标准规范下载简介
GB/T 25068.4-2022 信息技术 安全技术 网络安全 第4部分:使用安全网关的网间通信安全保护.pdfICS35.030 CCS L80
信息技术安全技术网络安全
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 本文件是GB/T25068《信息技术安全技术网络安全》的第4部分。GB/T25068已发布了以 下部分: 一 第1部分:综述和概念; 一第2部分:网络安全设计和实现指南; 一 第3部分:面向网络接人场景的威胁、设计技术和控制; 一第4部分:使用安全网关的网间通信安全保护; 第5部分:使用虚拟专用网的跨网通信安全保护。 本文件代替GB/T25068.3一2010《信息技术安全技术IT网络安全第3部分:使用安全网关 的网间通信安全保护》。与GB/T25068.3一2010相比,除结构调整和编辑性改动外,主要技术变化 如下: a)更改了陈述“范围"时所使用的推荐条款和表述方式(见第1章,2010年版的第1章); b)更改了“术语和定义”的内容(见第3章,2010年版的第3章); c)删除了“IT”“IDP”“V.35”等缩略语,增加了“ACL”“ASIC”“CPU”“DDoS”“URL”等缩略语 (见第4章,2010年版的第4章); d)增加了“文档结构”“概述”“安全威胁”三章(见第5章~第7章); e)将“安全要求”更改为“安全需求”,增加了“表1”,并将2010年版的有关内容更改后纳人(见第 8章,2010年版的第5章); f)将“安全网关技术"更改为“安全控制"(见第9章,2010年版的第6章),增加了要素“通则”(见 9.1)、“入侵防御系统和人侵检测系统”(见9.6)、“安全管理API"(见9.7),删除了要素“网络地 址转换(NAT)”(见2010年版的6.4); g)删除了“状态包检测防火墙”与“应用代理防火墙”的优缺点比较,并将2010年版的有关内容更 改后纳人(见9.3,2010年版的6.2); h)将“应用代理”更改为“应用防火墙”,并将2010年版的有关内容更改后纳入(见9.4,2010年版 的6.3); i)将“内容分析和过滤”更改为“内容过滤”,增加了“内容分析”列项“协议分析”,并将2010年版 的有关内容更改后纳人(见9.5,2010年版的6.5); j)将“安全网关组件”与“安全网关体系结构”两章合并为“设计技术”一章,删除了悬空段引导 词,重新绘制了示意图(见图3~图6,2010年版的图1~图4),并将2010年版的有关内容更改 后纳人(见第10章,2010年版的第7章、第8章); k)增加了“可能存在负载均衡交换机"的使用规则(见10.1.1,2010年版的7.1); 1)将“应用级网关”更改为“应用层网关”,增加了“SIP网关”的使用规则,并将2010年版的有关 内容更改后纳人(见10.1.3,2010年版的7.3); m)增加了“监控功能”的使用规则(见10.1.5); n)将“安全网关体系结构”更改为“部署安全网关控件”,删除了悬置段(见10.2,2010年版的 8.1); 0)删除了要素“层次化方法”(见2010年版的8.2);
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 本文件是GB/T25068《信息技术安全技术网络安全》的第4部分。GB/T25068已发布了以 部分: 第1部分:综述和概念; 一第2部分:网络安全设计和实现指南; 第3部分:面向网络接人场景的威胁、设计技术和控制; 第4部分:使用安全网关的网间通信安全保护; 第5部分:使用虚拟专用网的跨网通信安全保护。 本文件代替GB/T25068.3一2010《信息技术安全技术IT网络安全第3部分:使用安全网关 网间通信安全保护》。与GB/T25068.3一2010相比,除结构调整和编辑性改动外,主要技术变化 2 a) 更改了陈述“范围"时所使用的推荐条款和表述方式(见第1章,2010年版的第1章); b)更改了“术语和定义”的内容(见第3章,2010年版的第3章); c)删除了“IT”“IDP”“V.35”等缩略语,增加了“ACL”“ASIC”“CPU”“DDoS”“URL”等缩略语 (见第4章,2010年版的第4章); d)增加了“文档结构”“概述”“安全威胁”三章(见第5章~第7章); e)将“安全要求"更改为“安全需求”,增加了“表1”,并将2010年版的有关内容更改后纳人(见第 8章xx干部学校房屋改扩建工程施工组织设计,2010年版的第5章); f)将“安全网关技术”更改为“安全控制”(见第9章,2010年版的第6章),增加了要素“通则”(见 9.1)、“人侵防御系统和人侵检测系统”(见9.6)、“安全管理API"(见9.7),删除了要素“网络地 址转换(NAT)”(见2010年版的6.4); g)删除了“状态包检测防火墙”与“应用代理防火墙”的优缺点比较,并将2010年版的有关内容更 改后纳人(见9.3,2010年版的6.2); h)将“应用代理"更改为“应用防火墙”,并将2010年版的有关内容更改后纳人(见9.4,2010年版 的6.3); i)将“内容分析和过滤”更改为“内容过滤”,增加了“内容分析”列项“协议分析”,并将2010年版 的有关内容更改后纳人(见9.5,2010年版的6.5); j)将“安全网关组件”与“安全网关体系结构”两章合并为“设计技术”一章,删除了悬空段引导 词,重新绘制了示意图(见图3~图6,2010年版的图1~图4),并将2010年版的有关内容更改 后纳人(见第10章,2010年版的第7章、第8章); k)增加了“可能存在负载均衡交换机"的使用规则(见10.1.1,2010年版的7.1); 1)将“应用级网关”更改为“应用层网关”,增加了“SIP网关”的使用规则,并将2010年版的有关 内容更改后纳人(见10.1.3,2010年版的7.3); m)增加了“监控功能”的使用规则(见10.1.5); n)将“安全网关体系结构”更改为“部署安全网关控件”,删除了悬置段(见10.2,2010年版的 8.1); 0)删除了要素“层次化方法”(见2010年版的8.2);
信息技术安全技术网络安全 第4部分:使用安全网关的网间 通信安全保护
本文件提供了使用安全网关(防火墙、应用防火墙、人侵防护系统等)的网络间通信安全保护指 南,这些安全网关按照文档化的信息安全策略进行通信,指南包括: a)识别和分析与安全网关相关的网络安全威胁; b)基于威胁分析来定义安全网关的网络安全需求; c)使用设计和实现的技术来解决与典型的网络场景相关的威胁和控制方面的问题; d)指出实施、操作、监视和评审网络安全网关控制措施相关的问题。
本文件的结构包括: 安全网关的概述(见第6章): 与安全网关相关的安全威胁(见第7章); 基于对安全网关分析后的安全需求(见第8章); 与使用安全网关的典型网络场景和网络技术领域相关的安全控制措施(见第9章); 安全网关的各种设计技术(见第10章); 产品选择指南(见第11章)。
安全网关位于两个或多个网段边界处,例如,在组织的内网和公共网络之间,安全网关根据服务访
问策略过滤跨边界的流量。安全网关的另一个用途是将多租户服务进行网络分段,例如在使用云服务 时,安全网关将根据组织的安全策略来保护组织的信息。 图1展示了一个网络环境示例,该示例仅适用于本章。DMZ,也叫边界网络,是一个包含有组织开 放给公共网络(互联网)的外部服务的物理或逻辑子网。DMZ的目的是为组织内网额外增加一个安全 层,使得外部攻击者只能访问DMZ中的服务,而不能访问内网的任何其他部分。所有访问服务的外部 连接都宜控制在DMZ内,DMZ系统访问内部系统的权限宜最小化或禁用。以这种方式设计的网络并 不能根除内部网络泄露的风险,但会增加泄露的难度。能够破坏边界网络内服务的人侵者,就可能寻机 找出另一个能访问内网的漏洞。因此,宜尽可能保证内网的安全
大多数组织的网络会有多个“区域”或DM亿,为网络、应用和数据库层所用,或用于满足一些合规性 和法规要求。 目前存在包含多个功能领域的“混合”解决方案。很多包过滤防火墙现在代理某些服务,并且包含 了更多的控制粒度,如角色、时间等。 组织拥有的内联网由组织授权的人员管理和维护。任何规模的组织都宜划分独立网段,由内部安 全网关控制网段之间的流量。内联网中可为特殊用途设置隔离的基础设施。例如,如果将一个WLAN 作为内联网的一部分,可能会带来额外的风险,宜将WLAN分网段隔离并需设立进一步的鉴别,就可 利用内部安全网关来保护组织资产免受来自此网段的攻击。 组织利用外联网将内联网扩展到合作伙伴网络,实现了与受信任的第三方进行通信和交换数据。 外联网的安全网关可用于处理此扩展引发的威胁。当使用云计算等服务时,安全网关被用于限制访问 并根据组织的安全策略管理逻辑网络。组织通过公共网络与业务伙伴、客户和普通公众进行必要的通 信和数据交换,最常用的公共网络就是互联网。由于公共网络的信任级别相对较低,因此需要使用安全 网关:即互联网网关来应对公共网络带来的风险。
未经授权的访问尝试可能是恶意访问,例如导致DoS攻击、资源滥用或未经授权访问有价值信息。 组织宜保护其内网和资产免受诸如蓄意滥用资产、系统配置错误、来自组织内部其他可信区域的未授权 流量进人,或其他来自互联网应用服务的各种威胁。 安全网关需要保护组织免受来自内网、互联网或第三方网络的未授权用户访问人侵。从组织外流 的不受监控的内容,可能会引发法律问题和知识产权损失。 此外,当越来越多的组织连接到互联网,组织就面临对不恰当的、令人反感的网站或网络应用程序 及服务进行访问控制的需要。如果不加控制,组织将面临生产力流失、责任风险和与工作无关的上网占 用带宽等威胁。需要应对的主要安全威胁包括: 一对授权用户的DoS; 一一未经授权修改数据; 一未经授权泄露数据; 一未经授权的系统重置; 未经授权使用组织的资源和资产; 未经授权的内容横向传播,如病毒和恶意软件; 虚拟化违规; 对安全网关的DoS和DDoS攻击
安全网关用于满足以下安全需求
图2 开放系统互连基本参考模型OSI七层模型
表1威胁与安全需求之间的关系
对于每个安全网关SL 276-2002 水文基础设施建设及技术装备标准.pdf,宜开发一个单独的服务访问(安全性)策略文档,并实现相应的内容,以确保 经过授权的流量通过。该策略文档宜包含网关所需要的详细的管理规则集与网关配置信息。需 策略等级制度生效:任何组织不限规模都可制定适用于整个组织的通用策略,可能是面对整个安 类的通用强化策略,也可能在通用强化之上针对特定设备的特定强化策略。因此,为了确保通信
应用防火墙对应用层协议通信进行分析,例如,宜按照代表HTTP正确操作的规则来配置Web应
入侵是一种对网络或有网络连接系统的未经授权的访问。例如,故意或者偶然对信息系统的未经 授权访问、对信息系统的恶意行为或者未经授权使用信息系统的资源。人侵防御是积极响应防止人侵 的一个规范过程。人侵防御系统是为提供主动响应能力而设计的人侵检测系统的一个变化,而人侵检 测系统只是检测已经尝试、正在发生或已经发生的可能的入侵,并通知管理员有入侵。
集中管理功能允许对组织网络中部署的安全网关进行适当且有效的管理,宜由安全网关提供安全 管理API,用于组织中的远程集中管理。 这种集中管理功能有助于安全网关在操作和配置方面的远程管理。 宜由安全网关识别和认证远程安全管理员。此远程管理API宜为网络管理员提供管理、监视和排 除安全网关故障的工具
交换机用于为每个物理端口提供全网络带宽的高速通信。通常来说,交换机位于OSI模型第2 层,广泛用于对局域网进行分段。此外,在实现VLAN技术时,交换机可以提供子网隔离。可通过使用 ACL来控制交换机与连接到该交换机的节点之间的流量。ACL可以应用于OSI模型第2层、第3层 和第4层。交换机提供的访问控制功能使其可以作为安全网关体系结构的组件,尤其是用于实现和构 建屏蔽子网专属的DMZ。由于存在多种威胁,在安全网关环境下使用的交换机不宜被直连到公共网络 上,例如,DoS攻击可能导致暴露的交换机包泛洪其连接的网络。 可能存在负载均衡交换机工作在第7层(应用层)的情况。这些交换机通常用来保证防火墙和服务 器的可用性(尽管防火墙通常不在第7层)。
路由器通常设计为通过支持多个网络协议来连接不同的网络,并优化网络流量和通信主机之间的 路由。此外,路由器可以用作安全网关的组件,因为它们能够以包过滤技术为基础对数据通信中的数据 包进行过滤。利用包信息检查来控制网络流量的路由器通常被称为屏蔽路由器。路由器通常在 OSI模型的第3层(网络层)工作。路由器只对数据包级别信息(如源端口和目标端口)进行分析。路由 器可以执行NAT和数据包过滤操作。
地下室砌体技术交底10.1.3应用层网关
应用层网关是基于硬件和软件的设备或设备组。应用层网关专门用于限制两个独立网络之间的访 问。主要有两种技术用于实现应用层网关: 一状态包检测; 一应用代理。 也可以使用这些技术的组合和变化(例如,电路级防火墙)。此外,可以由应用层网关来执行NAT。 应用层网关能理解应用程序正在使用的应用和协议,从而能够确定请求是否为合法的响应。例如,当使 用VoIP类的应用程序时,应用层网关需要理解SIP以允许连接之间的适当信息交互。
网络设备(如路由器、交换机、调制解调器等)配备加固的操作系统,所有专用于安全目的的设备都 称为安全设备,这些设备是安全软件(防火墙、IDS、IPS、防病毒保护软件等)的基础。安全设备可以满 足各种平台的多样化安全需求,从最小型的远程工位到大型企业网络甚至数据中心的平台。专用于单 机的设备被称为个人防火墙,是在单机上运行的软件应用程序,用于保护进出该计算机的流量。专用于 保护远程工位的设备被称为家庭或远程办公室或分办公室的安全设备,这些安全设备通常保护上述地 点的流量。第9章中提到的所有技术都可以通过使用安全设备来实现。