【国家标准(GB)】 信息技术 安全技术 IT网络安全 第3部分：使用安全网关的网间通信安全保护

ICS35.020
中华人民共和国国家标准
GB/T25068.3—2010/ISO/IEC18028-3:2005信息技术
安全技术
IT网络安全
第3部分：使用安全网关的
网间通信安全保护
Information technologySecurity techniques-IT network security-Part 3:Securing communicationsbetweennetworks using security gateways（ISO/IEC18028-3:2005,IDT）
2010-09-02发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2011-02-01实施
规范性引用文件
术语和定义
缩略语
安全要求
安全网关技术
包过滤
状态包检测
应用代理
网络地址转换（NAT)
内容分析和过滤
安全网关组件
交换机
路由器
应用级网关
7.4安全装置
8安全网关体系结构
结构化方法
层次化方法
选择和配置指南
安全网关体系结构和适当组件的选择·..·.硬件和软件平台·bzxZ.net
配置·
安全特点和设置
常规管理
文档化·
培训和教育
参考文献
GB/T25068.32010/ISO/IEC18028-3:2005次
建筑321-—标准查询下载网
ww.jz321.net
GB/T25068.3—2010/IS0/IEC18028-3.2005前言
GB/T25068在《信息技术安全技术IT网络安全》总标题下，拟由以下5个部分组成：一第1部分：网络安全管理；
第2部分：网络安全体系结构；
第3部分：使用安全网关的网间通信安全保护；—一第4部分：远程接人的安全保护；一第5部分：使用虚拟专用网的跨网通信安全保护。本部分为GB/T25068的第3部分。本部分使用翻译法等同采用国际标准ISO/IEC18028-3：2005《信息技术安全技术IT网络安全第3部分：使用安全网关的网间通信安全保护》（英文版）。根据GB/T1.1一2000的规定，做了如下一些编辑性修改：
第2章中增加了引用文件\ISO/IECTR15947”-在3.6中对“内容过滤”加以说明，并在6.5中补充了内容过滤的内容“关键字过滤”，为今后技术发展预留了空间；
删除了第4章中缩略语S/MIME英文名称中的protocol”，以与GB/T25068.4一2010中2.34定义的同一术语S/MIME统一。另外，增加了一些缩略语，增加的缩略语在所在页边的空白处用单竖线“”标出。
本部分由全国信息安全标准化技术委员会（TC260)提出并归口。本部分起草单位：黑龙江省电子信息产品监督检验院、中国电子技术标准化研究所、哈尔滨工程大学、北京励方华业技术有限公司、山东省标准化研究院。本部分主要起草人：王希忠、张国印、李健利、王向辉、黄俊强、马遥、方舟、王大萌、树彬、张清江、王智、许玉娜、刘亚东、邱意民、王运福。m
GB/T25068.3—2010/IS0/IEC18028-3:2005引言
通信和信息技术业界一直在寻找经济有效的全面安全解决方案。安全的网络应受到保护，免遭恶意和无意的攻击，并且应满足业务对信息和服务的保密性、完整性、可用性、抗抵赖、可核查性、真实性和可靠性的要求。保护网络安全对于适当维护计费或使用信息的准确性也是必要的。产品的安全保护能力对于全网的安全（包括应用和服务）是至关重要的。然而，当更多的产品被组合起来以提供整体解决方案时，互操作性的优劣将决定这种解决方案的成功与否。安全不仅是对每种产品或服务的关注，还必须以促进全面的端到端安全解决方案中各种安全能力交合的方式来开发。因此，GB/T25068的目的是为IT网络的管理、操作和使用及其互连等安全方面提供详细指南。组织中负责一般IT安全和特定IT网络安全的人员应能够调整GB/T25068中的材料以满足他们的特定要求。GB/T25068的主要目标如下：
GB/T25068.1定义和描述网络安全的相关概念，并提供网络安全管理指南-一包括考虑如何识别和分析与通信相关的因素以确立网络安全要求，还介绍可能的控制领域和特定的技术领域（在GB/T25068的后续部分中涉及）；GB/T25068.2定义一个标准的安全体系结构，它描述一个支持规划、设计和实施网络安全的一致框架；
——-GB/T25068.3定义使用安全网关保护网络间信息流安全的技术；——GB/T25068.4定义保护远程接人安全的技术；-GB/T25068.5定义对使用虚拟专用网（VPN)建立的网络间连接进行安全保护的技术。GB/T25068.1与涉及拥有、操作或使用网络的所有人员相关。除了对信息安全（IS)和/或网络安全及网络操作负有特定责任的，或对组织的全面安全规划和安全策略开发负有责任的管理者和管理员外，还包括高级管理者和其他非技术性管理者或用户。GB/T25068.2与涉及规划、设计和实施网络安全体系结构方面的所有人员（例如IT网络管理者、管理员、工程师和IT网络安全主管）相关。GB/T25068.3与涉及详细规划、设计和实施安全网关的所有人员（例如IT网络管理者、管理员、工程师和IT网络安全主管)相关。GB/T25068.4与涉及详细规划、设计和实施远程接入安全的所有人员（例如IT网络管理者、管理员、工程师和IT网络安全主管）相关。GB/T25068.5与涉及详细规划、设计和实施VPN安全的所有人员（例如IT网络管理者、管理员、工程师和IT网络安全主管）相关。N
建筑321---标准查询下载网

1范围
GB/T25068.3—2010/IS0/IEC18028-3:2005信息技术安全技术IT网络安全
第3部分：使用安全网关的
网间通信安全保护
GB/T25068的本部分规定了各种安全网关技术、组件和各种类型的安全网关体系结构。它还提供安全网关的选择和配置指南。尽管个人防火墙使用类似的技术，但因为它不作为安全网关使用，所以它不在本部分的范围之内。本部分适用于技术和管理人员，例如IT管理者、系统管理员、网络管理员和IT安全人员。本部分提供的指南有助于用户正确地选择最能满足其安全要求的安全网关体系结构类型。2规范性引用文件
下列文件中的条款通过GB/T25068的本部分的引用而成为本部分的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容)或修订版均不适用于本部分，然而，鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本部分。
GB/T25068.4信息技术安全技术IT网络安全第4部分：远程接入的安全保护(GB/T25068.42010,ISO/IEC18028-42005,IDT)ISO/IECTR15947信息技术
安全技术IT人侵检测框架
3术语和定义
下列术语和定义适用于本部分。3.1
报警alert
“即时”指示信息系统和网络可能受到攻击或因意外事件、故障或人为错误而处于危险之中。3.2
攻击者
attacker
故意利用技术性和非技术性安全控制措施的脆弱性，以窃取或损害信息系统和网络，或者损害合法用户对信息系统和网络资源可用性的任何个人。3.3
审计audit
依照期望对事实进行的正规调查、正规检验或验证，以确认它们之间的符合性和一致性。3.4
审计日志auditlogging
为了评审和分析以及持续监视而收集有关信息安全事态的数据。3.5
非军事区demilitarisedzone;DMZ插在网络之间作为“中立区”的安全主机或小型网络（也称为屏蔽子网或边界网络）。注：它形成一个安全缓冲区。
GB/T25068.3—2010/IS0/IEC18028-3：20053.6
过滤filtering
根据指定的准则，接受或拒绝数据流通过网络的过程。注：内容过滤是对网络内容进行监控，防止某些特定内容在网络上进行传输的技术，如关键字过滤，3.7
firewall
防火墙
设置在网络环境之间的一种安全屏障。它由一台专用设备或若干组件和技术的组合组成。网络环境之间两个方向的所有通信流均通过防火墙，并且只有按照本地安全策略定义的、已授权的通信流才允许通过。
信息安全事件information·securityincident单独的或一系列有害或意外的信息安全事态，它们极有可能危害业务运作和威胁信息安全。注：见GB/Z20985。
信息安全事件管理
information securityincidentmanagement响应和处理信息安全事态和事件的正规过程。注：见GB/Z20985.
入侵intrusion
对网络或连接到网络的系统的未授权访问，即对信息系统进行有意或无意的未授权访问，包括针对信息系统的恶意活动或对信息系统内资源的未授权使用。3.11
入侵检测intrusiondetection
检测入侵的正规过程，其一般特征为采集如下知识：异常使用模式，以及已被利用的脆弱性的类型和利用方式(包括何时发生及如何发生）。3.12
入侵检测系统
intrusiondetectionsystem;IDSs用于识别某一人侵已被尝试、正在发生或已经发生，并可能对IT系统和网络中的人侵做出响应的技术系统。
端口(1)
port(1)
连接的端点。
端口(2）
port(2)
TCP或UDP连接的<互联网协议>逻辑信道端点。注：基于TCP或UDP的应用协议通常分配默认端口号，例如，HTTP协议的端口80。3.15
隐私privacy
每个人都享有的不公开处理他/她的私人和家庭生活、居所和通信的权利。注：隐私不得受到当局干涉，而在依照法律，且对于国家安全、公共安全或国家经济稳定，或者对于防止动乱或犯罪、保护健康或道德，或者对于保护他人的权利和自由有必要时除外。2
建筑321--—标准查询下载网
ww.jz321.nei
远程接入remoteaccess
GB/T25068.3—2010/IS0/IEC18028-3:2005从另一网络或从一个正在访问但非永久连接到网络的终端设备来访问网络资源的过程。3.17
router
路由器
通过基于路由协议机制和算法选择路径或路由，来建立和控制不同网络之间数据流的网络设备。其自身能基于不同的网络协议。注：路由信息被保存在路由表中。3.18
安全维
securitydimension
为处理特定网络安全方面而设计的安全控制措施集。注：安全维的详细措述见GB/T25068.2。3.19
securitydomain
安全域
遵从于共同安全策略的资产和资源的集合。3.20
安全网关
securitygateway
网络之间或网络内子部分之间或不同安全域内的软件应用之间的连接点，旨在按照给定的安全策略保护网络。
注：安全网关不仅包括防火墙，而且还包括可提供访问控制和加密（可选)功能的路由器和交换机。3.21
欺骗spoofing
假冒成合法的资源或用户。
交换机switch
利用内部交换机制来提供联网设备之间连通性的设备。注1：交换机不同于其他局域网互联设备（例如集线器），其原因是交换机中使用的技术是在点对点的基础上建立连接。这就确保网络通信流只对有地址的网络设备可见，并使几个连接能够并存，注2：交换技术能在OSI参考模型(GB/T9387.1)的第2层或第3层实现，3.23
virtualprivatenetwork
虚拟专用网
利用物理网络的系统资源而构建的限制性使用的逻辑计算机网络，例如，使用加密技术和/或虚拟网络的隧道链接来跨越真实网络。4缩略语
应用程序接口（ApplicationProgramInterface）边界网关协议（BorderGatewayProtocol）动态链接库（DynamicLinkLibrary）互联网控制报文协议（InternetControlMessageProtocol）人侵检测防护（IntrusionDetectionPrevention）信息技术（InformationTechnology）网络文件传输（NetworkFileTransfer）网络信息系统（NetworkInformationSystem）3
GB/T25068.3—2010/ISO/IEC18028-3:2005NNTP
S/MIME
TCP-SYN
安全要求
网络新闻传输协议（NetworkNewsTransferProtocol）网络时间协议（NetworkTimeProtocol)开放式最短路径优先（OpenShortestPathFirst）路由信息协议（RoutingInformationProtocol)远程过程调用（RemoteProcedureCall)安全超文本传输协议（SecureHypertextTransferProtocol）简单对象访问协议（SimpleObjectAccessProtocol)安全多用途互联网邮件扩展（SecureMultipurposeInternetMailExtensions）交换端口分析器（SwitchedPortAnalyzer）传输控制协议，同步（TransmissionControlProtocol,SYNchronisation）高速同步数据交换协议（high-speed synchronousdataexchangeprotocol)虚拟局域网（(VirtualLocalAreaNetwork）虚拟专用网（VirtualPrivateNetwork）广域信息服务（WideAreaInformationService）图形用户界面协议（graphicaluserinterfaceprotocol）可扩展置标语言（ExtensibleMark-upLanguage）按照文档化的安全策略，安全网关的适当部署宜保护组织的内部系统，并安全地管理和控制通过它的通信流。
安全网关控制对网络(OSI模型第2、3和4层）或应用(OSI模型第4层至第7层）的访问。包含防火墙在内的安全网关实例用于保护：内部组织网络免受来自互联网的威胁；·
·两个内部组织网络免受彼此之间的威胁；。内部组织网络免受来自外部组织网络的威胁。安全网关用于满足以下安全要求：分隔逻辑网络；
对逻辑网络之间流经信息提供限制和分析功能；·
通过连接检测或所选应用上的代理操作来提供对出人组织网络的访问进行控制的手段；提供可控可管的网络单一进人点；·
强化组织对网络连接的安全策略；.
提供日志的单一记录点；
提供网络地址转换以隐藏内部网络；.
●提供端口映射（包括动态端口开启）和应用级攻击检测与保护（包括内容过滤）。6安全网关技术
从简单的包过滤开始，安全网关中所使用的更多技术方法已逐渐发展到包括诸如应用代理和状态包检测之类的技术。此外，网络地址转换和内容过滤也在本章介绍，因为这些技术经常与安全网关结合使用。
6.1包过滤
包过滤是指通过将每个入站包或出站包的包头信息与访问控制规则列表进行比较，确定阻止或放行网络通信流。这种过滤设备在每个包进人时单独查看其包头，并将源和目的的IP地址及端口与其规则库进行比较。如果其地址和端口信息是许可的，则该包进而直接穿越防火墙到达目的地。如果包未4
-标准查询下载网
建筑321-
ww.jz321.ng
通过该测试，它就被丢弃。
GB/T25068.3—2010/IS0/IEC18028-3.2005可以选择性地检查IP包，以确认2台主机或2个网络之间的数据流是否应允许通过。决定允许或拒绝这种数据流通过所依据的准则包括：·IP源地址；
·IP目的地址；
协议（例如TCP、UDP、ICMP）；.
·源端口；
·目的端口；
·通信方向（人站、出站）。
包过滤网关速度快，是因为它运行在网络层和传输层，且仅对给定连接的有效性进行粗略的检查。6.2状态包检测
基于包过滤技术，状态包检测方法增加了更多的安全检查，以便模拟应用代理防火墙的安全检查。状态包检测防火墙在网络层截取人站包直到它其有足够的信息来对上层尝试连接的状态作出某种判定，而不是简单地单独查看每个人站包的地址。然后这些包在置于操作系统内核的专有检测模块中被检测。安全判定所需的状态相关信息在这种检测模块中被检验，并被保留在动态状态表中用于评测后续的连接尝试。被清理过的包便被转发到防火墙之内，允许内部系统和外部系统之间直接联系。因为大多数检验发生在内核，所以状态包检测防火墙经常比应用代理防火墙快。尽管状态包检测方法已显著增强了简单包过滤防火墙的安全，但是，在需要将包收集到诸如URL或文件之类较大单元时，它不能对其进行安全检查。尽管如此，它必须在没有协议栈应用层信息的情况下能像应用代理那样做出安全决定。
具有状态检测功能的包过滤仍允许外部用户直接访问业务应用程序和系统，这些业务应用程序和系统很可能安装了配置不当、具有众所周知的安全脆弱性的操作系统。应用代理通过将对应用程序或计算机系统的访问限制在其代理自身内可识别任务的有限集内，来规避这些脆弱性。6.3应用代理
应用代理方法提供较高级的安全控制，因为它通过检验协议栈最高层的所有信息，对尝试连接提供应用级感知。因为应用代理服务在应用层是完全可见的，因此它能容易地预先看到每个尝试连接的各个细节，再实施相应的安全策略。应用代理服务的特点还包括内置的代理功能一一在应用网关处终止客户端连接，并发起一个到受保护的内部网络的新连接。这种代理机制提供增强的安全，因为它将外部系统与内部系统相隔离，从而使得外部黑客更难以利用系统内部的脆弱性。使用应用代理的安全网关提供最强大的安全，其唯一的缺点是：增强的安全能对其性能有负面影响。而且，对于新的服务，常常要花费时间才能使代理对此服务可用。6.4网络地址转换（NAT）
网络地址转换（NAT)技术的特征之一是它能够“隐藏”防火墙环境之内的网络编址方案。通过网络地址转换，内部网络上一个系统的IP地址被映射到一个不同的、对应外部的、可路由的IP地址。防火墙之内的许多系统也有可能共享同一个外部IP地址。外部用户仍可通过向某些端口号上的内连接转发来访问防火墙之内的资源。网络地址转换能在大多数网络设备(交换机、路由器以及堡垒主机或防火墙）上实施。6.5内容分析和过滤
具有应用级代理的安全网关也经常实施内容分析和过滤。内容过滤包括关键字过滤、抵御恶意代码（如病毒、虫和特洛伊木马）以及那些能够损害网络、应用程序和数据的移动代码（如Java、JavaScript、ActiveX或任何其他可执行代码）。由于大多数这种恶意代码是通过电子邮件或基于HTTP通信（例如从Web站点或FTP站点的下载)在互联网上散布的，所以应在安全网关和互联网的接口处启动保护。因此，病毒扫描器或更通用的S
GB/T25068.3—2010/IS0/IEC18028-3:2005内容扫描器被加到了屏蔽子网或非军事区（DMZ)。在大多数的安装中，内容扫描器直接与具有网络接口的防火墙链接，以便基于SMTP的电子邮件通信流和基于HTTP的通信被传输到内容过滤扫描器中。
内容分析的主要技术如下：
基于特征码的扫描(搜索已知模式)；。研究性的分析(分析功能代码和已知与恶意代码相关的行为)；●沙箱技术（本质上是一个内容监视程序，它把可疑代码隔离在“沙箱”中）。由于内容扫描与人侵检测（特别是基于网络的人侵检测)之间的差别很小，通过在防火墙设备上实施IDS代理还可使人侵检测系统（IDS)与防火墙相结合。见ISO/IECTR15947：2002。注：人侵检测系统的选择、部署和操作是ISO/IEC18043的主题。内容过滤技术也有一定的局限性。如果数据在传输层或应用层上被加密（例如SSL/TLS或S/MIME），就不再可能进行内容筛选，除非在防火墙上将加密数据解密，然后再重新加密。注意，这可能造成诸如“中间人”攻击之类的安全威胁。对内容扫描及过滤有一些法律限制，尤其是在有强数据保护法律要求之处。在这种情况下，只允许对恶意代码进行自动扫描，而不允许扫描电子邮件的具体内容，因为这将影响到发送方和接收方的隐私。
7安全网关组件
本章综述按组件（例如交换机、路由器和防火墙）区分的4种不同类型的安全网关。7.1交换机
交换机用于将完全的网络带宽分配给每个物理端口来实现高速通信。通常交换机是第2层设备，被广泛用于分割局域网。此外，当实施VLAN技术时，交换机能提供子网隔离。通过把访问控制列表（ACL)用到OSI模型第2、3和4层中，交换机和与其相连的节点之间的通信流能够得到控制。交换机提供的访问控制功能使其成为安全网关体系结构的有用组件，对于实施和构造任何屏蔽子网的各自非军事区也非常有用。在安全网关环境中使用的交换机不宜直接连接到公共网络，这是由于存在各种威胁，例如，类似拒绝服务的这种攻击能导致外露的交换机向所连接的网络大量倾泻包。7.2路由器
路由器通常设计为通过支持多种网络协议来连接不同的网络，并优化通信主机间的网络通信流和路由。此外，路由器可用作安全网关的组件，因为它能够基于包过滤技术来过滤各类数据通信中的数据包。
利用这种包信息检查来控制网络通信流的路由器经常被称作屏蔽路由器（见8.1.1）。路由器通常在OSI模型的第3层（网络层）工作，目前在该层只可能控制数据包的低级信息，而不对用户数据进行任何检查。
路由器能执行NAT和包过滤。
7.3应用级网关
应用级网关是基于硬件和软件的一台或一套设备。应用级网关专门设计成限制2个独立网络之间的访间。
应用级网关的实施主要使用2种技术：.
状态包检测；
·应用代理。
也可能使用这些技术的组合和变体（例如电路级防火墙）。此外，能够通过应用级网关执行NAT。6
建筑321---标准查询下载网
www.jiz321.net
7.4安全装置
GB/T25068.3—2010/ISO/IEC18028-3:2005仅以安全为目的、配置了加固的操作系统的网络设备（路由器、交换机、调制解调器等)被称作安全装置。这些设备可作为安全软件(防火墙、IDS/IDP、抗病毒保护等）的基础。可在范围广泛的平台上，从最小的远端到大型的公司网络以及数据中心，提供安全装置以满足各种各样的安全需求。专用于保护远端或单个计算机的装置称作个人防火墙装置，尽管这些装置可能还包含其他的安全功能，例如抗病毒保护。第6章中介绍的所有技术均能使用安全装置来实施。8安全网关体系结构
为了充分地保护内部网络以免暴露给来自外部网络(诸如互联网)的攻击，宜为安全网关选择一种有效的体系结构。
可考虑用2种不同的方法，即结构化方法和层次化方法，来创建安全网关。结构化方法是基于网络设计原则和由互联网协议设置的安全选项。层次化方法涉及到安全域和域边界上实施的防护措施，这些防护措施与组织的安全策略中所定义的安全要求相一致。下面讨论这2种方法。
结构化方法
在组织可能有的、不同的、特定安全需求的驱动下，结构化方法可通过4种不同的体系结构来实施。它们是：
·包过滤防火墙；
·双宿主网关；
·屏蔽主机；
·屏蔽子网。
这种保护应包括抵御恶意代码、病毒、骇客、拒绝服务攻击和其他未授权活动的防护措施。8.1.1包过滤防火墙体系结构
防火墙体系结构的最基本类型称作包过滤器。包过滤防火墙本质上是包含对系统地址和通信会话的访问控制功能的路由设备。它们经常被称作屏蔽路由器。在其最基本的形式中，包过滤器在OSI模型的第3层运行。见图1。
解散路由器
外部网络
防火增
IP包过滤
包过滤防火墙/屏蔽路由器
内部网络
所有通信流
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。