总论
物理隔离产品是用来解决网络安全问题的。尤其是在那些需要绝对保证安全的保密网,专网和特种网络与互联网进行连接时,为了防止来自互联网的攻击和保证这些高安全性网络的保密性、安全性、完整性、防抵赖和高可用性,几乎全部要求采用物理隔离技术。
学术界一般认为,最早提出物理隔离技术的,应该是以色列和美国的军方。但是到目前为止,并没有完整的关于物理隔离技术的定义和标准。从不同时期的用词也可以看出,物理隔离技术一直在演变和发展。较早的用词为Physical Disconnection,Disconnection有使断开,切断,不连接的意思,直译为物理断开。这种情况是完全可以理解,保密网与互联网连接后,出现很多问题,在没有解决安全问题或没有解决问题的技术手段之前,先断开再说。后来有Physical Separation,Separation有分开,分离,间隔和距离的意思,直译为物理分开。后期发现完全断开也不是办法,互联网总还是要用的,采取的策略多为该连的连,不该连的不连。这样的该连的部分与不该连的部分要分开。也有Physical Isolation,Isolation有孤立,隔离,封闭,绝缘的意思,直译为物理封闭。事实上,没有与互联网相连的系统不多,互联网的用途还是很大,因此,希望能将一部分高安全性的网络隔离封闭起来。再后来多使用Physical Gap,Gap有豁口,裂口,缺口和差异的意思,直译为物理隔离,意为通过制造物理的豁口,来达到隔离的目的。到这个时候,Physical这个词显得非常僵硬,于是有人用Air Gap来代替Physical Gap。Air Gap意为空气豁口,很明显在物理上是隔开的。但有人不同意,理由是空气豁口就"物理隔离"了吗?没有,电磁辐射,无线网络,卫星等都是空气豁口,却没有物理隔离,甚至连逻辑上都没有隔离。于是,E-Gap,Netgap,I-Gap等都出来了。现在,一般称Gap Technology,意为物理隔离,成为互联网上一个专用名词。
对物理隔离的理解表现为以下几个方面:
1.阻断网络的直接连接,即没有两个网络同时连在隔离设备上;
2.阻断网络的互联网逻辑连接,即TCP/IP的协议必需被剥离,将原始数据通过P2P的非TCP/IP连接协议透过隔离设备传递;
3.隔离设备的传输机制具有不可编程的特性,因此不具有感染的特性;
4.任何数据都是通过两级移动代理的方式来完成,两级移动代理之间是物理隔离的;
5.隔离设备具有审查的功能;
6.隔离设备传输的原始数据,不具有攻击或对网络安全有害的特性。就像txt文本不会有病毒一样,也不会执行命令等。
7.强大的管理和控制功能。
网络安全的体系架构的演变
要对物理隔离技术有一个深入的了解,必须对网络安全体系架构有深入的研究。要了解网络安全的架构体系,从目前网络安全市场的构成就可以初见端倪。防火墙,防病毒,VPN和入侵检测(IDS),是市场的主流产品。安全体系以防火墙为核心,向联动的方向发展。因此,要了解网络安全的架构体系的演变,必须防火墙进行深入的了解。
现状
目前,市场上销售量第一和第二的防火墙都使用一种被称为状态检测包隔离的技术,Stateful Inspection Packet Filtering (SIPF)。状态检测有两大优势,一是速度快,二是具有很大的灵活性。这也是SIPF为什么受欢迎的原因。有人会注意到我们甚至没有提到安全性,尽管人们要买防火墙,听起来是要解决安全问题,但安全性不是人们选择防火墙的第一理由。人们选择防火墙的第一理由是易于安装和使用,尽可能的减少麻烦和对网络结构的变动,以及对业务的影响。
有"防火墙之父"之称的马尔科斯(Marcus Ranum)也注意到这一点,防火墙客户有一次投票,结果前三位重要特性是透明特性,性能和方便性,而不是安全性,没有人对这个结果感到惊讶。仅有防火墙的安全架构是远远不够的
目前网络安全市场上,最流行的安全架构是以防火墙为核心的安全体系架构。通过防火墙来实现网络的安全保障体系。然而,以防火墙为核心的安全防御体系未能有效地防止目前频频发生网络攻击。仅有防火墙的安全架构是远远不够的。以致于很多人都在怀疑,防火墙是不是过时了。连具?quot;防火墙之父"马尔科斯都宣称,他再也不相信防火墙。
这么说防火墙,似乎有一点过。主要的原因是前一个时期,防火墙已经成为安全的代名词,言必谈防火墙。导致很多厂商把根本不属于防火墙的东西全部推到防火墙上,如防火墙上的路由功能,甚至过分到把应用服务也搬到防火墙上,造成防火墙万能的局面,以致于"期望越高,失望越大"。
虽说防火墙不是万能的,但没有防火墙却是万万不能的。防火墙至今为止还是最重要的安全工具。任何技术都有其局限性,防火墙也不例外。
防火墙架构的回顾
今天,我们发现自己处在一种网络不安全的现状,呼唤我们对防火墙架构的基础进行一个仔细的回顾。
防火墙对网络安全的保护程度,很大程度上取决于防火墙的体系架构。一般的防火墙采用以下防火墙架构的一种或几种:
l 静态包过滤(Static Packet Filter)
l 动态包过滤(Dynamic or Stateful Packet Filter)
l 电路网关(Circuit Level Gateway)
l 应用网关(Application Level Gateway)
l 状态检测包过滤(Stateful Inspection Packet Filter)
l 切换代理(Cutoff Proxy)
l 物理隔离(Air Gap)
网络安全是一种平衡
网络安全只是在可信和性能之间的一种简单的平衡。
所有的防火墙都依赖于对通过防火墙的包的信息进行检查。检查的越多,越安全。检查的重点是对网络协议的信息,这些信息按OSI的模型来讲,即分布在7层。知道防火墙运行在那一层上,就知道它的体系架构是什么。
一般说来,OSI的层号越高,防火墙要检查包的信息内容就越多,对CPU和内存的要求就高。
l OSI的层号越高,防火墙检查的内容就越多,也就越安全。 在防火墙的体系架构中,效率速度与防火墙的安全性,一直是一个折中方案。即高安全性的防火墙的效率和速度较低,高速度高效率的防火墙的安全性较低。然而,随着多CPU计算机的成本的下降,和操作系统支持对称多处理系统(SMP)的特性,传统的高速的包过滤的防火墙与开销较大的代理防火墙之间的差距逐步缩小。
在防火墙的发展过程中,人们最终意识到防火墙在安全方面的局限性。高性能,高安全性,易用性方面的矛盾并没有很好的解决。防火墙体系架构在高安全性方面的缺陷,驱使人们追求更高安全性的解决方案,人们期望更安全的技术手段,物理隔离技术应运而生。
新思路:物理隔离
物理隔离是安全市场上的一匹黑马。在经过漫长的市场概念澄清和马拉松式技术演变进步之后,市场最终接受物理隔离具有最高安全性。人们把高安全性的所有要求都集中在物理隔离上,中断直接连接,不光检查所有的协议,还把协议给剥离掉,直接还原成最原始的数据,对数据可以检查和扫描,防止恶意代码和病毒,甚至对数据的属性进行要求,不支持TCP/IP,不依赖操作系统,一句话,对OSI的七层进行全面检查,在异构介质上重组所有的数据(第七层之上,八层?)。
物理隔离在技术上取得了很大的突破。首先在性能上,物理隔离利用SCSI可以达到320MBps的速度,利用实时交换可以达到1000Mbps的速度。在安全性上,目前存在的安全问题,对物理隔离而言在理论上都不存在。这就是各国政府和军方都强制推行物理隔离的主要原因。
优点:
l 中断直接连接
l 强大的检查机制
l 最高的安全性
缺点:
l 对协议不透明,对每一种协议都要一种具体的实现
物理隔离:与互联网断开
定位
物理隔离技术,不是要替代防火墙,入侵检测,漏洞扫描和防病毒系统,相反,它是用户"深度防御"的安全策略的另外一块基石。物理隔离技术,是绝对要解决互联网的安全问题,而不是什么其它的问题。
物理隔离要解决的问题
解决目前防火墙存在的根本问题:
l 防火墙对操作系统的依赖,因为操作系统也有漏洞
l TCP/IP的协议漏洞:不用TCP/IP
l 防火墙、内网和DMZ同时直接连接,
l 应用协议的漏洞,因为命令和指令可能是非法的
l 文件带有病毒和恶意代码:不支持MIME,只支持TXT,或杀病毒软件,或恶意代码检查软件
物理隔离的指导思想与防火墙有很大的不同:(1)防火墙的思路是在保障互联互通的前提下,尽可能安全,而(2)物理隔离的思路是在保证必须安全的前提下,尽可能互联互通。
操作系统的漏洞:
操作系统是一个平台,要支持各种各样的应用,OS有下列特点:
l 功能越多,漏洞越多
l 应用越新,漏洞越多
l 用的人越多,找出漏洞的可能性越大
l 用的越广泛,漏洞曝光的几率就越大
黑客攻防火墙,一般都是先攻操作系统。控制了操作系统就控制了防火墙。
TCP/IP的漏洞:
TCP/IP是冷战时期的产物,目标是要保证通达,保证传输的粗旷性。通过来回确认来保证数据的完整性,不确认则要重传。TCP/IP没有内在的控制机制,来支持源地址的鉴别,来证实IP从哪儿来。这就是TCP/IP漏洞的根本原因。黑客利用TCP/IP的这个漏洞,可以使用侦听的方式来截获数据,能对数据进行检查,推测TCP的系列号,修改传输路由,修改鉴别过程,插入黑客的数据流。莫里斯病毒就是利用这一点,给互联网造成巨大的危害。
防火墙的漏洞:
防火墙要保证服务,必须开放相应的端口。防火墙要准许HTTP服务,就必须开放80端口,要提供MAIL服务,就必须开放25端口等。对开放的端口进行攻击,防火墙不能防止。利用DOS或DDOS,对开放的端口进行攻击,防火墙无法禁止。利用开放服务流入的数据来攻击,防火墙无法防止。利用开放服务的数据隐蔽隧道进行攻击,防火墙无法防止。攻击开放服务的软件缺陷,防火墙无法防止。
防火墙不能防止对自己的攻击,只能强制对抗。防火墙本身是一种被动防卫机制,不是主动安全机制。防火墙不能干涉还没有到达防火墙的包,如果这个包是攻击防火墙的,只有已经发生了攻击,防火墙才可以对抗,根本不能防止。
目前还没有一种技术可以解决所有的安全问题,但是防御的深度愈深,网络愈安全。物理安全是目前唯一能解决上述问题的安全设备。
物理隔离的技术路线
目前物理隔离的技术路线有三种:网络开关(Network Switcher),实时交换(Real-time Switch)和单向连接(One Way Link)。
网络开关是比较容易理解的一种。在一个系统里安装两套虚拟系统和一个数据系统,数据被写入到一个虚拟系统,然后交换到数据系统,再交换到另一个虚拟系统。
实时交换,相当于在两个系统之间,共用一个交换设备,交换设备连接到网络A,得到数据,然后交换到网络B。
单向连接,早期指数据向一个方向移动,一般指从高安全行的网络向安全性低的网络移动。
物理隔离的技术原理
物理隔离的技术架构在隔离上。以下的图组可以给我们一个清晰的概念,物理隔离是如何实现的。
图1,外网是安全性不高的互联网,内网是安全性很高的内部专用网络。正常情况下,隔离设备和外网,隔离设备和内网,外网和内网是完全断开的。保证网络之间是完全断开的。
隔离设备可以理解为纯粹的存储介质,和一个单纯的调度和控制电路。
当外网需要有数据到达内网的时候,以电子邮件为例,外部的服务器立即发起对隔离设备的非TCP/IP协议的数据连接,隔离设备将所有的协议剥离,将原始的数据写入存储介质。根据不同的应用,可能有必要对数据进行完整性和安全性检查,如防病毒和恶意代码等。见下图2。
一旦数据完全写入隔离设备的存储介质,隔离设备立即中断与外网的连接。转而发起对内网的非TCP/IP协议的数据连接。隔离设备将存储介质内的数据推向内网。内网收到数据后,立即进行TCP/IP的封装和应用协议的封装,并交给应用系统。
这个时候内网电子邮件系统就收到了外网的电子邮件系统通过隔离设备转发的电子邮件。见下图3。
在控制台收到完整的交换信号之后,隔离设备立即切断隔离设备于内网的直接连接。见下图4。
如果这时,内网有电子邮件要发出,隔离设备收到内网建立连接的请求之后,建立与内网之间的非TCP/IP协议的数据连接。隔离设备剥离所有的TCP/IP协议和应用协议,得到原始的数据,将数据写入隔离设备的存储介质。必要的化,对其进行防病毒处理和防恶意代码检查。然后中断与内网的直接连接。见下图5。
一旦数据完全写入隔离设备的存储介质,隔离设备立即中断与内网的连接。转而发起对外网的非TCP/IP协议的数据连接。隔离设备将存储介质内的数据推向外网。外网收到数据后,立即进行TCP/IP的封装和应用协议的封装,并交给系统。见下图6。
控制台收到信息处理完毕后,立即中断隔离设备与外网的连接,恢复到完全隔离状态。见下图7。
每一次数据交换,隔离设备经历了数据的接受,存储和转发三个过程。由于这些规则都是在内存和内核力完成的,因此速度上有保证,可以达到100%的总线处理能力。
物理隔离的一个特征,就是内网与外网永不连接,内网和外网在同一时间最多只有一个同隔离设备建立非TCP/IP协议的数据连接。其数据传输机制是存储和转发。
物理隔离的好处是明显的,即使外网在最坏的情况下,内网不会有任何破坏。修复外网系统也非常容易。
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/1034/viewspace-828142/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/1034/viewspace-828142/
扫一扫
605
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
