浅谈隔离网闸技术
2013-08-15黄晓乾
黄晓乾
(湖南高速铁路职业技术学院,湖南 衡阳 421000)
1 隔离网闸技术的概念
隔离网闸技术是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接。
隔离网闸技术是在保证两个网络安全隔离的基础上实现安全信息交换和资源共享的技术。
2 隔离网闸的主要功能
对于一个物理网络隔离设备,为了能够有效的阻断网路的直接连接,也要能够方便地进行内外网之间的资源共享,并且能够进行有效的管理和控制。要做到这些,网闸设备应该支持如下功能:
(1)阻断网络的直接物理连接。物理隔离网闸在任何时刻都只能与非可信网络和可信网络上之一相连接,而不能同时与两个网络连接。
(2)阻断网络的逻辑连接。物理隔离网闸不依赖操作系统、不支持TCP/IP协议。两个网络之间的信息交换必须将TCP/IP协议剥离,将原始数据通过P2P的非TCP/IP连接方式,通过存储介质的 “写入”与“读出”完成数据转发。
(3)数据传输机制的不可编程性。物理隔离网闸的数据传输机制具有不可编程的特性。
(4)安全审查。物理隔离网闸具有安全审查功能,即网络在将原始数据“写入”物理隔离网闸前,根据需要对原始数据的安全性进行检查,把可能的病毒代码、恶意攻击代码消灭干净等。
(5)原始数据无危害性。物理隔离网闸转发的原始数据,不具有攻击或对网络安全有害的特性。就像txt文本不会有病毒一样,也不会执行命令等。
(6)管理和控制功能。建立完善的日志系统。
(7)根据需要提供定制安全策略和传输策略的功能。用户可以自行设定数据的传输策略,如:传输单位 (基于数据还是基于任务)、传输间隔、传输方向、传输时问、启动时间等。
(8)邮件同步:支持标准的SMTP服务,安全、高可用性的邮件过滤策略,可为每个用户配置不同的邮件交换策略,内外网邮件镜像等。
(9)支持 Web 方式。
(10)数据库同步。双向/单向数据同步,同步内容可定制,多种同步方式,数据可定时更新。
3 隔离网闸关键技术
第一,具有高度的安全性,至少在理论和实践上要比防火墙高一个安全级别。除了和防火墙一样对操作系统进行加固优化或采用安全操作系统外,关键在于要把外网接口和内网接口从一套操作系统中分离出来。也就是说至少要由两套主机系统组成,一套控制外网接口,另一套控制内网接口,然后在两套主机系统之间通过不可路由的协议进行数据交换。
第二,网间完全隔离,关键是网络包不可路由到对方网络,无论中间采用了什么转换方法,只要最终使得一方的网络包能够进入到对方的网络中,都无法称之为隔离,即达不到隔离的效果。显然,只是对网间的包进行转发,并且允许建立端到端连接的防火墙,是没有任何隔离效果的。此外,那些只是把网络包转换为文本,交换到对方网络后,再把文本转换为网络包的产品也是没有做到隔离的。
第三,数据交换安全,既然要达到网络隔离,就必须做到彻底防范基于网络协议的攻击,即不能够让网络层的攻击包到达要保护的网络中,所以就必须进行协议分析,完成应用层数据的提取,然后进行数据交换,这样就把诸如TearDrop、Land、Smurf和SYN Flood等网络攻击包,彻底地阻挡在了可信网络之外,从而明显地增强了可信网络的安全性。
第四,访问控制,作为一套适用于高安全度网络的安全设备,要确保每次数据交换都是可信的和可控制的,严格防止非法通道的出现,以确保信息数据的安全和访问的可审计性。所以必须施加以一定的技术,保证每一次数据交换过程都是可信的,并且内容是可控制的,可采用基于会话的认证技术和内容分析与控制引擎等技术来实现。
第五,网络畅通,隔离技术会在多种多样的复杂网络环境中运用,并且往往是数据交换的关键点,因此,要具有很高的处理性能,不能够成为网络交换的瓶颈,要有很好的稳定性;不能够出现时断时续的情况,要有很强的适应性,能够透明接入网络,并且透明支持多种应用。
因此,隔离的关键点就成了要尽量提高网间数据交换的速度,并且对应用能够透明支持,以适应复杂和高带宽需求的网间数据交换。
4 隔离网闸技术的发展
网闸技术随着互联网的发展也在飞速改进,现在出现了数据通道技术,并且己经成功地应用到网闸技术中。
所谓通道控制技术是指用硬件的手段将进数据通道和出数据通道分开,甚至在单向系统中只有进通道而没有出通道。通道控制做到了进出信息的分开处理,结合有效的内容检查引擎和特殊的协议栈,可以做到信息检查的完备性,防止信息旁路,因此安全性和保密性也比传统安全手段高出许多。传统网闸技术,很少能直接进行协议交互,影响用户使用,并且对信道不能进行完全控制,造成隐信息传送的可能。此外基于传统网络开关网闸技术并不能提供高强度的、国家认可的涉密内容检查机制。基于通道控制的隔离交换系统采用全新的硬件映射技术,能在瞬时内完成内外网的信息交互,可以在隔离的条件下提供很好的的实时交互性。而且安全隔离交换系统采用特有的通道模式,可以对信道进行完全控制,从根本上杜绝泄密的可能。这就是第二代网闸技术,目前市场上主流的网闸产品都是基于第二代网闸技术。
但是,第二代网闸产品也并非完美无缺,也不可能完全彻底的达到隔离和达到防攻击的效果。市场上出现了一种最新的产品,可以说是第三代网闸产品,这种网络产品采用3机系统的设计模型:一个与外网相连的外端机,一个与内网相连的内端机和一个介于两者之间独立的仲裁机,内端机和外端机通过专用硬件与仲裁机相连,内端机和外端机分别是内网和外网的网络协议的终点。所有过往的应用层信息都从内网和外网的网络协议(例如T C P/I P)中剥离,被还原为应用层信息。应用层信息再通过专用硬件和专用通信协议发送给仲裁系统。仲裁系统对收到的应用层信息进行过滤检查,控制网络间传播的信息内容,同时对病毒等恶意代码进行查杀。仲裁系统采用专用硬件和专用协议与内外端机相连,不会被任何人从内部或外部借助通用的网络协议到达,因此仲裁系统不会受到黑客的攻击。可以说,这又是网闸技术的一次飞跃。当然,“道高一尺,魔高一丈”,不管黑客技术如何改进、发展,总会在随后出现新的安全技术,保证互联网的健康发展,我们期待下一代网闸产品的面世。
[1]汪鸣.隔离网闸技术浅析[J].商场现代化,2011,11(中旬刊),总第665期.
[2]李江味.隔离网闸技术的现状与应用[J].软件导刊,2005(18).
[3]郑炜,须文波.隔离网闸的设计与实现[J].微计算机信息,2005(25).