GB／T 25068.4-2022  信息技术 安全技术 网络安全 第4部分：使用安全网关的网间通信安全保护

问策略过滤跨边界的流量。安全网关的另一个用途是将多租户服务进行网络分段，例如在使用云服务 时，安全网关将根据组织的安全策略来保护组织的信息。 图1展示了一个网络环境示例，该示例仅适用于本章。DMZ，也叫边界网络，是一个包含有组织开 放给公共网络（互联网）的外部服务的物理或逻辑子网。DMZ的目的是为组织内网额外增加一个安全 层，使得外部攻击者只能访问DMZ中的服务，而不能访问内网的任何其他部分。所有访问服务的外部 连接都宜控制在DMZ内，DMZ系统访问内部系统的权限宜最小化或禁用。以这种方式设计的网络并 不能根除内部网络泄露的风险，但会增加泄露的难度。能够破坏边界网络内服务的入侵者，就可能寻机 找出另一个能访间内网的漏洞。因此，宜尽可能保证内网的安全。

大多数组织的网络会有多个“区域”或DMZ，为网络、应用和数据库层所用，或用于满足一些合规性 和法规要求。 目前存在包含多个功能领域的“混合”解决方案。很多包过滤防火墙现在代理某些服务，并且包含 了更多的控制粒度，如角色、时间等。 组织拥有的内联网由组织授权的人员管理和维护。任何规模的组织都宜划分独立网段，由内部安 全网关控制网段之间的流量。内联网中可为特殊用途设置隔离的基础设施。例如，如果将一个WLAN 作为内联网的一部分，可能会带来额外的风险，宜将WLAN分网段隔离并需设立进一步的鉴别，就可 利用内部安全网关来保护组织资产免受来自此网段的攻击。 组织利用外联网将内联网扩展到合作伙伴网络，实现了与受信任的第三方进行通信和交换数据。 外联网的安全网关可用于处理此扩展引发的威胁。当使用云计算等服务时，安全网关被用于限制访问 并根据组织的安全策略管理逻辑网络。组织通过公共网络与业务伙伴、客户和普通公众进行必要的通 信和数据交换，最常用的公共网络就是互联网。由于公共网络的信任级别相对较低，因此需要使用安全 网关，即互联网网关来应对公共网络带来的风险

未经授权的访问尝试可能是恶意访问，例如导致DoS攻击、资源滥用或未经授权访问有价值信息。 组织宜保护其内网和资产免受诸如蓄意滥用资产、系统配置错误、来自组织内部其他可信区域的未授权 流量进入，或其他来自互联网应用服务的各种威胁。 安全网关需要保护组织免受来自内网、互联网或第三方网络的未授权用户访问人侵。从组织外流 的不受监控的内容，可能会引发法律问题和知识产权损失。 此外，当越来越多的组织连接到互联网，组织就面临对不恰当的、令人反感的网站或网络应用程序 及服务进行访问控制的需要。如果不加控制，组织将面临生产力流失、责任风险和与工作无关的上网占 用带宽等威胁。需要应对的主要安全威胁包括： 对授权用户的DoS； 未经授权修改数据； 一未经授权泄露数据； 未经授权的系统重置； 未经授权使用组织的资源和资产； 未经授权的内容横向传播，如病毒和恶意软件； 虚拟化违规； 对安全网关的DoS和DDoS攻击，

安全网关用于满足以下安全需求

电网标准规范范本图2开放系统互连基本参考模型OSI七层模型

提供逻辑网络分段； 限制并分析逻辑网络之间的流量； 通过检查连接情况或对选定应用程序的代理操作，控制访问组织网络； 强制执行组织的网络安全策略； 记录流量，以便后续审计； 隐藏内部网络、主机和应用程序架构； 提供促进网络管理功能的能力，如减缓DoS或DDoS攻击。 表1阐述了第7章中的威胁与本章中的安全需求之间的关系。“×”表示该威胁引发此需求，“一 示该威胁未引发此需求。

表1威胁与安全需求之间的关系

对于每个安全网关，宜开发一个单独的服务访问（安全性)策略文档，并实现相应的内容，以确保 经过授权的流量通过。该策略文档宜包含网关所需要的详细的管理规则集与网关配置信息。需 策略等级制度生效：任何组织不限规模都可制定适用于整个组织的通用策略，可能是面对整个安 类的通用强化策略，也可能在通用强化之上针对特定设备的特定强化策略。因此，为了确保通信

接中仅限有效的用户和流量才能获得访问权，策略宜详细定义和记录流量出入安全网关的药束和规 则，以及安全网关管理和配置的参数。对于所有安全网关，均宜适当使用身份识别与鉴别、逻辑访问控 制和审计工具。此外，宜对安全网关进行定期的检查，一且存在未经授权的软件和数据，宜按照组织或 社区的信息安全事故管理方案（见GB/T20985.2一2020）撰写事件报告。为了消除或削弱安全网关中 的安全威胁，阻止渗透得，可使用安全补丁修复安全网关的漏洞。因此，安全网关宜定期更新补丁和 升级以对抗最新漏洞威胁。 在安全网关配置尚未满足管理策略前，安全网关不宜与组织的网络连接。 防火墙是安全网关的一个典范。通常防火墙的保护等级宜对应评估到的威胁。标准的防火墙规则 集默认拒绝所有网间流量，仅当需建立通信路径时，通过添加显式规则来允许网间流量通行。 保护远程系统安全网关的管理策略，可能面临专用硬件设备所需的保障费用不足和专业技术支持 欠缺。作为替代方案，终端软件防火墙（个人防火墙）可以用来控制远程计算机与网络之间的流量。类 似于其他安全网关，组织应满足在终端软件防火墙中设置的规则集与管理策略需求相符。 安全网关分很多种，例如：包过滤型、代理防火墙、状态包检测、内容过滤及应用防火墙。后续章节 中描述了每一种安全网关的细节。 安全网关可以利用虚拟技术来实现必要的功能。当共享内存、CPU以及存储能力时，虚拟机宜被 良好隔离。 虚拟机管理程序，也被称为虚拟机管理器，宜对本机及托管虚拟机提供保护，例如将防病毒和反垃 圾邮件处理过程从虚拟机转移到虚拟机管理器。 虚拟化安全功能既保护虚拟机管理器的安全也保护虚拟机的安全。它可以保护虚拟机管理器免受 致击并且保证虚拟机的隔离。虚拟化安全功能，也包括对于虚拟机存储和迁移过程中的镜像、挂起的虚 拟机实例的保护该保护贯穿干虚拟机安全生金周期管理

包过滤器审查每个数据包，基于包中所有数据的审查来充许或拒绝包通过。审查并没有将包与任 何已提交给包过滤器的前向包进行关联。这种方式依赖于以下参数： IP源及目的地址； 包的载荷类型（例如：TCP、UDP、ICMP）； TCP或UDP载荷的源和目的端口； 包到达或离开的时间（或日期）； 一到达（或离开）的网络接口卡。

状态包检测是通过记录数据交换全生命周期中的关键事件，实现了对无状态包过滤的扩展，尤其是 记录传输层协议的状态。基于包过滤技术，状态包检测方法被用于一些防火墙产品中，并试图通过模拟 代理防火墙安全监测的方式增加一些更加安全的监测。状态包过滤防火墙不是单纯地逐个监测每一个 流入包的地址，而是在网络层拦截流入包，直到获取的信息足以确定上层协议尝试连接的状态，状态包 过滤器会根据已经获取的其他相关包状态来决定是否放行此包。例如，状态包检测方法能够使过滤器 区分“已建立TCP连接的部分包”和“一个相似的独立包”。因此，相比无状态包过滤器，状态包过滤器 可以作出更加精确的决定。然而，在同样的吞 资源（存储及处理能力）。

应用防火墙对应用层协议通信进行分析，例如，宜按照代表HTTP正确操作的规则来配置Web应

通常使用具有应用代理功能的安全网关实现内容过滤。内容过滤是阻止恶意或不适当代码的关键 保护方法。这种方法可以用来抵御应用程序下载或浏览器中执行所带来的威胁。这些威胁包括从木马 到不适当的ActiveX插件。由于这种恶意代码通过互联网上的电子邮件或者基于HTTP的通信（如从 网站或FTP站点下载)传播，故而防护宜从连接互联网的安全网关接口处开始。因此，病毒扫描器或者 内容过滤器被部署在受屏蔽的子网或者DMZ内。在多数实例中，内容过滤扫描器常通过与带有网络 接口的防火墙直连，这样诸如SMTP协议的邮件服务和基于HTTP的通信等服务就能够被发送至内 容过滤扫描器。 内容分析的主要技术如下： 一协议分析； 一基于签名的扫描（已知范式搜索）； 一调查式分析（与恶意代码相关联的已知功能和行为代码分析）； 沙箱技术（本质上是一个用来将可疑代码隔离到“沙箱”的内容监控程序）。 内容扫描和入侵检测之间的区别较小，尤其是在网络入侵检测方面，通过在防火墙设备上运行 IDS代理，从而将IDS与防火墙相结合。 注：人侵检测或防御系统的选择、部署和操作详见GB/T28454—2020(ISO/IEC27039：2015，MOD) 内容过滤技术也有一些限制。如果数据在传输层或者应用层加密（如SSL/TLS或S/MIME协 议），除非加密数据在防火墙上解密并再次加密，否则将无法进行内容过滤。这可能会带来如“中间人攻 击”的安全威胁。 内容扫描和过滤存在法律风险，特别是强有力的数据保护法律法规时。在这种情况下，只对恶意代 码进行自动扫描是允许的，但不能扫描电子邮件的特定内容，因为这种做法将侵犯发件者及收件者的隐 私权。

9.6入侵防御系统和入侵检测系统

入侵是一种对网络或有网络连接系统的未经授权的访间。例如，故意或者偶然对信息系统的未经 授权访问、对信息系统的恶意行为或者未经授权使用信息系统的资源。人侵防御是积极响应防止人侵 的一个规范过程。入侵防御系统是为提供主动响应能力而设计的入侵检测系统的一个变化，而人侵检 测系统只是检测已经尝试、正在发生或已经发生的可能的入侵，并通知管理员有人侵。

9.7 安全管理 API

集中管理功能允许对组织网络中部署的安全网关进行适当且有效的管理，宜由安全网关提供安全 管理API，用于组织中的远程集中管理。 这种集中管理功能有助于安全网关在操作和配置方面的远程管理。 宜由安全网关识别和认证远程安全管理员。此远程管理API宜为网络管理员提供管理、监视和排 除安全网关故障的工具。

交换机用于为每个物理端口提供全网络带宽的高速通信。通常来说，交换机位于OSI模型第2 层，产泛用于对局域网进行分段。此外，在实现VLAN技术时，交换机可以提供子网隔离。可通过使用 ACL来控制交换机与连接到该交换机的节点之间的流量。ACL可以应用于OSI模型第2层、第3层 和第4层。交换机提供的访问控制功能使其可以作为安全网关体系结构的组件，尤其是用于实现和构 建屏蔽子网专属的DMZ。由于存在多种威胁，在安全网关环境下使用的交换机不宜被直连到公共网络 上，例如，DoS攻击可能导致暴露的交换机包泛洪其连接的网络。 可能存在负载均衡交换机工作在第7层（应用层）的情况。这些交换机通常用来保证防火墙和服务 器的可用性（尽管防火墙通常不在第7层）。

路由器通常设计为通过支持多个网络协议来连接不同的网络，并优化网络流量和通信主机之间的 路由。此外，路由器可以用作安全网关的组件，因为它们能够以包过滤技术为基础对数据通信中的数据 包进行过滤。利用包信息检查来控制网络流量的路由器通常被称为屏蔽路由器。路由器通常在 OSI模型的第3层（网络层)工作。路由器只对数据包级别信息（如源端口和目标端口）进行分析。路由 器可以执行NAT和数据包过滤换作。

10.1.3应用层网关

应用层网关是基于硬件和软件的设备或设备组。应用层网关专门用于限制两个独立网络之间的访 问。主要有两种技术用于实现应用层网关： 状态包检测； 一应用代理。 也可以使用这些技术的组合和变化（例如，电路级防火墙）。此外，可以由应用层网关来执行NAT。 应用层网关能理解应用程序正在使用的应用和协议，从而能够确定请求是否为合法的响应。例如，当使 用VoIP类的应用程序时，应用层网关需要理解SIP以允许连接之间的适当信息交互。

网络设备（如路由器、交换机、调制解调器等）配备加固的操作系统，所有专用于安全目的的设备都 称为安全设备，这些设备是安全软件（防火墙、IDS、IPS、防病毒保护软件等）的基础。安全设备可以满 足各种平台的多样化安全需求，从最小型的远程工位到大型企业网络甚至数据中心的平台。专用于单 机的设备被称为个人防火墙，是在单机上运行的软件应用程序，用于保护进出该计算机的流量。专用于 保护远程工位的设备被称为家庭或远程办公室或分办公室的安全设备，这些安全设备通常保护上述地 点的流量。第9章中提到的所有技术都可

集中监控和审计功能允许对组织网络中部署的安全网关进行适当有效的监控和审计。宜确保监控 和审计功能与安全网关之间通信的安全，这些通信交换了适当的审计和监控功能所需的必要信息。 此外，每个安全网关宣建立与集中监控和审计功能进行通信的接口。这种集中监控和审计功能可 以帮助捕获安全网关的任何异常状态或捕获可能触发网关和内部系统安全漏洞的任何尝试和操作，对 用户所执行操作的责任进一步跟踪，记录违反安全策略的行为。 这种集中监控和审计功能有助于全面监控安全网关的操作和审计跟踪。此外，它还可以为管理决 策提供可描述的、高效的、易用的面板。

10.2部署安全网关控件

10.2.1包过滤防火墙体系结构

有两种类型包过滤防火墙：（有）状态和无状态。无状态数据包防火墙适用于删除畸形数据包，包括 源“错误”包，或目的地址“错误”包。源或目的地址可以通过防火墙的流动方向、包的网络地址或包的传 输层内容的端口来识别。可认为每个包与所有其他包隔离。包过滤防火墙不会破坏端到端连接。防火 谱体系结构中最基本类型的就是包过滤防火墙，如图3所示。包过滤防火墙通常被称为屏蔽路由器，本 质上是包含系统地址、通信会话访问控制功能的路由设备。在最基本的形式中，包过滤器工作在 OSI模型第3层。

图3包过滤防火墙或屏蔽路由器

包过滤防火墙的访问控制功能由一套指令集统一管理，这组指令集统称为规则集。这些规则集通 也称为ACL。ACL基于包的源或目的地址、流量类型、第4层通信的某些特性（如源和目标端 ），以及有关该包出入路由器的接口信息等提供网络访问控制。 包过滤防火墙有两个主要优势：速度和灵活性。由于包过滤器通常不会检查OSI模型第4层以上

主机或屏蔽子网之前，先部署包过滤防火 墙作为外部路由器，如此部署位置的原因是包过滤防火墙能够阻止Dos和相关攻击。由于包过滤防火 墙不会检查上层数据（第5～第7层），故而屏蔽路由器无法阻止那些利用应用程序或功能特定漏洞的 改击。防火墙可用信息有限导致包过滤防火墙日志记录功能受限。由于访问控制决策中使用了大量变 量，因此防火墙配置项很容易受到变量影响导致配置不当，进而产生安全漏洞，

10.2.2双宿主网关体系结构

双宿主网关是一个阻断端到端连接的应用代理或应用网关。图4中描述的双宿主网关包括具有A 和B两个网络接口且IP转发功能被禁用的主机系统。因此，来自一个网络（如互联网）的IP包不直接 路由到另一个网络（如内网）。内网中各系统可以通过双宿主网关通信，墙外网络上的各系统可通过双 宿主网关通信，但这些系统不能直接相互通信。 如果给主机配备多个网卡，会有多种配置方案。例如，通过使用不同网卡与不同互联网服务提供商 连接上网，或通过内网连接到不同的服务器（如电子邮件服务器或日志服务器）。在这种情况下，它被称 为多宿主网关。 可选择性地在外网的连接中部署一个路由器作为包过滤器，通过过滤网络包以进一步提供保护。 双宿主网关阻止外网和受保护站点之间的所有直连IP流量。防火墙上的应用代理服务提供服务和 访间

双宿主网关展示了一种更合适的安全网关类型，因为它对外网系统隐藏了内部IP地址，并提供了 一种日志记录功能，可以与IDS结合使用来检测可能的人侵者行为。灵活性有限可能是这类位置布局 的缺点，不过也只有这样，基于代理服务的服务才会被放行。 在这种情况下，可使用附加路由器建立一条安全网关的旁路路由，实现可信通信来克服该缺点。作 为防火墙宿主的主机系统的安全性对于整体保护至关重要，如果防火墙受到破坏，入侵者便能够访问内 部系统。

10.2.3屏蔽主机体系结构

图5中，屏蔽主机结构将包过滤路由器与使用应用代理的堡垒主机组合在一起。堡垒主机位于受 路由器保护的子网一侧。在该体系结构中，首先是由包过滤路由器提供安全保护，如防止有人绕开代理 服务器直接建立与内网的连接。 屏蔽路由器上，包过滤方法是将堡垒主机设置为外网主机唯一可以打开连接的系统。堡垒主机作 为应用层防火墙，包含各种代理服务，代理服务根据站点策略，放行或拦截对外服务。因此，路由器实现

寸危害防火墙和站点系统的协议进行过滤 路由服务允许从外网到堡垒主机的应用流量，拒绝来自外部站点的其他流量。路由器会拦截除 尽垒主机以外的内网发出的任何应用流量

10.2.4屏蔽子网体系结构

图6中的屏蔽子网体系结构是双宿主网关和屏蔽主机体系结构的变化，通过增设边界网络（进一步 将内网与外网隔开）为屏蔽主机架构增加了额外的保护层。 创建内部屏蔽子网至少需用两个路由器。该子网有时称为DMZ或边界网络，该子网包含堡垒主 机或应用层防火墙，同时也可容纳网络服务器、电子邮件服务器、DNS服务器和其他需要谨慎的控制访 问的系统。外部路由器限制从外网访问屏蔽子网上的特定系统（如为从互联网网站到电子邮件服务器 的电子邮件流量提供路由服务），并阻止不宜作为源发连接的源发系统（例如，NFS安装到外部系统）向 外网流出的所有其他流量。内部路由器根据现有规则充许流量进出屏蔽子网上的系统（例如，将电子邮 件流量从站点系统路由到电子邮件服务器，反向亦可）。 对于双宿或多宿主网关而言，最重要的是外网与内系不能相互直连。使用屏蔽子网体系结构，对于 屏蔽子网体系结构，将应用层网关的各自堡垒主机作为双宿主系统并非绝对必要条件。 屏蓝子网体系结构可 需要极高通量的站点

11.2选择安全网关结构和适当组件

宜根据安全网关的业务和安全需求（见第8章），选择和调整适当的安全网关结构（见10.2）。 一且确定了结构，就需要进一步指定该结构的每个组件（见10.2），并对其功能进行评估（见10.1）。 在实际情况下，经常使用多层网关。 本章以下各节为适当结构选择正确组件提供 广进一步的指南

11.3硬件和软件平台

在选择硬件平台时，宜特别考虑性能、效率、可靠性和适用性，例如，假设一个硬件平台只具有以太 网接口，却需要在V.35上进行顿中继，那么该硬件平台就不可选。其次，宜查看硬件设备的操作系统。 出于安全目的，宜使用加固的操作系统，并对已知硬件平台漏洞进行检查。软件平台也需要验证其性能 知可靠性，例如，具有10BaseT以太网接口的路由器不能提供千兆吞叶量

在安全网关网络设备的配置过程中，需要考虑以下推荐的设定： 屏蔽子网体系结构下各DMZ区的交换网； 路由器与安全网关之间宜设置静态路由； 不宜接受源路由信息的设置：

宜在安全网关上仅安装操作所必需的软件或程序（“平台加固”)； 确保默认情况下未启用端口； 除非需要使用IDS，否则不得启用SPA端口； 确保设备接口使用密码； 拒绝“松散源路由”的RIP消息； 具备适当的NAT功能； 安全网关的透明操作； 安全网关的访问控制（标识、鉴别）； 在安全网关崩溃的情况下，仍能够执行管理任务； 确保所有管理事件和流量的“日志记录”； 操作系统相关平台加固。

具有特定访问权限下组合使用FTP命令； 允许存储环境信息，例如检查动态分配的端口号； 过滤其他网络对象（域、组、VPN对象等）； 防止特定的会话劫持攻击。 验查其他杂项功能部件或设置，比如： 根据日志记录或在入侵检测传感器检测到入侵时创建警报； 宜指出的是药品标准，使用SOAP通信机制的应用能够无需检测就可通过状态检测和应用层代理防火 墙。因此，存在避开应用代理和其他防火墙策略可能性。基于SOAP的应用需要穿越安全网 关的连接的情况，需要特殊对待。例如，一些基于SOAP的应用可以通过特定于应用程序的 XML内容过滤器（在XML防火墙中允许使用合适的XML过滤器编程）或通过一个策略来实 现保护，该策略允许基于SOAP的应用仅在受端到端VPN保护的情况下穿越安全网关进行 通信。

当需要跟踪数据流时，日志记录过程非常重要，如用于灾后恢复、法律调查等。 日志记录功能（用户身份识别、IP源和目的地址、端口号、时间、日期）。存储的信息越多，事件 处理得越好。 与NTP服务器同步的能力，以获取精确的日期和时间。 保护日志文件免受恶意更改和未经授权访间

安全网关宜支持审计工具，在维持基本的信息安全属性如保密性、完整性、可用性、可鉴别、可 和抗抵赖性的同时还能验证日志文件

[11.9 培训和教育

防火墙实现类型通常有两种，“硬件”和“软件”，它们可以合为不同子类型。硬件主要指目前通

的网关设备解决方案。这些设备可以细分为基于CPU带加固操作系统的硬件（如x64)和专用设备，通 常包含ASIC芯片，以执行特定功能，如高速防火墙或VPN加速。还有一些较少使用的内置在网络接 口的硬件防火墙。 尽管同一物理设备的一部分在逻辑上是独立的，并且具有自已的接口、规则集和与之关联的路由 表，某些硬件防火墙仍然具有创建“虚拟防火墙”的选项。 软件防火墙可以是安装在经过加固的操作系统上的传统软件包，用于终端系统的“个人”防火墙，还 可以是在虚拟服务器环境中使用的虚拟映像。 一些软件防火墙还位于虚拟机管理器层，以控制来自虚拟系统的流量。

11.11高可用性和运行模式

目前，大多数组织使用某种高可用性或集群技未来提高可用性。通常是通过供应商的技未实 但也可通过负载平衡开关实现。需要考虑可能影响可用性的安全网关的单点故障（SPOF)

资料范本11.12其他注意事项