隔离网闸技术方案Word格式.docx
- 文档编号:7359163
- 上传时间:2023-05-08
- 格式:DOCX
- 页数:23
- 大小:31.61KB
隔离网闸技术方案Word格式.docx
《隔离网闸技术方案Word格式.docx》由会员分享,可在线阅读,更多相关《隔离网闸技术方案Word格式.docx(23页珍藏版)》请在冰点文库上搜索。
设计错误
协议设计错误,导致系统服务容易失效或招受攻击.
软件设计
协议规划正确,但协议设计时发生错误,或设计人员对协议的认知错误,导致各种安全漏洞.
程序错误
程序撰写习惯不良导致很多安全漏洞,包含常见的未检查资料长度内容、输入资料容错能力不足、未检测可能发生的错误、应用环境的假设错误、引用不当模块、未检测资源不足等.
人员操作
操作失误
操作规范严格且完善,但是操作人员未受过良好训练、或未按手册操作,导致各种安全漏洞和安全隐患。
系统维护
默认值不安全
软件或操作系统的预设设置不科学,导致缺省设置下系统处于不安全的状况下。
容易遭受病毒、蠕虫、特洛依木马等的攻击。
未修补系统
软件和操作系统的各种补丁程序没有及时修复。
内部安全问题
对由信任系统和网络发起的各种攻击防范不够。
信任领域存在的不安全系统,成为不信任领域内系统攻击信任领域的各种跳板.
针对上表所示的各种网络安全问题,全世界的网络安全厂商都试图发展了各种安全技术来防范这些问题,这些技术包括访问控制技术、识别和鉴别技术、密码技术、完整性控制技术、审计和恢复技术、防火墙系统、计算机病毒防护、操作系统安全、数据库系统安全和抗抵赖协议等,相继陆续推出了包括防火墙、入侵检测(IDS)、防病毒软件、CA系统、加密算法等在内的各类网络安全软件,这些技术和安全系统(软件)对网络系统提供了一定的安全防范,一定程度上解决了网络安全问题某一方面的问题。
3、现有网络安全技术的缺陷
现有的各种网络安全技术都是针对网络安全问题的某一个或几个方面来设计的,它只能相应地在一定程度上解决这一个或几个方面的网络安全问题,无法防范和解决其他的问题,更不可能提供对整个网络的系统、有效的保护。
如身份认证和访问控制技术只能解决确认网络用户身份的问题,但却无法防止确认的用户之间传递的信息是否安全的问题,而计算机病毒防范技术只能防范计算机病毒对网络和系统的危害,但却无法识别和确认网络上用户的身份等等。
现有的各种网络安全技术中,防火墙技术可以在一定程度上解决一些网络安全问题.防火墙产品主要包括包过滤防火墙,状态检测包过滤防火墙和应用层代理防火墙,但是防火墙产品存在着局限性.其最大的局限性就是防火墙自身不能保证其准许放行的数据是否安全.
同时,防火墙还存在着一些弱点:
一、不能防御来自内部的攻击:
来自内部的攻击者是从网络内部发起攻击的,他们的攻击行为不通过防火墙,而防火墙只是隔离内部网与因特网上的主机,监控内部网和因特网之间的通信,而对内部网上的情况不作检查,因而对内部的攻击无能为力;
二、不能防御绕过防火墙的攻击行为:
从根本上讲,防火墙是一种被动的防御手段,只能守株待兔式地对通过它的数据报进行检查,如果该数据由于某种原因没有通过防火墙,则防火墙就不会采取任何的措施;
三、不能防御完全新的威胁:
防火墙只能防御已知的威胁,但是人们发现可信赖的服务中存在新的侵袭方法,可信赖的服务就变成不可信赖的了;
四、防火墙不能防御数据驱动的攻击:
虽然防火墙扫描分析所有通过的信息,但是这种扫描分析多半是针对IP地址和端口号或者协议内容的,而非数据细节。
这样一来,基于数据驱动的攻击,比如病毒,可以附在诸如电子邮件之类的东西上面进入你的系统中并发动攻击。
入侵检测技术也存在着局限性。
其最大的局限性就是漏报和误报严重,它不能称之为一个可以信赖的安全工具,而只是一个参考工具。
在没有更为有效的安全防范产品之前,更多的用户都选择并依赖于防火墙这样的产品来保障自己的网络安全,然而相对应的是,新的OS漏洞和网络层攻击层出不穷,攻破防火墙、攻击计算机网络的事件也越来越多,因此,开发一个更为完善的网络安全防范系统来有效保护网络系统,已经成为各网络安全厂商和用户的共同需求和目标。
4、GAP技术简介
在介绍GAP技术之前,先来简单地介绍一下GAP技术的原型:
Sneaker-NET。
图一、Sneaker—NET技术
在Sneaker—NET技术中,有一个人来操作,另外包括两个网络:
不可信网络和可信网络,这两个网络物理隔断,在大多数Sneaker—NET方案中,也有一个独立的计算机,或者一个与两个网络分离的DMZ区域,用于内容检查.
采用Sneaker—NET技术后,网络信息流如下:
1.该人在不可信网络上的计算机上手工方式拷贝文件到磁盘或磁带.
2.该人将磁盘或磁带拿到一个独立的计算机上进行内容检测。
检测包括(不仅仅这些):
病毒扫描、检验该文件格式是否和预先定义的文件格式相符等。
3.如果内容检测为不安全或非法,它们将被丢弃;
如果内容是安全和合法的,此人在可信网络上的计算机上手工方式将该磁盘或磁带的文件拷贝到计算机上。
4.信息从可信网络传输到不可信网络将也用相似的流程。
在Sneaker-NET技术中,没有人可以从不可信的网络访问和操作控制可信网络上的计算机,所有允许到可信网络的数据都在一个安全的环境中经过详细的审查,这是从不安全环境到安全环境信息传输的一个最安全的方法。
4.1、GAP模型的实现
GAP隔离网闸技术就是基于这样的一个机理实现的一种安全信息交换技术。
在Sneaker-NET中,人的作用是在两个网络之间进行低速的手工交换数据,而在采用GAP技术的设备中,用一个快速大规模集成电路ASIC隔离部件来实现这一功能;
用在Sneaker—NET中做数据交换的磁介质,在GAP技术中则用存储设备来代替。
在某一时刻,ASIC隔离部件只能连接到其中的一个网络,其它的硬件和软件实施则类似于Sneaker-NET的装置。
从前述的Sneaker-Net模型中我们不难发现,模型之所以具有上述有价值的安全特性,关键在于隔离机制的实现,因此,网闸如何真实模拟人的运动机制是实现Snaeker-Net模型的关键,也是体现网闸安全优势的关键。
最佳的实现方式是通过半导体大规模集成电路ASIC隔离部件来实现。
半导体ASIC隔离部件以纯物理方式实现了电路的导通与断开,与加/解密等逻辑断开方式不同,它具有固化的不可编程特性,不会因溢出等逻辑问题导致系统的崩溃,在最低层即物理层面上保证了网络断开功能的实现,具有最高的安全可靠性。
由于半导体ASIC隔离部件具有开关功能,通过两组开关器件即可准确模拟出Sneaker-Net模型中人的工作机制,如图所示:
图中箭头标志代表了半导体ASIC隔离部件,它可以在公众外网服务器与受保护网服务器间摆动,同一时刻开关仅能与一边服务器连通,该动作模拟人在断开的内外网服务器间的移动。
与ASIC隔离部件直接相连的是一个暂存数据的交换池,该结构模拟了人手中的存储介质。
半导体ASIC隔离部件结构在最基本的物理层次上真实模拟了Sneaker-Net模型,它不仅继承了Sneaker-Net模型所有的安全特性,同时又解决了原模型中数据传输速度与延时的问题,使得该模型可在不影响用户网络应用的前提下实现期望的安全功能。
可以说,ASIC隔离部件的实现是区分网闸与其它安全产品的重要指标。
4。
2、协议的分拆与重组
隔离网闸对于接收到的任何外部会话连接,首先通过外部网络接口将会话终止,然后利用协议解析模块将TCP/UDP数据格式打破,并采用内部专有的封装协议将分解得到的数据打包后通过隔离开关传输到内网可信端。
在可信端数据经过一系列安全检查之后,协议解析模块对数据重组,并在内部网络接口重构到内部服务器的会话。
对于从内部到外部的TCP连接,隔离网闸也具有对等的处理方式.
经过如上的处理,隔离网闸事实上已经将原来直接连通内外网络的TCP连接,从逻辑上分解为外网到网闸不可信端的TCP连接、不可信端到可信端的专有封装协议连接、可信端到内网的TCP连接的组合.因此,在添加安隔离网闸之后,可以阻断内外网络之间的TCP对话,其结构如图所示:
值得提出的是,隔离网闸不但在逻辑上终止了TCP对话,还从物理上断开了内外网络之间的连接,使得内外网络之间在任何时候都不存在直接的物理层和链路层连接通路。
GAP技术的关键技术要点是:
要点
描述
物理隔断
可信网和不可信网物理隔断,可信网络上的计算机不能访问不可信网络
可选择数据交换
两个网络能够有选择的交换数据,好像它们直接相连一样
数据是静态的
在交换数据过程中,数据是静态的(被动的),不能被执行
独立决策
所有决策在一个安全的环境中处理,与不可信网络隔断
支持文件和命令
交换数据可以包含文件和命令
高性能
上述所有工作实时进行,实现最大吞吐量和最小延时
二、网神SecSIS3600介绍
2。
1、SecSIS3600产品简介
网神SecSIS3600安全隔离与信息交换系统(简称:
网闸)是新一代网络安全隔离产品。
该产品采用专用硬件和模块化的工作组件设计,集成安全隔离、实时信息交换、协议分析、内容检测、访问控制、安全决策等多种安全功能为一体,适合部署于不同安全等级的网络间,在实现多个网络安全隔离的同时,实现高速的、安全的数据交换,提供可靠的信息交换服务
2.2、SecSIS3600产品原理
网神SecSIS3600安全隔离与信息交换系统的工作基于人工信息交换的操作模式,即由内外网主机模块分别负责接收来自所连接网络的访问请求,两模块间没有直接的物理连接,形成一个物理隔断,从而保证可信网和非可信网之间没有数据包的交换,没有网络连接的建立。
在此前提下,通过专有硬件实现网络间信息的实时交换.这种交换并不是数据包的转发,而是应用层数据的静态读写操作,因此可信网的用户可以通过安全隔离与信息交换系统放心的访问非可信网的资源,而不必担心可信网的安全受到影响。
信息通过网闸传递需经过多个安全模块的检查,以验证被交换信息的合法性。
当访问请求到达内外网主机模块时,首先由网闸实现TCP连接的终结,确保TCP/IP协议不会直接或通过代理方式穿透网闸;
然后,内外网主机模块会依据安全策略对访问请求进行预处理,判断是否符合访问控制策略,并依据RFC或定制策略对数据包进行应用层协议检查和内容过滤,检验其有效载荷的合法性和安全性。
一旦数据包通过了安全检查,内外网主机模块会对数据包进行格式化,将每个合法数据包的传输信息和传输数据分别转换成专有格式数据,存放在缓冲区等待被隔离交换模块处理。
这种“静态”的数据形态不可执行,不依赖于任何通用协议,只能被网闸的内部处理机制识别及处理,因此可避免遭受利用各种已知或未知网络层漏洞的威胁。
如下图所示:
网神SecSIS3600安全隔离与信息交换系统通过专有的隔离交换卡实现内外网主机模块的缓冲区内存映射功能,将指定区域的数据复制到对端相应的区域,完成数据的交换。
隔离交换卡内嵌安全芯片,采用高速全双工流水线设计,内部吞吐速率达2Gbps,完全可以满足高速数据交换的需要.
隔离交换模块固化控制逻辑,与内外网模块间只存在内存缓冲区的读写操作,没有任何网络协议和数据包的转发。
隔离交换子系统采用互斥机制,在读写一端主机模块的数据前先中止对另一端的操作,确保隔离交换系统不会同时对内外网主机模块的数据进行处理,以保证在任意时刻可信网与非可信网间不存在链路层通路,实现网络的安全隔离。
当内外网主机模块通过隔离交换模块接收到来自另一端的格式化数据,可根据本端的安全策略进行进一步的应用层安全检查。
经检验合格,则进行逆向转换,将格式化数据转换成符合RFC标准的TCP/IP数据包,将数据包发送到目的计算机,完成数据的安全交换。
三、产品组成
3。
1、网神SecSIS3600安全隔离与信息交换系统采用“2+1”模块结构设计,即包括外网主机模块、内网主机模块和隔离交换模块.内、外网主机模块具有独立运算单元和存储单元,分别连接可信及不可信网络,对访问请求进行预处理,以实现安全应用数据的剥离。
隔离交换模块采用专用的双通道隔离交换卡实现,通过内嵌的安全芯片完成内外网主机模块间安全的数据交换。
内外网主机模块间不存在任何网络连接,因此不存在基于网络协议的数据转发。
隔离交换模块是内外网主机模块间数据交换的唯一通道,本身没有操作系统和应用编程接口,所有的控制逻辑和传输逻辑固化在安全芯片中,自主实现内外网数据的交换和验证。
在极端情况下,即使黑客攻破了外网主机模块,但由于无从了解隔离交换模块的工作机制,因此无法进行渗透,内网系统的安全仍然可以保障
3.2、SecSIS3600系统功能详述
3.1丰富的应用模块
网神SecSIS3600安全隔离与信息交换系统采用模块化的系统结构设计,根据不的应用环境,量身定制多个功能模块,以满足用户的不同需求,主要包括:
文件交换模块:
实现不同安全等级网络间文件的安全交换。
数据库同步模块:
通过灵活的同步机制,保证安全等级不同的网络中的数据库系统实现数据同步更新.邮件交换模块:
保证在内外网隔离的环境下实现安全的邮件收发.安全浏览模块:
保证在内外网隔离的环境下,内网用户安全浏览外网资源。
通用模块:
保证内外网隔离的同时实现FTP、DNS、TNS等协议及其他通用TCP/IP协议的定制交换。
其它定制用户专有应用模块.
3.2访问控制
系统支持强大的访问控制策略,支持通过源地址、目的地址、端口、协议等多种元素对允许通过网闸传输的数据进行过滤,判断是否符合组织安全策略。
3.3地址绑定
提供IP与MAC地址绑定功能,可对指定接口所连接的网络中的主机的IP和MAC地址进行绑定,防止内部用户盗用IP和内网地址资源分配的混乱,方便网络IP资源管理.
3.4内容检查
网神SecSIS3600安全隔离与信息交换系统提供多种内容安全过滤与内容访问控制功能,既能有效的防止外部恶意代码进入内网,也能控制内网用户对外部资源不良内容的访问及敏感信息的泄漏。
网神SecSIS3600安全隔离与信息交换系统的内容检查机制主要针对HTTP、FTP、邮件及文件交换等应用,包括URL过滤、关键字过滤、Cookie过滤、文件类型检查及病毒查杀等操作。
URL/域名过滤
网闸可对用户访问的Web站点的域名及URL等进行基于正则表达式的过滤,禁止用户访问暴力、色情、反动的主页或站点中的特定目录或文件.
黑/白名单关键字过滤
网闸可对邮件标题和内容以及传输的文件等进行黑/白名单关键字过滤,进行单词及短句的智能匹配,禁止包含特定关键字的敏感信息泄漏,或只允许包含相应关键字的文件通过网闸传递。
COOKIE过滤
网闸可对COOKIE进行过滤.通过对COOKIE进行过滤,可以防止敏感信息的泄漏。
同时还可以防止用户进行浏览论坛、上网聊天等违反安全策略的操作。
文件类型检查
网闸可对传输的文件进行类型检查,只允许符合安全策略的文件通过网闸传递.避免传输二进制文件可能带来的病毒和敏感信息泄露等问题。
病毒及恶意代码检查
系统可内嵌杀病毒引擎,对允许传输的文件进行病毒的检查,确保进入可信网络的文件不包含病毒及Java/JavaScript/ActiveX等恶意代码。
5高安全的文件交换
网神SecSIS3600安全隔离与信息交换系统提供基于纯文件的交换方式,内网和外网的数据传输模块各自对文件进行病毒扫描、签名校验、文件类型校验、文件内容过滤,对符合要求的文件进行转发。
不借助任何第三方软件,完全通过文件的拷贝、粘贴方式实现,为了避免网络漏洞,网闸不开放任何连通两侧的网络通道,在保证绝对安全的前提下,通过数据摆渡实现文件交换.
6内置的数据库同步模块
网神SecSIS3600安全隔离与信息交换系统的数据库同步模块,独立自主开发完成,完全内置于网闸内部,所有的同步操作由网闸自己独立完成。
不在用户数据库中安装任何客户端软件,不需要在用户网络中部署专用服务器,对用户数据库不作任何改变。
该模块支持Oracle和SqlServer等流行数据库版本,同时预留开发接口,定制支持各种数据库系统。
在高速运行的基础上解决了字段级数据同步、双向数据同步、大字段同步等技术难题,适合于各种数据库同步工作的需要。
由于是网闸自身发起的动作,所以网闸两侧不开放任何基于数据库访问或者定制TCP的网络服务端口,避免网络安全漏洞。
7高可用设计
网神SecSIS3600安全隔离与信息交换系统支持高可用方案,最多支持32台设备进行负载均衡,全面解决设备故障与链路故障造成的业务中断,保证系统7X24小时不间断服务。
3.8轻松的管理
网神SecSIS3600安全隔离与信息交换系统配备专门的管理端口,通过数字证书认证与管理信息的加密传输实现网闸设备的集中管理。
系统采用全中文的Web方式进行远程网络管理,界面友好,操作方便.系统管理员和审计员实现分权管理,使得对网闸的管理更加安全可控,避免人为因素带来的安全风险。
3.9传输方向控制
网神SecSIS3600安全隔离与信息交换系统采用双通道通信机制,从可信网到非可信网的数据流与从非可信网到可信网的数据流采用不同的数据通道,对通道的分离控制保证各通道的传输方向可控。
在特殊应用环境中可实现数据的单向传送。
10协议分析能力,以避免信息的泄漏。
系统支持HTTP/HTTPS、POP3、SMTP、FTP、SAMBA、NFS、DNS等多种应用层协议,可对常见协议的命令和参数进行分析和过滤。
应用数据以“原始"
的形态在内外主机模块中传递,数据包经过预处理、安全决策、RFC校验、协议分析、数据提取、格式化等多个处理模块的检查,充分保证了交换信息内容的安全。
11完善的安全审计
网神SecSIS3600安全隔离与信息交换系统提供管理员多种手段了解网络运行状况及可疑事件的发生。
用户可根据特定的需要进行日志审计(包括系统日志、访问控制策略日志、应用层协议分析日志、应用层内容检查日志等)。
系统支持本地日志缓存,可实现本地日志的浏览查询等操作。
日志依据事件的重要程度分为错误/警告/通知三级,支持Syslog日志存储,可实现日志的分级发送.
主要方式如下:
控制台方式:
通过管理控制台可以实时监控日志告警信息.
Syslog:
以Syslog方式向管理工作站发送告警信息。
电子邮件:
通过向管理员指定的电子邮件帐号发送电子邮件来发送报警信息.
12强大的抗攻击能力
网神SecSIS3600安全隔离与信息交换系统具备强大的抗攻击能力,内外网主机模块采用专用的安全操作系统,内核经过特殊定制,实现强制性访问控制,保护自身进程及文件不被非法篡改和破坏。
同时系统实现了针对多种DoS和DDoS攻击的防范,可阻挡SynFlood、UdpFlood、PingFlood、TearDrop、PingofDeath、Smurf、Land等多种类型的DoS和DDoS攻击,保护可信网络的安全。
13多样化的身份认证
网神SecSIS3600安全隔离与信息交换系统支持多样灵活的身份认证方式,包括:
本地用户名及口令认证、基于数字证书的认证、RADIUS远程访问认证及LDAP认证等.
本地认证
系统内置认证数据库提供本地的用户名、口令认证,支持HTTP/HTTPS方式实现认证信息的获取.
数字证书认证
网闸支持数字证书认证,允许客户端通过HTTP连接向服务器发送访问请求.网闸可导入根证书,通过检查用户证书格式、证书的过期时间、签发者等信息以确认访问者身份的合法性,还可依据用户身份属性判断其是否具有适当的访问权限.
RADIUS远程访问认证及LDAP认证
网闸向第三方认证服务器发送用户名和口令,一旦认证服务器认证成功,则网闸允许用户访问。
14负载均衡解决方案
网神SecSIS3600安全隔离与信息交换系统支持负载均衡解决方案。
网闸群集可实现动态管理和维护,根据实际响应时间制定优先响应策略,从而提高系统总体性能、优化流量管理、提高群集性能,保证系统正常运行的高可用性和高可靠性。
如果访问量超出了网闸的响应能力,只需增加服务器数目即可实现系统的平滑升级,无需第三方软件支持.
4产品技术优势
在网络中部署网神SecSIS3600既能够符合政府、军队、企事业单位等的强制性安全策略--既在不同安全等级的网络间实现安全隔离,又能够保证可靠、安全的信息交换,提供文件交换、收发电子邮件、数据库同步、安全浏览等多种服务,在网络应用的安全性及可用性间取得完美的平衡。
安全高效的硬件交换系统
网神SecSIS3600安全隔离与信息交换系统具有自主研发的内外主机系统间的安全检测与控制处理单元,采用专有电路设计的双通道高速数据交换卡,实现了独立的硬件交换控制逻辑,无操作系统及任何“软”控制,自主完成数据的交换,系统只负责把数据写到隔离交换卡中的缓冲区,由隔离交换卡根据硬件控制逻辑自动完成数据交换,自动同步两侧控制逻辑,进行互斥的读写操作,同时还具有自动数据完成性校验,当发现数据错误时,自动重传,保证数据的完全正确.在保证安全性的同时,提供更好的处理性能,能够适应各种复杂网络环境对隔离应用的需求。
网神SecSIS3600安全隔离与信息交换系统在内外主机系统间采用专有协议,阻断网络连接,不仅使得信息网络的抗攻击能力大大增强,而且有效地防范了信息外泄事件的发生。
可靠的冗余和负载均衡架构
网神SecSIS3600安全隔离与信息交换系统基于可靠性的考虑,通过双机热备等技术保证了在网络或设备故障时,业务的不间断运行.
在网络流量较大时,也可能会造成业务不可用和响应速度下降,网神SecSIS
3600系列网闸支持多台设备的负载均衡(最多支持32台),最大限度的提升了网络的可用性.
先进的数据库同步技术
网闸常会应用在数据库服务器的环境中,为了实现数据库同步,一般情况下都需要在内、外网数据库服务器上安装数据库同步
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 隔离 技术 方案