【正文】 SMTP服務(wù)器都有可能為其他服務(wù)器轉(zhuǎn)發(fā)郵件 ， 所以特別適合于進(jìn)行代理 。 要求用戶改變自己的行為 ， 或者在訪問代理服務(wù)的每個(gè)系統(tǒng)上安裝特殊的軟件 。即是在內(nèi)、外網(wǎng)絡(luò)主機(jī)之間建立 1個(gè)虛擬電路，進(jìn)行通信，相當(dāng)于在防火墻上直接開了個(gè)口子進(jìn)行傳輸 。例如 ， 許多 WWW 客戶服務(wù)軟件包就具有代理能力 。 網(wǎng)絡(luò)隔離技術(shù) 實(shí)現(xiàn)網(wǎng)絡(luò)隔離的最徹底的方法是安裝兩套網(wǎng)絡(luò)和計(jì)算機(jī)設(shè)備 ， 一套對應(yīng)內(nèi)部網(wǎng)絡(luò) ， 另一套連結(jié) Inter， 兩套網(wǎng)絡(luò)互相不干擾 。 網(wǎng)絡(luò)隔離技術(shù) 服務(wù)器端的物理隔離方式是通過復(fù)雜的 軟 、 硬件技術(shù)實(shí)現(xiàn)在服務(wù)器端的數(shù)據(jù)過濾和傳輸任務(wù) ， 其技術(shù)關(guān)鍵還是在同一時(shí)刻內(nèi)外網(wǎng)絡(luò)沒有物理上的數(shù)據(jù)連通 ， 但又快速分時(shí)地處理并傳遞數(shù)據(jù) 。 用戶在選擇硬盤的時(shí)候 ， 同時(shí)也選擇了該卡上所對應(yīng)的網(wǎng)絡(luò)接口 ， 連接到不同的網(wǎng)絡(luò) 。 因此系統(tǒng)的安全性有了極大提高 。 網(wǎng)絡(luò)隔離技術(shù) 網(wǎng)絡(luò)隔離的基本技術(shù) 做法： 利用 S1／ S2轉(zhuǎn)換開關(guān)進(jìn)行網(wǎng)絡(luò)轉(zhuǎn)換 ， 并利用可移動磁盤來存鍺數(shù)據(jù) 。 它很好地解決了接入網(wǎng)絡(luò)后局域網(wǎng)絡(luò)信息安全 、 系統(tǒng)安全 ，操作安全和環(huán)境安全等問題 ， 徹底實(shí)現(xiàn)了網(wǎng)絡(luò)的物理隔離 。對于 BIOS可由防寫跳線來防止病毒破壞 、 非法刷新或破壞以及改變 BIOS的控制特性 。 內(nèi)部網(wǎng)絡(luò) 內(nèi)部交換機(jī) 外部交換機(jī) 內(nèi)網(wǎng)文件服務(wù)器 外網(wǎng)文件服務(wù)器 安全集線器 本地硬盤 服務(wù)器硬盤 客戶端 客戶端 內(nèi)部網(wǎng)絡(luò) … 內(nèi)部服務(wù)器 客戶端 打印機(jī) 客戶端 客戶端 MODEM MODEM 隔離卡 隔離卡 網(wǎng)絡(luò)隔離技術(shù) 這種方案適合小型的單網(wǎng)結(jié)構(gòu)的局域網(wǎng)。 將能夠在本機(jī)實(shí)現(xiàn)對 IP站點(diǎn)、端口、 DNS服務(wù)屏蔽，實(shí)現(xiàn)防 火墻功能。 網(wǎng)絡(luò)隔離技術(shù) 小結(jié) 本章重點(diǎn)介紹訪問控制技術(shù)、防火墻技術(shù)及網(wǎng)絡(luò)隔離技術(shù)的基本概念、作用、分類、基本原理、防火墻的組成以及基本實(shí)現(xiàn)技術(shù)等。 工作原理 ：當(dāng)服務(wù)器和外網(wǎng)連接時(shí)內(nèi)網(wǎng)斷開 ， 需要向內(nèi)網(wǎng)傳送的外網(wǎng)數(shù)據(jù)被傳送到轉(zhuǎn)發(fā)服務(wù)器中 ， 在轉(zhuǎn)發(fā)服務(wù)器內(nèi)進(jìn)行信息過濾 ， 然后轉(zhuǎn)發(fā)服務(wù)器斷開外網(wǎng)與內(nèi)網(wǎng)連接 ，將存儲的外網(wǎng)數(shù)據(jù)傳送到網(wǎng)絡(luò)服務(wù)中 。 雙向端口包括打印機(jī)接口 (并行接口 )、 串行接口 、 USB接口 、 MIDI接口 。 網(wǎng)絡(luò)隔離技術(shù) 網(wǎng)絡(luò)隔離的基本技術(shù) 網(wǎng)絡(luò)隔離技術(shù) 網(wǎng)絡(luò)隔離的基本技術(shù) 外網(wǎng) 內(nèi)網(wǎng) 是指采用徹底實(shí)現(xiàn)內(nèi)外網(wǎng)物理隔離的個(gè)人計(jì)算機(jī) ， 這種雙網(wǎng)計(jì)算機(jī)的成本僅僅增加了 25％ 左右 ， 并且由于這種雙網(wǎng)計(jì)算機(jī)是在較低層的 BIOS上開發(fā)的 。這些分區(qū)容量可以由用戶指定。 該類產(chǎn)品能有效地利用用戶現(xiàn)有的單網(wǎng)線網(wǎng)絡(luò)環(huán)境 ， 實(shí)現(xiàn)成本較低 。 這一代產(chǎn)品客戶端的成本很高 ， 并且要求網(wǎng)絡(luò)布線為雙間線結(jié)構(gòu) ，技術(shù)水平相對簡單 ， 目前的用戶已經(jīng)不多 。 網(wǎng)絡(luò)隔離技術(shù) 集線器級的物理隔離方式需要與客戶端的物理隔離產(chǎn)品結(jié)合起來應(yīng)用 。 防火墻技術(shù) 盡管廣泛地采用如防火墻 、 代理服務(wù)器 、 入侵檢測機(jī)制 ， 通道控制機(jī)制等安全技術(shù) ， 但是由于這些技術(shù)基本都是一種邏輯機(jī)制 ， 這對于邏輯實(shí)體 （ 即黑客或內(nèi)部用戶 ）而言 ， 是可能被操縱的 ， 具有技術(shù)的極端復(fù)雜性與有限性 ，無法滿足某些組織 (如軍隊(duì) 、 軍工 、 政府 、 金融 ． 研究院 、電信以及企業(yè) )提出的高度信息安全的要求 ， 由此產(chǎn)生了物理隔離技術(shù) 。 內(nèi)部防火墻 防火墻技術(shù) 防火墻技術(shù)向著混合使用包過濾技術(shù) 、 代理服務(wù)技術(shù)和其它一些新技術(shù)方向發(fā)展 。安全功能體現(xiàn)在決定哪些連接是允許的。 防火墻技術(shù) （ 1） 代理服務(wù)器特點(diǎn) 缺點(diǎn)： 是每個(gè)連接上增加了額外的處理負(fù)載 。 攻擊者即使攻破了外部的郵件系統(tǒng) ， 也仍然被內(nèi)部路由器所阻擋 ， 無法通過 SMTP連接攻擊內(nèi)部系統(tǒng) 。許多路由對欺騙性攻擊很脆弱。 2） 源站選路攻擊 源站說明了分組穿過 Inter應(yīng)該采用的路由 ， 希望可以繞過不對源路由選擇信息進(jìn)行分析的安全檢查 。 一旦建立連接 ， 另一方發(fā)送的確認(rèn)報(bào)文段中的 TCP報(bào)文段的 ACK標(biāo)記會被置位 。 防火墻技術(shù) 動作 我們的主機(jī) 端口 他們的主機(jī) 端口 注釋 阻塞 ＊ ＊ SPIGOT * 我們不相信這些人 允許 OURGW 25 ＊ ＊ 連接到我們的 SMTP端口 （ 1） 過濾規(guī)則 表 56 表 56所示的規(guī)則顯式說明是默認(rèn)策略。如果和任何規(guī)則都不能匹配，那就采取一個(gè)默認(rèn)動作。 分組過濾路由器對每個(gè)進(jìn)入的 IP分組使用一個(gè)規(guī)則集合 ， 然后轉(zhuǎn)發(fā)或者丟棄該分組 。通信接口支配著控制裝置，允許內(nèi)部與外部網(wǎng)絡(luò)之間建立連接。 實(shí)際上外部路由器能有效地執(zhí)行的安全任務(wù)之一是：阻止從 Inter上偽造源地址進(jìn)來的任何數(shù)據(jù)包 。 內(nèi)部路由器為用戶的防火墻執(zhí)行大部分的數(shù)據(jù)包過濾工作 。 堡壘主機(jī)是一個(gè)組織的網(wǎng)絡(luò)安全的中心主機(jī) 。 用兩個(gè)分組過濾路由器和一個(gè)堡壘主機(jī) ， 在內(nèi)部網(wǎng)絡(luò)與 Inter之間有一個(gè)小型的獨(dú)立網(wǎng)絡(luò) ， 即通過添加周邊網(wǎng)絡(luò)更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與 Inter隔離開， 如圖所示 。 如果路由意外地設(shè)有配置 ， 且 IP轉(zhuǎn)發(fā)允許 ， 那么雙宿主防火墻的應(yīng)用層功能就可能被越過 。 類似的 ， 主機(jī) B可以訪問雙宿主機(jī)上的應(yīng)用程序 B。 防火墻概述 防火墻技術(shù) 防火墻系統(tǒng)的體系結(jié)構(gòu)可以說成為夠成防火墻系統(tǒng)的拓?fù)浣Y(jié)構(gòu) 。 防火墻可以禁止系統(tǒng)用戶經(jīng)過網(wǎng)絡(luò)連接發(fā)送專有的信息 ， 但用戶可以將數(shù)據(jù)復(fù)制到磁盤 、 磁帶上 ， 放在 公文包中帶出去 。 因此 ， 網(wǎng)點(diǎn)系統(tǒng)名字和 IP地址都不要提供給 Inter。 ? 將不安全網(wǎng)絡(luò)轉(zhuǎn)變成安全網(wǎng)絡(luò) 。它是通過在網(wǎng)絡(luò)邊界上建立起來的相應(yīng)網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)，以確定哪些內(nèi)部服務(wù)允許外部訪問，以及允許哪些外部服務(wù)訪問內(nèi)部服務(wù)，阻擋外部網(wǎng)絡(luò)的入侵。 在任一時(shí)刻 ， 很難確定整個(gè)系統(tǒng)所有的用戶的訪問控制情況 。當(dāng)用戶對信息的需求發(fā)生變化時(shí)，只能由這個(gè)管理者改變用戶的訪問權(quán)限。訪問能力方案的實(shí)施主要依賴于在系統(tǒng)間所采用的安全傳遞能力。然而，訪問能力適合于聯(lián)系相對少的目標(biāo)，并且對發(fā)起者訪問控制決策容易實(shí)現(xiàn)的情況。 訪問控制技術(shù) 主機(jī)訪問控制的基本方案 身份 類型 允許權(quán)限 拒絕 權(quán)限 時(shí)間限制 位置 限制 用戶 A 個(gè)人 讀、寫、管理 用戶 B 組 讀 用戶 C 角色 寫、 管理 用戶 D 組 讀、寫 管理 8： 0020：00 本地 終端 表 53 訪問控制列表示例 訪問控制技術(shù) 主機(jī)訪問控制的基本方案 訪問控制列表最適合于有相對少的需要補(bǔ)區(qū)分的用戶，并且這些用戶中的絕大多數(shù)是穩(wěn)定的情況。 這些授權(quán)對于主體可表示為訪問權(quán)限 ， 對于客體可表示為訪問模式 。 (3)具有提供最小權(quán)限的能力 ， 由于可以按照角色的具體要求來定義對客體的訪問權(quán)限 ， 因此具有針對性 ， 不出現(xiàn)多余的訪問權(quán)限 ， 從而降低了不安全性 。用戶的訪問權(quán)限也類似定義，即擁有相應(yīng)權(quán)限的用戶可以訪問對應(yīng)安全級別的數(shù)據(jù)，從而避免了自主訪問控制方法中出現(xiàn)的訪問傳遞問題。 這種方法能夠控制主體對客體的直接訪問，但不能控制主體對客體的間接訪問 (利用訪問的傳遞性，即 A可訪問B， B可訪問 C，于是 A可訪問 C)。傳統(tǒng)的訪問控制模型包括一組由操作規(guī)則定義的基本操作狀態(tài) 。這樣兩個(gè)控制協(xié)同工作能夠強(qiáng)化整個(gè)控制環(huán)境。 訪問控制定義 訪問控制技術(shù) 安全控制包括六種類型的主要控制手段：其功能為： （ 1） 防御型控制 用于阻止不良事件的發(fā)生 。 這樣 ， 控制就成為適當(dāng)?shù)墓芾碛?jì)劃 、 組織和指導(dǎo)的必然結(jié)果 。 本章學(xué)習(xí)目標(biāo) 訪問控制技術(shù) 訪問 是使信息在 主體和對象 間流動的一種交互方式 。 客體 （ Object） 是指包含或接受信息的被動實(shí)體 。 例如 ， 人是主體 ， 文件是客體 。 （ 4） 管理型控制 用于管理系統(tǒng)的開發(fā) 、 維護(hù)和使用 ，針對系統(tǒng)的策略 、 規(guī)程 、 行為規(guī)范 、 個(gè)人的角色和義務(wù) 、個(gè)人職能和人事安全決策 。資源可以包括物理實(shí)體如打印機(jī)、盤庫、路由器和邏輯實(shí)體如用戶和用戶組。 對象包括終端 、 文本和文件 ， 系統(tǒng)用戶和程序被定義為主體 。 主機(jī)訪問控制模型 訪問控制技術(shù) 訪問控制 （ MACMandatory Access Control） 強(qiáng)制訪問控制是一種不允許主體干涉的訪問控制類型 。這個(gè)作用（即角色rule）可被定義為與一個(gè)特定活動相關(guān)聯(lián)的一組動作和責(zé)任。 非任意訪問控制（ nondiscretionary access control）是為滿足安全策略和目標(biāo)而采用的一系列集中管理的控制手段。即每一個(gè)訪問控制列表（ ACLAccess Control List）是客體（目標(biāo)對象）的屬性表，它給定每個(gè)主體（用戶）對給定的目標(biāo)的訪問權(quán)限，即一系列實(shí)體及其對資源的訪問權(quán)限的列表。 每個(gè)主體對應(yīng)有一個(gè)訪問能力表 ， 指出對各個(gè)客體的訪問權(quán)限 。 訪問控制技術(shù) 主機(jī)訪問控制的基本方案 訪問控制技術(shù) 主機(jī)訪問控制的基本方案 授權(quán)關(guān)系 (Authorization relations)這種方案是 ACL與 CL的 結(jié)合，使用關(guān)系來表示訪問矩陣。 雖然不一定需要對每一個(gè)用戶設(shè)定具體的訪問權(quán)限 ， 但是訪問控制管理依然需要大量復(fù)雜和艱巨的工作 。因?yàn)楣芾碚咻^少，所以整個(gè)過程和執(zhí)行標(biāo)準(zhǔn)的一致性就比較容易達(dá)到。 訪問控制技術(shù) 混合式管理是集中式管理和分布式管理的結(jié)合 。 這樣的設(shè)備通常是單獨(dú)的計(jì)算機(jī) ， 路由器或防火墻盒 （ 專有硬件設(shè)備 ） 。 （ 2） 網(wǎng)絡(luò)日志及使用統(tǒng)計(jì) 因?yàn)榉阑饓κ撬羞M(jìn)出信息必須通路 ， 所以防火墻非常適用收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息 。 防火墻概述 防火墻技術(shù) 防火墻概述 防火墻技術(shù) 安全操作系統(tǒng) 網(wǎng)關(guān) 認(rèn)證 socks Email處理 代理 認(rèn)證 域名服務(wù) 過濾器 專 用網(wǎng) Inter 防火墻概述 防火墻技術(shù) 防火墻由安全操作系統(tǒng) 過濾器：過濾器（ filter）阻止某一類別的流量 網(wǎng)關(guān) 域名服務(wù) Email處理等部分組件構(gòu)成，如圖 56所示。 如果用網(wǎng)中有些資源繞過防火墻直接與 Inter連通 ， 則得不到防火墻的保護(hù) 。 防火