标准规范下载简介
GB/T 25068.4-2022 信息技术 安全技术 网络安全 第4部分:使用安全网关的网间通信安全保护.pdf简介:
GB/T 25068.4-2022,中文名为《信息技术 安全技术 网络安全 第4部分:使用安全网关的网间通信安全保护简介》,是关于网络安全领域的一项国家标准。它主要关注在不同网络之间进行通信时,通过安全网关进行的安全保护措施和指导原则。安全网关,也称为防火墙,是一种网络安全设备,用于监控、控制和保护网络流量,防止未经授权的访问和保护数据安全。
该标准详细规定了安全网关在网间通信中的应用,包括但不限于以下内容:
1. 安全网关的配置和管理:如何设置和调整安全网关的规则以适应不同的网络环境和安全需求。 2. 网络流量分析:如何通过安全网关进行数据包过滤、协议识别和威胁检测,以识别潜在的网络安全威胁。 3. 访问控制:如何通过安全网关实现对用户和资源的访问控制,确保只有授权的用户和数据可以穿过网关。 4. 加密与身份验证:如何使用加密技术保护数据传输过程中的安全,以及如何进行用户身份验证。 5. 安全事件管理和响应:如何处理和响应安全网关检测到的安全事件,包括报警机制和应急措施。
遵循这一标准,网络管理员和相关专业人士能够更好地理解和实施网络安全策略,保护网络环境免受各种攻击,确保数据和信息的机密性、完整性和可用性。
GB/T 25068.4-2022 信息技术 安全技术 网络安全 第4部分:使用安全网关的网间通信安全保护.pdf部分内容预览:
信息技术安全技术网络安全 第4部分:使用安全网关的网间 通信安全保护
本文件提供了使用安全网关(防火墙、应用防火墙、人侵防护系统等)的网络间通信安全保护指 南,这些安全网关按照文档化的信息安全策略进行通信,指南包括: a)识别和分析与安全网关相关的网络安全威胁; b)基于威胁分析来定义安全网关的网络安全需求; c)使用设计和实现的技术来解决与典型的网络场景相关的威胁和控制方面的问题; d)指出实施、操作、监视和评审网络安全网关控制措施相关的问题。
本文件的结构包括: 安全网关的概述(见第6章): 与安全网关相关的安全威胁(见第7章); 基于对安全网关分析后的安全需求(见第8章); 与使用安全网关的典型网络场景和网络技术领域相关的安全控制措施(见第9章); 安全网关的各种设计技术(见第10章); 产品选择指南(见第11章)。
安全网关位于两个或多个网段边界处,例如DB5101/T 124.2-2021标准下载,在组织的内网和公共网络之间,安全网关根据服务访
问策略过滤跨边界的流量。安全网关的另一个用途是将多租户服务进行网络分段,例如在使用云服务 时,安全网关将根据组织的安全策略来保护组织的信息。 图1展示了一个网络环境示例,该示例仅适用于本章。DMZ,也叫边界网络,是一个包含有组织开 放给公共网络(互联网)的外部服务的物理或逻辑子网。DMZ的目的是为组织内网额外增加一个安全 层,使得外部攻击者只能访问DMZ中的服务,而不能访问内网的任何其他部分。所有访问服务的外部 连接都宜控制在DMZ内,DMZ系统访问内部系统的权限宜最小化或禁用。以这种方式设计的网络并 不能根除内部网络泄露的风险,但会增加泄露的难度。能够破坏边界网络内服务的人侵者,就可能寻机 找出另一个能访问内网的漏洞。因此,宜尽可能保证内网的安全
大多数组织的网络会有多个“区域”或DM亿,为网络、应用和数据库层所用,或用于满足一些合规性 和法规要求。 目前存在包含多个功能领域的“混合”解决方案。很多包过滤防火墙现在代理某些服务,并且包含 了更多的控制粒度,如角色、时间等。 组织拥有的内联网由组织授权的人员管理和维护。任何规模的组织都宜划分独立网段,由内部安 全网关控制网段之间的流量。内联网中可为特殊用途设置隔离的基础设施。例如,如果将一个WLAN 作为内联网的一部分,可能会带来额外的风险,宜将WLAN分网段隔离并需设立进一步的鉴别,就可 利用内部安全网关来保护组织资产免受来自此网段的攻击。 组织利用外联网将内联网扩展到合作伙伴网络,实现了与受信任的第三方进行通信和交换数据。 外联网的安全网关可用于处理此扩展引发的威胁。当使用云计算等服务时,安全网关被用于限制访问 并根据组织的安全策略管理逻辑网络。组织通过公共网络与业务伙伴、客户和普通公众进行必要的通 信和数据交换,最常用的公共网络就是互联网。由于公共网络的信任级别相对较低,因此需要使用安全 网关:即互联网网关来应对公共网络带来的风险。
未经授权的访问尝试可能是恶意访问,例如导致DoS攻击、资源滥用或未经授权访问有价值信息。 组织宜保护其内网和资产免受诸如蓄意滥用资产、系统配置错误、来自组织内部其他可信区域的未授权 流量进人,或其他来自互联网应用服务的各种威胁。 安全网关需要保护组织免受来自内网、互联网或第三方网络的未授权用户访问人侵。从组织外流 的不受监控的内容,可能会引发法律问题和知识产权损失。 此外,当越来越多的组织连接到互联网,组织就面临对不恰当的、令人反感的网站或网络应用程序 及服务进行访问控制的需要。如果不加控制,组织将面临生产力流失、责任风险和与工作无关的上网占 用带宽等威胁。需要应对的主要安全威胁包括: 一对授权用户的DoS; 一一未经授权修改数据; 一未经授权泄露数据; 一未经授权的系统重置; 未经授权使用组织的资源和资产; 未经授权的内容横向传播,如病毒和恶意软件; 虚拟化违规; 对安全网关的DoS和DDoS攻击
安全网关用于满足以下安全需求
图2 开放系统互连基本参考模型OSI七层模型
表1威胁与安全需求之间的关系
对于每个安全网关,宜开发一个单独的服务访问(安全性)策略文档,并实现相应的内容,以确保 经过授权的流量通过。该策略文档宜包含网关所需要的详细的管理规则集与网关配置信息。需 策略等级制度生效:任何组织不限规模都可制定适用于整个组织的通用策略,可能是面对整个安 类的通用强化策略,也可能在通用强化之上针对特定设备的特定强化策略。因此,为了确保通信
应用防火墙对应用层协议通信进行分析,例如,宜按照代表HTTP正确操作的规则来配置Web应
入侵是一种对网络或有网络连接系统的未经授权的访问。例如,故意或者偶然对信息系统的未经 授权访问、对信息系统的恶意行为或者未经授权使用信息系统的资源。人侵防御是积极响应防止人侵 的一个规范过程。人侵防御系统是为提供主动响应能力而设计的人侵检测系统的一个变化,而人侵检 测系统只是检测已经尝试、正在发生或已经发生的可能的入侵,并通知管理员有入侵。
集中管理功能允许对组织网络中部署的安全网关进行适当且有效的管理,宜由安全网关提供安全 管理API,用于组织中的远程集中管理。 这种集中管理功能有助于安全网关在操作和配置方面的远程管理。 宜由安全网关识别和认证远程安全管理员。此远程管理API宜为网络管理员提供管理、监视和排 除安全网关故障的工具
交换机用于为每个物理端口提供全网络带宽的高速通信。通常来说,交换机位于OSI模型第2 层,广泛用于对局域网进行分段。此外,在实现VLAN技术时,交换机可以提供子网隔离。可通过使用 ACL来控制交换机与连接到该交换机的节点之间的流量。ACL可以应用于OSI模型第2层、第3层 和第4层。交换机提供的访问控制功能使其可以作为安全网关体系结构的组件,尤其是用于实现和构 建屏蔽子网专属的DMZ。由于存在多种威胁,在安全网关环境下使用的交换机不宜被直连到公共网络 上,例如,DoS攻击可能导致暴露的交换机包泛洪其连接的网络。 可能存在负载均衡交换机工作在第7层(应用层)的情况。这些交换机通常用来保证防火墙和服务 器的可用性(尽管防火墙通常不在第7层)。
路由器通常设计为通过支持多个网络协议来连接不同的网络,并优化网络流量和通信主机之间的 路由。此外,路由器可以用作安全网关的组件,因为它们能够以包过滤技术为基础对数据通信中的数据 包进行过滤。利用包信息检查来控制网络流量的路由器通常被称为屏蔽路由器。路由器通常在 OSI模型的第3层(网络层)工作。路由器只对数据包级别信息(如源端口和目标端口)进行分析。路由 器可以执行NAT和数据包过滤操作。
10.1.3应用层网关
应用层网关是基于硬件和软件的设备或设备组。应用层网关专门用于限制两个独立网络之间的访 问。主要有两种技术用于实现应用层网关: 一状态包检测; 一应用代理。 也可以使用这些技术的组合和变化(例如,电路级防火墙)。此外,可以由应用层网关来执行NAT。 应用层网关能理解应用程序正在使用的应用和协议,从而能够确定请求是否为合法的响应。例如,当使 用VoIP类的应用程序时,应用层网关需要理解SIP以允许连接之间的适当信息交互。
网络设备(如路由器、交换机、调制解调器等)配备加固的操作系统,所有专用于安全目的的设备都 称为安全设备,这些设备是安全软件(防火墙、IDS、IPS、防病毒保护软件等)的基础。安全设备可以满 足各种平台的多样化安全需求,从最小型的远程工位到大型企业网络甚至数据中心的平台。专用于单 机的设备被称为个人防火墙,是在单机上运行的软件应用程序,用于保护进出该计算机的流量。专用于 保护远程工位的设备被称为家庭或远程办公室或分办公室的安全设备,这些安全设备通常保护上述地 点的流量。第9章中提到的所有技术都可以通过使用安全设备来实现。
集中监控和审计功能允许对组织网络中部署的安全网关进行适当有效的监控和审计。宜确保监控 和审计功能与安全网关之间通信的安全,这些通信交换了适当的审计和监控功能所需的必要信息。 此外,每个安全网关宜建立与集中监控和审计功能进行通信的接口。这种集中监控和审计功能可 以帮助捕获安全网关的任何异常状态或捕获可能触发网关和内部系统安全漏洞的任何尝试和操作,对 用户所执行操作的责任进一步跟踪,记录违反安全策略的行为。 这种集中监控和审计功能有助于全面监控安全网关的操作和审计跟踪。此外,它还可以为管理决 策提供可描述的、高效的、易用的面板。
10.2部署安全网关控件
10.2.1包过滤防火墙体系结构
有两种类型包过滤防火墙:(有)状态和无状态。无状态数据包防火墙适用于删除畸形数据包,包括 源“错误”包,或目的地址“错误”包。源或目的地址可以通过防火墙的流动方向、包的网络地址或包的传 输层内容的端口来识别。可认为每个包与所有其他包隔离。包过滤防火墙不会破坏端到端连接。防火 墙体系结构中最基本类型的就是包过滤防火墙,如图3所示。包过滤防火墙通常被称为屏蔽路由器,本 质上是包含系统地址、通信会话访问控制功能的路由设备。在最基本的形式中GB∕T 23455-2009 外墙柔性腻子,包过滤器工作在 OSI模型第3层。
图3 包过滤防火墙或屏蔽路由器
包过滤防火墙的访问控制功能由一套指令集统一管理,这组指令集统称为规则集。这些规则集通 常也称为ACL。ACL基于包的源或目的地址、流量类型、第4层通信的某些特性(如源和目标端 口),以及有关该包出入路由器的接口信息等提供网络访问控制。 包过滤防火墙有两个主要优势:速度和灵活性。由于包过滤器通常不会检查OSI模型第4层以上
的数据,因此可以非常快速地工作。这种简易处理允许在屏蔽主机或屏蔽子网之前,先部署包过滤防火 墙作为外部路由器,如此部署位置的原因是包过滤防火墙能够阻止Dos和相关攻击。由于包过滤防火 墙不会检查上层数据(第5~第7层),故而屏蔽路由器无法阻止那些利用应用程序或功能特定漏洞的 攻击。防火墙可用信息有限导致包过滤防火墙日志记录功能受限。由于访问控制决策中使用了大量变 量,因此防火墙配置项很容易受到变量影响导致配置不当,进而产生安全漏洞。
《非金属材料的聚光加速户外暴露试验方法 GB/T20236-2015》10.2.2双宿主网关体系结构
10.2.3屏蔽主机体系结构