《隔离网闸技术方案》由会员分享,可在线阅读,更多相关《隔离网闸技术方案(33页珍藏版)》请在金锄头文库上搜索。
1、隔离网闸技术方案目录一、概述 31.1 、网络安全现状 31.2 、现有网络安全技术 31.3 、现有网络安全技术的缺陷 41.4 、GAP 技术简介 51.4.1 、 GAP 模型的实现 61.4.2 、协议的分拆与重组 8二、SecSIS 3600 介绍 1.02.1、SecSIS 3600 产品简介 1.02.2、SecSIS 3600 产品原理 1.0三、SecSIS 3600 功能 1.23.1、SecSIS 3600 产品定位 1.23.2、SecSIS 3600 产品功能 1.2四、SecSIS 3600 产品性能 错. 误!未定义书签。4.1、SecSIS 3600 产品技术指
2、标 错误!未定义书签。4.2、SecSIS 3600 产品硬件 错误!未定义书签。五、SecSIS 3600 产品应用 2.35.1 、通用解决方案 2.35.2 、重要网络数据资源保护 2.45.3 、“数据大集中”应用模式 2.45.4、“外网受理,内网处理”模式的应用 2. 5附录一、与防火墙产品的比较 27包过滤防火墙 27应用代理防火墙28全状态检测 (stateful inspect) 防火墙 2 9SecSIS 3600 网络隔离网闸 30一、概述1.1、网络安全现状计算机网络的广泛应用是当今信息社会的一场革命。电子商务和电子政务等网络应用的发展和普及不仅给我们的生活带来了很大的
3、便利,而且正在创造着巨大的财富,以In ternet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次不断深入,应用领域更是从传统的、小型业务系统逐渐向大型、关键业务系统扩展。与此同时,计算机网络也正面临着日益剧增的安全威胁。广为网络用户所知的黑客行为和攻击活动正以每年 10倍的速度增长,网页被修改、非法进入主机、发送假冒电子邮件、 进入银行系统盗取和转移资金、窃取信息等网络攻击事件此起彼伏。计算机病毒、特洛伊木马、拒绝服务攻击、电子商务入侵和盗窃等,都造成了各种危害,包括机密数据被篡改和窃 取、网站页面被修改或丑化、网络瘫痪等。网络与信息安全问题日益突出,已经成为
4、影响国家安全、社会稳定和人民生活的大事,发展与现有网络技术相对应的网络安全技术,保障网络安全、有序和有效的运行,是保证互联网高效、有序应用的关键之一。1.2、现有网络安全技术计算机网络是基于网络可识别的网络协议基础之上的各种网络应用的完整组合,协议 本身和应用都有可能存在问题,网络安全问题包括网络所使用的协议的设计问题,也包括协议和应用的软件实现问题,当然还包括了人为的因素以及系统管理失误等网络安全问题,下表示意说明了这些方面的网络安全问题。问题类型问题点问题描述协议设计安全问题被忽视制定协议之时,通常首先强调功能性,而安全性问题则是到 最后一刻、甚或不列入考虑范围。其它基础协议问题架构在其他
5、不穏固基础协议之上的协议,即使本身再完善也 会有很多问题。流程问题设计协议时,对各种可能出现的流程问题考虑不够周全,导 致发生状况时,系统处理方式不当。设计错误协议设计错误,导致系统服务容易失效或招受攻击。软件设计设计错误协议规划正确,但协议设计时发生错误,或设计人员对协议 的认知错误,导致各种安全漏洞。程序错误程序撰写习惯不良导致很多安全漏洞,包含常见的未检查资 料长度内容、输入资料容错能力不足、未检测可能发生的错误、 应用环境的假设错误、引用不当模块、未检测资源不足等。人员操 作操作失误操作规范严格且完善,但是操作人员未受过良好训练、或未 按手册操作,导致各种安全漏洞和安全隐患。系统维护默
6、认值不安全软件或操作系统的预设设置不科学,导致缺省设置下系统处 于不安全的状况下。容易遭受病毒、蠕虫、特洛依木马等的攻击。未修补系统软件和操作系统的各种补丁程序没有及时修复。内部安全问题对由信任系统和网络发起的各种攻击防范不够。信任领域存 在的不安全系统,成为不信任领域内系统攻击信任领域的各种跳 板。针对上表所示的各种网络安全问题,全世界的网络安全厂商都试图发展了各种安全技术 来防范这些问题,这些技术包括访问控制技术、识别和鉴别技术、密码技术、完整性控制技术、审计和恢复技术、防火墙系统、计算机病毒防护、操作系统安全、数据库系统安全和抗 抵赖协议等,相继陆续推出了包括防火墙、入侵检测( IDS
7、)、防病毒软件、CA系统、加密 算法等在内的各类网络安全软件,这些技术和安全系统(软件)对网络系统提供了一定的安全防范,一定程度上解决了网络安全问题某一方面的问题。1.3、现有网络安全技术的缺陷现有的各种网络安全技术都是针对网络安全问题的某一个或几个方面来设计的,它只 能相应地在一定程度上解决这一个或几个方面的网络安全问题,无法防范和解决其他的问 题,更不可能提供对整个网络的系统、有效的保护。如身份认证和访问控制技术只能解决确认网络用户身份的问题,但却无法防止确认的用户之间传递的信息是否安全的问题,而计算机病毒防范技术只能防范计算机病毒对网络和系统的危害,但却无法识别和确认网络上用户的身份等等
8、。现有的各种网络安全技术中,防火墙技术可以在一定程度上解决一些网络安全问题。防火墙产品主要包括包过滤防火墙,状态检测包过滤防火墙和应用层代理防火墙,但是防火 墙产品存在着局限性。其最大的局限性就是防火墙自身不能保证其准许放行的数据是否安 全。同时,防火墙还存在着一些弱点:一、不能防御来自内部的攻击:来自内部的攻击者是从网络内部发起攻击的,他们的 攻击行为不通过防火墙, 而防火墙只是隔离内部网与因特网上的主机, 监控内部网和因特网 之间的通信,而对内部网上的情况不作检查,因而对内部的攻击无能为力;二、不能防御绕过防火墙的攻击行为:从根本上讲,防火墙是一种被动的防御手段, 只能守株待兔式地对通过它
9、的数据报进行检查,如果该数据由于某种原因没有通过防火墙, 则防火墙就不会采取任何的措施;三、不能防御完全新的威胁:防火墙只能防御已知的威胁,但是人们发现可信赖的服 务中存在新的侵袭方法, 可信赖的服务就变成不可信赖的了; 四、 防火墙不能防御数据驱动 的攻击:虽然防火墙扫描分析所有通过的信息,但是这种扫描分析多半是针对 IP 地址和端 口号或者协议内容的,而非数据细节。这样一来,基于数据驱动的攻击,比如病毒,可以附 在诸如电子邮件之类的东西上面进入你的系统中并发动攻击。入侵检测技术也存在着局限性。其最大的局限性就是漏报和误报严重,它不能称之为 一个可以信赖的安全工具,而只是一个参考工具。在没有
10、更为有效的安全防范产品之前, 更多的用户都选择并依赖于防火墙这样的产品来 保障自己的网络安全, 然而相对应的是, 新的 OS 漏洞和网络层攻击层出不穷, 攻破防火墙、 攻击计算机网络的事件也越来越多, 因此, 开发一个更为完善的网络安全防范系统来有效保 护网络系统,已经成为各网络安全厂商和用户的共同需求和目标。1.4 、GAP 技术简介在介绍 GAP 技术之前,先来简单地介绍一下 GAP 技术的原型: Sneaker-NETIIIIIIIIII IIIIIIIIIIIII IIIIIIIIIIIII IIIIIIIIIIIIIal-t aiiiiiiiimmmm muiiiiiiiiiiiii
11、iiiiiiiiiiiiiiiLANJoe,图一、Sneaker-NET 技术在Sneaker-NET 技术中,有一个人来操作,另外包括两个网络:不可信网络和可信网 络,这两个网络物理隔断,在大多数Sn eaker-NET方案中,也有一个独立的计算机,或者一个与两个网络分离的 DMZ区域,用于内容检查。采用Sneaker-NET技术后,网络信息流如下:1. 该人在不可信网络上的计算机上手工方式拷贝文件到磁盘或磁带。2. 该人将磁盘或磁带拿到一个独立的计算机上进行内容检测。检测包括(不仅仅这 些):病毒扫描、检验该文件格式是否和预先定义的文件格式相符等。3. 如果内容检测为不安全或非法,它们将被
12、丢弃;如果内容是安全和合法的,此人在 可信网络上的计算机上手工方式将该磁盘或磁带的文件拷贝到计算机上。4. 信息从可信网络传输到不可信网络将也用相似的流程。在Sneaker-NET 技术中,没有人可以从不可信的网络访问和操作控制可信网络上的计 算机,所有允许到可信网络的数据都在一个安全的环境中经过详细的审查,这是从不安全环境到安全环境信息传输的一个最安全的方法。1.4.1、GAP模型的实现GAP隔离网闸技术就是基于这样的一个机理实现的一种安全信息交换技术。在Sneaker-NET中,人的作用是在两个网络之间进行低速的手工交换数据,而在采用GAP技 术的设备中,用一个快速大规模集成电路ASIC隔
13、离部件来实现这一功能;用在Sneaker-NET 中做数据交换的磁介质,在 GAP 技术中则用存储设备来代替。在某一时刻,ASIC 隔离部件只能连接到其中的一个网络, 其它的硬件和软件实施则类似于 Sneaker-NET 的装置。从前述的 Sneaker Net 模型中我们不难发现,模型之所以具有上述有价值的安全特 性,关键在于隔离机制的实现, 因此, 网闸如何真实模拟人的运动机制是实现Snaeker-Net模型的关键,也是体现网闸安全优势的关键。最佳的实现方式是通过半导体大规模集成电路 ASIC 隔离部件来实现。半导体 ASIC 隔 离部件以纯物理方式实现了电路的导通与断开,与加 / 解密等
14、逻辑断开方式不同,它具有固 化的不可编程特性, 不会因溢出等逻辑问题导致系统的崩溃, 在最低层即物理层面上保证了 网络断开功能的实现,具有最高的安全可靠性。由于半导体 ASIC 隔离部件具有开关功能, 通过两组开关器件即可准确模拟出 Sneaker Net 模型中人的工作机制,如图所示:Internet公众网受保护内网LAN网闸电子开关的实现图中箭头标志代表了半导体 ASIC隔离部件,它可以在公众外网服务器与受保护网服务 器间摆动,同一时刻开关仅能与一边服务器连通,该动作模拟人在断开的内外网服务器间的移动。与ASIC隔离部件直接相连的是一个暂存数据的交换池,该结构模拟了人手中的存储 介质。半导
15、体ASIC隔离部件结构在最基本的物理层次上真实模拟了Sneaker Net模型,它不仅继承了 Sneaker Net模型所有的安全特性,同时又解决了原模型中数据传输速度与延 时的问题,使得该模型可在不影响用户网络应用的前提下实现期望的安全功能。可以说,ASIC隔离部件的实现是区分网闸与其它安全产品的重要指标。142、协议的分拆与重组隔离网闸对于接收到的任何外部会话连接,首先通过外部网络接口将会话终止,然后利用协议解析模块将TCP/UDP数据格式打破,并采用内部专有的封装协议将分解得到的数据模块对数据重组,并在内部网络接口重构到内部服务器的会话。对于从内部到外部的 TCP连接,隔离网闸也具有对等的处理方式。经过如上的处理,隔离网闸事实上已经将原来直接连通内外网络的TCP连接,从逻辑上分解为外网到网闸不可信端的TCP连接、不可信端到可信端的专有封装协议连接、可信端到内网的TCP连接的组合。因此,在添加安隔离网闸之后
