隔离网闸X-GAP FOR 培训

隔离网闸GAP介绍中网公司2008-4-22目录Gap技术的起源(GapOrigin)安全威胁(InternetThreats)网络安全概要(NetworkSecurity)什么是Gap技术(Principle)防火墙与GapGap技术的实现(Function)Gap的测试原理与方法(TestingyourGap)Gap产品的安装及其使用（Installandconfigure）Gap技术在行业中的应用(DeploytheGap)Gap技术的发展与展望(TechandproductsTrends)Gap技术的起源学术界一般认为，最早提出物理隔离技术的，应该是以色列和美国的军方，其设计目标就是要弥补防火墙隔离技术的不足。但是到目前为止，并没有完整的关于物理隔离GAP技术的定义和标准。较早的用词为PhysicalDisconnection，Disconnection有使断开，切断，不连接的意思，直译为物理断开，后来有PhysicalSeparation用词，Separation有分开，分离，间隔和距离的意思，直译为物理分开。再后来多使用PhysicalGap，Gap有豁口，裂口，缺口和差异的意思，直译为物理隔离，意为通过制造物理的豁口，来达到隔离的目的。到这个时候，Physical这个词显得非常僵硬，于是有人用AirGap来代替PhysicalGap。Gap技术的起源AirGap意为空气豁口，很明显在物理上是隔开的。但有人不同意，理由是空气豁口就“物理隔离”了吗？没有，电磁辐射，无线网络，卫星等都是空气豁口，却没有物理隔离，甚至连逻辑上都没有隔离。WHALECOMMUNICATIONS.INC公司：E-GAP。SPEARHEADSECURITY.INC公司：NETGAP。中网：X-GAP。……现在，一般称GapTechnology，意为物理隔离网闸，已经成为互联网安全的一个专用名词。安全威胁文件命令网络系统内部网络与公网存在连接安全威胁文件命令网络系统病毒，恶意代码解决办法：不用文件或查杀安全威胁文件命令网络系统恶意命令：FTP，GET，PUTPOST等解决办法：协议检查和自定义安全威胁文件命令网络系统BUG，后门，稳定性解决办法：最小化服务，安全，加固，系统保护安全威胁文件命令网络系统TCP，IP，Protocol等的DOS，SYN等攻击解决办法：不能依赖TCP/IP传统物理隔离的解决方案物理隔离卡产品实现：物理隔离卡、物理隔离集线器、转发器等；工作原理：主要是在终端上实现物理隔离。典型的隔离方式是通过双硬盘双网卡加物理隔离卡等方法来实现。其原理是在原有机器上增加一块硬盘、一个网卡和一个隔离卡来实现物理隔离，两块硬盘分别对应内外网，用户启动外网时关闭内网硬盘，启动内网时关闭外网硬盘，这是中国政府部门应用最多的终端隔离方式。传统物理隔离方案示例什么是GAP技术？隔离网闸是一种由专用硬件开关在电路上切断网络之间链路层连接，并能够在网络间进行实时、安全适度的应用数据交换的网络安全隔离设备。隔离网闸由外部系统、内部系统和数据交换系统（开关系统）组成。外部系统连接外网，内部系统连接内网，正常情况下，隔离设备的双系统之间通过开关是完全断开的。当用户的网络需要保证高强度的安全，同时又与其它不信任网络进行信息交换的情况下，如果采用物理隔离卡，信息交换的需求将无法满足；如果采用防火墙，则无法防止内部信息泄漏和外部病毒、黑客程序的渗入，安全性无法保证。在这种情况下，隔离网闸能够同时满足这两个要求，又避免了物理隔离卡和防火墙的不足之处，是最好的选择。网闸实现网络隔离和交流传统网络隔离原理演示防火墙与Gap静态包过滤优点：对网络性能基本上没有影响；成本很低，路由器和一般的操作系统都支持。缺点：工作在网络层，只检查IP和TCP的包头；不检查包的数据，提供的安全性不高；缺乏状态信息；IP易被假冒和欺骗；规则很好写，也很难写正确，测试困难；保护的等级低。防火墙与Gap电路级网关优点：对网络性能的影响适中或较低；中断了直接连接，对应用透明；比包过滤的安全性要高一个级别；缺点：有包过滤的很多缺点；不对数据作任何检查，允许任何数据简单的穿透连接；只能提供中低的安全性。防火墙与Gap应用代理：优点：通过支持SMP和多CPU，应用网关对网络性能影响是完全可以接受的；禁止直接连接，消除隧道攻击的危害；检查协议信息，消除了内存溢出攻击；最高的安全性；缺点：如果系统实现不好，性能很差；对程序的质量要求很高；应用支持有限；对操作系统有依赖性。防火墙与Gap状态检测包过滤优点：提供检测所有OSI七层的能力；不改变目前的直接连接模式；提供完整的动态包过滤功能；动态包过滤提供较快的速度。缺点：单线程的状态检测对性能有很大的影响，因此用户多工作在动态包过滤模式；直接连接对高安全性是不合适的；依赖于操作系统的安全性；工作在动态包过滤模式并没有很高的安全性。防火墙与Gap包过滤双主机是目前安全性最低的一种所谓的物理隔离GAP。几乎看不出来，它与两个包过滤防火墙串联有什么不同。有些厂商从外部主机的内核中取出数据，将网卡设置为混杂模式，直接传输到内部主机的内核，听起来好像安全一些，实际什么也没有做。比如有些物理隔离就是双主机之间，在机箱内部直接用以太连接起来。防火墙与Gap双网关主机双电路代理在执行完认证和会话检查后，预以放行，效率比应用代理要高一些，安全性与单机电路代理没有本质不同。与单个的应用代理没有本质的不同，除非内部主机的操作系统与外部的不同。防火墙与Gap传统隔离解决方案的无法解决的难题：操作系统平台的安全难题；阻断未知网络攻击的难题；安全策略的防护难题；屏蔽TCP/IP漏洞的难题；中断内外网络之间的直接会话的难题。防火墙与Gap国家规定•中办发〔2002〕17号《国家信息化领导小组关于我国电子政务建设指导意见》中明确规定：“电子政务网络由政务内网和政务外网构成，两网之间物理隔离，政务外网与互联网之间逻辑隔离。政务内网主要是副省级以上政务部门的办公网，与副省级以下政务部门的办公网物理隔离。政务外网是政府的业务专网，主要运行政务部门面向社会的专业性服务业务和为需在内网上运行的业务”。•国家保密局发布的《计算机信息系统国际联网保密管理规定》中第二章第六条规定：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网相联接，必须进行物理隔离”。物理隔离GAP的来源中网隔离网闸X-GAP原理演示Gap技术的实现原理演示不可信任网（Internet）可信任网（Intranet）物理隔离设备物理隔离控制系统原理演示不可信任网（Internet）可信任网（Intranet）物理隔离设备物理隔离控制系统原理演示不可信任网（Internet）可信任网（Intranet）物理隔离设备物理隔离控制系统原理演示不可信任网（Internet）可信任网（Intranet）物理隔离设备物理隔离控制系统原理演示不可信任网（Internet）可信任网（Intranet）物理隔离设备物理隔离控制系统原理演示不可信任网（Internet）可信任网（Intranet）物理隔离设备物理隔离控制系统查原理演示不可信任网（Internet）可信任网（Intranet）物理隔离设备物理隔离控制系统查原理演示不可信任网（Internet）可信任网（Intranet）物理隔离设备物理隔离控制系统查TCP/IP协议处理图TCPIPRawDataIPTCPDataInspectionProtocolInspectionProtocolInspection不支持直接TCP/IP协议连接IP包，3层TCP会话4层B/S会话5至7层GapB/S会话5至7层TCP会话4层IP包，3层OSI第七层之外文件摆渡TCP/IP协议处理图GAP的工作模型GAP实现的目标X-GAP技术在设计上主要是为了解决目前网络安全设备中存在的四个主要难题：•第一，阻断内外网络的任何网络通信协议。一旦在网络边界处安装了X-GAP设备，外网的黑客就不能直接和内网的服务器会话，所有的TCP/IP通信包被阻断，并在X-GAP内剥离成裸数据、分析、再打包、转发等过程，使内外网交换的信息只有需要交换的、纯粹的裸数据，不包含外层的通信协议。•第二，抵御任何基于TCP/IP的已知和未知的网络攻击。目前发现的攻击，有基于应用协议漏洞的，有基于TCP/IP协议漏洞的，有基于命令的，有基于包的。隔离网闸从根本上解决了这四种类型的攻击。因此，新的攻击，只要是基于上述四种原理的，不管是已知的，还是未知的，都可以阻止。••第三，抵御基于操作系统平台漏洞或后门的攻击。双主机之间是物理阻断的，无连接的，因此，黑客不可能扫描内部网络的所有主机的操作系统漏洞，无法攻击内部，包括物理隔离网闸的内部主机。•第四，GAP保护安全设备的安全策略。网闸的安全策略在可信的内网，黑客无法透过GAP，控制网闸，X-GAP连接的内外网络始终是物理隔离的，即存在AIRGAP,黑客无法。GAP的技术特征•阻断两个网络的物理连接：确保连接网闸X-GAP设备上的两个网络在任何时候链路层均是断开的，没有链路连接；•阻断两个网络的逻辑连接：TCP/IP协议必须被阻断、被剥离，将原始数据通过P2P非TCP/IP的连接透过网闸设备X-GAP传递，没有通信连接、没有网络连接、没有应用连接、完全阻断；•网闸开关系统的安全特性：网闸设备X-GAP的内部传输机制必须具有不可编程特性，因此不具有感染的特性；•网闸实现服务的应用代理：任何数据交流均通过两级代理的方式来完成，两级代理之间是通过开关系统实现信息交流的；•网闸安全策略的内部控制：网闸X-GAP内外系统的安全策略均在可信内网配置合传递，确保安全策略不能被攻击的特性；•网闸数据摆渡的表单方式：网闸X-GAP传输的原始数据通过表单方式进行，不具有攻击或对网络安全有害的特性。就像txt文本不会有病毒一样，不会执行命令；•网闸隔离设备的自我保护：网闸X-GAP外网内置防DoS/DDoS模块，抗攻击、防扫描、防入侵、防篡改、防破坏、防欺骗，同时系统提供完备的日志、审计功能。X-GAP的主要功能功能描述优势隔离内外网络隔断外网和内网从外网不能入侵，攻击内网，(但是能够安全交换数据)抗DoS攻击内核连接外网的外部系统的内核做了抗攻击设计在隔离保护了内网的同时，尽量做外部系统的自身防护HTTP、文件传输、E-MAIL等应用代理、定制TCP/UDP代理、数据库等外网和内网隔离后，只能从外网进行定义的合法访问，包括http，文件，email安全交换合法应用和数据协议检查和内容过滤对每种应用协议做检查，过滤内容、关键词、文件类型，防泄密、查杀病毒等排除网络包攻击的同时，过滤掉恶意代码，命令，病毒等危害内部系统的内容攻击安全配置管理安全，方便地配置管理物理隔离系统保证系统的易用和可用性日志分析记录管理配置日志，攻击日志，过滤日志并能分析、检察能够及时报警，跟踪问题，审计X-GAP产品形式硬件组成：•内网机；•外网机；•SCSI控制开关系统；•两个网卡：分别连接在内网机和外网机的主板上，用于内网机和外网机的输入输出。软件组成：•开关控制软件：快速的在两个处理单元之间交换数据。•外部单边代理：接收外部的请求，解析出应用协议，过滤数据内容，保证数据中不包含危险命令。•内部单边代理：通过传输层软件模块接收外部处理单元传入的请求和数据，解析出应用协议，过滤数据内容，保证数据中不包含危险命令。X-GAP主要技术指标•最小开关切换时间：12.5ns；•网闸摆渡数据速率：248Mbps；•百兆带宽网闸吞吐量：80Mbps；•设计的最大并发连接数：8192个；•网闸内部最大带宽：5120Mbit/s（5G）；•接口数量：支持2－4个网络接口；•在性能方面达到了同期国际主要厂商同类产品的水平；X-GAP产品功能模块安全的隔离（断开与摆渡）由外部主机、内部主机和开关