中网物理隔离产品白皮书

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

中网物理隔离产品白皮书总论物理隔离产品是用来解决网络安全问题的。尤其是在那些需要绝对保证安全的保密网,专网和特种网络与互联网进行连接时,为了防止来自互联网的攻击和保证这些高安全性网络的保密性、安全性、完整性、防抵赖和高可用性,几乎全部要求采用物理隔离技术。学术界一般认为,最早提出物理隔离技术的,应该是以色列和美国的军方。但是到目前为止,并没有完整的关于物理隔离技术的定义和标准。从不同时期的用词也可以看出,物理隔离技术一直在演变和发展。较早的用词为PhysicalDisconnection,Disconnection有使断开,切断,不连接的意思,直译为物理断开。这种情况是完全可以理解,保密网与互联网连接后,出现很多问题,在没有解决安全问题或没有解决问题的技术手段之前,先断开再说。后来有PhysicalSeparation,Separation有分开,分离,间隔和距离的意思,直译为物理分开。后期发现完全断开也不是办法,互联网总还是要用的,采取的策略多为该连的连,不该连的不连。这样的该连的部分与不该连的部分要分开。也有PhysicalIsolation,Isolation有孤立,隔离,封闭,绝缘的意思,直译为物理封闭。事实上,没有与互联网相连的系统不多,互联网的用途还是很大,因此,希望能将一部分高安全性的网络隔离封闭起来。再后来多使用PhysicalGap,Gap有豁口,裂口,缺口和差异的意思,直译为物理隔离,意为通过制造物理的豁口,来达到隔离的目的。到这个时候,Physical这个词显得非常僵硬,于是有人用AirGap来代替PhysicalGap。AirGap意为空气豁口,很明显在物理上是隔开的。但有人不同意,理由是空气豁口就物理隔离了吗?没有,电磁辐射,无线网络,卫星等都是空气豁口,却没有物理隔离,甚至连逻辑上都没有隔离。于是,E-Gap,Netgap,I-Gap等都出来了。现在,一般称GapTechnology,意为物理隔离,成为互联网上一个专用名词。对物理隔离的理解表现为以下几个方面:1,阻断网络的直接连接,即没有两个网络同时连在隔离设备上;2,阻断网络的互联网逻辑连接,即TCP/IP的协议必需被剥离,将原始数据通过P2P的非TCP/IP连接协议透过隔离设备传递;3,隔离设备的传输机制具有不可编程的特性,因此不具有感染的特性;4,任何数据都是通过两级移动代理的方式来完成,两级移动代理之间是物理隔离的;5,隔离设备具有审查的功能;6,隔离设备传输的原始数据,不具有攻击或对网络安全有害的特性。就像txt文本不会有病毒一样,也不会执行命令等。7,强大的管理和控制功能。网络安全的体系架构的演变要对物理隔离技术有一个深入的了解,必须对网络安全体系架构有深入的研究。要了解网络安全的架构体系,从目前网络安全市场的构成就可以初见端倪。防火墙,防病毒,VPN和入侵检测(IDS),是市场的主流产品。安全体系以防火墙为核心,向联动的方向发展。因此,要了解网络安全的架构体系的演变,必须防火墙进行深入的了解。现状目前,市场上销售量第一和第二的防火墙都使用一种被称为状态检测包隔离的技术,StatefulInspectionPacketFiltering(SIPF)。状态检测有两大优势,一是速度快,二是具有很大的灵活性。这也是SIPF为什么受欢迎的原因。有人会注意到我们甚至没有提到安全性,尽管人们要买防火墙,听起来是要解决安全问题,但安全性不是人们选择防火墙的第一理由。人们选择防火墙的第一理由是易于安装和使用,尽可能的减少麻烦和对网络结构的变动,以及对业务的影响。有防火墙之父之称的马尔科斯(MarcusRanum)也注意到这一点,防火墙客户有一次投票,结果前三位重要特性是透明特性,性能和方便性,而不是安全性,没有人对这个结果感到惊讶。仅有防火墙的安全架构是远远不够的目前网络安全市场上,最流行的安全架构是以防火墙为核心的安全体系架构。通过防火墙来实现网络的安全保障体系。然而,以防火墙为核心的安全防御体系未能有效地防止目前频频发生网络攻击。仅有防火墙的安全架构是远远不够的。以致于很多人都在怀疑,防火墙是不是过时了。连具?quot;防火墙之父马尔科斯都宣称,他再也不相信防火墙。这么说防火墙,似乎有一点过。主要的原因是前一个时期,防火墙已经成为安全的代名词,言必谈防火墙。导致很多厂商把根本不属于防火墙的东西全部推到防火墙上,如防火墙上的路由功能,甚至过分到把应用服务也搬到防火墙上,造成防火墙万能的局面,以致于期望越高,失望越大。虽说防火墙不是万能的,但没有防火墙却是万万不能的。防火墙至今为止还是最重要的安全工具。任何技术都有其局限性,防火墙也不例外。防火墙架构的回顾今天,我们发现自己处在一种网络不安全的现状,呼唤我们对防火墙架构的基础进行一个仔细的回顾。防火墙对网络安全的保护程度,很大程度上取决于防火墙的体系架构。一般的防火墙采用以下防火墙架构的一种或几种:l静态包过滤(StaticPacketFilter)l动态包过滤(DynamicorStatefulPacketFilter)l电路网关(CircuitLevelGateway)l应用网关(ApplicationLevelGateway)l状态检测包过滤(StatefulInspectionPacketFilter)l切换代理(CutoffProxy)l物理隔离(AirGap)网络安全是一种平衡网络安全只是在可信和性能之间的一种简单的平衡。所有的防火墙都依赖于对通过防火墙的包的信息进行检查。检查的越多,越安全。检查的重点是对网络协议的信息,这些信息按OSI的模型来讲,即分布在7层。知道防火墙运行在那一层上,就知道它的体系架构是什么。l一般说来,OSI的层号越高,防火墙要检查包的信息内容就越多,对CPU和内存的要求就高。lOSI的层号越高,防火墙检查的内容就越多,也就越安全。在防火墙的体系架构中,效率速度与防火墙的安全性,一直是一个折中方案。即高安全性的防火墙的效率和速度较低,高速度高效率的防火墙的安全性较低。然而,随着多CPU计算机的成本的下降,和操作系统支持对称多处理系统(SMP)的特性,传统的高速的包过滤的防火墙与开销较大的代理防火墙之间的差距逐步缩小。成功的防火墙的一个最重要的因素,是谁在安全和性能之间选择做决定:(1)防火墙厂商,通过限制用户的架构选择,或(2)用户,在一个强壮的防火墙中要求更多的架构。实际上,到底是用户决定市场,还上厂商决定市场。这个问题没有答案,要看最后的事实。防火墙的架构总体上如下图。我们把OSI的明显和TCP/IP的模型,对照起来,以便把问题说清楚。在检查防火墙的架构中,查看IP包头中最重要的几项信息是:lIP包头(IPheader)lTCP包头(TCPheader)l应用层包头(applicationheader)l数据加载的包头(data-payloadheader)静态包过滤(StaticPacketFilter)包过滤防火墙是最古老的防火墙架构之一。包过滤防火墙运行在网络层,即OSI的第三层。防火墙决定放行还是拒绝一个包,主要是基于对IP包头和协议包头的一些具体的信息进行检查,它们包括:l源地址(SourceAddress)l目的地址(DestinationAddress)l应用协议(ApplicationorProtocol)l源端口号(SourcePortNumber)l目的端口号(DestinationPortNumber)在转发一个包之前,防火墙将IP包头和TCP包头的信息与用户定义的规则表的信息进行比较,决定是转发还是拒绝。规则表就是用户定义的安全规则。规则是按顺序进行检查的,只到有规则匹配为止。如果没有规则匹配,则按缺省的规则执行。防火墙的缺省规则应该是禁止。实际上,有两种思想决定防火墙的缺省规则,(1)易于使用,或(2)安全第一。易于使用,一般都设置为准许放行。安全第一,一般都设置为禁止放行。静态包过滤防火墙,用户可以定义规则来决定准许什么包通过,或决定禁止什么包通过。用户定义规则,通过检查IP包头的信息,来准许或拒绝包从什么地址来,到什么地址去,可能是一个地址或一组地址。用户定义具体服务的规则,通过检查TCP包头的信息,来准许或拒绝包到达或来自相关具体服务的端口。包过滤防火墙的决定机制是,最后的规则如果与前面的规则冲突,最后的规则有效。当规则的检查是顺序执行时,包过滤防火墙的规则配置是十分复杂和困难的。我们知道,N条规则,按各种不同的顺序排列,可能的结果有N!之多。除非所有的规则都不相关,则N!种顺序的结果都一样,否则,其结果就可能不同。加一条规则是容易的,写一段规则来实现某种安全功能则非常困难,要求系统管理员对协议,TCP/IP的工作机制非常清楚,而且还得了解流程。有些管理员总是把后加的规则放在最后,也有的系统管理员总是放在前面,还有的系统管理员,随机的插入在规则的什么地方。最大的问题在于,规则A,B,C的排放顺序不同,规则的结构不一定相同,可能的排放方式为,A》B》C,A》C》B,B》A》C,B》C》A,C》A》B,C》A》B,这六种结果可能相同,可能不同,而且无法知道是相同还是不同,只有具体去分析。如果一个系统的规则有100条,则有100!=9.33e+157种可能性结果,即使只有万分之一的结果不同,也是一个巨大的天文数字。实际上,如果不同规则的相关性很低,结果不同是一个小概率事件。但是,如果不同规则的相关性很高,结果则难以预料。其结果是一致性检查很难做到。这就是为什么经常会出现,有时候,加一条规则没问题,有时候却有问题。用户必须仔细的检查所加入的规则,以保证其结果是其预期的结果。一个好的方法是,尽可能帮助用户设计自己的安全策略,使其不同规则的相关性很低,尽可能保证结果是完全相同的。即使用户的规则顺序是有效的,包过滤防火墙还有一个根本的局限性。它不知道什么地址是真实的,什么地址是假的。因为TCP/IP的包头的地址是可以改写的。即使用户可以在防火墙中,把不确定的源地址禁止掉,黑客还是可以使用别人的源地址,这个地址是正常的,却是黑客盗用,这使得问题变得更加复杂。像源地址欺骗,源地址假冒等这类攻击对包过滤防火墙非常有效。因此,尽管包过滤防火墙的性能和速度很高,其安全性却是有限的。由于包过滤防火墙只检查(1)源和目标地址,(2)源和目标端口,而不检查其它的重要的信息。因此,黑客在是其它的包头里加载恶意数据和命令。黑客还可以在包的数据中掩藏恶意的命令和数据,这就是流行的掩藏隧道(CovertChannel)攻击。在路由器中,一般都支持包过滤技术。但由于其安全性有限,所以用户一般都会再购买单独的防火墙来提供更高的安全性。优点:l对网络性能基本上没有影响l成本很低,路由器和一般的操作系统都支持缺点:l工作在网络层,只检查IP和TCP的包头l不检查包的数据,提供的安全行性不高l缺乏状态信息lIP易被假冒和欺骗l规则很好写,但很难写正确,规则测试困难l保护的等级低动态包过滤动态包过滤是静态包过滤技术的发展和演化。因此,它继承了静态包过滤的一个根本缺点:不知道状态信息。典型的动态包过滤,就向静态包过滤一样,主要工作在网络层,即OSI的第三层。有些高级一些的动态包过滤防火墙也工作到传输层,即OSI的第四层。动态包过滤防火墙决定放行还是拒绝一个包,主要还是基于对IP包头和协议包头的一些具体的信息进行检查,它们包括:l源地址(SourceAddress)l目的地址(DestinationAddress)l应用协议(ApplicationorProtocol)l源端口号(SourcePortNumber)l目的端口号(DestinationPortNumber)与静态包过滤技术不同,动态包过滤防火墙知道一个新的连接和一个已经建立的连接的不同。对于已经建立的连接,动态包过滤防火墙将状态信息写进常驻内存的状态表,后来的包的信息与状态表中的信息进行比较,该动作是在操作系统的内核中完成的。因此,增加了很多的安全性。一个典型的例子是,静态包过滤无法区分一个外部用户进入

1 / 20
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功