道 封装、传输和拆封过程称为

18、“隧道”。隧道技术类似于点对点连接技术，它是为了在公网上传输私有数据而发展出来的“信息封装”（Encapsulation）方式，即在公网上建立一条数据通道（隧道），让封装的数据包通过这条隧道传输。在Internet上传输的加密数据包中，只有VPN端口或网关的IP地址暴露在外面。隧道技术解决了专网与公网的兼容问题，优点是能够隐藏发送者、接收者的IP地址和其他协议信息。数据链路层的隧道协议 数据链路层的隧道协议，如L2TP、PPTP、L2F等，建立在点对点协议PPP的基础上，充分利用了PPP支持多协议的特性，先把各种网络协议（IP,IPX,AppleTalk等）封装到PPP帧中，再把整个数据包装入

19、隧道协议。由于这种封装方法形成的数据包依靠第二层（数据链路层）协议进行传输，所以称之为“第二层隧道协议”。 PPTP PPTP协议是最早被用来设计VPN的协议之一。PPTP协议(Point to Point Tunneling Protocol)是PPP协议的扩展，增强了PPP的身份验证、压缩和加密机制。一般服务器需要与互连网建立永久性连接，而客户端则通过ISP连接互连网，并且通过拨号与PPTP服务器建立服从PPTP协议的连接。这种连接需要访问身份证明（如用户名，口令和域名等）和遵从的验证协议。PPTP利用PPP的功能通过因特网建立一条指向目的站点的隧道来实现远程访问。PPTP提供PPTP客户

20、机和PPTP服务器之间的加密通信，通过PPTP,客户可采用拨号方式接入公共IP网络Internet。拨号客户首先按常规方式拨号到ISP的接入服务器，建立PPP连接；在此基础上，客户进行二次拨号建立到PPTP服务器的连接，该连接称为PPTP隧道。L2TP L2TP是由Microsoft支持的PPTP和由Cisco支持的L2F相结合的产物，Bay等网络公司均是该工作组的成员。L2TP对PPP连接作了延伸：它的起点和终点并不是远程主机和ISP的拨号服务设备，这种虚拟的PPP连接起始于远程主机，终止于公司企业网的网关。从表面上看，远程主机和公司企业网的网关好像处于同一子网中。L2TP使用PPP来实现数

21、据包的可靠性发送，L2TP隧道通过在两端VPN服务器之间采用口令握手协议CHAP来验证对方的身份，并可采用IPsec协议对数据包进行加密传送，以保证数据安全。在安全性的考虑上，L2TP对传输中的数据并不加密。因此， L2TP并不能满足用户对安全性的需求，当用户需要安全的拨号VPN时，就需要结合IPSEC一起使用，对数据封装和加密，以创建安全的虚拟网络连接。L2TP(续)L2TPVPN连接拓扑PPP连接ISP的PPP 服务器企业专用网络进行PPTP或L2TP连接InternetVPN服务器VPN隧道IP层隧道 第三层隧道协议，如IPsec、GRE，是把各种网络协议直接装入隧道协议中，形成的数据包

22、依靠第三层（网络层）协议进行传输，所以称之为“第三层隧道协议”。它在可扩充性、安全性、可靠性方面优于第二层隧道协议。 IPSec协议IETF制定VPN安全协议标准IPSec和IKE密钥管理协议IPSec提供以下安全服务数据源鉴别数据完整性防止数据重传数据加密不可否认安全策略 安全策略决定了为一个包提供的安全服务IP包的外出和进入处理都要以安全策略为准 AH协议AH协议保证了隧道中报文的数据源鉴别和数据的完整性保护，它对每组IP包进行认证，防止黑客利用IP进行攻击。ESP协议ESP协议保证数据的保密性，ESP可以在隧道模式和传送模式两种模式下运行。在隧道模式下，ESP对整个IP数据包进行封装和加

23、密，隐蔽了IP源和目的IP地址，从外部看不到数据包的路由过程；在传送模式下，ESP只对IP有效数据载荷进行封装和加密，IP源和目的IP地址不加密传送，安全程度相对隧道模式较低。隧道模式的封装密钥管理协议 密钥管理协议是IPSec安全协议的一个重要组成部分,Internet工程任务组(IETF)规定了Internet安全协议和密钥管理协议实现IPSec的密钥管理需求，这个协议在通信系统内建立了一个安全的联系，它是一个产生和交换IPSec密钥并对其进行管理的协议。SA(Security Association) 所有的SA都是单向的，由一特定的SPI(Security Parameter Inde

24、x)和DA(Destination Address)的组合唯一确定的 SA包括：AH实现中所用的鉴别算法和算法模式AH实现中鉴别算法所使用的密钥ESP实现中所用的加密算法和模式ESP实现中加密算法所使用的密钥加密算法的初始向量域；密钥生存周期或时间SA的生存周期、SA的源地址选用VPN的原因VPN以Internet为支撑，布署灵活（和专线比较）大多数ISP能承受商务连接所带来的负荷VPN是灵活的、动态的、可升级的，可以极大节省企业专线联网的费用可以很好地解决全网的统一管理问题VPN能够解决“移动用户”的安全接入问题（也可认为Firewall的漏洞）VPN能充分利用公司现有投资（对应用透明）基于

25、TCP/IP的VPN容易理解和实现因各国对加密技术的限制，使得VPN产品具有按照国家划分的严格的地域性质。 建设VPN所需考虑问题构造网络的拓扑结构地址空间DNS问题网络地址转换路由问题ISP是否阻塞加密分组确定新设备位置如何鉴别用户用户能够访问子网的范围数据流的安全等级适合VPN的环境远程用户访问企业外部网应用不同地理位置的客户基地适当带宽需求廉价的全球访问的需要专线不适合VPN的环境性能成为额外开销的系统时延不能被接受的地方非标准协议同步通信的系统VPN的典型应用（1）典型案例1：安全网关设备与ERP系统的结合案例VPN的典型应用（2）典型案例2：授权企业员工的远程安全接入VPN的典型应用

26、（3）典型案例3：动态IP VPN组网方案ADSL安全网关策略服务器固定IPModem接入财务子网工作子网ADSL财务子网移动用户分支机构合作伙伴公司总部防火墙安全网关安全网关ADSLVPN的典型应用（4）典型案例4：无线接入VPN网构建虚拟私用网络内部网络总经理办公室 财务室 用途：使物理连接在同一网络构架上的不同小组之间进行安全保密的通信，主要用于防止内部的泄密和黑客。例如：对公司的财务部门数据的安全访问。在公司局域网上的构建安全小组网络以太网安全网关VPN的典型应用（5）用途：使企业和合作伙伴，供应商之间进行安全保密的通信企业间的虚拟专用网络 ExtranetVPN的典型应用（6）VPN

27、的常见问题远程拨号用户定位VPN网关设备LANtoLAN，策略一致性问题VPN的域设置认证服务内部VPN路由动态寻址与NAT穿透多端VPN的管理和配置安全传输和信息监控的矛盾双向NAT的VPN互联基于VPN的互连与隔离三层网络架构（下一代安全网络的可选方案之一）SSL/TLS协议(1) 1994年Netscape开发了SSL(Secure Socket Layer)协议，专门用于保护Web通讯。版本和历史1.0，不成熟2.0，基本上解决了Web通讯的安全问题Microsoft公司发布了PCT(Private Communication Technology)，并在IE中支持3.0，1996年发

28、布，增加了一些算法，修改了一些缺陷TLS 1.0(Transport Layer Security, 也被称为SSL 3.1)，1997年IETF发布了Draft，同时，Microsoft宣布放弃PCT，与Netscape一起支持TLS 1.01999年，发布RFC 2246(The TLS Protocol v1.0)SSL/TLS协议(2)协议的设计目标为两个通讯个体之间提供保密性和完整性(身份认证)互操作性、可扩展性、相对效率协议分为两层底层：TLS记录协议上层：TLS握手协议、TLS密码变化协议、TLS警告协议SSL体系结构SSL由记录协议子层(Record Protocol)和握手协

29、议子层(Handshake Protocol)组成记录协议子层定义了传输的格式握手协议子层用于实现双向身份认证和协商密码算法以及会话密钥IPTCPSSL记录协议SSL握手协议SSL修改密文协议SSL告警协议HTTP协议SSL会话与连接SSL会话（session）一个SSL会话是在客户与服务器之间的一个关联。会话由Handshake Protocol创建。会话定义了一组可供多个连接共享的加密安全参数会话用以避免为每一个连接提供新的安全参数所需昂贵的谈判代价一对对等实体之间可以有多个会话SSL连接（connection)一个连接是提供一种合适类型服务的传输（OSI分层的定义）SSL的连接是点对点的

30、关系连接是暂时的，每一个连接和一个会话关联SSL实现OpenSSL, 最新0.9.6c, 实现了SSL(2,3), TLS(1.0)Openssl a command line tool.SSL(3) the OpenSSL SSL/TLS library.crypto(3) the OpenSSL Crypto library.URL: SSLeayMicrosoft Win2k SSL implementationSSL/TLS握手的步骤Client_helloServer_helloCertificateServer_key_exchangeCertificate_requestServ

31、er_hello_doneCertificateClient_key_exchangeCertificate_verifyChange_cipher_specFinishedChange_cipher_specFinished建立安全能力,包括协议版本、会话ID、密码组、压缩方法和初始随机数字服务器可以发送证书、密钥交换和请求证书。服务器信号以hello消息结束客户机可以发送证书；客户机发送密钥交换；客户机可以发送证书验证更改密码组完成握手协议红色勾除的步骤是可选的SSL VPN的基本构建方式SSL单项认证模式在采用单向认证时，主要是客户端验证服务器端是否合法。在建立SSL握手的时候，服务器将

32、其证书传送给客户端进行验证。客户端主要验证有三个方面：服务器证书是否在有效时间内服务器证书中的域名是否与用户访问的域名一致服务器证书是否由浏览器认可的根证发放SSL双向认证模式在双向认证模式下，除客户端验证服务器端是否合法外，服务器端也需要验证客户端是否为合法用户。服务器端需要安装颁发客户端证书的CA的根证书和中间证书，要求客户端提交客户端证书，并通过已经安装的根证书和中间证书对客户端证书进行逐级验证 SSL还有一个潜在的安全隐患来自于使用者，因为会话结束后他们一般不会及时关闭浏览器。如果连接请求来自于共享的公众场所，这样做是极其危险的。如果浏览器没有及时关闭，前一个使用者建立的信任连接状态就

33、会一直保持，后来的使用者可以继续利用这台电脑的信任状态接入公司内部网。针对这种情况，很多厂商生产的浏览器都提供了“inactivity timeouts”功能，但这不是全面解决方案，因为电脑仍然在一段时间内存在安全弱点。此时，如果连接请求来自不可控制的公众场所，电脑则处于危险状态，因为攻击者可以利用电脑上的键盘纪录来重复使用者的会话。SSL VPN SSL VPN 应用层 不用专用客户端软件.只使用标准的浏览器 任何内网应用数据均通过SSL协议转换传输 由客户掌握指定使用权限 支持全功能访问内网B/S服务器, 内网公共文件夹及文件 支持典型应用及HTTP和HTTPS协议 支持动态下载插件作为不

34、同应用的瘦客户端Ipsec和SSLIPSEC和SSL主要区别 1、IPSEC是面向通信的，SSL是面向应用 2、IPSEC支持网络方式，也支持点到点的方式； SSL支持点到点的方式；存在的主要问题： 1、无法支持私网环境下构建虚拟网络； 2、在大规模网络环境中，网络策略易产生冲突； 3、在大规模网络环境中，安全节点的性能问题。物理隔离的定义 国家保密局2000年1月1日起颁布实施的计算机信息系统国际联网保密管理规定第二章保密制度第六条规定：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连接，必须实行物理隔离。” 所谓“物理隔离”是指内部网不得直接或间接地连接公共网。物理安全的目的是保护路由器、工作站