更新时间:2024-09-20 20:54
网闸是使用带有多种控制功能的固态开关读写介质,连接两个独立主机系统的信息安全设备。由于两个独立的主机系统通过网闸进行隔离,使系统间不存在通信的物理连接、逻辑连接及信息传输协议,不存在依据协议进行的信息交换,而只有以数据文件形式进行的无协议摆渡。因此,网闸从逻辑上隔离、阻断了对内网具有潜在攻击可能的一切网络连接,使外部攻击者无法直接入侵、攻击或破坏内网,保障了内部主机的安全。
网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议"摆渡",且对固态存储介质只有"读"和"写"两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使"黑客"无法入侵、无法攻击、无法破坏,实现了真正的安全。
安全隔离与信息交换系统,即网闸,是新一代高安全度的企业级信息安全防护设备,它依托安全隔离技术为信息网络提供了更高层次的安全防护能力,不仅使得信息网络的抗攻击能力大大增强,而且有效地防范了信息外泄事件的发生。
第一代网闸的技术原理是利用单刀双掷开关使得内广域网的处理单元分时存取共享存储设备来完成数据交换的,实现了在空气缝隙隔离(Air Gap)情况下的数据交换,安全原理是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果。
第二代网闸正是在吸取了第一代网闸优点的基础上,创造性地利用全新理念的专用交换通道PET(Private Exchange Tunnel)技术,在不降低安全性的前提下能够完成内外网之间高速的数据交换,有效地克服了第一代网闸的弊端,第二代网闸的安全数据交换过程是通过专用硬件通信卡、私有通信协议和加密签名机制来实现的,虽然仍是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全效果的,但却提供了比第一代网闸更多的网络应用支持,并且由于其采用的是专用高速硬件通信卡,使得处理能力大大提高,达到第一代网闸的几十倍之多,而私有通信协议和加密签名机制保证了内外处理单元之间数据交换的机密性、完整性和可信性,从而在保证安全性的同时,提供更好的处理性能,能够适应复杂网络对隔离应用的需求。
安全隔离网闸是由软件和硬件组成。隔离网闸分为两种架构,一种为双主机的2+1结构,另一种为三主机的三系统结构。2+1的安全隔离网闸的硬件设备由三部分组成:外部处理单元、内部处理单元、隔离安全数据交换单元。安全数据交换单元不同时与内广域网处理单元连接,为2+1的主机架构。隔离网闸采用SU-Gap安全隔离技术,创建一个内、外网物理断开的环境。三系统的安全隔离网闸的硬件也由三部分组成:外部处理单元(外端机)、内部处理单元(内端机)、仲裁处理单元(仲裁机),各单元之间采用了隔离安全数据交换单元。
为什么要使用安全隔离网闸呢?其意义是:
(一)当用户的网络需要保证高强度的安全,同时又与其它不信任网络进行信息交换的情况下,如果采用物理隔离卡,用户必须使用开关在内广域网之间来回切换,不仅管理起来非常麻烦,使用起来也非常不方便,如果采用防火墙,由于防火墙自身的安全很难保证,所以防火墙也无法防止内部信息泄漏和外部病毒、黑客程序的渗入,安全性无法保证。在这种情况下,安全隔离网闸能够同时满足这两个要求,弥补了物理隔离卡和防火墙的不足之处,是最好的选择。
(二)对网络地隔离是通过网闸隔离硬件实现两个网络在链路层断开,但是为了交换数据,通过设计的隔离硬件在两个网络对应的上进行切换,通过对硬件上的存储芯片的读写,完成数据的交换。
(三)安装了相应的应用模块之后,安全隔离网闸可以在保证安全的前提下,使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据,并可以在网络之间交换定制的文件。
安全隔离网闸的主要性能指标有那些呢?其性能指标包括:
硬件切换时间:5ms
1.有哪些功能模块:安全隔离闸门的功能模块有:
安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证
2.防止未知和已知木马攻击:
为什么说安全隔离网闸能够防止未知和已知木马攻击?
通常见到的木马大部分是基于TCP的,木马的客户端和服务器端需要建立连接,而安全隔离网闸由于使用了自定义的私有协议(不同于通用协议)。使得支持传统网络结构的所有协议均失效,从原理实现上就切断所有的TCP连接,包括UDP、ICMP等其他各种协议,使各种木马无法通过安全隔离网闸进行通讯。从而可以防止未知和已知的木马攻击。
3.具有防病毒措施:
安全隔离网闸具有防病毒措施吗?
作为提供数据交换的隔离设备,安全隔离网闸上内嵌病毒查杀的功能模块,可以对交换的数据进行病毒检查。
安全隔离网闸与物理隔离卡最主要的区别是,安全隔离网闸能够实现两个网络间的自动的安全适度的信息交换,而物理隔离卡只能提供一台计算机在两个网之间切换,并且需要手动操作,大部分的隔离卡还要求系统重新启动以便切换HDD。
安全隔离网闸在网路间进行的安全适度的信息交换是在网络之间不存在链路层连接的情况下进行的。安全隔离网闸直接处理网络间的应用层数据,利用存储转发的方法进行应用数据的交换,在交换的同时,对应用数据进行的各种安全检查。路由器、交换机则保持链路层畅通,在链路层之上进行IP包等网络层数据的直接转发,没有考虑网络安全和数据安全的问题。
防火墙一般在进行IP包转发的同时,通过对IP包的处理,实现对TCP会话的控制,但是对应用数据的内容不进行检查。这种工作方式无法防止泄密,也无法防止病毒和黑客程序的攻击。
能取代防火墙吗?
无论从功能还是实现原理上讲,安全隔离网闸和防火墙是完全不同的两个产品,防火墙是保证网络层安全的边界安全工具(如通常的非军事化区),而安全隔离网闸重点是保护内部网络的安全。因此两种产品由于定位的不同,因此不能相互取代。
单系统的设备安全?
单系统的设备如(信息流转器)不是安全隔离网闸设备。类似的单系统一旦系统遭受到攻击,攻击者完全有可能在单系统的两张网卡之间建立起路由,从而内部网络会完全暴露。
隔离需要专用硬件?
需要,隔离硬件一般都由GAP厂商提供,其中对高速切换装置的切换频率要求非常高。
用1394连接网闸
使用专用隔离硬件的安全隔离网闸的安全隔离是在硬件上实现的,在隔离硬件上固化了模拟开关,无法通过软件编程方式进行改变而通过1394或者串行通讯接口连接两台或多台系统,其上的隔离切换实质上是通过软件来实现的,其安全性和用标准以太网卡相连的两台PC无异。由此可知1394或者串口实现的“软隔离”在安全性上和安全隔离网闸不具可比性,相差甚远。
(一)安全隔离网闸通常布置在什么位置?
安全隔离网闸通常布置在两个安全级别不同的两个网络之间,如信任网络和非信任网络,管理员可以从信任网络一方对安全隔离网闸进行管理。
(二)安全隔离网闸的部署是否需要对网络架构作调整?
采用透明方式的网闸只需要在两个网络各提供一个有效的IP地址即可。采用路由模式的网闸要求一定的改动。有的网闸支持两种连接方式。有的只支持一种。只支持路由模式的网闸就会要求对网络结构有改动。
(三)安全隔离网闸是否可以在网络内部使用?
可以,网络内部安全级别不同的两个网络之间也可以安装安全隔离网闸进行隔离。
(四)安全隔离网闸支持交互式访问吗?
鉴于安全隔离网闸保护的主要是内部网络,一旦支持交互式访问如支持建立会话,那么无法防止信息的泄漏以及内部系统遭受攻击,因此,安全隔离网闸不支持交互式访问.
(五)支持反向代理的安全隔离网闸安全吗?
支持反向代理意味着可以从非信任网络间接授权访问信任网络上的资源,一旦代理软件在安全检查或者软件实现上出现问题,那么很有可能会被黑客利用并非法存取内部资源。因此从安全性上讲,支持反向代理的安全隔离网闸不安全。
(六)如果对应网络七层协议,安全隔离网闸是在哪一层断开?
如果针对网络七层协议,安全隔离网闸是在硬件链路层上断开。
(七)安全隔离网闸支持百兆网络吗?千兆网络如何支持?
安全隔离网闸支持百兆网络,目前国内最快的可以达到120MBps。对于千兆网络,可以采用多台安全隔离网闸进行负载均衡。
(八)安全隔离网闸自身的安全性如何?
安全隔离网闸双处理单元上都采用了安全加固的操作系统,包括强制访问控制、基于内核的入侵检测等安全功能,并且该系统得到国家权威部门的认证。
(九)安全隔离网闸有身份认证机制吗?
有。安全隔离网闸在用于邮件转发和网页浏览的时候,对用户进行用户名/口令、证书认证等多种形式的身份认证。
(十)有了防火墙和IDS,还需要安全隔离网闸吗?
防火墙是网络层边界检查工具,可以设置规则对内部网络进行安全防护,而IDS一般是对已知攻击行为进行检测,这两种产品的结合可以很好的保护用户的网络,但是从安全原理上来讲,无法对内部网络做更深入的安全防护。安全隔离网闸重点是保护内部网络,如果用户对内部网络的安全非常在意,那么防火墙和IDS再加上安全隔离网闸将会形成一个很好的防御体系。
(十一)受安全隔离网闸保护的内部网络需要不断升级吗?
安全隔离网闸首先在链路层断开,彻底切断网络连接,并仅允许仅有的四种指定静态数据进行交换,对外不接受请求,并且在内部用户访问外部网络时采用静态页面返回(过滤ActiveX、Java、cookie等),并且木马无法通过安全隔离网闸进行通讯,因此内部网络针对外部的攻击根本无需升级。
(十二)为什么受防火墙保护的内部网络需要不断升级?
防火墙是在网络层对数据包作安全检查,并不切断网络连接,很多案例证明无论包过滤还是代理防火墙都很难防止木马病毒的入侵内部网络,Nimda绕过很多防火墙的检查并在全世界肆虐就是一个很好的例证,因此需要用户的内部网络不断升级自己的客户端如浏览器。
(十三)安全隔离网闸能否防止内部无意信息泄漏?
由于安全隔离网闸在数据交换时采用了证书机制,对所有的信息进行证书验证,因此对于那些病毒乱发邮件所造成的无意信息泄漏起到很好的防范作用。
(十四)使用安全隔离网闸时需要安装客户端吗?
有的网闸管理员使用通用的浏览器即可对其进行管理配置,使用安全隔离网闸时不需安装其他客户端。但是这种方式具有极大的安全风险,因为远程连接会引入安全威胁,而这种对于控制口的攻击更为严重。所以安全性要求高的网闸,不允许通过远程进行配置,只允许通过专有的配置程序,也就是客户端通过串行通讯接口进行配置。一些重要部门均不允许对网闸具有远程配置的功能。
(十五)安全隔离网闸接受外来请求吗?
不接受,安全隔离网闸上的数据交换全部由管理员来进行配置,其所有的请求都由安全隔离网闸主动发起,不接受外来请求,不提供任何系统服务。如果接受远程配置,就会接受外来的请求,造成严重的安全问题。
(十六)安全隔离网闸是否支持所连接的两个网络的网段地址相同?
支持。
(十七)安全隔离网闸的主机系统是否经过安全加固?
由于从网络架构上来讲,安全隔离网闸是处在网关的位置,因此其自身安全性非常重要,两个处理单元加固包括硬件加固、操作系统加固以及协议的加固。详情见扩展阅读3.
(十八)安全隔离网闸采用什么样的接口?有几个接口?
安全隔离网闸通常提供2个标准以太网百兆接口。
(十九)安全隔离网闸如何管理,支持远程管理吗?
安全性高的安全隔离网闸不支持远程管理。
(二十)安全隔离网闸适用于大规模的部署吗?
安全隔离网闸的安全部署不需对现有网络作调整,同时支持多台冗余
(二十一)安全隔离网闸适用于什么样的场合?
如果用户的网络上存储着重要的数据、运行着重要的应用,通过防火墙等措施不能提供足够高的安全性保护的情况下,可以考虑使用安全隔离网闸。
(二十二)安全隔离网闸直接转发IP包吗?
否。安全隔离网闸从不直接或者间接地转发IP包形式的数据。安全隔离网闸的安全性体现在链路层断开,直接处理应用层数据,对应用层数据进行内容检查和控制,在网络之间交换的数据都是应用层的数据。如果直接转发IP的话,由于单个IP包中一般不包含完整的应用数据,所以无法进行全面的内容检查和控制,也就无法保证应用层的安全。因此,如果直接转发IP包,则背离了安全隔离网闸的安全性要求,不能称为安全隔离网闸。
由两套各自独立的系统分别连接安全和非安全的网络,两套系统之间通过网闸进行信息摆渡,保证两套系统之间没有直接的物理通路。在通信过程中,当存储介质与安全的网络连通时,断开与非安全网络连接;当与非安全网络连通时,断开与安全网络的连接;通过分时地使用两套系统中的数据通路进行数据交换,以达到隔离与交换的目的。此外,在数据交换过程中,需同时进行防病毒、防恶意代码等信息过滤,以保证信息的安全。
根据国家保密局公开的文献资料,我国目前流行的网络隔离技术的产品和方案如下:
(1)独立网络方案
根据信息保密需求的不同,将信息存放到两个独立的网络中。其一是内部网络,用于存储、处理、传输涉密信息;另一个是外部网络,与互联网相连。内部网络和外部网络物理断开。两个网络之间如果有数据交换需要,则采用人工操作(如通过软盘、盒式录音磁带等)的方式。
(2)终端级解决方案
用户使用一台客户端设备排他性选择连接内部网络和外部网络,主要类型可分为以下几种。
(1)双主板,双硬盘型:通过设置两套独立计算机的设备实现,使用时,通过客户端开关分别选择两套计算机系统。
(2)单主板,双HDD型:客户端通过增加一块隔离卡、一块硬盘,将硬盘接口通过添加的隔离卡转接到主板,以太网控制器也通过该卡引出两个网络接口。通过该卡控制客户端存储设备,同时选择相应的网络接口,达到网络隔离的效果。
(3)单主板,单硬盘型:客户端需要增加一块隔离卡,存储器通过隔离卡连接到主板,网卡也通过隔离卡引出两个网络接口。对硬盘上划分安全区、非安全区,通过隔离卡控制客户端存储设备分时使用安全区和非安全区,同时对相应的网络接口进行选择,以实施网络隔离。
网闸实现了内广域网的逻辑隔离,在技术特征上,主要表现在网络模型各层的断开。
(1)物理层断开
网闸采用的网络隔离技术,就是要保证网闸的外部主机和内部主机在任何时候是完全断开的。但外部主机与固态存储介质,内部主机与固态存储介质,在进行数据传递的时候,有条件地进行单个连通,但不能同时相连。在实现上,外部主机与固态存储介质之间、内部主机与固态存储介质之间均存在一个开关电路。网络隔离必须保证这两个开关不会同时闭合,从而保证OSI模型上的物理层的断开机制。
(2)链路层断开
由于开关的同时闭合可以建立一个完整的数据通信链路,因此必须消除数据链路的建立,这就是链路层断开技术。任何基于链路通信协议的数据交换技术,都无法消除数据链路的连接,因此不是网络隔离技术,如基于以太网的交换技术、串行通讯接口通信或高速串口通信协议的USB等。
(3)TCP/IP协议隔离
为了消除TCP/IP协议(OSI的3~4层)的漏洞,必须剥离TCP/IP协议。在经过网闸进行数据摆渡时,必须再重建TCP/IP协议。
(4)应用协议隔离
为了消除应用协议(OSI的5~7层)的漏洞,必须剥离应用协议。剥离应用协议后的原始数据,在经过网闸进行数据摆渡时,必须重建应用协议。
网闸就是要解决目前网络安全存在的下述问题。
(1)对操作系统的依赖,因为操作系统也有漏洞。
(2)对TCP/IP协议的依赖,而TCP/IP协议有漏洞。
(3)解决通信连接的问题,内网和广域网直接连接,存在基于通信的攻击。
(4)应用协议的漏洞,如非法的命令和指令等。
网闸的指导思想与防火墙有下述很大的不同。
(1)防火墙的思路是在保障互联互通的前提下,尽可能安全。
(2)网闸的思路是在保证必须安全的前提下,尽可能互联互通,如果不安全则隔离断开。
尽管作为物理安全设备,安全网闸提供的高安全性是显而易见的,但是由于其工作原理上的特性,不可避免地决定了安全网闸存在一些缺陷:
(1)只支持静态数据交换,不支持交互式访问。
这是安全网闸最明显得一个缺陷。由于是真正的网络间物理隔离,它不支持诸如动态web页面技术中的ActiveX、java甚至是客户端的cookie技术,目前安全网闸一般只支持静态web页、邮件文件等静态数据的交换。
(2)适用范围窄。
由于数据链路层被忽略,安全网闸无法实现一个完整的iso/osi七层连接过程,所以安全网闸对所有交换的数据必须根据其特性开发专用的交换模块,灵活性差,适用范围十分狭窄。
(3)系统配置复杂,安全性很大程度上取决于网络管理员的技术水平。
在网闸传送数据过程中要实现病毒、木马过滤和安全性检查等一系列功能,这都需要网络管理员根据网络应用的具体情况加以判断和设置。如果设置不当,比如对内部人员向外部提交的数据不进行过滤而导致信息外泄等,都可能造成安全网闸的安全功能大打折扣。
(4)结构复杂,成本较高。
安全网闸的三个组件都必须为大容量存储设备,特别在支持多种应用的情况下,存储转发决定了必须采用较大的存储器来存储和CPU缓存大量的交换数据。另外,安全网闸由于处在两个网段的结合部,具有网关的地位,一旦宕机就会使两边数据无法交换,所以往往需要配置多台网闸设备作为冗余,这就使购置和实施费用不可避免地上升了。
(5)技术不成熟,没有形成体系化。
安全网闸技术是一项新兴的网络安全技术,尚无专门的国际性研究组织对其进行系统的研究和从事相关体系化标准的制定工作。
(6)带来网络通信的“瓶颈”问题。
因为电子开关切换速率的固有特性和安全过滤内容功能的复杂化,目前安全网闸的交换速率已接近该技术的理论速率极限。可以预见在不久的将来,随着高速网络技术的发展,安全网闸在交换速率上的问题将会成为阻碍网络数据交换的重要因素。
但无论如何,网闸对其他网络安全设备是一个很好的补充,也是其他网络安全设备所无法替代的安全产品,近几年来在国内的各行业也已经获得了较好的应用。
(1)涉密网与非涉密网之间。有些政府办公网络涉及敏感信息,当它与外部非涉密网连接的时候可以用单向物理隔离网闸将两者隔开。
(2)局域网与互联网之间(内网与广域网之间)。有些局域网络,特别是政府办公网络,涉及政府敏感信息,有时需要与互联网在逻辑上断开,物理隔离网闸是一个常用的办法。
(3)办公网与业务网之间。由于办公网络与业务网络的信息敏感程度不同,例如,银行的办公网络和银行业务网络就是很典型的信息敏感程度不同的两类网络。为了提高工作效率,办公网络有时需要与业务网络交换信息。为解决业务网络的安全,比较好的办法就是在办公网与业务网之间使用物理隔离网闸,实现两类网络的逻辑隔离。
(4)电子政务的内网与专网之间。在电子政务系统建设中要求政府内网与广域网之间用逻辑隔离,在政府专网与内网之间用逻辑隔离。现常用的方法是用物理隔离网闸来实现。
(5)业务网与互联网之间。电子商务网络一边连接着业务网络服务器,一边通过互联网连接着广大用户。为了保障业务网络服务器的安全,在业务网络与互联网之间应实现逻辑隔离。
(1)网闸产品应有国家相关安全部门的证书。
(2)网闸设置加长口令,网络管理人员调离或退出本岗位时口令应立即更换。
(3)网闸密码不得以明文形式出现在纸质材料上,密码应隐式记录,记录材料应存放于保险柜中。
(4)监控配置更改,改动网闸配置时,进行监控。
(5)定期备份配置和日志。
(6)明确责任,维护人员对更改网闸配置的时间、操作方式、原因和权限需要明确,在进行任何更改之前,制定详细的逆序操作规程。
目前,国产的网闸产品可以满足信任网络用户与外部的文件交换、收发邮件、单向浏览、数据库交换等的要求。同时它们已在电子政务中,如政府内部的领导决策支持系统、政务应用系统(OA系统、专用业务处理系统)和公共信息处理系统(信息采集系统、信息交换系统、信息发布系统等)得到应用。网闸很好地解决了安全隔离下的信息可控交换等问题,从而推动了电子政务走向应用时代。由于网闸可以实现两个物理层断开网络间的信息摆渡,构建信息可控交换“安全岛”,所以在政府、军队、电力等领域具有极为广阔的应用前景。网闸突破电子政务广域网与内网之间数据交换的瓶颈,并消除政府部门之间因安全造成的信息孤岛效应。目前网闸大都提供了文件交换、收发邮件、浏览网页等基本功能。此外,网闸产品在负载均衡、冗余备份、硬件密码加速、易集成管理等方面需要进一步改进完善,同时更好地集成入侵检测和加密通道、数字证书等技术,也成为新一代网闸产品发展的趋势。