網路隔離技術
網路隔離技術
網路隔離技術是指兩個或兩個以上的計算機或網路在斷開連接的基礎上,實現信息交換和資源共享。
面對新型網路攻擊手段的出現和高安全度網路對安全的特殊需求,全新安全防護防範理念的網路安全技術――“網路隔離技術”應運而生。網路隔離技術的目標是確保隔離有害的攻擊,在可信網路之外和保證可信網路內部信息不外泄的前提下,完成網間數據的安全交換。網路隔離技術是在原有安全技術的基礎上發展起來的,它彌補了原有安全技術的不足,突出了自己的優勢。
所謂網路隔離技術是指兩個或兩個以上的計算機或網路在斷開連接的基礎上,實現信息交換和資源共享,也就是說,通過網路隔離技術既可以使兩個網路實現物理上的隔離,又能在安全的網路環境下進行數據交換。網路隔離技術的主要目標是將有害的網路安全威脅隔離開,以保障數據信息在可信網路內在進行安全交互。目前,一般的網路隔離技術都是以訪問控制思想為策略,物理隔離為基礎,並定義相關約束和規則來保障網路的安全強度。
網路隔離,英文名為Network Isolation,主要是指把兩個或兩個以上可路由的網路(如:TCP/IP)通過不可路由的協議(如:IPX/SPX、NetBEUI等)進行數據交換而達到隔離目的。由於其原理主要是採用了不同的協議所以通常也叫協議隔離(ProtocolIsolation).1997年,信息安全專家Mark Joseph Edwards在他編寫的一書中,就對協議隔離進行了歸類。在書中他明確地指出了協議隔離和防火牆不屬於同類產品。隔離概念是在為了保護高安全度網路環境的情況下產生的;隔離產品的大量出現,也是經歷了五代隔離技術不斷的實踐和理論相結合后得來的。
第一代隔離技術——完全的隔離。此方法使得網路處於信息孤島狀態,做到了完全的物理隔離,需要至少兩套網路和系統,更重要的是信息交流的不便和成本的提高,這樣給維護和使用帶來了極大的不便。
第二代隔離技術——硬體卡隔離。在客戶端增加一塊硬體卡,客戶端硬碟或其他存儲設備首先連接到該卡,然後再轉接到主板上,通過該卡能控制客戶端硬碟或其他存儲設備。而在選擇不同的硬碟時,同時選擇了該卡上不同的網路介面,連接到不同的網路。但是,這種隔離產品有的仍然需要網路布線為雙網線結構,產品存在著較大的安全隱患。
第三代隔離技術—數據轉播隔離。利用轉播系統分時複製文件的途徑來實現隔離,切換時間非常之久,甚至需要手工完成,不僅明顯地減緩了訪問速度,更不支持常見的網路應用,失去了網路存在的意義。
第五代隔離技術—安全通道隔離。此技術通過專用通信硬體和專有安全協議等安全機制,來實現內外部網路的隔離和數據交換,不僅解決了以前隔離技術存在的問題,並有效地把內外部網路隔離開來,而且高效地實現了內外網數據的安全交換,透明支持多種網路應用,成為當前隔離技術的發展方向。
網路隔離技術的核心是物理隔離,並通過專用硬體和安全協議來確保兩個鏈路層斷開的網路能夠實現數據信息在可信網路環境中進行交互、共享。一般情況下,網路隔離技術主要包括內網處理單元、外網處理單元和專用隔離交換單元三部分內容,其中,內網處理單元和外網處理單元都具備一個獨立的網路介面和網路地址來分別對應連接內網和外網,而專用隔離交換單元則是通過硬體電路控制高速切換連接內網或外網。網路隔離技術的基本原理通過專用物理硬體和安全協議在內網和外網的之間架構起安全隔離網牆,使兩個系統在空間上物理隔離,同時又能過濾數據交換過程中的病毒、惡意代碼等信息,以保證數據信息在可信的網路環境中進行交換、共享,同時還要通過嚴格的身份認證機制來確保用戶獲取所需數據信息。
網路隔離技術的關鍵點是如何有效控制網路通信中的數據信息,即通過專用硬體和安全協議來完成內外網間的數據交換,以及利用訪問控制、身份認證、加密簽名等安全機制來實現交換數據的機密性、完整性、可用性、可控性,所以如何盡量提高不同網路間數據交換速度,以及能夠透明支持交互數據的安全性將是未來網路隔離技術發展的趨勢。
要具有高度的自身安全性隔離產品要保證自身具有高度的安全性,至少在理論和實踐上要比防火牆高一個安全級別。從技術實現上,除了和防火牆一樣對操作系統進行加固優化或採用安全操作系統外,關鍵在於要把外網介面和內網介面從一套操作系統中分離出來。也就是說至少要由兩套主機系統組成,一套控制外網介面,另一套控制內網介面,然後在兩套主機系統之間通過不可路由的協議進行數據交換,如此,既便黑客攻破了外網系統,仍然無法控制內網系統,就達到了更高的安全級別。
要確保網路之間是隔離的保證網間隔離的關鍵是網路包不可路由到對方網路,無論中間採用了什麼轉換方法,只要最終使得一方的網路包能夠進入到對方的網路中,都無法稱之為隔離,即達不到隔離的效果。顯然,只是對網間的包進行轉發,並且允許建立端到端連接的防火牆,是沒有任何隔離效果的。此外,那些只是把網路包轉換為文本,交換到對方網路后,再把文本轉換為網路包的產品也是沒有做到隔離的。
要保證網間交換的只是應用數據既然要達到網路隔離,就必須做到徹底防範基於網路協議的攻擊,即不能夠讓網路層的攻擊包到達要保護的網路中,所以就必須進行協議分析,完成應用層數據的提取,然後進行數據交換,這樣就把諸如TearDrop、Land、Smurf和SYN Flood等網路攻擊包,徹底地阻擋在了可信網路之外,從而明顯地增強了可信網路的安全性。
要對網間的訪問進行嚴格的控制和檢查作為一套適用於高安全度網路的安全設備,要確保每次數據交換都是可信的和可控制的,嚴格防止非法通道的出現,以確保信息數據的安全和訪問的可審計性。所以必須施加以一定的技術,保證每一次數據交換過程都是可信的,並且內容是可控制的,可採用基於會話的認證技術和內容分析與控制引擎等技術來實現。
要在堅持隔離的前提下保證網路暢通和應用透明隔離產品會部署在多種多樣的複雜網路環境中,並且往往是數據交換的關鍵點,因此,產品要具有很高的處理性能,不能夠成為網路交換的瓶頸,要有很好的穩定性;不能夠出現時斷時續的情況,要有很強的適應性,能夠透明接入網路,並且透明支持多種應用。
網路隔離的關鍵是在於系統對通信數據的控制,即通過不可路由的協議來完成網間的數據交換。由於通信硬體設備工作在網路七層的最下層,並不能感知到交換數據的機密性、完整性、可用性、可控性、抗抵賴等安全要素,所以這要通過訪問控制、身份認證、加密簽名等安全機制來實現,而這些機制的實現都是通過軟體來實現的。
因此,隔離的關鍵點就成了要盡量提高網間數據交換的速度,並且對應用能夠透明支持,以適應複雜和高帶寬需求的網間數據交換。而由於設計原理問題使得第三代和第四代隔離產品在這方面很難突破,既便有所改進也必須付出巨大的成本,和“適度安全”理念相悖。
下是已有隔離技術主要由如下幾種類型:
(1)雙機雙網。雙機雙網隔離技術方案是指通過配置兩台計算機來分別聯接內網和外網環境,再利用移動存儲設備來完成數據交互操作,然而這種技術方案會給後期系統維護帶來諸多不便,同時還存在成本上升、佔用資源等缺點,而且通常效率也無法達到用戶的要求。
(2)雙硬碟隔離。雙硬碟隔離技術方案的基本思想是通過在原有客戶機上添加一塊硬碟和隔離卡來實現內網和外網的物理隔離,並通過選擇啟動內網硬碟或外網硬碟來連接內網或外網網路。由於這種隔離技術方案需要多添加一塊硬碟,所以對那些配置要求高的網路而言,就造成了成本浪費,同時頻繁的關閉、啟動硬碟容易造成硬碟的損壞。
(3)單硬碟隔離。單硬碟隔離技術方案的實現原理是從物理層上將客戶端的單個硬碟分割為公共和安全分區,並分別安裝兩套系統來實現內網和外網的隔離,這樣就可具有較好的可擴展性,但是也存在數據是否安全界定困難、不能同時訪問內外兩個網路等缺陷。
(4)集線器級隔離。集線器級隔離技術方案的一個主要特徵在客戶端只需使用一條網路線就可以部署內網和外網,然後通過遠端切換器來選擇連接內外雙網,避免了客戶端要用兩條網路線來連接內外網路。
(5)伺服器端隔離。伺服器端隔離技術方案的關鍵內容是在物理上沒有數據連通的內外網路下,如何快速分時地處理和傳遞數據信息,該方案主要是通過採用複雜的軟硬體技術手段來在伺服器端實現數據信息過濾和傳輸任務,以達到隔離內外網的目的。
第五代隔離技術的出現,是在對市場上網路隔離產品和高安全度網需求的詳細分析情況下產生的,它不僅很好地解決了第三代和第四代很難解決的速度瓶頸問題,並且先進的安全理念和設計思路,明顯地提升了產品的安全功能,是一種創新的隔離防護手段。
第五代
網路隔離技術有很多種,包括:
物理網路隔離:在兩個DMZ之間配置一個網路,讓其中的通信只能經由一個安全裝置實現。在這個安全裝置裡面,防火牆及IDS/IPS規則會監控信息包來確認是否接收或拒絕它進入內網。這種技術是最安全但也最昂貴的,因為它需要許多物理設備來將網路分隔成多個區塊。
邏輯網路隔離:這個技術藉由虛擬/邏輯設備,而不是物理的設備來隔離不同網段的通信。
虛擬區域網(VLAN):VLAN工作在第二層,與一個廣播區域中擁有相同VLAN標籤的介面交互,而一個交換機上的所有介面都默認在同一個廣播區域。支持VLAN的交換機可以藉由使用VLAN標籤的方式將預定義的埠保留在各自的廣播區域中,從而建立多重的邏輯分隔網路。
多協議標籤交換(MPLS):MPLS工作在第三層,使用標籤而不是保存在路由表裡的網路地址來轉發數據包。標籤是用來辨認數據包將被轉發到的某個遠程節點。
虛擬交換機:虛擬交換機可以用來將一個網路與另一個網路分隔開來。它類似於物理交換機,都是用來轉發數據包,但是用軟體來實現,所以不需要額外的硬體。
基本信息
- 中文名
- 網路隔離技術
- 彌補
- 原有安全技術的不足
- 屬於
- 網路隔離技術的內容與發展
- 面對
- 新型網路攻擊手段的出現