标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
GB/T 25068.4-2022 信息技术 安全技术 网络安全 第4部分:使用安全网关的网间通信安全保护.pdf入侵是一种对网络或有网络连接系统的未经授权的访问。例如,故意或者偶然对信息系统的未经 授权访问、对信息系统的恶意行为或者未经授权使用信息系统的资源。人侵防御是积极响应防止人侵 的一个规范过程。人侵防御系统是为提供主动响应能力而设计的人侵检测系统的一个变化,而人侵检 测系统只是检测已经尝试、正在发生或已经发生的可能的入侵,并通知管理员有入侵。
集中管理功能允许对组织网络中部署的安全网关进行适当且有效的管理,宜由安全网关提供安全 管理API,用于组织中的远程集中管理。 这种集中管理功能有助于安全网关在操作和配置方面的远程管理。 宜由安全网关识别和认证远程安全管理员。此远程管理API宜为网络管理员提供管理、监视和排 除安全网关故障的工具
交换机用于为每个物理端口提供全网络带宽的高速通信。通常来说,交换机位于OSI模型第2 层,广泛用于对局域网进行分段。此外,在实现VLAN技术时,交换机可以提供子网隔离。可通过使用 ACL来控制交换机与连接到该交换机的节点之间的流量。ACL可以应用于OSI模型第2层、第3层 和第4层。交换机提供的访问控制功能使其可以作为安全网关体系结构的组件,尤其是用于实现和构 建屏蔽子网专属的DMZ。由于存在多种威胁,在安全网关环境下使用的交换机不宜被直连到公共网络 上,例如,DoS攻击可能导致暴露的交换机包泛洪其连接的网络。 可能存在负载均衡交换机工作在第7层(应用层)的情况。这些交换机通常用来保证防火墙和服务 器的可用性(尽管防火墙通常不在第7层)。
路由器通常设计为通过支持多个网络协议来连接不同的网络,并优化网络流量和通信主机之间的 路由。此外,路由器可以用作安全网关的组件,因为它们能够以包过滤技术为基础对数据通信中的数据 包进行过滤。利用包信息检查来控制网络流量的路由器通常被称为屏蔽路由器。路由器通常在 OSI模型的第3层(网络层)工作。路由器只对数据包级别信息(如源端口和目标端口)进行分析。路由 器可以执行NAT和数据包过滤操作。
圆形砖砌检查井技术交底10.1.3应用层网关
应用层网关是基于硬件和软件的设备或设备组。应用层网关专门用于限制两个独立网络之间的访 问。主要有两种技术用于实现应用层网关: 一状态包检测; 一应用代理。 也可以使用这些技术的组合和变化(例如,电路级防火墙)。此外,可以由应用层网关来执行NAT。 应用层网关能理解应用程序正在使用的应用和协议,从而能够确定请求是否为合法的响应。例如,当使 用VoIP类的应用程序时,应用层网关需要理解SIP以允许连接之间的适当信息交互。
网络设备(如路由器、交换机、调制解调器等)配备加固的操作系统,所有专用于安全目的的设备都 称为安全设备,这些设备是安全软件(防火墙、IDS、IPS、防病毒保护软件等)的基础。安全设备可以满 足各种平台的多样化安全需求,从最小型的远程工位到大型企业网络甚至数据中心的平台。专用于单 机的设备被称为个人防火墙,是在单机上运行的软件应用程序,用于保护进出该计算机的流量。专用于 保护远程工位的设备被称为家庭或远程办公室或分办公室的安全设备,这些安全设备通常保护上述地 点的流量。第9章中提到的所有技术都可以通过使用安全设备来实现。
集中监控和审计功能允许对组织网络中部署的安全网关进行适当有效的监控和审计。宜确保监控 和审计功能与安全网关之间通信的安全,这些通信交换了适当的审计和监控功能所需的必要信息。 此外,每个安全网关宜建立与集中监控和审计功能进行通信的接口。这种集中监控和审计功能可 以帮助捕获安全网关的任何异常状态或捕获可能触发网关和内部系统安全漏洞的任何尝试和操作,对 用户所执行操作的责任进一步跟踪,记录违反安全策略的行为。 这种集中监控和审计功能有助于全面监控安全网关的操作和审计跟踪。此外,它还可以为管理决 策提供可描述的、高效的、易用的面板。
10.2部署安全网关控件
10.2.1包过滤防火墙体系结构
有两种类型包过滤防火墙:(有)状态和无状态。无状态数据包防火墙适用于删除畸形数据包,包括 源“错误”包,或目的地址“错误”包。源或目的地址可以通过防火墙的流动方向、包的网络地址或包的传 输层内容的端口来识别。可认为每个包与所有其他包隔离。包过滤防火墙不会破坏端到端连接。防火 墙体系结构中最基本类型的就是包过滤防火墙,如图3所示。包过滤防火墙通常被称为屏蔽路由器,本 质上是包含系统地址、通信会话访问控制功能的路由设备。在最基本的形式中,包过滤器工作在 OSI模型第3层。
图3 包过滤防火墙或屏蔽路由器
包过滤防火墙的访问控制功能由一套指令集统一管理,这组指令集统称为规则集。这些规则集通 常也称为ACL。ACL基于包的源或目的地址、流量类型、第4层通信的某些特性(如源和目标端 口),以及有关该包出入路由器的接口信息等提供网络访问控制。 包过滤防火墙有两个主要优势:速度和灵活性。由于包过滤器通常不会检查OSI模型第4层以上
的数据,因此可以非常快速地工作。这种简易处理允许在屏蔽主机或屏蔽子网之前,先部署包过滤防火 墙作为外部路由器,如此部署位置的原因是包过滤防火墙能够阻止Dos和相关攻击。由于包过滤防火 墙不会检查上层数据(第5~第7层),故而屏蔽路由器无法阻止那些利用应用程序或功能特定漏洞的 攻击。防火墙可用信息有限导致包过滤防火墙日志记录功能受限。由于访问控制决策中使用了大量变 量,因此防火墙配置项很容易受到变量影响导致配置不当,进而产生安全漏洞。
10.2.2双宿主网关体系结构
10.2.3屏蔽主机体系结构
图5中,屏蔽主机结构将包过滤路由器与使用应用代理的堡垒主机组合在一起。堡垒主机位于受 路由器保护的子网一侧。在该体系结构中,首先是由包过滤路由器提供安全保护,如防止有人绕开代理 服务器直接建立与内网的连接。 屏蔽路由器上,包过滤方法是将堡垒主机设置为外网主机唯一可以打开连接的系统。堡垒主机作 为应用层防火墙,包含各种代理服务,代理服务根据站点策略,放行或拦截对外服务。因此,路由器实现
寸危害防火墙和站点系统的协议进行过滤。 路由服务允许从外网到堡垒主机的应用流量,拒绝来自外部站点的其他流量。路由器会拦截除 垒主机以外的内网发出的任何应用流量。
沿江高速东江南特大桥施工处南岸现场临时用电工施工方案(东江南)10.2.4屏蔽子网体系结构
宜根据安全网关的业务和安全需求(见第8章),选择和调整适当的安全网关结构(见10.2)。 一旦确定了结构,就需要进一步指定该结构的每个组件(见10.2),并对其功能进行评估(见10.1)。 在实际情况下,经常使用多层网关。 本章以下各节为适当结构选择正确组件提供了进一步的指南。
11.3硬件和软件平台
在选择硬件平台时,宜特别考虑性能、效率、可靠性和适用性,例如,假设一个硬件平台只具有以太 网接口,却需要在V.35上进行帧中继,那么该硬件平台就不可选。其次,宜查看硬件设备的操作系统。 出于安全目的,宜使用加固的操作系统,并对已知硬件平台漏洞进行检查。软件平台也需要验证其性能
在安全网关网络设备的配置过程中,需要考虑以下推荐的设定: 屏蔽子网体系结构下各DMZ区的交换网; 路由器与安全网关之间宜设置静态路由; 不宜接受源路由信息的设置:
具有特定访问权限下组合使用FTP命令; 允许存储环境信息审计署某办事处综合办公楼平基土石方工程施工方案,例如检查动态分配的端口号; 过滤其他网络对象(域、组、VPN对象等); 防止特定的会话劫持攻击。 检查其他杂项功能部件或设置,比如: 根据日志记录或在入侵检测传感器检测到人侵时创建警报; 宜指出的是,使用SOAP通信机制的应用能够无需检测就可通过状态检测和应用层代理防火 墙。因此,存在避开应用代理和其他防火墙策略可能性。基于SOAP的应用需要穿越安全网 关的连接的情况,需要特殊对待。例如,一些基于SOAP的应用可以通过特定于应用程序的 XML内容过滤器(在XML防火墙中允许使用合适的XML过滤器编程)或通过一个策略来实 现保护,该策略允许基于SOAP的应用仅在受端到端VPN保护的情况下穿越安全网关进行 通信。
安全网关宜支持审计工具,在维持基本的信息安全属性如保密性、完整性、可用性、可鉴别、可 主和抗抵赖性的同时还能验证日志文件
防火墙实现类型通常有两种:“硬件”和“软件”,它们可以颗合为不同子类型 目前通