《中网物理隔离产品介绍37664.docx》由会员分享,可在线阅读,更多相关《中网物理隔离产品介绍37664.docx(25页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、中网物理隔离产品白皮书总论物理隔离产产品是用来来解决网络络安全问题题的。尤其其是在那些些需要绝对对保证安全全的保密网网,专网和和特种网络络与互联网网进行连接接时,为了了防止来自自互联网的的攻击和保保证这些高高安全性网网络的保密密性、安全全性、完整整性、防抵抵赖和高可可用性,几几乎全部要要求采用物物理隔离技技术。学术界一般般认为,最最早提出物物理隔离技技术的,应应该是以色色列和美国国的军方。但但是到目前前为止,并并没有完整整的关于物物理隔离技技术的定义义和标准。从从不同时期期的用词也也可以看出出,物理隔隔离技术一一直在演变变和发展。较较早的用词词为Phyysicaal Diisconnnectt
2、ion,DDiscoonnecctionn有使断开开,切断,不不连接的意意思,直译译为物理断断开。这种种情况是完完全可以理理解,保密密网与互联联网连接后后,出现很很多问题,在在没有解决决安全问题题或没有解解决问题的的技术手段段之前,先先断开再说说。后来有有Physsicall Sepparattion,SSeparratioon有分开开,分离,间间隔和距离离的意思,直直译为物理理分开。后后期发现完完全断开也也不是办法法,互联网网总还是要要用的,采采取的策略略多为该连连的连,不不该连的不不连。这样样的该连的的部分与不不该连的部部分要分开开。也有PPhysiical Isollatioon,Iss
3、olattion有有孤立,隔隔离,封闭闭,绝缘的的意思,直直译为物理理封闭。事事实上,没没有与互联联网相连的的系统不多多,互联网网的用途还还是很大,因因此,希望望能将一部部分高安全全性的网络络隔离封闭闭起来。再再后来多使使用Phyysicaal Gaap,Gaap有豁口口,裂口,缺缺口和差异异的意思,直直译为物理理隔离,意意为通过制制造物理的的豁口,来来达到隔离离的目的。到到这个时候候,Phyysicaal这个词词显得非常常僵硬,于于是有人用用Air Gap来来代替Phhysiccal GGap。AAir GGap意为为空气豁口口,很明显显在物理上上是隔开的的。但有人人不同意,理理由是空气气豁
4、口就物理隔离离了吗?没有,电电磁辐射,无无线网络,卫卫星等都是是空气豁口口,却没有有物理隔离离,甚至连连逻辑上都都没有隔离离。于是,EE-Gapp,Nettgap,II-Gapp等都出来来了。现在在,一般称称Gap Techhnoloogy,意意为物理隔隔离,成为为互联网上上一个专用用名词。对物理隔离离的理解表表现为以下下几个方面面:1, 阻断断网络的直直接连接,即即没有两个个网络同时时连在隔离离设备上;2, 阻阻断网络的的互联网逻逻辑连接,即即TCP/IP的协协议必需被被剥离,将将原始数据据通过P22P的非TTCP/IIP连接协协议透过隔隔离设备传传递;3, 隔离设备备的传输机机制具有不不可
5、编程的的特性,因因此不具有有感染的特特性;4, 任何数据据都是通过过两级移动动代理的方方式来完成成,两级移移动代理之之间是物理理隔离的;5, 隔隔离设备具具有审查的的功能;66, 隔离离设备传输输的原始数数据,不具具有攻击或或对网络安安全有害的的特性。就就像txtt文本不会会有病毒一一样,也不不会执行命命令等。77, 强大大的管理和和控制功能能。网络安全的的体系架构构的演变要对物理隔隔离技术有有一个深入入的了解,必必须对网络络安全体系系架构有深深入的研究究。要了解解网络安全全的架构体体系,从目目前网络安安全市场的的构成就可可以初见端端倪。防火火墙,防病病毒,VPPN和入侵侵检测(IIDS),是
6、是市场的主主流产品。安安全体系以以防火墙为为核心,向向联动的方方向发展。因因此,要了了解网络安安全的架构构体系的演演变,必须须防火墙进进行深入的的了解。现状目前,市场场上销售量量第一和第第二的防火火墙都使用用一种被称称为状态检检测包隔离离的技术,SStateeful Insppectiion PPackeet Fiilterring (SIPPF)。状状态检测有有两大优势势,一是速速度快,二二是具有很很大的灵活活性。这也也是SIPPF为什么么受欢迎的的原因。有有人会注意意到我们甚甚至没有提提到安全性性,尽管人人们要买防防火墙,听听起来是要要解决安全全问题,但但安全性不不是人们选选择防火墙墙的第
7、一理理由。人们们选择防火火墙的第一一理由是易易于安装和和使用,尽尽可能的减减少麻烦和和对网络结结构的变动动,以及对对业务的影影响。有防火墙墙之父之之称的马尔尔科斯(MMarcuus Raanum)也也注意到这这一点,防防火墙客户户有一次投投票,结果果前三位重重要特性是是透明特性性,性能和和方便性,而而不是安全全性,没有有人对这个个结果感到到惊讶。仅有防火墙墙的安全架架构是远远远不够的目前网络安安全市场上上,最流行行的安全架架构是以防防火墙为核核心的安全全体系架构构。通过防防火墙来实实现网络的的安全保障障体系。然然而,以防防火墙为核核心的安全全防御体系系未能有效效地防止目目前频频发发生网络攻攻击
8、。仅有有防火墙的的安全架构构是远远不不够的。以以致于很多多人都在怀怀疑,防火火墙是不是是过时了。连连具?quuot;防防火墙之父父马尔科科斯都宣称称,他再也也不相信防防火墙。这么说防火火墙,似乎乎有一点过过。主要的的原因是前前一个时期期,防火墙墙已经成为为安全的代代名词,言言必谈防火火墙。导致致很多厂商商把根本不不属于防火火墙的东西西全部推到到防火墙上上,如防火火墙上的路路由功能,甚甚至过分到到把应用服服务也搬到到防火墙上上,造成防防火墙万能能的局面,以以致于期期望越高,失失望越大。虽说防火墙墙不是万能能的,但没没有防火墙墙却是万万万不能的。防防火墙至今今为止还是是最重要的的安全工具具。任何技
9、技术都有其其局限性,防防火墙也不不例外。 防火墙架构构的回顾今天,我们们发现自己己处在一种种网络不安安全的现状状,呼唤我我们对防火火墙架构的的基础进行行一个仔细细的回顾。防火墙对网网络安全的的保护程度度,很大程程度上取决决于防火墙墙的体系架架构。一般般的防火墙墙采用以下下防火墙架架构的一种种或几种:l 静态态包过滤(SStatiic Paackett Fillter)l 动态包过滤(Dynamic or Stateful Packet Filter)l 电路网关(Circuit Level Gateway)l 应用网关(Application Level Gateway)l 状态检测包过滤(S
10、tateful Inspection Packet Filter)l 切换代理(Cutoff Proxy)l 物理隔离(Air Gap)网络安全是是一种平衡衡网络安全只只是在可信信和性能之之间的一种种简单的平平衡。所有的防火火墙都依赖赖于对通过过防火墙的的包的信息息进行检查查。检查的的越多,越越安全。检检查的重点点是对网络络协议的信信息,这些些信息按OOSI的模模型来讲,即即分布在77层。知道道防火墙运运行在那一一层上,就就知道它的的体系架构构是什么。l 一般说说来,OSSI的层号号越高,防防火墙要检检查包的信信息内容就就越多,对对CPU和和内存的要要求就高。l OSI的层号越高,防火墙检查的
11、内容就越多,也就越安全。 在防火墙的体系架构中,效率速度与防火墙的安全性,一直是一个折中方案。即高安全性的防火墙的效率和速度较低,高速度高效率的防火墙的安全性较低。然而,随着多CPU计算机的成本的下降,和操作系统支持对称多处理系统(SMP)的特性,传统的高速的包过滤的防火墙与开销较大的代理防火墙之间的差距逐步缩小。成功的防火火墙的一个个最重要的的因素,是是谁在安全全和性能之之间选择做做决定:(11)防火墙墙厂商,通通过限制用用户的架构构选择,或或(2)用用户,在一一个强壮的的防火墙中中要求更多多的架构。实实际上,到到底是用户户决定市场场,还上厂厂商决定市市场。这个个问题没有有答案,要要看最后的
12、的事实。 防火墙的的架构总体体上如下图图。我们把把OSI的的明显和TTCP/IIP的模型型,对照起起来,以便便把问题说说清楚。在检查防火火墙的架构构中,查看看IP包头头中最重要要的几项信信息是:ll IP包包头(IPP heaader)l TCP包头(TCP header)l 应用层包头(application header)l 数据加载的包头(datapayload header)静态包过滤滤(Staatic Packket FFilteer)包过滤防火火墙是最古古老的防火火墙架构之之一。包过过滤防火墙墙运行在网网络层,即即OSI的的第三层。防火墙决定定放行还是是拒绝一个个包,主要要是基于对
13、对IP包头头和协议包包头的一些些具体的信信息进行检检查,它们们包括:ll 源地址址(Souurce Addrress)l 目的地址(Destination Address)l 应用协议(Application or Protocol)l 源端口号(Source Port Number)l 目的端口号(Destination Port Number)在转发一个个包之前,防防火墙将IIP包头和和TCP包包头的信息息与用户定定义的规则则表的信息息进行比较较,决定是是转发还是是拒绝。规规则表就是是用户定义义的安全规规则。规则则是按顺序序进行检查查的,只到到有规则匹匹配为止。如如果没有规规则匹配,则则按
14、缺省的的规则执行行。防火墙墙的缺省规规则应该是是禁止。实际上,有有两种思想想决定防火火墙的缺省省规则,(11)易于使使用,或(22)安全第第一。易于于使用,一一般都设置置为准许放放行。安全全第一,一一般都设置置为禁止放放行。静态包过滤滤防火墙,用用户可以定定义规则来来决定准许许什么包通通过,或决决定禁止什什么包通过过。用户定定义规则,通通过检查IIP包头的的信息,来来准许或拒拒绝包从什什么地址来来,到什么么地址去,可可能是一个个地址或一一组地址。用用户定义具具体服务的的规则,通通过检查TTCP包头头的信息,来来准许或拒拒绝包到达达或来自相相关具体服服务的端口口。包过滤防火火墙的决定定机制是,最
15、最后的规则则如果与前前面的规则则冲突,最最后的规则则有效。当规则的检检查是顺序序执行时,包包过滤防火火墙的规则则配置是十十分复杂和和困难的。我我们知道,NN条规则,按按各种不同同的顺序排排列,可能能的结果有有N!之多多。除非所所有的规则则都不相关关,则N!种顺序的的结果都一一样,否则则,其结果果就可能不不同。加一一条规则是是容易的,写写一段规则则来实现某某种安全功功能则非常常困难,要要求系统管管理员对协协议,TCCP/IPP的工作机机制非常清清楚,而且且还得了解解流程。有有些管理员员总是把后后加的规则则放在最后后,也有的的系统管理理员总是放放在前面,还还有的系统统管理员,随随机的插入入在规则的
16、的什么地方方。最大的的问题在于于,规则AA,B,CC的排放顺顺序不同,规规则的结构构不一定相相同,可能能的排放方方式为,AABCC,ACCB,BBACC,BCCA,CCABB,CAAB,这这六种结果果可能相同同,可能不不同,而且且无法知道道是相同还还是不同,只只有具体去去分析。如如果一个系系统的规则则有1000条,则有有100!9.333e1157种可可能性结果果,即使只只有万分之之一的结果果不同,也也是一个巨巨大的天文文数字。实实际上,如如果不同规规则的相关关性很低,结结果不同是是一个小概概率事件。但但是,如果果不同规则则的相关性性很高,结结果则难以以预料。其其结果是一一致性检查查很难做到到
17、。这就是是为什么经经常会出现现,有时候候,加一条条规则没问问题,有时时候却有问问题。 用用户必须仔仔细的检查查所加入的的规则,以以保证其结结果是其预预期的结果果。一个好好的方法是是,尽可能能帮助用户户设计自己己的安全策策略,使其其不同规则则的相关性性很低,尽尽可能保证证结果是完完全相同的的。即使用户的的规则顺序序是有效的的,包过滤滤防火墙还还有一个根根本的局限限性。它不不知道什么么地址是真真实的,什什么地址是是假的。因因为TCPP/IP的的包头的地地址是可以以改写的。即使用户可可以在防火火墙中,把把不确定的的源地址禁禁止掉,黑黑客还是可可以使用别别人的源地地址,这个个地址是正正常的,却却是黑客
18、盗盗用,这使使得问题变变得更加复复杂。像源源地址欺骗骗,源地址址假冒等这这类攻击对对包过滤防防火墙非常常有效。因因此,尽管管包过滤防防火墙的性性能和速度度很高,其其安全性却却是有限的的。 由于于包过滤防防火墙只检检查(1)源源和目标地地址,(22)源和目目标端口,而而不检查其其它的重要要的信息。因因此,黑客客在是其它它的包头里里加载恶意意数据和命命令。黑客客还可以在在包的数据据中掩藏恶恶意的命令令和数据,这这就是流行行的掩藏隧隧道(Coovertt Chaannell)攻击。在路由器中中,一般都都支持包过过滤技术。但但由于其安安全性有限限,所以用用户一般都都会再购买买单独的防防火墙来提提供更高
19、的的安全性。 优点:l 对网络性性能基本上上没有影响响l 成本本很低,路路由器和一一般的操作作系统都支支持缺点:l 工作在网网络层,只只检查IPP和TCPP的包头ll 不检查查包的数据据,提供的的安全行性性不高l 缺乏状态态信息l IP易被被假冒和欺欺骗l 规规则很好写写,但很难难写正确,规规则测试困困难l 保保护的等级级低动态包过滤滤动态包过滤滤是静态包包过滤技术术的发展和和演化。因因此,它继继承了静态态包过滤的的一个根本本缺点:不不知道状态态信息。典型的动态态包过滤,就就向静态包包过滤一样样,主要工工作在网络络层,即OOSI的第第三层。有有些高级一一些的动态态包过滤防防火墙也工工作到传输输
20、层,即OOSI的第第四层。动态包过滤滤防火墙决决定放行还还是拒绝一一个包,主主要还是基基于对IPP包头和协协议包头的的一些具体体的信息进进行检查,它它们包括:l 源地地址(Soourcee Adddresss)l 目目的地址(DDestiinatiion AAddreess)ll 应用协协议(Apppliccatioon orr Prootocool)l 源端口号号(Souurce Portt Nummber)l 目的端口号(Destination Port Number)与静态包过过滤技术不不同,动态态包过滤防防火墙知道道一个新的的连接和一一个已经建建立的连接接的不同。对对于已经建建立的连接
21、接,动态包包过滤防火火墙将状态态信息写进进常驻内存存的状态表表,后来的的包的信息息与状态表表中的信息息进行比较较,该动作作是在操作作系统的内内核中完成成的。因此此,增加了了很多的安安全性。一一个典型的的例子是,静静态包过滤滤无法区分分一个外部部用户进入入的包与一一个内部用用户出去后后回来的包包的不同,动动态包过滤滤防火墙就就知道。动动态包过滤滤防火墙可可以限制外外部用户访访问内部,但但保证内部部用户可以以访问外部部,而且可可以回来。静静态包过滤滤防火墙做做不到。当一个包是是属于一个个已经建立立连接时,防防火墙不作作进一步检检查就可以以放行这个个包。通过过占有部分分系统内存存,减少了了包的检查查
22、工作量,因因此,动态态包过滤的的性能有一一定程度的的增加。动动态包过滤滤技术可以以支持对称称多处理系系统(SMMP)和多多CPU系系统,可以以取得更高高的速度和和性能。一一般说来,每每增加一个个处理器,动动态包过滤滤技术可以以增加300%的性能能。但是单单线程系统统就无法得得到多处理理器的好处处。举例说说明,厂商商A采用专专用RISSC芯片的的系统,取取得1500Mbpss速度,厂厂商B采用用普通Inntel的的CPU,支支持多CPPU和对称称多处理系系统(SMMP),却却取得了超超过6000Mbpss的速度。有些厂商,为为了克服单单线程动态态包过滤所所带来的限限制,冒险险的采用简简化RFCC
23、规定的三三次握手建建立连接的的TCP/IP机制制,一次握握手就建立立连接,并并且写入状状态表。这这给黑客很很大的可乘乘之机,像像LANDD,Pinng off Deaath,TTearddrop这这类的单包包攻击,很很容易攻击击成功。优点:l 速度和效效率高l 成本低ll 知道状状态缺点:l 工作在网网络层,只只检查IPP和TCPP包头l 不知道数数据包,安安全性不高高l 易于于IP假冒冒和欺骗ll 规则编编制困难ll 简化的的三次握手手导致另外外的安全性性问题l 只提供较较低的安全全保护电路网关 电路网关工工作在会话话层,即OOSI的第第五层。在在很多方面面,电路网网关很像是是包过滤的的一个
24、扩展展。电路网网关,执行行包过滤的的功能,增增加一次握握手再证实实,增加建建立连接的的序列号的的合法性检检查。电路网关在在建立一个个会话会电电路之前,检检查和证实实TCP和和UDP。电路网关决决定准许还还是拒绝一一个包,依依赖于检查查包的IPP头和TCCP头的下下列信息:l 源地地址(Soourcee Adddresss)l 目目标地址(DDestiinatiion AAddreess)ll 应用协协议(Apppliccatioon orr Prootocool)l 源端口(SSourcce Poort NNumbeer)l 目标端口口(Desstinaationn Porrt Nuumber
25、r)l 握握手和系列列号(Haandshhakinng annd Seequennce NNumbeer)类似于包过过滤,在转转发一个包包之前,电电路网关将将IP头和和TCP头头的信息与与用户定义义的规则表表进行比较较,决定是是否准许放放行还是拒拒绝。电路网关的的安全性有有所提高,主主要是客户户端要进行行认证。认认证程序决决定用户是是否是可信信的。一旦旦认证之后后,通过客客户端发起起TCP握握手的SYYN标示和和ACK标标示,以及及相关的系系列号是正正确而且连连贯的,该该会话才是是合法的。一一旦会话是是合法的,开开始执行包包过滤规则则的检查。电路网关理理论上的安安全性要比比包过滤高高。电路网网
26、关的效率率和速度也也是较高的的。优点:l 对网络的的性能的影影响适中或或较低l 中断了直直接连接ll 比包过过滤的安全全性要高一一个级别缺点:l 有包过滤滤的很多缺缺点l 不不对数据作作任何检查查,允许任任何数据简简单的穿透透连接l 只能提供供中低的安安全性应用网关 像电路网关关一样,应应用网关截截获所有进进和出的包包,运行代代理机制,通通过网关来来复制和转转发信息,功功能像一个个代理服务务器,防止止任何的直直接连接。作作为应用网网关的代理理与电路网网关有以下下不同:ll 代理是是与应用相相关的,每每一种应用用需要一个个具体的代代理l 代代理检查包包的所有数数据,包括括包头和数数据l 工工作在
27、OSSI的第七七层,即应应用层与电路代理理不同的是是,应用网网关只接受受具体的应应用产生的的包,然后后进行复制制,转发和和过滤。举举例来说,HHTTP代代理只处理理HTTPP流量,FFTP代理理只处理FFTP流量量。没有应应用代理的的数据不能能被处理,即即被拒绝。应用代理不不仅要检查查所有的协协议,还有有检查所有有的内容。因因此,代理理可以过滤滤具体的命命令,可以以过滤恶意意代码,可可以杀病毒毒,可以对对内容进行行检查和过过滤。很明明显,应用用代理必须须具有缓存存的功能。应应用网关可可以防止隐隐蔽隧道的的攻击。应用网关工工作在第七七层,与具具体的应用用相关,应应用协议规规定了所有有的规程,因因
28、此,较为为容易设计计过滤规则则。应用代代理要比包包过滤更容容易配置和和管理。通过检查完完整的包,应应用网关是是目前最安安全的防火火墙。优点:l 通过支持持SMP和和多CPUU,应用网网关对网络络性能影响响是完全可可以接受的的l 禁止止直接连接接,消除隧隧道攻击的的危害l 检查协议议信息,消消除了内存存溢出攻击击l 最高高的安全性性缺点l 如如果系统实实现不好,性性能很差ll 对程序序的质量要要求很高ll 应用支支持有限ll 对操作作系统有依依赖性状态检测包包过滤 状态检测组组合了很多多动态包过过滤、电路路网关和应应用网关的的功能。状状态检测包包过滤有一一个根本的的能力,即即检查所有有OSI七七
29、层的信息息。但主要要是工作OOSI的第第三层即网网络层,而而且主要是是采用动态态包过滤工工作模式。状态检测包包过滤也能能像电路网网关那样工工作,决定定在一个会会话中的包包是否是正正常的。状状态检测也也能作为一一个最小化化的应用网网关,对某某些内容进进行检查。就就像应用网网关一样,一一旦采用这这些功能,防防火墙的性性能也是直直线下降。从很大程度度上来讲,状状态检测防防火墙的成成功,不完完全是一个个技术上的的成功,而而是一个市市场概念的的成功。状状态检测对对很多技术术进行了简简化,然后后进行组合合。状态检检测从技术术上并没有有克服技术术上的局限限性。主要要表现在以以下几个方方面:高安全性和和性能的
30、矛矛盾并没有有解决。绝大部分状状态检测防防火墙都是是配置工作作在动态包包过滤模式式,取得了了很高的性性能,但安安全性并不不高。一旦决定采采用较高安安全性模式式,性能立立即下降。应用网关中中断网络的的直接连接接,创造两两个连接,在在两个连接接之间,进进行数据的的复制,检检查和转发发。不像应应用网关那那样,状态态检测技术术并不中断断网络的直直接连接。这这就是最著著名的状态态检测和应应用网关之之争。这里面反映映了防火墙墙的哲学之之争:能做做和做了是是两码事。状态检测防防火墙满足足了用户对对高性能和和高安全性性同时需求求的矛盾心心理,它给给用户一种种合理的可可信心里,我我可以通过过配置部分分实现第七七
31、层得到高高安全性,但但现在我实实际在使用用的是第三三层高性能能的动态包包过滤。优点:l 提供检测测所有OSSI七层的的能力l 不改变目目前的直接接连接模式式l 提供供完整的动动态包过滤滤功能l 动态包过过滤提供较较快的速度度缺点l 单单线程的状状态检测对对性能有很很大的影响响,因此用用户多在工工作动态包包过滤模式式l 直接接连接对高高安全性是是不合适的的l 依赖赖于操作系系统的安全全性l 工工作在动态态包过滤模模式并没有有很高的安安全性切换代理 切换代理是是动态包过过滤和电路路代理的一一种混合型型防火墙。简简单地讲,切切换代理首首先作为一一个电路代代理来执行行RFC规规定的三次次握手和任任何认
32、证要要求,然后后切换代动动态包过滤滤模式上。因因此,刚开开始他工作作在网络的的会话层,即即OSI的的第五层,在在认证完成成并建立连连接之后,转转到网络层层即OSII的第三层层。有时候候,切换代代理又称自自适应防火火墙。很明明显,要用用会话层的的安全性和和网络层的的高效率。知道了切换换代理能干干什么,但但最重要的的是要知道道他没有干干什么。切切换代理不不是传统的的电路代理理,他没有有中断电路路的直接连连接。我们们注意到切切换代理提提供了某种种程度上关关于安全性性和效率之之间的平衡衡。 我们们相信,所所有的防火火墙架构在在互联网安安全上都有有他自己的的位置。假假如您的安安全政策,要要求访问认认证,
33、检查查三次握手手机制,并并不要求中中断直接连连接,切换换代理是一一个很好的的选择。但但是,用户户应该明白白,切换代代理不是电电路代理,直直接连接并并没有中断断。优点:l 比传统的的电路代理理对网络性性能的影响响更小l 三次握手手检查机制制减小了IIP假冒和和欺骗的可可能性缺点:l 不是电路路代理l 还是存在在动态包过过滤的缺点点l 不检检查数据,提提供较低的的安全性ll 设计规规则困难新思路:物物理隔离在防火墙的的发展过程程中,人们们最终意识识到防火墙墙在安全方方面的局限限性。高性性能,高安安全性,易易用性方面面的矛盾并并没有很好好的解决。防防火墙体系系架构在高高安全性方方面的缺陷陷,驱使人人
34、们追求更更高安全性性的解决方方案,人们们期望更安安全的技术术手段,物物理隔离技技术应运而而生。物理隔离是是安全市场场上的一匹匹黑马。在在经过漫长长的市场概概念澄清和和马拉松式式技术演变变进步之后后,市场最最终接受物物理隔离具具有最高安安全性。人人们把高安安全性的所所有要求都都集中在物物理隔离上上,中断直直接连接,不不光检查所所有的协议议,还把协协议给剥离离掉,直接接还原成最最原始的数数据,对数数据可以检检查和扫描描,防止恶恶意代码和和病毒,甚甚至对数据据的属性进进行要求,不不支持TCCP/IPP,不依赖赖操作系统统,一句话话,对OSSI的七层层进行全面面检查,在在异构介质质上重组所所有的数据据
35、(第七层层之上,八八层?)。物理隔离在在技术上取取得了很大大的突破。首首先在性能能上,物理理隔离利用用SCSII可以达到到320MMBps的的速度,利利用实时交交换可以达达到10000Mbpps的速度度。在安全全性上,目目前存在的的安全问题题,对物理理隔离而言言在理论上上都不存在在。这就是是各国政府府和军方都都强制推行行物理隔离离的主要原原因。优点:l 中断直接接连接l 强大的检检查机制ll 最高的的安全性 缺点:l 对协议不不透明,对对每一种协协议都要一一种具体的的实现 物理隔离:与互联网网断开定位物理隔离技技术,不是是要替代防防火墙,入入侵检测,漏漏洞扫描和和防病毒系系统,相反反,它是用用
36、户深度度防御的的安全策略略的另外一一块基石。物物理隔离技技术,是绝绝对要解决决互联网的的安全问题题,而不是是什么其它它的问题。物理隔离要要解决的问问题解决目前防防火墙存在在的根本问问题:l 防火墙对对操作系统统的依赖,因因为操作系系统也有漏漏洞l TTCP/IIP的协议议漏洞:不不用TCPP/IPll 防火墙墙、内网和和DMZ同同时直接连连接,l 应用协议议的漏洞,因因为命令和和指令可能能是非法的的l 文件件带有病毒毒和恶意代代码:不支支持MIMME,只支支持TXTT,或杀病病毒软件,或或恶意代码码检查软件件物理隔离的的指导思想想与防火墙墙有很大的的不同:(11)防火墙墙的思路是是在保障互互联
37、互通的的前提下,尽尽可能安全全,而(22)物理隔隔离的思路路是在保证证必须安全全的前提下下,尽可能能互联互通通。操作系统的的漏洞:操操作系统是是一个平台台,要支持持各种各样样的应用,OOS有下列列特点:ll 功能越越多,漏洞洞越多l 应用越新新,漏洞越越多l 用用的人越多多,找出漏漏洞的可能能性越大ll 用的越越广泛,漏漏洞曝光的的几率就越越大黑客攻防火火墙,一般般都是先攻攻操作系统统。控制了了操作系统统就控制了了防火墙。TCP/IIP的漏洞洞:TCPP/IP是是冷战时期期的产物,目目标是要保保证通达,保保证传输的的粗旷性。通通过来回确确认来保证证数据的完完整性,不不确认则要要重传。TTCP/
38、IIP没有内内在的控制制机制,来来支持源地地址的鉴别别,来证实实IP从哪哪儿来。这这就是TCCP/IPP漏洞的根根本原因。黑黑客利用TTCP/IIP的这个个漏洞,可可以使用侦侦听的方式式来截获数数据,能对对数据进行行检查,推推测TCPP的系列号号,修改传传输路由,修修改鉴别过过程,插入入黑客的数数据流。莫莫里斯病毒毒就是利用用这一点,给给互联网造造成巨大的的危害。防火墙的漏漏洞:防火火墙要保证证服务,必必须开放相相应的端口口。防火墙墙要准许HHTTP服服务,就必必须开放880端口,要要提供MAAIL服务务,就必须须开放255端口等。对对开放的端端口进行攻攻击,防火火墙不能防防止。利用用DOS或
39、或DDOSS,对开放放的端口进进行攻击,防防火墙无法法禁止。利利用开放服服务流入的的数据来攻攻击,防火火墙无法防防止。利用用开放服务务的数据隐隐蔽隧道进进行攻击,防防火墙无法法防止。攻攻击开放服服务的软件件缺陷,防防火墙无法法防止。防火墙不能能防止对自自己的攻击击,只能强强制对抗。防防火墙本身身是一种被被动防卫机机制,不是是主动安全全机制。防防火墙不能能干涉还没没有到达防防火墙的包包,如果这这个包是攻攻击防火墙墙的,只有有已经发生生了攻击,防防火墙才可可以对抗,根根本不能防防止。目前还没有有一种技术术可以解决决所有的安安全问题,但但是防御的的深度愈深深,网络愈愈安全。物物理安全是是目前唯一一能
40、解决上上述问题的的安全设备备。物理隔离的的技术路线线目前物理隔隔离的技术术路线有三三种:网络络开关(NNetwoork SSwitccher),实实时交换(RReal-timee Swiitch)和和单向连接接(Onee Wayy Linnk)。网络开关是是比较容易易理解的一一种。在一一个系统里里安装两套套虚拟系统统和一个数数据系统,数数据被写入入到一个虚虚拟系统,然然后交换到到数据系统统,再交换换到另一个个虚拟系统统。实时交换,相相当于在两两个系统之之间,共用用一个交换换设备,交交换设备连连接到网络络A,得到到数据,然然后交换到到网络B。单向连接,早早期指数据据向一个方方向移动,一一般指从高
41、高安全行的的网络向安安全性低的的网络移动动。物理隔离的的技术原理理物理隔离的的技术架构构在隔离上上。以下的的图组可以以给我们一一个清晰的的概念,物物理隔离是是如何实现现的。图1,外网网是安全性性不高的互互联网,内内网是安全全性很高的的内部专用用网络。正正常情况下下,隔离设设备和外网网,隔离设设备和内网网,外网和和内网是完完全断开的的。保证网网络之间是是完全断开开的。隔离设备可可以理解为为纯粹的存存储介质,和和一个单纯纯的调度和和控制电路路。当外网需要要有数据到到达内网的的时候,以以电子邮件件为例,外外部的服务务器立即发发起对隔离离设备的非非TCP/IP协议议的数据连连接,隔离离设备将所所有的协
42、议议剥离,将将原始的数数据写入存存储介质。根根据不同的的应用,可可能有必要要对数据进进行完整性性和安全性性检查,如如防病毒和和恶意代码码等。见下下图2。一旦数据完完全写入隔隔离设备的的存储介质质,隔离设设备立即中中断与外网网的连接。转转而发起对对内网的非非TCP/IP协议议的数据连连接。隔离离设备将存存储介质内内的数据推推向内网。内内网收到数数据后,立立即进行TTCP/IIP的封装装和应用协协议的封装装,并交给给应用系统统。这个时候内内网电子邮邮件系统就就收到了外外网的电子子邮件系统统通过隔离离设备转发发的电子邮邮件。见下下图3。在控制台收收到完整的的交换信号号之后,隔隔离设备立立即切断隔隔离
43、设备于于内网的直直接连接。见见下图4。如果这时,内内网有电子子邮件要发发出,隔离离设备收到到内网建立立连接的请请求之后,建建立与内网网之间的非非TCP/IP协议议的数据连连接。隔离离设备剥离离所有的TTCP/IIP协议和和应用协议议,得到原原始的数据据,将数据据写入隔离离设备的存存储介质。必必要的化,对对其进行防防病毒处理理和防恶意意代码检查查。然后中中断与内网网的直接连连接。见下下图5。一旦数据完完全写入隔隔离设备的的存储介质质,隔离设设备立即中中断与内网网的连接。转转而发起对对外网的非非TCP/IP协议议的数据连连接。隔离离设备将存存储介质内内的数据推推向外网。外外网收到数数据后,立立即进
44、行TTCP/IIP的封装装和应用协协议的封装装,并交给给系统。见见下图6。控制台收到到信息处理理完毕后,立立即中断隔隔离设备与与外网的连连接,恢复复到完全隔隔离状态。见见下图7。每一次数据据交换,隔隔离设备经经历了数据据的接受,存存储和转发发三个过程程。由于这这些规则都都是在内存存和内核力力完成的,因因此速度上上有保证,可可以达到1100%的的总线处理理能力。物理隔离的的一个特征征,就是内内网与外网网永不连接接,内网和和外网在同同一时间最最多只有一一个同隔离离设备建立立非TCPP/IP协协议的数据据连接。其其数据传输输机制是存存储和转发发。物理隔离的的好处是明明显的,即即使外网在在最坏的情情况下,内内网不会有有任何破坏坏。修复外外网系统也也非常容易易。