GB∕T 25068.4-2022 信息技术 安全技术 网络安全 第4部分：使用安全网关的网间通信安全保护.pdf

1、ICS 35.030CCS L 80GB中华人民共和国国家标湛GB/T 25068.42022/ISO/IEC 27033-4：2014代替 GB/T 2506832010信息技术安全技术网络安全 第4部分:使用安全网关的网间 通信安全保护Information technology-Security techniquesNetwork security一Part 4：Securing communications between networks using security gateways(ISO/IEC 27033-4：2014,IDT)2022-10-12 发布2023-05-01

2、实施国家市场监督管理总局 国家标准化管理委员会GB/T 25068.42022/IS O/IEC 27033 4 2014目 次前言.I引言.n1范围.12 规范性弓|用文件.13术语和定义.14 缩略语.*.25文档结构.36 概述.4.37安全威胁.58 安全需求.59 安全控制.69.1 通贝I.*.*.69.2 无状态包过滤.79.3 状态包检测.79.4 应用防火墙.79.5 内容过滤.89.6 入侵防御系统和入侵检测系统.99.7 安全管理API.910设计技术.910.1 安全网关组件.910.2 部署安全网关控件.1011 产品选择指南.1311.1 通则.1311.2 选择安

3、全网关结构和适当组件.1311.3 硬件和软件平台.131L4 配置.1311.5 安全功能设置.141L6管理能力.151L7日志记录功能.1511.8 审计功能.151L9培训和教育.1511.10 实现类型.1511J1高可用性和运行模式.1611J2其他注意事项.16参考文献.17GB/T 25068.42022/IS O/1EC 27033-4；2014刖 吕本文件按照GB/T L1-2020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定 起草。本文件是GB/T 25068信息技术 安全技术 网络安全的第4部分.GB/T 25068已发布了以 下部分：第1部分:综述和概念

4、；第2部分:网络安全设计和实现指南一一第3部分:面向网络接入场景的威胁、设计技术和控制；第4部分:使用安全网关的网间通信安全保护；第5部分:使用虚拟专用网的跨网通信安全保护。本文件代替GB/T 25068.3-2010信息技术 安全技术IT网络安全 第3部分:使用安全网关 的网间通信安全保护。与GB/T 25068.3-2010相比，除结构调整和编辑性改动外，主要技术变化 如下：a）更改了陈述“范围”时所使用的推荐条款和表述方式（见第1章,201。年版的第1章）；b）更改了“术语和定义”的内容（见第3章,2010年版的第3章）;c）删除了T”“IDP”“V.35”等缩略语，增加了“ACL”“A

5、SIC”“CPU”“DDoS”“UR L”等缩略语（见第4章,2010年版的第4章）；d）增加了“文档结构”“概述”“安全威胁”三章（见第5章第7章）；e）将“安全要求”更改为“安全需求”，增加了“表1”,并将2010年版的有关内容更改后纳入（见第 8章,2010年版的第5章）,I）将“安全网关技术”更改为“安全控制”（见第9章,2010年版的第6章），增加了要素“通则”（见 9.1）、“入侵防御系统和入侵检测系统”（见9.6）、“安全管理API”（见9.7）,删除了要素“网络地 址转换（NAT）”（见2010年版的6.4）jg）删除了“状态包检测防火墙”与“应用代理防火墙”的优缺点比较，并将

6、2010年版的有关内容更 改后纳入（见9.3,2010年版的6.2）,h）将“应用代理”更改为“应用防火墙”，并将2010年版的有关内容更改后纳入（见9.4,2010年版 的 6.3）;i）将“内容分析和过滤”更改为“内容过滤”，增加了“内容分析”列项“协议分析”，并将2010年版 的有关内容更改后纳入（见9.5,2010年版的6.5）；j）将“安全网关组件”与“安全网关体系结构”两章合并为“设计技术”一章，删除了悬空段引导 词，重新绘制了示意图（见图3图6,2010年版的图1图4）,并将2010年版的有关内容更改 后纳入（见第10章,2010年版的第7章、第8章）,k）增加了“可能存在负载均

7、衡交换机”的使用规则（见10.14,2010年版的7.1）,1）将“应用级网关”更改为“应用层网关”，增加了“S IP网关的使用规则，并将2010年版的有关 内容更改后纳入（见10.1.3,2010年版的7.3）；m）增加了“监控功能”的使用规则（见10.1.5）；n）将“安全网关体系结构”更改为“部署安全网关控件”，删除了悬置段（见10.2,2010年版的 8.1）;o）删除了要素“层次化方法”（见2010年版的8.2）；IGB/T 25068,42022/IS O/IEC 27033-4：2014P）删除了关于“屏蔽主机体系结构”优缺点的表述段落（见2010年版的8.1.3）；q）增加了“

8、包过滤防火墙”的使用规则（见10.2.D;r）增加了要素“通则”（见11.D;s）将“安全特点和设置”更改为“安全功能设置”，增加了“支持对打包的企业或其他业务应用程序 的代理服务”和“支持识别协议流中运行的应用（如办公效率应用、嵌入式视频、即时消息等）”的推荐条款，并将2010年版的有关内容更改后纳入（见11.5,2010年版的9.4）；t）增加规定了“细粒度的访问权限”（见11.6,2010年版的9.6）；u）删除了要素“文档化”（见2010年版的9.7）；v）增加了要索“实现类型”和要素“高可用性和运行模式”（见11.10,11.11）.本文件等同采用IS O/IEC 27033-4；2

9、014信息技术 安全技术 网络安全 第4部分;使用安全 网关的网间通信安全保护九本文件做了下列最小限度的编辑性改动：用资料性引用的 GB/T 20985.22020 替换了 IS O/IEC 27035（见 9.1）；用资料性引用的GB/T 284 542020替换了 IS O/IEC 27039（见9.5）；请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任.本文件由全国信息安全标准化技术委员会（S AC/TC 260）提出并归口。本文件起草单位:黑龙江省网络空间研究中心、中国电子技术标准化研究院、安天科技集团股份有 限公司、黑龙江安信与诚科技开发有限公司、上海工业控制

10、安全创新科技有限公司、哈尔滨理工大学、哈 尔滨工业大学。本文件主要起草人：方舟、曲家兴、谷俊涛、于海宁、肖鸿江、李琳琳、李锐、宋雪、杨霄璇、白瑞、王大萌、上官晓丽、甘俊杰、杜宇芳*呼大永、马遥、黄海、树彬、张国华、燕思嘉、许言、吴琼、姜天一、周莹、曹威、方伟、童松华、赵超、祝宇琳、石冬青、单建中、孟庆川、倪华。本文件及其所代替文件的历次版本发布情况为：2010年首次发布为GB/T 25068,32010；本次为第一次修订，编号调整为GB/T 25068.42022.GB/T 25068.42022/IS O/IEC 270334 2014引 言GB/T 25068的目的是为信息系统网络的管理、

11、运行、使用及互联互通提供安全方面的详细指导。方便组织内负责信息安全特别是网络安全的人员能够采纳本文件以满足其特定需求。拟由六个部分 构成。第1部分:综述和概念。目的是定义和描述与网络安全相关的概念并提供管理指导。第2部分:网络安全设计和实现指南。目的是为组织如何规划、设计、实现高质量的网络安全 体系，以确保网络安全适合相应的业务环境提供指导。第3部分:面向网络接入场景的威胁、设计技术和控制。目的是列举与典型的网络接入场景相 关的具体风险、设计技术和控制，适用于所有参与网络安全架构方面规划、设计和实施的人员。一第4部分:使用安全网关的网间通信安全保护。目的是确保使用安全网关的网间通信安全。它提供

12、了如何识别和分析与安全网关相关的网络安全威胁、基于威胁分析定义安全网关的网 络安全需求、介绍了以解决典型网络场景相关的威胁和控制方面的网络技术安全结构设计技 术实现，并解决与使用安全网关实施、操作、监视和审查网络安全控制相关问题的指南。本文 件适用于所有参与安全网关详细规划、设计和实施的人员（例如网络架构师和设计人员、网络 管理员和网络安全主管）.第5部分;使用虚拟专用网的跨网通信安全保护。目的是定义使用虚拟专用网络建立安全连 接的具体风险、设计技术和控制要素.一第6部分:无线网络访问安全。目的是为选择、实施和监测使用无线网络提供安全通信所必需 的技术控制提供指南，并用于第2部分中涉及使用无线

13、网络的技术安全架构或设计选项的审 查与选择。GB/T 25068是在GB/T 22081信息技术 安全技术 信息安全控制实践指南的基础上,进一步 对网络安全控制提供了详细的实施指导。GB/T 25068仅强调业务类型等因素影响网络安全的重要性 而不做具体说明.本文件凡涉及采用密码技术解决保密性、完整性、真实性、抗抵赖性需求的，遵循密码相关国家标准 和行业标准。GB/T 25068.42022/IS O/IEC 27033-4：2014信息技术安全技术网络安全 第4部分:使用安全网关的网间 通信安全保护11范围本文件提供了使用安全网关（防火墙、应用防火墙、入侵防护系统等）的网络间通信安全保护指

14、南，这些安全网关按照文档化的信息安全策略进行通信，指南包括：a）识别和分析与安全网关相关的网络安全威胁；b）基于威胁分析来定义安全网关的网络安全需求；c）使用设计和实现的技术来解决与典型的网络场景相关的威胁和控制方面的问题争d）指出实施、操作、监视和评审网络安全网关控制措施相关的问题。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.其中，注日期的引用文 件，仅该日期对应的版本适用于本文件;不注日期的引用文件，其最新版本（包括所有的修改单）适用于 本文件。IS O/IEC 27033-1信息技术安全技术网络安全第1部分?综述和概念（Information tech

15、nology-S ecurity techniques-Network security-Part 1：Overview and concepts）注:GB/T 25068.12020 信息技术 安全技术 网络安全 第1部分综述和概念ISO/IEC 27033-L2Q15,IDT）3术语和定义IS O/IEC 27033-1界定的以及下列术语和定义适用于本文件。3.1堡垒主机 bastion host用于拦截进出网络的数据包、经加固操作系统的特定主机，任何外部人员访问组织防火墙内的服务 和系统时,应连接该主机系统。3.2终端软件防火墙 end-point software-based fire

16、wall根据终端用户自定义的安全策略允许或拒绝通信，保护进出单机的网络流量的软件应用程序。3.3加固操作系统 hardened operating system专门配置或设计的操作系统，以最大限度地减少潜在的不良内容或攻击的可能性。注：可能是通用操作系统，例如为适应环境专门配置的Linux系统，或具有更高自定义程度的解决方案.3.4互联网网关 Internet gateway接入互联网的端口设备。GB/T 25068.42022/IS O/IEC 270334 20143.5包 packet数据包可通过网络或电话线传输的，由严格定义的“头部”数据”和可选择的“尾部”字节块组成的实体。注：数据包

17、的格式取决于创建它的协议。各种通信标准和协议都使用专用数据包来监视和控制通信会话.例 如，网络传输数据包或数据单元完毕时,X.25协议使用诊断、会话清除和重置包(等)确认.3.6边 界网络 perimeter network包含组织的外部服务并将其开放至公共网络的物理或逻辑子网。3.7远程办公室 remote office分办公室 branch office通过远程网络与组织的主办公室实行外部连接的办公室。注：为用户提供维护其日常业务程序所需的服务(如文件、打印和其他服务3.8单点故障 single point of failure某一部分发生故障导致整个系统不起作用的故障类型.3.9SIP

18、网关 SIP gateway位于内部VoIP网络和外部网络(如公共电话网)之间的边界设备。注：通常使用路由器作为SIP网关.当外部IP网络使用VoIP时，重点确保网关包含足够的安全措施，特别对所有 调用设置更改动态规则库以确保安全.4缩略语下列缩略语适用于本文件。ACL 访问控制列表(Access Control List)API 应用程序接口(Application Programming Interface)AS IC 专用集成电路(Application S pecific Integrated Circuit)BGP 边界网关协议(Border Gateway Protocol)CPU

19、 中央处理器(Central Processing Unit)DDoS 分布式拒绝服务(Distributed Denial-of-S ervice)DLL 动态链接库(Dynamic Link Library)DMZ 非军事区(DemilitarEed Zone)DNS 域名服务器(Domain Name S erver)DoS 拒绝服务(Denial-of-S ervice)FTP 文件传输协议(File Transfer Protocol)HTTP 超文本传输协议(Hypertext Transfer Protocol)HTTPS 超文本传输安全协议(Hypertext Transfer

20、 Protocol over S ecure S ocket Layer)ICMP 互联网控制报文协议(Internet Control Message Protocol)IDS 入侵检测系统(Intrusion Detection S ystem)IP 互联网协议(Internet Protocol)IPS 入侵防护系统(Intrusion Prevention S ystem)2GB/T 25068,42022/IS O/IEC 27033-4:2014MIME 多用途互联网邮件扩展类型(Multipurpose Internet Mail Extensions)NAT 网络地址转换(Ne

21、twork Address Translation)NFS 网络文件系统(Network File S ystem)NIS 网络信息系统(Network Information S ystem)NNTP 网络新闻传输协议(Network News Transport Protocol)NTP 网络时间协议(Network Time Protocol)OS I 开放式系统互连(Open S ystem Interconnection)OS PF 开放式最短路径优先协议(Open S hortest Path First)R IP 路由信息协议(R outing Information Proto

22、col)R PC 远程过程调用(R emote Procedure Call)S IP 会话发起协议(S ession Initiation Protocol)S/MIME安全多用途互联网邮件扩展类型(S ecure/Multipurpose Internet Mail Extensions)S MTP 简单邮件传送协议(S imple Mail Transfer Protocol)S OAP 简单对象访问协议(S imple Object Access Protocol)S PA 交换端口 分析仪(S witched Port Analyzer)S POF 单点故障(S ingle Poin

23、t Of Failure)S Q L 结构化查询语言(S tructured Q uery Language)S S L 安全套接层(S ecure S ockets Layer)S YN 同步(S ynchronous)TCP 传输控制协议(Transmission Control Protocol)TLS 传输层安全(Transport Layer S ecurity)UDP 用户数据报协议(User Datagram Protocol)UR L 统一资源定位器(Uniform R esource Locator)VLAN 虚拟局域网(Virtual Local Area Network)

24、VoIP IP 电话(Voice over Internet Protocol)VPN 虚拟专用网(Virtual Private Network)WAIS 广域信息服务器或服务(Widearea Information S ervers or S ervice)WLAN 无线局域网(Wireless Local Area Network)XML 可扩展标记语言(Extensible Markup Language)5文档结构本文件的结构包括：安全网关的概述（见第6章）：与安全网关相关的安全威胁（见第7章）,基于对安全网关分析后的安全需求（见第8章）；与使用安全网关的典型网络场景和网络技术领域

25、相关的安全控制措施（见第9章）；安全网关的各种设计技术（见第10章）；产品选择指南（见第11章）.6概述安全网关位于两个或多个网段边界处，例如，在组织的内网和公共网络之间，安全网关根据服务访 3GB/T 25068.42022/IS O/IEC 27033-4:2014问策略过滤跨边界的流量。安全网关的另一个用途是将多租户服务进行网络分段，例如在使用云服务 时，安全网关将根据组织的安全策略来保护组织的信息。图1展示了一个网络环境示例，该示例仅适用于本章。DMZ,也叫边界网络，是一个包含有组织开 放给公共网络（互联网）的外部服务的物理或逻辑子网。DMZ的目的是为组织内网额外增加一个安全 层，使得

26、外部攻击者只能访问DMZ中的服务，而不能访问内网的任何其他部分。所有访问服务的外部 连接都宜控制在DMZ内，DMZ系统访问内部系统的权限宜最小化或禁用。以这种方式设计的网络并 不能根除内部网络泄露的风险，但会增加泄露的难度。能够破坏边界网络内服务的入侵者，就可能寻机 找出另一个能访问内网的漏洞。因此,宜尽可能保证内网的安全。图1网络环境示例大多数组织的网络会有多个“区域”或DMZ,为网络、应用和数据库层所用，或用于满足一些合规性 和法规要求。目前存在包含多个功能领域的“混合”解决方案。很多包过滤防火墙现在代理某些服务，并且包含 了更多的控制粒度，如角色、时间等.组织拥有的内联网由组织授权的人员

27、管理和维护。任何规模的组织都宜划分独立网段，由内部安 全网关控制网段之间的流量。内联网中可为特殊用途设置隔离的基础设施。例如，如果将一个WLAN 作为内联网的一部分，可能会带来额外的风险，宜将WLAN分网段隔离并需设立进一步的鉴别，就可 利用内部安全网关来保护组织资产免受来自此网段的攻击.组织利用外联网将内联网扩展到合作伙伴网络，实现了与受信任的第三方进行通信和交换数据。外联网的安全网关可用于处理此扩展引发的威胁。当使用云计算等服务时，安全网关被用于限制访问 并根据组织的安全策略管理逻辑网络。组织通过公共网络与业务伙伴、客户和普通公众进行必要的通 信和数据交换，最常用的公共网络就是互联网。由于

28、公共网络的信任级别相对较低，因此需要使用安全 网关，即互联网网关来应对公共网络带来的风险。4GB/T 25068.42022/iS O/lEC 27033-4,20147安全威胁未经授权的访问尝试可能是恶意访问，例如导致DoS攻击、资源滥用或未经授权访问有价值信息。组织宜保护其内网和资产免受诸如蓄意滥用资产、系统配置错误、来自组织内部其他可信区域的未授权 流量进入，或其他来自互联网应用服务的各种威胁。安全网关需要保护组织免受来自内网、互联网或第三方网络的未授权用户访问人侵。从组织外流 的不受监控的内容，可能会引发法律问题和知识产权损失。此外，当越来越多的组织连接到互联网，组织就面临对不恰当的、

29、令人反感的网站或网络应用程序 及服务进行访问控制的需要。如果不加控制，组织将面临生产力流失、责任风险和与工作无关的上网占 用带宽等威胁。需要应对的主要安全威胁包括：一对授权用户的DoS；未经授权修改数据；未经授权泄露数据；未经授权的系统重置；一未经授权使用组织的资源和资产；未经授权的内容横向传播，如病毒和恶意软件；虚拟化违规；-对安全网关的DoS和DDoS攻击。8安全需求安全网关控制对网络（OS I模型的第2层、第3层、第4层）或应用程序（OS I模型第5层第7层）的访问，见图2。OSI模型各层数据单位第3层；数据应用层表示层会话层传输层图2开放系统互连基本参考模型OS 1七层模型安全网关用于

30、满足以下安全需求:5GB/T 25068,42022/IS O/IEC 27033-4：2014提供逻辑网络分段；限制并分析逻辑网络之间的流量；通过检查连接情况或对选定应用程序的代理操作,控制访问组织网络；强制执行组织的网络安全策略；记录流量，以便后续审计；隐藏内部网络、主机和应用程序架构；提供促进网络管理功能的能力，如减缓DoS或DDoS攻击。表1阐述了第7章中的威胁与本章中的安全需求之间的关系。“X”表示该威胁引发此需求,“一”表示该威胁未引发此需求。表1威胁与安全需求之间的关系威胁需求提供逻辑 网络分段限制并分 析逻辑网 络之间的 流量通过检查连接情况或 对选定应用程序的代 理操作，控制

31、访问组织 网络执行组织 的网络安 全策略记录流量，以便后续 审计隐藏内部 网络、主机 和应用程 序架构提供促进网 络管理功能 的能力，如减 缓DoS或 DDoS攻击对授权用户的DoSXXX一X未经授权修改数据XXXXX*X未经授权泄露数据XXXXXX未经授权的系统 重置XXXXX未经授权使用组织 的费源和费产XXXXXXX未经授权的内容横 向传播，例如病毒和 恶意软件XXXXXXX违规虚拟化XXXXXX对安全网关的DoS和DDoS攻击XXXX9安全控制9.1 通则对于每个安全网关,宜开发一个单独的服务访问（安全性）策略文档，并实现相应的内容，以确保只 允许经过授权的流量通过。该策略文档宜包含网

32、关所需要的详细的管理规则集与网关配置信息。需要 确保策略等级制度生效;任何组织不限规模都可制定适用于整个组织的通用策略，可能是面对整个安全 设备类的通用强化策略,也可能在通用强化之上针对特定设备的特定强化策略。因此，为了确保通信连 6GB/T 25068.42022/IS O/IEC 27033-4,2014接中仅限有效的用户和流量才能获得访问权，策略宜详细定义和记录流量出入安全网关的约束和规 则，以及安全网关管理和配置的参数。对于所有安全网关，均宜适当使用身份识别与鉴别、逻辑访问控 制和审计工具。此外，宜对安全网关进行定期的检查，一旦存在未经授权的软件和数据，宜按照组织或 社区的信息安全事故

33、管理方案（见GB/T 20985.22020）撰写事件报告。为了消除或削弱安全网关中 的安全威胁,阻止渗透得逞，可使用安全补丁修复安全网关的漏洞。因此,安全网关宜定期更新补丁和 升级以对抗最新漏洞威胁.在安全网关配置尚未满足管理策略前,安全网关不宜与组织的网络连接。防火墙是安全网关的一个典范。通常防火墙的保护等级宜对应评估到的威胁。标准的防火墙规则 集默认拒绝所有网间流量，仅当需建立通信路径时,通过添加显式规则来允许网间流量通行。保护远程系统安全网关的管理策略，可能面临专用硬件设备所需的保障费用不足和专业技术支持 欠缺。作为替代方案，终端软件防火墙（个人防火墙）可以用来控制远程计算机与网第之间

34、的流量。类 似于其他安全网关,组织应满足在终端软件防火墙中设置的规则集与管理策略需求相符。安全网关分很多种，例如:包过滤型、代理防火墙、状态包检测、内容过滤及应用防火墙。后续章节 中描述了每一种安全网关的细节。安全网关可以利用虚拟技术来实现必要的功能。当共享内存、CPU以及存储能力时，虚拟机宜被 良好隔离。虚拟机管理程序，也被称为虚拟机管理器，宜对本机及托管虚拟机提供保护，例如将防病毒和反垃 圾邮件处理过程从虚拟机转移到虚拟机管理器。虚拟化安全功能既保护虚拟机管理器的安全也保护虚拟机的安全.它可以保护虚拟机管理器免受 攻击并且保证虚拟机的隔离。虚拟化安全功能，也包括对于虚拟机存储和迁移过程中的

35、镜像、挂起的虚 拟机实例的保护,该保护贯穿于虚拟机安全生命周期管理.9.2 无状态包过滤包过滤器审查每个数据包,基于包中所有数据的审查来允许或拒绝包通过。审查并没有将包与任 何已提交给包过滤器的前向包进行关联。这种方式依赖于以下参数：IP源及目的地址；包的载荷类型（例如:TCP、UDP、ICMP）；TCP或UDP载荷的源和目的端口,包到达或离开的时间（或日期八到达（或离开）的网络接口卡。包过滤型网关处理速度虽快，但不对整体通信流中包的特性进行特定跟踪。9.3 状态包检测状态包检测是通过记录数据交换全生命周期中的关键事件，实现了对无状态包过滤的扩展,尤其是 记录传输层协议的状态。基于包过滤技术,

36、状态包检测方法被用于一些防火墙产品中，并试图通过模拟 代理防火墙安全监测的方式增加一些更加安全的监测。状态包过滤防火墙不是单纯地逐个监测每一个 流入包的地址，而是在网络层拦截流入包，直到获取的信息足以确定上层协议尝试连接的状态，状态包 过滤器会根据已经获取的其他相关包状态来决定是否放行此包。例如，状态包检测方法能够使过滤器 区分“已建立TCP连接的部分包”和“一个相似的独立包,因此，相比无状态包过滤器,状态包过滤器 可以作出更加精确的决定。然而，在同样的吞吐量下，这种方式将消耗更多的资源（存储及处理能力）。9.4 应用防火墙应用防火墙对应用层协议通信进行分析，例如，宜按照代表HTTP正确操作的

37、规则来配置Web应 7GB/T 25068.42022/IS O/IEC 27033-4：2014用程序防火墙。既可通过HTTP会话状态（如是否为一个对于已知请求的合适响应），也可通过一些特 殊数据模式来判断（如是否存在表示S Q L注入攻击的字符）是否允许HTTP请求、HTTP响应.如果应用防火墙作用于加密通信（如S S L/TLS）时，那么应用防火墙需要破解端到端的加密以便过 滤明文应用数据。在这些情况下，应用防火墙宜在源端和目的端运行一对背对背加密信道。由于用户 可能完全信任端到端加密保护,一旦应用防火墙泄密，就会造成完整性被破坏的后果。防火墙自身就能屏蔽第7章中所述的一些威胁，例如设置

38、一组受限访问的代理任务集，实现对应用 程序或计算机系统的受限访问,来阻止未经授权使用组织的资源和资产.应用防火墙方法之所以能提供更高级的安全控制，是由于它通过检测应用层协议栈的所有内容，在 应用层上，实现了对所有尝试连接的感知。应用防火墙可以在一部分旨在提高响应速度并减少重复通 信量的应用代理上实现.应用代理服务在应用层具有完全可见性,并且可以预先查看每个尝试连接的 详细信息并相应地实现安全策略。应用代理服务也具有内置代理功能（终止应用网关上的客户连接并 重启指向内部受保护网络的新连接代理机制将外部和内部系统隔离，可提供额外的安全防护，使得 外部攻击者利用内部系统漏洞的难度加大。端到端加密通信

39、不能直接穿越应用程序防火墙，而是作为 两个背靠背的加密流存在,加密流中的消息在应用程序防火墙中是透明的。由于可以对加密连接发动“中间人攻击”，导致应用防火墙成为一个更具有吸引力的受攻击目标。很多防火墙提供的传统代理服务以及透明代理能力，通常是指“深度包检测”或应用控制.这些服 务和能力可感知到应用程序，能够允许应用中的特定功能可用或施加额外控制（例如，对应用程序中传 输的文件进行反病毒扫描或者在即时通信客户端中阻止视频通话）.使用应用层代理的安全网关能提供最强的安全保障，唯一的缺点是增加的安全性会对性能产生负 面影响。此外，对于新服务来说，通常需要花费时间来使服务代理生效。9.5 内容过滤通常

40、使用具有应用代理功能的安全网关实现内容过滤。内容过滤是阻止恶意或不适当代码的关键 保护方法。这种方法可以用来抵御应用程序下载或浏览器中执行所带来的威胁。这些威胁包括从木马 到不适当的ActiveX插件。由于这种恶意代码通过互联网上的电子邮件或者基于HTTP的通信（如从 网站或FTP站点下载）传播，故而防护宜从连接互联网的安全网关接口处开始。因此，病毒扫描器或者 内容过滤器被部署在受屏蔽的子网或者DMZ内。在多数实例中，内容过滤扫描糖常通过与带有网络 接口的防火墙直连，这样诸如S MTP协议的邮件服务和基于HTTP的通信等服务就能够被发送至内 容过漉扫描器.内容分析的主要技术如下：-t协议分析;

41、基于签名的扫描（已知范式搜索）；调查式分析（与恶意代码相关联的已知功能和行为代码分析h沙箱技术（本质上是一个用来将可疑代码隔离到“沙箱”的内容监控程序）。内容扫描和入侵检测之间的区别较小，尤其是在网络入侵检测方面，通过在防火墙设备上运行 IDS代理,从而将IDS与防火墙相结合。注:入侵检测或防御系统的选择、部署和操作详见GB/T 284542020（ISO/IEC 27039：2015,MOD）内容过滤技术也有一些限制。如果数据在传输层或者应用层加密（如S S L/TLS或S/MIME协 议），除非加密数据在防火墙上解密并再次加密,否则将无法进行内容过滤。这可能会带来如“中间人攻 击”的安全威

42、胁.内容扫描和过滤存在法律风险，特别是强有力的数据保护法律法规时。在这种情况下，只对恶意代 码进行自动扫描是允许的，但不能扫描电子邮件的特定内容，因为这种做法将侵犯发件者及收件者的隐 私权.8GB/T 25068.42022/IS O/IEC 27033-4：20149.6 入侵防御系统和入侵检测系统入侵是一种对网络或有网络连接系统的未经授权的访问。例如，故意或者偶然对信息系统的未经 授权访问、对信息系统的恶意行为或者未经授权使用信息系统的资源.入侵防御是积极响应防止入侵 F的一个规范过程.入侵防御系统是为提供主动响应能力而设计的入侵检测系统的一个变化，而入侵检 测系统只是检测已经尝试、正在发

43、生或已经发生的可能的人侵，并通知管理员有入侵.9.7 安全管理API集中管理功能允许对组织网络中部署的安全网关进行适当且有效的管理，宜由安全网关提供安全 管理API,用于组织中的远程集中管理。这种集中管理功能有助于安全网关在操作和配置方面的远程管理.宜由安全网关识别和认证远程安全管理员。此远程管理API宜为网络管理员提供管理、监视和排 除安全网关故障的工具。10设计技术10.1 安全网关组件10.1.1 交换机交换机用于为每个物理端口提供全网络带宽的高速通信。通常来说，交换机位于OS I模型第2 层，广泛用于对局域网进行分段。此外，在实现VLAN技术时，交换机可以提供子网隔离.可通过使用 AC

44、L来控制交换机与连接到该交换机的节点之间的流量。ACL可以应用于OS I模型第2层、第3层 和第4层。交换机提供的访问控制功能使其可以作为安全网关体系结构的组件,尤其是用于实现和构 建屏蔽子网专属的DMZ,由于存在多种威胁,在安全网关环境下使用的交换机不宜被直连到公共网络 上,例如,DoS攻击可能导致暴露的交换机包泛洪其连接的网络。可能存在负载均衡交换机工作在第7层（应用层）的情况.这些交换机通常用来保证防火墙和服务 器的可用性（尽管防火墙通常不在第7层）。10.1.2 路由器路由器通常设计为通过支持多个网络协议来连接不同的网络,并优化网络流量和通信主机之间的 路由。此外，路由器可以用作安全网

45、关的组件，因为它们能够以包过滤技术为基础对数据通信中的数据 包进行过滤.利用包信息检查来控制网络流量的路由器通常被称为屏蔽路由器。路由器通常在 OS I模型的第3层（网络层）工作。路由器只对数据包级别信息（如源端口和目标端口）进行分析.路由 器可以执行NAT和数据包过滤操作。10.1.3 应用层网关应用层网关是基于硬件和软件的设备或设备组。应用层网关专门用于限制两个独立网络之间的访 问。主要有两种技术用于实现应用层网关：状态包检测；应用代理a也可以使用这些技术的组合和变化（例如，电路级防火墙）。此外，可以由应用层网关来执行NAT。应用层网关能理解应用程序正在使用的应用和协议，从而能够确定请求是

46、否为合法的响应，例如，当使 用VoIP类的应用程序时，应用层网关需要理解S IP以允许连接之间的适当信息交互。9GB/T 25068.42022/IS O/IEC 27033-4:2014当组织网络采用VoIP技术提供电话服务时，宜使用被称为S IP感知防火墙（应用层网关的典型示 例）以应对S IP面对的攻击。10.1.4 安全设备网络设备（如路由器、交换机、调制解调器等）配备加固的操作系统，所有专用于安全目的的设备都 称为安全设备，这些设备是安全软件（防火墙JDS JPS、防病毒保护软件等）的基础。安全设备可以满 足各种平台的多样化安全需求，从最小型的远程工位到大型企业网络甚至数据中心的平台

47、.专用于单 机的设备被称为个人防火墙，是在单机上运行的软件应用程序，用于保护进出该计算机的流量。专用于 保护远程工位的设备被称为家庭或远程办公室或分办公室的安全设备，这些安全设备通常保护上述地 点的流量。第9章中提到的所有技术都可以通过使用安全设备来实现。10.1.5 监控功能集中监控和审计功能允许对组织网络中部署的安全网关进行适当有效的监控和审计。宜确保监控 和审计功能与安全网关之间通信的安全，这些通信交换了适当的审计和监控功能所需的必要信息。此外,每个安全网关宜建立与集中监控和审计功能进行通信的接口。这种集中监控和审计功能可 以帮助捕获安全网关的任何异常状态或捕获可能触发网关和内部系统安全

48、漏洞的任何尝试和操作，对 用户所执行操作的责任进一步跟踪，记录违反安全策略的行为。这种集中监控和审计功能有助于全面监控安全网关的操作和审计跟踪。此外，它还可以为管理决 策提供可描述的、高效的、易用的面板。10.2 部署安全网关控件10.2.1 包过滤防火墙体系结构有两种类型包过滤防火墙：（有）状态和无状态。无状态数据包防火墙适用于删除畸形数据包，包括 源“错误”包，或目的地址“错误”包。源或目的地址可以通过防火墙的流动方向、包的网络地址或包的传 输层内容的端口来识别,可认为每个包与所有其他包隔离。包过滤防火墙不会破坏端到端连接。防火 墙体系结构中最基本类型的就是包过滤防火墙，如图3所示.包过滤

49、防火墙通常被称为屏蔽路由器，本 质上是包含系统地址、通信会话访问控制功能的路由设备。在最基本的形式中，包过滤器工作在 OS I模型第3层。-4所有流量.图3包过滤防火墙或屏蔽路由器包过滤防火墙的访问控制功能由一套指令集统一管理,这组指令集统称为规则集。这些规则集通 常也称为ACL。ACL基于包的源或目的地址、流量类型、第4层通信的某些特性（如源和目标端 口），以及有关该包出入路由器的接口信息等提供网络访问控制。包过滤防火墙有两个主要优势：速度和灵活性。由于包过滤器通常不会检查OS I模型第4层以上 10GB/T 25068.42022/IS O/IEC 27033-4:2014的数据，因此可以

50、非常快速地工作。这种简易处理允许在屏蔽主机或屏蔽子网之前，先部署包过滤防火 墙作为外部路由器，如此部署位置的原因是包过滤防火墙能够阻止Dos和相关攻击。由于包过滤防火 墙不会检查上层数据（第5第7层），故而屏蔽路由器无法阻止那些利用应用程序或功能特定漏洞的 攻击。防火墙可用信息有限导致包过滤防火墙日志记录功能受限。由于访问控制决策中使用了大量变 量，因此防火墙配置项很容易受到变量影响导致配置不当，进而产生安全漏洞。10.2.2 双宿主网关体系结构双宿主网关是一个阻断端到端连接的应用代理或应用网关。图4中描述的双宿主网关包括具有A 和B两个网络接口且IP转发功能被禁用的主机系统。因此,来自一个网