第3章信息系统隔离技术 隔离就是在内部系统与对外连接通道上设置阻塞点,以 便对攻击者进行监视和控制,有效地维持被保护网络的 边界安全。按照《国家信息化领导小组关于我国电子政 务建设的指导意见》,“电子政务网络由政务内网和政 务外网构成,两网之间物理隔离,政务外网与 Internet之 间逻辑隔离”,网络隔离技术从大的方面看,可以分为 逻辑隔离(主要指防火墙)和物理隔离(主要指网闸)。 本章主要介绍它们及其相关技术
第3章 信息系统隔离技术 隔离就是在内部系统与对外连接通道上设置阻塞点,以 便对攻击者进行监视和控制,有效地维持被保护网络的 边界安全。按照《国家信息化领导小组关于我国电子政 务建设的指导意见》,“电子政务网络由政务内网和政 务外网构成,两网之间物理隔离,政务外网与Internet之 间逻辑隔离”,网络隔离技术从大的方面看,可以分为 逻辑隔离(主要指防火墙)和物理隔离(主要指网闸)。 本章主要介绍它们及其相关技术
信息系统隔离技术 3.1数据过滤技术 3.2网络地址转换 3.3代理技术 34网络防火墙 3.5网络的物理隔离技术 36计算机系统的电磁防护
信息系统隔离技术 ▪ 3.1 数据过滤技术 ▪ 3.2 网络地址转换 ▪ 3.3 代理技术 ▪ 3.4 网络防火墙 ▪ 3.5 网络的物理隔离技术 ▪ 3.6 计算机系统的电磁防护
311数据过滤技术概述一 1.数据包及其结构 在网络中传输的数据是从应用程序那里递交来的。应 用程序递交给网络要传输的数据后,网络就要逐层向 下,转交给下面的一层去实施,每交到下一层,就要 按照本层的协议要求进行一次打包,形成不同协议层 中的数据包( Packet),直到物理网络。图3.1表明在 TCP/P网络中数据包的封装与解包过程。图中的虚箭 头为发送端的数据封裝过程,实箭头表示接收端的数 据解包过程
3.1.1 数据过滤技术概述 1. 数据包及其结构 在网络中传输的数据是从应用程序那里递交来的。应 用程序递交给网络要传输的数据后,网络就要逐层向 下,转交给下面的一层去实施,每交到下一层,就要 按照本层的协议要求进行一次打包,形成不同协议层 中的数据包(Packet),直到物理网络。图3.1表明在 TCP/IP网络中数据包的封装与解包过程。图中的虚箭 头为发送端的数据封装过程,实箭头表示接收端的数 据解包过程
应用层 SMTP Telnet FTP 包的封装 传输层 TCP.UDPICMP 包 网络层 数据解包 IP 网络接口层 ATM.Ethernet等 链路 图31TcPP网络中数据包的封装与解包 图中的虚箭头为发送端的数据封装过程; 实箭头表示接收端的数据解包过程 应当注意,包过滤是根据数据包的特征进行的。其中,主要 根据数据包头的一些字段的特征进行。同时,不同的协议所 规定的包头格式不同。因此在制定过滤规则前,应当充分了 解数据包的格式。前面图28介绍了TCP数据报的格式,图 29介绍了用于以太网的ARP分组格式,下面在图32中,还 列出了其他一些常用的数据包的格式,供本书后面的讨论中 使用
图3.1 TCP/IP网络中数据包的封装与解包 ▪ 图中的虚箭头为发送端的数据封装过程; 数据 传输层包头 包体 网络层包头 包体 链路层包头 包体 应用层 SMTP,Telnet,FTP TCP,UDP,ICMP 传输层 IP 网络层 网络接口层 ATM,Ethernet等 包的封装 数据解包 ▪ 实箭头表示接收端的数据解包过程。 ▪ 应当注意,包过滤是根据数据包的特征进行的。其中,主要 根据数据包头的一些字段的特征进行。同时,不同的协议所 规定的包头格式不同。因此在制定过滤规则前,应当充分了 解数据包的格式。前面图2.8介绍了TCP数据报的格式,图 2.9介绍了用于以太网的ARP分组格式,下面在图3.2中,还 列出了其他一些常用的数据包的格式,供本书后面的讨论中 使用
0 1516 31 源端山 目的端 确认号 6个控制 板验和 紧 填充 数据 图2.8TCP的报文格式 硬件地址长度 协议地址长度 的 吧“卩P家去赈 IP地址 目的地址源地址 型民雄奕 太地址应地址太地址 6 6 211 6 6 以太燃頁惑 28字节AP请求谷 图2.9用于以太网的ARP分组格式