1网闸技术原理摘要:关键词:1.引言计算机网络的迅速反展,已经涉及到了人们生活的各个方面,成为实现信息收集处理、加强交流、提高工作生活效率和质量的重要手段。作为一计算机网络最具代表性的表现形式,nIetmet实际上是由世界范围内众多计算机网络联结而成的一个逻辑网络。它并非一个具有独立形态的网络,而是由计算机网络汇合成的一个网络集合体。因此Iniemet比其它形式的计算机网络更具开放性和自由性。并且由于其所具有的国际性,使诸如电子商务、电子现金、数字货币、网络银行等新业务可以通过它得以实现。同时,信息网络的普及和网络中各种潜在的漏洞给我们带来了新的安全威胁,如黑客侵袭、病毒骚扰和系统内部泄密等,频繁出现的攻击事件严重威胁着网络中的数据安全。而重要信息一旦泄漏,必将造成重大的损失。针对这个问题,国家保密局早在1998年发布的《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》]ll中就提出了“物理隔离”要求,文中明确规定:涉密系统不得直接或间接与国际联网,必须实行物理隔离。2000年,国家保密局正式颁布的《计算机信息系统国际联网保密管理规定》121中也明确规定:“凡涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相联接,必须实行物理隔离。”防火墙防病毒漏洞扫描和系统风险评估以至人侵检测这些技术都可在一定程度上提供安全保护但目前所有的安全手段,无论使用一种或将所有方法综合使用,都无法做到对网络和信息资源的完美保护,因为这些边界安全防护措施都是在保持内外网络联通的前提下对内网进行安全防护,访问策略配置的失误、防火墙设备本身可能存在的漏洞等问题都可能导致内网的边界被从外部突破,无法从根本上保证内网的安全。针对这个问题,参考国内外一些成熟技术,网络安全隔离网闸逐渐开始应用起来,它是从物理链路上断开内网与外网不可信任的直接网络连接,同时还保持在安全可控的条件下进行适度的数据交换。网闸在国内的叫法很多,有的叫安全隔离网闸、物理隔离网闸、安全隔离与信息交换系统,但都是为了实现同一个安全目标而设计的,那就是确保安全的前提下实现有限的数据交流。2网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。网闸是一种网络隔离技术,它所连接的两个独立主机系统之间不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,是“黑客”无法入侵、无法攻击、无法破坏、实现真正的安全。2.工作原理2.1.结构3物理隔离网闸的体系结构主要由三部分组成:外网处理单元、内网处理单元、隔离与交换控制单元。内网处理单元:包括内网接口单元与内网数据缓冲区。接口部分负责与内网的连接,并终止内网用户的网络连接,对数据进行病毒检测、防火墙、入侵防护等安全检测后剥离出“纯数据”,作好交换的准备,也完成来自内网对用户身份的确认,确保数据的安全通道;数据缓冲区是存放并调度剥离后的数据,负责与隔离交换单元的数据交换。外网处理单元:与内网处理单元功能相同,但处理的是外网连接。隔离与交换控制单元:是网闸隔离控制的摆渡控制,控制交换通道的开启与关闭。控制单元中包含一个数据交换区,就是数据交换中的摆渡船。对交换通道的控制的方式目前有两种技术,摆渡开关与通道控制。摆渡开关是电子倒换开关,让数据交换区与内外网在任意时刻的不同时连接,形成空间间隔GAP,实现物理隔离。通道方式是在内外网之间改变通讯模式,中断了内外网的直接连接,采用私密的通讯手段形成内外网的物理隔离。该单元中有一个数据交换区,作为交换数据的中转。2.2.数据传输过程第一步,当数据包从外部网流入时,外网处理单元对数据包进行安全检查,如包过滤,内容扫描,认证审查等,若通过安全检查,则去掉数据包各种包头信息,只保留应用层数据,也就是原始数据,然后用自定义的协议封装该数据。第二步,控制逻辑会主动去探测内网处理单元和外网处理单元,若有数据传输,则进行相应方向的数据传输。在此,内外网处理单元的数据传输的两个通道只有一个通道工作。假设控制逻辑允许外网处理单元的数据,经自定义协议封装好的原始数据流入隔离交换单元的存储区,在此,隔离交换单元的存储区和内网处理单元的存储区之间的传输通道是禁用的。假设外网处理单元和隔离硬件交换单元的传输通道有开关K1控制,内网处理单元和隔离硬件交换单元的传输通道有开关K2控制,K1、K2不能同时为开。第三步,隔离交换单元通过第二步的类似方式将数据传入内网处理单元存储区。外网接口内网接口外网处理器内网处理器存储区存储区存储区外网处理单元内网处理单元包过滤,内容扫描,认证审查等安全控制,数据传输控制,协议重构,包过滤,内容扫描,认证审等安全控制,数据传输控制,协议重构控制逻辑控制两个数据传输通道,任何时刻最多一个通道工作。隔离硬件数据交换单元4第四步,内网处理单元将数据包的自定义协议包头去除,得到原始数据,然后用某种通用协议封装数据,将该数据包传送给内网相应主机。以上为数据从外网传输到内网的过程。内外网的处理单元所使用的安全控制多种多样,可以根据需求具体设计。内外网处理单元通过隔离交换单元的数据协议格式也是自定义,防范了某些协议攻击。3.数据交换方式数据交换方式是物理隔离网闸最关键的技术之一,目前常见的数据交换方式主要有三类:摆渡交换、缓冲区通讯和单向通道。3.1.摆渡交换技术摆渡开关是网闸最常用的倒换方式。为了保持内外网的物理隔离,所以在与内网连接的时候,一定与外网断开,但与外网连接的时候,一定与内网断开。所谓断开是只物理通讯的“高阻”状态或物理的停电,没有进行通讯的可能。在内外网处理单元内都有自己的缓冲空间,用来存储需要交换的数据文件,在隔离与交换控制单元也有一个用于数据交换区。当电子开关C点与A点连通,交换区与内网连通,此时与外网断开,内网中需要交换的数据写入数据交换区,同时读出数据交换区中从外网来的数据,完成一次摆渡。但电子开关C点与B点连通,交换区与外网连通,此时与内网断开,外网中需要交换的数据写入数据交换区,同时读出数据交换区中从内网来的数据,完成二次摆渡。很多厂家实现了多个网络的数据交换的网闸,则把电子开关换成交换矩阵。数据的交换方式有些类似数据交换机的方式,但每个网络处理单元只与数据缓冲区中的一个连接。因为每个网络单元同时只与一个数据交换区连接,每个数据交换区也同时只与一个网络单元连接,所以各个网络没有个一个时刻是相互连通。网络处理单元从缓冲区读数据时,只从自己的对应缓冲区读取,写数据时写入目标网络对应的缓冲区。53.2.缓冲区通讯技术内部通道与网闸外部接口选择不同通讯技术,可以既形象又完全地中断应用连接,对阻断攻击是较好的选择。网闸内部有三个数据区域、两种内部通道,合理地选择通讯技术,可以大大减少被攻击的可能性。网闸厂家一般不公开自己的实现方式,私密性有助于网闸的安全性。但大多数是在内部通道2上做文章这里总结了几种实现的方式:Ø基于常用通讯总线的方式内外接口采用工控主机方式,主机把要交换的数据通过PCI总线写入PCI插卡,在PCI插卡有数据缓冲区域,电子开关是CPLD实现的控制电路,控制内部通道1与2的开闭。内部通道2可以选择不同是通讯总线连接,比如PCI、USB、串口通讯等,也可以选择网络方式,在图中表示为数据传输专用协议。图中显示的是二区模型示例。数据缓冲存储可以选择双端口的静态存储器(DualPortSRAM),这样只要在存储器的两个端口上控制就可以了,但两个开关不能同时闭合。Ø基于存储总线方式存储方式的把交换区看成本地可读写的硬盘,主机单元通过扩展卡把SCSI存储缓冲区6扩展,在加上控制信号组成专用的扩展总线连接到隔离交换控制主机上。利用电子开关控制内外网的主机单元分别读写数据交换区域的存储空间。在数据交换区定义好内网或外网读写的固定区域:内网写/外网读区域、内网读/外网写区域。对交换区的读写采取块方式,不能采用文件方式,数据的校验、文件的还原都在主机单元中进行。该方式的困难在于主机挂接盘需要识别,若倒换频繁对系统影响很大,所以在扩展卡上通过总线的控制信号对主机系统进行屏蔽,让主机始终认为磁盘在线,但读写的控制听从隔离交换控制主机的调度。这里采用的是SCSI存储方式,也可以采用IDE方式,从设计的方便上还可以选择串行的存储方式,如SATA,SAS方式。也可以采用USB盘方式,USB的总线控制要简单的多,目前USB的空间足够大,但速度上还有差距。3.3.单向通道技术单向通道技术是近年兴起的新技术,单向是相对于通讯的双向而言的。网闸中无论采用那种开关技术,实际就是物理链路的倒换,在内外网之间提供一个安全的、功能视同隔离的交换区,象码头的摆渡一样,把我们认为是真实的数据摆渡过去。但是通讯协议的设计是分层次的,我们要交换的纯数据本身在网闸的种种技术手段中还是要穿越网闸,那么某种攻击的行为就可能掩藏于“纯数据”之中,通过网闸后再还原成攻击程序。即使定义了安全原则的网闸只提供文件交换的功能,也还是要为两端的客户提供一定的服务接口,否则用户没有办法把数据交给你,若抛开所有的安全检测技术不谈,服务就有可能成为攻击行为的承载列车。就象我们摆渡客户的包裹,但包裹里面藏有客户也不知道(也可能主观隐藏的)的病毒,被同样摆渡到对岸。先来分析一下攻击的过程:7Ø攻击者伪装攻击信息Ø伪装信息搭载正常数据通过网闸Ø攻击信息还原成自己,收集信息,并同样手段向攻击者报告Ø攻击根据已经取得的权限,进行下一步动作从过程中我们可以看出,攻击是一个双向互动的过程,也就是说,通讯是双向的。攻击者要通过进入内网的代理者实行他的计划。既然通讯的双向性提供了攻击者的通道,单向通道技术就诞生了。所谓单向,就是把通讯的收、发两个链路完全分开,在一个通道中不能完成通讯的反馈,攻击行为就成了半开的连接,不能发挥效果。发送方只管发送数据,数据方只管接收数据。或者针对安全级别较高的网络,只允许信息单向地流入,而没有流出的通道,保证该网络的安全性。数据是在通讯中交换,若只有单方向,对数据的完整性是有很大影响的。比如,数据在传输过程中损坏,接收方没有通知发送方重传的可能,只有丢弃。对于发送方来说,只管把数据发出,对方是否收到,数据是否可用都不知道。但通道技术在对数据完整性有一定损害的基础上保证了安全性。作为将单向通道技术进行改进,扩展了硬件的控制信号线,加上简单的控制信号,实现数据的差错重发,但没有增加回向数据通道,所以也保证数据的单向通道方式。从模型中可以看出:攻击者是无法越过单向通道网闸进行攻击。若攻击者控制了发送方的主机单元,把攻击信息发送过去,但由于是单向通道网闸,被控制的主机单元得不到返回的信息,不了解内部情况,所以无法实施下一步攻击计划。若攻击者控制了接收的主机单元,由于单向通道,他无法把攻击工具送到另一方,当然也就无法发起攻击了。单向通道技术没有差错重传机制,在单向通道技术的网闸上无法实现业务数据交换代理的,所以要实现业务数据的自动交换,可以在网络中使用两个相互反向的单通道网闸,分别提供两个数据通道,实现两个方向的数据交换。83.4.小结从总线技术来讲,存储总线把交换区看成存储硬盘,是模拟人工摆渡的最合理技术,应用协议的阻断是最“彻底的”,从安全性来讲,单通道技术是网络安全保证性比较高的,但对业务的自动交换支持也是最差的。要隔离,也要交换,这本身就是一对矛盾的需求,最佳的方式就是根据客户两个网络的具体安全需求,选择合适的网闸实现数据的交换。我们建议采用下面的方式:Ø对于网络的保密性要求高的,采用单通道技术的网闸,保证高密级网络的信息绝对不外流。Ø对于从业务安全考虑的网络分离,建议采用存储总线方式网闸,数据可以交换,业务连接彻底中断。Ø对于防止外部攻击的网络分离,建议采用业务代理数据交换的通讯总线或存储总线网闸,针对业务进行代理数据交换,提高数据交换的能力的同时,阻断攻击的载体。4.应用物理隔离网闸应用在下面的5种场合环境中:(