第07章+網(wǎng)絡(luò)安全設(shè)計(jì)

第7章網(wǎng)絡(luò)安全設(shè)計(jì)7.1網(wǎng)絡(luò)安全體系與技術(shù)7.2防火墻與DMZ設(shè)計(jì)【重點(diǎn)】7.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)【重點(diǎn)】7.4網(wǎng)絡(luò)物理隔離設(shè)計(jì)17.1網(wǎng)絡(luò)安全體系與技術(shù)27.1網(wǎng)絡(luò)安全體系與技術(shù)7.1.1網(wǎng)絡(luò)安全故障案例分析網(wǎng)絡(luò)安全性是指在人為攻擊或自然破壞作用下，網(wǎng)絡(luò)在規(guī)定條件下生存的能力。網(wǎng)絡(luò)安全設(shè)計(jì)往往是多種方法綜合的結(jié)果。37.1網(wǎng)絡(luò)安全體系與技術(shù)1.519網(wǎng)絡(luò)故障事件【案例7-1】2009年5月19日晚，一個(gè)游戲“私服”網(wǎng)站對(duì)它的競(jìng)爭(zhēng)對(duì)手發(fā)動(dòng)攻擊，黑客對(duì)國(guó)內(nèi)最大的免費(fèi)域名服務(wù)器DNSpod進(jìn)行了攻擊，大流量攻擊導(dǎo)致DNSpod服務(wù)中止，運(yùn)行在DNSpod免費(fèi)服務(wù)器上的10萬(wàn)個(gè)域名無法解析，由于DNSpod的DNS服務(wù)完全中斷。造成北京、天津、上海、河北、山西、內(nèi)蒙古、遼寧、吉林、江蘇、黑龍江、浙江、安徽、湖北、廣西、廣東等地區(qū)的DNS陸續(xù)癱瘓。中國(guó)互聯(lián)網(wǎng)遭遇了“多米諾骨牌”連鎖反應(yīng)，出現(xiàn)了全國(guó)范圍的網(wǎng)絡(luò)故障。47.1網(wǎng)絡(luò)安全體系與技術(shù)2.519網(wǎng)絡(luò)故障原因分析網(wǎng)絡(luò)故障的三個(gè)關(guān)鍵環(huán)節(jié)：DNSPod服務(wù)器暴風(fēng)影音軟件電信運(yùn)營(yíng)商DNS服務(wù)器。DNS提供公共服務(wù)，IP地址必須向公眾公開，而且相對(duì)固定。如果IP地址經(jīng)常變更，會(huì)影響客戶端的服務(wù)，因此DNS具有目標(biāo)大、易受攻擊的特點(diǎn)。519網(wǎng)絡(luò)故障事件曝露出我國(guó)互聯(lián)網(wǎng)諸多環(huán)節(jié)中，存在大量潛在的安全風(fēng)險(xiǎn)。57.1網(wǎng)絡(luò)安全體系與技術(shù)3.范·艾克實(shí)驗(yàn)【案例7-2】1985年，在國(guó)際計(jì)算機(jī)安全會(huì)議上，范·艾克（FanEttc）用幾百美元的器件，對(duì)普通電視機(jī)進(jìn)行改造，安裝在汽車?yán)?，這樣從街道上接收到了放置在8層樓上的計(jì)算機(jī)電磁波信息，并顯示出計(jì)算機(jī)屏幕上的圖像。他的演示給與會(huì)的各國(guó)代表以巨大的震動(dòng)。距離計(jì)算機(jī)數(shù)百米的地方，都可以收到并還原計(jì)算機(jī)屏幕上的圖像。網(wǎng)絡(luò)設(shè)備電磁輻射引起的安全問題不容忽視。67.1網(wǎng)絡(luò)安全體系與技術(shù)7.1.2IATF網(wǎng)絡(luò)安全體系結(jié)構(gòu)1．IATE（信息保障技術(shù)框架）標(biāo)準(zhǔn)IATF標(biāo)準(zhǔn)理論：深度保護(hù)戰(zhàn)略。IATF標(biāo)準(zhǔn)三個(gè)核心原則：人、技術(shù)和操作。四個(gè)信息安全保障領(lǐng)域：保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施；保護(hù)邊界；保護(hù)計(jì)算環(huán)境；保護(hù)支撐基礎(chǔ)設(shè)施。77.1網(wǎng)絡(luò)安全體系與技術(shù)[案例]IATF深度保護(hù)戰(zhàn)略結(jié)構(gòu)87.1網(wǎng)絡(luò)安全體系與技術(shù)2．IATF網(wǎng)絡(luò)模型飛地指位于非安全區(qū)中的一小塊安全區(qū)域。IATF模型將網(wǎng)絡(luò)系統(tǒng)分成4種類型局域網(wǎng);飛地邊界;網(wǎng)絡(luò)設(shè)備;支持性基礎(chǔ)設(shè)施。97.1網(wǎng)絡(luò)安全體系與技術(shù)[P165圖7-1]IATF模型[P165]IATF模型107.1網(wǎng)絡(luò)安全體系與技術(shù)在IATF模型中，局域網(wǎng)包括:涉密網(wǎng)絡(luò)（紅網(wǎng)，如財(cái)務(wù)網(wǎng)）;專用網(wǎng)絡(luò)（黃網(wǎng)，如內(nèi)部辦公網(wǎng)絡(luò)）;公共網(wǎng)絡(luò)（白網(wǎng)，如公開信息網(wǎng)站）網(wǎng)絡(luò)設(shè)備。這些部分由企業(yè)建設(shè)和管理。網(wǎng)絡(luò)支持性基礎(chǔ)設(shè)施包括：專用網(wǎng)絡(luò)（如VPN）；公共網(wǎng)絡(luò)（如Internet）；通信網(wǎng)等基礎(chǔ)電信設(shè)施（如城域傳輸網(wǎng)）；這些部分由電信服務(wù)商提供。117.1網(wǎng)絡(luò)安全體系與技術(shù)IATF最重要的設(shè)計(jì)思想：在網(wǎng)絡(luò)中進(jìn)行不同等級(jí)的區(qū)域劃分與網(wǎng)絡(luò)邊界保護(hù)。127.1網(wǎng)絡(luò)安全體系與技術(shù)[案例]安全等級(jí)防護(hù)設(shè)計(jì)137.1網(wǎng)絡(luò)安全體系與技術(shù)3．對(duì)手、動(dòng)機(jī)和攻擊類型5類攻擊方法：被動(dòng)攻擊;主動(dòng)攻擊;物理臨近攻擊;內(nèi)部人員攻擊;分發(fā)攻擊。147.1網(wǎng)絡(luò)安全體系與技術(shù)[案例]黑客攻擊過程157.1網(wǎng)絡(luò)安全體系與技術(shù)[案例]黑客攻擊路徑發(fā)現(xiàn)[P165]IATF模型167.1網(wǎng)絡(luò)安全體系與技術(shù)4．安全威脅的表現(xiàn)形式安全威脅的表現(xiàn)形式：信息泄漏、媒體廢棄（如報(bào)廢的硬盤）、人員不慎、非授權(quán)訪問、旁路控制（如線路搭接）、假冒、竊聽、電磁信號(hào)截獲、完整性侵犯（如篡改Email內(nèi)容）、數(shù)據(jù)截獲與修改、物理侵入、重放（如后臺(tái)屏幕錄像或鍵盤掃描）、業(yè)務(wù)否認(rèn)、業(yè)務(wù)拒絕、資源耗盡、業(yè)務(wù)欺騙、業(yè)務(wù)流分析、特洛伊木馬程序等。177.1網(wǎng)絡(luò)安全體系與技術(shù)5．深度保護(hù)戰(zhàn)略模型深度保護(hù)戰(zhàn)略（DDS）認(rèn)為：信息保障依賴于人、技術(shù)和操作共同實(shí)現(xiàn)。操作也稱為運(yùn)行操作是各種安全技術(shù)結(jié)合在一起的過程。操作包括：風(fēng)險(xiǎn)評(píng)估、安全監(jiān)控、安全審計(jì)、跟蹤告警、入侵檢測(cè)、響應(yīng)恢復(fù)等。187.1網(wǎng)絡(luò)安全體系與技術(shù)7.1.3TCP/IP各層安全技術(shù)1．常用網(wǎng)絡(luò)安全技術(shù)定義：網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改和泄漏，系統(tǒng)能連續(xù)、可靠地正常運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。197.1網(wǎng)絡(luò)安全體系與技術(shù)表7-2TCP/IP各個(gè)層次常用安全保護(hù)技術(shù)207.1網(wǎng)絡(luò)安全體系與技術(shù)2．接口層的安全物理層面臨的安全威脅有：搭線竊聽，電磁輻射信號(hào)還原、物理臨近等。3．網(wǎng)絡(luò)層的安全網(wǎng)絡(luò)層的安全威脅有：數(shù)據(jù)包竊聽、ARP欺騙、流量攻擊、拒絕服務(wù)攻擊等。網(wǎng)絡(luò)層的安全技術(shù)有：IP路由安全機(jī)制、IPSec（IP安全協(xié)議）和防火墻技術(shù)。217.1網(wǎng)絡(luò)安全體系與技術(shù)4．傳輸層的安全傳輸層主要的安全協(xié)議有SSL（安全套接層協(xié)議），它在兩實(shí)體之間建立了一個(gè)安全通道，當(dāng)數(shù)據(jù)在通道中傳輸時(shí)是經(jīng)過認(rèn)證和保密的。SSL提供三個(gè)方面的服務(wù)：用戶和服務(wù)器認(rèn)證，對(duì)數(shù)據(jù)進(jìn)行加密服務(wù)和維護(hù)數(shù)據(jù)的完整性。SSL對(duì)于應(yīng)用層協(xié)議和程序是透明的，它可以為HTTP、SMTP和FTP等應(yīng)用層協(xié)議提供安全性。227.1網(wǎng)絡(luò)安全體系與技術(shù)5．應(yīng)用層的安全應(yīng)用層的安全問題：操作系統(tǒng)漏洞，應(yīng)用程序BUG，非法訪問，病毒木馬程序攻擊等。應(yīng)用層采用的安全技術(shù)：加密、用戶級(jí)認(rèn)證、數(shù)字簽名等。應(yīng)用層安全協(xié)議為特定應(yīng)用提供安全服務(wù)。如S/MIME（安全/通用因特網(wǎng)郵件擴(kuò)展服務(wù)）是一個(gè)用于保護(hù)電子郵件的規(guī)范，標(biāo)準(zhǔn)內(nèi)容包括數(shù)據(jù)加密、數(shù)據(jù)簽名等。237.1網(wǎng)絡(luò)安全體系與技術(shù)[案例]網(wǎng)絡(luò)計(jì)算機(jī)病毒解決方案[P165]IATF模型247.1網(wǎng)絡(luò)安全體系與技術(shù)7.1.4網(wǎng)絡(luò)信息加密技術(shù)1.加密系統(tǒng)的組成加密系統(tǒng)包括4個(gè)組件：軟件組件負(fù)責(zé)各功能子系統(tǒng)的協(xié)調(diào)和用戶交互加密算法根據(jù)一定規(guī)則對(duì)輸入信息進(jìn)行加密處理協(xié)議加密系統(tǒng)和運(yùn)行環(huán)境需要加密密鑰用戶加密/解密信息所需的鑰匙257.1網(wǎng)絡(luò)安全體系與技術(shù)2.常用加密算法（1）對(duì)稱加密加密和解密都使用相同密鑰的加密算法。優(yōu)點(diǎn)：加解密的高速度和使用長(zhǎng)密鑰時(shí)難以破解性。常見的對(duì)稱加密算法：DES、3DES、IDEA等。DES的典型應(yīng)用是IPSec（VPN安全標(biāo)準(zhǔn)）267.1網(wǎng)絡(luò)安全體系與技術(shù)（2）非對(duì)稱加密加密和解密使用不同密鑰的加密算法。常見的非對(duì)稱加密算法：RSA，SSL（傳輸層安全標(biāo)準(zhǔn)），ECC（移動(dòng)設(shè)備安全標(biāo)準(zhǔn)），S-MIME（電子郵件安全標(biāo)準(zhǔn)），SET（電子交易安全標(biāo)準(zhǔn)），DSA（數(shù)字簽名安全標(biāo)準(zhǔn)）等。缺點(diǎn)：加解密速度遠(yuǎn)遠(yuǎn)慢于對(duì)稱加密，在某些極端情況下，比對(duì)稱加密慢1000倍。277.1網(wǎng)絡(luò)安全體系與技術(shù)（3）Hash（哈希）加密Hash算法是一種單向加密算法。常見Hash算法：MD5（消息摘要）等。MD5常用于密碼校驗(yàn)、數(shù)字簽名等應(yīng)用中。287.1網(wǎng)絡(luò)安全體系與技術(shù)3.加密系統(tǒng)在網(wǎng)絡(luò)中的應(yīng)用基本應(yīng)用：存儲(chǔ)、傳輸、認(rèn)證數(shù)據(jù)量較少時(shí)，常采用RSA等對(duì)稱加密算法；校驗(yàn)常采用MD5算法；商業(yè)加密軟件PGP；開源加密軟件GPG等。297.1網(wǎng)絡(luò)安全體系與技術(shù)【案例7-4】經(jīng)常采用MD5算法進(jìn)行用戶密碼校驗(yàn)。用戶密碼經(jīng)過MD5運(yùn)算后存儲(chǔ)在文件系統(tǒng)中。當(dāng)用戶登錄時(shí)，系統(tǒng)將用戶輸入的密碼進(jìn)行MD5運(yùn)算，然后再與系統(tǒng)中保存密碼的MD5值進(jìn)行比較，從而確定輸入的密碼是否正確。通過這樣的步驟，系統(tǒng)在并不知道用戶密碼的情況下，就可以確定用戶登錄系統(tǒng)的合法性。這可以避免用戶密碼被具有系統(tǒng)管理員權(quán)限的人員知道。307.2防火墻與DMZ設(shè)計(jì)317.2防火墻與DMZ設(shè)計(jì)7.2.1防火墻的類型與功能防火墻是由軟件或硬件構(gòu)成的網(wǎng)絡(luò)安全系統(tǒng)，用來在兩個(gè)網(wǎng)絡(luò)之間實(shí)施訪問控制策略。1．防火墻在網(wǎng)絡(luò)中的位置所有從內(nèi)網(wǎng)到外網(wǎng)或從外網(wǎng)到內(nèi)網(wǎng)的通信都必須經(jīng)過防火墻，否則，防火墻將無法起到保護(hù)作用。防火墻本身應(yīng)當(dāng)是一個(gè)安全、可靠、防攻擊的可信任系統(tǒng)，它應(yīng)有足夠的可靠性和抵御外界的攻擊。327.2防火墻與DMZ設(shè)計(jì)2.防火墻的類型硬件防火墻可以是一臺(tái)獨(dú)立的硬件設(shè)備（如CiscoPIX）；也可以在一臺(tái)路由器上，經(jīng)過配置成為一臺(tái)具有安全功能的防火墻。軟件防火墻是運(yùn)行在服務(wù)器主機(jī)上的一個(gè)軟件（如ISAServer）。硬件防火墻在功能和性能上都優(yōu)于軟件防火墻，但是成本較高。337.2防火墻與DMZ設(shè)計(jì)3．防火墻的功能所有內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的數(shù)據(jù)交換，都可以而且必須經(jīng)過防火墻。只有符合防火墻安全策略的數(shù)據(jù)，才可以自由出入防火墻。防火墻受到攻擊后，應(yīng)能穩(wěn)定有效地工作。應(yīng)當(dāng)記錄和統(tǒng)計(jì)網(wǎng)絡(luò)的使用情況。有效地過濾、篩選和屏蔽有害服務(wù)和數(shù)據(jù)包。能隔離網(wǎng)絡(luò)中的某些網(wǎng)段，防止一個(gè)網(wǎng)段的故障傳播到整個(gè)網(wǎng)絡(luò)。347.2防火墻與DMZ設(shè)計(jì)4．防火墻的不足不能防范不經(jīng)過防火墻的攻擊。不能防范惡意的知情者。不能防范內(nèi)部用戶誤操作造成的威脅。不能防止受病毒感染的軟件或木馬文件的傳輸。防火墻不檢測(cè)數(shù)據(jù)包的內(nèi)容，因此不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊。不安全的防火墻、配置不合理的防火墻、防火墻在網(wǎng)絡(luò)中的位置不當(dāng)?shù)?，?huì)使防火墻形同虛設(shè)。357.2防火墻與DMZ設(shè)計(jì)7.2.2DMZ的功能與安全策略1．DMZ（隔離區(qū)/非軍事區(qū)）的基本結(jié)構(gòu)和功能DMZ設(shè)立在非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)?！景咐?-5】如圖7-3所示，DMZ位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一個(gè)區(qū)域內(nèi)，在DMZ內(nèi)可以放置一些對(duì)外的服務(wù)器設(shè)備，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。DMZ的目的是將敏感的內(nèi)部網(wǎng)絡(luò)和提供外部訪問服務(wù)的網(wǎng)絡(luò)分離開，為網(wǎng)絡(luò)提供深度防御。367.2防火墻與DMZ設(shè)計(jì)[P171圖7-3]DMZ網(wǎng)絡(luò)安全結(jié)構(gòu)377.2防火墻與DMZ設(shè)計(jì)2．防火墻的接口硬件防火墻最少有三個(gè)接口：內(nèi)網(wǎng)接口，用于連接內(nèi)部網(wǎng)絡(luò)設(shè)備；外網(wǎng)接口，相當(dāng)于主機(jī)接口，用于連接邊界路由器等外部網(wǎng)關(guān)設(shè)備；DMZ接口，用于連接DMZ區(qū)網(wǎng)絡(luò)設(shè)備。硬件防火墻中的網(wǎng)卡一般設(shè)置為混雜模式，這樣可以監(jiān)測(cè)到通過防火墻的數(shù)據(jù)包。387.2防火墻與DMZ設(shè)計(jì)3．DMZ訪問安全策略DMZ的設(shè)計(jì)基本原則：設(shè)計(jì)最小權(quán)限，例如定義允許訪問的網(wǎng)絡(luò)資源和網(wǎng)絡(luò)的安全級(jí)別；確定可信用戶和可信任區(qū)域；明確各個(gè)網(wǎng)絡(luò)之間的訪問關(guān)系。397.2防火墻與DMZ設(shè)計(jì)訪問安全策略（1）內(nèi)網(wǎng)可以訪問外網(wǎng)。（2）內(nèi)網(wǎng)可以訪問DMZ。（3）外網(wǎng)不能訪問內(nèi)網(wǎng)。（4）外網(wǎng)可以訪問DMZ。（5）DMZ不能訪問內(nèi)網(wǎng)。（6）DMZ不能訪問外網(wǎng)。407.2防火墻與DMZ設(shè)計(jì)7.2.3DMZ的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)1．單防火墻DMZ網(wǎng)絡(luò)結(jié)構(gòu)單防火墻DMZ結(jié)構(gòu)將網(wǎng)絡(luò)劃分為三個(gè)區(qū)域，內(nèi)網(wǎng)（LAN）、外網(wǎng)（Internet）和DMZ。DMZ是外網(wǎng)與內(nèi)網(wǎng)之間附加的一個(gè)安全層，這個(gè)安全區(qū)域也稱為屏蔽子網(wǎng)、過濾子網(wǎng)等。這種網(wǎng)絡(luò)結(jié)構(gòu)構(gòu)建成本低，多用于小型企業(yè)網(wǎng)絡(luò)設(shè)計(jì)。417.2防火墻與DMZ設(shè)計(jì)[案例]單防火墻DMZ網(wǎng)絡(luò)結(jié)構(gòu)427.2防火墻與DMZ設(shè)計(jì)2．雙防火墻DMZ網(wǎng)絡(luò)結(jié)構(gòu)防火墻通常與邊界路由器協(xié)同工作，邊界路由器是網(wǎng)絡(luò)安全的第一道屏障。通常的方法是在路由器中設(shè)置數(shù)據(jù)包過濾和NAT功能，讓防火墻完成特定的端口阻塞和數(shù)據(jù)包檢查，這樣在整體上提高了網(wǎng)絡(luò)性能。437.2防火墻與DMZ設(shè)計(jì)[案例]雙防火墻DMZ網(wǎng)絡(luò)結(jié)構(gòu)447.2防火墻與DMZ設(shè)計(jì)7.2.4PIX防火墻配置命令1.接口配置命令interfaceInterface的功能是開啟或關(guān)閉接口、配置接口的速度、對(duì)接口進(jìn)行命名等。新防火墻的各個(gè)端口都是關(guān)閉的，如果不進(jìn)行任何配置，則防火墻無法工作。防火墻接口速度可以手工配置和自動(dòng)配置。457.2防火墻與DMZ設(shè)計(jì)（1）配置接口速度命令格式：interfaceethernet0auto//對(duì)e0接口設(shè)置為自動(dòng)設(shè)置連接速度//命令格式：interfaceethernet2100ful//為接口2手工指定連接速度為100M//467.2防火墻與DMZ設(shè)計(jì)（2）關(guān)閉與開啟接口防火墻打開的接口不用時(shí)要及時(shí)關(guān)閉。打開的接口越多，會(huì)影響防火墻的運(yùn)行效率?？捎貌粠?shù)的shutdown命令關(guān)閉防火墻接口。注意：打開接口不采用noshutdown命令。477.2防火墻與DMZ設(shè)計(jì)2.別名配置命令nameif廠商會(huì)為防火墻接口配置默認(rèn)名，如ethernet0等。網(wǎng)絡(luò)工程師可以用更加直觀的名字來描述接口的用途。如用outside命令說明這個(gè)接口用來連接外部網(wǎng)絡(luò)；用inside命令說明這個(gè)接口用來連接內(nèi)部網(wǎng)絡(luò)。命令格式：nameif<接口名><接口別名><安全級(jí)別>487.2防火墻與DMZ設(shè)計(jì)3.地址配置命令I(lǐng)Paddress防火墻的IP地址可以通過DHCP自動(dòng)獲得；也可以通過手工設(shè)置IP地址。命令格式：ipadress<接口別名><IP地址>[<網(wǎng)絡(luò)掩碼>]防火墻的接口IP地址，在整個(gè)內(nèi)部網(wǎng)絡(luò)中必須保持唯一，否則會(huì)造成IP地址沖突。沒有配置網(wǎng)絡(luò)掩碼時(shí)，防火墻會(huì)根據(jù)內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，自動(dòng)設(shè)置一個(gè)網(wǎng)絡(luò)掩碼。497.2防火墻與DMZ設(shè)計(jì)4.地址轉(zhuǎn)換配置命令NAT、Global、StaticNAT命令可以將內(nèi)部的一組IP地址轉(zhuǎn)換成為外部的公網(wǎng)地址；global命令用于定義用網(wǎng)絡(luò)地址轉(zhuǎn)換命令NAT轉(zhuǎn)換成的地址或者地址的范圍。企業(yè)只有一個(gè)公有IP地址時(shí)，可以利用static命令實(shí)現(xiàn)端口的重定向配置。507.2防火墻與DMZ設(shè)計(jì)5.測(cè)試命令I(lǐng)CMPPing與Debug是常用的測(cè)試命令。防火墻在默認(rèn)情況下，會(huì)拒絕所有來自外部接口的ICMP數(shù)據(jù)包流量，這主要是出于安全方面的考慮。如果需要防火墻接收來自外部的ICMP流量，就需要利用permit命令來允許防火墻通過ICMP流量。命令格式：icmppermitanyanyoutside測(cè)試完后，最好讓防火墻拒絕接收外部接口的ICMP流量，這可以防止DOS等攻擊。517.2防火墻與DMZ設(shè)計(jì)6.配置保存命令writememory對(duì)防火墻所做的更改，不會(huì)直接寫入防火墻閃存中。防火墻先把它存放在RAM中，防火墻重啟后，更改的配置就會(huì)丟失。當(dāng)配置測(cè)試無誤后可以用writememory命令將更改的配置寫入到閃存中。527.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)537.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)7.3.1IDS網(wǎng)絡(luò)安全設(shè)計(jì)1．IDS（入侵檢測(cè)系統(tǒng)）IDS分為實(shí)時(shí)入侵檢測(cè)和事后入侵檢測(cè)。實(shí)時(shí)入侵檢測(cè)在網(wǎng)絡(luò)連接過程中進(jìn)行，IDS發(fā)現(xiàn)入侵跡象立即斷開入侵者與主機(jī)的連接，實(shí)施數(shù)據(jù)恢復(fù)。事后入侵檢測(cè)由網(wǎng)絡(luò)管理人員定期或不定期進(jìn)行。入侵檢測(cè)系統(tǒng)本質(zhì)上是一種“嗅探設(shè)備”。547.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)2．IDS常用入侵檢測(cè)方法IDS常用檢測(cè)方法有：特征檢測(cè)、統(tǒng)計(jì)檢測(cè)與專家系統(tǒng)。國(guó)內(nèi)90%的IDS使用特征檢測(cè)方法。特征檢測(cè)與計(jì)算機(jī)病毒檢測(cè)方式類似，主要是對(duì)數(shù)據(jù)包進(jìn)行特征模式匹配，但對(duì)于采用新技術(shù)和新方法的入侵與攻擊行為則無能為力。統(tǒng)計(jì)檢測(cè)常用異常檢測(cè)。測(cè)量參數(shù)包括：事件的數(shù)量、間隔時(shí)間、資源消耗情況等。557.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)3.IDS網(wǎng)絡(luò)安全設(shè)計(jì)IDS可以串聯(lián)或并聯(lián)的部署在網(wǎng)絡(luò)中各個(gè)關(guān)鍵位置。[P178圖7-7]IDS在網(wǎng)絡(luò)中的位置567.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)[案例]IDS產(chǎn)品外觀577.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)（1）IDS安裝在網(wǎng)絡(luò)邊界區(qū)域。IDS非常適合于安裝在網(wǎng)絡(luò)邊界處，如防火墻的兩端以及到其他網(wǎng)絡(luò)連接處。如果IDS2與路由器并聯(lián)安裝，可以實(shí)時(shí)監(jiān)測(cè)進(jìn)入到內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包，但是這個(gè)位置的帶寬很高，IDS性能必須跟上通信流的速度。587.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)（2）IDS系統(tǒng)安裝在服務(wù)器群區(qū)域。對(duì)于流量速度不是很高的應(yīng)用服務(wù)器，安裝IDS是非常好的選擇；對(duì)于流量速度高，而且特別重要的服務(wù)器，可以考慮安裝專用IDS進(jìn)行監(jiān)測(cè)。DMZ往往是遭受攻擊最多的區(qū)域，在此部署一臺(tái)IDS非常必要。597.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)（3）IDS系統(tǒng)安裝在網(wǎng)絡(luò)主機(jī)區(qū)域?？梢詫DS安裝在主機(jī)區(qū)域，從而監(jiān)測(cè)位于同一交換機(jī)上的其他主機(jī)是否存在攻擊現(xiàn)象。如IDS部署在內(nèi)部各個(gè)網(wǎng)段，可以監(jiān)測(cè)來自內(nèi)部的網(wǎng)絡(luò)攻擊行為。（4）網(wǎng)絡(luò)核心層。網(wǎng)絡(luò)核心層帶寬非常高，不適宜布置IDS。607.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)4.IDS存在的問題（1）誤報(bào)/漏報(bào)率高。（2）沒有主動(dòng)防御能力。（3）缺乏準(zhǔn)確定位和處理機(jī)制。617.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)[案例]IDS在網(wǎng)絡(luò)中的應(yīng)用627.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)[案例]IDS在網(wǎng)絡(luò)中的應(yīng)用637.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)7.3.2IPS網(wǎng)絡(luò)安全設(shè)計(jì)1．IPS（入侵防御系統(tǒng)）的功能IPS不但能檢測(cè)入侵的發(fā)生，而且能實(shí)時(shí)終止入侵行為。IPS一般部署在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)它檢測(cè)到攻擊企圖后，它會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷。647.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)[案例]IPS產(chǎn)品外觀657.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)[案例]IPS工作原理667.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)2．IPS的性能參數(shù)IPS的吞吐率與延時(shí)重要的性能參數(shù)。不同廠家IPS支持的協(xié)議數(shù)量、默認(rèn)功能開啟程度、檢測(cè)精細(xì)度、承受攻擊的時(shí)間等指標(biāo)差異極大，獲取性能指標(biāo)的前提條件有很大不同。高性能的IPS往往伴隨著高成本。677.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)3．IPS在網(wǎng)絡(luò)中的部署IDS設(shè)備在網(wǎng)絡(luò)中采用旁路式連接；IPS在網(wǎng)絡(luò)中采用串接式連接。串接工作模式保證所有網(wǎng)絡(luò)數(shù)據(jù)都必須經(jīng)過IPS設(shè)備，IPS檢測(cè)數(shù)據(jù)流中的惡意代碼，核對(duì)策略，在未轉(zhuǎn)發(fā)到服務(wù)器之前，將信息包或數(shù)據(jù)流阻截。IPS是網(wǎng)關(guān)型設(shè)備，最好串接在網(wǎng)絡(luò)出口處，IPS經(jīng)常部署在網(wǎng)關(guān)出口的防火墻和路由器之間，監(jiān)控和保護(hù)內(nèi)部網(wǎng)絡(luò)。687.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)[P179圖7-8]IPS在網(wǎng)絡(luò)中的位置697.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)[案例]IPS在網(wǎng)絡(luò)中的應(yīng)用707.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)4.IPS存在的問題（1）單點(diǎn)故障。（2）性能瓶頸。（3）誤報(bào)和漏報(bào)。（4）規(guī)則動(dòng)態(tài)更新。（5）總體擁有成本（TOC）較高。717.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)[案例]統(tǒng)一威脅隔離系統(tǒng)（UTM）727.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)7.3.3ACL網(wǎng)絡(luò)安全技術(shù)1.ACL（訪問控制列表）工作原理ACL是網(wǎng)絡(luò)設(shè)備處理數(shù)據(jù)包轉(zhuǎn)發(fā)的一組規(guī)則。ACL采用包過濾技術(shù)，在路由器中讀取第三層和第四層數(shù)據(jù)包包頭中的信息，如源地址、目的地址、源端口、目的端口等，然后根據(jù)網(wǎng)絡(luò)工程師預(yù)先定義好的ACL規(guī)則，對(duì)數(shù)據(jù)包進(jìn)行過濾，從而達(dá)到訪問控制的目的。737.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)[案例]ACL處理流程747.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)2.ACL配置的基本原則

（1）最小權(quán)限原則。只滿足ACL部分條件的數(shù)據(jù)包不允許通過。（2）最靠近受控對(duì)象原則。標(biāo)準(zhǔn)ACL盡可能放置在靠近目的地址的地方；擴(kuò)展ACL盡量放置在靠近源地址的地方。（3）立即終止原則。（4）默認(rèn)丟棄原則。如果數(shù)據(jù)包與所有ACL行都不匹配，將被丟棄。757.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)（5）單一性原則。一個(gè)接口在一個(gè)方向上只能有一個(gè)ACL。（6）默認(rèn)設(shè)置原則。路由器或三層交換機(jī)在沒有配置ACL的情況下，默認(rèn)允許所有數(shù)據(jù)包通過。防火墻在在沒有配置ACL的情況下，默認(rèn)不允許所有數(shù)據(jù)包通過。767.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)3.標(biāo)準(zhǔn)ACL配置（1）創(chuàng)建ACL命令格式：Router(config)#access-list<ACL表號(hào)>{permit|deny}{<源IP地址|host><通配符掩碼>|any}（2）將ACL應(yīng)用到某一接口命令格式：Router(config-if)#

{protocol}access-group<ACL表號(hào)>{in|out}777.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)4.擴(kuò)展ACL配置標(biāo)準(zhǔn)ACL只能控制源IP地址，不能控制到端口。要控制第四層的端口，需要使用擴(kuò)展ACL配置。如果路由器沒有硬件ACL加速功能，它會(huì)消耗路由器大量的CPU資源，因此擴(kuò)展ACL要盡量放置在靠近源地址的地方。命令格式：Router(config)#

access-list<ACL表號(hào)>{permit|deny}{<協(xié)議名稱>|<端口號(hào)>}{<源IP地址><通配符掩碼>}{<目的IP地址><通配符掩碼>}[<關(guān)系><協(xié)議名稱>][log]787.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)5.ACL單向訪問控制問題：重要部門（如財(cái)務(wù)部）的主機(jī)不允許其他部門訪問，而這個(gè)部門卻可以訪問其他的部門（如市場(chǎng)部）的主機(jī)。ACL可以實(shí)現(xiàn)單向訪問功能。命令格式：Router(config)#

access-list<ACL表號(hào)>{permit|deny}<協(xié)議名稱><源IP地址><源通配符掩碼>[operatorport]<目標(biāo)IP地址><目標(biāo)通配符掩碼>[operatorport][established][log]797.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)7.3.4VPN網(wǎng)絡(luò)安全設(shè)計(jì)2．VPN的概念定義：使用IP機(jī)制仿真出一個(gè)私有的廣域網(wǎng)。VPN通過私有隧道技術(shù)，在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線。虛擬是指用戶不需要擁有實(shí)際的長(zhǎng)途數(shù)據(jù)線路，而是利用Internet的數(shù)據(jù)傳輸線路；專用網(wǎng)絡(luò)是指用戶可以制定一個(gè)最符合自己需求的網(wǎng)絡(luò)。VPN是在Internet上臨時(shí)建立的安全專用虛擬網(wǎng)絡(luò)。807.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)3．VPN隧道技術(shù)工作原理隧道是一種數(shù)據(jù)加密傳輸技術(shù)。數(shù)據(jù)包通過隧道進(jìn)行安全傳輸。被封裝的數(shù)據(jù)包在隧道的兩個(gè)端點(diǎn)之間通過Internet進(jìn)行路由。被封裝的數(shù)據(jù)包在公共互聯(lián)網(wǎng)上傳遞時(shí)所經(jīng)過的邏輯路徑稱為隧道。數(shù)據(jù)包一旦到達(dá)隧道終點(diǎn)，將被解包并轉(zhuǎn)發(fā)到最終目的主機(jī)。817.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)[案例]VPN隧道827.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)[P183圖7-10]隧道技術(shù)工作原理837.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)在數(shù)據(jù)傳輸過程中，用戶和VPN服務(wù)器之間可以協(xié)商數(shù)據(jù)加密傳輸。加密之后，即使是ISP也無法了解數(shù)據(jù)包的內(nèi)容。即使用戶不對(duì)數(shù)據(jù)加密，NAS和VPN服務(wù)器建立的隧道兩側(cè)也可以協(xié)商加密傳輸，這使得Internet上的其他用戶無法識(shí)別隧道中傳輸?shù)臄?shù)據(jù)信息。因此VPN服務(wù)的安全性是有保證的。847.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)4．VPN工作協(xié)議VPN有兩種隧道協(xié)議：PPTP（點(diǎn)到點(diǎn)隧道協(xié)議）PPTP是PPP的擴(kuò)展，它增加了安全等級(jí)，并且可以通過Internet進(jìn)行多協(xié)議通信。L2TP（第二層隧道協(xié)議）L2TP與PPTP功能大致相同。不同的是L2TP使用IPSec機(jī)制進(jìn)行身份驗(yàn)證和數(shù)據(jù)加密。L2TP只支持IP網(wǎng)絡(luò)建立的隧道，不支持X.25、FR或ATM網(wǎng)絡(luò)的本地隧道。857.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)[案例]IPv6中IPSec協(xié)議的實(shí)現(xiàn)867.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)5.VPN網(wǎng)絡(luò)設(shè)計(jì)構(gòu)建VPN只需在資源共享處放置一臺(tái)VPN服務(wù)器即可。（1）自建VPN網(wǎng)絡(luò)企業(yè)可以自建VPN網(wǎng)絡(luò)，在企業(yè)總部和分支機(jī)構(gòu)中安裝專用VPN設(shè)備，或在路由器、防火墻等設(shè)備中配置VPN協(xié)議，就可以將各個(gè)外地機(jī)構(gòu)與企業(yè)總部安全地連接在一起了。自建VPN的優(yōu)勢(shì)在于可控制性強(qiáng)，可以滿足企業(yè)的某些特殊業(yè)務(wù)要求。877.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)[P185圖7-11]企業(yè)自建VPN結(jié)構(gòu)887.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)[案例]VPN端到端安全保證897.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)（2）外包VPN網(wǎng)絡(luò)電信企業(yè)、ISP目前都提供VPN外包服務(wù)。VPN外包可以簡(jiǎn)化企業(yè)網(wǎng)絡(luò)部署，但降低了企業(yè)對(duì)網(wǎng)絡(luò)的控制權(quán)。[P185圖7-12]企業(yè)擴(kuò)展虛擬網(wǎng)結(jié)構(gòu)907.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)[案例]ISP的VPN網(wǎng)絡(luò)917.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)[案例]VPN在企業(yè)網(wǎng)絡(luò)中的應(yīng)用927.3網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)[案例]VPN在企業(yè)網(wǎng)絡(luò)中的應(yīng)用937.4網(wǎng)絡(luò)物理隔離設(shè)計(jì)947.4網(wǎng)絡(luò)物理隔離設(shè)計(jì)7.4.1網(wǎng)絡(luò)隔離的技術(shù)特點(diǎn)我國(guó)《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》規(guī)定：涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)，不得直接或間接地與國(guó)際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)相連接，必須實(shí)行物理隔離。957.4網(wǎng)絡(luò)物理隔離設(shè)計(jì)1．網(wǎng)絡(luò)隔離技術(shù)的發(fā)展隔離技術(shù)物理隔離（物理隔離卡或物理隔離交換機(jī)）協(xié)議隔離（安全網(wǎng)閘）網(wǎng)絡(luò)物理隔離卡確保了計(jì)算機(jī)在同一時(shí)間只能訪問一個(gè)網(wǎng)絡(luò)，兩個(gè)網(wǎng)絡(luò)在同一時(shí)間內(nèi)不會(huì)有任何連接。網(wǎng)絡(luò)物理隔離卡解決了網(wǎng)絡(luò)的攻擊問題，缺點(diǎn)是信息交流仍然不便。967.4網(wǎng)絡(luò)物理隔離設(shè)計(jì)[案例]網(wǎng)絡(luò)安全技術(shù)的發(fā)展977.4網(wǎng)絡(luò)物理隔離設(shè)計(jì)2．網(wǎng)絡(luò)隔離的安全要求網(wǎng)絡(luò)隔離必須達(dá)到以下要求：在物理傳輸上使內(nèi)網(wǎng)與外網(wǎng)徹底隔斷。在物理輻射上隔斷內(nèi)網(wǎng)與外網(wǎng)。在物理存儲(chǔ)上隔斷兩個(gè)網(wǎng)絡(luò)環(huán)境。對(duì)于斷電后會(huì)清除信息的部件，如內(nèi)存、CPU寄存器等，要在內(nèi)外網(wǎng)絡(luò)轉(zhuǎn)換時(shí)做清除處理，防止殘留信息流出網(wǎng)絡(luò)。對(duì)于斷電后數(shù)據(jù)非遺失性設(shè)備，如硬盤等，內(nèi)網(wǎng)與外網(wǎng)的信息要分開存儲(chǔ)（不能使用同一個(gè)硬盤）。987.4網(wǎng)絡(luò)物理隔離設(shè)計(jì)網(wǎng)絡(luò)隔離產(chǎn)品比防火墻高一個(gè)安全級(jí)別。網(wǎng)絡(luò)隔離產(chǎn)品的安全措施：對(duì)操作系統(tǒng)進(jìn)行加固優(yōu)化；由兩套操作系統(tǒng)(OS)組成;一套OS控制外網(wǎng)接口，另一套OS控制內(nèi)網(wǎng)接口，在兩套操作系統(tǒng)之間通過不可路由的協(xié)議進(jìn)行數(shù)據(jù)交換。即使黑客進(jìn)入了內(nèi)網(wǎng)系統(tǒng)，仍然無法控制內(nèi)網(wǎng)系統(tǒng)。數(shù)據(jù)包不能路由到對(duì)方網(wǎng)絡(luò)。對(duì)網(wǎng)間訪問進(jìn)行嚴(yán)格控制和檢查，確保每次數(shù)據(jù)交換都是可信和可控制的。產(chǎn)品要求很高的處理性能，不能成為網(wǎng)絡(luò)的瓶頸。997.4網(wǎng)絡(luò)物理隔離設(shè)計(jì)7.4.2網(wǎng)絡(luò)物理隔離工作原理1．單主板安全隔離計(jì)算機(jī)工作原理：采用雙硬盤，將內(nèi)網(wǎng)與外網(wǎng)的轉(zhuǎn)換功能嵌入在主板BIOS中。主板網(wǎng)卡也分為內(nèi)網(wǎng)和外網(wǎng)。價(jià)格介于雙主機(jī)和網(wǎng)絡(luò)物理隔離卡之間。這種安全技術(shù)在低層的BIOS上開發(fā)，因此CPU、內(nèi)存、顯卡等設(shè)備的升級(jí)，不會(huì)給計(jì)算機(jī)帶來不兼容的影響。1007.4網(wǎng)絡(luò)物理隔離設(shè)計(jì)計(jì)算機(jī)形成了兩個(gè)網(wǎng)絡(luò)物理隔離環(huán)境，它們分別對(duì)應(yīng)于Internet和內(nèi)部局域網(wǎng)，構(gòu)成了網(wǎng)絡(luò)接入和信息存儲(chǔ)環(huán)境的各自獨(dú)立。計(jì)算機(jī)每次啟動(dòng)后，只能工作在一種網(wǎng)絡(luò)環(huán)境下。BIOS還可以對(duì)所有輸入/輸出設(shè)備進(jìn)行控制。例如，對(duì)U盤、光驅(qū)提供限制功能，在系統(tǒng)引導(dǎo)時(shí)不允許驅(qū)動(dòng)器中有移動(dòng)存儲(chǔ)介質(zhì)。BIOS自身的安全采用硬件防寫入跳線，防止病毒破壞、非法刷新或破壞BIOS的攻擊行為。1017.4網(wǎng)絡(luò)物理隔離設(shè)計(jì)2．雙主板安全隔離計(jì)算機(jī)每臺(tái)計(jì)算機(jī)有兩塊主板，每塊主板一個(gè)網(wǎng)卡，分別連接內(nèi)網(wǎng)和外網(wǎng)。每塊主板有一個(gè)串行口，雙端口RAM是連接兩塊主板的唯一通道。[P187圖7-14]雙主板安全隔離計(jì)算機(jī)結(jié)構(gòu)1027.4網(wǎng)絡(luò)物理隔離設(shè)計(jì)兩塊主板之間通過雙端口RAM進(jìn)行數(shù)據(jù)傳輸。雙端口RAM分為兩個(gè)區(qū)，第一區(qū)是內(nèi)網(wǎng)客戶端向外網(wǎng)服務(wù)器單向傳輸數(shù)據(jù)的通道；第二區(qū)是外網(wǎng)客戶端向內(nèi)網(wǎng)服務(wù)器單向傳輸數(shù)據(jù)時(shí)的通道。平時(shí)內(nèi)網(wǎng)與外網(wǎng)之間是斷開的，雙端口RAM處于斷開狀態(tài)。當(dāng)有數(shù)據(jù)傳輸時(shí)，內(nèi)網(wǎng)與外網(wǎng)才通過雙端口RAM進(jìn)行數(shù)據(jù)傳輸。1037.4網(wǎng)絡(luò)物理隔離設(shè)計(jì)3．物理隔離卡技術(shù)物理隔離卡分為單網(wǎng)口卡和雙網(wǎng)口卡。[P187圖7-15]物理隔離卡結(jié)構(gòu)1047.4網(wǎng)絡(luò)物理隔離設(shè)計(jì)[案例]物理隔離卡1057.4網(wǎng)絡(luò)物理隔離設(shè)計(jì)采用物理隔離卡時(shí)，需要在主板BIOS中做一些定制和修改，將內(nèi)網(wǎng)與外網(wǎng)的轉(zhuǎn)換功能嵌入BIOS中。工作原理：物理隔離卡采用雙硬盤，啟動(dòng)外網(wǎng)時(shí)關(guān)閉內(nèi)網(wǎng)硬盤，啟動(dòng)內(nèi)網(wǎng)時(shí)關(guān)閉外網(wǎng)硬盤，使兩個(gè)網(wǎng)絡(luò)和硬盤進(jìn)行物理隔離。這種技術(shù)的優(yōu)點(diǎn)是價(jià)格低。進(jìn)行內(nèi)網(wǎng)與外網(wǎng)轉(zhuǎn)換時(shí)，需要重新啟動(dòng)計(jì)算機(jī)。1067.4網(wǎng)絡(luò)物理隔離設(shè)計(jì)物理隔離卡的功能是以物理方式將一臺(tái)計(jì)算機(jī)機(jī)虛擬為兩臺(tái)計(jì)算機(jī)，實(shí)現(xiàn)計(jì)算機(jī)的雙重狀態(tài)，既可在內(nèi)部安全狀態(tài)，又可在公共外部狀態(tài)，兩種狀態(tài)是完全隔離的。物理隔離卡與操作系統(tǒng)無關(guān)，兼容所有操作系統(tǒng)，可以應(yīng)用于所有SATA或IDE接口硬盤。物理隔離卡對(duì)網(wǎng)絡(luò)技術(shù)和協(xié)議完全透明，支持單或雙布線的隔離網(wǎng)絡(luò)。1077.4網(wǎng)絡(luò)物理隔離設(shè)計(jì)[案例]物理隔離卡在網(wǎng)絡(luò)中的應(yīng)用1087.4網(wǎng)絡(luò)物理隔離設(shè)計(jì)6．隔離交換機(jī)隔離交換機(jī)簡(jiǎn)化了用戶PC到隔離交換機(jī)之間的布線，使用戶端不需要布放雙網(wǎng)線。隔離交換機(jī)根據(jù)數(shù)據(jù)包包頭的標(biāo)記信息來決定數(shù)據(jù)包是通過內(nèi)網(wǎng)還是通過外網(wǎng)。利用物理隔離卡、計(jì)算機(jī)和隔離交換機(jī)組成的網(wǎng)絡(luò)，是徹底的物理隔離網(wǎng)絡(luò)，兩個(gè)網(wǎng)絡(luò)之間沒有信息交流，因此可以抵御所有的網(wǎng)絡(luò)攻擊。1097.4網(wǎng)絡(luò)物理隔離設(shè)計(jì)[P188圖7-17]隔離交換機(jī)1107.4網(wǎng)絡(luò)物理隔離設(shè)計(jì)[P188圖7-17]隔離交換機(jī)應(yīng)用1117.4網(wǎng)絡(luò)物理隔離設(shè)計(jì)[P188圖7-17]隔離交換機(jī)應(yīng)用1127.4網(wǎng)絡(luò)物理隔離設(shè)計(jì)7．物理隔離卡產(chǎn)品的技術(shù)性能（1）兼容性（2）網(wǎng)絡(luò)環(huán)境（3）操作系統(tǒng)（4）硬盤規(guī)格（5）安裝簡(jiǎn)單（6）維護(hù)簡(jiǎn)單1137.4網(wǎng)絡(luò)物理隔離設(shè)計(jì)7.4.3安全隔離網(wǎng)閘工作原理GAP（安全隔離網(wǎng)閘）通過專用硬件和軟件技術(shù)，使兩個(gè)或者兩個(gè)以上的網(wǎng)絡(luò)在不連通的情況下，實(shí)現(xiàn)數(shù)據(jù)安全傳輸和資源共享。1147.4網(wǎng)絡(luò)物理隔離設(shè)計(jì)1．GAP技術(shù)的特點(diǎn)GAP由固態(tài)讀寫開關(guān)和存儲(chǔ)介質(zhì)系統(tǒng)組成，存儲(chǔ)介質(zhì)通常采用SCSI硬盤。GAP在同一時(shí)刻只有一個(gè)網(wǎng)絡(luò)與安全隔離網(wǎng)閘建立無協(xié)議的數(shù)據(jù)連接。GAP沒有網(wǎng)絡(luò)連接，并將通信協(xié)議全部剝離。數(shù)據(jù)文件以原始數(shù)據(jù)方式進(jìn)行“擺渡”，因此，它能夠抵御互聯(lián)網(wǎng)絕大部分攻擊。115