概念
網閘是使用帶有多種控制功能的固態開關讀寫介質連線兩個獨立主機系統的信息安全設備。由於物理隔離網閘所連線的兩個獨立主機系統之間,不存在通信的物理連線、邏輯連線、信息傳輸命令、信息傳輸協定,不存在依據協定的信息包轉發,只有數據檔案的無協定"擺渡",且對固態存儲介質只有"讀"和"寫"兩個命令。所以,物理隔離網閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連線,使"黑客"無法入侵、無法攻擊、無法破壞,實現了真正的安全。
安全隔離與信息交換系統,即網閘,是新一代高安全度的企業級信息安全防護設備,它依託安全隔離技術為信息網路提供了更高層次的安全防護能力,不僅使得信息網路的抗攻擊能力大大增強,而且有效地防範了信息外泄事件的發生。
第一代網閘的技術原理是利用單刀雙擲開關使得內外網的處理單元分時存取共享存儲設備來完成數據交換的,實現了在空氣縫隙隔離(Air Gap)情況下的數據交換,安全原理是通過套用層數據提取與安全審查達到杜絕基於協定層的攻擊和增強套用層安全的效果。
第二代網閘正是在吸取了第一代網閘優點的基礎上,創造性地利用全新理念的專用交換通道PET(Private Exchange Tunnel)技術,在不降低安全性的前提下能夠完成內外網之間高速的數據交換,有效地克服了第一代網閘的弊端,第二代網閘的安全數據交換過程是通過專用硬體通信卡、私有通信協定和加密簽名機制來實現的,雖然仍是通過套用層數據提取與安全審查達到杜絕基於協定層的攻擊和增強套用層安全效果的,但卻提供了比第一代網閘更多的網路套用支持,並且由於其採用的是專用高速硬體通信卡,使得處理能力大大提高,達到第一代網閘的幾十倍之多,而私有通信協定和加密簽名機制保證了內外處理單元之間數據交換的機密性、完整性和可信性,從而在保證安全性的同時,提供更好的處理性能,能夠適應複雜網路對隔離套用的需求。
組成
安全隔離網閘是由軟體和硬體組成。 隔離網閘分為兩種架構,一種為雙主機的2+1結構,另一種為三主機的三系統結構。2+1的安全隔離網閘的硬體設備由三部分組成:外部處理單元、內部處理單元、隔離安全數據交換單元。安全數據交換單元不同時與內外網處理單元連線,為2+1的主機架構。隔離網閘採用SU-Gap安全隔離技術,創建一個內、外網物理斷開的環境。三系統的安全隔離網閘的硬體也由三部分組成:外部處理單元(外端機)、內部處理單元(內端機)、仲裁處理單元(仲裁機),各單元之間採用了隔離安全數據交換單元。
意義
為什麼要使用安全隔離網閘呢?其意義是:
(一)當用戶的網路需要保證高強度的安全,同時又與其它不信任網路進行信息交換的情況下,如果採用物理隔離卡,用戶必須使用開關在內外網之間來回切換,不僅管理起來非常麻煩,使用起來也非常不方便,如果採用防火牆,由於防火牆自身的安全很難保證,所以防火牆也無法防止內部信息泄漏和外部病毒、黑客程式的滲入,安全性無法保證。在這種情況下,安全隔離網閘能夠同時滿足這兩個要求,彌補了物理隔離卡和防火牆的不足之處,是最好的選擇。
(二)對網路地隔離是通過網閘隔離硬體實現兩個網路在鏈路層斷開,但是為了交換數據,通過設計的隔離硬體在兩個網路對應的上進行切換,通過對硬體上的存儲晶片的讀寫,完成數據的交換。
(三)安裝了相應的套用模組之後,安全隔離網閘可以在保證安全的前提下,使用戶可以瀏覽網頁、收發電子郵件、在不同網路上的資料庫之間交換數據,並可以在網路之間交換定製的檔案。
性能指標
安全隔離網閘的主要性能指標有那些呢? 其性能指標包括:
系統數據交換速率:120Mbps
硬體切換時間:5ms
主要功能
1.有哪些功能模組 :安全隔離閘門的功能模組有:
安全隔離、核心防護、協定轉換、病毒查殺、訪問控制、安全審計、身份認證
2.防止未知和已知木馬攻擊:
為什麼說安全隔離網閘能夠防止未知和已知木馬攻擊?
通常見到的木馬大部分是基於TCP的,木馬的客戶端和伺服器端需要建立連線,而安全隔離網閘由於使用了自定義的私有協定(不同於通用協定)。使得支持傳統網路結構的所有協定均失效,從原理實現上就切斷所有的TCP連線,包括UDP、ICMP等其他各種協定,使各種木馬無法通過安全隔離網閘進行通訊。從而可以防止未知和已知的木馬攻擊。
3.具有防病毒措施:
安全隔離網閘具有防病毒措施嗎?
作為提供數據交換的隔離設備,安全隔離網閘上內嵌病毒查殺的功能模組,可以對交換的數據進行病毒檢查。
區別
與物理隔離卡的區別
安全隔離網閘與物理隔離卡最主要的區別是,安全隔離網閘能夠實現兩個網路間的自動的安全適度的信息交換,而物理隔離卡只能提供一台計算機在兩個網之間切換,並且需要手動操作,大部分的隔離卡還要求系統重新啟動以便切換硬碟。
網路交換信息的區別
安全隔離網閘在網路間進行的安全適度的信息交換是在網路之間不存在鏈路層連線的情況下進行的。安全隔離網閘直接處理網路間的套用層數據,利用存儲轉發的方法進行套用數據的交換,在交換的同時,對套用數據進行的各種安全檢查。路由器、交換機則保持鏈路層暢通,在鏈路層之上進行IP包等網路層數據的直接轉發,沒有考慮網路安全和數據安全的問題。
與防火牆的區別
防火牆一般在進行IP包轉發的同時,通過對IP包的處理,實現對TCP會話的控制,但是對套用數據的內容不進行檢查。這種工作方式無法防止泄密,也無法防止病毒和黑客程式的攻擊。
能取代防火牆嗎?
無論從功能還是實現原理上講,安全隔離網閘和防火牆是完全不同的兩個產品,防火牆是保證網路層安全的邊界安全工具(如通常的非軍事化區),而安全隔離網閘重點是保護內部網路的安全。因此兩種產品由於定位的不同,因此不能相互取代。
單系統的設備安全?
單系統的設備如(信息流轉器)不是安全隔離網閘設備。類似的單系統一旦系統遭受到攻擊,攻擊者完全有可能在單系統的兩張網卡之間建立起路由,從而內部網路會完全暴露。
隔離需要專用硬體?
需要,隔離硬體一般都由GAP廠商提供,其中對高速切換裝置的切換頻率要求非常高。
用1394連線網閘
使用專用隔離硬體的安全隔離網閘的安全隔離是在硬體上實現的,在隔離硬體上固化了模擬開關,無法通過軟體編程方式進行改變;而通過1394或者串口連線兩台或多台系統,其上的隔離切換實質上是通過軟體來實現的,其安全性和用標準乙太網卡相連的兩台PC無異。由此可知1394或者串口實現的“軟隔離”在安全性上和安全隔離網閘不具可比性,相差甚遠。
其它問題
(一)安全隔離網閘通常布置在什麼位置?
安全隔離網閘通常布置在兩個安全級別不同的兩個網路之間,如信任網路和非信任網路,管理員可以從信任網路一方對安全隔離網閘進行管理。
(二)安全隔離網閘的部署是否需要對網路架構作調整?
採用透明方式的網閘只需要在兩個網路各提供一個有效的IP位址即可。採用路由模式的網閘要求一定的改動。有的網閘支持兩種連線方式。有的只支持一種。只支持路由模式的網閘就會要求對網路結構有改動。
(三)安全隔離網閘是否可以在網路內部使用?
可以,網路內部安全級別不同的兩個網路之間也可以安裝安全隔離網閘進行隔離。
(四)安全隔離網閘支持互動式訪問嗎?
鑒於安全隔離網閘保護的主要是內部網路,一旦支持互動式訪問如支持建立會話,那么無法防止信息的泄漏以及內部系統遭受攻擊,因此,安全隔離網閘不支持互動式訪問.
(五)支持反向代理的安全隔離網閘安全嗎?
支持反向代理意味著可以從非信任網路間接授權訪問信任網路上的資源,一旦代理軟體在安全檢查或者軟體實現上出現問題,那么很有可能會被黑客利用並非法存取內部資源。因此從安全性上講,支持反向代理的安全隔離網閘不安全。
(六)如果對應網路七層協定,安全隔離網閘是在哪一層斷開?
如果針對網路七層協定,安全隔離網閘是在硬體鏈路層上斷開。
(七)安全隔離網閘支持百兆網路嗎?千兆網路如何支持?
安全隔離網閘支持百兆網路,目前國內最快的可以達到120MBps。對於千兆網路,可以採用多台安全隔離網閘進行負載均衡。
(八)安全隔離網閘自身的安全性如何?
安全隔離網閘雙處理單元上都採用了安全加固的作業系統,包括強制訪問控制、基於核心的入侵檢測等安全功能,並且該系統得到國家權威部門的認證。
(九)安全隔離網閘有身份認證機制嗎?
有。安全隔離網閘在用於郵件轉發和網頁瀏覽的時候,對用戶進行用戶名/口令、證書認證等多種形式的身份認證。
(十)有了防火牆和IDS,還需要安全隔離網閘嗎?
防火牆是網路層邊界檢查工具,可以設定規則對內部網路進行安全防護,而IDS一般是對已知攻擊行為進行檢測,這兩種產品的結合可以很好的保護用戶的網路,但是從安全原理上來講,無法對內部網路做更深入的安全防護。安全隔離網閘重點是保護內部網路,如果用戶對內部網路的安全非常在意,那么防火牆和IDS再加上安全隔離網閘將會形成一個很好的防禦體系。
(十一)受安全隔離網閘保護的內部網路需要不斷升級嗎?
安全隔離網閘首先在鏈路層斷開,徹底切斷網路連線,並僅允許僅有的四種指定靜態數據進行交換,對外不接受請求,並且在內部用戶訪問外部網路時採用靜態頁面返回(過濾ActiveX、Java、cookie等),並且木馬無法通過安全隔離網閘進行通訊,因此內部網路針對外部的攻擊根本無需升級。
(十二)為什麼受防火牆保護的內部網路需要不斷升級?
防火牆是在網路層對數據包作安全檢查,並不切斷網路連線,很多案例證明無論包過濾還是代理防火牆都很難防止木馬病毒的入侵內部網路,Nimda繞過很多防火牆的檢查並在全世界肆虐就是一個很好的例證,因此需要用戶的內部網路不斷升級自己的客戶端如瀏覽器。
(十三)安全隔離網閘能否防止內部無意信息泄漏?
由於安全隔離網閘在數據交換時採用了證書機制,對所有的信息進行證書驗證,因此對於那些病毒亂髮郵件所造成的無意信息泄漏起到很好的防範作用。
(十四)使用安全隔離網閘時需要安裝客戶端嗎?
有的網閘管理員使用通用的瀏覽器即可對其進行管理配置,使用安全隔離網閘時不需安裝其他客戶端。 但是這種方式具有極大的安全風險,因為遠程連線會引入安全威脅,而這種對於控制口的攻擊更為嚴重。所以安全性要求高的網閘,不允許通過遠程進行配置,只允許通過專有的配置程式,也就是客戶端通過串口進行配置。一些重要部門均不允許對網閘具有遠程配置的功能。
(十五)安全隔離網閘接受外來請求嗎?
不接受,安全隔離網閘上的數據交換全部由管理員來進行配置,其所有的請求都由安全隔離網閘主動發起,不接受外來請求,不提供任何系統服務。 如果接受遠程配置,就會接受外來的請求,造成嚴重的安全問題。
(十六)安全隔離網閘是否支持所連線的兩個網路的網段地址相同?
支持。
(十七)安全隔離網閘的主機系統是否經過安全加固?
由於從網路架構上來講,安全隔離網閘是處在網關的位置,因此其自身安全性非常重要,兩個處理單元 加固包括硬體加固、作業系統加固以及協定的加固。詳情見擴展閱讀3.
(十八)安全隔離網閘採用什麼樣的接口?有幾個接口?
安全隔離網閘通常提供2個標準乙太網百兆接口。
(十九)安全隔離網閘如何管理,支持遠程管理嗎?
安全性高的安全隔離網閘不支持遠程管理。
(二十)安全隔離網閘適用於大規模的部署嗎?
安全隔離網閘的安全部署不需對現有網路作調整,同時支持多台冗餘
(二十一)安全隔離網閘適用於什麼樣的場合?
如果用戶的網路上存儲著重要的數據、運行著重要的套用,通過防火牆等措施不能提供足夠高的安全性保護的情況下,可以考慮使用安全隔離網閘。
(二十二)安全隔離網閘直接轉發IP包嗎?
否。安全隔離網閘從不直接或者間接地轉發IP包形式的數據。安全隔離網閘的安全性體現在鏈路層斷開,直接處理套用層數據,對套用層數據進行內容檢查和控制,在網路之間交換的數據都是套用層的數據。如果直接轉發IP的話,由於單個IP包中一般不包含完整的套用數據,所以無法進行全面的內容檢查和控制,也就無法保證套用層的安全。因此,如果直接轉發IP包,則背離了安全隔離網閘的安全性要求,不能稱為安全隔離網閘。