《中网物理隔离产品白皮书总论》由会员分享,可在线阅读,更多相关《中网物理隔离产品白皮书总论(31页珍藏版)》请在金锄头文库上搜索。
1、中网物理隔离产品白皮书总论物理隔离产品是用来解决网络安全问题的。特别是在那些需要绝对保证安全的保密网,专网和特种网络与互联网进行连接时,为了避免来自互联网的袭击和保证这些高安全性网络的保密性、安全性、完整性、防抵赖和高可用性,几乎所有规定采用物理隔离技术。学术界一般觉得,最早提出物理隔离技术的,应当是以色列和美国的军方。但是到目前为止,并没有完整的有关物理隔离技术的定义和原则。从不同步期的用词也可以看出,物理隔离技术始终在演变和发展。较早的用词为Physical Disconnection,Disconnection有使断开,切断,不连接的意思,直译为物理断开。这种状况是完全可以理解,保密网与
2、互联网连接后,浮现诸多问题,在没有解决安全问题或没有解决问题的技术手段之前,先断开再说。后来有Physical Separation,Separation有分开,分离,间隔和距离的意思,直译为物理分开。后期发现完全断开也不是措施,互联网总还是要用的,采用的方略多为该连的连,不该连的不连。这样的该连的部分与不该连的部分要分开。也有Physical Isolation,Isolation有孤立,隔离,封闭,绝缘的意思,直译为物理封闭。事实上,没有与互联网相连的系统不多,互联网的用途还是很大,因此,但愿能将一部分高安全性的网络隔离封闭起来。再后来多使用Physical Gap,Gap有豁口,裂口,缺
3、口和差别的意思,直译为物理隔离,意为通过制造物理的豁口,来达到隔离的目的。到这个时候,Physical这个词显得非常僵硬,于是有人用Air Gap来替代Physical Gap。Air Gap意为空气豁口,很明显在物理上是隔开的。但有人不批准,理由是空气豁口就物理隔离了吗?没有,电磁辐射,无线网络,卫星等都是空气豁口,却没有物理隔离,甚至连逻辑上都没有隔离。于是,E-Gap,Netgap,I-Gap等都出来了。目前,一般称Gap Technology,意为物理隔离,成为互联网上一种专用名词。对物理隔离的理解体现为如下几种方面:1, 阻断网络的直接连接,即没有两个网络同步连在隔离设备上;2, 阻
4、断网络的互联网逻辑连接,即TCP/IP的合同必需被剥离,将原始数据通过P2P的非TCP/IP连接合同透过隔离设备传递;3, 隔离设备的传播机制具有不可编程的特性,因此不具有感染的特性;4, 任何数据都是通过两级移动代理的方式来完毕,两级移动代理之间是物理隔离的;5, 隔离设备具有审查的功能;6, 隔离设备传播的原始数据,不具有袭击或对网络安全有害的特性。就像txt文本不会有病毒同样,也不会执行命令等。7, 强大的管理和控制功能。网络安全的体系架构的演变要对物理隔离技术有一种进一步的理解,必须对网络安全体系架构有进一步的研究。要理解网络安全的架构体系,从目前网络安全市场的构成就可以初见端倪。防火
5、墙,防病毒,VPN和入侵检测(IDS),是市场的主流产品。安全体系以防火墙为核心,向联动的方向发展。因此,要理解网络安全的架构体系的演变,必须防火墙进行进一步的理解。现状目前,市场上销售量第一和第二的防火墙都使用一种被称为状态检测包隔离的技术,Stateful Inspection Packet Filtering (SIPF)。状态检测有两大优势,一是速度快,二是具有很大的灵活性。这也是SIPF为什么受欢迎的因素。有人会注意到我们甚至没有提到安全性,尽管人们要买防火墙,听起来是要解决安全问题,但安全性不是人们选择防火墙的第一理由。人们选择防火墙的第一理由是易于安装和使用,尽量的减少麻烦和对网
6、络构造的变动,以及对业务的影响。有防火墙之父之称的马尔科斯(Marcus Ranum)也注意到这一点,防火墙客户有一次投票,成果前三位重要特性是透明特性,性能和以便性,而不是安全性,没有人对这个成果感到惊讶。仅有防火墙的安全架构是远远不够的目前网络安全市场上,最流行的安全架构是以防火墙为核心的安全体系架构。通过防火墙来实现网络的安全保障体系。然而,以防火墙为核心的安全防御体系未能有效地避免目前屡屡发生网络袭击。仅有防火墙的安全架构是远远不够的。以致于诸多人都在怀疑,防火墙是不是过时了。连具?quot;防火墙之父马尔科斯都宣称,她再也不相信防火墙。这样说防火墙,似乎有一点过。重要的因素是前一种时
7、期,防火墙已经成为安全的代名词,言必谈防火墙。导致诸多厂商把主线不属于防火墙的东西所有推到防火墙上,如防火墙上的路由功能,甚至过度到把应用服务也搬到防火墙上,导致防火墙万能的局面,以致于盼望越高,失望越大。虽说防火墙不是万能的,但没有防火墙却是万万不能的。防火墙至今为止还是最重要的安全工具。任何技术均有其局限性,防火墙也不例外。 防火墙架构的回忆今天,我们发现自己处在一种网络不安全的现状,呼唤我们对防火墙架构的基本进行一种仔细的回忆。防火墙对网络安全的保护限度,很大限度上取决于防火墙的体系架构。一般的防火墙采用如下防火墙架构的一种或几种:l 静态包过滤(Static Packet Filter
8、)l 动态包过滤(Dynamic or Stateful Packet Filter)l 电路网关(Circuit Level Gateway)l 应用网关(Application Level Gateway)l 状态检测包过滤(Stateful Inspection Packet Filter)l 切换代理(Cutoff Proxy)l 物理隔离(Air Gap)网络安全是一种平衡网络安全只是在可信和性能之间的一种简朴的平衡。所有的防火墙都依赖于对通过防火墙的包的信息进行检查。检查的越多,越安全。检查的重点是对网络合同的信息,这些信息按OSI的模型来讲,即分布在7层。懂得防火墙运营在那一层上
9、,就懂得它的体系架构是什么。l 一般说来,OSI的层号越高,防火墙要检查包的信息内容就越多,对CPU和内存的规定就高。l OSI的层号越高,防火墙检查的内容就越多,也就越安全。 在防火墙的体系架构中,效率速度与防火墙的安全性,始终是一种折中方案。即高安全性的防火墙的效率和速度较低,高速度高效率的防火墙的安全性较低。然而,随着多CPU计算机的成本的下降,和操作系统支持对称多解决系统(SMP)的特性,老式的高速的包过滤的防火墙与开销较大的代理防火墙之间的差距逐渐缩小。成功的防火墙的一种最重要的因素,是谁在安全和性能之间选择做决定:(1)防火墙厂商,通过限制顾客的架构选择,或(2)顾客,在一种强健的
10、防火墙中规定更多的架构。事实上,究竟是顾客决定市场,还上厂商决定市场。这个问题没有答案,要看最后的事实。 防火墙的架构总体上如下图。我们把OSI的明显和TCP/IP的模型,对照起来,以便把问题说清晰。在检查防火墙的架构中,查看IP包头中最重要的几项信息是:l IP包头(IP header)l TCP包头(TCP header)l 应用层包头(application header)l 数据加载的包头(datapayload header)静态包过滤(Static Packet Filter)包过滤防火墙是最古老的防火墙架构之一。包过滤防火墙运营在网络层,即OSI的第三层。防火墙决定放行还是回绝一
11、种包,重要是基于对IP包头和合同包头的某些具体的信息进行检查,它们涉及:l 源地址(Source Address)l 目的地址(Destination Address)l 应用合同(Application or Protocol)l 源端标语(Source Port Number)l 目的端标语(Destination Port Number)在转发一种包之前,防火墙将IP包头和TCP包头的信息与顾客定义的规则表的信息进行比较,决定是转发还是回绝。规则表就是顾客定义的安全规则。规则是按顺序进行检查的,只到有规则匹配为止。如果没有规则匹配,则按缺省的规则执行。防火墙的缺省规则应当是严禁。事实上,
12、有两种思想决定防火墙的缺省规则,(1)易于使用,或(2)安全第一。易于使用,一般都设立为准许放行。安全第一,一般都设立为严禁放行。静态包过滤防火墙,顾客可以定义规则来决定准许什么包通过,或决定严禁什么包通过。顾客定义规则,通过检查IP包头的信息,来准许或回绝包从什么地址来,到什么地址去,也许是一种地址或一组地址。顾客定义具体服务的规则,通过检查TCP包头的信息,来准许或回绝包达到或来自有关具体服务的端口。包过滤防火墙的决定机制是,最后的规则如果与前面的规则冲突,最后的规则有效。当规则的检查是顺序执行时,包过滤防火墙的规则配备是十分复杂和困难的。我们懂得,N条规则,按多种不同的顺序排列,也许的成
13、果有N!之多。除非所有的规则都不有关,则N!种顺序的成果都同样,否则,其成果就也许不同。加一条规则是容易的,写一段规则来实现某种安全功能则非常困难,规定系统管理员对合同,TCP/IP的工作机制非常清晰,并且还得理解流程。有些管理员总是把后加的规则放在最后,也有的系统管理员总是放在前面,尚有的系统管理员,随机的插入在规则的什么地方。最大的问题在于,规则A,B,C的排放顺序不同,规则的构造不一定相似,也许的排放方式为,ABC,ACB,BAC,BCA,CAB,CAB,这六种成果也许相似,也许不同,并且无法懂得是相似还是不同,只有具体去分析。如果一种系统的规则有100条,则有100!9.33e157种
14、也许性成果,虽然只有万分之一的成果不同,也是一种巨大的天文数字。事实上,如果不同规则的有关性很低,成果不同是一种小概率事件。但是,如果不同规则的有关性很高,成果则难以预料。其成果是一致性检查很难做到。这就是为什么常常会浮现,有时候,加一条规则没问题,有时候却有问题。 顾客必须仔细的检查所加入的规则,以保证其成果是其预期的成果。一种好的措施是,尽量协助顾客设计自己的安全方略,使其不同规则的有关性很低,尽量保证成果是完全相似的。虽然顾客的规则顺序是有效的,包过滤防火墙尚有一种主线的局限性。它不懂得什么地址是真实的,什么地址是假的。由于TCP/IP的包头的地址是可以改写的。虽然顾客可以在防火墙中,把
15、不拟定的源地址严禁掉,黑客还是可以使用别人的源地址,这个地址是正常的,却是黑客盗用,这使得问题变得更加复杂。像源地址欺骗,源地址假冒等此类袭击对包过滤防火墙非常有效。因此,尽管包过滤防火墙的性能和速度很高,其安全性却是有限的。 由于包过滤防火墙只检查(1)源和目的地址,(2)源和目的端口,而不检查其他的重要的信息。因此,黑客在是其他的包头里加载歹意数据和命令。黑客还可以在包的数据中掩藏歹意的命令和数据,这就是流行的掩藏隧道(Covert Channel)袭击。在路由器中,一般都支持包过滤技术。但由于其安全性有限,因此顾客一般都会再购买单独的防火墙来提供更高的安全性。 长处:l 对网络性能基本上
16、没有影响l 成本很低,路由器和一般的操作系统都支持缺陷:l 工作在网络层,只检查IP和TCP的包头l 不检查包的数据,提供的安全行性不高l 缺少状态信息l IP易被假冒和欺骗l 规则较好写,但很难写对的,规则测试困难l 保护的级别低动态包过滤动态包过滤是静态包过滤技术的发展和演化。因此,它继承了静态包过滤的一种主线缺陷:不懂得状态信息。典型的动态包过滤,就向静态包过滤同样,重要工作在网络层,即OSI的第三层。有些高档某些的动态包过滤防火墙也工作到传播层,即OSI的第四层。动态包过滤防火墙决定放行还是回绝一种包,重要还是基于对IP包头和合同包头的某些具体的信息进行检查,它们涉及:l 源地址(Source Address)
