個(gè)人對(duì)防火墻與物理隔離網(wǎng)閘之間的一點(diǎn)了解

antsnm

個(gè)人對(duì)防火墻與物理隔離網(wǎng)閘之間的一點(diǎn)了解

\r\n\r\n     層出不窮的網(wǎng)絡(luò)入侵，網(wǎng)絡(luò)泄密事件給國(guó)家敲響了警鐘，為了避免和降低入侵、泄密的可能國(guó)家提出了國(guó)家重要職能部門的辦公專網(wǎng)與互聯(lián)網(wǎng)、不同秘級(jí)的網(wǎng)絡(luò)之間需要采用物理隔離。根據(jù)這一要求國(guó)內(nèi)也就應(yīng)運(yùn)而生出網(wǎng)閘這個(gè)產(chǎn)品。\r\n\r\n     網(wǎng)閘是一種新生產(chǎn)品，大家對(duì)他的工作原理和安全特性都缺乏認(rèn)識(shí)，由于本人在網(wǎng)閘行業(yè)從業(yè)數(shù)年，對(duì)網(wǎng)閘略有研究，希望通過(guò)這片文章讓大家對(duì)網(wǎng)閘有一定的了解。幫助那些有這類需求的朋友選擇更為適合自己的產(chǎn)品。\r\n\r\n     網(wǎng)閘在國(guó)內(nèi)的叫法很多，有的叫安全隔離網(wǎng)閘、物理隔離網(wǎng)閘、安全隔離與信息交換系統(tǒng)，但都是為了實(shí)現(xiàn)同一個(gè)安全目標(biāo)而設(shè)計(jì)的，那就是確保安全的前提下實(shí)現(xiàn)有限的數(shù)據(jù)交流。這點(diǎn)是與防火墻的設(shè)計(jì)理念截然不同的，防火墻的設(shè)計(jì)初衷是為了保證網(wǎng)絡(luò)連通的前提下提供有限的安全策略。正是設(shè)計(jì)目標(biāo)的不同，所以注定了網(wǎng)閘并不是適用于所有的應(yīng)用環(huán)境，而是只能在一些特定的應(yīng)用領(lǐng)域進(jìn)行應(yīng)用。\r\n\r\n     目前國(guó)內(nèi)做網(wǎng)閘的廠家不少，一般支持WEB、MAIL、SQL、文件幾大應(yīng)用，個(gè)別廠家支持視頻會(huì)議的應(yīng)用。在TCP/IP協(xié)議層上又劃分出單向產(chǎn)品和雙向產(chǎn)品，雙向產(chǎn)品屬于應(yīng)用層存在交互的應(yīng)用如WEB、MAIL、SQL等常見應(yīng)用都是雙向應(yīng)用。單向應(yīng)用意為應(yīng)用層單向，指的是在應(yīng)用層切斷交互的能力，數(shù)據(jù)只能由一側(cè)主動(dòng)向另一側(cè)發(fā)送，多應(yīng)用于工業(yè)控制系統(tǒng)的DCS網(wǎng)絡(luò)與MIS網(wǎng)絡(luò)之間的監(jiān)控?cái)?shù)據(jù)傳輸，這類產(chǎn)品由于在應(yīng)用層不存在交互所以安全性也是最好的。\r\n\r\n     大家看了上面的部分一定會(huì)想WEB、MAIL、SQL這類應(yīng)用防火墻也能做到很好的保護(hù)啊，網(wǎng)閘的優(yōu)勢(shì)在呢？首先要說(shuō)到網(wǎng)閘的硬件設(shè)計(jì)了。網(wǎng)閘為了強(qiáng)調(diào)隔離，多采用２＋１的硬件設(shè)計(jì)方式，即內(nèi)網(wǎng)主機(jī)＋專用隔離硬件（也稱隔離島）＋外網(wǎng)主機(jī),報(bào)文到達(dá)一側(cè)主機(jī)后對(duì)報(bào)文的每個(gè)層面進(jìn)行監(jiān)測(cè),符合規(guī)則的將報(bào)文拆解,形成所謂的裸數(shù)據(jù),交由專用隔離硬件擺渡到另一側(cè),擺渡過(guò)程采用非協(xié)議方式,邏輯上內(nèi)外主機(jī)在同一時(shí)刻不存在連接，起到徹底切斷協(xié)議連接的目的。數(shù)據(jù)擺渡過(guò)來(lái)后內(nèi)網(wǎng)對(duì)其進(jìn)行應(yīng)用層監(jiān)測(cè)，符合規(guī)則的由該主機(jī)從新打包將數(shù)據(jù)發(fā)送到目標(biāo)主機(jī)。而防火墻對(duì)數(shù)據(jù)包的處理是不會(huì)拆解數(shù)據(jù)包的，防火墻只是做簡(jiǎn)單的轉(zhuǎn)發(fā)工作，對(duì)轉(zhuǎn)發(fā)的數(shù)據(jù)保進(jìn)行協(xié)議檢查后符合規(guī)則的過(guò)去，不符合規(guī)則的丟掉，防火墻兩邊主機(jī)是直接進(jìn)行通訊的。網(wǎng)閘由于切斷了內(nèi)外主機(jī)之間的直接通訊，連接是通過(guò)間接的與網(wǎng)閘建立里連接而實(shí)現(xiàn)的，所以外部網(wǎng)絡(luò)是無(wú)法知道受保護(hù)網(wǎng)絡(luò)的真實(shí)IP地址的，也無(wú)法通過(guò)數(shù)據(jù)包的指紋對(duì)目標(biāo)主機(jī)進(jìn)行軟件版本、操作系統(tǒng)的判斷。通過(guò)網(wǎng)閘攻擊者無(wú)法收集到任何有用的信息，從而無(wú)法展開有效的攻擊行為。而防火墻由于設(shè)計(jì)初衷是為了保證網(wǎng)絡(luò)傳輸通暢，所以有些防火墻在大流量的情況下，為了保證性能，只對(duì)發(fā)起連接的前幾個(gè)包進(jìn)行規(guī)則過(guò)濾，而后繼報(bào)文進(jìn)行就直接轉(zhuǎn)發(fā)，可以說(shuō)這種設(shè)計(jì)使相當(dāng)不安全的。    \r\n\r\n說(shuō)完硬件的設(shè)計(jì)優(yōu)勢(shì)外，網(wǎng)閘在過(guò)濾顆粒度上面會(huì)更加細(xì)致，做到了層層設(shè)防。在應(yīng)用層提供身份認(rèn)證、內(nèi)容監(jiān)測(cè)、病毒檢測(cè)多種策略進(jìn)行嚴(yán)格檢測(cè)，各個(gè)廠家多支持根據(jù)特殊應(yīng)用定制專用模塊，在應(yīng)用層上各個(gè)廠家的產(chǎn)品差距不大，提供的檢測(cè)內(nèi)容都基本相同。在傳輸層對(duì)IP端口進(jìn)行限制，這和防火墻工作沒(méi)有太多區(qū)別。網(wǎng)閘在IP層通過(guò)MAC綁定策略來(lái)提高安全性，作的最好的廠家是在該層剝離了除arp之外的所有協(xié)議，并限制了arp的應(yīng)答，使非授權(quán)主機(jī)根本無(wú)法獲知網(wǎng)閘的存在更不用提與另外一測(cè)得通訊了。\r\n\r\n     看到這里大家應(yīng)該大體上明白網(wǎng)閘的工作原理和安全策略了吧?目前網(wǎng)閘廠家之間多以隔離島的硬件設(shè)計(jì)而爭(zhēng)論不休，爭(zhēng)論的要點(diǎn)在于使用何種隔離方式，其實(shí)就我個(gè)人看來(lái)隔離島的要求只要滿足了僅對(duì)應(yīng)用層數(shù)據(jù)擺渡、使用非協(xié)議方式、邏輯上保證不予內(nèi)外網(wǎng)主機(jī)同時(shí)連接三點(diǎn)就可以了。其實(shí)更重要的地方往往被大家忽略了，那就是系統(tǒng)自身的安全，如果系統(tǒng)自身存在安全隱患，您制定的規(guī)則再嚴(yán)密，都是枉然。如果攻擊者侵入設(shè)備系統(tǒng)，取得管理權(quán)限，任何規(guī)則都無(wú)濟(jì)于事，畢竟擺渡的數(shù)據(jù)還是由主機(jī)控制的，就算是有隔離島這道屏障，但畢竟如果入侵了外網(wǎng)主機(jī)，也會(huì)使通訊不能正常工作，讓入侵成功更緊一部，所以設(shè)備的系統(tǒng)自身安全也是不可忽略的。\r\n\r\n     國(guó)內(nèi)硬件廠家多采用X86架構(gòu)的工控主機(jī)進(jìn)行開發(fā)，由于不存在程序的移植問(wèn)題，很多程序源碼直接在該平臺(tái)上就能運(yùn)行，大大提高了開發(fā)速度，和降低了開發(fā)難度，但是由此也帶來(lái)了很多安全隱患，由于x86平臺(tái)的廣泛應(yīng)用，大量的源碼引用也容易將安全隱患引進(jìn)近來(lái)，同時(shí)X86架構(gòu)由于不涉及到平臺(tái)移植的問(wèn)題，PC上的任何程序都可能直接駐留到設(shè)備內(nèi)直接運(yùn)行，大大威脅了設(shè)備的安全性。而目前網(wǎng)閘廠家采用的多是以Linux為操作系統(tǒng)，通過(guò)精簡(jiǎn)加固Linux內(nèi)核的手段提高自身安全性，但是龐大的系統(tǒng)很難做到盡善盡美。所以在選擇網(wǎng)閘廠家時(shí)，使用了非X86架構(gòu)的嵌入式開發(fā)的產(chǎn)品的產(chǎn)品相比使用X86架構(gòu)的產(chǎn)品安全性方面更勝一籌，也應(yīng)當(dāng)以非X86架構(gòu)的嵌入式網(wǎng)閘作為首選。而網(wǎng)閘廠家中系統(tǒng)安全性最高的是北京數(shù)碼星辰的產(chǎn)品，使用了國(guó)產(chǎn)低功耗CPU，嵌入式開發(fā)，并且刪除了文件系統(tǒng)、SHELL操作系統(tǒng)必須的兩大部分，將程序以內(nèi)核態(tài)形式運(yùn)行，大幅提高了自身的安全性，并且由于擺脫了文件系統(tǒng)SHELL的拖累，大幅提升系統(tǒng)的工作效率。此舉可謂安全領(lǐng)域一個(gè)突破，個(gè)人認(rèn)為這將是未來(lái)安全產(chǎn)品的一個(gè)發(fā)展方向。\r\n\r\n     以上是個(gè)人對(duì)網(wǎng)閘產(chǎn)品一點(diǎn)認(rèn)識(shí)，總的來(lái)說(shuō)選擇選擇網(wǎng)閘主要是看隔離島是不是符合隔離的要求，能不能切斷連接，從邏輯上是不是保證了不予內(nèi)外網(wǎng)主機(jī)同時(shí)連通，其次是在各個(gè)協(xié)議中規(guī)律過(guò)濾顆粒細(xì)度，是不是能夠支持最為嚴(yán)格規(guī)則過(guò)濾。最后也是最重要的就是涉及設(shè)備自身安全的硬件平臺(tái)和操作系統(tǒng)，簡(jiǎn)單講就是非工控硬件平臺(tái)由于工控硬件平臺(tái)，內(nèi)核臺(tái)運(yùn)行的優(yōu)于有完整操作系統(tǒng)的，希望通過(guò)以上介紹大家能夠更加清晰的了解網(wǎng)閘，認(rèn)知網(wǎng)閘。\r\n\r\n     同時(shí)也希望通行的朋友多交流溝通，畢竟網(wǎng)閘這個(gè)東西還沒(méi)有一個(gè)很完善的行業(yè)規(guī)范，希望大家共同探討，有興趣交流的朋友可以給我發(fā)郵件，有什么說(shuō)的不對(duì)地方也可以指出，我的郵件地址是flockmaster@126.com\n\n[ 本帖最后由 antsnm 于 2007-11-28 11:21 編輯 ]

imking

這個(gè)很久就聽說(shuō)過(guò)了，感覺(jué)似乎意義不是很大啊，tcp/ip層的鏈接仍然是存在的,和防火墻的區(qū)別不大啊

linkboy

樓主純廣告帖，而且字體惡心，估計(jì)粘貼而來(lái)。\r\n鑒定完畢。

hust888

“將程序以內(nèi)核態(tài)形式運(yùn)行，大幅提高了自身的安全性”：內(nèi)核一出問(wèn)題整個(gè)就垮了，有個(gè)用戶空間還好隔離一下，安全性提沒(méi)提供不知道，穩(wěn)定性是降低了許多！

antsnm

朋友，也許是我表達(dá)的不清楚。文章里說(shuō)到了網(wǎng)閘是如何切斷TCP/ip連接的，通訊主機(jī)是在分別和網(wǎng)閘的內(nèi)外網(wǎng)主機(jī)使用TCP/ip協(xié)議通訊的，但是在內(nèi)部對(duì)封包已經(jīng)拆解，并使用非協(xié)議的方式進(jìn)行擺渡，擺渡的數(shù)據(jù)只有應(yīng)用層內(nèi)容。源主機(jī)和目標(biāo)主機(jī)是不存在TCP/ip連接的。同時(shí)防火前多數(shù)不會(huì)對(duì)向外發(fā)起的連接進(jìn)行限制，而網(wǎng)閘是僅允許某些特定服務(wù)。所以也能避免反彈式木馬的威脅。而且內(nèi)外網(wǎng)主機(jī)規(guī)則是相互獨(dú)立的，一測(cè)的規(guī)則被篡改了也不會(huì)影響到另外一側(cè)，而防火墻則不同。同時(shí)一般的攻擊都是從掃描發(fā)起的，首先對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行嗅探，從而獲得一些重要信息，進(jìn)而針對(duì)特定的操作系統(tǒng)，軟件版本進(jìn)行攻擊，而網(wǎng)閘切斷協(xié)議，沒(méi)有指紋信息泄露，而且控制了arp的應(yīng)答，黑客根本無(wú)法掃描到任何結(jié)果。\n\n[ 本帖最后由 antsnm 于 2007-11-28 11:22 編輯 ]

antsnm

因?yàn)槟憬o我帖子的支持我應(yīng)該給與回復(fù)！我說(shuō)的都是事實(shí)，并不存在夸大其詞！而且我也看了你所回復(fù)的一些帖子，好像你沒(méi)有那個(gè)帖子滿意過(guò)，都是對(duì)別人冷嘲熱諷，也不知道您有多大的本事。\n\n[ 本帖最后由 antsnm 于 2007-11-28 11:31 編輯 ]