收藏
下载资源

防火墙与网闸对比文档

上传人:夏** 文档编号:564937133 上传时间:2023-09-25 格式:DOCX 页数:11 大小:23.39KB
返回 下载 相关 举报
防火墙与网闸对比文档_第1页
第1页 / 共11页
防火墙与网闸对比文档_第2页
第2页 / 共11页
防火墙与网闸对比文档_第3页
第3页 / 共11页
防火墙与网闸对比文档_第4页
第4页 / 共11页
防火墙与网闸对比文档_第5页
第5页 / 共11页
点击查看更多>>
资源描述

《防火墙与网闸对比文档》由会员分享,可在线阅读,更多相关《防火墙与网闸对比文档(11页珍藏版)》请在金锄头文库上搜索。

1、防火墙与网闸对比文档网闸在国内的叫法很多,有的叫安全隔离网闸、物理隔离网闸、安全隔离与 信息交换系统,但都是为了实现同一个安全目标而设计的,那就是确保安全的前 提下实现有限的数据交流。这点是与防火墙的设计理念截然不同的,防火墙的设 计初衷是为了保证网络连通的前提下提供有限的安全策略。正是设计目标的不同 所以注定了网闸并不是适用于所有的应用环境,而是只能在一些特定的应用领域 进行应用。目前国内做网闸的厂家不少,一般支持WEB、MAIL、SQL、文件几大 应用,个别厂家支持视频会议的应用。在 TCP/IP 协议层上又划分出单向产品和 双向产品,双向产品属于应用层存在交互的应用如 WEB、 MAIL

2、、 SQL 等常见应用 都是双向应用。单向应用意为应用层单向,指的是在应用层切断交互的能力,数 据只能由一侧主动向另一侧发送,多应用于工业控制系统的 DCS 网络与 MIS 网络 之间的监控数据传输,这类产品由于在应用层不存在交互所以安全性也是最好的大家看了上面的部分一定会想 WEB、 MAIL、 SQL 这类应用防火墙也能做到很 好的保护啊,网闸的优势在呢?首先要说到网闸的硬件设计了。网闸为了强调隔 离,多采用 21 的硬件设计方式,即内网主机专用隔离硬件(也称隔离岛) 外网主机,报文到达一侧主机后对报文的每个层面进行监测,符合规则的将报 文拆解,形成所谓的裸数据,交由专用隔离硬件摆渡到另一

3、侧,摆渡过程采用非 协议方式,逻辑上内外主机在同一时刻不存在连接,起到彻底切断协议连接的目 的。数据摆渡过来后内网对其进行应用层监测,符合规则的由该主机从新打包将 数据发送到目标主机。而防火墙对数据包的处理是不会拆解数据包的,防火墙只 是做简单的转发工作,对转发的数据保进行协议检查后符合规则的过去,不符合 规则的丢掉,防火墙两边主机是直接进行通讯的。网闸由于切断了内外主机之间 的直接通讯,连接是通过间接的与网闸建立里连接而实现的,所以外部网络是无 法知道受保护网络的真实 IP 地址的,也无法通过数据包的指纹对目标主机进行 软件版本、操作系统的判断。通过网闸攻击者无法收集到任何有用的信息,从而

4、无法展开有效的攻击行为。而防火墙由于设计初衷是为了保证网络传输通畅,所 以有些防火墙在大流量的情况下,为了保证性能,只对发起连接的前几个包进行 规则过滤,而后继报文进行就直接转发,可以说这种设计使相当不安全的。说完硬件的设计优势外,网闸在过滤颗粒度上面会更加细致,做到了层层设 防。在应用层提供身份认证、内容监测、病毒检测多种策略进行严格检测,各个 厂家多支持根据特殊应用定制专用模块,在应用层上各个厂家的产品差距不大, 提供的检测内容都基本相同。在传输层对 IP 端口进行限制,这和防火墙工作没 有太多区别。网闸在 IP 层通过 MAC 绑定策略来提高安全性,作的最好的厂家是 在该层剥离了除 ar

5、p 之外的所有协议,并限制了 arp 的应答,使非授权主机根本 无法获知网闸的存在更不用提与另外一测得通讯了。目前网闸厂家之间多以隔离岛的硬件设计而争论不休,争论的要点在于使用 何种隔离方式,隔离岛的要求只要满足了仅对应用层数据摆渡、使用非协议方式、 逻辑上保证不予内外网主机同时连接三点就可以了。其实更重要的地方往往被大 家忽略了,那就是系统自身的安全,如果系统自身存在安全隐患,您制定的规则 再严密,都是枉然。如果攻击者侵入设备系统,取得管理权限,任何规则都无济 于事,毕竟摆渡的数据还是由主机控制的,就算是有隔离岛这道屏障,但毕竟如 果入侵了外网主机,也会使通讯不能正常工作,让入侵成功更紧一部

6、,所以设备 的系统自身安全也是不可忽略的。国内硬件厂家多采用 X86 架构的工控主机进行开发,由于不存在程序的移植 问题,很多程序源码直接在该平台上就能运行,大大提高了开发速度,和降低了 开发难度,但是由此也带来了很多安全隐患,由于x86平台的广泛应用,大量的 源码引用也容易将安全隐患引进近来,同时X86架构由于不涉及到平台移植的问 题, PC 上的任何程序都可能直接驻留到设备内直接运行,大大威胁了设备的安 全性。而目前网闸厂家采用的多是以 Linux 为操作系统,通过精简加固 Linux 内核的手段提高自身安全性,但是庞大的系统很难做到尽善尽美。所以在选择网 闸厂家时,使用了非X86架构的嵌

7、入式开发的产品的产品相比使用X86架构的产 品安全性方面更胜一筹,也应当以非 X86 架构的嵌入式网闸作为首选。而网闸厂 家中系统安全性最高的是北京数码星辰的产品,使用了国产低功耗CPU,嵌入式 开发,并且删除了文件系统、SHELL操作系统必须的两大部分,将程序以内核态 形式运行,大幅提高了自身的安全性,并且由于摆脱了文件系统SHELL的拖累, 大幅提升系统的工作效率。此举可谓安全领域一个突破,个人认为这将是未来安 全产品的一个发展方向。总的来说选择选择网闸主要是看隔离岛是不是符合隔离的要求,能不能切断 连接,从逻辑上是不是保证了不予内外网主机同时连通,其次是在各个协议中规 律过滤颗粒细度,是

8、不是能够支持最为严格规则过滤。最后也是最重要的就是涉 及设备自身安全的硬件平台和操作系统,简单讲就是非工控硬件平台由于工控硬 件平台,内核台运行的优于有完整操作系统的。网闸原理介绍安全网闸技术是模拟人工拷盘的工作模式,通过电子开关的快速切换实现两 个不同网段的数据交换的物理隔离安全技术。安全网闸技术在安全技术领域源于 被称之为GAP,又称为Air Gap的安全技术,它本意是指由空气形成的用于隔离 的缝隙。在网络安全技术中,主要指通过专用的硬件设备在物理不连通的情况下, 实现两个独立网络之间的数据安全交换和资源共享。它由三个组件构成:A网处理机、B网处理机和GAP开关设备。我们可以很 清楚地看到

9、连接两个网络的 GAP 设备不能同时连接到相互独立的 A 网和 B 网中, 即GAP在某一时刻只与其中某个网络相连。GAP设备连接A网时,它是与B网断 开的,A网处理机把数据放入GAP中;GAP在接收完数据后自动切换到B网,同 时, GAP 与 A 网断开; B 网处理机从 GAP 中取出数据,并根据合法数据的规则进 行严格的检查,判断这些数据是否合法,若为非法数据,则删除它们。同理, B 网也以同样的方式通过 GAP 将数据安全地交换到 A 网中。从 A 网处理机往 GAP 放入数据开始,到 B 网处理机从 GAP 中取出数据并检查结束,就完成了一次数据 交换OGAP就这样在A网处理机与B网

10、处理机之间来回往复地进行实时数据交换。 在通过 GAP 交换数据的同时, A 网和 B 网依然是隔离的。安全网闸是如何来保证在两个网络之间的安全性呢?首先,这两个网络一直 是隔离的,在两个网络之间只能通过 GAP 来交换数据,当两个网络的处理机或 GAP三者中的任何一个设备出现问题时,都无法通过GAP进入另一个网络,因为 它们之间没有物理连接;第二,GAP只交换数据,不直接传输TCP/IP,这样避免 了 TCP/IP 的漏洞;第三,任何一方接收到数据,都要对数据进行严格的内容检 测和病毒扫描,严格控制非法数据的交流。GAP的安全性高低关键在于其对数据 内容检测的强弱。若不做任何检测,虽然是隔离

11、的两个网络,也能传输非法数据、 病毒、木马,甚至利用应用协议漏洞通过 GAP 设备从一个网络直接进入另一个网 络。那么 GAP 的作用将大打折扣。尽管作为物理安全设备,安全网闸提供的高安全性是显而易见的,但是由于 其工作原理上的特性, 不可避免地决定了安全网闸存在一些缺陷:1、只支持静态数据交换,不支持交互式访问 这是安全网闸最明显得一个缺陷。类似于拷盘在两台主机间交换数据,安全网闸的数据是以存储转发模式工作的,在数据链路层其网段的两边始终是中断的 在其三个组件的任何一个节点上交换的都必须是完整的应用层数据。因此,它不 支持诸如动态 WEB 页面技术中的 ActiveX、Java 甚至是客户端

12、的 cookie 技术, 目前安全网闸一般只支持静态 WEB 页,邮件文件等静态数据的交换。2、适用范围窄,必须根据具体应用开发专用的交换模块 由于数据链路层被忽略,安全网闸无法实现一个完整的 ISO/OSI 七层连接过程,所以安全网闸对所有交换的数据必须根据其特性开发专用的交换模块,而不 是采用 IS0/OSI 七层模型提供的传统的层次封装的开放式编程接口。所以客户所 能实现的数据交换类型均取决于产品提供商到底能提供多少种应用模块,甚至于 要根据客户的要求临时开发各种应用模块,灵活性差,适用范围十分狭窄;3、系统配置复杂,安全性很大程度上取决于网管员的技术水平 安全网闸采用由其主动发起数据请

13、求的方式进行工作,它不会接受和响应其它主机主动发起的数据请求,也不对外提供任何服务。对于取到的数据还要进行 一些病毒、木马过滤和安全性检查等一系列功能,这都需要网管员根据网络应用 的具体情况加以判断和设置。如果设置不当,比如对内部人员向外部提交的数据 不进行过滤而导致信息外泄等,都可能造成安全网闸的安全功能大打折扣。4、结构复杂,实施费用较高 安全网闸的三个组件都必须为大容量存储设备,特别在支持多种应用的情况下,存储转发决定了必须采用较大的存储器来存储和缓存大量的交换数据。另外, 安全网闸由于处在两个网段的结合部,具有网关的地位,一旦当机就会使两边数 据无法交换,所以往往需要配置多台网闸设备作

14、为冗余,使购置和实施费用不可 避免地上升了;5、技术不成熟,没有形成体系化安全网闸技术是一项新兴的网络安全技术,尚无专门的国际性研究组织对其 进行系统的研究和从事相关体系化标准的制定工作。对其工作原理的界定也很模 糊,在国外,一些应用的比较多的安全网闸产品,比如国外的 e-Gap(Whale 公 司)和Air Gap AG系列(Spearhead公司),本质上它们是一种内容过滤型防火 墙,由于支持交互式会话,严格意义上已经不属于物理隔离产品。国内的安全网 闸成熟产品少,由于诸多原因,也并未得到充分推广;6、可能造成其他安全产品不能正常工作,并带来瓶颈问题安全性和易用性始终是一对矛盾,在已有的防

15、火墙, VPN, AAA 认证设备等 安全设施的多重构架环境中,安全网闸产品的加入,使网络日趋复杂化,正常的 访问连接越来越多的被各种不可见和不易见因素所干扰和影响,已经配置好的各 种网络产品和安全产品,可能由于安全网闸的配置不当而受到影响。由于多重过 滤的安全设施结构,安全网闸的加入使瓶颈问题更加突出。因为电子开关切换速 率的固有特性和安全过滤内容功能的复杂化,目前安全网闸的交换速率已接近该 技术的理论速率极限,可以预见在不久的将来,随着高速网络技术的发展,安全 网闸在交换速率上的问题将会成为阻碍网络数据交换的重要因素。 网闸与防火墙的区别防火墙与安全隔离网闸的最大区别可以从两个方面来谈:1

16、. 设计理念的不同2. 系统的整体设计完全不同在设计理念方面,防火墙是以应用为主的安全为辅的,也就是说在支持尽可 能多的应用的前提下,来保证使用的安全。防火墙的这一设计理念使得它可以广 泛地用于尽可能多的领域,拥有更加广泛的市场。而网闸则是以安全为主,在保 证安全的前提下,支持尽可能多地应用。网闸主要用于安全性要求极高的领域, 例如对政府网络,工业控制系统的保护等等。显然,由于把安全性放在首位,这 样就会有更加严格的安全规则和更多地限制,因此可以应用的范围也较防火墙少 一些,主要用那些对安全性要求较高的环境下。相反防火墙可以应用于非常广泛 的应用领域,甚至包括个人电脑都可以使用,但是它的安全性往往就差强人意。 人们常常发现被防火墙防护的网络依然常常被黑客和病毒攻击。现在有很多网络 攻击都是发生在有防火墙的情况下,根据美国财经杂志统计资料表明,30%的入 侵发生在有防火墙的情况下。由于这种设计理念的区别,因此可以有软件防火墙, 但是却不会有软件网闸。由于设计理念的

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 学术论文 > 其它学术论文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号