網閘在網絡安全中的應用

下一頁 1 2 

　　 　　一、概述

　　在2004年度中國互聯網大會的網絡與信息安全論壇中，以"構建穩定、可信賴的網絡"為主題，重點研討"有關安全方面"的問題，涉及到對物理隔離交換(SGAP)技術、新一代病毒防范技術、最新密碼應用技術和密碼芯片技術、網絡安全事件緊急響應等新技術、新產品的研討。這次互聯網大會的意義是重大的，這不僅在于互聯網技術和安全技術的成熟，對涉及國家信息安全方面的問題有很好的推動作用。我們進行信息化建設要緊緊把握此次互聯網大會出現的技術新趨勢和產業新動向，力爭把我國的信息化建設向技術先進同時又安全可靠的方向挺進。

　　如今，網絡隔離技術已經得到越來越多用戶的重視，重要的網絡和部門均開始采用隔離網閘產品來保護內部網絡和關鍵點的基礎設施。目前世界上主要有三類隔離網閘技術，即SCSI技術，雙端口RAM技術和物理單向傳輸技術。SCSI是典型的拷盤交換技術，雙端口RAM也是模擬拷盤技術，物理單向傳輸技術則是二極管單向技術。本文就是和大家一起來探討物理隔離交換技術的應用。

　　大家知道，隨著互聯網上黑客病毒泛濫、信息恐怖、計算機犯罪等威脅日益嚴重，防火墻的攻破率不斷上升，在政府、軍隊、企業等領域，由于核心部門的信息安全關系著國家安全、社會穩定，因此迫切需要比傳統產品更為可靠的技術防護措施。物理隔離網閘最早出現在美國、以色列等國家的軍方，用以解決涉密網絡與公共網絡連接時的安全。在電子政務建設中，我們會遇到安全域的問題，安全域是以信息涉密程度劃分的網絡空間。涉密域就是涉及國家秘密的網絡空間。非涉密域就是不涉及國家的秘密，但是涉及到本單位，本部門或者本系統的工作秘密的網絡空間。公共服務域是指不涉及國家秘密也不涉及工作秘密，是一個向互聯網絡完全開放的公共信息交換空間。國家有關文件就嚴格規定，政務的內網和政務的外網要實行嚴格的物理隔離。政務的外網和互聯網絡要實行邏輯隔離，按照安全域的劃分，政府的內網就是涉密域，政府的外網就是非涉密域，互聯網就是公共服務域。國家有關研究機構已經研究了安全網閘技術，以后根據需求，還會有更好的網閘技術出現。通過安全網閘，把內網和外網聯系起來；因此網閘成為電子政務信息系統必須配置的設備，由此開始，網閘產品與技術在我國快速興起，成為我國信息安全產業發展的一個新的增長點。

　　二、網閘的概念

　　網閘是使用帶有多種控制功能的固態開關讀寫介質連接兩個獨立主機系統的信息安全設備。由于物理隔離網閘所連接的兩個獨立主機系統之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協議，不存在依據協議的信息包轉發，只有數據文件的無協議"擺渡"，且對固態存儲介質只有"讀"和"寫"兩個命令。所以，物理隔離網閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使"黑客"無法入侵、無法攻擊、無法破壞，實現了真正的安全。

　　安全隔離與信息交換系統，即網閘，是新一代高安全度的企業級信息安全防護設備，它依托安全隔離技術為信息網絡提供了更高層次的安全防護能力，不僅使得信息網絡的抗攻擊能力大大增強，而且有效地防范了信息外泄事件的發生。

　　第一代網閘的技術原理是利用單刀雙擲開關使得內外網的處理單元分時存取共享存儲設備來完成數據交換的，實現了在空氣縫隙隔離(Air Gap)情況下的數據交換，安全原理是通過應用層數據提取與安全審查達到杜絕基于協議層的攻擊和增強應用層安全的效果。

　　第二代網閘正是在吸取了第一代網閘優點的基礎上，創造性地利用全新理念的專用交換通道PET(Private Exchange Tunnel)技術，在不降低安全性的前提下能夠完成內外網之間高速的數據交換，有效地克服了第一代網閘的弊端，第二代網閘的安全數據交換過程是通過專用硬件通信卡、私有通信協議和加密簽名機制來實現的，雖然仍是通過應用層數據提取與安全審查達到杜絕基于協議層的攻擊和增強應用層安全效果的，但卻提供了比第一代網閘更多的網絡應用支持，并且由于其采用的是專用高速硬件通信卡，使得處理能力大大提高，達到第一代網閘的幾十倍之多，而私有通信協議和加密簽名機制保證了內外處理單元之間數據交換的機密性、完整性和可信性，從而在保證安全性的同時，提供更好的處理性能，能夠適應復雜網絡對隔離應用的需求。

　　網閘(SGAP)與傳統防火墻的技術特點對比如下表所示：

對比項目	傳統防火墻	網閘（SGAP）
MILY: 宋體; mso-bidi-font-size: 16.0pt; mso-ascii-font-family: 'Times New Roman'; mso-hansi-font-family: 'Times New Roman'">安全機制	采用包過濾、代理服務等安全機制，安全功能相對單一	在GAP技術的基礎上，綜合了訪問控制、內容過濾、病毒查殺等技術，具有全面的安全防護功能。
硬件設計	防火墻硬件設計可能存在安全漏洞，遭受攻擊后導致網絡癱瘓。	硬件設計采用基于GAP技術的體系結構，運行穩定，不會因網絡攻擊而癱瘓。
操作系統設計	防火墻操作系統可能存在安全漏洞。	采用專用安全操作系統作為軟件支撐系統，實行強制訪問控制，從根本上杜絕可被黑客利用的安全漏洞。
網絡協議處理	缺乏對未知網絡協議漏洞造成的安全問題的有效解決辦法。	采用專用映射協議代替原網絡協議實現SGAP系統內部的純數據傳輸，消除了一般網絡協議可被利用的安全漏洞。
遭攻擊后果	被攻破的防火墻只是個簡單的路由器，將危及內網安全	即使系統的外網處理單元癱瘓，網絡攻擊也無法觸及內網處理單元。
可管理性	管理配置有一定復雜性	管理配置簡易
與其它安全設備聯動性	缺乏	可結合防火墻、IDS、VPN等安全設備運行，形成綜合網絡安全防護平臺。

原文轉自：http://www.kjueaiud.com