《隔离网闸技术方案》由会员分享,可在线阅读,更多相关《隔离网闸技术方案(23页珍藏版)》请在金锄头文库上搜索。
1、隔离网闸技术方案上海人科电子科技有限公司目 录一、概述41.1、网络安全现状41.2、现有网络安全技术41.3、现有网络安全技术的缺陷51.4、GAP技术简介61.4.1、GAP模型的实现71.4.2、协议的分拆与重组8二、ViGap介绍92.1、ViGap产品简介92.2、ViGap产品原理10三、ViGap功能113.1、ViGap产品定位113.2、ViGap产品功能12四、ViGap产品性能154.1、ViGap产品技术指标154.2、ViGap产品硬件16五、ViGap产品应用175.1、通用解决方案175.2、重要网络数据资源保护175.3、“数据大集中”应用模式185.4、“外网
2、受理,内网处理”模式的应用19附录一、与防火墙产品的比较21包过滤防火墙21应用代理防火墙21全状态检测(stateful inspect)防火墙23ViGap网络隔离网闸23一、概述1.1、网络安全现状计算机网络的广泛应用是当今信息社会的一场革命。电子商务和电子政务等网络应用的发展和普及不仅给我们的生活带来了很大的便利,而且正在创造着巨大的财富,以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次不断深入,应用领域更是从传统的、小型业务系统逐渐向大型、关键业务系统扩展。与此同时,计算机网络也正面临着日益剧增的安全威胁。广为网络用户所知的黑客行为和攻
3、击活动正以每年10倍的速度增长,网页被修改、非法进入主机、发送假冒电子邮件、进入银行系统盗取和转移资金、窃取信息等网络攻击事件此起彼伏。计算机病毒、特洛伊木马、拒绝服务攻击、电子商务入侵和盗窃等,都造成了各种危害,包括机密数据被篡改和窃取、网站页面被修改或丑化、网络瘫痪等。网络与信息安全问题日益突出,已经成为影响国家安全、社会稳定和人民生活的大事,发展与现有网络技术相对应的网络安全技术,保障网络安全、有序和有效的运行,是保证互联网高效、有序应用的关键之一。1.2、现有网络安全技术计算机网络是基于网络可识别的网络协议基础之上的各种网络应用的完整组合,协议本身和应用都有可能存在问题,网络安全问题包
4、括网络所使用的协议的设计问题,也包括协议和应用的软件实现问题,当然还包括了人为的因素以及系统管理失误等网络安全问题,下表示意说明了这些方面的网络安全问题。问题类型问题点问题描述协议设计安全问题被忽视制定协议之时,通常首先强调功能性,而安全性问题则是到最后一刻、甚或不列入考虑范围。其它基础协议问题架构在其他不穏固基础协议之上的协议,即使本身再完善也会有很多问题。流程问题设计协议时,对各种可能出现的流程问题考虑不够周全,导致发生状况时,系统处理方式不当。设计错误协议设计错误,导致系统服务容易失效或招受攻击。软件设计设计错误协议规划正确,但协议设计时发生错误,或设计人员对协议的认知错误,导致各种安全
5、漏洞。程序错误程序撰写习惯不良导致很多安全漏洞,包含常见的未检查资料长度内容、输入资料容错能力不足、未检测可能发生的错误、应用环境的假设错误、引用不当模块、未检测资源不足等。人员操作操作失误操作规范严格且完善,但是操作人员未受过良好训练、或未按手册操作,导致各种安全漏洞和安全隐患。系统维护默认值不安全软件或操作系统的预设设置不科学,导致缺省设置下系统处于不安全的状况下。容易遭受病毒、蠕虫、特洛依木马等的攻击。未修补系统软件和操作系统的各种补丁程序没有及时修复。内部安全问题对由信任系统和网络发起的各种攻击防范不够。信任领域存在的不安全系统,成为不信任领域内系统攻击信任领域的各种跳板。针对上表所示
6、的各种网络安全问题,全世界的网络安全厂商都试图发展了各种安全技术来防范这些问题,这些技术包括访问控制技术、识别和鉴别技术、密码技术、完整性控制技术、审计和恢复技术、防火墙系统、计算机病毒防护、操作系统安全、数据库系统安全和抗抵赖协议等,相继陆续推出了包括防火墙、入侵检测(IDS)、防病毒软件、CA系统、加密算法等在内的各类网络安全软件,这些技术和安全系统(软件)对网络系统提供了一定的安全防范,一定程度上解决了网络安全问题某一方面的问题。1.3、现有网络安全技术的缺陷现有的各种网络安全技术都是针对网络安全问题的某一个或几个方面来设计的,它只能相应地在一定程度上解决这一个或几个方面的网络安全问题,
7、无法防范和解决其他的问题,更不可能提供对整个网络的系统、有效的保护。如身份认证和访问控制技术只能解决确认网络用户身份的问题,但却无法防止确认的用户之间传递的信息是否安全的问题,而计算机病毒防范技术只能防范计算机病毒对网络和系统的危害,但却无法识别和确认网络上用户的身份等等。现有的各种网络安全技术中,防火墙技术可以在一定程度上解决一些网络安全问题。防火墙产品主要包括包过滤防火墙,状态检测包过滤防火墙和应用层代理防火墙,但是防火墙产品存在着局限性。其最大的局限性就是防火墙自身不能保证其准许放行的数据是否安全。同时,防火墙还存在着一些弱点:一、不能防御来自内部的攻击:来自内部的攻击者是从网络内部发起
8、攻击的,他们的攻击行为不通过防火墙,而防火墙只是隔离内部网与因特网上的主机,监控内部网和因特网之间的通信,而对内部网上的情况不作检查,因而对内部的攻击无能为力;二、不能防御绕过防火墙的攻击行为:从根本上讲,防火墙是一种被动的防御手段,只能守株待兔式地对通过它的数据报进行检查,如果该数据由于某种原因没有通过防火墙,则防火墙就不会采取任何的措施;三、不能防御完全新的威胁:防火墙只能防御已知的威胁,但是人们发现可信赖的服务中存在新的侵袭方法,可信赖的服务就变成不可信赖的了;四、防火墙不能防御数据驱动的攻击:虽然防火墙扫描分析所有通过的信息,但是这种扫描分析多半是针对IP地址和端口号或者协议内容的,而
9、非数据细节。这样一来,基于数据驱动的攻击,比如病毒,可以附在诸如电子邮件之类的东西上面进入你的系统中并发动攻击。入侵检测技术也存在着局限性。其最大的局限性就是漏报和误报严重,它不能称之为一个可以信赖的安全工具,而只是一个参考工具。在没有更为有效的安全防范产品之前,更多的用户都选择并依赖于防火墙这样的产品来保障自己的网络安全,然而相对应的是,新的OS漏洞和网络层攻击层出不穷,攻破防火墙、攻击计算机网络的事件也越来越多,因此,开发一个更为完善的网络安全防范系统来有效保护网络系统,已经成为各网络安全厂商和用户的共同需求和目标。1.4、GAP技术简介在介绍GAP技术之前,先来简单地介绍一下GAP技术的
10、原型:Sneaker-NET。图一、Sneaker-NET技术在Sneaker-NET技术中,有一个人来操作,另外包括两个网络:不可信网络和可信网络,这两个网络物理隔断,在大多数Sneaker-NET方案中,也有一个独立的计算机,或者一个与两个网络分离的DMZ区域,用于内容检查。采用Sneaker-NET技术后,网络信息流如下:1 该人在不可信网络上的计算机上手工方式拷贝文件到磁盘或磁带。2 该人将磁盘或磁带拿到一个独立的计算机上进行内容检测。检测包括(不仅仅这些):病毒扫描、检验该文件格式是否和预先定义的文件格式相符等。3 如果内容检测为不安全或非法,它们将被丢弃;如果内容是安全和合法的,此
11、人在可信网络上的计算机上手工方式将该磁盘或磁带的文件拷贝到计算机上。4 信息从可信网络传输到不可信网络将也用相似的流程。在Sneaker-NET技术中,没有人可以从不可信的网络访问和操作控制可信网络上的计算机,所有允许到可信网络的数据都在一个安全的环境中经过详细的审查,这是从不安全环境到安全环境信息传输的一个最安全的方法。1.4.1、GAP模型的实现GAP隔离网闸技术就是基于这样的一个机理实现的一种安全信息交换技术。在Sneaker-NET中,人的作用是在两个网络之间进行低速的手工交换数据,而在采用GAP技术的设备中,用一个快速大规模集成电路ASIC隔离部件来实现这一功能;用在Sneaker-
12、NET中做数据交换的磁介质,在GAP技术中则用存储设备来代替。在某一时刻,ASIC隔离部件只能连接到其中的一个网络,其它的硬件和软件实施则类似于Sneaker-NET的装置。从前述的SneakerNet模型中我们不难发现,模型之所以具有上述有价值的安全特性,关键在于隔离机制的实现,因此,网闸如何真实模拟人的运动机制是实现Snaeker-Net模型的关键,也是体现网闸安全优势的关键。最佳的实现方式是通过半导体大规模集成电路ASIC隔离部件来实现。半导体ASIC隔离部件以纯物理方式实现了电路的导通与断开,与加/解密等逻辑断开方式不同,它具有固化的不可编程特性,不会因溢出等逻辑问题导致系统的崩溃,在
13、最低层即物理层面上保证了网络断开功能的实现,具有最高的安全可靠性。由于半导体ASIC隔离部件具有开关功能,通过两组开关器件即可准确模拟出SneakerNet模型中人的工作机制,如图所示:图中箭头标志代表了半导体ASIC隔离部件,它可以在公众外网服务器与受保护网服务器间摆动,同一时刻开关仅能与一边服务器连通,该动作模拟人在断开的内外网服务器间的移动。与ASIC隔离部件直接相连的是一个暂存数据的交换池,该结构模拟了人手中的存储介质。半导体ASIC隔离部件结构在最基本的物理层次上真实模拟了SneakerNet模型,它不仅继承了SneakerNet模型所有的安全特性,同时又解决了原模型中数据传输速度与
14、延时的问题,使得该模型可在不影响用户网络应用的前提下实现期望的安全功能。可以说,ASIC隔离部件的实现是区分网闸与其它安全产品的重要指标。1.4.2、协议的分拆与重组隔离网闸对于接收到的任何外部会话连接,首先通过外部网络接口将会话终止,然后利用协议解析模块将TCP/UDP数据格式打破,并采用内部专有的封装协议将分解得到的数据打包后通过隔离开关传输到内网可信端。在可信端数据经过一系列安全检查之后,协议解析模块对数据重组,并在内部网络接口重构到内部服务器的会话。对于从内部到外部的TCP连接,隔离网闸也具有对等的处理方式。经过如上的处理,隔离网闸事实上已经将原来直接连通内外网络的TCP连接,从逻辑上
15、分解为外网到网闸不可信端的TCP连接、不可信端到可信端的专有封装协议连接、可信端到内网的TCP连接的组合。因此,在添加伟思信安隔离网闸之后,可以阻断内外网络之间的TCP对话,其结构如图所示:值得提出的是,隔离网闸不但在逻辑上终止了TCP对话,还从物理上断开了内外网络之间的连接,使得内外网络之间在任何时候都不存在直接的物理层和链路层连接通路。GAP技术的关键技术要点是:要点描述物理隔断可信网和不可信网物理隔断,可信网络上的计算机不能访问不可信网络可选择数据交换两个网络能够有选择的交换数据,好像它们直接相连一样数据是静态的在交换数据过程中,数据是静态的(被动的),不能被执行独立决策所有决策在一个安全的环境中处理,与不可信网络隔断支持文件和命令交换数据可以包含文件和命令高性能上述所有工作实时进行,实现最大吞吐量和最小延时二、ViGap介绍2.1、ViGap产品简介伟思信安隔离网闸(以下简称ViGap)是珠海伟思有限公司采用先进GAP技术独立研制生产的新一代网络安全产品。它放置在可
