- 论坛徽章:
- 0
|
|
个人对防火墙与物理隔离网闸之间的一点了解 \r\n\r\n 层出不穷的网络入侵,网络泄密事件给国家敲响了警钟,为了避免和降低入侵、泄密的可能国家提出了国家重要职能部门的办公专网与互联网、不同秘级的网络之间需要采用物理隔离。根据这一要求国内也就应运而生出网闸这个产品。\r\n\r\n 网闸是一种新生产品,大家对他的工作原理和安全特性都缺乏认识,由于本人在网闸行业从业数年,对网闸略有研究,希望通过这片文章让大家对网闸有一定的了解。帮助那些有这类需求的朋友选择更为适合自己的产品。\r\n\r\n 网闸在国内的叫法很多,有的叫安全隔离网闸、物理隔离网闸、安全隔离与信息交换系统,但都是为了实现同一个安全目标而设计的,那就是确保安全的前提下实现有限的数据交流。这点是与防火墙的设计理念截然不同的,防火墙的设计初衷是为了保证网络连通的前提下提供有限的安全策略。正是设计目标的不同,所以注定了网闸并不是适用于所有的应用环境,而是只能在一些特定的应用领域进行应用。\r\n\r\n 目前国内做网闸的厂家不少,一般支持WEB、MAIL、SQL、文件几大应用,个别厂家支持视频会议的应用。在TCP/IP协议层上又划分出单向产品和双向产品,双向产品属于应用层存在交互的应用如WEB、MAIL、SQL等常见应用都是双向应用。单向应用意为应用层单向,指的是在应用层切断交互的能力,数据只能由一侧主动向另一侧发送,多应用于工业控制系统的DCS网络与MIS网络之间的监控数据传输,这类产品由于在应用层不存在交互所以安全性也是最好的。\r\n\r\n 大家看了上面的部分一定会想WEB、MAIL、SQL这类应用防火墙也能做到很好的保护啊,网闸的优势在呢?首先要说到网闸的硬件设计了。网闸为了强调隔离,多采用2+1的硬件设计方式,即内网主机+专用隔离硬件(也称隔离岛)+外网主机,报文到达一侧主机后对报文的每个层面进行监测,符合规则的将报文拆解,形成所谓的裸数据,交由专用隔离硬件摆渡到另一侧,摆渡过程采用非协议方式,逻辑上内外主机在同一时刻不存在连接,起到彻底切断协议连接的目的。数据摆渡过来后内网对其进行应用层监测,符合规则的由该主机从新打包将数据发送到目标主机。而防火墙对数据包的处理是不会拆解数据包的,防火墙只是做简单的转发工作,对转发的数据保进行协议检查后符合规则的过去,不符合规则的丢掉,防火墙两边主机是直接进行通讯的。网闸由于切断了内外主机之间的直接通讯,连接是通过间接的与网闸建立里连接而实现的,所以外部网络是无法知道受保护网络的真实IP地址的,也无法通过数据包的指纹对目标主机进行软件版本、操作系统的判断。通过网闸攻击者无法收集到任何有用的信息,从而无法展开有效的攻击行为。而防火墙由于设计初衷是为了保证网络传输通畅,所以有些防火墙在大流量的情况下,为了保证性能,只对发起连接的前几个包进行规则过滤,而后继报文进行就直接转发,可以说这种设计使相当不安全的。 \r\n\r\n说完硬件的设计优势外,网闸在过滤颗粒度上面会更加细致,做到了层层设防。在应用层提供身份认证、内容监测、病毒检测多种策略进行严格检测,各个厂家多支持根据特殊应用定制专用模块,在应用层上各个厂家的产品差距不大,提供的检测内容都基本相同。在传输层对IP端口进行限制,这和防火墙工作没有太多区别。网闸在IP层通过MAC绑定策略来提高安全性,作的最好的厂家是在该层剥离了除arp之外的所有协议,并限制了arp的应答,使非授权主机根本无法获知网闸的存在更不用提与另外一测得通讯了。\r\n\r\n 看到这里大家应该大体上明白网闸的工作原理和安全策略了吧?目前网闸厂家之间多以隔离岛的硬件设计而争论不休,争论的要点在于使用何种隔离方式,其实就我个人看来隔离岛的要求只要满足了仅对应用层数据摆渡、使用非协议方式、逻辑上保证不予内外网主机同时连接三点就可以了。其实更重要的地方往往被大家忽略了,那就是系统自身的安全,如果系统自身存在安全隐患,您制定的规则再严密,都是枉然。如果攻击者侵入设备系统,取得管理权限,任何规则都无济于事,毕竟摆渡的数据还是由主机控制的,就算是有隔离岛这道屏障,但毕竟如果入侵了外网主机,也会使通讯不能正常工作,让入侵成功更紧一部,所以设备的系统自身安全也是不可忽略的。\r\n\r\n 国内硬件厂家多采用X86架构的工控主机进行开发,由于不存在程序的移植问题,很多程序源码直接在该平台上就能运行,大大提高了开发速度,和降低了开发难度,但是由此也带来了很多安全隐患,由于x86平台的广泛应用,大量的源码引用也容易将安全隐患引进近来,同时X86架构由于不涉及到平台移植的问题,PC上的任何程序都可能直接驻留到设备内直接运行,大大威胁了设备的安全性。而目前网闸厂家采用的多是以Linux为操作系统,通过精简加固Linux内核的手段提高自身安全性,但是庞大的系统很难做到尽善尽美。所以在选择网闸厂家时,使用了非X86架构的嵌入式开发的产品的产品相比使用X86架构的产品安全性方面更胜一筹,也应当以非X86架构的嵌入式网闸作为首选。而网闸厂家中系统安全性最高的是北京数码星辰的产品,使用了国产低功耗CPU,嵌入式开发,并且删除了文件系统、SHELL操作系统必须的两大部分,将程序以内核态形式运行,大幅提高了自身的安全性,并且由于摆脱了文件系统SHELL的拖累,大幅提升系统的工作效率。此举可谓安全领域一个突破,个人认为这将是未来安全产品的一个发展方向。\r\n\r\n 以上是个人对网闸产品一点认识,总的来说选择选择网闸主要是看隔离岛是不是符合隔离的要求,能不能切断连接,从逻辑上是不是保证了不予内外网主机同时连通,其次是在各个协议中规律过滤颗粒细度,是不是能够支持最为严格规则过滤。最后也是最重要的就是涉及设备自身安全的硬件平台和操作系统,简单讲就是非工控硬件平台由于工控硬件平台,内核台运行的优于有完整操作系统的,希望通过以上介绍大家能够更加清晰的了解网闸,认知网闸。\r\n\r\n 同时也希望通行的朋友多交流沟通,毕竟网闸这个东西还没有一个很完善的行业规范,希望大家共同探讨,有兴趣交流的朋友可以给我发邮件,有什么说的不对地方也可以指出,我的邮件地址是flockmaster@126.com\n\n[ 本帖最后由 antsnm 于 2007-11-28 11:21 编辑 ] |
|
免费注册
发表于 2007-11-22 17:33
