（通信与信息系统专业论文）物理隔离数据交换系统研究与实现.pdf

哈尔滨i 栏人学硕士学何沦文 摘要 随着计算机通信技术的飞速发展，网络也同益面临着各种各样安全隐 患的威胁，诸如黑客的入侵、病毒的破坏等，都给我们如何确保国家机密 较高的网络安全问题提出了挑战。尽管我们采用了各种复杂的防护技术， 如防火墙、侵袭探测器、通道控制机制等，这些技术都足一种逻辑机制的 保护，对于逻辑实体而言是可能被操纵的；同时，逻辑机制的极端复杂性 与局限性，所形成的在线分析技术也是无法满足高速信息交换的需求。因 此，为确保网络的信息安命，我们采用了一种全新的物理隔离技术，在所 要保护的网络数据通道上，建立个独立的物理隔离数据交换系统，从而 消除了网络被攻击的途径，使网络安全威胁受到了真正的限制。 物理隔离数据交换系统主要由内网处理单元、外网处理单元和控制单 元三部分构成。外嘲处理单元，负责对由非信任网络( 外网) 传递的数据 进行处理和安全检杳，剥离出“原始”数据转发给数据交换模块；内网处 理单元，连接可信任网络( 内网) ，依据安全策略对山数据交换模块传递 的数据进行安全检查、认证和处理，安仝的信息传送给内网，否则屏蔽； 控制单冗，负责内、外网处理单元和数据交换模块之阳j 的数据转换，起到 一个中转站和网闸丌关的作用。 本文主要完成了物理隔离数据交换系统的软、硬件结构、数据流程和 子模块功能的设计与实现，并分析了隔离系统的优势与不足，提出了改进 意见。 关键词：网络安全；物理隔离：数据交换 哈尔滨i 程人学硕士学侮论文 a b s t r a c t a st h ec o m p u t e rc o m m u n i c a t i o nt e c h n o l o g yd e v e l o p sr a p i d l y ， n e t w o r ki sn o wf a c i n gv a r i o u sk i n d so fs e c u r i t yt h r e a t s ，s u c ha st h e i n v a s i o no f t h eh a c k e r s t h ed a m a g em a d eb yn e tv i r u sa n de t c t h i s b e c a m eah u g ec h a l l e n g et oo u rn e t w o r ks e c u r i t yo nn a t i o n a lt o p s e c r e t s a l t h o u g hw eo b t a i n e dm a n yc o m p l e xm e t h o d st op r o t e c t o u rn e ts e c u r i t ys u c ha sf i r e w a l l s n i f f e r _ c h a n n e lc o n t r o l l e rs y s t e m a n de t c a l lt h e s e sm e t h o d sa r eak i n do fl o g i c a ls y s t e mp r o t e c t i o n h o w e v e r ，t h el o g i c a le n t i t yi t s e l fc o u l db ec o n t r o l l e d m e a n w h i l e ， t h ef o r m e do n 1 i n ea n a l y t i c a lt e c h n o l o g yc o u l dn o tf u l f i l lt h en e e d o fh i g hs p e e di n f o r m a t i o ne x c h a n g ed u et ot h ee x t r e m ec o m p l e x i t y a n d1 i m i t a t i o no ft h el o g i c a ls y s t e m i no r d e rt oi n s u r et h en e t s e c u r i t y ，w ea d o p t e dat o t a l l yn e ww a yo fp h y s i c a li s o l a t i o n t h a ti s t od e s i g na n di n s t a l lap h y s i c a li s o l a t i o nd a t ae x c h a n g es y s t e mo n t h ed a t ac o l l e c t i o ns y s t e ma n dt r a n s m i s s i o np a s s a g eb e t w e e nc o r e n e t w o r k s t h i ss y s t e mb e c a m ear e a ll i m i t a t i o na sf a ra sn e t w o r k s e c u r i t yi sc o n c e r n e d t h ed e s i g no fn e t w o r kp h y s i c a li s o l a t i o na n ds w i t c h i n g s y s t e mi sc o n s i s t e do fi n t r a n e tm a i nc o m p u t e rm o d u l e e x t r a n e t m a i n c o m p u t e r m o d u l ea n dn e t w o r k p h y s i c a l i s o l a t i o n c o n t r o l l e r - d a t ae x c h a n g em o d u l e e x t r a n e tm a i nc o m p u t e rm o d u l e i su s e dt od e a lw i t ht h ed a t af r o mu n r e l i a b l en e t w o r k ( e x t r a n e t l ， e x a mt h e ma n ds e p a r a t et h e ”o r i g i n a l ”d a t aa n dt r a n s m i tt h e mt o d a t ae x c h a n g em o d u l e c o n n e c t e dw i t hr e l i a b l en e t w o r k ( i n t r a n e t ) i n t r a n e tm a i nc o m p u t e rm o d u l ei su s e dt oe x a ma n dd e a lw i t hd a t a e x c h a n g em o d u l et r a n s m i s s i o nb a s e do ns e c u r i t yp o l i c y n e t w o r k p h y s i c a li s o l a t i o nc o n t r o l l e ri sr e s p o n s i b l ef o rd a t ae x c h a n g ea n d s e r v e sa sao n o f fb u t t o n t h i sa r t i c l ei n c l u d e st h ed e s i g no fs o f t w a r ea n dh a r d w a r e s t r u c t u r eu s e df o rs y s t e mc o n s t r u c t i o n ，t h e n e t w o r ks a f e t y p r o t e c t i o n ，a n da p p l i c a t i o nf r a m e w o r k t h ea n a l y s i so fa d v a n t a g e s a n dd i s a d v a n t a g e so ft h i ss y s t e ma n dw a y so fi m p r o v e m e n ta r e 0 f f e r e dh e r e k e y w o r d s ：n e t w o r ks e c u r i t y ，p h y s i c a li s o l a t i o n ，d a t ae x c h a n g e 哈尔滨工程大学 学位论文原创性声明 本人郑重声明：本论文的所有工作，是在导师的指导 下，由作者本人独立完成的。有关观点、方法、数据和文 献的引，| = j 已在文中指出，并与参考文献相对应。除文中已 注明引用的内容外，本论文不包含任何其他个人或集体已 经公开发表的作品成果。对本文的研究做出重要贡献的个 人和集体，均已在文中以明确方式标明。本入完全意识到 本声明的法律结果由本人承担。 作者( 签字) ：卫垒剑芝递 日期：印四年2 月日 哈尔滨i 。剧入学硕上学位论文 1 1 研究背景 第1 章绪论 美国新闻周刊报道称，2 0 0 2 年全球因安全问题导致的网络损失 高达1 万5 千亿美元。在信息化建设步伐加快，网络建设出现前所未有的 增长趋势的同时，安全保障问题正在成为未来网络发展不可忽视的重要内 容，就网络发展的趋势来看，安全已经成为影响整体发展的第因素。 “失去安全保障，我们的网络将成为不设防的城市，脆弱的安全体系 将使我们的信息化网络不堪一卉”，这是+ 位行业用户在实施信息化建设 过程中最常说的一句话。事实上，安全性正在成为包括行业用户在内的信 息化建设者们最关心的一个话题，也被看做是信息化建设成败的关键。与 国外相比，我国信息化起步显然已经滞后，不仅如此，与国外先进国家相 比，无论是在网络安全意识还是存网络安全防护技术等诸多方面都还存在 不小的差距一j 。尤其在目前的阶段，因内在信息网络安全方而还处在一个 相当薄弱的环节，因此重点保障网络安全已经成为国内信息化建没的当务 之急。随着网络建设规模和范围的扩大，安全性的重要性逐渐凸显出来： 一方而，安全是信息化建设的基础之一，是网络建设金字塔的第一块基石。 行业用户则认为，行业信息化本身就需要安令，失去安全保障信息化和网 络建设也就无从谈起。另一方面，用户需求的变化也在影响着信息化建设 实施的进程，用户安仝意识的加强使得安全性在网络建设中显得越来越重 要2 1 。 在我国，由于历史的原因，许多食事业单位特别是政府、银行、证券、 军队等机构的内部局域网，在信息自由交换和信息安全的平衡上处于两难 的境晃，这里有技术上的原因，也有政策上的原因 i 。以防火墙技术为代 表的传统网络安全设备，曾以其先驱性和实用性而获得了相当程度的普 及，但这些都是一种逻辑机制的保护方式。到目前为止，还没有任何一种 逻辑机制的网络安全设备可以完全、独立地保障信息系统的安全 1 6 。 针对中国国情，2 0 0 2 年，国家保密局在国家计算机信息系统联网 i 弁尔滨l ，栏人学硕士宁位论文 保密管珲条例中明确规定：涉及国家机密的计算机信息系统，不得直接 或问接地与国际互联网及其它公共信息网络相连接，必须实行物理隔离 3 2 。这就为“物理隔离技术”的诞生和成熟，准备了充分的发展契机 9 】【l o 。 本文所研究的物理隔离数据交换系统，就是针对某些计算机专用网络 的信息安全问题进行设计的。 1 2 网络安全概念 要想保障网络的安全性，我们首先要明确+ 点，什么是网络安全，或 者说，什么样的网络才是安全的。目前，我们一般认为网络安全应该包括 五个基本要素：机密性、完整性、可用性、可控性与可审查性。 1 2 1 机密性 确保信息不暴露给未经授权的实体或进程。正如我们在后面攻击方法 中所提到的，只要用户使用明文来在网络上传输数据，那么这些数据就有 被监听的可能，如果这些数据对用户来说比较重要或比较敏感，那么一旦 黑客窃取到这些数据，对用户来蜕所造成的危害很有呵能是非常巨大的。 因此，在网络的安全性方面，机密性被做为第一条提出。 1 。2 2 完整性 只有得到允许的人j 能修改数据，并且能够判断出数据是否被修改。 与实际生活中的过程相似，旦信息被发布者发布出去，他就不想在不知 情的情况下，信息被其他人修改。也就是说信息的接收者如何来保证他所 接受到的信息就是发送者所发出的原始信息，没有经过第三者的肆意改 动，这也就是数据完整性概念的提出。 1 23 可用性 保证得到授权的实体存需要时可访问数据，即攻击者不能占用所有的 资源而阻碍授权者的 ：作。无论。个系统多么庞人，它的可用资源总是有 限的，既然如此，那么恶意的破坏者就可能通过种种非法的手段来请求大 量的系统资源，从而使得系统将大量的系统资源分配给这些恶意的请求， 哈尔滨i ：群人学硕十学位论文 反而对正常的用户清求一i 能够及时做出响应。如果一个系统中数掘的可用 性得不到保障，那么即使数据是完整无缺的，也对使用者来说毫无意义。 1 2 4 可控性 口j 以控制授权范围内的信息流向及行为方式例f 3 4 1 。提高网络可 _ 李 性的直接有效的方法就是对删络进行分段处理，也就是对一个比较大的网 络进行逻辑上的小型化处理，即将网络划分为若干段，将容易发生数据风 暴的网段隔离开，以杜绝对其它网段的影响。 1 2 5 可审查性 能够对出现的网络安全问题提供调查的依据和手段。一旦出现网络攻 击行为或网络受到其它一些安全威胁时，系统要能够对所发生的入侵行为 进行记录，以使得事故发生之后也可以向刚络管理员提供黑客攻击行为的 追踪线索及破案依据。 1 3 网络攻击类型”踟 1 3 1 电子欺骗攻击 电子欺骗是攻击者通过伪造网络数据包的方式来实现的。该数据包的 源地址被设定为目标主机的刈信地址，从而得到主机的认证，以访问目标 主机的各种资源。t c p i p 协议本身存在一些不安全的隐患【3 j 可能受到的 攻击包括，如：i p 欺骗、d n s 欺骗、w e b 欺骗、序列号欺骗、路由欺骗和 授权欺骗等。假设欲攻击目标是连在i n t e r n 上，因为电子欺骗攻击是 针对t c p i p 本身的缺陷，所以不论目标主机运行何种操作系统，都可能 被攻击。实际j 二，电子欺骗通常作为一种手段，用于获得目标主机信任关 系，对目标主机进行攻击。 1 3 2 嗅觉器攻击 嗅觉器攻击攻击是通过把经太网卡设置为混杂模式，来捕获网络上传 送的数据包从而收集敏感数据的。一旦网卡被殴置为这种模式，它就可以 接收传输在同一个网段上的每一个数据包，这些数据可能是用户的帐号和 哈尔滨工程人学硕士学位论文 密码或一些机密数据等。嗅觉器是一种网络入侵管理丁具，能够分析网络 协议以及定位网络的敝障，但是一旦一些不法的入侵者使用了这个工具， 那么他就可以能对萨常用户数据的安全造成很大威胁。嗅觉器攻击不会在 网络上主动发送数掘包，所以小易发现。 1 3 3 端口扫描与漏洞扫描 端口是1 组号码，- 吁l6 个二进制位，其范围为0 4 6 5 5 3 5 ，服务器在 预没的端口等待客户端的连接，对入侵者来讲，每个端口就是一个入侵通 道。对目标计算机进行端口扫描能得到许多有用的信息，从而发现系统的 安全漏洞。扫描的方式可以是予动扫描，也町以用端门扫描软件自动进行， 在手动进行扫描时，需要熟悉各种网络命令，并对命令执行后的输入进行 分析。用扫描软件进行扫描时，扫描软件一般都有端口分析的能力。 1 3 4 拒绝服务攻击 拒绝服务攻击是指一个用户占据了大量的共享资源，使系统没有剩余 的资源给其他用户可用的一种攻击方式。拒绝服务的攻击降低了资源的可 用性，这些资源可以是磁盘空问，c p u 使用的时问、打印机、调制解凋器 等，攻击的结果是使系统减低或者失去服务的能力。在这种方式下，攻击 肴通过控制多台傀儡主机，同时对目标主机进行拒绝服务攻击，使目标主 机的系统资源大量消耗，从而使目标主机出现一种拒绝服务的状态。 1 3 5 缓冲区溢出攻击 缓冲区溢出是目前最普通的攻击手段，黑客利用某些程序的缺陷设计 溢出来非法获得某些权限。溢出攻击通常可以分为远程溢出和本地溢出， 其中，尤其以远程溢出的威胁最大。简单的说，缓冲区溢出就是向堆栈中 分配的局部数据块中写入了超出其实际分配大小的数据，导致数据越界， 结果覆盖了整个堆栈数据。如果用一个实际存在的指令地址来覆盖函数的 返回地址，c p u 就会转而执行我们所要的指令。利用远程溢出，黑客可 以在没有任何系统帐号的情况下获得系统的最高控制权。 哈尔滨i 。程人学硕士学位论文 1 4 网络安全防御手段 1 4 1 逻辑机制保护 1 4 1 1 防火墙 防火墙的基本思想就是对受保护的计算机及其网络与不可信任的外 界网利用软件过滤等方法建立。道屏障，防止入侵破坏。根据网络安全防 护等级的不同，采取防火墙技术也不同，下面介绍几种常用防火墙技术叫。 1 包过滤防火墙 包过滤防火墙的安全性是基于对包的i p 地址的校验，在i n 1 e r n e t 上， 所有信息都是以包的形式传输的，信息包中含发送方与接收方的i p 地址。 包过滤防火墙将所有通过的信息包中发送方和接收方的i p 地址、t c p 端 口、t c p 链路状态等信息读出，并按照预先设定过滤原则过滤信息包。对 不符合规定的i p 地址的信息包会被防火墙过滤掉，以保证网络系统的安 全。包过滤防火墙是基于访问控制来实现的，它利用数据包的头信息( 源 i p 地址、封装协议、端口号等) 判定与过滤规则相匹配与否决定舍取。 包过滤防火墙主要是防止外来攻击，或是限制内部用户访问某些外部的资 源，针对典型攻击的过滤规则，火体有：( 1 ) 对付源i p 地址欺骗式攻击( 2 ) 对 付残片攻击( t in yf r a g m e n talt a c k s ) 两种。 2 代理防火墙 包过滤防火墙从很大意义上像场战争，黑客想攻击，防火墙坚决予 以拒绝，而代代理防火墙则是利用代理服务的另外一种方式，能回避就回 避，甚至于脆隐蔽起来。代理服务器接收客户请求后会检查验证其合法性， 如其合法，代理服务器象一台客户机一。样取回所需的信息再转发给客户， 它将内部系统与外界隔离开来，从外面只能看到代理服务器而看不到任何 内部资源。代理服务器只允许有代理的服务通过，而其他所有服务都完全 被封锁住。这一点对系统安全是很重要的，只有那些被认为“叫信赖”的 服务，才允许通过防火墙。代理服务器包含两大类：一类是电路级代理网 关，另一类是应用级代理网关，两种代理技术都具有登记、只汜、统计和 报告功能，有很好的审计功能。 哈尔滨i 群人学硕士学位论文 3 混合型防火墙体系 防火墙体系的采纳是一个非常专业化的过程，不足 个简单的是和 非。当然呵以根据具体的情况，作出一定的安全政策，采用某种上述特定 的防火墙，但绝大多数情况是，根据具体的安全需求，通过某种体系架构， 来实现更高强度的安全体系，或者是采用包含上述功能的多种方式的复合 型防火墙，这就是我们所说的混合型火墙体系。 1 4 1 2 入侵检测 入侵检测是主机网络安全的一个重要组成部分【1 4 j 。它可以实现 复杂的信息系统安全管理，从目标信息系统和网络资源中采集信息，分析 来自网络外部的和内部的入侵信号系，实时地对攻击做出反应。入侵检测 系统通常分为基于主机和基于网络两类，基于主机的入侵检测系统的主要 特征是使用主机传感器监控系统的信息。这种技术可以用于分布式、加密、 交换的环境中监控，把特定的问题、特定的用户联系起来，但加大了系统 的负担，基于网络的入侵检测系统主要是网络监控传感器监控包监听器收 集的信息，它不能审查加密数据流的内容，对高速网络不是特别有效。 1 4 1 3 访问控制 访问控制主要有两种类型，网络访问控制和系统访问控制 2 8 】。阚 络访问控制限制外部主机网络服务的访问和系统内部用户对外部资源的 访问，通常由防火墙来实现，系统访问控制为不同用户赋予不同的主机资 源访问权限。操作系统提供 定的功能实现系统访问控制，如u n i x 的文 件系统，通常情况下这两种相互独立，因此，无法将两者各自的特性结合 起来进行控制。例如：在利用防火墙实现网络访问控制时，无法加入用户 属性，而在u n i x 文件系统功能进行文件访问控制时，无法加入网络属性 15 r 1 6 ” 。 1 4 1 4 加密传输 加密就是为了安全的目的对信息进行编码和解码，数据加密的基本过 程就是将可读信息译成密文的代码形式，加密的逆过程即为解密1 4 j i 5 】。加 密传输技术是一种 一分有效网络安全技术，它能够防止重要的信息在网络 上被拦截和窃取。 i p s e c 技术在i p 层实现加密和认证，实现了数据传输过程中的完整 哈尔滨i ：群人学硕+ 学位论文 性和机密一p tr 6 1 ，可为i p 及其上层协议提供安全保护。 1 4 2 物理隔离卡技术 物理隔离卡是插入计算机系统的一块p c i 扩展卡，它带有两个网络接 口，分别与可信网( 内网) 和不可信网( 外网) 相连接。同刚，物理隔离 可以管理计算机系统的两块硬盘，这两块硬盘被分别规定与为可信网连 接状态下使用和与不口j 信网连接状态下使用，在计算机系统启动的时候选 择所需的网络连接状态，物理隔离卡来选择使用相应的网络接口和硬盘， 并且禁用另一网络连接状态卜使用的网络接口和硬盘，在进行网络连接切 换的时候，需要重新启动系统。物理隔离卡，实质上隔离的是计算机系统， 它将计算机系统隔离成两个独立的系统，达到物理隔离目的。 1 4 3 物理隔离交换系统 物理隔离交换系统实际上就是一个网闸( 开关) ，分别连接在两个网 络l ，来实现两个网络的断、开，通过“开关”的断和丌，在两个网络之 间将数据信息来回传送，实现两个网络的嵋j 的数据交换。隔离交换系统在 任意时刻只与这两个网络中的任意一个进行数据传输。 简单的说，数据交换过程是这样实现的：隔离交换系统先与一个网络 连接，从这个网络上读取所需的数据，写入一1 个缓存器内，然后，隔离交 换系统断丌与这个网络的连接，与另外一个网络避行连接，最后，隔离交 换系统将缓存器内的数据再传输给连接的网络，完成了两个网络间的一次 数据交换过程。当隔离交换系统的这种交换以极高的速度进行的时候，就 实现了一种近似予实时的数据交换。 以下的图组町以给我们一个清晰的概念，隔离交换是如何实现的。如 图1 1 隔离系统状念结构模型所示，外网是安全性不高的互联网，内网是 安全性很高的内部专用网络。f 常情况下，隔离设备和外网，隔离设备和 内网，外网和内网是完全断开的。隔离设备可以理解为纯粹的存储介质和 一个单纯的调度和控制电路。 l 愉尔滨【。群人学硕十学位论文 、闻 l 、! ：广韫 图1 1隔离系统完争隔离状态模型 当外网需要有数掘到达内网的时候，以电子邮件为例，外部的服务器 立即发起对隔离设备的非f c p i p 协议的数据连接，隔离设备将所有的i p 包头剥离，剥离出协议数据，并将原始的数据写入存储介质。根据不同的 应用，可能有必要对数据进行完整性和安全性检查，如防病毒和恶意代码 等。见下图1 2 ，外网与隔离系统通信模型。 图1 2 外网与隔离系统通信模型 一旦数据完全写入隔离设备的存储介质，隔离设备立即中断与外网的 连接，转而发起对内网的非t c p i p 协议的数据连接。隔离设备将存储介 质内的数据推向内网。内网收到数据后，立即进行t c p i p 的封装和应用 协议的封装，并交给应用系统。这个时候内网电子邮件系统就收到了外网 的电子邮件系统通过隔离设备转发的电子邮件。见下图1 3 ，隔离系统与 圄冒 哈尔滨1 程大学硕士学位论文 内网通信模型。 川 幽1 3 隔离系统与内网通信模，“ 在控制台收到完整的交换信号之后，隔离设备立即切断隔离设备于内 网的直接连接。见上图1 1 隔离系统状态模型所示。 如果这时，内网有电子邮件要发出，隔离设备收到内网建立连接的请 求之后，建立与内网之间的非t c p i p 协议的数据连接。隔离殴备剥离所 有的t c p i p 协议和应用协议，得到原始的数据，将数据写入隔离设备的 存储介质。必要的化，对其进行防病毒处理和防恶意代码检查，然后中断 与内网的直接连接，见图i 4 ，内网与隔离系统通信模型。 _ 。、闻 弋0 广调 图1 4 内网与隔离系统通信模型 一旦数据完全写入隔离设备的存储介质，隔离设备立即中断与内网的 连接，转而发起对外网的非t c p i p 协议的数据连接。隔离设备将存储介 质内的数据推向外网。外网收到数据后，立即进行t c p i p 的封装和应用 协议的封装，并交给系统。见下图1 j ，隔离系统与外网通信模型。 耻 图1 ，5f 目离系统与外网通信模型 控制台收到信息处理完毕后，立即中断隔离设备与外网的连接，恢复 到完全隔离状态，如上图1 1 所示。每一次数据交换，隔离设备经历了数 据的接受，存储和转发三个过程。由于这些规则都是在内存和内核完成的， 因此，速度上有保证，可以达到1 0 0 的总线处理能力 7 8 1 。 1 5 隔离交换与其它方式比较 1 5 1 与防火墙技术比较 通常情况下，网络安全防御的做法一般是采用防火墙技术。普通的防 火墙由于操作系统的漏洞或者软件本身的缺陷，很难抵挡一个有经验的黑 客的攻击，而一个比较完善的大型防卫系统，包含完备的入侵检测和内容 过滤，动辄达到几十、上百万元人民币，这是许多单位难以承受的。同时， 较复杂的逻辑算法所形成的防护方式，易使系统产生延时问题。 相比之下，物理隔离系统是安全等级更高的硬件产品，它不存在软件 漏洞，可以完成包过滤、应用代理、状念检测的功能，并且由于设计上先 进性，阻止一切外来的访问请求和入侵扫描，无须再加上入侵检测产品， 软件上加以设置，同样可以完成普通的内容过滤的功能，这样，物理隔离 系统就是一个完整的安全系统。在保证了网络任意时间段物理隔离的同 哈尔滨1 程大学硕士学位埝文 时，再配合使用其他的防病毒产品，就可以完善的解决防火墙所无法达到 的防护级别。同时，由于隔离系统列数据的交换是在高速内存和内核问完 成的，冈此，速度上有保证，u 。以达到对数据的实时传输，不存在延时问 题。 1 5 2 与物理隔离卡比较 隔离 是物理隔离技术发腱过程中个重要的成果，它达到了保护内 网安全的目标，目前在政府m 络巾有着大量的应用。但是，随着技术的更 新发展，尤其是物理隔离交换系统的卅现，隔离卡存使用巾的劣势也表现 的越来越明显了。 首先，在使用中，需要建立两套网络，在其中进行切换来进行物理隔 离，它使得建设的成本增高了，尤其实在约3 0 台电脑规模的网络中，使 用卡的方式比较物理隔离系统来说要高，而网络越大，电脑越多，这个劣 势就越明显。 其次，使用隔离卡，必须每一台电脑配嚣一张卡和多加的块硬盘， 这样，系统故障的概率加大，维护费用也相应增加。 第三，必须指出的是，使用隔离卡的方式，必须在进入另一个网络时 重新启动电脑，操作的不便利性加上重启过程中电流冲击烧毁硬件的事件 屡有发生，都让人意识到，使用物理隔离系统比使用隔离卡的方式有其更 先进、更合理，同时也是更经济的做法。 1 6 本论文主要内容安排 本文将对隔离数据交换系统进行较深入的研究，对构筑系统的硬件结 构和软件包进行设计与分析，掌握系统功能设计的实现过程。 本文主要内容安排如下： 第1 章绪论，简要介绍了网络安全概念，网络攻击类型与防御手段， 并针对目前网络安全技术做了较深入的研究和比较，提 h 了本文的研究背 景和意义。 第2 章物理隔离系统概述，本章主要通过对网络安全防御系统的需 求分析，确定了采用隔离数据交换系统的防御网设计方案，概述了隔离交 哈尔滨f ：群人学硕士学位论文 换系统的总体构架和主要功能史现方案。 第3 章系统硬件设计，本章对系统进行了功能需求分析和功能划分， 并对硬件系统中主要子系统硬件进行了较深入的研究与设计。 第4 章系统软件设计，本章节对软件系统进行功能分析和子系统安 全策略研究，分析了软件系统的数据流程，并对软件子系统以模块的方式 进行设计，方便了系统的维护与升级工作。 第5 章结论，归纳与总结，指出了隔离系统设计的优缺点以及当f i i 应用情况。 附录a 一附录h ，给出部分硬件电路图和应用的典型软件界面网。 睑自! 这! ：型厶堂亟堂焦监塞 第2 章物理隔离系统概述 本文所研究的物理隔离数据交换系统是属实时交换隔离器类型，研究 与设计此系统的总体目标是建立个高速高性能的网络安全隔离体系结 构 ”1 【”】，实现对内刚与外网的安全物理隔离，保护内阌免受外部入侵攻 击，同时内、外嘲能进行高速的数据交换。 2 1 系统需求分析 2 1 1 安全防护的基本需求 在安全防护方面，主要实现以下三个目标： 1 保证核心内网在任何时候不受黑客的正面攻击； 2 保证核心内网的机密信息不外泄； 3 为接收的数据提供一致件、完整性( i n t e g r i t y ) 的验证。 2 1 2 本设计的主要技术要求 i 在整个网络上部署完隔离与信息交换系统后，不影响原有网络的 高速实时连接： 2 外部网络的设备或终端只能在被动的情况下与内部的设备或终端 进行连接； 3 内网的数据采集服务器通过映射成外网i p 地址，供外部的设备或 终端访问，保证了内部设备或终端的高度安全性； 4 完善的内网用广i 管理和审计功能； 5 。采用专用的内网转换协议。 2 2 系统在专用通信网络中的部署 物理隔离数据交换系统部署在内网与外网的交界处，系统的内、外网 关各有一个e t h e r n e t 接口，分别与内网和外网相连；同蚓，还各有一个 r s2 3 2 c ( 或l s b ) 口用于隔离数据交换系统的配置。如下图2 1 所示， l 量自i 篮上型厶堂亟土堂焦鲨塞 为系统安装部署的拓扑结构圈。 2 3 安全策略 2 3 1 安全目标一 图2 1 系统安装部署拓扑结构图 第一个安全目标，保证内网不受黑客正面攻击。为实现这目标，系 统做了如下设计： 1 在硬件设计上，我们把隔离交换系统的内网关和外网关，分别设 计成两个独立的系统，中间共用了一个存储介质，该存储介质或者与内网 关相连，或者与外网关相连，但绝对不能同时与内网关或外网关相连，这 样就实j ：r 见t 内网和外网在物理层上的真正隔离。在物理上，阻断了黑客攻 击的途径。 2 在软件设计上，采用了自主丌发的通讯协议，通过自行设计的专 有协议在内、外网关之间进行数据交换，该方案彻底地解决了用户担心国 外软件系统等应用平台存在后门威胁的问题。同时，外网关与外部网络的 通信，也是采用自行设计的专有通信协议( t c p i p 协议被禁止) ，# t - n 关 在数据链路层t 作，黑客无法在外部网络通过t c p i p 协议发现并登录外 网荚，对其实施破坏或攻击。使用网络安全隔离数据交换系统以后，只有 经过认证的内网指令j 有可能在此通信链路上传递数据，使攻击受到最大 的限制。 3 在通信寻址方式上，内网服务器通过地址转换后映射到外部网络， 为外网提供访问服务。使攻击者在外嘲所见到的内网地址，只是通过隔离 系统映射到外网变换后地址，而内网的真实地址已被隐藏，这种方式在一 定程度卜，限制了外网的攻击。 2 3 2 安全目标二 第二个安全目标保证内网的机密信息不外泄。主要是为了避免任何 黑客通过些类似木马程序之类的恶意代码，从内网向外发出信息的可 能。为了实现这1 目标，系统设计根据需际需求，禁掉各种通讯协议，比 如：f t p 协议、s m t p 协议以及i c m p 等协议，仅保留外网t c p 协议和内网 专用协议，并在内网出口上嵌入加密算法，这样就可以保证只有通过加 密的信息，可以通过内网关发信息到外网，其他任何程序无法把信息从内 网发到外网上。 2 3 3 安全目标三 为了实现第三个安全目标一保证接收的数据完整性，系统嵌入h a s t t 算法软件，可以生成数据摘要，这样可以保证数据的完整性；系统也可以 根据用户的需要加入数字签名功能，提供数据的不可抵赖性证明f 2 3 【2 4 】【2 5 。 2 4 物理隔离系统功能设计 物理隔离数据交换系统是一种在网关处实施的，将内部可信网与外部 不可信网隔离的物理隔离器，它的两端分别与内部和外网相连，从安全和 应用两个角度分析，系统应实现以下几方面的需求。 2 4 1 内外网络之间的隔离 这是对网络隔离系统的最基本要求。为了实现内外网之间的隔离，需 要保证内外网在任意时刻都保持物理传导和物理辐射意义上的断开。即确 保外网不能与内网有任何形式的连接，防止内部网络的信息通过连接泄露 到外部网络；并h ，确保内网信息不会通过电磁辐射或耦合方式泄露到外 网。 2 4 2 内外网络之间的数据交换完全可控 内外网之间所交换的数据，必须是完全可控的静态数据的交换。此处 的可控是指根据系统安全策略的设置，町根据协议类型、源地址、目的地 址、协议命令、时间等特征对所交换的数据进行控制。此处的静态有两个 含义：一是指断丌基于t c p i p 协议的连接；一是指所有的数据在交换过 程中均是不i ；= 【j + 执行的。内外网之间的数据交换通过一个基于硬件的隔离交 换系统来实现。此隔离交换系统可在不同时刻分别与内网和外网连接，但 不能与内网和外网同时建立连接，以便实现内外网之间的隔离与数据交 换。 2 4 3 数据交换过程协议专用封装 数据在通过网络隔离系统内部实现进行内外数据交换的时候，必须 中断原有的t c p t p 连接，对t c p i p 包进行协议分析，取出t c p i p 包中 的数据并且用专用协议重新封装后进行数据交换。 t c p i p 连接被中断后，通过网络隔离系统交换的数据封装采用专用 封装协议，此协议是为网络隔离系统专门设计的数据传输协议，此协议仅 在系统内进行数据交换时使用。因此，专用协议必须严密、高效、完全适 用网络隔离系统的系统结构利应用环境，防止各种应用协议漏洞进行的攻 击；并且，专用协议必须采f e j 消息认证和数字签名等措施来防止伪造。 2 4 4 抵抗多种类型的攻击 网络隔离系统应能抵抗多种类型的攻击。其中有缓冲区溢出攻击； 基于t c p i p 协议的各种攻击，如地址欺骗、端口扫描、嗅觉器攻击、超 常i p 段、t c p 碎片；区分针对服务器的合法请求和非法请求、拒绝服务 攻击等。 2 4 5 安全策略设置和集中管理 网络隔离系统应能进行多种安全策略的设置并根据安全策略管理和 控制通过网络隔离系统的数据，划于为了提高网络带宽，需要在同1 网络 中应用多个脚络隔离系统的情况，网络物理隔离系统应能进行负载分流， 集群控制和集中管理。 24 6 高速的数据交换 刚络隔离系统中的隔离交换系统应能在内网和外网之间进行高速切 换，使数据交换的速率应能接近在没有使用网络隔离系统之间，连接内网 和外刚的网关处所能达到的最高速率，不应有明显延时和迟滞。 2 4 、7 支持多种网络传输协议 网络隔离系统可以进行多种类型的基于t c p i p 协议进行数据交换， 如h t t p 协议、s m t p 、p o p 3 、f t p 协议等，并且，网络隔离系统应能支持 自定义的协议类型数据的交换。 2 4 8 内容审查和防病毒 网络隔离系统应该设计成一个开放性的平台，可以有选择的附加内容 审查和防病毒功能模块。 2 5 系统总体结构 一般来说，物理隔离数据交换系统主要由内网处理单元、外网处理单 元和制处理单元三部分构成。其中，内网处理单元包括可信端处理器和可 信端接口；外网处理单元包括不可信端处理器和不可信端接口；控制处理 单元包括控制接口、存储器和读写转换丌关。 外网处理单元与外网( 公网) 相连，内网处理单元与内网( 专用计算 机网络) 连接，控制处理单元中的转换丌关，在同1 时刻只能与内网或外 网处理单元中的一个闭合，另一端是断开的，从而使内、外两个通信网络 实现了物理上的隔离。如下图2 2 所示，为物理隔离数据交换系统的总体 结构框图。 图2 2 物理隔离交换系统结构图 2 6 功能实现 2 6 1 外网处理单元 如上图2 2 所示，外网处理单元包括不可信端处理器和不可信端安全 接口两部分。 不可信端处理器与外网相连接，充当外网的网关，接收并预处理由外 网到内网的数据传输，将其发送至不可信端安全接口以交换至可信端，并 将已山可信端处理器及可信端安全接几预处理后通过不町信端安全接口 交换过来的数据，进行处理厉发送至外信网。 不呵信端安全接口通过p c l 总线与不可信端处理器相连，数据从不可 信端处理器的p c i 发送缓存区通过p c i 的d m a 方式传输送至不可信端安全 接口的f i f o 中，再发送至可信端的安全接口。对应的，由可信端安， ! ! 接 口传送过来的数据包首先送至不可信端安全接口上f p g a 芯片中的隔离交 换区，然后进行消息认证，根据专用协议包头中的消息认证印戳进行消息 认证操作，如果通过消息认证，则继续进行下一步处理，如果认证没有通 过，则生成一个错误报告。 2 6 2 内网处理单元 内网处理单元也包括可信端处理器和可信端安全接口两部分。可信端 呛筮堡= l = 壁厶：兰亟堂焦迨塞 处理器与内网相连接，充当内网的网关，接收并预处理由内网到外网的数 据传输，将其发送至可信端安全接l 1 以交换至不可信端，并将已由不可信 端处理器及不町信端安全接u 预处理后通过可信端安全接口交换过来的 数据，进行处理后发送至内网。 可信端安全接口通过p c t 总线与可信端处理器相连，数据从可信端处 理器的p c i 发送缓存区经过p c 的d m a 方式传输送至可信端安全接口的 f i f 0 中，再发送至不可信端的安全接口。对应的，山不可信端安全接口 经p c i 总线传送过来的数据包首先送至可信端安全接口上f p g a 芯片中的 隔离交换区。对丁= 隔离交换区中的数据包，首先进行消息认证，根据专用 协议包头中的消息认证印戳，对数据包进行消息认证操作，如果认证通过， 则继续进行f 一步处理，如果认证没有通过，则丢弃这个数据包，并生成 一个错误报告。 2 6 3 控制处理单元 控制处理单元包括控制板、存储器和读写转换开关。控制处理单元主 要是控制可信端安全接口与不可信端安全接口间的数掘转换，起到一个中 转站和网闸开关作用。 2 7 性能指标 物理隔离数据交换系统完成指标的设计，主要包括系统基本功能、核 心功能、扩展功能和抗攻击性等。如下表2 1 所示： 表2 1 系统没计指标 类别了类解释 采用川户名、内刚i p 地址、外旧i p 地址和u r l 的方式进行访问撺 访i i ；i j 摔制制；在系统燕键安伞策略受到破坏时，能从物理【切断内外嘲绍的 通竹链路，阻断一切通信功能 基本 支持协 支持的常见网络应用协议，如：h r f p 、f t p 、s m t p 和p o p 3 等： 支持主流数据库的双向要求；支持对o r a c l e 和s q ls e r v e r 数 功能 议种类 据库的异构同步 i 忠的接收、 具自e | 志生成、获取、存储功能，对志进行分类，制定审计规则， 并根据审计规则进行不同的分类审计；u 志备份到客户端，以文件 分析l j 市计 形势保存 核心硬件组成 独寸的内外州父和隔离挎制糕 功能 醚件参数 内音i j 数据传输速牢1 0 0 m ，硬件开关切换速度2 u s 采用纯硬件i h 予开关实现内外嘲络链路物理断开，硬件接l 不可编 硬件断开 程，并具有自土知识产权。 断开直接的t c p 列活连接，小允许安全隔茸与信息交换系统内、外 会西安全 m 络存枉直接的网络连接。 内外嘲戈之间传输使j 玎自主开发的通讯伽议；实现安伞的原始应用 应川曲、 数捌交换，并提供应用数据内容的安全控制，即通过安全隔离与交 泌交换 换系统传输的数据不能包禽任何t c p 1 p 协议拎制信息，只能是原 始的应用层数据。 协议处 所能处理的t c p i pl a , 泌层次，心能对协泌处理到应用层。 理层次 抗攻处理防 对d o s ，d d o s 等攻击具有防范能力。 击性 范能力 管理方式分内删远程网络管删和w e b 浏览器方式管理，用户管理 界面分为g u i t 图形用户界面) 和w e b t 9 监器方式用户界面) ；支持 管理方式 问一管理服务鞴对多台设备的集中统一管理；管理数据传输中进 亍 u j 用忡加密保护。 管理控 口t 对i p 、用户、| _ 】令、协泌及端u 等进行灵活配置管理。 制范雨 基本功能 内外陶 支持酣置多个i p 地址；内网服务器通过地址转换后映射 烈向一障 到外部刚络提供坊问服务 于j 腱功能 史持静态路由 打艘 病毒盘杀、入侵检测、数，证书等功能 功能 吞0 1 ：量 最大数据传输率： 1 0 0 m 最人 能建一的屉人并发连接数4 0 万条 接数 延时 经过刚络安全隔离数据交换系统的数据延时为2 u s 2 8 本章小结 本章概要介绍了网络安全防护设计要求、安全策略的三个目标和物理 隔离系统的总体结构等。 安全策略的三个目标是：第一个安全目标，保证内网不受黑客正面攻 击。为实现这一目标，系统在硬件设计上，实现了物理隔离；在软件设计 卜，采用了自主开发的通讯协议；在通信方式上，内网服务器通过地址转 换后映射到外部网络，为外网提供访问服务。通过这三种设计，最大程度 地限制了入侵者通过外网对内网的正面攻击。第二个安全目标，保证内网 的机密信息不外泄。为了实现这一目标，系统设计根据需际需求，禁掉各 种通讯协议，比如：f t p 协议、s m t p 协议以及i c m p 等协议，仅保留外网 t c p 协议和内网专用协议，并在内刚出口上嵌入加密算法等，这样就可以 保证只有通过加密的信息，可以通过内网关发信息到外网，其他任何程序 无法把信息从内网