第3章信息系统隔离技术 隔离就是在内部系统与对外连接通道上设置阻塞点,以 便对攻击者进行监视和控制,有效地维持被保护网络的 边界安全。按照《国家信息化领导小组关于我国电子政 务建设的指导意见》,“电子政务网络由政务内网和政 务外网构成,两网之间物理隔离,政务外网与 Internet之 间逻辑隔离”,网络隔离技术从大的方面看,可以分为 逻辑隔离(主要指防火墙)和物理隔离(主要指网闸)。 本章主要介绍它们及其相关技术
第3章 信息系统隔离技术 隔离就是在内部系统与对外连接通道上设置阻塞点,以 便对攻击者进行监视和控制,有效地维持被保护网络的 边界安全。按照《国家信息化领导小组关于我国电子政 务建设的指导意见》,“电子政务网络由政务内网和政 务外网构成,两网之间物理隔离,政务外网与Internet之 间逻辑隔离”,网络隔离技术从大的方面看,可以分为 逻辑隔离(主要指防火墙)和物理隔离(主要指网闸)。 本章主要介绍它们及其相关技术
信息系统隔离技术 3.1数据过滤技术 32网络地址转换 33代理技术 34网络防火墙 35网络的物理隔离技术 3.6计算机系统的电磁防护
信息系统隔离技术 ▪ 3.1 数据过滤技术 ▪ 3.2 网络地址转换 ▪ 3.3 代理技术 ▪ 3.4 网络防火墙 ▪ 3.5 网络的物理隔离技术 ▪ 3.6 计算机系统的电磁防护
311数据过滤技术概述三 1.数据包及其结构 在网络中传输的数据是从应用程序那里递交来的。应 用程序递交给网络要传输的数据后,网络就要逐层向 下,转交给下面的一层去实施,每交到下一层,就要 按照本层的协议要求进行一次打包,形成不同协议层 中的数据包( Packet),直到物理网络。图3.1表明在 TCP/P网络中数据包的封装与解包过程。图中的虚箭 头为发送端的数据封装过程,实箭头表示接收端的数 据解包过程
3.1.1 数据过滤技术概述 1. 数据包及其结构 在网络中传输的数据是从应用程序那里递交来的。应 用程序递交给网络要传输的数据后,网络就要逐层向 下,转交给下面的一层去实施,每交到下一层,就要 按照本层的协议要求进行一次打包,形成不同协议层 中的数据包(Packet),直到物理网络。图3.1表明在 TCP/IP网络中数据包的封装与解包过程。图中的虚箭 头为发送端的数据封装过程,实箭头表示接收端的数 据解包过程
应用层 SMTP Telnet FTP 包的封装 传输层 TCPUDPICMP 网络层 数据解包 IP 网络层仓头 网络接口层 ATM.Etherne等 链路层包头 包 图31 TCP/IP网络中数据包的封装与解包 ■图中的虚箭头为发送端的数据封装过程; 实箭头表示接收端的数据解包过程 ■应当注意,包过滤是根据数据包的特征进行的。其中,主要 根据数据包头的一些字段的特征进行。同时,不同的协议所 规定的包头格式不同。因此在制定过滤规则前,应当充分了 解数据包的格式。前面图28介绍了TCP数据报的格式,图 29介绍了用于以太网的ARP分组格式,下面在图32中,还 列出了其他一些常用的数据包的格式,供本书后面的讨论中 使用
图3.1 TCP/IP网络中数据包的封装与解包 ▪ 图中的虚箭头为发送端的数据封装过程; 数据 传输层包头 包体 网络层包头 包体 链路层包头 包体 应用层 SMTP,Telnet,FTP TCP,UDP,ICMP 传输层 IP 网络层 网络接口层 ATM,Ethernet等 包的封装 数据解包 ▪ 实箭头表示接收端的数据解包过程。 ▪ 应当注意,包过滤是根据数据包的特征进行的。其中,主要 根据数据包头的一些字段的特征进行。同时,不同的协议所 规定的包头格式不同。因此在制定过滤规则前,应当充分了 解数据包的格式。前面图2.8介绍了TCP数据报的格式,图 2.9介绍了用于以太网的ARP分组格式,下面在图3.2中,还 列出了其他一些常用的数据包的格式,供本书后面的讨论中 使用
0 34.78 1516.1819 2324 1 版本头标长服务类型 总长 标识 标志 片偏移 生存时间 协议 报头校验和 源IP地址 目的IP地址 IP分组选项 填充 数据 (a)IP分组格式 78 15 UDP源端口UDP目的端口 类型码代码 校验和 UDP数据报长度UDP校验和 首部其余部分 UDP数据区 数据部分 (b)UDP数据报格式 (c)cMP分组的格式 图32其它一些数据包的格式
图3.2 其它一些数据包的格式 类型码 代 码 校验和 首部其余部分 数据部分 0 … 7 8 … 15 UDP 源端口 UDP 数据区 UDP 目的端口 UDP 数据报长度 UDP 校验和 … 版本 头标长 服务类型 总 长 标 识 标志 片偏移 生存时间 协议 报头校验和 源IP地址 目的IP地址 IP分组选项 填充 数 据 0 … 3 4 … 7 8 … 15 16 … 18 19 … 23 24 … 31 (a) IP分组格式 (b) UDP数据报格式 (c) ICMP分组的格式