隔离网闸的安全模型

隔离网闸可以解决的问题一、隔离网闸的安全模型隔离网闸真正实现了两个网络之间的物理隔离。隔离网闸中断了两个网络之间的直接连接，所有的数据交换必须通过以“反射”方式摆渡到内部网络。下面的例子阐述了隔离网闸的工作模型：假设一个周围环境比较危险的加油站，在加油完毕之后要向顾客收取现金，同时要避免受到损害（如抢劫）。在这里GAP装置是一个金属抽屉，由收款员操作。金属抽屉是收款员和外部危险环境的一个唯一连接。顾客通常把现金放在抽屉里，只有当柜台里收款员透过玻璃窗检查过抽屉中内容之后，收款员才打开抽屉检查里面数目。这时，抽屉和里面的东西对顾客来说变得不可访问。收款员将发票和找回的零钱返回给顾客也通过相同的办法。金属抽屉是一个物理GAP，由可信的一端控制，在可信和不可信的环境之间进行有选择性的交易，并使可信的一端得到保护，其工作效果如图所示：二、与其它技术的区别 防火墙侧重于网络层至应用层的策略隔离，往往还会存在一些安全问题，如本身操作系统、内部系统的漏洞、通用协议的缺陷等会造成被攻击。而物理隔离卡等则侧重于物理链路层的硬隔离，所以存在着数据交换不方便的瓶颈，限制了应用的发展。GAP技术属于从物理层到数据级别的多层次隔离，所采用的技术包含了数据分片重组、协议转化、密码学、入侵检测、病毒及关键字过滤、身份验证及审计等多个范畴。GAP技术的安全性要高于防火墙，在数据交换方面远优于物理隔离卡。三、ViGAP可解决的问题 由Gap的结构和工作原理我们可以发现，Gap保护了与其安全接口相连的内部网络，可解决以下的安全问题： 1.弥补防火墙先天性隐患，防御针对安全设备发起的攻击。防火墙采用在网络层上的逻辑隔离机制，即主要通过软件策略来实现，且在网络层是相通的，这给黑客提供了多样的攻击手段。主要包括三个方面：一是防火墙软件基于OS运行，操作系统的安全隐患会继承给防火墙；二是防火墙软件自身设计缺陷引起的安全隐患，这些隐患同样可以导致黑客掌握防火墙的控制权进而自由进出网络；三是防火墙虽然实现逻辑隔离，但与受保护网内设备仍旧维持活连接，因此黑客仍旧可以利用内网服务器或路由器漏洞发动攻击。隔离网闸实现了涉密网与外界基于链路层的安全隔离，彻底断开了网络层，使得黑客无法连接内网服务器或路由器，因此无法对内网发动网络攻击。隔离网闸独有的隔离区由硬件逻辑实现对数据传输的决策，因此，数据的传输与操作系统无关，这就使得即使黑客利用软件漏洞控制了隔离网闸的外网端，也无法透过隔离区将攻击发展到内网，从而彻底解决了设备自身安全性的问题。换句话说，网闸没有先天性的安全缺陷，更有力地保护互联网的安全。2.防已知和未知网络层攻击和DOS攻击隔离网闸在内外网间断开了网络层和TCP/IP层协议，所有通讯以电路级和应用层代理方式实现，所有数据在进入网闸时都被剥离网络层和传输层报头，因此，任何基于网络层的攻击无论是已知还是未知攻击都被过滤掉了。如：LAND攻击、SYN泛洪攻击、FIN泛洪攻击、死亡PING攻击等等。3.防已知和未知操作系统攻击隔离网闸通过配置对外开放有限的服务，所有服务都通过网闸上设计的服务模块对外提供服务，从而替代并屏蔽了不必要的内部服务器和网络设备自身的操作系统及服务，由于这些服务被屏蔽，因此针对操作系统发动的已知和未知攻击行就被永久过滤掉了。最近发生的“冲击波”病毒攻击就是一个很好的例子。“冲击波”病毒是利用微软操作系统RPC的一个漏洞发动的攻击，该病毒以前一直未出现，属于未知病毒，由于隔离网闸自动屏蔽了RPC服务（RPC服务由在网闸上相应开放的应用服务在应用层面而非操作系统层对外提供服务），因此，该病毒无法对隔离网闸保护的内网产生作用。 4.网闸协议检查和“白名单”功能防各类蠕虫等基于网络方式传播的病毒攻击 蠕虫病毒通常以应用软件的设计漏洞对网络上的主机发动攻击，隔离网闸拥有的协议检查功能可实时发现利用应用层协议发动的病毒攻击，著名的例子是红色代码病毒，该病毒利用IIS的一个设计漏洞利用HTTP协议实现攻击。这类攻击会被网闸即刻发现并阻止。另外，网闸的白名单功能也起到重要防护作用，它默认状态下所有流量都无法通过，我们将确认没有问题的访问加入白名单，这样就最大限度的防止了各类外来攻击行为。如今年流行并造成12亿美元损失的SQL slammer病毒，该病毒利用并不常用的udp 1434端口攻击安装有SQL的服务器系统，而其不在网闸的白名单中被自动过滤。网闸防病毒能力弥补了专业防病毒系统的不足，专业防毒系统是依赖特征库匹配检查病毒的，这使得其对新病毒和未知病毒的防御较差，而隔离网闸通过协议检查和白名单的防毒方式，恰好解决了这方面的问题，增加了对新病毒和未知病毒的防范能力。 5.合理的系统配置可防任何来自外网的攻击，包括病毒、木马、暴力破解、协议攻击等等。 很多场合下，合理配置的隔离网闸系统可防御任何攻击行为。以银行业务系统来说，其系统对外仅提供了固定类型的信息交换服务，因此，我们完全可以通过“白名单”、协议分析功能严格限定访问的类型、数