摘要: 目前的防火墙大都依靠于对数据包的信息进行检查,检查的重点是网络协议的信息。防火墙主要查看IP包中的IP包头、TCP包头、应用层包头以及数据加载的包头,要了解防火墙的具体架构。
关键词: 网络隔离防火墙
一、前言
随着Internet的飞速发展以及我国政府信息化为代表的电子政务的蓬勃发展,宽带网已经得到普及。业界电子商务的开展,海量的网络信息,[J趋丰富的网络功能使得“网上办公”条件已经成熟。办公信息化带来了办公效率质的飞跃,但办公信息化的安全,也极大地引起人们的关注和思考,相应的网络隔离技术与防火墙技术的应用研究引起了人们的高度重视。
二、网络隔离技术简介
(一)网络隔离技术的发展历程
网络隔离,英文名为Network Isolation,主要是指把两个或两个以上可路由的网络(如:TCP/IP)通过不可路由的协议(如:IPX/SPX、NetBEUI等)进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议,所以通常也叫协议隔离(ProtocolIsolation)。
(二)网络隔离技术原理
网络隔离产品采用了网络隔离技术,是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于两个独立主机系统之问,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,网络隔离产品从物理上隔离,阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全。
(三)网络隔离设备的实现机制
网络隔离设备由内网处理单元、外网处理单元和专用隔离硬件组成。网络隔离硬件包括一个独立的固态存储单元和一个独立的调度和控制单元,内网处理单元和外网处理单元在同一时刻最多只有一个同固态存储单元建立非TCP/IP协议的数据连接,并通过私有协议进行数据的交换。
三、防火墙的体系架构介绍
目前的防火墙大都依靠于对数据包的信息进行检查,检查的重点是网络协议的信息。防火墙主要查看IP包中的IP包头、TCP包头、应用层包头以及数据加载的包头,要了解防火墙的具体架构,就需要分析检查它是哪一层协议的信息。根据OSI模型,防火墙架构包含以下几种:包过滤防火墙,电路网关防火墙,应用网关防火墙,状态检测包过滤防火墙和切换代理防火墙。防火墙是建立在内外网边界上的过滤封锁机制,内部网络被认为是安全和可信赖的,而外部网络被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络。防火墙对网络安全的保护程度,很大程度上取决于防火墙的体系架构。随着网络应用的增加,对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度看来,基于网络处理器的防火墙也是基于软件的解决方案,它需要在很大程度上依赖于软件的性能,但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎,从而减轻了CPU的负担,该类防火墙的性能要比传统防火墙的性能好许多。
四、防火墙存在的安全漏洞
防火墙设备侧重丁二网络层到应用层的策略隔离,操作系统、内部系统的漏洞、通用协议的缺陷等都成为不安哞:的潜在因素。首先由防火墙的体系架构可知,防火墙可能会产生网络层短路,从而导致伪造合法数据包带来的危害:防火墙还难以抵御数据驱动式攻击,即大量合法的数据包将导致网络阻塞而使止常通信瘫痪。其次,防火墙很难阻止由通用协议本身漏洞发起的入侵。第三,防火墙系统本身的缺陷也是影响内部网络安全的重要因素,当防火墙土机被控制后,内部受保护网络就会暴露无疑。第四,要使防火墙发挥有效的安全性,需要正确、合理地配置防火墙相关的安全策略,而配置的复杂程度不仅带来繁琐的工作量,同时也增加了配置不当带来的安全隐患。
五、安全性分析比较
(一)指导思想不同
1.防火墙的思路是在保障互联互通的前提下,尽可能安全;
2.网络隔离技术的思路是在保证必须安全的前提下,尽可能互联互通。
(二)体系架构不同
网络隔离产品一般为双机或三机系统,而防火墙由一台处理机组成,为单机系统。而网络隔离设备实现了0SI模型七层的断开和应用层内容的检查机制,因而不会产生网络层短路,消除了基于网络协议的攻击。
(三)安全规则配置的复杂程度不同
防火墙主要依据网络治理工程师配置的规则进行安全检查,其安全性的高低与规则配置情况密切相关。规则配置十分复杂,规则最终所起的作用不仅与每条规则有关,而且与每条规则的先后顺序、规则之问的相关性都有很大关系。网络治理工程师必须仔细检查每条规则,以保证其结果是其预期的结果。从另一个方面讲,防火墙的配置要求网络治理上程师有较高的网络知识和技术水平。防火墙只是一个被动的安全策略执行设备,防火墙不能防止策略配置不当或错误配置引起的安全威胁,规则配置错误将造成不安全通道打开。而网络隔离设备无需进行复杂的规则配置,只需设定一些内外网访问政策。网络隔离设备仪答应定制的信息进行交换,即使出现错误,也至多足数据不再答应传输,而不会造成重大安全事故。