伟思网闸与双主机结构系统的技术比较.doc

伟思网闸与双主机结构系统的技术比较一、物理隔离网闸的系统结构与安全性论述介绍安全隔离与信息交换系统技术，我们想首先介绍安全隔离与信息交换系统的设计原型，通过该原型可以使我们更清晰地了解设计安全隔离与信息交换系统产品的初衷，以及安全隔离与信息交换系统架构自身就具有的其它安全产品无法取代的新安全特性。1 隔离网闸的安全模型安全隔离与信息交换系统最基本的设计理念来自于一个被称为sneakernet的模型，该模型期望解决这样一个矛盾：如何在最大程度上保护我们私有网络安全的同时又可与外界（如internet）进行安全的交换数据交换。sneakernet模型实际上给我们提供了一个很好的解决方案，该解决方案实际上已经在中国电子政务的许多敏感网络上被大量采用。该模型的结构如图所示：在sneaker-net技术中，有一个人来操作，另外包括两个网络：不可信网络和可信网络，这两个网络物理隔断，在大多数sneaker-net方案中，也有一个独立的计算机，或者一个与两个网络分离的dmz区域，用于内容检查。采用sneaker-net技术后，网络信息流如下：1 该人在不可信网络上的计算机上手工方式拷贝文件到磁盘或磁带。2 该人将磁盘或磁带拿到一个独立的计算机上进行内容检测。检测包括（不仅仅这些）：病毒扫描、检验该文件格式是否和预先定义的文件格式相符等。3 如果内容检测为不安全或非法，它们将被丢弃；如果内容是安全和合法的，此人在可信网络上的计算机上手工方式将该磁盘或磁带的文件拷贝到计算机上。4 信息从可信网络传输到不可信网络将也用相似的流程。在sneaker-net模型中，没有人可以从不可信的网络访问和操作控制可信网络上的计算机，所有允许到可信网络的数据都在一个安全的环境中经过详细的审查，这是从不安全环境到安全环境传输信息的一个最安全的方法。伟思安全隔离与信息交换系统模型带来的新安全特性同传统的防火墙等访问控制技术相比，sneakernet独特的模型结构天然具有了一些其它安全技术难以达到的安全特性，主要包括以下几个方面：1) 对网络层/os层已知和未知攻击的全面防护能力。由于在该模型中内外网间实际上物理断开，所有访问被转化成应用层数据形式通过独立的存储介质在内外网移动，因此，移动的数据中并不包含相对低层的网络层/os层控制信息，换句话说，隐藏在网络层/os层的攻击行为根本没有进入受保护内网网络的可能，无论该攻击方式是已知的还是未知的。而目前其它安全技术基本上还是基于特征匹配的方式过滤这些攻击行为，遗漏和处理不当都在所难免，并且对未知攻击毫无办法，对受保护网络造成严重安全隐患。2) 不再依赖操作系统的安全性。目前所有安全技术的实现都必须依赖操作系统做为平台提供低层服务支持，操作系统的安全性实际上就影响到整个安全产品的安全性，目前主流的os主要是微软和uinx/linux两大类，所有这些操作系统都具有一定数量的bugs，这些漏洞也随之成为整个安全产品的漏洞。而sneakernet模型很好地解决了这个问题，其内网处理服务器上的操作系统完全不对外暴露，暴露在外的仅仅是负责外网处理的服务器，即使该服务器因操作系统bugs被攻击，实际上也无法进一步影响内网处理服务器，因为内外网是物理断开的。实际上，与防火墙等其它安全产品不同，黑客无法利用现有操作系统bugs获得对sneakernet结构的控制权。3) 强化安全决策过程的安全性。安全决策是最重要和基础的安全防御手段之一，安全决策包括认证、访问控制列表（acl）、内容过滤以及格式检查等一系列方式。安全决策功能一旦失效，恶意访问将无阻碍地进入受保护网络（例如访问控制列表被更改，已禁止端口被开放等）。目前的网络安全产品对决策模块的防护能力相对较弱，而sneakernet模型则将所有安全决策过程置于中立的与内外网没有连接的隔离区内完成，且关键的策略库置于与被检查数据物理断开的受保护端（lan）服务器上，因此，策略库和决策过程都十分安全，未经严格检查的数据将始终被隔离在受保护网络（lan）以外，确保决策过程的安全。4) 数据静态化。在sneakernet模型中，所有进入模型内的数据在人的传递过程中都是静态的，其内容不被任何程序执行，仅仅是对静态内容实施检查和决策，因此，这些数据本身携带的任何恶意代码都无法执行，也就无法危及系统的安全，整个系统安全可靠。2 隔离网闸的实现gap安全隔离与信息交换系统技术就是基于这样的一个机理实现的一种安全信息交换技术。在sneaker-net中，人的作用是在两个网络之间进行低速的手工交换数据，而在采用gap技术的设备中，用一个快速电子开关来实现这一功能；用在sneaker-net中做数据交换的磁介质，在gap技术中则用存储设备来代替。在某一时刻，电子开关只能连接到其中的一个网络，其它的硬件和软件实施则类似于sneaker-net的装置。从前述的sneakernet模型中我们不难发现，模型之所以具有上述有价值的安全特性，关键在于隔离机制的实现，因此，安全隔离与信息交换系统如何真实模拟人的运动机制是实现snaeker-net模型的关键，也是体现安全隔离与信息交换系统安全优势的关键。最佳的实现方式是通过半导体电子开关来实现。半导体电子开关以纯物理方式实现了电路的导通与断开，与加/解密等逻辑断开方式不同，它具有固化的不可编程特性，不会因溢出等逻辑问题导致系统的崩溃，在最低层即物理层面上保证了网络断开功能的实现，具有最高的安全可靠性。由于半导体电子器件具有开关功能，通过两组开关器件即可准确模拟出sneakernet模型中人的工作机制，如图所示：图中箭头标志代表了半导体电子开关，它可以在公众外网服务器与受保护网服务器间摆动，同一时刻开关仅能与一边服务器连通，该动作模拟人在断开的内外网服务器间的移动。与电子开关直接相连的是一个暂存数据的交换池，该结构模拟了人手中的存储介质。半导体电子开关结构在最基本的物理层次上真实模拟了sneakernet模型，它不仅继承了sneakernet模型所有的安全特性，同时又解决了原模型中数据传输速度与延时的问题，使得该模型可在不影响用户网络应用的前提下实现期望的安全功能。可以说，电子开关的实现是区分安全隔离与信息交换系统与其它安全产品的重要指标。二、gap技术网闸与双机结构网闸的技术比较1、从电子政务的安全要求比较我国电子政务发展过程中一直重视安全问题，制定了一系列的安全保密规定。我国2000年1月1日起实施的计算机信息系统国际联网保密管理规定第二章第六条就明确规定，“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相连接，必须实行物理隔离”。 2005年9月，国务院信息化工作办公室又颁布了电子政务等级保护实施指南（试行）规定，我国信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级和专控保护级五个安全等级。其中，涉及国家安全、社会秩序、经济建设和公共利益的重要电子政务系统，如果系统遭到破坏后可能对政务机构履行其政务职能、机构财产、人员造成严重的负面影响，可能会对国家安全造成较大损害属于强制保护级。随着电子政务应用的发展和升级，各级电子政务网络大多相继产生了和外界进行数据交换的需求，因此物理隔离的概念已渐渐从原先的内网与外网完全没有数据交换向在物理隔离的基础上实现安全的数据交换转变，在隔离的基础上允许内外网间安全的数据交换已渐渐地成为主流。在这样的应用背景下，隔离网闸（又称安全隔离和信息交换系统）这样一个既能实现物理隔离又能提供安全快速的数据交换的安全产品便渐渐地成为这类应用的首选网络安全产品。双主机结构的系统由于在两个主机之间存在实实在在的物理连接，无法提供物理隔离的环境，因此和网闸相比，它明显无法适应上述应用的高安全性要求。 2、从核心隔离交换技术实现方式比较网闸所特有的gap隔离结构具有明显的抗攻击性优势。首先，伟思公司的隔离网闸产品是由三部分组成：内网处理系统、外网处理系统和隔离交换系统，其中，隔离交换系统是整个隔离网闸技术的关键点，它是实现内外网物理断开的核心部件，也是隔离网闸区别于传统防火墙安全性的主要指标。伟思公司从2001年起就在国内率先成功研发了国内领先的基于asic（大规模集成电路芯片）的电子隔离开关芯片，到2005年伟思隔离网闸所采用的隔离芯片已经是第三代产品了。该芯片采用电子硅三极管作为电子开关的基础部件，不可编程且检查逻辑固化在硬件隔离电子开关芯片中。从物理上实现了工作原理简单可靠的内外网电气断开，且工作稳定，从器件特性上来看，即使电子开关器件随时间推移老化产生故障，由于三极管特有的特性该芯片也将处于物理断开状态，从而可靠实现内外网间的物理断开。gap隔离结构因为采用了不含操作系统的纯硬件电子开关隔离机构，因此不会因溢出问题而被穿透。理论和实际都证明操作系统及其上的服务漏洞往往是无法避免的，而gap硬件隔离结构由于是不含操作系统的纯硬件，因此已经到达了强制访问控制级，具备极高的抗攻击性和安全等级。其次，gap隔离结构精巧的电子开关设计对提升了产品整体的抗攻击性。电子开关类似一个摆渡机，它采用分时连接的方式在内外网间交换信息，且电子开关的摆渡动作由可信端服务器及隔离电子开关的内部安全访问控制逻辑所决定。因此，当有攻击发生导致隔离系统出现崩溃、植入木马等情况时，电子开关将停止摆渡动作使系统进入完全物理隔离环境，同样地，当某些不符合规则的数据期望混在数据流中通过检查时，该数据将在隔离缓冲区中被清除，此时，该数据与内网也处于物理断开状态。只有规则允许的数据在设备正常工作状态下才会被分时交换到内部网，这种工作方式使得系统具备可靠的物理级隔离能力。第三、gap隔离结构中采用了专用硬件电子开关隔离芯片，它与内外端处理系统间不采用协议连接而是直接i/o操作（dma），使得攻击者即使是登录到内外端处理系统也无法主动对私有隔离通道进行操作，另外，所有隔离摆渡过程和方法由全新的电子开关方式设计且所有逻辑都固化在了硬件芯片内，因此，其通讯机制和通讯控制方法对外并不暴露，所以gap隔离结构的私有性具有很高的水平，攻击者无法获知，也就不能非法穿越隔离区。不可旁路是衡量设备安全等级的重要指标。第四， gap隔离结构具有更安全的数据检查和访问控制机制。gap隔离结构通过电子开关将数据摆渡到与内外网都物理断开的隔离检查区中对数据进行安全检查，该检查方式十分安全不会出现因为被检查数据含病毒等原因造成系统被感染的情况。相比而言，双主机结构的系统由于它的结构特性决定了它的安全性和抗攻击能力要远远小于网闸。首先，双主机结构的产品只有两个组成部分：内网处理系统和外网处理系统。内外网之间采用串口、usb口、1394或者标准网卡的方式来传送数据。两个处理系统均含有操作系统，在双主机之间执行协议转换。因为协议的转换并不意味着消除了基于协议的攻击，还是存在通信连接，存在基于通信连接的攻击。而当针对堡垒主机自身的攻击发生时，双机系统将可能因为操作系统及其服务的漏洞而导致系统被攻破我们以串口通信方式为例做一个简单说明。首先，串口通信方式是一个公开标准的通信协议，串口也就是我们常说的“哑终端”。采用串口通信方式很容易增加编程接口，如加载tcp/ip，可能受某些软件编程控制，不能有效和彻底地中断tcp/ip和应用服务。这些方式通常通过软件编码在原有通用协议上作了分析检测和重组转化，属于基于软件策略的协议隔离。不同于gap技术通用的由硬件控制的隔离，在安全性方面缺乏物理层面的保障，一些链路层协议如ppp和slip协议等有可能穿过隔离，软件编码也存在漏洞被利用攻击的可能性。一旦，外部主机被黑客攻破，那么熟悉串口编程技术的黑客就有可能通过telnet方式或者一些“软手段”来攻入内网。这是非常危险的。其次，双主机结构系统的通讯方式不具备物理上隔离断开的功能，实际上内外端系统永远是实时连接在一起的，遇到安全问题时主要是通过内外网处理系统的软件逻辑来实现，其实现隔离和抗攻击能力受到软件可靠性、操作系统等因素的极大制约。外端机一旦被黑客攻破和接管，其无法实现物理断开的特性决定了黑客很容易攻入内网。 第三、在双主机结构中，由于接口是标准的开放接口，可受到内外端操作系统的控制。且多种应用协议甚至是安全风险极高的telnet服务都可利用其接口实现通讯，因此，双主机系统的通讯结构的私有性并不完美，实际上，任何登录到内外端处理系统的用户都可以向双主机系统的接口发送数据或指令，因此，双主机系统虽然较tcp/ip协议使用不那么普遍，具有一定的私有性，给攻击者制造了一定的麻烦，但其私有性很容易造成破坏，是脆弱的。第四，双主机结构由于数据都在内存中检查，因此极可能造成系统自身被感染进而扩散到内网。3.从功能上比较伟思公司的vigap物理隔离网闸相对于这种双机架构的产品有着非常强大的功能，便于用户以后的服务扩展和系统升级。 vigap网闸的功能有： ftp功能 内容过滤功能 黑名单功能 ids入侵检测功能 sat（服务器地址映射）功能 身份认证功能 安全代理服务功能 ai安全过滤功能 防病毒功能 vpn通讯安全功能 日志和警报功能 数据库应用 网络应用 双机热备功能ftp功能vigap的ftp协议分析模块，提供了和http功能和email功能一样安全的ftp服务支持。内容过滤功能针对关键字（词）进行检索，按照匹配的原理，对通过vigap传输的数据进行过滤和检查，可以保护网络的各种敏感资源和数据，也保护了可信网络资源。黑名单功能针对通过vigap传输的数据的文件名进行过滤的黑名单功能，不仅可以有效阻止敏感文件的交换，并且可以有效防范通过附件文件对可信网络的各种攻击。ids入侵检测功能 vigap在设备两端内置了ids入侵检测引擎，该引擎可有效保护系统自身及受保护网络免受攻击者的频繁攻击。该系统将自动分析对受保护内网的访问请求，并与vigap隔离系统实现内部联动对可疑数据包采取拒绝连接的方式防御攻击。 sat（服务器地址映射）功能 vigap具备完善的sat功能，可信端服务器可通过sat功能将自身的特定服务虚拟映射到vigap的不可信端接口上，通过隔离系统的不可信端虚拟端口对外提供服务，访问者仅能访问虚拟端口而无法直接连接服务器，从而对外屏蔽服务器，防止服务器遭到攻击。身份认证功能 不同于部门级网络，大型网络对身份认证的要求极高，且需要基于第三方的统一身份认证服务。vigap除了提供基本的用户名/口令身份认证功能以外，还可与外部认证系统集成支持扩展的radius、pki数字证书、secureid等多种强身份认证功能。 安全代理服务功能 vigap允许可信端用户以应用代理方式访问不可信网络，vigap作为应用代理网关对内网访问请求进行检测，相对于传统的基于网络层的nat方式来说，由于代理服务在应用层对访问请求进行检测具有更细的粒度和检查元素，因此，对访问具有更高的安全控制能力。ai安全过滤功能应用智能能够使您根据来源、目的地、用户特权和时间来控制对特定的 http、smtp 或 ftp 等资源的访问。vigap产品通过协议分析技术提供应用级的安全过滤以保护数据和应用服务器免受恶意 java 和 activex applet 的攻击。vigap在ai功能中新增了安全功能，包括：确认通信是否遵循相关的协议标准；进行异常协议检测；限制应用程序携带恶意数据的能力；对应用层操作进行控制，这些新功能对企业级网络环境中应用层的安全控制起到了很重要的强化作用。防病毒功能系统内嵌防病毒引擎，可实现对内外网摆渡数据的病毒查杀，其防水墙模块可有效阻止内网信息的外泄及木马、蠕虫等恶意程序通过http、smtp等方式向外泄漏信息。实现对病毒的高效查杀，支持包括http、smtp、pop3协议的网关级病毒过滤。vpn通讯安全功能vigap对受保护web服务器提供内置的ssl vpn加密通讯机制，建立客户端与虚拟服务端口间的ssl加密vpn链路，实现通讯安全。该加密方式无需修改客户端设置，透明实现客户端与服务器端的加密通讯。日志和警报功能vigap提供的日志和警报功能，可以监视和解决对可信网络以及设备本身的连接和破坏安全的问题，也可以通过管理控制台状态选项卡对整个vigap系统进行常规的状态监视。日志和警报功都所涉及内容包括： vigap系统的问题 通讯故障 破坏安全的企图 通过vigap系统的传输和指令 通过vigap系统传输的文件和其它类型的内容安全上网vigap支持用户安全上网应用，可根据身份认证、ipmac绑定等多种安全策略实现用户安全上网应用，同时支持透明应用代理方式，客户端无需设置。数据库应用vigap全面支持各种类型的数据库应用，支持oracle、ms sql、mysql、sybase等主流的数据库的sql查询，支持全表复制、增量更新、全表更新等多种数据库同步方式，并支持自定义表和字段。网络应用vigap支持各类tcp/ip以上的网络应用协议，无需二次开发。包括：http、smtp、pop3、dns、ftp、nfs、mms、im、voip等等。支持用户自定义开发的特殊应用协议。同时，针对用户特殊需求vigap提供api应用开发接口。双机热备功能 vigap产品针对大型网络的应用提供了双机热备份功能，实现系统的稳定可靠运行。通过内置的双机热备系统，连接在同一个网络内的多台vigap设备可以建立双机热备机制，并通过虚拟ip统一对外提供服务。从设备不断发出心跳信息