网闸工作原理.doc

物理隔离网闸简介物理隔离网闸简介 二零零四年三月 目录目录 1 物理隔离网闸的定位物理隔离网闸的定位 3 2 物理隔离要解决的问题物理隔离要解决的问题 3 3 TCP IP 的漏洞的漏洞 3 4 防火墙的漏洞防火墙的漏洞 4 5 物理隔离的技术原理物理隔离的技术原理 4 6 物理隔离网闸常见技术问题解答物理隔离网闸常见技术问题解答 8 6 1 物理隔离网闸一定要采用专用开关集成电路吗 8 6 2 物理隔离网闸是如何利用 SCSI 来实现开关技术的 9 6 3 物理隔离网闸可以采用 USB 火线和以太来实现软开关吗 9 6 4 为什么 SCSI 可以 而 USB 火线和以太就不行 10 6 5 物理隔离网闸的开关的速度很慢吗 10 6 6 物理隔离网闸工作在 OSI 模型的那一层 10 6 7 物理隔离网闸在 OSI 模型第 5 层是如何工作的 11 6 8 物理隔离网闸在 OSI 模型第七层是如何工作的 12 6 9 信息安全交换系统是如何工作的 12 6 10 安全隔离网闸在 OSI 模型里是如何工作 13 6 11 采用了协议转换 是物理隔离吗 15 6 12 基于协议转换的双主机结构有哪些类型和形式 15 6 13 物理隔离网闸的每一个应用都需要相应的代理 17 6 14 物理隔离网闸的应用代理是否符合相关的 RFC 规范 17 6 15 从外网已经PING不通内网 是物理隔离网闸吗 17 6 16 从外网无法扫描内网的主机 是物理隔离网闸吗 18 6 17 通过开关来实现了包转发 是物理隔离网闸吗 18 6 18 为什么说即使入侵了网闸的外部主机 也无法入侵内部主机 18 6 19 物理隔离网闸的外部主机有哪些防止入侵的办法 18 6 20 为什么物理隔离网闸能阻止未知的攻击 19 6 21 物理隔离网闸的安全性是最高的吗 19 Page 3 of 19 1 物理隔离网闸的定位物理隔离网闸的定位 物理隔离技术 不是要替代防火墙 入侵检测 漏洞扫描和防病毒系统 相反 它是用户 深度防御 的安全策略的另外一块基石 一般用来保护为了 的 核心 物理隔离技术 是绝对要解决互联网的安全问题 而不是什么其 它的问题 2 物理隔离要解决的问题物理隔离要解决的问题 解决目前防火墙存在的根本问题 防火墙对操作系统的依赖 因为操作系统也有漏洞 TCP IP 的协议漏洞 不用 TCP IP 防火墙 内网和 DMZ 同时直接连接 应用协议的漏洞 因为命令和指令可能是非法的 文件带有病毒和恶意代码 不支持 MIME 只支持 TXT 或杀病毒软件 或 恶意代码检查软件 物理隔离的指导思想与防火墙有很大的不同 防火墙的思路是在保障互联 互通的前提下 尽可能安全 而物理隔离的思路是在保证必须安全的前提下 尽可能互联互通 3 TCP IP 的漏洞的漏洞 TCP IP 是冷战时期的产物 目标是要保证通达 保证传输的粗旷性 通过 来回确认来保证数据的完整性 不确认则要重传 TCP IP 没有内在的控制机制 来支持源地址的鉴别 来证实 IP 从哪儿来 这就是 TCP IP 漏洞的根本原因 黑客利用 TCP IP 的这个漏洞 可以使用侦听的方式来截获数据 能对数据进行 Page 4 of 19 检查 推测 TCP 的系列号 修改传输路由 修改鉴别过程 插入黑客的数据流 莫里斯病毒就是利用这一点 给互联网造成巨大的危害 4 防火墙的漏洞防火墙的漏洞 防火墙要保证服务 必须开放相应的端口 防火墙要准许 HTTP 服务 就 必须开放 80 端口 要提供 MAIL 服务 就必须开放 25 端口等 对开放的端口进 行攻击 防火墙不能防止 利用 DOS 或 DDOS 对开放的端口进行攻击 防火墙 无法禁止 利用开放服务流入的数据来攻击 防火墙无法防止 利用开放服务 的数据隐蔽隧道进行攻击 防火墙无法防止 攻击开放服务的软件缺陷 防火 墙无法防止 防火墙不能防止对自己的攻击 只能强制对抗 防火墙本身是一种被动防 卫机制 不是主动安全机制 防火墙不能干涉还没有到达防火墙的包 如果这 个包是攻击防火墙的 只有已经发生了攻击 防火墙才可以对抗 根本不能防 止 目前还没有一种技术可以解决所有的安全问题 但是防御的深度愈深 网 络愈安全 物理隔离网闸是目前唯一能解决上述问题的安全设备 5 物理隔离的技术原理物理隔离的技术原理 物理隔离的技术架构在隔离上 以下的图组可以给我们一个清晰的概念 物理隔离是如何实现的 图 1 外网是安全性不高的互联网 内网是安全性很高的内部专用网络 正常情况下 隔离设备和外网 隔离设备和内网 外网和内网是完全断开的 保证网络之间是完全断开的 隔离设备可以理解为纯粹的存储介质 和一个单纯的调度和控制电路 Page 5 of 19 当外网需要有数据到达内网的时候 以电子邮件为例 外部的服务器立即 发起对隔离设备的非 TCP IP 协议的数据连接 隔离设备将所有的协议剥离 将 原始的数据写入存储介质 根据不同的应用 可能有必要对数据进行完整性和 安全性检查 如防病毒和恶意代码等 见下图 2 一旦数据完全写入隔离设备的存储介质 隔离设备立即中断与外网的连接 转而发起对内网的非 TCP IP 协议的数据连接 隔离设备将存储介质内的数据推 向内网 内网收到数据后 立即进行 TCP IP 的封装和应用协议的封装 并交给 应用系统 这个时候内网电子邮件系统就收到了外网的电子邮件系统通过隔离设备转 发的电子邮件 见下图 3 Page 6 of 19 在控制台收到完整的交换信号之后 隔离设备立即切断隔离设备于内网的 直接连接 见下图 4 如果这时 内网有电子邮件要发出 隔离设备收到内网建立连接的请求之 后 建立与内网之间的非 TCP IP 协议的数据连接 隔离设备剥离所有的 TCP IP 协议和应用协议 得到原始的数据 将数据写入隔离设备的存储介质 必要的化 对其进行防病毒处理和防恶意代码检查 然后中断与内网的直接连 接 见下图 5 Page 7 of 19 一旦数据完全写入隔离设备的存储介质 隔离设备立即中断与内网的连接 转而发起对外网的非 TCP IP 协议的数据连接 隔离设备将存储介质内的数据推 向外网 外网收到数据后 立即进行 TCP IP 的封装和应用协议的封装 并交给 系统 见下图 6 控制台收到信息处理完毕后 立即中断隔离设备与外网的连接 恢复到完 全隔离状态 见下图 7 Page 8 of 19 每一次数据交换 隔离设备经历了数据的接受 存储和转发三个过程 由 于这些规则都是在内存和内核力完成的 因此速度上有保证 可以达到 100 的 总线处理能力 物理隔离的一个特征 就是内网与外网永不连接 内网和外网在同一时间 最多只有一个同隔离设备建立非 TCP IP 协议的数据连接 其数据传输机制是存 储和转发 物理隔离的好处是明显的 即使外网在最坏的情况下 内网不会有任何破 坏 修复外网系统也非常容易 6 物理隔离网闸常见技术问题解答物理隔离网闸常见技术问题解答 6 1 物理隔离网闸一定要采用专用开关集成电路吗 答 不是 在开关的实现中 最直接的办法是采用专用开关集成电路 直 接控制总线方式 由于受我国芯片制造业的水平限制 性能和质量很难保证 送到外国生产则必须交出电路设计 又担心安全问题 另外一个问题是专用芯 片的批量生产和价格问题 在美国也很难解决这个问题 目前美国的物理隔离 网闸厂商 采用专用开关芯片的也不多 Page 9 of 19 6 2 物理隔离网闸是如何利用物理隔离网闸是如何利用 SCSI 来实现开关技术的 来实现开关技术的 答 首先 SCSI 不是一个通信协议 而是一个用于主机向存储外设读写的 协议 通过两个主机连接一个存储设备 如下图 中间的固态存储介质 不是采用文件系统方式 而是采用块方式 Block 外部主机可以向固态存储介质发起读和写的请求 内部主机也可以 向固态存储介质发起读和写的请求 但固态存储介质每次只受理一个 固态存 储介质本身不可以向主机发起连接请求 因此 外部主机和内部主机不会发生 连接 只能通过固态存储介质进行摆渡 这就具备了一个简单的开关原理 在 实际的技术中要复杂得多 厂商要解决存在的时钟问题 效率问题 同步问题 可靠性问题 阻塞问题等一系列问题 才可能实现基于 SCSI 的开关技术 由于 SCSI 连接不存在任何上层协议的编程接口 仅只有读 写的功能 能够很好地 阻挡任何上层通信协议包括 TCP IP 并具有很高的可靠性和稳定性 因此 在 操作系统核心层中通过 SCSI 技术实现主机之间的开关设计在国际上非常流行 也是主流趋势 6 3 物理隔离网闸可以采用物理隔离网闸可以采用 USB 火线和以太来实现软开关吗 火线和以太来实现软开关吗 答 不可以 USB 火线和以太线 都是通信协议 这在安全性上与防火 墙无异 由于 USB 方式 火线方式和以太方式很容易增加编程接口 如加载 TCP IP 可能受某些软件编程控制 不能有效和彻底地中断 TCP IP 和应用服务 Page 10 of 19 基于上述介质实现的通断 有厂商宣称是软开关 不是物理隔离网闸所要求的 开关 线路有通断 并不就是物理隔离 6 4 为什么为什么 SCSI 可以 而可以 而 USB 火线和以太就不行 火线和以太就不行 答 要说集成电路开关 大家比较容易接受 而 SCSI 也是线 USB 火线 和以太也是线 为什么 SCSI 可以 而其他的就不行 原因很简单 SCSI 不是 通信协议 是文件读写协议 SCSI 线和固态存储介质作为一个系统来实现开关 原理 USB 火线和以太都是通信协议 两个主机相连 已经不具备物理隔离网 闸要求的隔离特性和安全特性 6 5 物理隔离网闸的开关的速度很慢吗 物理隔离网闸的开关的速度很慢吗 答 不慢 一个 33Mhz 的 32bit 的总线 bus 的 PCI 能提供的带宽为 132MB s 即 1056Mbit s 一个 66Mhz 的 64bit 的总线的 PCI 能提供的带宽为 528MB s 即 4224Mbit s 采用双通道的 320MB s 的 SCSI 可以取得的总带宽 为 640MB s 即 5120Mbit s 5G 带宽应该足够了 6 6 物理隔离网闸工作在物理隔离网闸工作在 OSI 模型的那一层 模型的那一层 答 所有的七层都工作 Page 11 of 19 6 7 物理隔离网闸在物理隔离网闸在 OSI 模型第模型第 5 层是如何工作的 层是如何工作的 答 物理隔离网闸通过工作在第 5 层 来中断 TCP 会话 将一组 IP 包 还原 为一个应用数据 因此 基于 TCP 协议的攻击 就全部被去掉 比如 说 SYNflooding 攻击等 Page 12 of 19 6 8 物理隔离网闸在物理隔离网闸在 OSI 模型第七层是如何工作的 模型第七层是如何工作的 答 物理隔离网闸必须在外部和内部主机上同时提供具体的应用代理服务 没有提供代理服务的应用服务的包将无法通过 只有提供相关的应用代理服务 在剥离 TCP IP 基础之上 才能将应用协议 剥离 屏蔽应用协议可能的漏洞 保证安全性 应用代理将应用数据 还原 出来 通过开关电路 摆渡 到对 方 6 9 信息安全交换系统是如何工作的 信息安全交换系统是如何工作的 答 信息安全交换系统的 OSI 模型图如下 外部主机代理 内部主机代理 和中间的安全检查主机 三台主机之间通过以太方式相连 有文献说 可以将 中间的安全检查主机 采用物理隔离卡 来人工切换 有些类似安全系统和物 理隔离卡的系统应用 可以认为是物理隔离 但不是物理隔离网闸 Page 13 of 19 6 10 安全隔离网闸在安全隔离网闸在 OSI 模型里是如何工作 模型里是如何工作 答 安全隔离工作模型有很多种 其中安全性最高的一种如下图 Page 14 of 19 但没有发现这种结构与单个的代理有本质的不同 除非内部主机的操作系 统与外部的不同 该结构的另外两种模型如下 分别是电路代理和包过滤 电路代理在执行完认证和会话检查后 预以放行 效率比应用代理要高一 些 Page 15 of 19 包过滤的双主机结构 是目前安全性最低的一种 几乎看不出来 它与两 个包过滤防火墙串联有什么不同 有些厂商从外部主机的内核中取出数据 将 网卡设置为混杂模式 直接传输到内部主机的内核 听起来好像安全一些 实 际什么也没有做 比如有些物理隔离就是双主机之间 在机箱内部直接用以太 连接起来 6 11 采用了协议转换 是物理隔离吗 采用了协议转换 是物理隔离吗 答 不是 采用双主机形式 在双主机之间执行协议转换 还是安全隔离 或逻辑隔离的范畴 因为协议的转换并不意味着消除了基于协议的攻击 还是 存在通信连接 存在基于通信连接的攻击 6 12 基于协议转换的双主机结构有哪些类型和形式 基于协议转换的双主机结构有哪些类型和形式 答 主要有三种类型 应用代理 电路代理和包过滤类型 协议转换形式 包括但不限于 USB 火线 串口 并口 ATM myrinet 专用 ASIC 卡等形式 很多人并不认为 双主机用以太方式连接起来 能增加安全性 也不认为 是什么物理隔离 因为在理论上 黑客可以通过操作系统的漏洞扫描来发现主 Page 16 of 19 机漏洞 从而入侵该主机 再扫描下一个主机 逐步入侵 因此 有些厂商 将以太线改为串口 并口 USB 或火线 有的干脆在 USB 或火线上跑 TCP IP 协 议 总体上 可以归纳为 双主机之间有通信协议 甚至是 TCP IP 协议 某些 情况下 包直接从外部主机到达内部主机 可能发生基于包的攻击 某些情况 下 可能发生基于连接的攻击 某些情况下 可能发生基于命令的攻击等 因 此 基于私有通信协议并不意味着安全 有些厂商为了增加对内容的检查 利用 TCP Stream 来还原数据流 以便 增加对内容的检查 在防火墙上同样可以增加这些功能 如有厂商推出流过滤 就是这样一个功能 这只是上图的一个变种 同样存在基于连接的攻击 基于 会话的攻击 和基于协议的攻击 Page 17 of 19 这是另外一个变种 在双主机上利用应用代理来增强安全性 消除了利用 协议漏洞攻击的可能性 但还是存在基于通信连接攻击的可能性 因此上述情 况都不是物理隔离网闸 6 13 物理隔离网闸的每一个应用都需要相应的代理 物理隔离网闸的每一个应用都需要相应的代理 答 是 除了标准通用应用之外 每一个应用只要有协议规范 就可以定 制 因此任何行业都可以使用物理隔离网闸 不管其应用多特殊 6 14 物理隔离网闸的应用代理是否符合相关的物理隔离网闸的应用代理是否符合相关的 RFC 规范 规范 答 符合 只有符合 才能保证应用的透明性和互通性 6 15 从外网已经从外网已经 ping 不通内网 是物理隔离网闸吗 不通内网 是物理隔离网闸吗 答 不一定 Ping 当然无法 ping 通物理隔离网闸 但 ping 不通不一定是 物理隔离网闸 在路由器上禁止 ICMP 协议 ping 就不能工作 但不是物理隔 离网闸 Page 18 of 19 6 16 从外网无法扫描内网的主机 是物理隔离网闸吗 从外网无法扫描内网的主机 是物理隔离网闸吗 答 不一定 扫描软件无法通过物理隔离网闸来扫描内部主机 但扫描不 了内部主机不一定就是物理隔离网闸 扫描软件就无法通过代理服务器来扫描 内部主机 但代理服务器不是物理隔离网闸 6 17 通过开关来实现了包转发 是物理隔离网闸吗 通过开关来实现了包转发 是物理隔离网闸吗 答 不是 只要包里含有 TCP IP 协议 即使是使用了开关 也可以建立 TCP 连接 存在基于包和 TCP 协议的攻击 6 18 为什么说即使入侵了网闸的外部主机 也无法入侵内部主机 为什么说即使入侵了网闸的外部主机 也无法入侵内部主机 答 物理隔离网闸的外部主机和内部主机不是通过对话来进行通信的 而