網閘技術
由兩套各自獨立的系統分别連接安全和非安全的網絡,兩套系統之間通過網閘進行信息擺渡,保證兩套系統之間沒有直接的物理通路。在通信過程中,當存儲介質與安全的網絡連通時,斷開與非安全網絡連接;當與非安全網絡連通時,斷開與安全網絡的連接;通過分時地使用兩套系統中的數據通路進行數據交換,以達到隔離與交換的目的。此外,在數據交換過程中,需同時進行防病毒、防惡意代碼等信息過濾,以保證信息的安全。
根據國家保密局公開的文獻資料,我國目前流行的網絡隔離技術的産品和方案如下:
(1)獨立網絡方案
根據信息保密需求的不同,将信息存放到兩個獨立的網絡中。其一是内部網絡,用于存儲、處理、傳輸涉密信息;另一個是外部網絡,與互聯網相連。内部網絡和外部網絡物理斷開。兩個網絡之間如果有數據交換需要,則采用人工操作(如通過軟盤、磁帶等)的方式。
(2)終端級解決方案
用戶使用一台客戶端設備排他性選擇連接内部網絡和外部網絡,主要類型可分為以下幾種。
(1)雙主闆,雙硬盤型:通過設置兩套獨立計算機的設備實現,使用時,通過客戶端開關分别選擇兩套計算機系統。
(2)單主闆,雙硬盤型:客戶端通過增加一塊隔離卡、一塊硬盤,将硬盤接口通過添加的隔離卡轉接到主闆,網卡也通過該卡引出兩個網絡接口。通過該卡控制客戶端存儲設備,同時選擇相應的網絡接口,達到網絡隔離的效果。
(3)單主闆,單硬盤型:客戶端需要增加一塊隔離卡,存儲器通過隔離卡連接到主闆,網卡也通過隔離卡引出兩個網絡接口。對硬盤上劃分安全區、非安全區,通過隔離卡控制客戶端存儲設備分時使用安全區和非安全區,同時對相應的網絡接口進行選擇,以實施網絡隔離。
網閘功能
網閘就是要解決目前網絡安全存在的下述問題。
(1)對操作系統的依賴,因為操作系統也有漏洞;
(2)對TCP/IP協議的依賴,而TCP/IP協議有漏洞;
(3)解決通信連接的問題,内網和外網直接連接,存在基于通信的攻擊;
(4)應用協議的漏洞,如非法的命令和指令等。
網閘的指導思想與防火牆有下述很大的不同。
(1)防火牆的思路是在保障互聯互通的前提下,盡可能安全;
(2)網閘的思路是在保證必須安全的前提下,盡可能互聯互通,如果不安全則隔離斷開。
網閘相關問題
(一)安全隔離網閘通常布置在什麼位置?
安全隔離網閘通常布置在兩個安全級别不同的兩個網絡之間,如信任網絡和非信任網絡,管理員可以從信任網絡一方對安全隔離網閘進行管理。
(二)安全隔離網閘的部署是否需要對網絡架構作調整?
采用透明方式的網閘隻需要在兩個網絡各提供一個有效的IP地址即可。采用路由模式的網閘要求一定的改動。有的網閘支持兩種連接方式。有的隻支持一種。隻支持路由模式的網閘就會要求對網絡結構有改動。
(三)安全隔離網閘是否可以在網絡内部使用?
可以,網絡内部安全級别不同的兩個網絡之間也可以安裝安全隔離網閘進行隔離。
(四)安全隔離網閘支持交互式訪問嗎?
鑒于安全隔離網閘保護的主要是内部網絡,一旦支持交互式訪問如支持建立會話,那麼無法防止信息的洩漏以及内部系統遭受攻擊,因此,安全隔離網閘不支持交互式訪問.
(五)支持反向代理的安全隔離網閘安全嗎?
支持反向代理意味着可以從非信任網絡間接授權訪問信任網絡上的資源,一旦代理軟件在安全檢查或者軟件實現上出現問題,那麼很有可能會被黑客利用并非法存取内部資源。因此從安全性上講,支持反向代理的安全隔離網閘不安全。
(六)如果對應網絡七層協議,安全隔離網閘是在哪一層斷開?
如果針對網絡七層協議,安全隔離網閘是在硬件鍊路層上斷開。
(七)安全隔離網閘支持百兆網絡嗎?千兆網絡如何支持?
安全隔離網閘支持百兆網絡,目前國内最快的可以達到120MBps。對于千兆網絡,可以采用多台安全隔離網閘進行負載均衡。
(八)安全隔離網閘自身的安全性如何?
安全隔離網閘雙處理單元上都采用了安全加固的操作系統,包括強制訪問控制、基于内核的入侵檢測等安全功能,并且該系統得到國家權威部門的認證。
(九)安全隔離網閘有身份認證機制嗎?
有。安全隔離網閘在用于郵件轉發和網頁浏覽的時候,對用戶進行用戶名/口令、證書認證等多種形式的身份認證。
(十)有了防火牆和IDS,還需要安全隔離網閘嗎?
防火牆是網絡層邊界檢查工具,可以設置規則對内部網絡進行安全防護,而IDS一般是對已知攻擊行為進行檢測,這兩種産品的結合可以很好的保護用戶的網絡,但是從安全原理上來講,無法對内部網絡做更深入的安全防護。安全隔離網閘重點是保護内部網絡,如果用戶對内部網絡的安全非常在意,那麼防火牆和IDS再加上安全隔離網閘将會形成一個很好的防禦體系。
(十一)受安全隔離網閘保護的内部網絡需要不斷升級嗎?
安全隔離網閘首先在鍊路層斷開,徹底切斷網絡連接,并僅允許僅有的四種指定靜态數據進行交換,對外不接受請求,并且在内部用戶訪問外部網絡時采用靜态頁面返回(過濾ActiveX、Java、cookie等),并且木馬無法通過安全隔離網閘進行通訊,因此内部網絡針對外部的攻擊根本無需升級。
(十二)為什麼受防火牆保護的内部網絡需要不斷升級?
防火牆是在網絡層對數據包作安全檢查,并不切斷網絡連接,很多案例證明無論包過濾還是代理防火牆都很難防止木馬病毒的入侵内部網絡,Nimda繞過很多防火牆的檢查并在全世界肆虐就是一個很好的例證,因此需要用戶的内部網絡不斷升級自己的客戶端如浏覽器。
(十三)安全隔離網閘能否防止内部無意信息洩漏?
由于安全隔離網閘在數據交換時采用了證書機制,對所有的信息進行證書驗證,因此對于那些病毒亂發郵件所造成的無意信息洩漏起到很好的防範作用。
(十四)使用安全隔離網閘時需要安裝客戶端嗎?
有的網閘管理員使用通用的浏覽器即可對其進行管理配置,使用安全隔離網閘時不需安裝其他客戶端。 但是這種方式具有極大的安全風險,因為遠程連接會引入安全威脅,而這種對于控制口的攻擊更為嚴重。所以安全性要求高的網閘,不允許通過遠程進行配置,隻允許通過專有的配置程序,也就是客戶端通過串口進行配置。一些重要部門均不允許對網閘具有遠程配置的功能。
(十五)安全隔離網閘接受外來請求嗎?
不接受,安全隔離網閘上的數據交換全部由管理員來進行配置,其所有的請求都由安全隔離網閘主動發起,不接受外來請求,不提供任何系統服務。 如果接受遠程配置,就會接受外來的請求,造成嚴重的安全問題。
(十六)安全隔離網閘是否支持所連接的兩個網絡的網段地址相同?
支持。
(十七)安全隔離網閘的主機系統是否經過安全加固?
由于從網絡架構上來講,安全隔離網閘是處在網關的位置,因此其自身安全性非常重要,兩個處理單元 加固包括硬件加固、操作系統加固以及協議的加固。詳情見擴展閱讀3.
(十八)安全隔離網閘采用什麼樣的接口?有幾個接口?
安全隔離網閘通常提供2個标準以太網百兆接口。
(十九)安全隔離網閘如何管理,支持遠程管理嗎?
安全性高的安全隔離網閘不支持遠程管理。
(二十)安全隔離網閘适用于大規模的部署嗎?
安全隔離網閘的安全部署不需對現有網絡作調整,同時支持多台冗餘
(二十一)安全隔離網閘适用于什麼樣的場合?
如果用戶的網絡上存儲着重要的數據、運行着重要的應用,通過防火牆等措施不能提供足夠高的安全性保護的情況下,可以考慮使用安全隔離網閘。
(二十二)安全隔離網閘直接轉發IP包嗎?
否。安全隔離網閘從不直接或者間接地轉發IP包形式的數據。安全隔離網閘的安全性體現在鍊路層斷開,直接處理應用層數據,對應用層數據進行内容檢查和控制,在網絡之間交換的數據都是應用層的數據。如果直接轉發IP的話,由于單個IP包中一般不包含完整的應用數據,所以無法進行全面的内容檢查和控制,也就無法保證應用層的安全。因此,如果直接轉發IP包,則背離了安全隔離網閘的安全性要求,不能稱為安全隔離網閘。
