GB T 25068.3-2010 信息技术 安全技术 IT网络安全 第3部分：使用安全网关的网间通信安全保护.pdf

《GB T 25068.3-2010 信息技术 安全技术 IT网络安全 第3部分：使用安全网关的网间通信安全保护.pdf》由会员分享，可在线阅读，更多相关《GB T 25068.3-2010 信息技术 安全技术 IT网络安全 第3部分：使用安全网关的网间通信安全保护.pdf（24页珍藏版）》请在麦多课文档分享上搜索。

1、ICS 35.020 L 80 道B中华人民圭t、和国国家标准GB/T 25068.3-201 O/ISO/IEC 18028-3: 2005 信息技术安全技术IT网络安全第3部分:使用安全网关的网间通信安全保护Information technology-Security techniques-IT network security一Part 3: Securing communications between networks using security gateways (ISO/IEC 18028-3: 2005 , IDT) 2010-09-02发布量t伺防伪/中华人民共和国国家质

2、量监督检验检疫总局中国国家标准化管理委员会2011-02-01实施发布GB/T 25068. 3-201 O/ISO/IEC 18028-3: 2005 目次前言.皿引言.N 1 范围-2 规范性引用文件-3 术语和定义4 缩略语.3 5 安全要求.4 6 安全网关技术.4 6.1 包过滤46.2 状态包检测6.3 应用代理-6.4 网络地址转换(NAT)6.5 内容分析和过滤7 安全网关组件.6 7.1 交换机.67.2 路由器.6 7.3 应用级网关.6 7.4 安全装置.7 8 安全网关体系结构.8.1 结构化方法.8.2 层次化方法.10 9 选择和配置指南9.1 安全网关体系结构和适

3、当组件的选择.9.2 硬件和软件平台.14 9.3 配置149.4 安全特点和设置. . 14 9.5 常规管理.15 9.6 日志159.7 文档化.9.8 审计.9.9 培训和教育.9. 10 其他参考文献.17 I G/T 25068. 3-201 O/ISO/IEC 18028-3: 2005 前言GB/T 25068在信息技术安全技术IT网络安全总标题下，拟由以下5个部分组成:一第1部分:网络安全管理F一一第2部分:网络安全体系结构;第3部分z使用安全网关的网间通信安全保护z第4部分:远程接人的安全保护;一一第5部分:使用虚拟专用网的跨网通信安全保护。本部分为GB/T25068的第3

4、部分。本部分使用翻译法等同采用国际标准ISO/IEC18028-3 :2005(信息技术安全技术IT网络安全第3部分:使用安全网关的网间通信安全保护)(英文版)。根据GB/T1. 1-2000的规定，做了如下一些编辑性修改=一一第2章中增加了引用文件ISO/IECTR 15947; 一一在3.6中对内容过滤加以说明，并在6.5中补充了内容过滤的内容关键宇过滤，为今后技术发展预留了空间;一一删除了第4章中缩略语S/MIME英文名称中的protocol，以与GB/T25068. 4-2010中2.34定义的同一术语S/MIME统一。另外，增加了一些缩略语，增加的缩略语在所在页边的空白处用单竖线1标

5、出。本部分由全国信息安全标准化技术委员会(TC260)提出并归口。本部分起草单位:黑龙江省电子信息产品监督检验院、中国电子技术标准化研究所、哈尔滨工程大学、北京励方华业技术有限公司、山东省标准化研究院。本部分主要起草人:王希忠、张国印、李健利、王向辉、黄俊强、马遥、方舟、王大萌、树彬、张清江、王智、许玉娜、刘亚东、邱意民、王运福。阳山GB/T 25068. 3-201 O/ISO/IEC 18028-3: 2005 引通信和信息技术业界一直在寻找经济有效的全面安全解决方案。安全的网络应受到保护，免遭恶意和元意的攻击，并且应满足业务对信息和服务的保密性、完整性、可用性、抗抵赖、可核查性、真实性和

6、可靠性的要求。保护网络安全对于适当维护计费或使用信息的准确性也是必要的。产品的安全保护能力对于全网的安全(包括应用和服务)是至关重要的。然而，当更多的产品被组合起来以提供整体解决方案时，互操作性的优劣将决定这种解决方案的成功与否。安全不仅是对每种产品或服务的关注，还必须以促进全面的端到端安全解决方案中各种安全能力交合的方式来开发。因此，GB/T25068的目的是为IT网络的管理、操作和使用及其互连等安全方面提供详细指南。组织中负责一般IT安全和特定IT网络安全的人员应能够调整GB/T25068中的材料以满足他们的特定要求。GB/T25068的主要目标如下:一-GB/T25068. 1定义和描述

7、网络安全的相关概念，并提供网络安全管理指南一一包括考虑如何识别和分析与通信相关的因素以确立网络安全要求，还介绍可能的控制领域和特定的技术领域(在GB/T25068的后续部分中涉及); 一-GB/T25068. 2定义一个标准的安全体系结构，它描述一个支持规划、设计和实施网络安全的一致框架;一-GB/T25068. 3定义使用安全网关保护网络间信息流安全的技术;一一GB/T25068:. 4定义保护远程接入安全的技术;一-GB/T25068. 5定义对使用虚拟专用网(VPN)建立的网络间连接进行安全保护的技术。GB/T 25068. 1与捞及拥有、操作或使用网络的所有人员相关。除了对信息安全OS

8、)和/或网络安全及网络操作负有特定责任的，或对组织的全面安全规划和安全策略开发负有责任的管理者和管理员外，还包括高级管理者和其他非技术性管理者或用户。GB/T 25068. 2与涉及规划、设计和实施网络安全体系结构方面的所有人员(例如IT网络管理者、管理员、工程师和IT网络安全主管)相关。GB/T 25068. 3与涉及详细规划、设计和实施安全网关的所有人员(例如IT网络管理者、管理员、工程师和IT网络安全主管相关。GB/T 25068. 4与涉及详细规划、设计和实施远程接人安全的所有人员(例如IT网络管理者、管理员、工程师和IT网络安全主管)相关。GB/T 25068. 5与涉及详细规划、设

9、计和实施VPN安全的所有人员(例如IT网络管理者、管理员、工程师和IT网络安全主管)相关。N GB/T 25068. 3-201 O/ISO/IEC 18028-3: 2005 1 范围信息技术安全技术IT网络安全第3部分:使用安全网关的网间通信安全保护GB/T 25068的本部分规定了各种安全网关技术、组件和各种类型的安全网关体系结构。它还提供安全网关的选择和配置指南。尽管个人防火墙使用类似的技术，但因为它不作为安全网关使用，所以它不在本部分的范围之内。本部分适用于技术和管理人员，例如IT管理者、系统管理员、网络管理员和IT安全人员。本部分提供的指南有助于用户正确地选择最能满足其安全要求的安

10、全网关体系结构类型。2 规范性引用文件下列文件中的条款通过GB/T25068的本部分的引用而成为本部分的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分，然而，鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本部分。GB/ T 25068. 4信息技术安全技术IT网络安全第4部分:远程接入的安全保护(GB/T25068. 4-2010 ,ISO/IEC 18028-4: 2005 , IDT) ISO/IEC TR 15947 信息技术安全技术IT入侵检测框架3 术语和定义下列术语和定义适用于本部分

11、。3. 1 报警alert 即时指示信息系统和网络可能受到攻击或因意外事件、故障或人为错误而处于危险之中。3.2 攻击者attacker 故意利用技术性和非技术性安全控制措施的脆弱性，以窃取或损害信息系统和网络，或者损害合法用户对信息系统和网络资源可用性的任何个人。3.3 3.4 3.5 审计audit 依照期望对事实进行的正规调查、正规检验或验证，以确认它们之间的符合性和一致性。审计日志audit logging 为了评审和分析以及持续监视而收集有关信息安全事态的数据。非军事区demilitarised zone;DMZ 插在网络之间作为中立区的安全主机或小型网络(也称为屏蔽子网或边界网络)

12、。注z它形成一个安全缓冲区，1 GB/T 25068. 3-201 O/ISO/IEC 18028-3: 2005 3.6 过滤filtering 根据指定的准则，接受或拒绝数据流通过网络的过程。注:内容过滤是对网络内容进行监控，防止某些特定内容在网络上进行传输的技术，如关键字过滤。3. 7 防火墙firewall 设置在网络环境之间的一种安全屏障。它由一台专用设备或若干组件和技术的组合组成。网络环境之间两个方向的所有通信流均通过防火墙，并且只有按照本地安全策略定义的、已授权的通信流才允许通过。3.8 3.9 信息安全事件information security incident 单独的或一系

13、列有害或意外的信息安全事态，它们极有可能危害业务运作和威胁信息安全。注:见GB!Z20985. 信息安全事件管理informationsecurity incident management 响应和处理信息安全事态和事件的正规过程。注:见GB!Z20985. 3. 10 入侵intrusion 对网络或连接到网络的系统的未授权访问，即对信息系统进行有意或元意的未授权访问，包括针对信息系统的恶意活动或对信息系统内资源的未授权使用。3. 11 入侵检测intrnsio,n detection 检测入侵的正规过程，其一般特征为采集如下知识:异常使用模式，以及已被利用的脆弱性的类型和利用方式(包括何时

14、发生及如何发生)。3. 12 入僵检测系统inttusion detection system; IDS 用于识别某一入侵已被尝试、正在发生或已经发生，并可能对IT系统和网络中的入侵做出响应的技术系统。3. 13 3. 14 端口(1)port( 1) 连接的端点。揣口(2)port(2) TCP或UDP连接的互联网协议逻辑信道端点。注2基于TCP或UDP的应用协议通常分配默认端口号，例如.HTTP协议的端口80.3. 15 2 隐私privacy 每个人都享有的不公开处理他/她的私人和家庭生活、居所和通信的权利。注z隐私不得受到当局干涉，而在依照法律，且对于国家安全、公共安全或国家经济稳定，

15、或者对于防止动乱或犯罪、保护健康或道德，或者对于保护他人的权利和自由有必要时除外。GB/T 25068. 3-201 O/ISO/IEC 18028-3: 2005 3. 16 远程接入remote access 从另一网络或从一个正在访问但非永久连接到网络的终端设备来访问网络资源的过程。3. 17 路由器router 通过基于路由协议机制和算法选择路径或路由，来建立和控制不同网络之间数据流的网络设备。其自身能基于不同的网络协议。注:路由信息被保存在路由表中。3. 18 安全维security dimension 为处理特定网络安全方面而设计的安全控制措施集。注2安全维的详细描述见GB/T25

16、068. 2. 3. 19 安全域security domain 遵从于共同安全策略的资产和资源的集合。3.20 安全网关security gateway 网络之间或网络内子部分之间或不同安全域内的软件应用之间的连接点，旨在按照给定的安全策略保护网络。注z安全网关不仅包括防火墙，而且还包括可提供访问控制和加密(可选)功能的路由器和交换机。3.21 欺骗spoofing 假冒成合法的资源或用户。3.22 交换机switch 利用内部交换机制来提供联网设备之间连通性的设备。注1:交换机不同于其他局域网互联设备(例如集线器)，其原因是交换机中使用的技术是在点对点的基础上建立连接。这就确保网络通信流只

17、对有地址的网络设备可见，并使几个连接能够并存。注2:交换技术能在OSI参考模型(GB/T9387. 1)的第2层或第3层实现。3.23 虚拟专用网virtual private network 利用物理网络的系统资源而构建的限制性使用的逻辑计算机网络，例如，使用加密技术和/或虚拟网络的隧道链接来跨越真实网络。4 缩略语API 应用程序接口(ApplicationProgram Interface) BGP 边界网关协议(BorderGateway Protocol) DLL 动态链接库(DynamicLink Library) ICMP 互联网控制报文协议(lnternetControl Me

18、ssage Protocol) IDP 人侵检测防护(lntrusionDetection Prevention) IT 信息技术(lnformation Technology) NFS 网络文件传输(NetworkFile Transfer) NIS 网络信息系统(NetworkInformation System) 3 GB/T 25068. 3一2010/ISO/IEC18028-3: 2005 NNTP NTP OSPF RIP RPC SHTTP SOAP S/MIME SPAN TCP-SYN V.35 VLAN VPN WAIS X.ll XML 5 安全要求网络新闻传输协议(N

19、etworkNews Transfer Protocol) 网络时间协议(NetworkTime Protocol) 开放式最短路径优先(OpenShortest Path First) 路由信息协议(RoutingInformation Protocol) 远程过程调用(RemoteProcedure Call) 安全超文本传输协议(SecureHypertext Transfer Protocol) 简单对象访问协议(SimpleObject Access Protocol) 安全多用途互联网邮件扩展(SecureMultipurpose Internet Mail Extensions)

20、 交换端口分析器(SwitchedPort Analyzer) 传输控制协议，同步(TransmissionControl Protocol, SYNchronisation) 高速同步数据交换协议(high-speedsynchronous data exchange protocol) 虚拟局域网(VirtualLocal Area Network) 虚拟专用网(VirtualPrivate Network) 广域信息服务(WideArea Information Service) 图形用户界面协议(graphicaluser interface protocol) 可扩展置标语言(Ext

21、ensibleMark-up Language) 按照文档化的安全策略，安全网关的适当部署宜保护组织的内部系统，并安全地管理和控制通过它的通信流。安全网关控制对网络(OSI模型第2，3和4层)或应用(OSI模型第4层至第7层)的访问。包含防火墙在内的安全网关实例用于保护z 内部组织网络免受来自互联网的威胁z 两个内部组织网络免受彼此之间的威胁p 内部组织网络免受来自外部组织网络的威胁。安全网关用于满足以下安全要求: 分隔逻辑网络; 对逻辑网络之间流经信息提供限制和分析功能; 通过连接检测或所选应用上的代理操作来提供对出人组织网络的访问进行控制的手段; 提供可控可管的网络单一进入点z 强化组织对

22、网络连接的安全策略; 提供日志的单一记录点; 提供网络地址转换以隐藏内部网络; 提供端口映射(包括动态端口开启)和应用级攻击检测与保护(包括内容过滤)。6 安全网关技术从简单的包过滤开始，安全网关中所使用的更多技术方法已逐渐发展到包括诸如应用代理和状态包检测之类的技术。此外，网络地址转换和内容过滤也在本章介绍，因为这些技术经常与安全网关结合使用。6. 1 包过滤包过滤是指通过将每个人站包或出站包的包头信息与访问控制规则列表进行比较，确定阻止或放行网络通信流。这种过滤设备在每个包进入时单独查看其包头，并将源和目的的IP地址及端口与其规则库进行比较。如果其地址和端口信息是许可的，则该包进而直接穿越

23、防火墙到达目的地。如果包未4 GB/T 25068. 3一2010/ISO/IEC18028-3: 2005 通过该测试，它就被丢弃。可以选择性地检查IP包，以确认2台主机或2个网络之间的数据流是否应允许通过。决定允许或拒绝这种数据流通过所依据的准则包括: IP源地址3 IP目的地址; 协议(例如TCP、UDP，ICMP); 源端口; 目的端口; 通信方向(入站、出站)。包过滤网关速度快，是因为它运行在网络层和传输层，且仅对给定连接的有效性进行粗略的检查。6.2 状态包检测基于包过滤技术，状态包检测方法增加了更多的安全检查，以便模拟应用代理防火墙的安全检查。状态包检测防火墙在网络层截取入站包直

24、到它具有足够的信息来对上层尝试连接的状态作出某种判定，而不是简单地单独查看每个人站包的地址。然后这些包在置于操作系统内核的专有检测模块中被检测。安全判定所需的状态相关信息在这种检测模块中被检验，并被保留在动态状态表中用于评测后续的连接尝试。被清理过的包便被转发到防火墙之内，允许内部系统和外部系统之间直接联系。因为大多数检验发生在内核，所以状态包检测防火墙经常比应用代理防火墙快。尽管状态包检测方法已显著增强了简单包过滤防火墙的安全，但是，在需要将包收集到诸如URL或文件之类较大单元时，它不能对其进行安全检查。尽管如此，它必须在没有协议枝应用层信息的情况下能像应用代理那样做出安全决定。具有状态检测

25、功能的包过滤仍允许外部用户直接访问业务应用程序和系统，这些业务应用程序和系统很可能安装了配置不当、具有众所周知的安全脆弱性的操作系统。应用代理通过将对应用程序或计算机系统的访问限制在其代理自身内可识别任务的有限集内，来规避这些脆弱性。6.3 应用代理应用代理方法提供较高级的安全控制，因为它通过检验协议战最高层的所有信息，对尝试连接提供应用级感知。因为应用代理服务在应用层是完全可见的，因此它能容易地预先看到每个尝试连接的各个细节，再实施相应的安全策略。应用代理服务的特点还包括内置的代理功能一一在应用网关处终止客户端连接，并发起一个到受保护的内部网络的新连接。这种代理机制提供增强的安全，因为它将外

26、部系统与内部系统相隔离，从而使得外部黑客更难以利用系统内部的脆弱性。使用应用代理的安全网关提供最强大的安全，其唯一的缺点是:增强的安全能对其性能有负面影响。而且，对于新的服务，常常要花费时间才能使代理对此服务可用。6.4 网络地址转换(NAT)网络地址转换(NAT)技术的特征之一是它能够隐藏防火墙环境之内的网络编址方案。通过网络地址转换，内部网络上一个系统的IP地址被映射到一个不同的、对应外部的、可路由的IP地址。防火墙之内的许多系统也有可能共享同一个外部IP地址。外部用户仍可通过向某些端口号上的内连接转发来访问防火墙之内的资源。网络地址转换能在大多数网络设备(交换机、路由器以及堡垒主机或防火

27、墙)上实施。6.5 内容分析和过滤具有应用级代理的安全网关也经常实施内容分析和过滤。内容过滤包括关键字过滤、抵御恶意代码(如病毒、蠕虫和特洛伊木马)以及那些能够损害网络、应用程序和数据的移动代码(如Java、JavaScript、ActiveX或任何其他可执行代码)。由于大多数这种恶意代码是通过电子邮件或基于HTTP通信(例如从Web站点或FTP站点的下载)在互联网上散布的，所以应在安全网关和互联网的接口处启动保护。因此，病毒扫描器或更通用的5 GB/T 25068. 3-201 O/ISO/IEC 18028-3: 2005 内容扫描器被加到了屏蔽子网或非军事区(DMZ)。在大多数的安装中，

28、内容扫描器直接与具有网络接口的防火墙链接，以便基于SMTP的电子邮件通信流和基于HTTP的通信被传输到内容过滤扫描器中。内容分析的主要技术如下z 基于特征码的扫描(搜索已知模式); 研究性的分析(分析功能代码和己知与恶意代码相关的行为); 沙箱技术(本质上是一个内容监视程序，它把可疑代码隔离在沙箱中)。由于内容扫描与入侵检测(特别是基于网络的入侵检测)之间的差别很小，通过在防火墙设备上实施IDS代理还可使入侵检测系统(IDS)与防火墙相结合。见ISO/IECTR 15947 :2002。注:入侵检测系统的选择、部署和操作是ISO/IEC18043的主题。内容过滤技术也有一定的局限性。如果数据在

29、传输层或应用层上被加密(例如SSL/TLS或S/MIME) ，就不再可能进行内容筛选，除非在防火墙上将加密数据解密，然后再重新加密。注意，这可能造成诸如中间人攻击之类的安全威胁。对内容扫描及过滤有一些法律限制，尤其是在有强数据保护法律要求之处。在这种情况下，只允许对恶意代码进行自动扫描，而不允许扫描电子邮件的具体内容，因为这将影响到发送方和接收方的隐私。7 安全网关组件本章综述按组件(例如交换机、路由器和防火墙)区分的4种不同类型的安全网关。7. 1 交换机交换机用于将完全的网络带宽分配给每个物理端口来实现高速通信。通常交换机是第2层设备，被广泛用于分割局域网。此外，当实施VLAN技术时，交换

30、机能提供子网隔离。通过把访问控制列表(ACL)用到OSI模型第2，3和4层中，交换机和与其相连的节点之间的通信流能够得到控制。交换机提供的访问控制功能使其成为安全网关体系结构的有用组件，对于实施和构造任何屏蔽子网的各自非军事区也非常有用。在安全网关环境中使用的交换机不宜直接连接到公共网络，这是由于存在各种威胁，例如，类似拒绝服务的这种攻击能导致外露的交换机向所连接的网络大量倾泻包。7.2 路由器路由器通常设计为通过支持多种网络协议来连接不同的网络，并优化通信主机间的网络通信流和路由。此外，路由器可用作安全网关的组件，因为它能够基于包过滤技术来过滤各类数据通信中的数据包。利用这种包信息检查来控制

31、网络通信流的路由器经常被称作屏蔽路由器(见8.1.口。路由器通常在OSI模型的第3层(网络层)工作，目前在该层只可能控制数据包的低级信息，而不对用户数据进行任何检查。路由器能执行NAT和包过滤。7.3 应用级网关应用级网关是基于硬件和软件的一台或一套设备。应用级网关专门设计成限制2个独立网络之间的访问。应用级网关的实施主要使用2种技术2 状态包检测; 应用代理。也可能使用这些技术的组合和变体(例如电路级防火墙)。此外，能够通过应用级网关执行NAT。6 、.G/T 25068. 3-201 O/ISO/IEC 18028-3: 2005 7.4 安全装置仅以安全为目的、配置了加固的操作系统的网络

32、设备(路由器、交换机、调制解调器等)被称作安全装置。这些设备可作为安全软件(防火墙、IDS/IDP、抗病毒保护等)的基础。可在范围广泛的平台上，从最小的远端到大型的公司网络以及数据中心，提供安全装置以满足各种各样的安全需求。专用于保护远端或单个计算机的装置称作个人防火墙装置，尽管这些装置可能还包含其他的安全功能，例如抗病毒保护。第6章中介绍的所有技术均能使用安全装置来实施。8 安全网关体系结构为了充分地保护内部网络以免暴露给来自外部网络(诸如互联网)的攻击，宜为安全网关选择一种有效的体系结构。可考虑用2种不同的方法，即结构化方法和层次化方法，来创建安全网关。结构化方法是基于网络设计原则和由互联

33、网协议设置的安全选项。层次化方法涉及到安全域和域边界上实施的防护措施，这些防护措施与组织的安全策略中所定义的安全要求相一致。下面讨论这2种方法。8. 1 结构化方法在组织可能有的、不同的、特定安全需求的驱动下，结构化方法可通过4种不同的体系结构来实施。它们是z 包过滤防火墙; 双宿主网关; 屏蔽主机z 屏蔽子网。这种保护应包括抵御恶意代码、病毒、骇客、拒绝服务攻击和其他未授权活动的防护措施。8. 1. 1 包过滤防火墙体系结构防火墙体系结构的最基本类型称作包过滤器。包过滤防火墙本质上是包含对系统地址和通信会话的访问控制功能的路由设备。它们经常被称作屏蔽路由器。在其最基本的形式中，包过滤器在OS

34、I模型的第3层运行。见图104 h v E包过滤A 圄1包过捷防火墙/屏蔽路由器h F 所奋通信流7 GB/T 25068.3-201 O/ISO/IEC 18028-3 :2005 包过滤防火墙的访问控制功能由一套统称为规则集的指令控制。这些指令提供网络访问控制并能够基于，例如包的源地址、包的目的地址、通信流类型、第4层通信会话的一些特征(诸如会话的源端口与目的端口)以及(有时包来自路由器的哪个接口和包的目的地是哪个接口的信息。包过滤防火墙有2个主要优点:快速和灵活。由于包过滤器通常不检验OSI模型第3层以上的数据，所以它们能够非常快地运行。这种简单性允许包过滤防火墙可作为外部路由器部署在屏

35、蔽主机或屏蔽子网前面。这样放置的原因是其具有阻止拒绝服务攻击以及相关攻击的能力。因为屏蔽路由器不检验上层(第5层至第7层)数据，所以不能防止那些利用与应用相关的脆弱性或功能的攻击。由于防火墙可利用的信息有限，所以包过滤防火墙中的日志功能也是有限的。由于访问控制判定中使用大量的变量，因此易受到由不当配置导致的安全违规的影响。8. 1.2 双宿主网关体系结构双宿主网关由一个具有A和B2个网络接口的主机系统构成(见图2)，并且关闭了主机的IP转发功能。因此，来自一个网络(例如互联网)的IP包不能按某一路线直接发送到其他网络(例如内部网络)。内部网络的系统能够与双宿主主机通信，外部网络上处于防火墙之外

36、的系统也能与双宿主主机通信，但这些系统彼此之间不能直接通信。如果这种主机配备了若干网卡，例如，与互联网上的几个互联网服务提供商分别连接，或与内部网络上的不同服务器(诸如电子邮件服务器或日志服务器)连接，其配置就有多个变体。在这种情况下，它被称作多宿主网关。作为选择方案，可在与外部网络连接处放置一个路由器，以通过网络包的过滤来提供额外保护。双宿主网关阻止外部网络与被保护站点之间的所有直接IP通信流。服务和访问由防火墙上的应用级代理服务提供。/、r-_.-._Il 外部网络卜-一路由器. . / :_._._._. 应用级代理图2双宿主网美 所有通信流双宿主网关代表一种更合规的安全网关类型，因为它

37、对外部网络的系统隐藏内部IP地址，并提供可与入侵检测系统(IDS)联合使用的日志功能以检测可能的入侵者活动。这种网关只允许存在相应代理的服务通过，这种有限的灵活性对于某些站点来说可能是一个缺点。在这种情况下若增加一个路由器以建立一个可信的通信作为安全网关的旁路，就能解决这个问题。用于防火墙的主机系统的安全对整体保护来说是至关重要的，因为如果防火墙受到损害，那么入侵者就可能获得对内部系统的访问。a 4 G/T 25068. 3-201 O/ISO/IEC 18028-3: 2005 8. 1.3 屏蔽主机体系结构屏蔽主机体系结构将包过滤路由器与使用应用代理的堡垒主机结合在一起。堡垒主机被置于路由

38、器的受保护子网一侧(见图3)。在这种体系结构中，主要的安全保护由包过滤路由器提供，例如，防止人们绕过代理服务器建立与内部网络的直接连接。屏蔽路由器上的包过滤按如下方式设置z堡垒主机是外部网络的主机能打开连接到的唯一系统。作为应用级防火墙的这种堡垒主机由依据站点的策略放行或阻止服务的代理服务构成。路由器自动过滤危险的协议以防止其到达防火墙及站点系统。从外部网络到堡垒主机的应用通信流得到路由;来自外部站点的所有其他通信流被拒绝。路由器拒绝任何源自内部网络的应用通信流，除非它来自堡垒主机。病毒防范内容过滤图3屏蔽主机所有通信流这种体系结构更灵活，因为这种堡垒主机只需要一个网络接口，不要求在堡垒主机和

39、路由器之间有一个独立子网。此外，路由器能够放行可信服务绕过堡垒主机直接到达内部系统。因为这种灵活性更易于违反已确立的安全策略，所以被认为整体不太安全。这种体系结构的主要缺点是:如果攻击者设法闯入到堡垒主机，那么在堡垒主机与内部网络之间便无任何网络安全可言。路由器也会出现单点故障，如果路由器受到损害，攻击者就可利用整个网络;另一个缺点是用户具有两个系统，需谨慎地加以配置。这种路由器的包过滤规则可能相当复杂并且难以维护。8.1.4 屏蘸子网体系结构屏蔽子网体系结构是双宿主网关和屏蔽主机体系结构的一种变体(见图的。它在屏蔽主机体系结构中增加了一个额外的保护层，即增加边界网络以把内部网络和外部网络(如

40、互联网)进一步分隔开。创建一个内部屏蔽子网要用到2个路由器。这种子网有时被称作非军事区(DMZ)或边界网络。可在其中放置堡垒主机或应用级防火墙，然而，也可以在里面放置Web服务器、电子邮件服务器或DNS服务器以及其他需要谨慎控制访问的系统。外部路由器限制外部网络对屏蔽子网内特定系统的访问(例如，将电子邮件通信流从互联网站点按某一路线发送到电子邮件服务器)，并阻止从不宜发起连接的系统至外部网络的所有其他通信流(例如，NFS挂载到外部系统。内部路由器根据现有规则放行进/出屏蔽子网系统的通信流(例如，将电子邮件通信流从站点系统按某一路线发送到电子邮件服务器，反之亦然)。9 GB/T 25068.3-

41、2010/ISO/IEC 18028-3:2005 应用军i堡垒主机/1代理i 防火墙| 房蔽子网病毒草草范内容主t草草图4屏蔽子网 所有通信流从外部网络不能直接到达任何内部系统，反之亦然。这一点对于双宿主网关(也经常包括多宿主网关)来说是重要的。对于屏蔽子网体系结构来说，没有绝对必要像双宿主系统那样实现应用级网关各自的堡垒主机。屏蔽子网体系结构可能更适用于具有大通信流的站点或需要极高速通信流的站点。8.2 层次化方法保护层次由涵盖安全要求的安全域的不同安全维组成。例如，操作系统的口令提示就是用于访问控制的保护层次。如果外部用户在这种保护层次上用有效ID和口令适当鉴别，外部用户就能访问这种安全

42、域。如果这种鉴别机制强壮到足以满足该访问鉴别要求，它就能被实现来保护该域免受未授权访问。保护层次的要求能够用安全域中关键数据和服务的保密性、完整性、可用性、可核查性、真实性和可靠性来表示。保护层次能包含以下安全控制措施: 鉴别; 包过滤; 入侵检测; 日志。保护层次能分别在不同设备上实施，如果可能，也能被组合在一个或多个设备中。这一点是结构化方法和层次化方法的互补之处。例如，若能把所有层次置于同一设备中，就可形成包过滤或双宿主的网关体系结构。这种方法通过在需要的地方实现多个保护层次，并提供足够的安全控制措施以满足受保护安全域的安全要求，来创建纵深防御。10 GB/T 25068. 3一2010

43、/ISO/IEC18028-3: 2005 8.2. 1 单层次和多层次安全网关体系结构单层次体系结构是最简单的层次化方法。它能适用于只满足一种安全要求的情况，例如，访问安全域之前的用户鉴别。典型的方案是，所实施的路由器只执行一项安全任务一一用户鉴别(见图5)。安全网关保次, , , , 一-._-_.-圄5单层次安全罔关通常安全域宜满足更多的安全要求，并且安全网关也变得更复杂，例如，允许一组规定的协议并在访问安全域之前执行鉴别。在这种情况下需要2个安全层次一一包过滤层次和鉴别层次(见图的。2个层次均能由执行包过滤和鉴别的路由器实施。_-._-、 、保, -, , , 安全网关保护层次, ,

44、护1，层次2 -_ _ . :-圄6多层次安全网关大多数组织的网络中都有不止一个安全域。如果组织中有另一个具有相似安全要求的域，那么安全网关就可能同时保护这两个域。在这种情况下，就能够形成一个非军事区(DMZ)或边界网络。如果第一个域的安全策略允许其通信流通过第二个域，则这种DMZ就类似于屏蔽子网体系结构中的DMZ(见图7)。11 GB/T 25068. 3-201 O/ISO/IEC 18028-3: 2005 安全网关、安全域2I , , , , , , , i,1 1J , , , 、安全域1-一-一-、, , 、图7多层次安全网关中的DMZ如果第一个域的安全策略不允许其通信流通过其他任何域，并且外部层次能为第二个域提供独立的连接，那么这种DMZ称作服务向DMZ(见图的。12 GB/T 25068. 3-201 O/ISO/IEC 18028-3: 2005 安全网关, , , , , , , , , 保护层次1l 、保护层次2, , , , , , , , 、, , , 安全域2、 , , , , , , ，、 a -、 二叭， 、, , , , , , 安全域1, , , , , - _-圄8多层次安全网关中的服务向DMZ9 选择和配置指南为了确保满足第5章中概述的要求，选择和配置安全网关的结构化方法是必要的。本章为这一过程给出了一些指南，尤其是在以下领域: