網閘

連接兩個獨立主機系統的信息安全設備

徠網閘是使用帶有多種控制功能的固態開關讀寫介質,連接兩個獨立主機系統的信息安全設備。由於兩個獨立的主機系統通過網閘進行隔離,使系統間不存在通信的物理連接、邏輯連接及信息傳輸協議,不存在依據協議進行的信息交換,而只有以數據文件形式進行的無協議擺渡。因此,網閘從邏輯上隔離、阻斷了對內網具有潛在攻擊可能的一切網路連接,使外部攻擊者無法直接入侵、攻擊或破壞內網,保障了內部主機的安全。

概念


網閘是使用帶有多種控制功能的固態開關讀寫介質連接兩個獨立主機系統的信息安全設備。由於物理隔離網閘所連接的兩個獨立主機系統之間,不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協議,不存在依據協議的信息包轉發,只有數據文件的無協議"擺渡",且對固態存儲介質只有"讀"和"寫"兩個命令。所以,物理隔離網閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接,使"黑客"無法入侵、無法攻擊、無法破壞,實現了真正的安全。
安全隔離與信息交換系統,即網閘,是新一代高安全度的企業級信息安全防護設備,它依託安全隔離技術為信息網路提供了更高層次的安全防護能力,不僅使得信息網路的抗攻擊能力大大增強,而且有效地防範了信息外泄事件的發生。
第一代網閘的技術原理是利用單刀雙擲開關使得內外網的處理單元分時存取共享存儲設備來完成數據交換的,實現了在空氣縫隙隔離(Air Gap)情況下的數據交換,安全原理是通過應用層數據提取與安全審查達到杜絕基於協議層的攻擊和增強應用層安全的效果。
第二代網閘正是在吸取了第一代網閘優點的基礎上,創造性地利用全新理念的專用交換通道PET(Private Exchange Tunnel)技術,在不降低安全性的前提下能夠完成內外網之間高速的數據交換,有效地克服了第一代網閘的弊端,第二代網閘的安全數據交換過程是通過專用硬體通信卡、私有通信協議和加密簽名機制來實現的,雖然仍是通過應用層數據提取與安全審查達到杜絕基於協議層的攻擊和增強應用層安全效果的,但卻提供了比第一代網閘更多的網路應用支持,並且由於其採用的是專用高速硬體通信卡,使得處理能力大大提高,達到第一代網閘的幾十倍之多,而私有通信協議和加密簽名機制保證了內外處理單元之間數據交換的機密性、完整性和可信性,從而在保證安全性的同時,提供更好的處理性能,能夠適應複雜網路對隔離應用的需求。

組成


安全隔離網閘是由軟體和硬體組成。隔離網閘分為兩種架構,一種為雙主機的2+1結構,另一種為三主機的三系統結構。2+1的安全隔離網閘的硬體設備由三部分組成:外部處理單元、內部處理單元、隔離安全數據交換單元。安全數據交換單元不同時與內外網處理單元連接,為2+1的主機架構。隔離網閘採用SU-Gap安全隔離技術,創建一個內、外網物理斷開的環境。三系統的安全隔離網閘的硬體也由三部分組成:外部處理單元(外端機)、內部處理單元(內端機)、仲裁處理單元(仲裁機),各單元之間採用了隔離安全數據交換單元。

意義


為什麼要使用安全隔離網閘呢?其意義是:
(一)當用戶的網路需要保證高強度的安全,同時又與其它不信任網路進行信息交換的情況下,如果採用物理隔離卡,用戶必須使用開關在內外網之間來回切換,不僅管理起來非常麻煩,使用起來也非常不方便,如果採用防火牆,由於防火牆自身的安全很難保證,所以防火牆也無法防止內部信息泄漏和外部病毒、黑客程序的滲入,安全性無法保證。在這種情況下,安全隔離網閘能夠同時滿足這兩個要求,彌補了物理隔離卡和防火牆的不足之處,是最好的選擇。
(二)對網路地隔離是通過網閘隔離硬體實現兩個網路在鏈路層斷開,但是為了交換數據,通過設計的隔離硬體在兩個網路對應的上進行切換,通過對硬體上的存儲晶元的讀寫,完成數據的交換。
(三)安裝了相應的應用模塊之後,安全隔離網閘可以在保證安全的前提下,使用戶可以瀏覽網頁、收發電子郵件、在不同網路上的資料庫之間交換數據,並可以在網路之間交換定製的文件。

性能指標

安全隔離網閘的主要性能指標有那些呢?其性能指標包括:
系統數據交換速率:120Mbps
硬體切換時間:5ms

主要功能

1.有哪些功能模塊:安全隔離閘門的功能模塊有:
安全隔離、內核防護、協議轉換、病毒查殺、訪問控制、安全審計、身份認證
2.防止未知和已知木馬攻擊:
為什麼說安全隔離網閘能夠防止未知和已知木馬攻擊?
通常見到的木馬大部分是基於TCP的,木馬的客戶端和伺服器端需要建立連接,而安全隔離網閘由於使用了自定義的私有協議(不同於通用協議)。使得支持傳統網路結構的所有協議均失效,從原理實現上就切斷所有的TCP連接,包括UDP、ICMP等其他各種協議,使各種木馬無法通過安全隔離網閘進行通訊。從而可以防止未知和已知的木馬攻擊。
3.具有防病毒措施:
安全隔離網閘具有防病毒措施嗎?
作為提供數據交換的隔離設備,安全隔離網閘上內嵌病毒查殺的功能模塊,可以對交換的數據進行病毒檢查。

區別


物理隔離卡

安全隔離網閘與物理隔離卡最主要的區別是,安全隔離網閘能夠實現兩個網路間的自動的安全適度的信息交換,而物理隔離卡只能提供一台計算機在兩個網之間切換,並且需要手動操作,大部分的隔離卡還要求系統重新啟動以便切換硬碟。

網路交換信息

安全隔離網閘在網路間進行的安全適度的信息交換是在網路之間不存在鏈路層連接的情況下進行的。安全隔離網閘直接處理網路間的應用層數據,利用存儲轉發的方法進行應用數據的交換,在交換的同時,對應用數據進行的各種安全檢查。路由器、交換機則保持鏈路層暢通,在鏈路層之上進行IP包等網路層數據的直接轉發,沒有考慮網路安全和數據安全的問題。

與防火牆的區別

防火牆一般在進行IP包轉發的同時,通過對IP包的處理,實現對TCP會話的控制,但是對應用數據的內容不進行檢查。這種工作方式無法防止泄密,也無法防止病毒和黑客程序的攻擊。
能取代防火牆嗎?
無論從功能還是實現原理上講,安全隔離網閘和防火牆是完全不同的兩個產品,防火牆是保證網路層安全的邊界安全工具(如通常的非軍事化區),而安全隔離網閘重點是保護內部網路的安全。因此兩種產品由於定位的不同,因此不能相互取代。
單系統的設備安全?
單系統的設備如(信息流轉器)不是安全隔離網閘設備。類似的單系統一旦系統遭受到攻擊,攻擊者完全有可能在單系統的兩張網卡之間建立起路由,從而內部網路會完全暴露。
隔離需要專用硬體?
需要,隔離硬體一般都由GAP廠商提供,其中對高速切換裝置的切換頻率要求非常高。
用1394連接網閘
使用專用隔離硬體的安全隔離網閘的安全隔離是在硬體上實現的,在隔離硬體上固化了模擬開關,無法通過軟體編程方式進行改變而通過1394或者串口連接兩台或多台系統,其上的隔離切換實質上是通過軟體來實現的,其安全性和用標準乙太網卡相連的兩台PC無異。由此可知1394或者串口實現的“軟隔離”在安全性上和安全隔離網閘不具可比性,相差甚遠。

其它問題


(一)安全隔離網閘通常布置在什麼位置?
安全隔離網閘通常布置在兩個安全級別不同的兩個網路之間,如信任網路和非信任網路,管理員可以從信任網路一方對安全隔離網閘進行管理。
(二)安全隔離網閘的部署是否需要對網路架構作調整?
採用透明方式的網閘只需要在兩個網路各提供一個有效的IP地址即可。採用路由模式的網閘要求一定的改動。有的網閘支持兩種連接方式。有的只支持一種。只支持路由模式的網閘就會要求對網路結構有改動。
(三)安全隔離網閘是否可以在網路內部使用?
可以,網路內部安全級別不同的兩個網路之間也可以安裝安全隔離網閘進行隔離。
(四)安全隔離網閘支持互動式訪問嗎?
鑒於安全隔離網閘保護的主要是內部網路,一旦支持互動式訪問如支持建立會話,那麼無法防止信息的泄漏以及內部系統遭受攻擊,因此,安全隔離網閘不支持互動式訪問.
(五)支持反向代理的安全隔離網閘安全嗎?
支持反向代理意味著可以從非信任網路間接授權訪問信任網路上的資源,一旦代理軟體在安全檢查或者軟體實現上出現問題,那麼很有可能會被黑客利用並非法存取內部資源。因此從安全性上講,支持反向代理的安全隔離網閘不安全。
(六)如果對應網路七層協議,安全隔離網閘是在哪一層斷開?
如果針對網路七層協議,安全隔離網閘是在硬體鏈路層上斷開。
(七)安全隔離網閘支持百兆網路嗎?千兆網路如何支持?
安全隔離網閘支持百兆網路,目前國內最快的可以達到120MBps。對於千兆網路,可以採用多台安全隔離網閘進行負載均衡。
(八)安全隔離網閘自身的安全性如何?
安全隔離網閘雙處理單元上都採用了安全加固的操作系統,包括強制訪問控制、基於內核的入侵檢測等安全功能,並且該系統得到國家權威部門的認證。
(九)安全隔離網閘有身份認證機制嗎?
有。安全隔離網閘在用於郵件轉發和網頁瀏覽的時候,對用戶進行用戶名/口令、證書認證等多種形式的身份認證。
(十)有了防火牆和IDS,還需要安全隔離網閘嗎?
防火牆是網路層邊界檢查工具,可以設置規則對內部網路進行安全防護,而IDS一般是對已知攻擊行為進行檢測,這兩種產品的結合可以很好的保護用戶的網路,但是從安全原理上來講,無法對內部網路做更深入的安全防護。安全隔離網閘重點是保護內部網路,如果用戶對內部網路的安全非常在意,那麼防火牆和IDS再加上安全隔離網閘將會形成一個很好的防禦體系。
(十一)受安全隔離網閘保護的內部網路需要不斷升級嗎?
安全隔離網閘首先在鏈路層斷開,徹底切斷網路連接,並僅允許僅有的四種指定靜態數據進行交換,對外不接受請求,並且在內部用戶訪問外部網路時採用靜態頁面返回(過濾ActiveX、Java、cookie等),並且木馬無法通過安全隔離網閘進行通訊,因此內部網路針對外部的攻擊根本無需升級。
(十二)為什麼受防火牆保護的內部網路需要不斷升級?
防火牆是在網路層對數據包作安全檢查,並不切斷網路連接,很多案例證明無論包過濾還是代理防火牆都很難防止木馬病毒的入侵內部網路,Nimda繞過很多防火牆的檢查並在全世界肆虐就是一個很好的例證,因此需要用戶的內部網路不斷升級自己的客戶端如瀏覽器。
(十三)安全隔離網閘能否防止內部無意信息泄漏?
由於安全隔離網閘在數據交換時採用了證書機制,對所有的信息進行證書驗證,因此對於那些病毒亂髮郵件所造成的無意信息泄漏起到很好的防範作用。
(十四)使用安全隔離網閘時需要安裝客戶端嗎?
有的網閘管理員使用通用的瀏覽器即可對其進行管理配置,使用安全隔離網閘時不需安裝其他客戶端。但是這種方式具有極大的安全風險,因為遠程連接會引入安全威脅,而這種對於控制口的攻擊更為嚴重。所以安全性要求高的網閘,不允許通過遠程進行配置,只允許通過專有的配置程序,也就是客戶端通過串口進行配置。一些重要部門均不允許對網閘具有遠程配置的功能。
(十五)安全隔離網閘接受外來請求嗎?
不接受,安全隔離網閘上的數據交換全部由管理員來進行配置,其所有的請求都由安全隔離網閘主動發起,不接受外來請求,不提供任何系統服務。如果接受遠程配置,就會接受外來的請求,造成嚴重的安全問題。
(十六)安全隔離網閘是否支持所連接的兩個網路的網段地址相同?
支持。
(十七)安全隔離網閘的主機系統是否經過安全加固?
由於從網路架構上來講,安全隔離網閘是處在網關的位置,因此其自身安全性非常重要,兩個處理單元加固包括硬體加固、操作系統加固以及協議的加固。詳情見擴展閱讀3.
(十八)安全隔離網閘採用什麼樣的介面?有幾個介面?
安全隔離網閘通常提供2個標準乙太網百兆介面。
(十九)安全隔離網閘如何管理,支持遠程管理嗎?
安全性高的安全隔離網閘不支持遠程管理。
(二十)安全隔離網閘適用於大規模的部署嗎?
安全隔離網閘的安全部署不需對現有網路作調整,同時支持多台冗餘
(二十一)安全隔離網閘適用於什麼樣的場合?
如果用戶的網路上存儲著重要的數據、運行著重要的應用,通過防火牆等措施不能提供足夠高的安全性保護的情況下,可以考慮使用安全隔離網閘。
(二十二)安全隔離網閘直接轉發IP包嗎?
否。安全隔離網閘從不直接或者間接地轉發IP包形式的數據。安全隔離網閘的安全性體現在鏈路層斷開,直接處理應用層數據,對應用層數據進行內容檢查和控制,在網路之間交換的數據都是應用層的數據。如果直接轉發IP的話,由於單個IP包中一般不包含完整的應用數據,所以無法進行全面的內容檢查和控制,也就無法保證應用層的安全。因此,如果直接轉發IP包,則背離了安全隔離網閘的安全性要求,不能稱為安全隔離網閘。

網閘技術


由兩套各自獨立的系統分別連接安全和非安全的網路,兩套系統之間通過網閘進行信息擺渡,保證兩套系統之間沒有直接的物理通路。在通信過程中,當存儲介質與安全的網路連通時,斷開與非安全網路連接;當與非安全網路連通時,斷開與安全網路的連接;通過分時地使用兩套系統中的數據通路進行數據交換,以達到隔離與交換的目的。此外,在數據交換過程中,需同時進行防病毒、防惡意代碼等信息過濾,以保證信息的安全。
根據國家保密局公開的文獻資料,我國目前流行的網路隔離技術的產品和方案如下:
(1)獨立網路方案
根據信息保密需求的不同,將信息存放到兩個獨立的網路中。其一是內部網路,用於存儲、處理、傳輸涉密信息;另一個是外部網路,與網際網路相連。內部網路和外部網路物理斷開。兩個網路之間如果有數據交換需要,則採用人工操作(如通過軟盤、磁帶等)的方式。
(2)終端級解決方案
用戶使用一台客戶端設備排他性選擇連接內部網路和外部網路,主要類型可分為以下幾種。
(1)雙主板,雙硬碟型:通過設置兩套獨立計算機的設備實現,使用時,通過客戶端開關分別選擇兩套計算機系統。
(2)單主板,雙硬碟型:客戶端通過增加一塊隔離卡、一塊硬碟,將硬碟介面通過添加的隔離卡轉接到主板,網卡也通過該卡引出兩個網路介面。通過該卡控制客戶端存儲設備,同時選擇相應的網路介面,達到網路隔離的效果。
(3)單主板,單硬碟型:客戶端需要增加一塊隔離卡,存儲器通過隔離卡連接到主板,網卡也通過隔離卡引出兩個網路介面。對硬碟上劃分安全區、非安全區,通過隔離卡控制客戶端存儲設備分時使用安全區和非安全區,同時對相應的網路介面進行選擇,以實施網路隔離。

技術原理


網閘實現了內外網的邏輯隔離,在技術特徵上,主要表現在網路模型各層的斷開。
(1)物理層斷開
網閘採用的網路隔離技術,就是要保證網閘的外部主機和內部主機在任何時候是完全斷開的。但外部主機與固態存儲介質,內部主機與固態存儲介質,在進行數據傳遞的時候,有條件地進行單個連通,但不能同時相連。在實現上,外部主機與固態存儲介質之間、內部主機與固態存儲介質之間均存在一個開關電路。網路隔離必須保證這兩個開關不會同時閉合,從而保證OSI模型上的物理層的斷開機制。
(2)鏈路層斷開
由於開關的同時閉合可以建立一個完整的數據通信鏈路,因此必須消除數據鏈路的建立,這就是鏈路層斷開技術。任何基於鏈路通信協議的數據交換技術,都無法消除數據鏈路的連接,因此不是網路隔離技術,如基於乙太網的交換技術、串口通信或高速串口通信協議的USB等。
(3)TCP/IP協議隔離
為了消除TCP/IP協議(OSI的3~4層)的漏洞,必須剝離TCP/IP協議。在經過網閘進行數據擺渡時,必須再重建TCP/IP協議。
(4)應用協議隔離
為了消除應用協議(OSI的5~7層)的漏洞,必須剝離應用協議。剝離應用協議后的原始數據,在經過網閘進行數據擺渡時,必須重建應用協議。

功能


網閘就是要解決目前網路安全存在的下述問題。
(1)對操作系統的依賴,因為操作系統也有漏洞。
(2)對TCP/IP協議的依賴,而TCP/IP協議有漏洞。
(3)解決通信連接的問題,內網和外網直接連接,存在基於通信的攻擊。
(4)應用協議的漏洞,如非法的命令和指令等。
網閘的指導思想與防火牆有下述很大的不同。
(1)防火牆的思路是在保障互聯互通的前提下,儘可能安全。
(2)網閘的思路是在保證必須安全的前提下,儘可能互聯互通,如果不安全則隔離斷開。

存在缺陷


儘管作為物理安全設備,安全網閘提供的高安全性是顯而易見的,但是由於其工作原理上的特性,不可避免地決定了安全網閘存在一些缺陷:
(1)只支持靜態數據交換,不支持互動式訪問。
徠這是安全網閘最明顯得一個缺陷。由於是真正的網路間物理隔離,它不支持諸如動態web頁面技術中的activex、java甚至是客戶端的cookie技術,目前安全網閘一般只支持靜態web頁、郵件文件等靜態數據的交換。
(2)適用範圍窄。
由於數據鏈路層被忽略,安全網閘無法實現一個完整的iso/osi七層連接過程,所以安全網閘對所有交換的數據必須根據其特性開發專用的交換模塊,靈活性差,適用範圍十分狹窄。
(3)系統配置複雜,安全性很大程度上取決於網路管理員的技術水平。
在網閘傳送數據過程中要實現病毒、木馬過濾和安全性檢查等一系列功能,這都需要網路管理員根據網路應用的具體情況加以判斷和設置。如果設置不當,比如對內部人員向外部提交的數據不進行過濾而導致信息外泄等,都可能造成安全網閘的安全功能大打折扣。
(4)結構複雜,成本較高。
安全網閘的三個組件都必須為大容量存儲設備,特別在支持多種應用的情況下,存儲轉發決定了必須採用較大的存儲器來存儲和緩存大量的交換數據。另外,安全網閘由於處在兩個網段的結合部,具有網關的地位,一旦宕機就會使兩邊數據無法交換,所以往往需要配置多台網閘設備作為冗餘,這就使購置和實施費用不可避免地上升了。
(5)技術不成熟,沒有形成體系化。
安全網閘技術是一項新興的網路安全技術,尚無專門的國際性研究組織對其進行系統的研究和從事相關體系化標準的制定工作。
(6)帶來網路通信的“瓶頸”問題。
因為電子開關切換速率的固有特性和安全過濾內容功能的複雜化,目前安全網閘的交換速率已接近該技術的理論速率極限。可以預見在不久的將來,隨著高速網路技術的發展,安全網閘在交換速率上的問題將會成為阻礙網路數據交換的重要因素。
但無論如何,網閘對其他網路安全設備是一個很好的補充,也是其他網路安全設備所無法替代的安全產品,近幾年來在國內的各行業也已經獲得了較好的應用。

應用定位


(1)涉密網與非涉密網之間。有些政府辦公網路涉及敏感信息,當它與外部非涉密網連接的時候可以用單向物理隔離網閘將兩者隔開。
(2)區域網與網際網路之間(內網與外網之間)。有些區域網路,特別是政府辦公網路,涉及政府敏感信息,有時需要與網際網路在邏輯上斷開,物理隔離網閘是一個常用的辦法。
(3)辦公網與業務網之間。由於辦公網路與業務網路的信息敏感程度不同,例如,銀行的辦公網路和銀行業務網路就是很典型的信息敏感程度不同的兩類網路。為了提高工作效率,辦公網路有時需要與業務網路交換信息。為解決業務網路的安全,比較好的辦法就是在辦公網與業務網之間使用物理隔離網閘,實現兩類網路的邏輯隔離。
(4)電子政務的內網與專網之間。在電子政務系統建設中要求政府內網與外網之間用邏輯隔離,在政府專網與內網之間用邏輯隔離。現常用的方法是用物理隔離網閘來實現。
(5)業務網與網際網路之間。電子商務網路一邊連接著業務網路伺服器,一邊通過網際網路連接著廣大用戶。為了保障業務網路伺服器的安全,在業務網路與網際網路之間應實現邏輯隔離。

網閘安全配置


(1)網閘產品應有國家相關安全部門的證書。
(2)網閘設置加長口令,網路管理人員調離或退出本崗位時口令應立即更換。
(3)網閘密碼不得以明文形式出現在紙質材料上,密碼應隱式記錄,記錄材料應存放於保險櫃中。
(4)監控配置更改,改動網閘配置時,進行監控。
(5)定期備份配置和日誌。
(6)明確責任,維護人員對更改網閘配置的時間、操作方式、原因和許可權需要明確,在進行任何更改之前,制定詳細的逆序操作規程。

應用領域


目前,國產的網閘產品可以滿足信任網路用戶與外部的文件交換、收發郵件、單向瀏覽、資料庫交換等的要求。同時它們已在電子政務中,如政府內部的領導決策支持系統、政務應用系統(OA系統、專用業務處理系統)和公共信息處理系統(信息採集系統、信息交換系統、信息發布系統等)得到應用。網閘很好地解決了安全隔離下的信息可控交換等問題,從而推動了電子政務走嚮應用時代。由於網閘可以實現兩個物理層斷開網路間的信息擺渡,構建信息可控交換“安全島”,所以在政府、軍隊、電力等領域具有極為廣闊的應用前景。網閘突破電子政務外網與內網之間數據交換的瓶頸,並消除政府部門之間因安全造成的信息孤島效應。目前網閘大都提供了文件交換、收發郵件、瀏覽網頁等基本功能。此外,網閘產品在負載均衡、冗餘備份、硬體密碼加速、易集成管理等方面需要進一步改進完善,同時更好地集成入侵檢測和加密通道、數字證書等技術,也成為新一代網閘產品發展的趨勢。