搜索
1、引言随着公司一些局端应用系统的在各地的部署、上线,大家越来越多听说或者接触到网闸的概念,也基本都知道网闸能进行物理隔离的原理,大致就是相当于三台机器,在两个网络之间进行高速切换,以安全、高效的摆渡数据,其原理大致如下:数据暂存区外网处理单元内网处理单元隔离硬件电路独立控制电路读写保护电路非信任网络信任网络硬件结构原理图CopyrightReservedby天行网安2000-2002但是,随着一些业务系统对实时性要求的提高,传统网闸的文件搬运已经无法满足大多数应用的需要,所以越来越多的出现所谓的“穿透性的网闸”,简单说就是对于内外网的应用来说,网闸基本可以看做是透明的,从某种角度看,和防火墙差不多,简单描绘如下:外网业务系统内网业务系统协议转发:Http、ftp...穿透网闸因此局端系统的设计,也经常需要考虑网闸的这种穿透的特性,讨论应用程序针对性设计,那么在讨论过程中,就发现很多人有疑惑:这种穿透性网闸和防火墙在原理上到底有没有区别?能达到一定的安全性吗?否则为什么客户要花钱买这种设备呢?注:本文重点不在于描述网闸的物理隔离、摆渡、搬运等内部的原理,这方面读者有兴趣的话,自行找资料深入研究即可;另注:由于各品牌网闸的穿透原理不尽相同,而且各品牌在对外宣传上都不会突出“穿透”字眼,毕竟没有摆渡方式安全,所以我们接触过的相关网闸技术资料中,即使有穿透,也都是描述如何配置、如何操作的层面,没有相关原理的描述,所以本文的描述是基于我们某位很有钻研精神的同事在陕西部署系统之际,通过与某品牌网闸工程师的沟通,我们自己汇总出来的,也许与实际并不相符,但这种描述,理论上貌似是可行的,谨供参考。2、网闸穿透原理2.1支持几种协议穿透如上文所述,穿透性网闸,支持好多种网络协议,比如http、ftp等,下面以ftp协议的穿透为例,描述一下其具体的原理:外网处理单元外网业务系统内网处理单元4.内部转换内网FTP服务器2.模拟ftp服务端接收物理隔离网闸,以ftp透明访问为例3.重组ftp请求5.模拟ftp服务端接收6.重组ftp请求1发起ftp请求7收到ftp请求请求指令数据包数据包从图中可以明显看出,网闸对FTP协议的穿透,关键就在于两点:一是利用FTP协议的规范性,就可以模拟FTP服务器端,接受并解析请求,然后再一层层转发该请求直到真实的服务器端;二是通过这种转发,其内部实现可以利用自己的固有的安全协议,对数据进行分片、传递和重组;2.2支持数据库同步另外穿透性网闸,一般也都支持数据库同步,其实质并不是真的数据库穿透,也就是说网闸一边的系统,是肯定不能直接访问到另一边的数据库,其同步的原理,大致就是通过相关设置,使得数据库中某张表的数据一旦变更(增、删、改),就能够被网闸检测到,并能将其按一定规则组织成数据包交换到网闸的另一侧,同时网闸另一侧能够根据相关设置,主动去更新目标数据库中对应表的数据,具体示意图如下:外网处理单元内网处理单元3.内部转换物理隔离网闸,以数据库同步为例2.定期扫描更新标志位,获取有变更的数据,重组转发到外网外网数据库内网数据库1数据变更-更新标志位4.接收内网有变更的数据,组织相应SQL语句,同步更新外网数据库3、网闸穿透的安全性3.1与防火墙相比针对上文介绍协议穿透网闸的原理,可以看出其和防火墙的原理还是有很大区别的,最主要的区别就在于网闸是在逻辑层上的协议转发,而防火墙则直接是物理层上的端口转发,理论上端口转发的安全性肯定要更低一些,其大概模型如下:外网业务系统内网业务系统端口转发:80、21、139...穿透防火墙3.2受到攻击时的处理那么穿透性网闸在外网受到网络攻击时,是如何处理的呢?能保护内网的安全吗?还是以上文的FTP协议穿透为例,如果有恶意用户,模拟ftp协议发起病毒文件,那么如下图所示,虽然病毒文件会被复制到网闸的相关处理单元,甚至会到达内网的FTP服务器,但是一旦你想通过一些操作系统之类的漏洞,想远程激活或控制该病毒文件,对于这种危险的指令,首先如果不属于网闸所支持的几种穿透协议之一,那肯定不会被转发到内网;其次就算你又能利用标准的ftp、http等协议进行远程攻击,那也最多就是把图中所示的“网闸外网处理单元”给黑掉,内网还是安全的,具体示意图如下:外网业务系统内网处理单元4.内部转换内网FTP服务器物理隔离网闸,以ftp透明访问为例5.模拟ftp服务端接收6.重组ftp请求1发起ftp请求7收到ftp请求危险指令病毒文件病毒文件病毒文件外网处理单元被攻击会中毒瘫痪但危险指令不会被转发危险指令病毒文件+=总结起来,穿透性网闸从原理上看,应该还是有一定的安全性保证的,最少比防火墙之类的产品要安全,当然和基本的摆渡性网闸相比,安全级别肯定要低一点,但考虑到应用对性能的要求越来越高,在性能和安全之间平衡的话,穿透性网闸还是一个不错的选择;