隔离内外网要的是安全
来源:中国计算机用户 更新时间:2012-04-13

 

欧太太快把欧主管逼疯了。

  十一前夕,欧主管工作特别忙,天天深更半夜回家不说,连双休日都没个休息。欧太太不但没体贴照顾,还急催着欧主管联系I博士、钱经理,要他在节前安排个小聚会。目的是给她出一套“隔离”建议。

  谁让欧主管“妻管严”呢?迫于威逼的压力,9月25日下午,把人招呼到自己家。

  隔离内外网要的是安全

  确切定义网闸技术应该是:通过专用硬件,使两个或者两个以上的网络在不连通的情况下,实现安全数据传输和资源共享的技术。

  欧太太一身素装,温文尔雅地坐入沙发中,显出不少妩媚。让平时无话不说、玩笑中带荤腥味儿的三哥们儿略显拘束。

  欧太太轻声细语地开始了她的倾述。

  增节点还是配双网卡?

  “我们是家股份制银行,银行信息化建设时间不长,从建设之初,就对安全考虑不充分,内外网一直没有完全分开。前不久,兄弟单位的下属单位发生了安全事件,给我们敲响了警钟。我们很担心内网的办公机密、用户账户等信息流入外网,进而被黑客盗取。”

  欧太太接着说,“目前,我们当务之急是分开内外网。由于网络建设比较完善,如果现在分开内外网,工作量很大。”

  比如,当前每个人只有一个节点,要分开内外网,有一种办法是给每个人再配一个节点。对于1000多人的银行,这是一个不小的工作重负。建行就是这么做的,一人两台机器,一台用于内网办公,一台用于外网访问。办公极为不方便,还占用了大量的工作空间。

  还有一种办法是在单机上安装双网卡、双硬盘。这意味着计算机要升级。升级计算机不仅提高了投入成本,同样也增大了工作量。

  “今天请大家来,是想让大家帮忙出出主意,分析一下采用哪种方法更好,也就是说,哪种方法更容易实现,投入更小。”话一口气说完,娇小的欧太太脸上泛起红晕。

  这个问题难住了钱经理,爱说的他闭口无言。欧太太将目光略过欧主管,投向了满脸书卷气的i博士。她知道,在这个问题上,欧主管是个外行。

  隔离内外网,网闸有高招儿

  i博士明白她的眼神,接着她的话表了自己的态,“我看,哪种方法都不可取。原因你已经分析得很清楚了。我倒有个新方案——网闸。”

  “网闸?”欧太太睁大了眼睛,看来她从没听说过这个词儿。欧主管这方面的知识似乎也略显欠缺,他倾听的热情亦是高涨。

  网闸是将内网、外网全面隔离开来的一种技术。它为网络提供了更高层次的安全防护能力,增强了网络的抗攻击能力,也可以有效地防范信息外泄事件的发生。

  “这个技术听起来不错,只是,它真的能把内、外网的连接切断吗?”欧太太有些疑惑。

  “当然,真正意义上的网闸是能够做到不仅物理隔离(像断开的桥一样),还有通信隔离(断开的桥两端可有无线通信的连接,而网闸是能够连通信都切断的)。”i博士回答。

  网闸安全吗?

  “那么,使用网闸的安全度有多高呢?我们银行用了不少的安全产品,我发现有些安全产品本身就存在安全隐患,网闸会不会也是这样呢?”欧太太忧心重重。

  i博士赞赏地看着欧太太,说:“你的问题提得非常好,我可以肯定地告诉你,网闸是安全的。”接着,i博士开始论证这个观点。

  网闸采用了专门定制的安全操作系统,所有不需要的功能全被裁减掉,完全为网闸量身定制,具有很高的安全性。同时,操作系统存放在DOM(一种IDE硬盘)中,不能被随意修改;而经常读写的日志系统则存放在大容量的硬盘中,把操作系统和日志系统存储设计分开,使得网闸的系统结构比较安全。

  最为重要的是,网闸通过专有隔离交换卡,进行基于硬件的安全隔离,这让两个网络之间没有任何的网络物理连接,没有任何的网络协议可以直接穿透。

  从技术角度讲,网闸工作在网络OSI模型的每一层(共7层),所以,经过它隔离的内网和外网之间无通信连接、无命令传输、无协议交换、无TCP/IP连接、无应用连接、无包转发功能。只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。网闸达到的安全效果是:对于内网,病毒与黑客无法攻击,无法入侵,无法破坏。

  尽管网闸阻断了所有的连接,但是,交换信息还是可以进行的。计算机连网是为了信息交换和共享,交换信息有很多种形式,连网只是其中的一种。在没有互联网的时代,信息照样交换。阻断了连接,完全可以通过其他形式继续进行信息交换。

  大家比较能理解的方式是,从一台连网的计算机中,将数据拷贝复制,继续检查后,再拷贝复制到另外一台计算机中。其他的形式还有复制(拷贝)、数据摆渡、镜像和反射等。

  v1.0升级到v2.0

  看着欧太太信服的神情,i博士顺势介绍了网闸发展状况以及它能应对的攻击,进一步说服欧太太选用网闸技术。

  网闸技术最早起源于以色列,通常在物理隔离的情况下,要在外网和内网之间进行数据交换的话,一般是通过磁盘或其他存储设备进行人工的数据交换,而通过自动方式来模拟这种数据交换过程,其实就是网闸的雏形。

  第一代网闸利用单刀双掷开关,让内外网的处理单元分时存取共享存储设备,以完成空气隔离(可视为物理隔离)下的数据交换。其安全数据交换过程是:先提取出网络包中的应用数据,经安全审查后,再完成数据交换。

  相对于人工交换而言,整个过程是由软件自动完成的,并且增加了安全审查的过程,从而大大提高了交换效率。但是,这种网闸让内外网共用了存储设备,不能够满足物理隔离的要求。

  第二代网闸创造性地利用全新理念的专用交换通道PET(Private Exchange Tunnel)技术,在不降低安全性的前提下能够完成内外网之间高速的数据交换。其安全数据交换是通过专用硬件通信卡、私有通信协议和加密签名机制实现。

  由于采用了专用高速硬件通信卡,使得处理能力大大提高,达到第一代网闸的几十倍之多;而私有通信协议和加密签名机制,保证了内外处理单元之间数据交换的机密性、完整性和可信性。

  总之,网闸可以帮助企业内网应对以下一些威胁:操作系统漏洞、非法网络入侵、基于TCP/IP漏洞的攻击、基于协议漏洞的攻击、木马程序、基于隧道的攻击和基于文件的攻击(可选)等。这些都是互联网目前面临的主要攻击。

  比如,由于双主机之间是网络隔离的,无连接的,黑客不可能穿透网闸去扫描内部网络所有主机的操作系统漏洞,无法攻击内部,包括网闸的内部主机;

  又如,网闸的外部主机把TCP/IP协议全部剥离,以原始数据方式进行“摆渡”,因此,无法经过网闸进行基于TCP/IP漏洞的攻击,同样,也无法进行基于UDP、ICMP、ARP等其他协议的攻击;

  还有,网闸断开了网络的所有连接,没有OSI模型的Link层,没有TCP、UDP、ICMP、ARP等协议,等于把木马变成了死马。对于无论是已知的还是未知的木马攻击,它都是免疫的。

  谁最需要网闸?

  安全隔离网闸产品作为信息安全的分类产品之一,自2003下半年,应用开始升温,2004年已普遍引起政府部门用户的关注,众多IT企业以此作为进入网络安全市场的切入点,纷纷投入到对产品的开发或OEM上,到目前为止,已取得公安部销售许可证或通过国家信息安全产品测评认证中心的厂商已超过30家。

  需要这些网闸产品的用户主要是各级政府机关、公安、科研院校及民航、电力、石油、金融、证券、交通等,应用在电子政务、网上工商、网上报税、网上报关、电子审批、政府信息系统管理等领域。

  金融行业适用交换型产品

  要让网闸发挥最大化作用,必须了解业务需要,按需进行配置。

  “听你这么说,我们银行还是挺适合选用网闸的。”欧太太动心了。

  “i博士,你了解网闸的选购事项和市场行情吗?如果我们银行选购网闸,你觉得怎么选?应该注意什么?”

  i博士谦虚地表示,自己懂一点,愿意给欧太太介绍介绍。听罢,欧太太甚是高兴。

  联想网御SIS-300

  天行安全GAP-3000

  资质、类型、服务,

  一个都不能少

  i博士说,安全隔离网闸既有通用网络安全设备所具有的特性,也有很多自身的特点。作为用户,可能对此类产品的功能特点并不熟悉,所以选购时一定要注意相关的产品资质。

  隔离类产品除公安部的销售许可外,还应有国家保密和信息安全测评机构的检测证书。

  网闸的生产厂商大多会把网闸产品按照所支持的网络应用划分自己的产品线,用户一定要清楚自己使用网闸产品做哪些网络应用的数据交换,按需要选择适合自己的产品。

  另外,产品的售后和服务也十分重要,选择一个知名度和信誉度比较高的厂商会比较可靠。

  金融用户适用交换型产品

  如果是一个金融用户,例如保险行业或银行系统,隔离需求一般都出现在业务系统数据交换上。

  无论是网上业务的开展,还是办公网和业务网之间的数据传送,都会涉及到不同安全域间的数据交换。

  原先这些数据交换可能已经存在,有的是使用拷贝备份的方式,有的可能是通过一些网络路由设备使用网络服务相连接,这些方法从效率和安全性上都已无法满足业务发展的需要,这时可以选用一款隔离交换型产品。

  针对自己业务的特点,如果是备份工作方式的,可以选用这类产品的文件交换或数据库同步功能;如果是路由访问类的,可以选用数据库访问或FTP访问功能,配合自身的业务使用。

  由于金融系统对数据完整性和网络业务的可用性要求较高,建议使用双链路设计。隔离设备应可以支持双机和多机的集群负载,设备应该具有较高的数据吞吐能力。如果是在线业务,应该尽可能减少隔离后带来的网络延时。

  网闸三剑客

  “具体来讲,i博士能否给我们银行提供一些适合的网闸产品?”听完i博士长篇大论,欧太太问了一个具体问题。

  “国内网闸产品并不多见,据我了解,建议你选择以下一些产品:联想网御SIS-3000安全隔离与信息交换系统、天行安全隔离网闸GAP-3000、珠海伟思ViGap300。”接着,i博士详细介绍了产品的特点。

  联想网御SIS-3000安全隔离

  与信息交换系统

  SIS-3000采用模块化的结构设计,根据不同的应用环境,量身定制多个功能模块,以满足用户的不同需求。

 主要包括:基本模块、文件交换模块、数据库同步模块、数据库访问模块、邮件交换模块、邮件访问模块、安全浏览模块、FTP访问模块和定制模块。

  SIS-3000采用双通道通信机制,从可信网到非可信网的数据流,与从非可信网到可信网的数据流采用不同的数据通道,对通道的分离控制保证各通道的传输方向可控。

  同时,它支持访问控制策略,支持通过源地址、目的地址、端口、协议等多种元素对允许通过网闸传输的数据进行过滤,判断是否符合组织安全策略。

  它还支持HTTP/HTTPS、POP3、SMTP、FTP、SAMBA、NFS、DNS等多种应用层协议,可对常见协议的命令和参数进行分析和过滤;并支持多样灵活的身份认证方式,提供多种内容安全过滤与内容访问控制功能,具备抗攻击能力。

  此外,SIS-3000支持HA高可用方案,提供双机热备功能,全面解决设备故障。

  点评:作为网络链路层物理隔离设备,SIS-3000具有比防火墙更高的安全性能。可在涉密网络之间、涉密网络不同安全域之间、涉密网络与内部网之间、内部网与互联网之间信任的进行信息交换。适用于政府、金融等单位的网间非实时信息交换环境。

  天行安全隔离网闸GAP-3000

  GAP-3000包括数据库交换、文件交换、消息交换功能模块。其中,数据库交换模块以安全隔离硬件模块为基础,在保证信任网络业务系统安全运行的同时,提供与不信任网络进行同异构数据库之间安全数据交换的功能。

  文件交换模块以安全隔离硬件模块为基础,提供与不信任网络进行安全文件交换的功能。

  消息模块以安全隔离硬件模块为基础,针对高级隔离用户需求,定制一套隔离数据传输解决方案。它为用户提供高强度安全可靠的客户端开发接口,让用户根据自己需要,灵活地实现隔离网络间的数据交换。

  GAP-3000支持双机热备功能,可由两台GAP-3000设备组成双机热备环境运行,提高网络的可用性与稳定性。它支持日志服务器功能,将日志信息以标准格式导出本地存储备份;还支持集中管理功能,为大型网络应用提供良好的管理支持;同时,支持SNMP简单网管协议,提供SNMP标准网络管理接口。

  点评:GAP-3000通常部署于信任网络与非信任网络之间,通过独创软硬件体系结构,采用了协议转换、安全操作系统内核、基于加密和证书的身份验证机制、

病毒及恶意代码过滤、安全
审计
管理等安全技术,根据用户定义的应用数据“白名单”策略进行数据传输和交换。

  珠海伟思ViGap300

  ViGap300采用独特的“2+1”安全体系架构,通过基于ASIC芯片技术设计的专用隔离电子开关系统,实现用户关键网络及服务系统与外界的物理隔断,彻底断开链路层与网络层的链接。

  充分考虑关键应用对可靠性、可用性的要求,采用负载均衡技术以及基于应用协议连接资源保护的QoS服务质量控制技术,消除单点故障和网络实现对网络服务的高可靠性及可用性的保证。

  ViGap300广泛支持各类通用应用协议,包括支持视频会议、流媒体以及VPN等特殊应用代理以及用户定制协议。

  ViGap300采用先进的应用层协议分析技术智能识别并过滤大量基于应用层协议的攻击行为,提供智能化攻击识别与过滤功能。

  点评:ViGap 300能从物理链路上断开内外网络,并且在安全可控的条件下进行适度数据交换。通过基于硬件设计的反射隔离系统,保证可信网络和不可信网络不会有实际的网络协议连接,可防止各种基于网络层和操作系统层的攻击,实现高速安全的数据交换。

  介绍完产品,i博士又对欧太太补充道:“对了,我还有一个建议,就是:买了网闸,隔离了内外网,并不意味着网络安然无恙。作为用户,还得学会用好网闸,让网闸的作用得到最大、最好的发挥。”

  首先用户要做到了解业务需求,按需配置。只有详细地了解业务系统的运行流程,掌握需要网闸交换的数据流形式,用户才能够做到按需配置,使所配置的网闸设备能够完全满足业务系统的运行条件,并且网闸只能在业务系统条件下运行,确保内部安全域的安全。

  比如,网上银行需要对外提供网上审批的服务,那么欧太太就需要了解整个审批系统的业务流程。社会公众将需要审批的项目通过Internet提交到银行外网的数据采集平台,通过安全隔离网闸交换到银行内网进行审批,审批有可能会需要多个相关单位的共同审批。根据预先设定好的流程,此业务会经过每一个需要审批的环节。

  如果正常的话,审批通过的结果会在经过安全隔离网闸同步到外网反馈给用户;如果审批被驳回,那么,被驳回以及驳回的原因也将通过网闸反馈给用户。

  了解了流程,用户就知道了通过网闸交换的数据类型以及如何交换。

  专家观点

  衡量网闸性能的主要指标有哪些?

  联想网御产品经理 胡轶

  衡量网闸性能高低的指标有:内部交换带宽,指系统内部两个主机系统之间通过各种接口实现的数据交换带宽;系统交换带宽,指整个系统作为黑匣子,为用户提供的数据交换带宽,是用户实际能使用的带宽;协议转换,指可以支持的公共协议内外交换的种类和过滤力度;网络接口数,指是否支持自身设备的负载和热备;还有,不同网络应用可以支持的并发数和交换延时。

  隔离技术正在向易用性、应用融合化等方向发展。目前隔离产品大都提供了文件交换、收发邮件、浏览网页等基本功能。联想提出的安全思路,改变过去将安全作为孤立的补丁角色,而是将网闸技术渗透到业务应用系统之中,使用户在网闸的坚固保护下感觉不到业务应用的不便。

  隔离内外网,

  金融用户需要注意什么?

  天行网安产品经理 余江

  要选用一台合适的安全设备,首先要从业务系统的实际需求出发:用户最核心、最重要的数据是什么,用户的业务数据量有多大,对时效性的要求怎样,是否需要安全隔离网闸满足安全要求,需要保护的是哪些网络、哪些服务器等。

  对于金融用户,如果想要隔离内外网,需要注意以下几点:

  ◆ 安全隔离网闸的安全强度,对于银行网络来说,目前的安全隔离网闸技术已经完全能够满足;

  ◆ 安全隔离网闸的效率,银行是面向大众服务的,因此决定其业务数据量会非常大,就需要高吞吐量的安全隔离网闸才能满足业务需求,同时要具备低延时;

  ◆ 安全隔离网闸对数据完整性的良好保证,银行的业务数据一旦出现错误,必将造成重大后果;

  ◆ 安全隔离网闸的稳定性、可靠性也同样重要,金融用户的网络业务系统是需要24小时不间断运行的,因此网闸的高可靠性保障尤为重要。

  除此之外,具备平滑的可升级性能,良好的可管理性也是必备条件之一。

  网闸适用于5种场合

  珠海伟思产品经理 许伟

  第1种场合:涉密网与非涉密网之间。

  第2种场合:局域网与互联网之间。

  有些局域网络,特别是政府办公网络,涉及敏感信息,有时需要与互联网在物理上断开,用物理隔离网闸是一个常用的办法。

  第3种场合:办公网与业务网之间。

  由于办公网络与业务网络的信息敏感程度不同,例如,银行的办公网络和银行业务网络就是很典型的信息敏感程度不同的两类网络。为了提高工作效率,办公网络有时需要与业务网络交换信息。为解决业务网络的安全,比较好的办法就是在办公网与业务网之间使用物理隔离网闸,实现两类网络的物理隔离。

  第4种场合:电子政务的内网与专网之间。

  在电子政务系统建设中,要求政府内网与外网之间用逻辑隔离,在政府专网与内网之间用物理隔离。现常用的方法是用物理隔离网闸来实现。

  第5种场合:业务网与互联网之间。

  电子商务网络一边连接着业务网络服务器,一边通过互联网连接着广大民众。为了保障业务网络服务器的安全,在业务网络与互联网之间应实现物理隔离。

  网闸参数配置表

  品牌 联想网御 天行安全

  型号 SIS-3000安全隔离与信息交换系统 隔离网闸V3.0 GAP-3000

  最大用户数 无用户限制 256 并发连接数 / 40000 内部交换带宽 2Gbps 150Mbps 传输速率 80Mbps 76.8Mbps 参考价格(元) 7万~13万 48万(公开报价)