第3章 网络防御

第3章信息系统隔离技术隔离就是在内部系统与对外连接通道上设置阻塞点，以便对攻击者进行监视和控制，有效地维持被保护网络的边界安全。按照《国家信息化领导小组关于我国电子政务建设的指导意见》，“电子政务网络由政务内网和政务外网构成，两网之间物理隔离，政务外网与Internet之间逻辑隔离”，网络隔离技术从大的方面看，可以分为逻辑隔离（主要指防火墙）和物理隔离（主要指网闸）。本章主要介绍它们及其相关技术。信息系统隔离技术3.1数据过滤技术3.2网络地址转换3.3代理技术3.4网络防火墙3.5网络的物理隔离技术3.6计算机系统的电磁防护3.1.1数据过滤技术概述1.数据包及其结构在网络中传输的数据是从应用程序那里递交来的。应用程序递交给网络要传输的数据后，网络就要逐层向下，转交给下面的一层去实施，每交到下一层，就要按照本层的协议要求进行一次打包，形成不同协议层中的数据包（Packet），直到物理网络。图3.1表明在TCP/IP网络中数据包的封装与解包过程。图中的虚箭头为发送端的数据封装过程，实箭头表示接收端的数据解包过程。图3.1TCP/IP网络中数据包的封装与解包图中的虚箭头为发送端的数据封装过程；数据包体传输层包头包体网络层包头包体链路层包头应用层SMTP,Telnet,FTPTCP,UDP,ICMP传输层IP网络层网络接口层ATM,Ethernet等包的封装数据解包实箭头表示接收端的数据解包过程。应当注意，包过滤是根据数据包的特征进行的。其中，主要根据数据包头的一些字段的特征进行。同时，不同的协议所规定的包头格式不同。因此在制定过滤规则前，应当充分了解数据包的格式。前面图2.8介绍了TCP数据报的格式，图2.9介绍了用于以太网的ARP分组格式，下面在图3.2中，还列出了其他一些常用的数据包的格式，供本书后面的讨论中使用。图3.2其它一些数据包的格式类型码代码校验和首部其余部分数据部分0…78…15版本头标长服务类型总

长标

识标志片偏移生存时间协议报头校验和源IP地址目的IP地址IP分组选项填充

数

据0…34…78…1516…1819…2324…31（a）IP分组格式（b）UDP数据报格式（c）ICMP分组的格式数据包中可以体现数据包特征的有关字段（1）源地址（SourceAddress）和目的地址（DestinationAddress）它们各表明数据包的源IP地址和目标IP目的地址。根据地址，还可以判断出数据流的方向：是由外部网络流入内部网络——往内（流入），还是由内部网络流入外部网络——往外（流出）。（2）标识符是发送方分配的一个独一无二的编号，用于标识同一数据报中的各分组，以便组装。（3）标志F（Flag）F共占3位：第1位恒为0；第2位为0时是可分片，为1时是不可分片；第3位为0时是最后报片，为1时是非最后报片。（4）片偏移量FO（FragmentOffset）FO占13位，用以标明当前段片在初始IP分组中的位置，目的主机可以根据FO来重新组合IP分组。（5）源端口（SourcePort）和目的端口（DestinationPort）在TCP和UDP数据包中，源端口和目的端口分别表示本地通信端口和地通信端口。端口号是按照协议类型分配的，所以端口号也表明了所传输的数据包服务的协议类型。（6）协议Prot（Protocol）在IP数据包中，“协议字段”用以标识接收的IP分组中的数据的高层（传输层）协议。高层协议号由TCP/IP协议中央权威机构NIC（NetworkInformationCenter）分配，如:1——控制报文协议ICMP，6——传输控制协议TCP，8——外部网关协议EGP，17——用户数据抱协议UDP，29——传输层协议第4类ISO-TP4。（7）服务类型ToS（TypeofService）在IP数据包中，ToS描述IP分组所希望获得的服务质量，占8位，包括：低延迟、高吞吐量、高可靠性，各占1位；优先级，共8级，占3位；未用2位。（8）数据包内容前面的7个字段都来自数据包头中，而数据内容则是来自数据包体中。如数据内容中一些关键词可以代表数据内容的某一方面的特征。对数据包内容的抽取，将会形成依据内容的包过滤规则。这是目前包过滤技术研究的一个重要方面。表3.1列出了RFC1349[Almquist1992]对于不同应用建议的ToS值。表3.1RFC1349[Almquist1992]对于不同应用建议的ToS值应用程序最小时延最大吞吐量最高可靠性最小费用十六进制值Telnet/Rlogin10000x10FTP

控制10000x10

数据01000x08

任意块数据01000x08TFTP10000x10SMTP

命令10000x10

数据01000x08DNS

UDP查询10000x10

TCP查询00000x00

区域传输01000x08ICMP

差错00000x00

查询00000x00

任何IGP00100x04SNMP00100x04BOOTP00000x00NNTP00010x022.数据包过滤基本准则最早的包过滤是在路由器上进行的。通过对路由表的配置，来决定数据包是否符合过滤规则。数据包的过滤规则由一些规则逻辑描述：一条过滤规则规定了允许数据包流进或流出内部网络的一个条件。在制定了数据包过滤规则后，对于每一个数据包，路由器会从第一条规则开始诸条进行检查，最后决定该数据包是否符合过滤逻辑。数据包规则的应用有两种策略：默认接受：一切未被禁止的，就是允许的。即除明确指定禁止的数据包，其他都是允许通过的。这也称为“黑名单”策略。默认拒绝：一切未被允许的，就是禁止的。即除明确指定通过的数据包，其他都是被禁止的。这也称为“白名单”策略。 从安全的角度，默认拒绝应该更可靠。 此外，包过滤还有禁入和禁出的区别。前者不允许指定的数据包由外部网络流入内部网络，后者不允许指定的数据包由内部网络流入外部网络。建立数据包过滤规则的大致步骤如下：安全需求分析，确定安全策略：根据网络的具体情况，确定需要保护什么，需要提供什么服务，进一步明确所允许和禁止的任务。将安全策略转化为数据包分组字段的逻辑表达式。用防火墙提供的过滤规则语法描述过滤逻辑。按照过滤逻辑对路由器进行设置。3.1.2数据包的地址过滤策略1.地址过滤策略概述按照地址进行过滤是最简单的过滤方式，它的过滤规则只对数据包的源地址、目标地址和地址偏移量进行判断，这在路由器上是非常容易配置的。对于信誉不好或内容不宜并且地址确定的主机，用这种策略通过简单配置，就可以将之拒之门外。但是，对于攻击，尤其是地址欺骗攻击的防御，过滤规则的配置就要复杂多了。下面分几种情形分别考虑。（1）IP源地址欺骗攻击对于攻击者伪装内部用户的IP地址攻击，可以按照下面的原则配置过滤规则：如果发现具有内部地址的数据包到达路由器的外部接口，就将其丢弃。显然，这种规则对于外部主机冒充另外一台主机的攻击则无能为力。（2）源路由攻击攻击者有时为了躲过网络的安全设施，要为数据包指定一个路由，这条路由可以使数据包以不期望路径到达目标。对付这种攻击的过滤规则是丢弃所有含有源路由的数据包。（3）小分段攻击当一个IP包太长时，就要对其进行分片传输。分组后，传输层的首部只出现在IP层的第1片中。攻击者利用IP分片的这一特点，往往会建立极小的分片，希望过滤路由器只检查第1片，而忽略后面的分组。对付小分段攻击的策略是丢弃FO为1的TCP、UDP数据包。2.基于地址的过滤规则的设计例3.1.1某公司有一B类网（123.45）。该网的子网（/24）有一合作网络（135.79）。管理员希望：（1）禁止一切来自Internet的对公司内网的访问；（2）允许来自合作网络的所有子网（/16）访问公司的子网（/24）；（3）禁止对合作网络的子网（/24）的访问权（除对全网开放的特定子网外）。为简单起见，只考虑从合作网络流向公司的数据包，对称地处理逆向数据包只需互换规则行中源地址和目标地址即可。表3.2该公司网络的包过滤规则表中规则C是默认规则。规

则源

地

址目

的

地

址过滤操作A/16/24允许B/24/16拒绝C/0/0拒绝数据包源地址目的地址目标行为操作ABC行为操作BAC行为操作1拒绝拒绝(B)拒绝(B)2允许允许(A)拒绝(B)3允许允许(A)允许(A)4拒绝拒绝(C)拒绝(C)表3.3使用样本数据包测试结果3.3是使用一些样本数据包对表3.2所示过滤规则的测试结果。表3.3使用样本数据包测试结果由表3.3可见，按ABC的规则顺序，能够得到想要的操作结果；而按BAC的规则顺序则得不到预期的操作结果，原本允许的数据包2被拒绝了。数据包源地址目的地址目标行为操作ABC行为操作BAC行为操作1拒绝拒绝(B)拒绝(B)2允许允许(A)拒绝(B)3允许允许(A)允许(A)4拒绝拒绝(C)拒绝(C)仔细分析可以发现，表3.2中用来禁止合作网的特定子网的访问规则B是不必要的。它正是在BAC规则集中造成数据包2被拒绝的原因。如果删除规则B，得到表3.4所示的行为操作。表3.4删除规则B后的行为操作这才是想要的结果。由此得出两点结论：数据包源地址目的地址目标行为操作AC行为操作1拒绝拒绝(C)2允许允许(A)3允许允许(A)4拒绝拒绝(C)正确地制定过滤规则是困难的；过滤规则的重新排序使得正确地指定规则变得越发困难。3.1.3数据包的服务过滤策略按服务进行过滤，就是根据TCP/UDP的端口号制定过滤策略。但是，由于源端口是可以伪装的，所以基于源端口的过滤是会有风险的。同时还需要确认内部服务确实是在相应的端口上。下面进行一些分析。（1）关于外部服务的端口号如果过滤规则完全依赖于外部主机的端口号，例如允许内部主机向外部服务器的邮件发送服务，而且TCP的端口25就是常规邮件（SMTP）端口时，这样的配置是安全的。但是，包过滤路由器是无法控制外部主机上的服务确实在常规的端口上，攻击者往往会通过伪造，利用端口25向内部主机发送其他应用程序（非常规邮件）的数据包，建立连接，进行非授权访问。这时，只能禁止25端口对于内部主机的访问。因为内部主机对这个外部端口不能信任。（2）关于内部主机的源端口号从内部到外部的TCP/UDP连接中，内部主机的源端口一般采用大于1024的随机端口。为此，对端口号大于1024的所有返回到内部的数据包都要允许。对此，就需要辨认端口号大于1024的数据包中哪些是非法的。对于TCP数据包来说，可以通过flag位辨认哪些是来自外部的连接请求。但是UDP是无连接的，没有这样的flag位可使用，只能唯一地辨认端口号。所以允许UDP协议对外访问会带来风险。因为返回的数据包上的端口号有可能是攻击者伪造的。当请求端口和目的端口都是固定的时，这个问题才能解决。例3.1.2

表3.5与表3.6就是否考虑数据包的源端口进行对照。规则表3.5由于未考虑到数据包的源端口，出现了两端所有端口号大于1024的端口上的非预期的作用。而规则表3.6考虑到数据包的源端口，所有规则限定在25号端口上，故不可能出现两端端口号均在1024以上的端口上连接的交互。规则方向类型源地址目的地址目的端口行为操作A入TCP外内25允许B出TCP内外>=1024允许C出TCP内外25允许D入TCP外内>=1024允许E出/入任何任何任何任何禁止规则方向类型源地址目的地址源端口目的端口行为操作A入TCP外内>=102425允许B出TCP内外25>=1024允许C出TCP内外>=102425允许D入TCP外内25>=1024允许E出/入任何任何任何任何任何禁止表3.5未考虑源端口时的包过滤规则表3.6考虑了源端口时的包过滤规则3.1.4数据包的状态检测过滤策略使用C/S模式的数据通信具有连接状态。最典型的是TCP连接。如图3.3所示，TCP连接具有11个状态：

CLOSED、LISTEN、SYS_SENT、SYS_REVD、FIN_WAIT_1、FIE_WAIT_2、ESTAB、CLOSE_WAIT、LAST_ACK、CLOSING、TIME_WAIT。图3.3TCP协议状态转换图PassiveOpen：本地用户的被动打开连接rcv:本地TCP在引发事件中收到TCP控制消息ActiveOpen：本地用户的主动打开连接send:本地TCP在结果动作中发出TCP控制消息CLOSE:关闭连接请求 x:无动作createTCB:本地TCP创建了对应虚电路的协议控制块；createTCB:本地TCP撤消TCP协议控制块并结束通信连接；Timeout=2MSL:本地TCP等待超时2MSL（2倍的最大段生存期）；CLOSEDLISTENESTABCLOSINGTIMEWAITCLOSEDFINWAIT_1CLOSEWAITLAST_ACKSYSSENTSYSREVDpassiveOPENcreateTCBFINWAIT_2CLOSEdeleteTCBCLOSEdeleteTCBactiveOPENcreateTCBsendSYNSENDsendSYNrcvSYNsendSYN,ACKrcvSYNsendACKrcvSYN,ACKsendACKrcvACKofSYNxCLOSEsendFINCLOSEsendFINrcvFINsendACKCLOSEsendFINrcvFINsendACKrcvACKofFINxrcvFINsendACKrcvACKofFINxrcvACKofFINxTimeout=2MSLdeleteTCBTCP连接状态的特征由图3.3描述可以看出TCP连接状态的如下特征：TCP连接是有状态的，连接进入不同的阶段具有不同的状态；TCP连接状态的转换要按一定的顺序进行，不可随意改变；在TCP连接中客户机与服务器的状态不相同，如客户机不能进入LISTEN状态，服务器不可能进入SYN_SEND状态；TCP包中有6个标志位：FIN、SYS、RST、PSH、ACK、URG，其中一些不能同时存在，如SYS不能和FIN、RST、PSH同时存在。 这些特征就是设置状态检测包过滤规则的基础。状态信息可以从数据包中的源地址、目的地址、协议类型、连接状态、超时时间以及其他信息（如TCP/UDP协议的端口号，ICMP的ID号等）中获得。 在检测中，一旦发现数据包的状态不符，就可以认为是状态异常包而加以拒绝。3.1.5数据包的内容过滤策略1.内容安全的概念内容安全是包过滤技术中正在兴起的一个重要的分支，也是目前最活跃的安全领域。它是基于内容安全的一项技术。内容安全涵盖如下3个方面。（2）基于内容的破坏内容破坏的典型是带有病毒的文件，是被篡改了的正常文件上带有病毒特征代码。这些代码在被执行的时候，具有有害的特性。（1）违禁内容的传播违禁内容是指内容本身要表达的意思，违反了某种规则或安全策略，尤其是政策法规允许的范畴。例如，传播关于SRARS的谣言，发布关于恐怖袭击的谣言，制造或传播淫秽色情等，都是违法的。违禁内容的危害是对思想造成破坏。在很多情况下，违禁内容的表达方式和格式并没有什么特殊，因此无法从表达方式或格式来加以禁止，必须从语意和关键词上理解该内容是违禁的。（3）基于内容的攻击基于内容的攻击，是以内容为载体容，以应用程序为攻击对象，目标是取得对应用主机的控制权。例如，在web上表格填写数据时，填写恶意格式，导致CGI程序执行错误，引发应用程序出错。在web服务和web应用盛行的今天，基于内容的攻击越来越流行，危害越来越大，对电子政务和电子商务是一个巨大的灾难。2.内容安全解决方案（1）禁止违禁内容传播的解决方案禁止违禁内容的传播的方法，一是对违禁内容进行内容过滤，如基于关键词的内容过滤，基于语意的内容过滤。前者在技术上很成熟，准确度很高，漏报率低，但误报率高。二是对违禁内容的来源进行访问控制，这种方式对已经知道恶意传播的对象非常有效。到目前为止，还没有禁止违禁内容传播的理想的理论方法，在必须执行违禁内容控制的情况下，多采用人工和技术相结合的策略。（2）防止基于内容破坏的解决方案防病毒是目前采用最多的防止基于内容破坏的解决方案。通过查找内容中的恶意病毒代码来消除基于内容的破坏。防病毒软件同样存在漏报和误报的问题。最关键的问题是，每次总数病毒爆发在前，才能取得病毒特征代码，然后才能防止该病毒。预防已知病毒的实现较为成功，但预防未知病毒的能力较弱。为了解决防病毒软件这方面的不足，出现了很多的相关技术如专家会诊，引发病毒隔离区等，来补充和弥补方病毒软件的不足。（3）防止基于内容攻击的解决方案基于内容的攻击已经超过违禁内容传播和病毒，成为目前最热门的威胁之一。目前存在的十大漏洞和风险包括：参数无效、访问控制失效、账户和会话管理失效、跨站点脚本、缓冲溢出、恶意命令、错误处理问题、不安全加密、远程管理缺陷、配置错误。目前已经出现一类新的产品称为应用安全代理来解决基于内容攻击的问题。与传统的过滤方法相比，基于内容的过滤技术需要耗费更多的计算资源。如何突破内容过滤的性能瓶颈，已经成为用户和厂商普遍关心的问题。3.内容扫描原理在接收到网络流量后，安全网关进行内容扫描，定向到TCP/IP堆栈，其他数据流直接定向到状态检测引擎，按基本检测方式进行处理。高性能的硬件体系结构协助TCP/IP堆栈进行协议内容的处理。内容协议数据包括Web流量（HTTP）和E-mail流量（SMTP、POP3、IMAP）。当接收到内容数据流时，TCP/IP堆栈建立Client和Server会话，开始数据包的传输。堆栈接收数据包，然后转化成内容数据流。服务分析器根据数据流服务类型分离内容数据流，传送数据流到一个命令解析器中。命令解析器定制和分析每一个内容协议，分析内容数据流，检测病毒和蠕虫。如果检测到信息流是一个HTTP数据流，则命令解析器检查上载和下载的文件;如果数据是Mail类型，则检查邮件的附件。如果数据流包含附件或上载/下载文件，附件和文件将传输到病毒扫描引擎，所有其他内容传输到内容过滤引擎。如果内容过滤启动，数据流将根据过滤的设置进行匹配，通过或拒绝数据。3.2网络地址转换1.NAT概述网络地址转换(NetworkAddressTranslation，NAT)就是使用使用两套IP地址——内部IP地址（也称私有IP地址）和外部IP地址（也称公共IP地址）。当受受保护的内部网连接到Internet并且有用户要访问Internet时，它首先使用自己网络的内部IP地址，到了NAT后，NAT就会从公共IP地址集中选一个未分配的地址分配给该用户，该用户即可使用这个合法的IP地址进行通信。同时，对于内部的某些服务器如Web服务器，网络地址转换器允许为其分配一个固定的合法地址。外部网络的用户就可通过NAT来访问内部的服务器。这种技术既缓解了少量的IP地址和大量的主机之间的矛盾——被保护网络中的主机不必拥有固定的IP地址；又对外隐藏了内部主机的IP地址，提高了安全性。2.NAT的工作过程NAT的工作过程如图3.4所示。NAT源地址目的地址源地址目的地址源地址目的地址123.456.111.3源地址123.456.111.3目的地址Internet被保护内部网源IP包目的IP包图3.4NAT的工作过程在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。NAT据预先定义好的映射规则来判断这个访问是否安全：当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中；当不符合规则时，被认为该访问是不安全的，不能被接受，外部的连接请求即被屏蔽。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。3.使用NAT的优缺点NAT使内部网络的计算机就不可能直接访问外部网络：通过包过滤分析，当所有传入的包如果没有专门指定配置到NAT，就将之丢弃。同时使所有内部的IP地址对外部是隐蔽的。因此，网络之外没有谁可以通过指定IP地址的方式直接对网络内的任何一台特定的计算机发起攻击。NAT还可以使多个内部主机共享数量有限的IP地址，还可以启用基本的包过滤安全机制。NAT虽然可以保障内部网络的安全，但也是一些局限。例如，内网用户可以利用某些木马程序通过NAT做外部连接。3.3代理技术应用于网络安全的代理（Proxy）技术，来自代理服务器（ProxyServer）技术。代理服务器是用户计算机与Internet之间的中间代理机制，它采用客户机/服务器工作模式。代理服务器位于客户与Internet上的服务器之间。请求由客户端向服务器发起，但是这个请求要首先被送的代理服务器；代理服务器分析请求，确定其是合法的以后，首先查看自己的缓存中有无要请求的数据，有就直接传送给客户端，否则再以代理服务器作为客户端向远程的服务器发出请求；远程服务器的响应也要由代理服务器转交给客户端，同时代理服务器还将响应数据在自己的缓存中保留一份拷贝，以被客户端下次请求时使用。图3.5为代理服务的结构及其数据控制和传输过程示意图。图3.5代理服务的结构及其数据控制和传输过程应用于网络安全的代理技术，也是要建立一个数据包的中转机制，并在数据的中转过程中，加入一些安全机制。被保护网络内部客户服务器客户代理访问控制代理服务器代理服务请求请求转发转发应答应答代理技术可以在不同的网络层次上进行。主要的实现层次在应用层和运输层，分别称为应用级代理和电路级代理。它们的工作原理有所不同。3.3.1应用级代理1.概述应用级代理没有通用的安全机制和安全规则描述，它们通用性差，对不同的应用具有很强的针对性和专用性。它们不但转发流量而且对应用层协议做出结实。图3.6为其示意图。显然，如果不为特定的应用程序安装代理程序代码，该服务是不会被支持的，不能建立任何连接。这种方式可以拒绝任何没有明确配置的连接，从而提供了额外的安全性和控制性。FTP代理TELNET代理HTTP代理POP代理SMTP代理DNS代理outininoutinoutoutininoutinout…外部客户内部服务器客户—代理连接代理—服务器连接外部内部图3.6应用级代理工作原理2.应用级代理的工作特点图3.7为应用级代理的基本工作过程。内部接口外部接口客户公共服务时间请求页URL检查请求页返回页返回页内容过滤图3.7应用级代理的基本工作过程下面介绍应用级代理的一些功能。（1）阻断路由与URL代理是通过侦听网络内部客户的服务请求，然后把这些请求发向外部网络。在这一过程中，代理要重新产生服务级请求。例如，一个Web客户向外部发出一个请求时，这个请求会被代理服务器“拦截”，再由代理服务器向目标服务器发出一个请求。服务协议（如HTTP）才可以通过代理服务器，而TCP/IP和其他低级协议不能通过，必须由代理服务器重新产生。因此外部主机与内部机器之间并不存在直接连接，从而可以防止传输层因源路由、分段和不同的服务拒绝造成的攻击，确保没有建立代理服务的协议不会被发送的外部网络。（2）隐藏客户应用级代理既可以隐藏内部IP地址，也可以给单个用户授权，即使攻击者盗用了一个合法的IP地址，也通不过严格的身份认证。因此应用级代理比数据包过滤具有更高的安全性。但是这种认证使得应用网关不透明，用户每次连接都要受到认证，这给用户带来许多不便。这种代理技术需要为每个应用写专门的程序。（3）安全监控代理服务是一种服务程序，它位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器；而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。3.3.2电路级代理1.电路级代理概述电路级代理即通常意义的代理服务器，它适用于多个协议，但不能解释应用协议，需要通过其他方式来获得信息，只对数据包进行转发。电路级代理也称电路级网关，其工作原理如图3.8所示。传输层网络层数据链路/物理层电路级网关TCP端口TCP端口图3.8电路级网关工作原理电路级网关依赖于TCP连接，并且只用来在两个通信端点之间转接，进行简单的字节复制式的数据包转接。数据包处理是要在应用层进行。电路级网关对外像一个代理，对内又像一个过滤器。这种特点使它可以为各种不同的协议提供服务。简单的电路级网关仅传输TCP的数据段，增强的电路级网关还具有认证作用。2.SOCKS代理技术SOCKS协议（套接字协议）是一个电路级网关协议。一个SOCKS代理主要由两部分组成：（1）SOCKS客户程序：经过修改的Internet客户程序，改造的目的是使运行客户程序的主机从与Internet通信改为与运行SOCKS代理的主机通信。（2）SOCKS服务程序：既可以Internet通信又可以和内部网络通信的程序。SOCKS代理的工作过程SOCKS代理的工作过程如下：对用户来说，受保护网与外部网的信息交换是透明的，感觉不到代理的存在，那是因为网络用户不需要登录到代理上。但是客户端的应用软件必须支持“SocketsifiedAPI”，受保护网络用户访问公共网所使用的IP地址也都是代理服务器的IP地址。1）当一个经过SOCKS化的客户程序要连接到Internet时，SOCKS就会截获这个这个连接，将之连接到运行SOCKS服务器的主机上。2）连接建立后，SOCKS客户程序发送如下信息： •版本号 •连接请求命令 •客户端端口号 •发起连接的用户名3）经过确认后，SOCKS服务器才与外部的服务器建立连接。3.4网络防火墙1.防火墙的概念在建筑群中，防火墙(FireWall)用来防止火灾蔓延。在计算机网络中，防火墙是设置在可信任的内部网络和不可信任的外界之间的一道屏障，来保护计算机网络的资源和用户的声誉,使一个网络不受来自另一个网络的攻击。2.防火墙的基本功能在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。作为一个中心“遏制点”，它可以将局域网的安全管理集中起来，屏蔽非法请求，防止跨权限访问并产生安全报警。具体地说，防火墙有以下一些功能：防火墙的一些功能（1）作为网络安全的屏障防火墙由一系列的软件和硬件设备组合而成，它保护网络中有明确闭合边界的一个网块。所有进出该网块的信息，都必须经过防火墙，将发现的可疑访问拒之门外。当然，防火墙也可以防止未经允许的访问进入外部网络。因此，防火墙的屏障作用是双向的，即进行内外网络之间的隔离，包括地址数据包过滤、代理和地址转换。（2）强化网络安全策略防火墙能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上，形成以防火墙为中心的安全方案。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。（3）对网络存取和访问进行监控审计审计是一种重要的安全措施，用以监控通信行为和完善安全策略，检查安全漏洞和错误配置，并对入侵者起到一定的威慑作用。报警机制是在通信违反相关策略以后，以多种方式如声音、邮件、电话、手机短信息及时报告给管理人员。防火墙的审计和报警机制在防火墙体系中是很重要的，只有有了审计和报警，管理人员才可能知道网络是否受到了攻击。另外，防火墙的该功能也有很大的发展空间，如日志的过滤、抽取、简化等等。日志还可以进行统计、分析、（按照特征）存储（在数据库中），稍加扩展便又是一个网络分析与查询模块。由于日志数据量比较大，主要通过两种方式解决，一种是将日志挂接在内网的一台专门存放日志的日志服务器上；一种是将日志直接存放在防火墙本身的存储器上。目前这两种方案国内（包括国外）都有使用。如果所有的访问都经过防火墙，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。收集一个网络的使用和误用情况也非常重要。这样可以对网络进行需求分析和威胁分析，清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。（4）远程管理管理界面一般完成对防火墙的配置、管理和监控。管理界面设计直接关系到防火墙的易用性和安全性。目前防火墙主要有两种远程管理界面：web界面和GUI界面。对于硬件防火墙，一般还有串口配置模块和或控制台控制界面。管理主机和防火墙之间的通信一般经过加密。国内比较普遍采用自定义协议、一次性口令进行管理主机与防火墙之间通信（适用GUI界面）。GUI界面可以设计的比较美观和方便，并且可以自定义协议，也为多数厂商使用。一般使用语言VB、VC，有部分厂家使用Java开发，并把此作为一个卖点（所谓跨平台）。Web界面也有厂商使用，然而由于防火墙因此要增加一个CGI解释部分，减少了防火墙的可靠性（GUI界面只需要一个简单的后台进程就可以），故应用不是太广泛。（5）防止攻击性故障蔓延和内部信息的泄露防火墙也能够将隔开网络中一个网块（也称网段）与另一个网块隔开，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。此外，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。（6）MAC与IP地址的绑定MAC与IP地址绑定起来，主要用于防止受控（不可访问外网）的内部用户通过更换IP地址访问外网。这其实是一个可有可无的功能。不过因为它实现起来太简单了，内部只需要两个命令就可以实现，所以绝大多数防火墙都提供了该功能。（7）流量控制（带宽管理）和统计分析、流量计费流量控制可以分为基于IP地址的控制和基于用户的控制。基于IP地址的控制是对通过防火墙各个网络接口的流量进行控制，基于用户的控制是通过用户登录来控制每个用户的流量，从而防止某些应用或用户占用过多的资源。并且通过流量控制可以保证重要用户和重要接口的连接。（8）其他特殊功能流量统计是建立在流量控制基础之上的。一般防火墙通过对基于IP、服务、时间、协议等等进行统计，并可以与管理界面实现挂接，实时或者以统计报表的形式输出结果。流量计费从而也是非常容易实现的。3.4.2网络防火墙构建与基本结构举例1.屏蔽路由器（ScreeningRouter）和屏蔽主机（ScreeningHost）防火墙最基本、也是最简单技术是数据包过滤。而过滤规则可以安装在路由器上，也可以安装在主机上。具有数据包过滤功能的路由器称为屏蔽路由器。具有数据包过滤功能的主机称为屏蔽主机。图3.9为包过滤防火墙的两种基本结构。防火墙外部网屏蔽路由器内部网图3.9路由过滤式防火墙路由器是内部网络与Internet连接的必要设备，是一种“天然”的防火墙，它除具有路由功能之外，还安装了分组/包过滤（数据包过滤或应用网关）软件，可以决定对到来的数据包是否要进行转发。这种防火墙实现方式相当简捷，效率较高,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但由于过滤路由器是在网关之上的包过滤，因此它允许被保护网络的多台主机与Internet的多台主机直接通信。这样，其危险性便分布在被保护网络内的全部主机以及允许访问的各种服务器上，随着服务的增加，网络的危险性也增加。其次，也是特别重要的一点是，这种网络由于仅靠单一的部件来保护系统，一旦部件被攻破，就再也没有任何设防了，并且当防火墙被攻破时几乎可以不留下任何痕迹，甚至难于发现已发生的攻击。它只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙，一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击。进一步说，由于数据包的源地址、目标地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒；并且数据包缺乏用户日志（log）和审计信息（audit），不具备登录和报告性能，不能进行审核管理，因而过滤规则的完整性难以验证，所以安全性较差。2.双宿主网关（DualHomedGateway）如图3.10所示，双宿主主机是一台有两块NIC的计算机，每一块NIC各有一个IP地址。所以它可以是NAT和代理两种安全机制。如果Internet上的一台计算机想与被保护网（Intranet）上的一个工作站通信，必须先行注册，与它能看到的IP地址联系；代理服务器软件通过另一块NIC启动到Intranet的连接。外部网双穴主机内部网图3.10双宿主机网关防火墙双宿主网关使用代理服务器简化了用户的访问过程，它将被保护网络与外界完全隔离，由域名系统的信息不会通过被保护系统传到外部，所以系统的名字和IP地址对Internet是隐蔽的，做到对用户全透明。由于该防火墙仍是由单机组成，没有安全冗余机制，一旦该“单失效点”出问题，网络将无安全可言。3.堡垒主机（BastionHost）堡垒主机有如下特性：（1）堡垒主机的概念·它是专门暴露在外部网络上的一台计算机，是被保护的内部网络在外网上的代表，并作为进入内部网的一个检查点。·它面对大量恶意攻击的风险，并且它的安全对于建立一个安全周边具有重要作用，因此必须强化对它的保护，使风险降至最小。·它通常提供公共服务，如邮件服务、WWW服务、FTP服务、WWW服务、DNS服务等。·堡垒主机与内部网络是隔离的。它不知道内部网络上的其他主机的任何系统细节，如内部主机的身份认证服务和正在运行的程序的细节。这样，对堡垒主机的攻击不会殃及内部网络。所以，堡垒主机是一个被强化的、被暴露在被保护网络外部的、可以预防进攻的计算机。（2）单连点堡垒主机过滤式防火墙单连点堡垒主机过滤式防火墙有图3.11所示的结构。它实现了网络层安全（包过滤）和应用层安全（代理），具有比单纯包过滤更高的安全等级。外部网过滤路由器内部网堡垒主机信息服务器专用网主机图3.11单连点堡垒主机过滤式防火墙在该系统中，堡垒主机被配置在过滤路由器的后方，并且过滤规则的配置使得外部主机只能访问堡垒主机，发往内部网的其他业务流则全部被阻塞。对于内部主机来说，由于内部主机和堡垒主机同在一个内部网络上，所以机构的安全策略可以决定内部系统允许直接访问外部网，还是要求使用配置在堡垒主机上的代理服务。当配置路由器的过滤规则，使其仅仅接收来自堡垒主机的内部业务流时，内部用户就不得不使用代理服务。主机过滤防火墙具有双重保护，从外网来的访问只能访问到堡垒主机，而不允许访问被保护网络的其他资源，有较高的安全可靠性。但是它要求考虑到堡垒主机和路由器两个方面的安全性。（3）双连点堡垒主机过滤式防火墙双连点堡垒主机过滤式防火墙有图3.12所示的结构。它比连点堡垒主机过滤式防火墙有更高的安全等级。由于堡垒主机具有两个网络接口，除了外部用户可以直接访问信息服务器外，外部用户发往内部网络的业务流和内部系统对外部网络的访问都不得不经过堡垒主机，以提高附加的安全性。外部网屏蔽路由器内部网堡垒主机信息服务器内部主机图3.12双连点堡垒主机过滤式防火墙在这种系统中，由于堡垒主机成为外部网络访问内部网络的唯一入口，所以对内部网络的可能安全威胁都集中到了堡垒主机上。因而对堡垒主机的保护强度，关系到整个内部网的安全。4.屏蔽子网（ScreenedSubnet）防火墙被保护网络和Internet之间设置一个独立的子网作为防火墙，就是子网过滤防火墙。具体的配置方法是在过滤主机的配置上再加上一个路由器，形成具有外部路由过滤器、内部路由过滤器、应用网关等三道防线的过滤子网，如图3.13所示。外部网堡垒主机信息服务器内部网内部路由器外部路由器DMZ图3.13子网过滤防火墙配置在子网过滤防火墙中，外部过滤路由器用于防范通常的外部攻击（如源地址欺骗和源路由攻击），并管理外部网到过滤子网的访问。外部系统只能访问到堡垒主机，通过堡垒主机向内部网传送数据包。内部过滤路由器管理过滤子网与内部网络之间的访问，内部系统只能访问到堡垒主机，通过堡垒主机向外部网发送数据包。简单地说，任何跨越子网的直接访问都是被严格禁止的。从而在两个路有器之间定义了一个“非军事区”（DemilitarizedZone，DMZ）。这种配置的防火墙具有最高的安全性，但是它要求的设备和软件模块较多，价格较贵且相当复杂。3.4.3网络防火墙的局限1.防火墙可能留有漏洞防火墙应当是不可渗透或绕过的。实际上，防火墙往往会留有漏洞。如图3.14所示，如果内部网络中有一个未加限制的拨出，内部网络用户就可以（用向ISP购买等方式）通过SLIP（SerialLineInternetProtocol,串行链路网际协议）或PPP（Pointer-to-Pointerprotocol，点到点协议）与ISP直接连接，从而饶过防火墙。Internet防火墙专用网安全漏洞ISP图3.14防火墙的漏洞防火墙可能留有的漏洞由于防火墙依赖于口令，所以防火墙不能防范黑客对口令的攻击。前不久，两个在校学生编了一个简单的程序，通过对波音公司的口令字的排列组合，试出了开启内部网的钥匙，从网中搞到了一张授权的波音公司的口令表，将口令一一出卖。所以美国马德里兰州的一家计算机安全咨询机构负责人诺尔·马切特说：“防火墙不过是一道较矮的篱笆墙”。黑客像耗子一样，能从这道篱笆墙上的窟窿中出入。这些窟窿常常是人们无意中留下来的，甚至包括一些对安全性有清醒认识的公司。例如，由于Web服务器通常处于防火墙体系之外，而有些公司随意扩展浏览器的功能，使之含有Applet编写工具。黑客们便可以利用这些工具钻空子，接管Web服务器，接着便可以从Web服务器出发溜过防火墙，大摇大摆地“回到”内部网中，好像他们是内部用户，刚刚出来办完事又返回去一样。2.防火墙不能防止内部出卖性攻击或内部误操作显然，当内部人员将敏感数据或文件拷贝在优盘等移动存储设备上提供给外部攻击者时，防火墙是无能为力的。此外，防火墙也不能防范黑客防火墙黑客有可能伪装成管理人员或新职工，以骗取没有防范心理的用户的口令或假用他们的临时访问权限实施的攻击。3.防火墙不能防止数据驱动式的攻击有些数据表面上看起来无害，可是当它们被邮寄或拷贝到内部网的主机中后，就可能会发起攻击，或为其他入侵准备好条件。这种攻击就称为数据驱动式攻击。防火墙无法御防这类攻击。3.5网络的物理隔离技术3.5.1物理隔离的概念1.问题的提出国家保密局2000年1月1日起实施的《计算机信息系统国际联网保密管理规定》第二章第六条要求：“涉及国家机密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连接，必须实行物理隔离。”2.关于物理隔离的定义和理解较早的用词为PhysicalDisconnection。Disconnection有使断开，切断，不连接的意思，直译为物理断开。这是在还没有解决涉密网与Internet连接后出现的很多安全问题的技术手段之前说法，在无可奈何的情况下，只有先断开再说。后来使用了词汇PhysicalSeparation。Separation有分开，分离，间隔和距离的意思，直译为物理分开。但是光分开不是办法，理智的策略应当是为该连即连，不该连则不连。为此要把该连的部分与不该连的部分分开。于是有了PhysicalIsolation。Isolation有孤立，隔离，封闭，绝缘的意思，直译为物理封闭。事实上，没有与Internet相连的系统不多，因此，希望能将一部分高安全性的网络隔离封闭起来。于是开始使用PhysicalGap。Gap有豁口，裂口，缺口和差异的意思，直译为物理隔离，意为通过制造物理的豁口，来达到隔离的目的。由于Physical这个词显得非常僵硬，于是有人用AirGap来代替PhysicalGap。AirGap意为空气豁口，很明显在物理上是隔开的。但有人不同意，理由是空气豁口就“物理隔离”了吗？电磁辐射，无线网络，卫星等都是空气豁口，却没有物理隔离，甚至连逻辑上都没有隔离。于是，E-Gap，Netgap，I-Gap等都出来了。现在，一般称GapTechnology，意为物理隔离，成为Internet上一个专用名词。物理隔离的内涵这也是一个随认识和技术进步不断发展的概念。2002年《国家信息化领导小组关于我国电子政务建设的指导意见》（13号文件）提出了“十五”期间，我国电子政务建设的主要任务之一是：“建设和整合统一的电子政务网络。为适应业务发展和安全保密的要求，有效遏制重复建设，要加快建设和整合统一的网络平台。电子政务网络由政务内网和政务外网构成，两网之间物理隔离，政务外网与Internet之间逻辑隔离。政务内网主要是副省级以上政务部门的办公网，与副省级以下政务部门的办公网物理隔离。政务外网是政府的业务专网，主要运行政务部门面向社会的专业性服务业务和不需在内网上运行的业务。要统一标准，利用统一平台，促进各个业务系统的互联互通、资源共享。要用一年左右的时间，基本形成统一的电子政务内外网络平台，在运行中逐步完善。”政务网在公网和外网之间实行逻辑隔离；简单地说，如图3.15所示，政务网应当跨越公网、外网和内部网。其安全要求是：公网t内部网外网逻辑隔离物理隔离图3.15电子政务的三网在内网和外网之间实行物理隔离。对物理隔离的理解对物理隔离的理解表现为以下几个方面：阻断网络的直接连接，即没有两个网络同时连在隔离设备上；阻断网络的Internet逻辑连接，即TCP/IP的协议必需被剥离，将原始数据通过P2P的非TCP/IP连接协议透过隔离设备传递；隔离设备的传输机制具有不可编程的特性，因此不具有感染的特性；任何数据都是通过两级移动代理的方式来完成，两级移动代理之间是物理隔离的；隔离设备具有审查的功能；隔离设备传输的原始数据，不具有攻击或对网络安全有害的特性。就像txt文本不会有病毒一样，也不会执行命令等。强大的管理和控制功能。隔离的内容从隔离的内容看，隔离分为网络隔离和数据隔离：数据隔离主要是指存储设备的隔离——一个存储设备不能被几个网络共享。网络隔离就是把被保护的网络从公开的、无边界的、自由的环境中独立出来。只有实现了两种隔离，才是真正意义上的物理隔离。3.逻辑隔离部件与物理隔离部件中华人民共和国公安部2001年12月24日发布（2002年5月1日实施）的《端设备部件安全技术要求》（GA370-2001）指出：（1）物理隔离部件的安全功能应保证被隔离的计算机资源不能被访问（至少应包括硬盘、软盘和光盘），计算机数据不能被重用（至少应包括内存）。（2）逻辑隔离部件的安全功能应保证被隔离的计算机资源不能被访问，只能进行隔离器内外的原始应用数据交换。（3）单向隔离部件的安全功能应保证被隔离的计算机资源不能被访问（至少应包括硬盘/硬盘分区、软盘和光盘），计算机数据不能被重用（至少应包括内存）。（4）逻辑隔离部件应保证其存在泄露网络资源的风险不得多于开发商的评估文档中所提及的内容。（5）逻辑隔离部件的安全功能应保证在进行数据交换时数据的完整性。（6）逻辑隔离部件的安全功能应保证隔离措施的可控性，隔离的安全策略应由用户进行控制，开发者必须提供可控方法。（7）单向隔离部件使数据流无法从专网流向外网，数据流能在指定存储区域从公网流向专网；对专网而言，能使用外网的某些指定的要导入的数据。隔离部件连接示意图图3.16为使用物理隔离部件和单向隔离部件进行连接的示意图。外网t专网存储设备公网存储设备计算机专网物理隔离部件t外网t交换存储设备公网存储设备计算机专网单向隔离部件t专网存储设备（a）用物理隔离部件连接（b）用单向隔离部件连接图3.16物理隔离部件和单向隔离部件的连接示意图4.物理隔离的技术路线1）网络开关（NetworkSwitcher）是比较容易理解的一种。在一个系统里安装两套虚拟系统和一个数据系统，数据被写入到一个虚拟系统，然后交换到数据系统，再交换到另一个虚拟系统。网络隔离就是把被保护的网络从公开的、无边界的、自由的环境中独立出来。2）实时交换（Real-timeSwitch）

，相当于在两个系统之间，共用一个交换设备，交换设备连接到网络A，得到数据，然后交换到网络B。3）单向连接（OneWayLink）

，指数据从低安全性的网络向高安全性的网络流动，如交换主机单向流动到发布主机,3.5.2网络物理隔离基本技术目前物理隔离技术主要在如下三个网络位置上实施：与此对应，实现网络物理隔离的技术主要有：网络安全隔离卡技术、安全集线器技术和单主板隔离计算机技术。1）客户端物理隔离：采用隔离卡使一台计算机既连接内网又连接外网，在两个网上分时地工作，在保证内外网络隔离的同时，资源节省、工作方便。2）集线器物理隔离：在集线器处的物理隔离常常要与客户端的物理隔离相结合，它可以使客户端使用一条网线由远端切换器连接双网，实现一台工作站连接两个网络的目的。3）服务器端物理隔离：它采用复杂的软硬件技术，实现在服务器端的数据过滤和传输，使内外网之间同一时刻没有连线，能快速、分时地传递数据。1.网络安全隔离卡技术网络安全隔离卡是一个硬件插卡，可以在物理上将计算机划分成两个独立的部分，每一部分都有自己的的“虚拟”硬盘；内部网络连接外部网络安全区公共区SP网络安全隔离卡图3.17网络安全隔离卡的工作方式网络安全隔离卡设置在PC最低层的物理部件上，卡的一边通过IDE总线连接主板，另一边连接IDE硬盘。PC机的硬盘被分割成两个物理区：·安全区，只与内部网络连接；·公共区，只与外部网络连接。如图3.17所示，网络安全隔离卡就像一个分接开关，在IDE硬件层上，由固件控制磁盘通道，任何时刻计算机只能与一个数据分区以及相应的网络连通。于是算机也因此被分为安全模式和公共模式，并且某一时刻只可以在一个模式下工作。两个模式转换时，所有的临时数据都会被彻底删除。两个状态各有自己独立的操作系统，并分别导入，保证两个硬盘不会同时被激活。两个分区不可以直接交换数据，但是可以通过专门设置的中间功能区进行，或通过设置的安全通道使数据由公共区向安全区转移（不可逆向）。·在安全状态时，主机只能使用硬盘的安全区与内部网连接，此时外部网是断开的，硬盘的公共区也是封闭的；·在公共状态时，主机只能使用硬盘的公共区与外网连接，此时与内网是断开的，且硬盘的安全区是封闭的。安全状态转换到公共环境时的操作 在安全区及内网连接状态下可以禁用软驱、光驱等移动存储设备，防止内部数据泄密。要转换到公共环境时，须进行如下操作：按正常方式退出操作系统； 这些操作是由网络安全隔离卡自动完成的。为了便于用户从Internet上下载数据，特设的硬盘数据交换区，通过读写控制只允许数据从外网分区向内网分区单向流动。关闭计算机；将安全硬盘转换为公共硬盘；将S/P开关转换到公共网络。2.隔离集线器技术如图3.18所示，网络安全集线器是一种多路开关切换设备。它与网络安全隔离卡配合使用，并通过对网络安全隔离卡上发出的特殊信号的检测，识别出所连接的计算机，自动将其网线切换到相应的网络的HUB上，从而实现多台独立的安全计算机与内、外两个网络的安全连接与自动切换。内网HUB外网HUB隔离集线器网络安全隔离卡安全区公共区控制信号图3.18网络安全集线器的工作原理3.单主板隔离计算机技术单主板隔离计算机技术的核心是双硬盘技术，它将内外网转换功能做入BIOS中，并将插槽也分为内网和外网。使用方便，也安全，价格介于双主机与隔离卡之间。这种安全计算机是在较低层的BIOS上开发的。BIOS提供信息发送和输出设备的控制，并在PC主板上形成两个各自独立的由网卡和硬盘构成的网络接入和信息存储环境，并只能在相应的网络环境下才能工作，不可能在一种环境下使用另一种环境下才能使用的设备，包括：·对软驱、光驱提供功能限制，在系