安全网闸技术.docx

1、安全网闸技术安全网闸技术 随着计算机网络的不断普及和发展，已经应用了十年左右的时间的传统的网络防御技术如防火墙、ids 等技术，其安全效能正在下降，最新的病毒、黑客攻击已经使传统防御技术防不胜防，因为这些病毒和攻击技术正是针对防火墙、ids的弱点进行攻击和传播的。信息化建设迫切需要引入新的、更强有力的防御技术为其发展作保障。攻击技术的不断进化，催生了防御技术的革命，网闸因此而诞生。 网闸又叫安全隔离与信息交换系统。美国、以色列等国家规定高密级网络要采用物理隔离，从1999年开始，使用物理隔离卡。物理隔离卡保证了网络间的物理隔离，但是却无法实现信息交换。 随着网络应用及我国信息化建设和电子政务的

2、发展，网络间在物理隔离基础上进行适度、可控和安全的数据交换的需求在我国逐渐显露。安全隔离网闸技术应运而生。 网闸技术在物理隔离技术基础上，实现了网络间物理层和网络协议断开的同时进行数据交换。是新一代高安全度的企业级信息安全防护设备，它依托安全隔离技术为信息网络提供了更高层次的安全防护能力，不仅使得信息网络的抗攻击能力大大增强，而且有效地防范了信息外泄事件的发生。locALhoSt 一、网闸技术发展史 20XX年1月，为满足国内信息化建设及电子政务的需求，国内专业从事网络与信息安全研究开发、技术支持、产品销售和安全服务的北京天行网安信息技术有限责任公司率先提出从物理隔离技术发展出gap概念，并且

3、与公安部信息通信局联合研制完成国内第一款gap产品天行安全隔离与信息交换系统，与此同时获得了国内网闸行业第一个销售许可证，标志着完全由我国自主研发的国内第一台网闸诞生。当时网闸的性能比较低，支持的应用非常有限。网闸在国内的第一个用户是外经贸部（现商务部），时间是20XX年11月。 20XX年-20XX年，国内由天行网安公司生产的第一批网闸产品“天行安全隔离网闸”开始被小规模应用到公安、税务、政府机关，如北京市电子政务第一期建设。当时的产品相比较最初的原型设备，性能上有了大的跨越吞吐量达到80mbps，应用及适应性得到提升，具备了在实际应用场合更多的使用价值。同时，该产品在业界首次扩展了新的应用

4、功能支持，从最初的静态网页浏览功能发展到邮件和文件同步、数据库同步功能，产品更加符合市场需求。但当时国内绝大多数用户对网闸技术不了解，也无法接受其安全隔离的技术理念，网闸尚处于市场萌芽期。 20XX年，随着网闸市场的逐步发展及需求的增大，国内众多安全厂商如中网、伟思等开始纷纷加入网闸生产商行列，共同推进了网闸市场的发展，网闸开始进入市场的平稳发展期。 20XX年，千兆网闸产品出现，功能更趋完善、更强大，各项性能上均有所突破，国内各行业开始大范围使用。 二、网闸与网闸技术 网闸是在两个不同安全域之间，通过协议转换的手段，以信息摆渡的方式实现数据交换，且只有被系统明确要求传输的信息才可以通过。其信

5、息流一般为通用应用服务。注：网闸的“闸”字取自于船闸的意思，在信息摆渡的过程中内外网（上下游）从未发生物理连接，所以网闸产品必须要有至少两套主机和一个物理隔离部件才可完成物理隔离任务。现在市场上出现的的单主机网闸或单主机中有两个及多个处理引擎的过滤产品不是闸产品，不符合物理隔离标准。其只是一个包过滤的安全产品，类似防火墙。注：单主机网闸多以单向网闸来掩人耳目。 网闸的基本原理是络之间的通用协议连接；将数据包进行分解或重组为静态数据；对静态数据进行安全审查，包括网络协议检查和代码扫描等；确认后的安全数据流入内部单元；内部用户通过严格的身份认证机制获取所需数据。 安全隔离网闸是一种由带有多种控制功

6、能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。 安全隔离网闸是由软件和硬件组成。 其硬件设备由三部分组成:外部处理单元、内部处理单元、隔离硬件。 当用户的网络需要保证高强度的安全，同时又与其它不信任网络进行信息交换的情况下，如果采用物理隔离卡，信息交换的需求将无法满足；如果采用防火墙，则无法防止内部信息泄漏和外部病毒、黑客程序的渗入，安全性无法保证。在这种情况下，安全隔离网闸能够同时满足这两个要求，又避免了物理隔离卡和防火墙的不足之处，是最好的选择。 对网络地隔离是通过网闸隔离硬件实现两个网络在链路层断开，但是为了交换数据，通过设计的隔离硬

7、件在两个网络对应的上进行切换，通过对硬件上的存储芯片的读写，完成数据的交换。 安装了相应的应用模块之后，安全隔离网闸可以在保证安全的前提下，使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据，并可以在网络之间交换定制的文件。但安全隔离网闸从不直接或者间接地转发ip包形式的数据。安全隔离网闸的安全性体现在链路层断开，直接处理应用层数据，对应用层数据进行内容检查和控制，在网络之间交换的数据都是应用层的数据。如果直接转发ip的话，由于单个ip包中一般不包含完整的应用数据，所以无法进行全面的内容检查和控制，也就无法保证应用层的安全。因此，如果直接转发ip包，则背离了安全隔离网闸的安全性

8、要求，不能称为安全隔离网闸。 护的主要是络，一旦支持交互式访问如支持建立会话，那么无法防止信息的泄漏以及内部系统遭受攻击，因此，安全隔离网闸不支持交互式访问。安全隔离网闸的主要性能指标 性能指标包括：系统数据交换速率：120mbps 硬件切换时间：5ms 安全隔离网闸通常具备的安全功能模块：安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证 。 三、安全隔离网闸与路由器、交换机在网络之间交换信息的差异 安全隔离网闸在网路间进行的安全适度的信息交换是在网络之间不存在链路层连接的情况下进行的。安全隔离网闸直接处理网络间的应用层数据，利用存储转发的方法进行应用数据的交换，在交换的同

9、时，对应用数据进行的各种安全检查。路由器、交换机则保持链路层畅通，在链路层之上进行ip包等网络层数据的直接转发，没有考虑网络安全和数据安全的问题。 它由三个组件构成：a网处理机、b网处理机和gap开关设备。我们可以很清楚地看到连接两个网络的gap设备不能同时连接到相互独立的a网和b网中，即gap在某一时刻只与其中某个网络相连。gap设备连接a网时，它是与b网断开的，a网处理机把数据放入gap中；gap在接收完数据后自动切换到b网，同时，gap与a网断开；b网处理机从gap中取出数据，并根据合法数据的规则进行严格的检查，判断这些数据是否合法，若为非法数据，则删除它们。同理，b网也以同样的方式通过

10、gap将数据安全地交换到a网中。从a网处理机往gap放入数据开始，到b网处理机从gap中取出数据并检查结束，就完成了一次数据交换。gap就这样在a网处理机与b网处理机之间来回往复地进行实时数据交换。在通过gap交换数据的同时，a网和b网依然是隔离的。 安全网闸是如何来保证在两个网络之间的安全性呢？首先，这两个网络一直是隔离的，在两个网络之间只能通过gap来交换数据，当两个网络的处理机或gap三者中的任何一个设备出现问题时，都无法通过gap进入另一个网络，因为它们之间没有物理连接；第二，gap只交换数据，不直接传输tcp/ip，这样避免了tcp/ip的漏洞；第三，任何一方接收到数据，都要对数据进

11、行严格的内容检测和病毒扫描，严格控制非法数据的交流。gap的安全性高低关键在于其对数据内容检测的强弱。若不做任何检测，虽然是隔离的两个网络，也能传输非法数据、病毒、木马，甚至利用应用协议漏洞通过gap设备从一个网络直接进入另一个网络。那么gap的作用将大打折扣。 尽管作为物理安全设备，安全网闸提供的高安全性是显而易见的，但是由于其工作原理上的特性, 不可避免地决定了安全网闸存在一些缺陷： a.只支持静态数据交换，不支持交互式访问 这是安全网闸最明显得一个缺陷。类似于拷盘在两台主机间交换数据，安全网闸的数据是以存储转发模式工作的，在数据链路层其网段的两边始终是中断的，在其三个组件的任何一个节点上

12、交换的都必须是完整的应用层数据。因此，它不支持诸如动态web页面技术中的activex、java甚至是客户端的cookie技术，目前安全网闸一般只支持静态web页，邮件文件等静态数据的交换。 b.适用范围窄，必须根据具体应用开发专用的交换模块 由于数据链路层被忽略，安全网闸无法实现一个完整的iso/osi七层连接过程，所以安全网闸对所有交换的数据必须根据其特性开发专用的交换模块，而不是采用is0/osi七层模型提供的传统的层次封装的开放式编程接口。所以客户所能实现的数据交换类型均取决于产品提供商到底能提供多少种应用模块，甚至于要根据客户的要求临时开发各种应用模块，灵活性差，适用范围十分狭窄；

13、c.系统配置复杂，安全性很大程度上取决于网管员的技术水平 安全网闸采用由其主动发起数据请求的方式进行工作，它不会接受和响应其它主机主动发起的数据请求，也不对外提供任何服务。对于取到的数据还要进行一些病毒、木马过滤和安全性检查等一系列功能，这都需要网管员根据网络应用的具体情况加以判断和设置。如果设置不当，比如对内部人员向外部提交的数据不进行过滤而导致信息外泄等，都可能造成安全网闸的安全功能大打折扣。 d.结构复杂，实施费用较高 安全网闸的三个组件都必须为大容量存储设备，特别在支持多种应用的情况下，存储转发决定了必须采用较大的存储器来存储和缓存大量的交换数据。另外，安全网闸由于处在两个网段的结合部

14、，具有网关的地位，一旦当机就会使两边数据无法交换，所以往往需要配置多台网闸设备作为冗余，使购置和实施费用不可避免地上升了； e.技术不成熟，没有形成体系化 安全网闸技术是一项新兴的网络安全技术，尚无专门的国际性研究组织对其进行系统的研究和从事相关体系化标准的制定工作。对其工作原理的界定也很模糊，在国外，一些应用的比较多的安全网闸产品，比如国外的e-gap（whale公司）和air gap ag系列（spearhead公司），本质上它们是一种内容过滤型防火墙，由于支持交互式会话，严格意义上已经不属于物理隔离产品。国内的安全网闸成熟产品少，由于诸多原因，也并未得到充分推广； f.可能造成其他安全产

15、品不能正常工作，并带来瓶颈问题 安全性和易用性始终是一对矛盾，在已有的防火墙，vpn，aaa认证设备等安全设施的多重构架环境中，安全网闸产品的加入，使网络日趋复杂化，正常的访问连接越来越多的被各种不可见和不易见因素所干扰和影响，已经配置好的各种网络产品和安全产品，可能由于安全网闸的配置不当而受到影响。由于多重过滤的安全设施结构，安全网闸的加入使瓶颈问题更加突出。因为电子开关切换速率的固有特性和安 全过滤内容功能的复杂化，目前安全网闸的交换速率已接近该技术的理论速率极限，可以预见在不久的将来，随着高速网络技术的发展，安全网闸在交换速率上的问题将会成为阻碍网络数据交换的重要因素。 四、物理隔离网闸

16、与防火墙的对比 在设计理念方面，防火墙是以应用为主的安全为辅的，也就是说在支持尽可能多的应用的前提下，来保证使用的安全。防火墙的这一设计理念使得它可以广泛地用于尽可能多的领域，拥有更加广泛的市场。而网闸则是以安全为主，在保证安全的前提下，支持尽可能多地应用。网闸主要用于安全性要求极高的领域，例如对政府网络，工业控制系统的保护等等。显然，由于把安全性放在首位，这样就会有更加严格的安全规则和更多地限制，因此可以应用的范围也较防火墙少一些，主要用那些对安全性要求较高的环境下。相反防火墙可以应用于非常广泛的应用领域，甚至包括个人电脑都可以使用，但是它的安全性往往就差强人意。人们常常发现被防火墙防护的网络依然常常被黑客和病毒攻击。现在有很多网络攻击都是发生在有防火墙的情况下，根据美国财经杂志统计资料表明，30%的入侵发生在有防火墙的情况下。由于这种设计理念的区别，因此可以有软件防火墙，但是闸。 设计理念的不同也导致系统的整体设计也完全不同。硬件防火墙虽然可以有多种设计方式，但是一般来说，它都是单一的计算机系统由一个操作系统来控制构的，用户的内网和外网都连接在这同一个系统上。然而安