翻译:中国科学技术大学信息安全专业老师 在10.3节,我们提到这样一个问题,如何使没有意识到安全的应用变得安全。使用 IPSEC 和SSL,你遇到了与GSS-API类似的情形。为了使用一个密码服务调用,它进行数据的加 密和认证,一个应用层的编程者在应用代码中必须改变一点点(SSL)或者一点都不改变 ( IPSEC)。安全上下文环境由SSL建立,而在 IPSEC中则必须用其他独立的方式建立。客 户和服务器必须保护好它们的安全上下文环境的参数,否则由 IPSEC和SSL提供的安全就 会受到威胁,于是我们再次返回到计算机安全方法。 密码保护不会受到来自在通信链路下面层的威胁,它很可能受到来自网络结点的下面层 的威胁。 133网络边界 通过使用 IPSEC和SSL,在一个计算机网络中安全周界( perimeters)与结点边界 ( boundaries)相一致。结点被认为是安全的,而网络是不安全的。这是一个关于外部世界 的相当简单化的观点。网络是由很多嵌套的子网组成,子网的边界是一个相当安全的周界, 这是完全有可能的情形。 考虑一个组织已经安装了一个局域网(LAN)的情况。报文分组可以借助于LAN中任 何结点寻路,每个结点都有嗅探指定到其他结点的报文分组的潜力。该组织已经认为他们的 前提是,与其他泄漏信息的方式相比,搭线窃听攻击不是主要的威胁;但雇员的数据不应该 偶然地在人事部门外流动。为了实现这个目标,这个局域网被分成了两个用路由器连接起来 的子网,如图13.13所示。人事部门的计算机通过子网 subnet 1连接起来,该组织的所有其 他的计算机则通过子网 subnet2连接。仅仅在报文分组明确地定址到另外一个子网的结点 时,路由器才转发这个数据包 当这两个子网不直接连接时,你可以创建一个虚拟专用网(VPN),VPN通过在每个子 网的网关之间建立安全连接来实现,如图13.14所示。在两个子网间的所有通信必须经过这 些网关,其中增加的密码保护扩展了安全边界 你已经看到了两个例子,其中在网络边界的结点实现了安全机制。一般来说,在一个网 络边界( boundary)的主机可以用来 ·控制对网络的访问 ·对离开网络的数据进行密码保护 ·隐藏网络的内部结构 在下一节,将更密切地考虑可能在网络边界实现的安全机制的种类。 图13.13分离的两个子网 图13.14虚拟专用网 134防火墙 继续讨论我们的例子。在组织内部的LAN连接了个人计算机PC。在PC上的操作系 统是用户友好的,但不是为安全设计的。只要LAN对组织来说是内部的,这就不一定是个 问题。然而,当LAN被连接到 Internet上的时候,威胁的环境改变了。同样地,组织可能 第8页共12页 创建时间:2003-11翻译：中国科学技术大学信息安全专业老师 第 8 页 共 12 页 创建时间：2003-11 在 10.3 节，我们提到这样一个问题，如何使没有意识到安全的应用变得安全。使用 IPSEC 和 SSL，你遇到了与 GSS-API 类似的情形。为了使用一个密码服务调用，它进行数据的加 密和认证，一个应用层的编程者在应用代码中必须改变一点点（SSL）或者一点都不改变 （IPSEC）。安全上下文环境由 SSL 建立，而在 IPSEC 中则必须用其他独立的方式建立。客 户和服务器必须保护好它们的安全上下文环境的参数，否则由 IPSEC 和 SSL 提供的安全就 会受到威胁，于是我们再次返回到计算机安全方法。 密码保护不会受到来自在通信链路下面层的威胁，它很可能受到来自网络结点的下面层 的威胁。 13.3 网络边界 通过使用 IPSEC 和 SSL，在一个计算机网络中安全周界（perimeters）与结点边界 （boundaries）相一致。结点被认为是安全的，而网络是不安全的。这是一个关于外部世界 的相当简单化的观点。网络是由很多嵌套的子网组成，子网的边界是一个相当安全的周界， 这是完全有可能的情形。 考虑一个组织已经安装了一个局域网（LAN）的情况。报文分组可以借助于 LAN 中任 何结点寻路，每个结点都有嗅探指定到其他结点的报文分组的潜力。该组织已经认为他们的 前提是，与其他泄漏信息的方式相比，搭线窃听攻击不是主要的威胁；但雇员的数据不应该 偶然地在人事部门外流动。为了实现这个目标，这个局域网被分成了两个用路由器连接起来 的子网，如图 13.13 所示。人事部门的计算机通过子网 subnet_1 连接起来，该组织的所有其 他的计算机则通过子网 subnet_2 连接。仅仅在报文分组明确地定址到另外一个子网的结点 时，路由器才转发这个数据包。 当这两个子网不直接连接时，你可以创建一个虚拟专用网（VPN），VPN 通过在每个子 网的网关之间建立安全连接来实现，如图 13.14 所示。在两个子网间的所有通信必须经过这 些网关，其中增加的密码保护扩展了安全边界。 你已经看到了两个例子，其中在网络边界的结点实现了安全机制。一般来说，在一个网 络边界（boundary）的主机可以用来： ·控制对网络的访问 ·对离开网络的数据进行密码保护 ·隐藏网络的内部结构 在下一节，将更密切地考虑可能在网络边界实现的安全机制的种类。 图 13.13 分离的两个子网 图 13.14 虚拟专用网 13.4 防火墙 继续讨论我们的例子。在组织内部的 LAN 连接了个人计算机 PC。在 PC 上的操作系 统是用户友好的，但不是为安全设计的。只要 LAN 对组织来说是内部的，这就不一定是个 问题。然而，当 LAN 被连接到 Internet 上的时候，威胁的环境改变了。同样地，组织可能