欢迎来到天天文库
浏览记录
ID:40240890
大小:1.05 MB
页数:83页
时间:2019-07-28
《信息系统安全原理 第3章》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第3章信息系统隔离技术隔离就是在内部系统与对外连接通道上设置阻塞点,以便对攻击者进行监视和控制,有效地维持被保护网络的边界安全。按照《国家信息化领导小组关于我国电子政务建设的指导意见》,“电子政务网络由政务内网和政务外网构成,两网之间物理隔离,政务外网与Internet之间逻辑隔离”,网络隔离技术从大的方面看,可以分为逻辑隔离(主要指防火墙)和物理隔离(主要指网闸)。本章主要介绍它们及其相关技术。信息系统隔离技术3.1数据过滤技术3.2网络地址转换3.3代理技术3.4网络防火墙3.5网络的物理隔离技术3.6计算机系统的电磁防护3.1.1数据过滤技术概述1.数据包及其结构在网络中传输的数
2、据是从应用程序那里递交来的。应用程序递交给网络要传输的数据后,网络就要逐层向下,转交给下面的一层去实施,每交到下一层,就要按照本层的协议要求进行一次打包,形成不同协议层中的数据包(Packet),直到物理网络。图3.1表明在TCP/IP网络中数据包的封装与解包过程。图中的虚箭头为发送端的数据封装过程,实箭头表示接收端的数据解包过程。图3.1TCP/IP网络中数据包的封装与解包图中的虚箭头为发送端的数据封装过程;数据包体传输层包头包体网络层包头包体链路层包头应用层SMTP,Telnet,FTPTCP,UDP,ICMP传输层IP网络层网络接口层ATM,Ethernet等包的封装数据解包实箭
3、头表示接收端的数据解包过程。应当注意,包过滤是根据数据包的特征进行的。其中,主要根据数据包头的一些字段的特征进行。同时,不同的协议所规定的包头格式不同。因此在制定过滤规则前,应当充分了解数据包的格式。前面图2.8介绍了TCP数据报的格式,图2.9介绍了用于以太网的ARP分组格式,下面在图3.2中,还列出了其他一些常用的数据包的格式,供本书后面的讨论中使用。图3.2其它一些数据包的格式类型码代码校验和首部其余部分数据部分0…78…15版本头标长服务类型总长标识标志片偏移生存时间协议报头校验和源IP地址目的IP地址IP分组选项填充数据0…34…78…1516…1819…2324…31(a)
4、IP分组格式(b)UDP数据报格式(c)ICMP分组的格式数据包中可以体现数据包特征的有关字段(1)源地址(SourceAddress)和目的地址(DestinationAddress)它们各表明数据包的源IP地址和目标IP目的地址。根据地址,还可以判断出数据流的方向:是由外部网络流入内部网络——往内(流入),还是由内部网络流入外部网络——往外(流出)。(2)标识符是发送方分配的一个独一无二的编号,用于标识同一数据报中的各分组,以便组装。(3)标志F(Flag)F共占3位:第1位恒为0;第2位为0时是可分片,为1时是不可分片;第3位为0时是最后报片,为1时是非最后报片。(4)片偏移量F
5、O(FragmentOffset)FO占13位,用以标明当前段片在初始IP分组中的位置,目的主机可以根据FO来重新组合IP分组。(5)源端口(SourcePort)和目的端口(DestinationPort)在TCP和UDP数据包中,源端口和目的端口分别表示本地通信端口和地通信端口。端口号是按照协议类型分配的,所以端口号也表明了所传输的数据包服务的协议类型。(6)协议Prot(Protocol)在IP数据包中,“协议字段”用以标识接收的IP分组中的数据的高层(传输层)协议。高层协议号由TCP/IP协议中央权威机构NIC(NetworkInformationCenter)分配,如:1——
6、控制报文协议ICMP,6——传输控制协议TCP,8——外部网关协议EGP,17——用户数据抱协议UDP,29——传输层协议第4类ISO-TP4。(7)服务类型ToS(TypeofService)在IP数据包中,ToS描述IP分组所希望获得的服务质量,占8位,包括:低延迟、高吞吐量、高可靠性,各占1位;优先级,共8级,占3位;未用2位。(8)数据包内容前面的7个字段都来自数据包头中,而数据内容则是来自数据包体中。如数据内容中一些关键词可以代表数据内容的某一方面的特征。对数据包内容的抽取,将会形成依据内容的包过滤规则。这是目前包过滤技术研究的一个重要方面。表3.1列出了RFC1349[Al
7、mquist1992]对于不同应用建议的ToS值。表3.1RFC1349[Almquist1992]对于不同应用建议的ToS值应用程序最小时延最大吞吐量最高可靠性最小费用十六进制值Telnet/Rlogin10000x10FTP控制10000x10数据01000x08任意块数据01000x08TFTP10000x10SMTP命令10000x10数据01000x08DNSUDP查询10000x10TCP查询00000x00区域传输01000x08
此文档下载收益归作者所有