《中网物理隔离产品白皮书总论》由会员分享,可在线阅读,更多相关《中网物理隔离产品白皮书总论(30页珍藏版)》请在金锄头文库上搜索。
1、中网物理理隔离产产品白皮皮书总论论物理隔离离产品是是用来解解决网络络安全问问题的。尤其是是在那些些需要绝绝对保证证安全的的保密网网,专网网和特种种网络与与互联网网进行连连接时,为了防防止来自自互联网网的攻击击和保证证这些高高安全性性网络的的保密性性、安全全性、完完整性、防抵赖赖和高可可用性,几乎全全部要求求采用物物理隔离离技术。学术界一一般认为为,最早早提出物物理隔离离技术的的,应该该是以色色列和美美国的军军方。但但是到目目前为止止,并没没有完整整的关于于物理隔隔离技术术的定义义和标准准。从不不同时期期的用词词也可以以看出,物理隔隔离技术术一直在在演变和和发展。较早的的用词为为Phyysicc
2、al Dissconnnecctioon,DDiscconnnecttionn有使断断开,切切断,不不连接的的意思,直译为为物理断断开。这这种情况况是完全全可以理理解,保保密网与与互联网网连接后后,出现现很多问问题,在在没有解解决安全全问题或或没有解解决问题题的技术术手段之之前,先先断开再再说。后后来有PPhyssicaal SSepaarattionn,Seeparratiion有有分开,分离,间隔和和距离的的意思,直译为为物理分分开。后后期发现现完全断断开也不不是办法法,互联联网总还还是要用用的,采采取的策策略多为为该连的的连,不不该连的的不连。这样的的该连的的部分与与不该连连的部分分要分
3、开开。也有有Phyysiccal Isoolattionn,Issolaatioon有孤孤立,隔隔离,封封闭,绝绝缘的意意思,直直译为物物理封闭闭。事实实上,没没有与互互联网相相连的系系统不多多,互联联网的用用途还是是很大,因此,希望能能将一部部分高安安全性的的网络隔隔离封闭闭起来。再后来来多使用用Phyysiccal Gapp,Gaap有豁豁口,裂裂口,缺缺口和差差异的意意思,直直译为物物理隔离离,意为为通过制制造物理理的豁口口,来达达到隔离离的目的的。到这这个时候候,Phhysiicall这个词词显得非非常僵硬硬,于是是有人用用Airr Gaap来代代替Phhysiicall Gaap。A
4、Air Gapp意为空空气豁口口,很明明显在物物理上是是隔开的的。但有有人不同同意,理理由是空空气豁口口就物物理隔离离了吗吗?没有有,电磁磁辐射,无线网网络,卫卫星等都都是空气气豁口,却没有有物理隔隔离,甚甚至连逻逻辑上都都没有隔隔离。于于是,EE-Gaap,NNetggap,I-GGap等等都出来来了。现现在,一一般称GGap Tecchnoologgy,意意为物理理隔离,成为互互联网上上一个专专用名词词。对物理隔隔离的理理解表现现为以下下几个方方面:1, 阻阻断网络络的直接接连接,即没有有两个网网络同时时连在隔隔离设备备上;22, 阻阻断网络络的互联联网逻辑辑连接,即TCCP/IIP的协协
5、议必需需被剥离离,将原原始数据据通过PP2P的的非TCCP/IIP连接接协议透透过隔离离设备传传递;33, 隔隔离设备备的传输输机制具具有不可可编程的的特性,因此不不具有感感染的特特性;44, 任任何数据据都是通通过两级级移动代代理的方方式来完完成,两两级移动动代理之之间是物物理隔离离的;55, 隔隔离设备备具有审审查的功功能;66, 隔隔离设备备传输的的原始数数据,不不具有攻攻击或对对网络安安全有害害的特性性。就像像txtt文本不不会有病病毒一样样,也不不会执行行命令等等。7, 强大大的管理理和控制制功能。网络安全全的体系系架构的的演变要对物理理隔离技技术有一一个深入入的了解解,必须须对网络
6、络安全体体系架构构有深入入的研究究。要了了解网络络安全的的架构体体系,从从目前网网络安全全市场的的构成就就可以初初见端倪倪。防火火墙,防防病毒,VPNN和入侵侵检测(IDSS),是是市场的的主流产产品。安安全体系系以防火火墙为核核心,向向联动的的方向发发展。因因此,要要了解网网络安全全的架构构体系的的演变,必须防防火墙进进行深入入的了解解。现状目前,市市场上销销售量第第一和第第二的防防火墙都都使用一一种被称称为状态态检测包包隔离的的技术,Staatefful Insspecctioon PPackket Fillterringg (SSIPFF)。状状态检测测有两大大优势,一是速速度快,二是具
7、具有很大大的灵活活性。这这也是SSIPFF为什么么受欢迎迎的原因因。有人人会注意意到我们们甚至没没有提到到安全性性,尽管管人们要要买防火火墙,听听起来是是要解决决安全问问题,但但安全性性不是人人们选择择防火墙墙的第一一理由。人们选选择防火火墙的第第一理由由是易于于安装和和使用,尽可能能的减少少麻烦和和对网络络结构的的变动,以及对对业务的的影响。有防火火墙之父父之称称的马尔尔科斯(Marrcuss Raanumm)也注注意到这这一点,防火墙墙客户有有一次投投票,结结果前三三位重要要特性是是透明特特性,性性能和方方便性,而不是是安全性性,没有有人对这这个结果果感到惊惊讶。仅有防火火墙的安安全架构构
8、是远远远不够的的目前网络络安全市市场上,最流行行的安全全架构是是以防火火墙为核核心的安安全体系系架构。通过防防火墙来来实现网网络的安安全保障障体系。然而,以防火火墙为核核心的安安全防御御体系未未能有效效地防止止目前频频频发生生网络攻攻击。仅仅有防火火墙的安安全架构构是远远远不够的的。以致致于很多多人都在在怀疑,防火墙墙是不是是过时了了。连具具?quuot;防火墙墙之父马尔科科斯都宣宣称,他他再也不不相信防防火墙。这么说防防火墙,似乎有有一点过过。主要要的原因因是前一一个时期期,防火火墙已经经成为安安全的代代名词,言必谈谈防火墙墙。导致致很多厂厂商把根根本不属属于防火火墙的东东西全部部推到防防火
9、墙上上,如防防火墙上上的路由由功能,甚至过过分到把把应用服服务也搬搬到防火火墙上,造成防防火墙万万能的局局面,以以致于期望越越高,失失望越大大。虽说防火火墙不是是万能的的,但没没有防火火墙却是是万万不不能的。防火墙墙至今为为止还是是最重要要的安全全工具。任何技技术都有有其局限限性,防防火墙也也不例外外。 防火墙架架构的回回顾今天,我我们发现现自己处处在一种种网络不不安全的的现状,呼唤我我们对防防火墙架架构的基基础进行行一个仔仔细的回回顾。防火墙对对网络安安全的保保护程度度,很大大程度上上取决于于防火墙墙的体系系架构。一般的的防火墙墙采用以以下防火火墙架构构的一种种或几种种:l 静态包包过滤(S
10、taaticc Paackeet FFiltter)l 动动态包过过滤(DDynaamicc orr Sttateefull Paackeet FFiltter)l 电电路网关关(Ciircuuit Levvel Gattewaay)ll 应用用网关(Apppliccatiion Levvel Gattewaay)ll 状态态检测包包过滤(Staatefful Insspecctioon PPackket Fillterr)l 切换代代理(CCutooff Prooxy)l 物物理隔离离(Aiir GGap)网络安全全是一种种平衡网络安全全只是在在可信和和性能之之间的一一种简单单的平衡衡。所有
11、的防防火墙都都依赖于于对通过过防火墙墙的包的的信息进进行检查查。检查查的越多多,越安安全。检检查的重重点是对对网络协协议的信信息,这这些信息息按OSSI的模模型来讲讲,即分分布在77层。知知道防火火墙运行行在那一一层上,就知道道它的体体系架构构是什么么。l 一般般说来,OSII的层号号越高,防火墙墙要检查查包的信信息内容容就越多多,对CCPU和和内存的的要求就就高。ll OSSI的层层号越高高,防火火墙检查查的内容容就越多多,也就就越安全全。 在在防火墙墙的体系系架构中中,效率率速度与与防火墙墙的安全全性,一一直是一一个折中中方案。即高安安全性的的防火墙墙的效率率和速度度较低,高速度度高效率率
12、的防火火墙的安安全性较较低。然然而,随随着多CCPU计计算机的的成本的的下降,和操作作系统支支持对称称多处理理系统(SMPP)的特特性,传传统的高高速的包包过滤的的防火墙墙与开销销较大的的代理防防火墙之之间的差差距逐步步缩小。成功的防防火墙的的一个最最重要的的因素,是谁在在安全和和性能之之间选择择做决定定:(11)防火火墙厂商商,通过过限制用用户的架架构选择择,或(2)用用户,在在一个强强壮的防防火墙中中要求更更多的架架构。实实际上,到底是是用户决决定市场场,还上上厂商决决定市场场。这个个问题没没有答案案,要看看最后的的事实。 防火火墙的架架构总体体上如下下图。我我们把OOSI的的明显和和TC
13、PP/IPP的模型型,对照照起来,以便把把问题说说清楚。在检查防防火墙的的架构中中,查看看IP包包头中最最重要的的几项信信息是:l IIP包头头(IPP heeadeer)ll TCCP包头头(TCCP hheadder)l 应应用层包包头(aappllicaatioon hheadder)l 数数据加载载的包头头(daatapayyloaad hheadder)静态包过过滤(SStattic Pacckett Fiilteer)包过滤防防火墙是是最古老老的防火火墙架构构之一。包过滤滤防火墙墙运行在在网络层层,即OOSI的的第三层层。防火墙决决定放行行还是拒拒绝一个个包,主主要是基基于对IIP
14、包头头和协议议包头的的一些具具体的信信息进行行检查,它们包包括:ll 源地地址(SSourrce Adddresss)ll 目的的地址(Desstinnatiion Adddresss)ll 应用用协议(Apppliccatiion or Prootoccol)l 源源端口号号(Soourcce PPortt Nuumbeer)ll 目的的端口号号(Deestiinattionn Poort Nummberr)在转发一一个包之之前,防防火墙将将IP包包头和TTCP包包头的信信息与用用户定义义的规则则表的信信息进行行比较,决定是是转发还还是拒绝绝。规则则表就是是用户定定义的安安全规则则。规则则是
15、按顺顺序进行行检查的的,只到到有规则则匹配为为止。如如果没有有规则匹匹配,则则按缺省省的规则则执行。防火墙墙的缺省省规则应应该是禁禁止。实际上,有两种种思想决决定防火火墙的缺缺省规则则,(11)易于于使用,或(22)安全全第一。易于使使用,一一般都设设置为准准许放行行。安全全第一,一般都都设置为为禁止放放行。静态包过过滤防火火墙,用用户可以以定义规规则来决决定准许许什么包包通过,或决定定禁止什什么包通通过。用用户定义义规则,通过检检查IPP包头的的信息,来准许许或拒绝绝包从什什么地址址来,到到什么地地址去,可能是是一个地地址或一一组地址址。用户户定义具具体服务务的规则则,通过过检查TTCP包包头的信信息,来来准许或或拒绝包包到达或或来自相相关具体体服务的的端口。包过滤防防火墙的的决定机机制是,最后的的规则如如果与前前面的规规则冲突突,最后后的规则则有效。当规则的的检查是是顺序执执行时,包过滤滤防火墙墙的规则则配置是是十分复复杂和困困难的。我们知知道,NN条规则则,按各各种不同同的顺序序排列,可能的的结果有有N!之之多。除除非所有有的规则则都不相相关,则则N!种种顺序的的结果都都一样,否则,其结果果就可能能不同。加一条条规则是是容易的的,写一一段规则则来实现现某种安安全功能能则
