中网物理隔离产品白皮书总论.docx
《中网物理隔离产品白皮书总论.docx》由会员分享,可在线阅读,更多相关《中网物理隔离产品白皮书总论.docx(23页珍藏版)》请在冰豆网上搜索。
中网物理隔离产品白皮书总论
中网物理隔离产品白皮书总论
物理隔离产品是用来解决网络安全咨询题的。
专门是在那些需要绝对保证安全的保密网,专网和特种网络与互联网进行连接时,为了防止来自互联网的攻击和保证这些高安全性网络的保密性、安全性、完整性、防抵赖和高可用性,几乎全部要求采纳物理隔离技术。
学术界一样认为,最早提出物理隔离技术的,应该是以色列和美国的军方。
然而到目前为止,并没有完整的关于物理隔离技术的定义和标准。
从不同时期的用词也能够看出,物理隔离技术一直在演变和进展。
较早的用词为PhysicalDisconnection,Disconnection有使断开,切断,不连接的意思,直译为物理断开。
这种情形是完全能够明白得,保密网与互联网连接后,显现专门多咨询题,在没有解决安全咨询题或没有解决咨询题的技术手段之前,先断开再讲。
后来有PhysicalSeparation,Separation有分开,分离,间隔和距离的意思,直译为物理分开。
后期发觉完全断开也不是方法,互联网总依旧要用的,采取的策略多为该连的连,不该连的不连。
如此的该连的部分与不该连的部分要分开。
也有PhysicalIsolation,Isolation有孤立,隔离,封闭,绝缘的意思,直译为物理封闭。
事实上,没有与互联网相连的系统不多,互联网的用途依旧专门大,因此,期望能将一部分高安全性的网络隔离封闭起来。
再后来多使用PhysicalGap,Gap有豁口,裂口,缺口和差异的意思,直译为物理隔离,意为通过制造物理的豁口,来达到隔离的目的。
到那个时候,Physical那个词显得专门僵硬,因此有人用AirGap来代替PhysicalGap。
AirGap意为空气豁口,专门明显在物理上是隔开的。
但有人不同意,理由是空气豁口就"物理隔离"了吗?
没有,电磁辐射,无线网络,卫星等差不多上空气豁口,却没有物理隔离,甚至连逻辑上都没有隔离。
因此,E-Gap,Netgap,I-Gap等都出来了。
现在,一样称GapTechnology,意为物理隔离,成为互联网上一个专用名词。
对物理隔离的明白得表现为以下几个方面:
1,阻断网络的直截了当连接,即没有两个网络同时连在隔离设备上;
2,阻断网络的互联网逻辑连接,即TCP/IP的协议必需被剥离,将原始数据通过P2P的非TCP/IP连接协议透过隔离设备传递;
3,隔离设备的传输机制具有不可编程的特性,因此不具有感染的特性;
4,任何数据差不多上通过两级移动代理的方式来完成,两级移动代理之间是物理隔离的;
5,隔离设备具有审查的功能;
6,隔离设备传输的原始数据,不具有攻击或对网络安全有害的特性。
就像txt文本可不能有病毒一样,也可不能执行命令等。
7,强大的治理和操纵功能。
网络安全的体系架构的演变
要对物理隔离技术有一个深入的了解,必须对网络安全体系架构有深入的研究。
要了解网络安全的架构体系,从目前网络安全市场的构成就能够初见端倪。
防火墙,防病毒,VPN和入侵检测(IDS),是市场的主流产品。
安全体系以防火墙为核心,向联动的方向进展。
因此,要了解网络安全的架构体系的演变,必须防火墙进行深入的了解。
现状
目前,市场上销售量第一和第二的防火墙都使用一种被称为状态检测包隔离的技术,StatefulInspectionPacketFiltering(SIPF)。
状态检测有两大优势,一是速度快,二是具有专门大的灵活性。
这也是SIPF什么缘故受欢迎的缘故。
有人会注意到我们甚至没有提到安全性,尽管人们要买防火墙,听起来是要解决安全咨询题,但安全性不是人们选择防火墙的第一理由。
人们选择防火墙的第一理由是易于安装和使用,尽可能的减少苦恼和对网络结构的变动,以及对业务的阻碍。
有"防火墙之父"之称的马尔科斯(MarcusRanum)也注意到这一点,防火墙客户有一次投票,结果前三位重要特性是透亮特性,性能和方便性,而不是安全性,没有人对那个结果感到惊奇。
仅有防火墙的安全架构是远远不够的
目前网络安全市场上,最流行的安全架构是以防火墙为核心的安全体系架构。
通过防火墙来实现网络的安全保证体系。
然而,以防火墙为核心的安全防备体系未能有效地防止目前频频发生网络攻击。
仅有防火墙的安全架构是远远不够的。
以致于专门多人都在怀疑,防火墙是不是过时了。
连具?
quot;防火墙之父"马尔科斯都宣称,他再也不相信防火墙。
这么讲防火墙,看起来有一点过。
要紧的缘故是前一个时期,防火墙差不多成为安全的代名词,言必谈防火墙。
导致专门多厂商把全然不属于防火墙的东西全部推到防火墙上,如防火墙上的路由功能,甚至过分到把应用服务也搬到防火墙上,造成防火墙万能的局面,以致于"期望越高,败兴越大"。
虽讲防火墙不是万能的,但没有防火墙却是万万不能的。
防火墙至今为止依旧最重要的安全工具。
任何技术都有其局限性,防火墙也不例外。
防火墙架构的回忆
今天,我们发觉自己处在一种网络不安全的现状,呼吁我们对防火墙架构的基础进行一个认确实回忆。
防火墙对网络安全的爱护程度,专门大程度上取决于防火墙的体系架构。
一样的防火墙采纳以下防火墙架构的一种或几种:
l静态包过滤(StaticPacketFilter)
l动态包过滤(DynamicorStatefulPacketFilter)
l电路网关(CircuitLevelGateway)
l应用网关(ApplicationLevelGateway)
l状态检测包过滤(StatefulInspectionPacketFilter)
l切换代理(CutoffProxy)
l物理隔离(AirGap)
网络安全是一种平稳
网络安全只是在可信和性能之间的一种简单的平稳。
所有的防火墙都依靠于对通过防火墙的包的信息进行检查。
检查的越多,越安全。
检查的重点是对网络协议的信息,这些信息按OSI的模型来讲,即分布在7层。
明白防火墙运行在那一层上,就明白它的体系架构是什么。
l一样讲来,OSI的层号越高,防火墙要检查包的信息内容就越多,对CPU和内存的要求就高。
lOSI的层号越高,防火墙检查的内容就越多,也就越安全。
在防火墙的体系架构中,效率速度与防火墙的安全性,一直是一个折中方案。
即高安全性的防火墙的效率和速度较低,高速度高效率的防火墙的安全性较低。
然而,随着多CPU运算机的成本的下降,和操作系统支持对称多处理系统(SMP)的特性,传统的高速的包过滤的防火墙与开销较大的代理防火墙之间的差距逐步缩小。
成功的防火墙的一个最重要的因素,是谁在安全和性能之间选择做决定:
(1)防火墙厂商,通过限制用户的架构选择,或
(2)用户,在一个强壮的防火墙中要求更多的架构。
实际上,到底是用户决定市场,还上厂商决定市场。
那个咨询题没有答案,要看最后的事实。
防火墙的架构总体上如下图。
我们把OSI的明显和TCP/IP的模型,对比起来,以便把咨询题讲清晰。
在检查防火墙的架构中,查看IP包头中最重要的几项信息是:
lIP包头(IPheader)
lTCP包头(TCPheader)
l应用层包头(applicationheader)
l数据加载的包头(data-payloadheader)
静态包过滤(StaticPacketFilter)
包过滤防火墙是最古老的防火墙架构之一。
包过滤防火墙运行在网络层,即OSI的第三层。
防火墙决定放行依旧拒绝一个包,要紧是基于对IP包头和协议包头的一些具体的信息进行检查,它们包括:
l源地址(SourceAddress)
l目的地址(DestinationAddress)
l应用协议(ApplicationorProtocol)
l源端口号(SourcePortNumber)
l目的端口号(DestinationPortNumber)
在转发一个包之前,防火墙将IP包头和TCP包头的信息与用户定义的规则表的信息进行比较,决定是转发依旧拒绝。
规则表确实是用户定义的安全规则。
规则是按顺序进行检查的,只到有规则匹配为止。
如果没有规则匹配,则按缺省的规则执行。
防火墙的缺省规则应该是禁止。
实际上,有两种思想决定防火墙的缺省规则,
(1)易于使用,或
(2)安全第一。
易于使用,一样都设置为准许放行。
安全第一,一样都设置为禁止放行。
静态包过滤防火墙,用户能够定义规则来决定准许什么包通过,或决定禁止什么包通过。
用户定义规则,通过检查IP包头的信息,来准许或拒绝包从什么地址来,到什么地址去,可能是一个地址或一组地址。
用户定义具体服务的规则,通过检查TCP包头的信息,来准许或拒绝包到达或来自有关具体服务的端口。
包过滤防火墙的决定机制是,最后的规则如果与前面的规则冲突,最后的规则有效。
当规则的检查是顺序执行时,包过滤防火墙的规则配置是十分复杂和困难的。
我们明白,N条规则,按各种不同的顺序排列,可能的结果有N!
之多。
除非所有的规则都不有关,则N!
种顺序的结果都一样,否则,其结果就可能不同。
加一条规则是容易的,写一段规则来实现某种安全功能则专门困难,要求系统治理员对协议,TCP/IP的工作机制专门清晰,而且还得了解流程。
有些治理员总是把后加的规则放在最后,也有的系统治理员总是放在前面,还有的系统治理员,随机的插入在规则的什么地点。
最大的咨询题在于,规则A,B,C的排放顺序不同,规则的结构不一定相同,可能的排放方式为,A》B》C,A》C》B,B》A》C,B》C》A,C》A》B,C》A》B,这六种结果可能相同,可能不同,而且无法明白是相同依旧不同,只有具体去分析。
如果一个系统的规则有100条,则有100!
=9.33e+157种可能性结果,即使只有万分之一的结果不同,也是一个庞大的天文数字。
实际上,如果不同规则的有关性专门低,结果不同是一个小概率事件。
然而,如果不同规则的有关性专门高,结果则难以预料。
其结果是一致性检查专门难做到。
这确实是什么缘故经常会显现,有时候,加一条规则没咨询题,有时候却有咨询题。
用户必须认确实检查所加入的规则,以保证其结果是其预期的结果。
一个好的方法是,尽可能关心用户设计自己的安全策略,使其不同规则的有关性专门低,尽可能保证结果是完全相同的。
即使用户的规则顺序是有效的,包过滤防火墙还有一个全然的局限性。
它不明白什么地址是真实的,什么地址是假的。
因为TCP/IP的包头的地址是能够改写的。
即使用户能够在防火墙中,把不确定的源地址禁止掉,黑客依旧能够使用不人的源地址,那个地址是正常的,却是黑客盗用,这使得咨询题变得更加复杂。
像源地址欺诈,源地址假冒等这类攻击对包过滤防火墙专门有效。
因此,尽管包过滤防火墙的性能和速度专门高,其安全性却是有限的。
由于包过滤防火墙只检查
(1)源和目标地址,
(2)源和目标端口,而不检查其它的重要的信息。
因此,黑客在是其它的包头里加载恶意数据和命令。
黑客还能够在包的数据中掩藏恶意的命令和数据,这确实是流行的掩藏隧道(CovertChannel)攻击。
在路由器中,一样都支持包过滤技术。
但由于其安全性有限,因此用户一样都会再购买单独的防火墙来提供更高的安全性。
优点:
l对网络性能差不多上没有阻碍
l成本专门低,路由器和一样的操作系统都支持
缺点:
l工作在网络层,只检查IP和TCP的包头
l不检查包的数据,提供的安全行性不高
l缺乏状态信息
lIP易被假冒和欺诈
l规则专门好写,但专门难写正确,规则测试困难
l爱护的等级低
动态包过滤
动态包过滤是静态包过滤技术的进展和演化。
因此,它继承了静态包过滤的一个全然缺点:
不明白状态信息。
典型的动态包过滤,就向静态包过滤一样,要紧工作在网络层,即OSI的第三层。
有些高级一些的动态包过滤防火墙也工作到传输层,即OSI的第四层。
动态包过滤防火墙决定放行依旧拒绝一个包,要紧依旧基于对IP包头和协议包头的一些具体的信息进行检查,它们包括:
l源地址(SourceAddress)
l目的地址(DestinationAddress)
l应用协议(ApplicationorProtocol)
l源端口号(SourcePortNumber)
l目的端口号(DestinationPortNumber)
与静态包过滤技术不同,动态包过滤防火墙明白一个新的连接和一个差不多建立的连接的不同。
关于差不多建立的连接,动态包过滤防火墙将状态信息写进常驻内存的状态表,后来的包的信息与状态表中的信息进行比较,该动作是在操作系统的内核中完成的。
因此,增加了专门多的安全性。
一个典型的例子是,静态包过滤无法区分一个外部用户进入的包与一个内部用户出去后回来的包的不同,动态包过滤防火墙就明白。
动态包过滤防火墙能够限制外部用户访咨询内部,但保证内部用户能够访咨询外部,而且能够回来。
静态包过滤防火墙做不到。
有些厂商,为了克服单线程动态包过滤所带来的限制,冒险的采纳简化RFC规定的三次握手建立连接的TCP/IP机制,一次握手就建立连接,同时写入状态表。
这给黑客专门大的可乘之机,像LAND,PingofDeath,Teardrop这类的单包攻击,专门容易攻击成功。
优点:
l速度和效率高
l成本低
l明白状态
缺点:
l工作在网络层,只检查IP和TCP包头
l不明白数据包,安全性不高
l易于IP假冒和欺诈
l规则编制困难
l简化的三次握手导致另外的安全性咨询题
l只提供较低的安全爱护
电路网关
电路网关工作在会话层,即OSI的第五层。
在专门多方面,电路网关专门像是包过滤的一个扩展。
电路网关,执行包过滤的功能,增加一次握手再证实,增加建立连接的序列号的合法性检查。
电路网关在建立一个会话会电路之前,检查和证实TCP和UDP。
电路网关决定准许依旧拒绝一个包,依靠于检查包的IP头和TCP头的下列信息:
l源地址(SourceAddress)
l目标地址(DestinationAddress)
l应用协议(ApplicationorProtocol)
l源端口(SourcePortNumber)
l目标端口(DestinationPortNumber)
l握手和系列号(HandshakingandSequenceNumber)
类似于包过滤,在转发一个包之前,电路网关将IP头和TCP头的信息与用户定义的规则表进行比较,决定是否准许放行依旧拒绝。
电路网关的安全性有所提升,要紧是客户端要进行认证。
认证程序决定用户是否是可信的。
一旦认证之后,通过客户端发起TCP握手的SYN标示和ACK标示,以及有关的系列号是正确而且连贯的,该会话才是合法的。
一旦会话是合法的,开始执行包过滤规则的检查。
电路网关理论上的安全性要比包过滤高。
电路网关的效率和速度也是较高的。
优点:
l对网络的性能的阻碍适中或较低
l中断了直截了当连接
l比包过滤的安全性要高一个级不
缺点:
l有包过滤的专门多缺点
l不对数据作任何检查,承诺任何数据简单的穿透连接
l只能提供中低的安全性
应用网关
像电路网关一样,应用网关截获所有进和出的包,运行代理机制,通过网关来复制和转发信息,功能像一个代理服务器,防止任何的直截了当连接。
作为应用网关的代理与电路网关有以下不同:
l代理是与应用有关的,每一种应用需要一个具体的代理
l代理检查包的所有数据,包括包头和数据
l工作在OSI的第七层,即应用层
与电路代理不同的是,应用网关只同意具体的应用产生的包,然后进行复制,转发和过滤。
举例来讲,HTTP代理只处理HTTP流量,FTP代理只处理FTP流量。
没有应用代理的数据不能被处理,即被拒绝。
应用代理不仅要检查所有的协议,还有检查所有的内容。
因此,代理能够过滤具体的命令,能够过滤恶意代码,能够杀病毒,能够对内容进行检查和过滤。
专门明显,应用代理必须具有缓存的功能。
应用网关能够防止隐藏隧道的攻击。
应用网关工作在第七层,与具体的应用有关,应用协议规定了所有的规程,因此,较为容易设计过滤规则。
应用代理要比包过滤更容易配置和治理。
通过检查完整的包,应用网关是目前最安全的防火墙。
优点:
l通过支持SMP和多CPU,应用网关对网络性能阻碍是完全能够同意的
l禁止直截了当连接,排除隧道攻击的危害
l检查协议信息,排除了内存溢出攻击
l最高的安全性
缺点
l如果系统实现不行,性能专门差
l对程序的质量要求专门高
l应用支持有限
l对操作系统有依靠性
状态检测包过滤
状态检测组合了专门多动态包过滤、电路网关和应用网关的功能。
状态检测包过滤有一个全然的能力,即检查所有OSI七层的信息。
但要紧是工作OSI的第三层即网络层,而且要紧是采纳动态包过滤工作模式。
状态检测包过滤也能像电路网关那样工作,决定在一个会话中的包是否是正常的。
状态检测也能作为一个最小化的应用网关,对某些内容进行检查。
就像应用网关一样,一旦采纳这些功能,防火墙的性能也是直线下降。
从专门大程度上来讲,状态检测防火墙的成功,不完全是一个技术上的成功,而是一个市场概念的成功。
状态检测对专门多技术进行了简化,然后进行组合。
状态检测从技术上并没有克服技术上的局限性。
要紧表现在以下几个方面:
高安全性和性能的矛盾并没有解决。
绝大部分状态检测防火墙差不多上配置工作在动态包过滤模式,取得了专门高的性能,但安全性并不高。
一旦决定采纳较高安全性模式,性能赶忙下降。
应用网关中断网络的直截了当连接,制造两个连接,在两个连接之间,进行数据的复制,检查和转发。
不像应用网关那样,状态检测技术并不中断网络的直截了当连接。
这确实是最闻名的状态检测和应用网关之争。
那个地点面反映了防火墙的哲学之争:
能做和做了是两码事。
状态检测防火墙满足了用户对高性能和高安全性同时需求的矛盾心理,它给用户一种合理的可信内心,我能够通过配置部分实现第七层得到高安全性,但现在我实际在使用的是第三层高性能的动态包过滤。
优点:
l提供检测所有OSI七层的能力
l不改变目前的直截了当连接模式
l提供完整的动态包过滤功能
l动态包过滤提供较快的速度
缺点
l单线程的状态检测对性能有专门大的阻碍,因此用户多在工作动态包过滤模式
l直截了当连接对高安全性是不合适的
l依靠于操作系统的安全性
l工作在动态包过滤模式并没有专门高的安全性
切换代理
切换代理是动态包过滤和电路代理的一种混合型防火墙。
简单地讲,切换代理第一作为一个电路代理来执行RFC规定的三次握手和任何认证要求,然后切换代动态包过滤模式上。
因此,刚开始他工作在网络的会话层,即OSI的第五层,在认证完成并建立连接之后,转到网络层即OSI的第三层。
有时候,切换代理又称自适应防火墙。
专门明显,要用会话层的安全性和网络层的高效率。
明白了切换代理能干什么,但最重要的是要明白他没有干什么。
切换代理不是传统的电路代理,他没有中断电路的直截了当连接。
我们注意到切换代理提供了某种程度上关于安全性和效率之间的平稳。
我们相信,所有的防火墙架构在互联网安全上都有他自己的位置。
如果您的安全政策,要求访咨询认证,检查三次握手机制,并不要求中断直截了当连接,切换代理是一个专门好的选择。
然而,用户应该明白,切换代理不是电路代理,直截了当连接并没有中断。
优点:
l比传统的电路代理对网络性能的阻碍更小
l三次握手检查机制减小了IP假冒和欺诈的可能性
缺点:
l不是电路代理
l依旧存在动态包过滤的缺点
l不检查数据,提供较低的安全性
l设计规则困难
新思路:
物理隔离
在防火墙的进展过程中,人们最终意识到防火墙在安全方面的局限性。
高性能,高安全性,易用性方面的矛盾并没有专门好的解决。
防火墙体系架构在高安全性方面的缺陷,促使人们追求更高安全性的解决方案,人们期望更安全的技术手段,物理隔离技术应运而生。
物理隔离是安全市场上的一匹黑马。
在通过漫长的市场概念澄清和马拉松式技术演变进步之后,市场最终同意物理隔离具有最高安全性。
人们把高安全性的所有要求都集中在物理隔离上,中断直截了当连接,不光检查所有的协议,还把协议给剥离掉,直截了当还原成最原始的数据,对数据能够检查和扫描,防止恶意代码和病毒,甚至对数据的属性进行要求,不支持TCP/IP,不依靠操作系统,一句话,对OSI的七层进行全面检查,在异构介质上重组所有的数据(第七层之上,八层?
)。
物理隔离在技术上取得了专门大的突破。
第一在性能上,物理隔离利用SCSI能够达到320MBps的速度,利用实时交换能够达到1000Mbps的速度。
在安全性上,目前存在的安全咨询题,对物理隔离而言在理论上都不存在。
这确实是各国政府和军方都强制推行物理隔离的要紧缘故。
优点:
l中断直截了当连接
l强大的检查机制
l最高的安全性
缺点:
l对协议不透亮,对每一种协议都要一种具体的实现
物理隔离:
与互联网断开
定位
物理隔离技术,不是要替代防火墙,入侵检测,漏洞扫描和防病毒系统,相反,它是用户"深度防备"的安全策略的另外一块基石。
物理隔离技术,是绝对要解决互联网的安全咨询题,而不是什么其它的咨询题。
物理隔离要解决的咨询题
解决目前防火墙存在的全然咨询题:
l防火墙对操作系统的依靠,因为操作系统也有漏洞
lTCP/IP的协议漏洞:
不用TCP/IP
l防火墙、内网和DMZ同时直截了当连接,
l应用协议的漏洞,因为命令和指令可能是非法的
l文件带有病毒和恶意代码:
不支持MIME,只支持TXT,或杀病毒软件,或恶意代码检查软件
物理隔离的指导思想与防火墙有专门大的不同:
(1)防火墙的思路是在保证互联互通的前提下,尽可能安全,而
(2)物理隔离的思路是在保证必须安全的前提下,尽可能互联互通。
操作系统的漏洞:
操作系统是一个平台,要支持各种各样的应用,OS有下列特点:
l功能越多,漏洞越多
l应用越新,漏洞越多
l用的人越多,找出漏洞的可能性越大
l用的越广泛,漏洞曝光的几率就越大
黑客攻防火墙,一样差不多上先攻操作系统。
操纵了操作系统就操纵了防火墙。
TCP/IP的漏洞:
TCP/IP是冷战时期的产物,目标是要保证通达,保证传输的粗旷性。
通过来回确认来保证数据的完整性,不确认则要重传。
TCP/IP没有内在的操纵机制,来支持源地址的鉴不,来证实IP从哪儿来。
这确实是TCP/IP漏洞的全然缘故。
黑客利用TCP/IP的那个漏洞,能够使用侦听的方式来截获数据,能对数据进行检查,估量TCP的系列号,修改传输路由,修改鉴不过程,插入黑客的数据流。
莫里斯病毒确实是利用这一点,给互联网造成庞大的危害。
防火墙的漏洞:
防火墙要保证服务,必须开放相应的端口。
防火墙要准许HTTP服务,就必须开放80端口,要提供MAIL服务,就必须开放25端口等。
对开放的端口进行攻击,防火墙不能防止。
利用DOS或DDOS,对开放的端口进行攻击,防火墙无法禁止。
利用开放服务流入的数据来攻击,防火墙无法防止。
利用开放服务的数据隐藏隧道进行攻击,防火墙无法防止。
攻击开放服务的软件缺陷,防火墙无法防止。
防火墙不能防止对自己的攻击,只能强制对抗。
防火墙本身是一种被动防卫机制,不是主动安全机制。
防火墙不能干涉还没有到达防火墙的包,如果那个包是攻击防火墙的,只有差不多发生了攻击,防火墙才能够对抗,全然不能防止。
目前还没有一种技术能够解决所有的安全咨询题,然而防备的深度愈深,网络愈安全。
物理安全是目前唯独能解决上述咨询题的安全设备。
物理隔离的技术路线
目前物理隔离的技术
升级会员 