您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 信息化管理 > 中网物理隔离网闸产品白皮书
中网物理隔离网闸产品白皮书中网通讯网络有限公司2008-3目录一、总论.............................................................................................................................2对物理隔离的理解表现为以下几个方面:..............................................................2二、网络安全的体系架构的演变....................................................................................32.1现状.....................................................................................................................32.2仅有防火墙的安全架构是远远不够的.............................................................42.3防火墙架构的回顾.............................................................................................42.4网络安全是一种平衡.........................................................................................52.5静态包过滤(StaticPacketFilter).....................................................................72.6动态包过滤.......................................................................................................102.7电路网关...........................................................................................................132.8应用网关...........................................................................................................142、9状态检测包过滤...............................................................................................162、10切换代理.........................................................................................................182.11新思路:物理隔离.........................................................................................20三、物理隔离:与互联网断开......................................................................................213.1定位...................................................................................................................213.2物理隔离要解决的问题...................................................................................223.3物理隔离的技术路线.......................................................................................233.4物理隔离的技术原理.......................................................................................24第1页一、总论物理隔离产品是用来解决网络安全问题的。尤其是在那些需要绝对保证安全的保密网,专网和特种网络与互联网进行连接时,为了防止来自互联网的攻击和保证这些高安全性网络的保密性、安全性、完整性、防抵赖和高可用性,几乎全部要求采用物理隔离技术。学术界一般认为,昀早提出物理隔离技术的,应该是以色列和美国的军方。但是到目前为止,并没有完整的关于物理隔离技术的定义和标准。从不同时期的用词也可以看出,物理隔离技术一直在演变和发展。较早的用词为PhysicalDisconnection,Disconnection,有使断开,切断,不连接的意思,直译为物理断开。这种情况是完全可以理解,保密网与互联网连接后,出现很多问题,在没有解决安全问题或没有解决问题的技术手段之前,先断开再说。后来有PhysicalSeparation,Separation,有分开,分离,间隔和距离的意思,直译为物理分开。后期发现完全断开也不是办法,互联网总还是要用的,采取的策略多为该连的连,不该连的不连。这样的该连的部分与不该连的部分要分开。也有PhysicalIsolation,Isolation有孤立,隔离,封闭,绝缘的意思,直译为物理封闭。事实上,没有与互联网相连的系统不多,互联网的用途还是很大,因此,希望能将一部分高安全性的网络隔离封闭起来。再后来多使用PhysicalGap,Gap有豁口,裂口,缺口和差异的意思,直译为物理隔离,意为通过制造物理的豁口,来达到隔离的目的。到这个时候,Physical这个词显得非常僵硬,于是有人用AirGap来代替PhysicalGap。AirGap意为空气豁口,很明显在物理上是隔开的。但有人不同意,理由是空气豁口就“物理隔离”了吗?没有,电磁辐射,无线网络,卫星等都是空气豁口,却没有物理隔离,甚至连逻辑上都没有隔离。于是,E-Gap,Netgap,X-Gap等都出来了。现在,一般称GapTechnology,意为物理隔离,称为互联网上一个专用名词。对物理隔离的理解表现为以下几个方面:1、阻断网络的直接连接,即没有两个网络同时连在隔离设备上;第2页2、阻断网络的互联网逻辑连接,即TCP/IP的协议必需被剥离,将原始数据通过P2P的非TCP/IP连接协议透过隔离设备传递;3、隔离设备的传输机制具有不可编程的特性,因此不具有感染的特性;4、任何数据都是通过两级移动代理的方式来完成,两级移动代理之间是物理隔离的;5、隔离设备具有审查的功能;6、隔离设备传输的原始数据,不具有攻击或对网络安全有害的特性。就像txt文本不会有病毒一样,也不会执行命令等。7、强大的管理和控制功能。二、网络安全的体系架构的演变要对物理隔离技术有一个深入的了解,必须对网络安全体系架构有深入的研究。要了解网络安全的架构体系,从目前网络安全市场的构成就可以初见端倪。防火墙,防病毒,VPN和入侵检测(IDS),是市场的主流产品。安全体系以防火墙为核心,向联动的方向发展。因此,要了解网络安全的架构体系的演变,必须对防火墙进行深入的了解。2.1现状目前,市场上销售量第一和第二的防火墙都使用一种被称为状态检测包隔离的技术,StatefulInspectionPacketFiltering(SIPF)。状态检测有两大优势,一是速度快,二是具有很大的灵活性。这也是SIPF为什么受欢迎的原因。有人会注意到我们甚至没有提到安全性,尽管人们要买防火墙,听起来是要解决安全问题,但安全性不是人们选择防火墙的第一理由。人们选择防火墙的第一理由是易于安装和使用,尽可能的减少麻烦和对网络结构的变动,以及对业务的影响。第3页有“防火墙之父”之称的马尔科斯(MarcusRanum)也注意到这一点,防火墙客户有一次投票,结果前三位重要特性是透明特性,性能和方便性,而不是安全性,没有人对这个结果感到惊讶。2.2仅有防火墙的安全架构是远远不够的目前网络安全市场上,昀流行的安全架构是以防火墙为核心的安全体系架构。通过防火墙来实现网络的安全保障体系。然而,以防火墙为核心的安全防御体系未能有效地防止目前频频发生网络攻击。仅有防火墙的安全架构是远远不够的。以致于很多人都在怀疑,防火墙是不是过时了。就连“防火墙之父”马尔科斯都宣称,他再也不相信防火墙。这么说防火墙,似乎有一点过。主要的原因是前一个时期,防火墙已经成为安全的代名词,言必谈防火墙。导致很多厂商把根本不属于防火墙的东西全部推到防火墙上,如防火墙上的路由功能,甚至过分到把应用服务也搬到防火墙上,造成防火墙万能的局面,以至于“期望越高,失望越大”。虽说防火墙不是万能的,但没有防火墙却是万万不能的。防火墙至今为止还是昀重要的安全工具。任何技术都有其局限性,防火墙也不例外。2.3防火墙架构的回顾今天,我们发现自己处在一种网络不安全的现状,呼唤我们对防火墙架构的基础进行一个仔细的回顾。防火墙对网络安全的保护程度,很大程度上取决于防火墙的体系架构。一般的防火墙采用以下防火墙架构的一种或几种:z静态包过滤(StaticPacketFilter)z动态包过滤(DynamicorStatefulPacketFilter)第4页z电路网关(CircuitLevelGateway)z应用网关(ApplicationLevelGateway)z状态检测包过滤(StatefulInspectionPacketFilter)z切换代理(CutoffProxy)z物理隔离(AirGap)2.4网络安全是一种平衡网络安全只是在可信和性能之间的一种简单的平衡。所有的防火墙都依赖于对通过防火墙的包的信息进行检查。检查越多,就越安全。检查的重点是对网络协议的信息,这些信息按OSI的模型来讲,即分布在7层。知道防火墙运行在那一层上,就知道它的体系架构是什么。z一般说来,OSI的层号越高,防火墙要检查包的信息内容就越多,对CPU和内存的要求就高。zOSI的层号越高,防火墙检查的内容就越多,也就越安全。在防火墙的体系架构中,效率速度与防火墙的安全性,一直是一个折中方案。即高安全性的防火墙的效率和速度较低,高速度、高效率的防火墙的安全性较低。然而,随着多CPU计算机成本的下降和操作系统支持对称多处理系统(SMP)的特性,传统的高速包过滤的防火墙与开销较大的代理防火墙之间的差距逐步缩小。成功防火墙的一个昀重要的因素,是谁在安全和性能之间选择做决定:(1)防火墙厂商,通过限制用户的架构选择,或(2)用户,在一个强壮的防火墙中要求更多的架构。实际上,到底是用户决定市场,还上厂商决定市场。这个问题没有答案,要看昀后的事实。第5页防火墙的架构总体上如下图。我们把OSI的明显和TCP/IP的模型,对照起来,以便把问题说清楚。在检查防火墙的架构中,查看IP包头中昀重要的几项信息是:zIP包头(IPheader)zTCP包头(TCPheader)z应用层包头(applicationheader)z数据加载的包头(data-payloadheader)第6页2.5静态包过滤(StaticPacketFilter)包过滤防火墙是昀古老的防火墙架构之一。包过滤防火墙运行在网络层,即OSI的第三层
本文标题:中网物理隔离网闸产品白皮书
链接地址:https://www.777doc.com/doc-475469 .html