《网络隔离与网闸(2013-5-0).》由会员分享,可在线阅读,更多相关《网络隔离与网闸(2013-5-0).(74页珍藏版)》请在金锄头文库上搜索。
1、第十章 网络隔离与网闸 10.1 网络隔离技术 10.2 网闸 10.3 典型网闸产品 10.1 网络隔离技术 n 面对新型网络攻击手段的出现和高安全度网络对安 全的特殊需求,全新安全防护防范理念的网络安全技 术“网络隔离技术”应运而生。 网络隔离技术的目标是确保把有害的攻击隔离, 在可信网络之外和保证可信网络内部信息不外泄的前 提下,完成网间数据的安全交换。网络隔离技术是在 原有安全技术的基础上发展起来的,它弥补了原有安 全技术的不足,突出了自己的优势。 n网络隔离,英文名为Network Isolation,主要是指把两 个或两个以上可路由的网络(如:TCP/IP)通过不可 路由的协议(如
2、:IPX/SPX、NetBEUI等)进行数据交 换而达到隔离目的。由于其原理主要是采用了不同的 协议,所以通常也叫协议隔离(Protocol Isolation)。 10.1.1 网络隔离技术的概念来源 n1.网络隔离技术的概念来源 n网络隔离的概念源于人工烤盘、Sneakernet和轮渡。 n(1)人工烤盘 人工拷盘是已知的最早的网络隔离技术。最早的计算机 是单机的,不同的计算机还没有联网。没有联网的两个计算 机之间要交换数据,最简单的办法是人工拷盘。要特别强调 ,在人工拷盘的任何时刻,两个计算机之间是完全断开的, 没有联网的。在拷盘的时候,当计算机操作人员在一台计算 机里拷盘时,与另外一台
3、计算机是完全断开的;当计算机操 作人员把磁盘拿出的时候,与两台计算机都是完全断开的; 当计算机操作人员把文件数据复制到目的计算机时,与原来 的计算机是完全断开的。在任何时候,两台交换文件数据的 计算机,总是断开的。 n (2)Sneakernet(人力网) n 人工拷盘利用软件来实现文件数据交换,但并不是 只有软盘才能交换文件数据。除软盘外、移动硬盘、 可擦写光盘以及U盘都可以实现文件数据交换。人在 两台计算机或两个网络之间使用软盘、移动硬盘等可 以移动的存储介质来交换文件或数据,这样两个隔离 的计算机或网络与人一起便构成了一个逻辑上的虚拟 网络 (3)轮渡 n 网络隔离有多种方式,其中最重要
4、的一种方式是网 闸。网闸的概念主要是源于轮渡。 n 对轮渡的工作机理的借鉴,大大地推动了网络隔离 的研究发展,直接导致网闸技术的出现。“下车改乘 轮船”的现象启发人们研究协议的剥离技术,“下船改 成汽车”的现象启发人们研究协议的重建技术,“轮船 载人渡河”启发人们研究文件“摆渡”,最后实现了在 两网断开的情况下可以进行数据交换。从两台主机在 断开的情况下可以实现数据交换,到两个网络之间在 断开的情况下也可以实现数据交换。 2.网络隔离技术的发展历史 n 隔离概念是在为了保护高安全度网络环境的情况下产生 的;隔离产品的大量出现,也是经历了五代隔离技术不断 的实践和理论相结合后得来的。 第一代隔离
5、技术完全的隔离。此方法使得网络处于 信息孤岛状态,做到了完全的物理隔离,需要至少两套网 络和系统,更重要的是信息交流的不便和成本的提高,这 样给维护和使用带来了极大的不便。 第二代隔离技术硬件卡隔离。在客户端增加一块硬 件卡,客户端硬盘或其他存储设备首先连接到该卡,然后 再转接到主板上,通过该卡能控制客户端硬盘或其他存储 设备。而在选择不同的硬盘时,同时选择了该卡上不同的 网络接口,连接到不同的网络。但是,这种隔离产品有的 仍然需要网络布线为双网线结构,产品存在着较大的安全 隐患。 n 第三代隔离技术数据转播隔离。利用转播系统分时复制文件 的途径来实现隔离,切换时间非常之久,甚至需要手工完成,
6、不 仅明显地减缓了访问速度,更不支持常见的网络应用,失去了网 络存在的意义。 n 第四代隔离技术空气开关隔离。它是通过使用单刀双掷开关 ,使得内外部网络分时访问临时缓存器来完成数据交换的,但在 安全和性能上存在有许多问题。 n 第五代隔离技术安全通道隔离。此技术通过专用通信硬件和 专有安全协议等安全机制,来实现内外部网络的隔离和数据交换 ,不仅解决了以前隔离技术存在的问题,并有效地把内外部网络 隔离开来,而且高效地实现了内外网数据的安全交换,透明支持 多种网络应用,成为当前隔离技术的发展方向。 10.1.2 网络隔离技术的原理 n1.网络隔离要解决的问题 n 网络隔离的指导思想与防火墙有很大的
7、不同,体现 在防火墙的思路是在保障互联互通的前提下,尽可能 安全,而网络隔离的思路是在必须保证安全的前提下 ,尽可能互联互通,如果不安全则断开。 n 网络隔离技术就是要解决目前网络安全存在的最根 本问题,包括对操作系统的依赖,因为操作系统有漏 洞;也包括对TCP/IP协议的依赖,而TCP/IP协议同样 有漏洞。解决通信连接的问题,当内网和外网直接连 接时,存在基于通信的攻击和应用协议的漏洞,因为 命令和指令可能是非法的。 2.网络隔离的技术原理 n互联网是基于TCP/IP来实现的,而所有的攻击都可以 归纳为基于对TCP/IP的OSI数据通信模型的某一层或多 层的攻击,因此第一个最直接的想法就是
8、断开TCP/IP 的OSI数据模型的所有层,就可以消除目前TCP/IP网络 存在的攻击.这就是网络隔离的技术原理。 n一、网络物理层的断开 n 物理层是可以被攻击的。尤其物理层的逻辑表示是可 以被攻击的。一个物理层上的断开,应该是“不能基于 一个物理层的连接,来完成一个OSI模型中的数据链路的 建立”。 n二、网络数据链路层的断开 n 数据链路是在物理层上建立一个可以进行数据通信的 数据链路,是一个通信协议的概念。只要存在通信协议 就可以被攻击。数据链路是可以被攻击的。 n数据链路的断开意味着什么? n 首先,必须消除所有建立通信链路的控制信号,因为 这些信号是可以被攻击的。其次,每一次的数据
9、传输, 是否能够到达或正确性方面是没有保证的。 n 再次,不能建立一个会话机制。因此,用技术术语来 定义,数据链路的断开是指上一次数据传输与下一次数 据传输的相关性的概率为零。 n 三、网络层的断开 网络层的断开,就是剥离所有的IP协议。因为剥 离了IP,就不会基于IP包来暴露内部的网络结构,就没有 真假IP地址之说,也没有IP碎片,就消除了所有基于IP协 议的攻击。 n 四、网络传输层的断开 传输层的断开,就是剥离TCP或UDP协议。因此, 消除了基于TCP或UDP的攻击。 n 五、网络会话层的断开 会话层的断开实际上是断开一个应用会话的 连接,消除了交互式的应用会话。 n 六、网络表现层的
10、断开 表现层是用于保证网络的跨平台应用。剥离 了表现层就消除了跨平台的应用。 n七、网络应用层的断开 应用层的断开,就是消除或剥离了所有的应用协议。 n 网络隔离就是指全部七层的断开。每一层的断开, 尽管降低了其他层被攻击的概率,但并没有从理论上 排除其他层的攻击。有一些例子表明,断开了某一层 ,照样存在对其他层的攻击。隔离网闸必须对OSI模型 的各层全面进行断开,在断开的基础上,实现文件或 数据的“拷盘”。 3.网络隔离的技术路线 n目前实施网络隔离的技术路线由三种:网络开关、实时交换和单 向连接。 n(1)网络开关是比较容易理解的一种。在一个系统里安装两套 虚拟系统和一个数据系统,数据被写
11、入到一个虚拟系统,然后交 换到数据系统,在交换到另一个虚拟系统。这种系统只适合于简 单的文件交换,没有复杂的应用。 n(2)实时交换相当于在两个系统之间,共用一个交换设备,交 换设备连接到网络A,得到数据,然后交换到网络B。这种系统适 合于实时应用系统。 n(3)单向连接,早期指数据向一个方向移动,一般指从安全性 高的网络向安全性低的网络移动。这种系统只适合于数据单向迁 移。 4.基于网络隔离的数据交换原理 n 网络隔离的技术架构重点在隔离上,实现隔离是关 键。以下的组图可以给我们一个清晰的概念,在数据 交换时网络隔离是如何实现的。 n 图1,外网是安全性不高的互联网,内网是安全性很 高的内部
12、网络。正常情况下,隔离设备的外部主机和 外网相连,隔离设备的内部主机和内网相连,外网和 内网是完全断开的。隔离设备是一个独立的固态存储 介质和一个单纯的调度控制电路。 n 当外网需要有数据送达内网的时候,以电子邮件为 例,外部主机先接受数据,并发起对固态存储介质的 非TCP/IP协议的数据连接,外部主机将所有的协议剥 离,将原始的数据写入固态存储介质。如图2所示。根 据不同的应用,可能有必要对数据进行完整性和安全 性检查,如防病毒和恶意代码等。 n 一旦数据全部写入存储介质,立即中断与外部主机 的连接。恢复到图1的状态。转而发起对内部主机的非 TCP/IP协议的数据连接。固态存储介质将数据发送
13、给 内部主机。内部主机收到数据后,立即进行TCP/IP的 封装和应用协议的封装,并发送给内网。见图3所示。 这个时候内网电子邮件系统就收到了外网的电子邮件 系统通过网络隔离设备转发的电子邮件。 n 在控制台收到完成数据交换任务的信号之后,立即 切断与内部主机的直接连接。恢复到网络断开的初始 状态。即图1。 n 如果这时,内网有电子邮件要发出,内部主机 先接受内部的数据后,并建立与固态存储介质之间的 非TCP/IP协议的数据连接。内部主机剥离所有的 TCP/IP协议和应用协议,得到原始的数据,将数据写 入存储介质。见图4所示。对其进行防病毒处理、防泄 密和防恶意代码检查。然后中断与内部主机的直接
14、连 接。 n 一旦数据全部写入存储介质,立即中断与内部主机 的连接。恢复到图1的状态。转而发起对外部主机的非 TCP/IP协议的数据连接。网络隔离将存储介质内的数 据发送给外部主机。见图5。外部主机收到数据后,立 即进行TCP/IP的封装和应用协议的封装,并发送给外 网。控制台收到处理完毕的信息后,立即中断隔离设 备与外网的连接,恢复到完全隔离状态。见图1所示。 每一次数据交换,隔离设备经历了数据的接收,存储和 转发三个过程。由于这些规则都是在内存和内核里完成的 ,因此速度上有保证,可以达到100%的总线处理能力。 n 网络隔离的一个特征,就是内网与外网永不连接。内部 主机和外部主机在同一时间
15、最多只有一个同固态存储介质 建立非TCP/IP协议的数据连接。其数据传输机制是存储和 转发。网络隔离的好处是明显的,即使外网在最坏的情况 下,内网不会有任何破坏。修复外网系统也非常容易。 n 以上这种基于两个单边主机(内部主机和外部主机)之 间的数据交换的网络隔离技术,被称作网闸。 10.1.3 网络隔离技术要点与发展方向 n1.网络隔离技术需具有的安全要点 n(1)要具有高度的自身安全性。 隔离产品要保证自身具有高度的安全性,至少在理论和实践上要 比防火墙高一个安全级别。从技术实现上,除了和防火墙一样对操作 系统进行加固优化或采用安全操作系统外,关键在于要把外网接口和 内网接口从一套操作系统
16、中分离出来。也就是说至少要由两套主机系 统组成,一套控制外网接口,另一套控制内网接口,然后在两套主机 系统之间通过不可路由的协议进行数据交换。 n(2)要确保网络之间是隔离的。 保证网间隔离的关键是网络包不可路由到对方网络,无论中间采 用了什么转换方法,只要最终使得一方的网络包能够进入到对方的网 络中,都无法称之为隔离,即达不到隔离的效果。 n(3)要保证网间交换的只是应用数据。 既然要达到网络隔离,就必须做到彻底防范基于网络协议的攻击, 即不能够让网络层的攻击包到达要保护的网络中,所以就必须进行协议 分析,完成应用层数据的提取,然后进行数据交换,这样就把诸如 TearDrop、Land、Smurf和SYN Flood等网络攻击包,彻底地阻挡在了可 信网络之外,从而明显地增强了可信网络的安全性。 n(4)要对网间的访问进行严格的控制和检查。 作为一套适用于高安全度网络的安全设备,要确保每次数据交换都 是可信的和可控制的,严格防止非法通道的出现,以确保信息数据的安 全和访问的可审计性。可采用基于会话的认证技术和内容分析与控制引
