企業(yè)網(wǎng)絡(luò)安全隔離技術(shù)研究

楊林海，何斌穎，顧東虎

(云南工商學(xué)院機(jī)電信息學(xué)院，昆明，651700)

企業(yè)網(wǎng)絡(luò)安全隔離技術(shù)研究

楊林海，何斌穎，顧東虎

(云南工商學(xué)院機(jī)電信息學(xué)院，昆明，651700)

網(wǎng)絡(luò)極大提高了企業(yè)效率的同時(shí)，網(wǎng)絡(luò)系統(tǒng)也成為安全威脅的首要目標(biāo)，網(wǎng)絡(luò)安全面臨著前所未有的威脅，網(wǎng)絡(luò)的安全需求不斷提高，網(wǎng)絡(luò)的攻擊方式不斷發(fā)展，對(duì)傳統(tǒng)的網(wǎng)絡(luò)安全機(jī)制提出了挑戰(zhàn)；新提出的網(wǎng)絡(luò)隔離技術(shù)，與傳統(tǒng)的數(shù)據(jù)交換與路由技術(shù)完全不同，隔離技術(shù)是在保證物理隔離的條件下，實(shí)現(xiàn)對(duì)數(shù)據(jù)的安全轉(zhuǎn)發(fā)。

網(wǎng)絡(luò)安全；隔離；數(shù)據(jù)交換

0 引言

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展國(guó)家信息化建設(shè)水平不斷提高，社會(huì)生活的各個(gè)方面對(duì)網(wǎng)絡(luò)的依賴(lài)性不斷增加，逐漸使網(wǎng)絡(luò)成為個(gè)人和企業(yè)運(yùn)營(yíng)不可或缺的一部分。網(wǎng)絡(luò)極大提高了企業(yè)效率的同時(shí)，網(wǎng)絡(luò)系統(tǒng)也成為安全威脅的首要目標(biāo)，網(wǎng)絡(luò)安全面臨著前所未有的威脅。網(wǎng)絡(luò)安全的影響有很多方面，有來(lái)自網(wǎng)絡(luò)的攻擊，也有來(lái)自?xún)?nèi)部人員的攻擊，自然環(huán)境對(duì)網(wǎng)絡(luò)安全的影響因素也很大，現(xiàn)在的主要問(wèn)題是如何在保證網(wǎng)絡(luò)安全的前提下，實(shí)現(xiàn)網(wǎng)絡(luò)的安全交換。

1 網(wǎng)絡(luò)隔離技術(shù)

1.1概述

網(wǎng)絡(luò)的安全需求的不斷提高，網(wǎng)絡(luò)的攻擊方式不斷發(fā)展，對(duì)傳統(tǒng)的網(wǎng)絡(luò)安全機(jī)制提出了挑戰(zhàn)，需求在傳統(tǒng)防火墻策略的基礎(chǔ)上，進(jìn)一步提高安全性能，從物理上實(shí)現(xiàn)對(duì)數(shù)據(jù)安全隔離，同時(shí)要求數(shù)據(jù)的適時(shí)性，“網(wǎng)絡(luò)隔離技術(shù)”應(yīng)運(yùn)而生了，這種機(jī)制是從傳統(tǒng)的網(wǎng)絡(luò)安全中而來(lái)，采用隔離機(jī)制，對(duì)開(kāi)方式協(xié)議的安全應(yīng)用是一個(gè)很好的補(bǔ)充。

1.2隔離技術(shù)的發(fā)展

網(wǎng)絡(luò)隔離是在數(shù)據(jù)安全交換過(guò)程中，在保證物理鏈路斷開(kāi)的前提下，實(shí)現(xiàn)安全交換和資源共享。物理斷開(kāi)的目的是把網(wǎng)絡(luò)中有害的安全威脅隔離開(kāi)。當(dāng)前的網(wǎng)絡(luò)安全訪問(wèn)主要是通過(guò)策略的控制思想，通過(guò)定義規(guī)則和約束的方式來(lái)保障網(wǎng)絡(luò)的安全。

2 網(wǎng)絡(luò)資源隔離技術(shù)

2.1安全區(qū)域

安全區(qū)域(SZ)是一個(gè)物理或者邏輯組織的資源集合,信息安全的目標(biāo)就是在可以接受的安全機(jī)制下，采用現(xiàn)在的安全手段，將網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)和隱患盡量降低。要實(shí)現(xiàn)這一目標(biāo)，不僅僅要考慮防火墻、IDS和其它安全設(shè)備，更是需要綜合考慮如何在現(xiàn)有網(wǎng)絡(luò)架構(gòu)上安裝何種安全設(shè)備才能發(fā)揮最大的作用。安全區(qū)域的區(qū)分不是傳統(tǒng)意義上的網(wǎng)絡(luò)隔離持術(shù)，指的是對(duì)網(wǎng)絡(luò)硬件資源的軟件資源的分類(lèi)分區(qū)域管理。

2.1.1 安全區(qū)域方式 在安全區(qū)域劃分后，相同區(qū)域內(nèi)的資源性質(zhì)類(lèi)似，所面臨的威脅也相似，有利于采取統(tǒng)一策略實(shí)現(xiàn)安全保護(hù)，在保證網(wǎng)絡(luò)正常數(shù)據(jù)交換的前提下，保證敏感資源的安全性。在現(xiàn)實(shí)網(wǎng)絡(luò)中，根據(jù)企業(yè)對(duì)網(wǎng)絡(luò)的不同安全需求，一般將企業(yè)網(wǎng)絡(luò)劃分為網(wǎng)絡(luò)外部域、網(wǎng)絡(luò)接入域、網(wǎng)絡(luò)核心域3類(lèi)安全域。

1)網(wǎng)絡(luò)外部域。一般指企業(yè)網(wǎng)絡(luò)的外網(wǎng)接入系統(tǒng)部分，包括互聯(lián)網(wǎng)的接入、各分公司網(wǎng)絡(luò)及其他有可能的接入網(wǎng)絡(luò)。

2)網(wǎng)絡(luò)接入域。是指企業(yè)中心機(jī)房網(wǎng)絡(luò)之外的網(wǎng)絡(luò)系統(tǒng)與企業(yè)進(jìn)行通信的接入?yún)^(qū)域。依據(jù)對(duì)端網(wǎng)絡(luò)可信度的不同，網(wǎng)絡(luò)接入域進(jìn)一步分為：互聯(lián)網(wǎng)接入域、外聯(lián)網(wǎng)接入域、管理用戶(hù)域、備份網(wǎng)絡(luò)接入域。

3)網(wǎng)絡(luò)核心域。是指網(wǎng)絡(luò)的核心交換部分，主要由網(wǎng)絡(luò)中的核心設(shè)備組成，是網(wǎng)絡(luò)中數(shù)據(jù)交換最集中、可靠度要求最高的部分，是整個(gè)網(wǎng)絡(luò)互聯(lián)的核心，包括了核心計(jì)算域、備份核心計(jì)算域、安全支撐域。

2.2資源隔離

資源隔離對(duì)網(wǎng)絡(luò)的多個(gè)業(yè)務(wù)共享的網(wǎng)絡(luò)環(huán)境下，提出了一種新的網(wǎng)絡(luò)資源管理技術(shù)方案，主要是為了滿(mǎn)足不同用戶(hù)對(duì)網(wǎng)絡(luò)的服務(wù)質(zhì)量要求[1]，資源隔離可以保證在不同網(wǎng)絡(luò)正常共享網(wǎng)絡(luò)高速通道的同時(shí)，保證各自區(qū)域的安全防護(hù)能力。

目前集中在2個(gè)方面：1)網(wǎng)絡(luò)互聯(lián)：即企業(yè)內(nèi)部，企業(yè)內(nèi)外進(jìn)行安全、可靠的通信；2)業(yè)務(wù)隔離：即網(wǎng)絡(luò)的不同業(yè)務(wù)間用不同的安全機(jī)制，保證不同業(yè)務(wù)的獨(dú)立運(yùn)行。

2.2.1 網(wǎng)絡(luò)中的資源 計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)不斷完美，在網(wǎng)絡(luò)的劃分中，一般把數(shù)據(jù)通信交換部分和節(jié)點(diǎn)服務(wù)進(jìn)行分開(kāi)，在網(wǎng)絡(luò)的定義中分別叫通信子網(wǎng)和資源子網(wǎng)。通信子網(wǎng)主要是包括通信介質(zhì)、交換設(shè)備和協(xié)議等，資源子網(wǎng)情況要相對(duì)復(fù)雜得多，包括所有的數(shù)據(jù)、應(yīng)用節(jié)點(diǎn)、程序和服務(wù)等，可以分為以下3大類(lèi)：1)物理設(shè)備：網(wǎng)絡(luò)路由交換設(shè)備、服務(wù)器主機(jī)設(shè)備、手持設(shè)備等；2)應(yīng)用和程序：IIS服務(wù)器，OA服務(wù)器，DNS服務(wù)器等；3)數(shù)據(jù)：文檔、數(shù)據(jù)庫(kù)等。

2.2.2 資源隔離的實(shí)現(xiàn) 1)子網(wǎng)隔離：網(wǎng)絡(luò)的規(guī)模不斷擴(kuò)大，通信量可能會(huì)超出介質(zhì)的實(shí)際通信能力，這會(huì)使網(wǎng)絡(luò)性能開(kāi)始下降，這使得我們?cè)诰W(wǎng)絡(luò)的通信研究中，必須減少不必要的網(wǎng)絡(luò)通信。2)主機(jī)隔離：網(wǎng)絡(luò)中的主機(jī)中，不同主機(jī)類(lèi)型進(jìn)行分開(kāi)。3)服務(wù)隔離：網(wǎng)絡(luò)中的服務(wù)一般分類(lèi)訪問(wèn)接入和后臺(tái)數(shù)據(jù)處理，可以根據(jù)服務(wù)類(lèi)型的不同，將接入和后臺(tái)的數(shù)據(jù)處理進(jìn)行隔離，提高安全性。4)用戶(hù)隔離：用不同的用戶(hù)身份進(jìn)行隔離管理。5)數(shù)據(jù)隔離：網(wǎng)絡(luò)中對(duì)不同敏感度的數(shù)據(jù)進(jìn)行分隔，進(jìn)行區(qū)域的安全劃分。

3 網(wǎng)絡(luò)物理隔離

基于傳統(tǒng)防火墻為核心的網(wǎng)絡(luò)邊界防御體系，在應(yīng)用中只能夠滿(mǎn)足企業(yè)信息化建設(shè)的一般性安全需求。國(guó)家保密局在《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》第二章第六條中規(guī)定“涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)，不得直接或間接地與國(guó)際互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡(luò)相聯(lián)接，必須實(shí)行物理隔離”[8]。斷開(kāi)了在一定程度上就安全的。但是，網(wǎng)絡(luò)的斷開(kāi)了也影響了業(yè)務(wù)信息系統(tǒng)的運(yùn)行，造成了應(yīng)用與數(shù)據(jù)的脫節(jié)，影響了數(shù)據(jù)的實(shí)際交換效率。

3.1隔離網(wǎng)關(guān)的思想起源

網(wǎng)閘技術(shù)思想得益于輪渡的工作機(jī)理，采用的是協(xié)議的剝離和重建技術(shù)，對(duì)協(xié)議數(shù)據(jù)包用“擺渡”，后實(shí)現(xiàn)兩網(wǎng)斷開(kāi)網(wǎng)絡(luò)之間的安全數(shù)據(jù)交換?；驹砣鐖D1。

圖1 網(wǎng)閘數(shù)據(jù)交換原理圖

3.2物理隔離技術(shù)的安全因素分析

3.2.1 設(shè)備要具有高度的自身安全性 物理隔離技術(shù)除了保證傳統(tǒng)的網(wǎng)絡(luò)安全性外，要做到把安全交換數(shù)據(jù)從兩套系統(tǒng)中剝離出來(lái)[2]，在雙邊接口，一個(gè)用于內(nèi)網(wǎng)接口，一個(gè)用于外網(wǎng)接口，設(shè)備本身具有較高的安全性。

3.2.2 確保網(wǎng)絡(luò)之間是隔離的 網(wǎng)絡(luò)隔離的關(guān)鍵是網(wǎng)絡(luò)包不可路由到對(duì)方網(wǎng)絡(luò)，也就是說(shuō)，不使用通用的開(kāi)放式協(xié)議，互相不進(jìn)行協(xié)議數(shù)據(jù)包轉(zhuǎn)發(fā)，不能發(fā)現(xiàn)對(duì)方網(wǎng)絡(luò)結(jié)構(gòu)。傳統(tǒng)的防火墻進(jìn)行的是數(shù)據(jù)包的轉(zhuǎn)發(fā)，通過(guò)策略機(jī)制，實(shí)現(xiàn)端到端的連接，只起到安全驗(yàn)證作用，沒(méi)有隔離效果。

3.2.3 保證網(wǎng)間交換的只是應(yīng)用數(shù)據(jù) 網(wǎng)絡(luò)中傳輸數(shù)據(jù)包和數(shù)據(jù)幀是分?jǐn)嗟?，在轉(zhuǎn)發(fā)過(guò)程中，也許片斷沒(méi)有任何意義，但是如果根據(jù)協(xié)議重組之后就有可能對(duì)安全產(chǎn)生威脅。因此，要做到對(duì)數(shù)據(jù)的隔離，就要求對(duì)數(shù)據(jù)進(jìn)行分析，完成應(yīng)用層數(shù)據(jù)的提取，再進(jìn)行數(shù)據(jù)的安全交換，這樣就可以把SYNFlood等網(wǎng)絡(luò)攻擊包發(fā)現(xiàn)并盡早阻隔，從而增強(qiáng)網(wǎng)絡(luò)的安全性。

3.2.4 對(duì)網(wǎng)間的訪問(wèn)進(jìn)行嚴(yán)格的控制和檢查 網(wǎng)絡(luò)數(shù)據(jù)交換過(guò)程中，每次交換的都是應(yīng)用數(shù)據(jù)，對(duì)所有的數(shù)據(jù)都進(jìn)行安全認(rèn)證和審查，這樣，雖然時(shí)間有一定的滯后，但保證所有數(shù)據(jù)都是可靠可信和可控的[3]。

3.3網(wǎng)絡(luò)隔離的關(guān)鍵技術(shù)分析

網(wǎng)絡(luò)隔離第3代和第4代產(chǎn)品在速度和透明支持上很難再進(jìn)行突破，如果要進(jìn)行改進(jìn)，也需求有更大的成本付出。

3.3.1 雙機(jī)雙網(wǎng) 這種技術(shù)方案在一個(gè)系統(tǒng)中分別有2臺(tái)主機(jī)實(shí)現(xiàn)，分別接主機(jī)的內(nèi)網(wǎng)和外網(wǎng)，如果有數(shù)據(jù)交換，用第3方介質(zhì)來(lái)實(shí)現(xiàn)。這種方式在實(shí)現(xiàn)過(guò)程中，相對(duì)復(fù)雜，不能滿(mǎn)足對(duì)網(wǎng)絡(luò)速度和適時(shí)性的需求。

3.3.2 雙硬盤(pán)隔離 這種方案的實(shí)現(xiàn)方式是在主機(jī)中安裝雙硬盤(pán)和雙系統(tǒng)，通過(guò)不同的啟動(dòng)順序來(lái)實(shí)現(xiàn)隔離，在啟動(dòng)的主機(jī)過(guò)程中，就要求要有2個(gè)或2個(gè)以上的硬盤(pán)，對(duì)于配置較高的主機(jī)就造成了一定的浪費(fèi)，同時(shí)硬盤(pán)之間的切換容易造成系統(tǒng)故障。

3.3.3 單硬盤(pán)隔離 方案的實(shí)現(xiàn)方式中，主要通過(guò)雙系統(tǒng)來(lái)實(shí)現(xiàn)，在一臺(tái)主機(jī)硬盤(pán)中裝有2個(gè)系統(tǒng)來(lái)隔離，在訪問(wèn)過(guò)程中，有一定的擴(kuò)展性，但對(duì)數(shù)據(jù)的安全性上，沒(méi)有起到真正的隔離作用，存在數(shù)據(jù)是否安全界定困難、不能同時(shí)訪問(wèn)內(nèi)外2個(gè)網(wǎng)絡(luò)等缺陷。

3.3.4 控制器隔離 這種方案的實(shí)現(xiàn)方式是通過(guò)控制器的方式內(nèi)網(wǎng)和外網(wǎng)之間進(jìn)行切換，其中主機(jī)只有1個(gè)網(wǎng)絡(luò)接口，在外圍實(shí)現(xiàn)網(wǎng)絡(luò)的切換。

3.3.5 服務(wù)器端隔離 方案的主要實(shí)現(xiàn)方式是通過(guò)第3方的存儲(chǔ)介質(zhì)，分時(shí)進(jìn)行訪問(wèn)，同時(shí)進(jìn)行數(shù)據(jù)的快速傳遞。其主要通過(guò)軟件和硬件的方式對(duì)數(shù)據(jù)信息審查和過(guò)濾，以達(dá)到隔離的目的。

3.4物理隔離卡

物理隔離卡主要是指內(nèi)網(wǎng)和外網(wǎng)之間用隔離卡切換，其主要的實(shí)現(xiàn)方式是通過(guò)在主機(jī)主板上安裝2張隔離卡。一般會(huì)安裝2個(gè)硬盤(pán)，但是在同一個(gè)時(shí)間只能接通一個(gè)網(wǎng)絡(luò)，主要是通過(guò)用戶(hù)來(lái)切換，在切換過(guò)程中。2個(gè)網(wǎng)絡(luò)之間完全是隔離開(kāi)的，隔離卡之間的切換主要是通過(guò)電源控制方法實(shí)現(xiàn)。

4 網(wǎng)閘隔離技術(shù)研究

根據(jù)OSI 7層參考模型，把網(wǎng)絡(luò)分為通信子網(wǎng)和資源子網(wǎng)，通信主要在通信子網(wǎng)中，工作底3層。軟件數(shù)據(jù)轉(zhuǎn)換，數(shù)據(jù)相對(duì)較慢，網(wǎng)絡(luò)中要通過(guò)硬件的方式來(lái)輔助實(shí)現(xiàn)數(shù)據(jù)的高速交換。網(wǎng)閘主要通過(guò)斷開(kāi)數(shù)據(jù)層鏈路的方式，隔離網(wǎng)絡(luò)之間直接連接。第2代網(wǎng)閘主要是通過(guò)專(zhuān)用交換通道，通過(guò)高速的硬件卡和安全審查協(xié)議機(jī)制，提高網(wǎng)絡(luò)的高速數(shù)據(jù)交換，能夠滿(mǎn)足復(fù)雜網(wǎng)絡(luò)對(duì)隔離的需求。

4.1安全隔離網(wǎng)閘原理

網(wǎng)絡(luò)安全互聯(lián)過(guò)程，主要考慮可靠和安全兩個(gè)因素，現(xiàn)在網(wǎng)絡(luò)中主要是采用開(kāi)放式的TCP/IP機(jī)制。因此，當(dāng)前的網(wǎng)絡(luò)攻擊主要也是基于TCP/IP協(xié)議的，基于網(wǎng)絡(luò)OSI 7層數(shù)據(jù)通信模型的一層或多層。如果斷開(kāi)通信過(guò)程中的直接連接，網(wǎng)絡(luò)通過(guò)連接的攻擊就可以被消除。網(wǎng)閘正是利用斷開(kāi)原理實(shí)現(xiàn)了信息安全傳遞，提高了網(wǎng)絡(luò)系統(tǒng)的安全性[4]。

網(wǎng)閘工作的原理是通過(guò)隔離的方式，中斷網(wǎng)絡(luò)兩邊的連接，把原來(lái)數(shù)據(jù)中的網(wǎng)絡(luò)協(xié)議剝離出來(lái)并把數(shù)據(jù)還原為應(yīng)用數(shù)據(jù)，通過(guò)安全審查和全面分析后，在內(nèi)部重新封裝后進(jìn)行數(shù)據(jù)的安全交換。

4.2網(wǎng)閘物理結(jié)構(gòu)

網(wǎng)閘一般是由軟件和硬件組成，在很多情況下，網(wǎng)絡(luò)的安全隔離不是把內(nèi)網(wǎng)和外網(wǎng)直接斷開(kāi)，而是通過(guò)第3方的存儲(chǔ)介質(zhì)和控制電路實(shí)現(xiàn)調(diào)度，如圖2。

圖2 網(wǎng)閘結(jié)構(gòu)圖

如果有外網(wǎng)訪問(wèn)請(qǐng)求時(shí)，通過(guò)外部服務(wù)器實(shí)現(xiàn)對(duì)第3方介質(zhì)發(fā)起訪問(wèn)請(qǐng)求，這個(gè)請(qǐng)求是非開(kāi)放式互聯(lián)協(xié)議的，設(shè)備會(huì)把所有的開(kāi)放式協(xié)議進(jìn)行剝離，將原始的數(shù)據(jù)寫(xiě)入存儲(chǔ)介質(zhì)中。在第3方的存儲(chǔ)介質(zhì)中，要求數(shù)據(jù)的安全性和完整性要進(jìn)行檢查，如圖3。

圖3 外網(wǎng)數(shù)據(jù)請(qǐng)求示意圖

要數(shù)據(jù)寫(xiě)入第3方的存儲(chǔ)中，數(shù)據(jù)寫(xiě)入完成即中斷對(duì)網(wǎng)絡(luò)連接，開(kāi)始對(duì)網(wǎng)絡(luò)的另一端進(jìn)行連接，但這個(gè)連接是非TCP/IP的開(kāi)放式數(shù)據(jù)連接。通過(guò)第3方處理系統(tǒng)安全審查驗(yàn)證的數(shù)據(jù)將推向內(nèi)網(wǎng)。內(nèi)網(wǎng)對(duì)數(shù)據(jù)進(jìn)行重新封裝，并交給相應(yīng)的應(yīng)用系統(tǒng)[5]，見(jiàn)圖4。

圖4 網(wǎng)閘數(shù)據(jù)推送圖

在每次數(shù)據(jù)交換完成后，控制臺(tái)會(huì)收到一個(gè)信號(hào)，第3方的隔離系統(tǒng)立即切斷與內(nèi)網(wǎng)的直接連接。見(jiàn)圖5。

圖5 網(wǎng)閘連接斷開(kāi)示意圖

4.3安全隔離網(wǎng)閘安裝

大部份網(wǎng)絡(luò)隔離設(shè)備在安裝配置過(guò)程中，與路由器防火墻等網(wǎng)絡(luò)設(shè)備一樣，主要是通過(guò)瀏覽器進(jìn)行配置和管理的，不需求要安裝特定的客戶(hù)端。網(wǎng)閘處于安全考慮，不允許通過(guò)遠(yuǎn)程進(jìn)行配置管理。

4.4安全隔離網(wǎng)閘數(shù)據(jù)轉(zhuǎn)發(fā)

安全隔離網(wǎng)閘不使用開(kāi)放式的網(wǎng)絡(luò)互聯(lián)協(xié)議，所以在網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)過(guò)程中，不會(huì)對(duì)網(wǎng)絡(luò)中的IP數(shù)據(jù)包直接進(jìn)行轉(zhuǎn)發(fā)，其會(huì)將所有的網(wǎng)絡(luò)鏈路進(jìn)行斷開(kāi)，將所有的數(shù)據(jù)進(jìn)行應(yīng)用層還原，對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行檢查和控制，在網(wǎng)絡(luò)中，所有數(shù)據(jù)都是應(yīng)用層數(shù)據(jù)。在開(kāi)放式互聯(lián)網(wǎng)中轉(zhuǎn)發(fā)的數(shù)據(jù)一般都是IP數(shù)據(jù)包，單個(gè)IP數(shù)據(jù)包一般不會(huì)有特定的含意，所以也就無(wú)法進(jìn)行檢查和控制。

4.5安全隔離網(wǎng)閘與防火墻

安全隔離網(wǎng)閘主要是通過(guò)電路對(duì)網(wǎng)絡(luò)互聯(lián)進(jìn)行控制，斷開(kāi)直接連接，對(duì)數(shù)據(jù)進(jìn)行應(yīng)用交換。網(wǎng)閘中專(zhuān)用的硬件芯片模塊一包括：訪問(wèn)控制、身份認(rèn)證、協(xié)議轉(zhuǎn)、換安全隔離和審計(jì)等。

防火墻(firewall)在網(wǎng)絡(luò)中主要是通過(guò)策略對(duì)數(shù)據(jù)進(jìn)出進(jìn)行控制，一般要求提前規(guī)定好規(guī)則[9]。防火墻分為硬件防火墻和軟件防火墻，網(wǎng)絡(luò)互聯(lián)過(guò)程中，防火墻一般部署在內(nèi)網(wǎng)和外網(wǎng)的連接之間，所有進(jìn)出的數(shù)據(jù)都要通過(guò)防火墻。如果外網(wǎng)中有入侵，也必須通過(guò)防火墻，才能達(dá)到內(nèi)網(wǎng)中的主機(jī)。防火墻在數(shù)據(jù)轉(zhuǎn)發(fā)過(guò)程中，主要是通過(guò)預(yù)先定義好的策略，通過(guò)開(kāi)放式協(xié)議，對(duì)IP數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)和處理，可以說(shuō)主要是對(duì)開(kāi)放式的控制過(guò)程，對(duì)進(jìn)出數(shù)據(jù)的內(nèi)容不進(jìn)行檢查。

4.6物理隔離網(wǎng)閘開(kāi)關(guān)技術(shù)

4.6.1 物理隔離網(wǎng)閘的開(kāi)關(guān)技術(shù) 安全隔離網(wǎng)閘在數(shù)據(jù)的交換過(guò)程中，主要是通過(guò)開(kāi)關(guān)技術(shù)來(lái)實(shí)現(xiàn)對(duì)鏈路的通和斷，主要是利用SCSI技術(shù)來(lái)實(shí)現(xiàn)，SCSI是一種智能的通用接口標(biāo)準(zhǔn)，不是開(kāi)放式通信協(xié)議，它是各種計(jì)算機(jī)與外部設(shè)備之間的接口標(biāo)準(zhǔn)，是一個(gè)用于主機(jī)向存儲(chǔ)外設(shè)讀寫(xiě)的協(xié)議。通過(guò)2個(gè)主機(jī)連接一個(gè)存儲(chǔ)設(shè)備。如圖6。

圖6 SCSI開(kāi)關(guān)數(shù)據(jù)交換圖

在網(wǎng)絡(luò)通信過(guò)程中，中間是有一個(gè)文件交換系統(tǒng)。但中間介質(zhì)有個(gè)特點(diǎn)，就是每次中受理一個(gè)請(qǐng)求，同時(shí)要將另一邊的數(shù)據(jù)鏈斷開(kāi)，通過(guò)第3方介質(zhì)實(shí)現(xiàn)擺渡。這看起來(lái)是一個(gè)簡(jiǎn)單的開(kāi)關(guān)原理，但實(shí)現(xiàn)起來(lái)技術(shù)問(wèn)題很復(fù)雜。廠商要解決存在的時(shí)鐘問(wèn)題、效率問(wèn)題、同步問(wèn)題、可靠性問(wèn)題、阻塞問(wèn)題等一系列問(wèn)題，才可能實(shí)現(xiàn)基于SCSI的開(kāi)關(guān)技術(shù)。SCSI主要是通過(guò)電氣控制來(lái)實(shí)現(xiàn)開(kāi)關(guān)技術(shù)，不通過(guò)編程接口，可能很好的斷開(kāi)網(wǎng)絡(luò)中的開(kāi)放式協(xié)議，有很高的可靠性和穩(wěn)定性。

4.6.2 網(wǎng)閘不采用USB、火線和以太來(lái)實(shí)現(xiàn)軟開(kāi)關(guān)的原因分析 當(dāng)前開(kāi)放式網(wǎng)絡(luò)和系統(tǒng)中，主要是通過(guò)USB、火線和以太線來(lái)實(shí)現(xiàn)的，但這幾種實(shí)現(xiàn)方式都是通信協(xié)議，其原理與防火墻相同，很容易增加編程控制，不能很好的起到斷開(kāi)作用?；陂_(kāi)放式協(xié)議的開(kāi)關(guān)技術(shù)，沒(méi)有在物理上實(shí)現(xiàn)隔離，在鏈路上沒(méi)有真正的斷開(kāi)。網(wǎng)絡(luò)中的USB，火線和以太線開(kāi)關(guān)，不具備物理隔離網(wǎng)閘要求的安全特性。

4.7物理隔離網(wǎng)閘的開(kāi)關(guān)的速度分析

網(wǎng)絡(luò)隔離網(wǎng)閘在數(shù)據(jù)交換過(guò)程中，交換的速度很受關(guān)注。一個(gè)33 MHz的32 bit的總線bus的PCI能提供的帶寬為33 M*32 bit=132 MB/s，即1 056 Mbit/s。一個(gè)66 MHz的64 bit的總線的PCI能提供的帶寬為66 M*64 bit=528 MB/s，即4 224 Mbit/s[7]。采用雙通道的320 MB/s的SCSI，可以取得的總帶寬為640 MB/s，即5 120 Mbit/s。

4.8物理隔離網(wǎng)閘數(shù)據(jù)交換技術(shù)

4.8.1 物理隔離網(wǎng)閘在會(huì)話層的工作分析 物理隔離網(wǎng)閘在數(shù)據(jù)交換過(guò)程，針對(duì)網(wǎng)絡(luò)鏈接有可能有多層，其中第5層主要進(jìn)程間的會(huì)話，通過(guò)工作在會(huì)話層，來(lái)中斷TCP會(huì)話，將所有的數(shù)據(jù)在連接過(guò)程中，剝離協(xié)議后還原成應(yīng)用數(shù)據(jù)包基于TCP協(xié)議的攻擊，在還原后在網(wǎng)閘審查中，就全部被去掉，如圖7。

4.8.2 網(wǎng)閘在OSI模型應(yīng)用層工作分析 安全隔離網(wǎng)閘在數(shù)據(jù)交換過(guò)程中，主要是對(duì)內(nèi)外網(wǎng)之間的數(shù)據(jù)交換起到一個(gè)中間代理的作用，數(shù)據(jù)無(wú)法不通過(guò)代理進(jìn)行交換。在中間代理過(guò)程中，只有提供相關(guān)的應(yīng)用代理服務(wù)，在剝離TCP/IP基礎(chǔ)之上，才能將應(yīng)用協(xié)議“剝離”，屏蔽應(yīng)用協(xié)議可能的漏洞，保證安全性。所有的數(shù)據(jù)在代理過(guò)程中，都將被還原出原意，審查通過(guò)后再進(jìn)行“擺渡”。

圖7 會(huì)話斷開(kāi)數(shù)據(jù)“擺渡”圖

4.8.3 協(xié)議轉(zhuǎn)換與物理隔離分析 協(xié)議轉(zhuǎn)換是對(duì)當(dāng)前通信規(guī)則進(jìn)行轉(zhuǎn)換，在數(shù)據(jù)轉(zhuǎn)發(fā)過(guò)程中，沒(méi)有起到隔離作用，能通過(guò)協(xié)議攻擊的數(shù)據(jù)，在經(jīng)過(guò)轉(zhuǎn)換后一樣具有危害性。如果不使用網(wǎng)絡(luò)通信協(xié)議，就不存在基于協(xié)議的攻擊了。

4.8.4 入侵了網(wǎng)閘的外部主機(jī)，也無(wú)法入侵內(nèi)部主機(jī) 物理隔離使網(wǎng)絡(luò)之間根據(jù)約定來(lái)進(jìn)行簡(jiǎn)單的動(dòng)作，不通過(guò)對(duì)話來(lái)進(jìn)行數(shù)據(jù)交換。在網(wǎng)絡(luò)整個(gè)通信過(guò)程中，攻擊者也許可以通過(guò)向中間第3方寫(xiě)入數(shù)據(jù)的方式來(lái)實(shí)現(xiàn)攻擊，但中間的安全第3方拿到這些數(shù)據(jù)后，在安全審查過(guò)程中，發(fā)現(xiàn)這些數(shù)據(jù)與內(nèi)外網(wǎng)之間安全交換的數(shù)據(jù)不符或不能理解數(shù)據(jù)的含意，不對(duì)數(shù)據(jù)其進(jìn)行轉(zhuǎn)發(fā)，因此，也無(wú)法進(jìn)行到內(nèi)部主機(jī)中。

4.8.5 物理隔離網(wǎng)閘的安全性是最高的 在網(wǎng)絡(luò)安全研究過(guò)程中，當(dāng)前的網(wǎng)絡(luò)攻擊，有基于應(yīng)用協(xié)議漏洞的，有基于開(kāi)放式協(xié)議的，也有基于命令式的等，網(wǎng)絡(luò)安全研究也主要是基于這幾個(gè)方面的。安全隔離網(wǎng)閘從根本上解決了這些類(lèi)型的攻擊，提供最高的安全性，保護(hù)系統(tǒng)免受來(lái)自外網(wǎng)的攻擊。

5 物理隔離網(wǎng)閘企業(yè)應(yīng)用

5.1數(shù)據(jù)庫(kù)安全同步解決方案

現(xiàn)在很多網(wǎng)站都是動(dòng)態(tài)的，前臺(tái)服務(wù)器一般都是為公網(wǎng)用戶(hù)訪問(wèn)服務(wù)的，在服務(wù)器訪問(wèn)中，允許公眾通過(guò)外網(wǎng)提交服務(wù)申請(qǐng)并查詢(xún)結(jié)果[6]。但是在訪問(wèn)過(guò)程中，重要的數(shù)據(jù)主要是在數(shù)據(jù)庫(kù)中，如果允許外網(wǎng)用戶(hù)對(duì)數(shù)據(jù)庫(kù)進(jìn)行訪問(wèn)，則用戶(hù)可能穿透防火墻直接侵入后臺(tái)數(shù)據(jù)庫(kù)，嚴(yán)重威脅到數(shù)據(jù)庫(kù)的安全，如圖8。

圖8 網(wǎng)閘核心數(shù)據(jù)庫(kù)保護(hù)圖

在網(wǎng)絡(luò)安全訪問(wèn)過(guò)程中，采用物理網(wǎng)閘信息交換系統(tǒng)，其主要目的是保證數(shù)據(jù)正確訪問(wèn)的前題下，把核心數(shù)據(jù)庫(kù)進(jìn)行隔離開(kāi)。安全隔離網(wǎng)閘只接受前臺(tái)WEB服務(wù)器的數(shù)據(jù)請(qǐng)求，這種方式強(qiáng)化了應(yīng)用層的安全控制，同時(shí)對(duì)后臺(tái)數(shù)據(jù)庫(kù)起到最大的保護(hù)作用。也許會(huì)有人提出為什么不把前臺(tái)的WEB服務(wù)器也列入安全隔離網(wǎng)閘的保護(hù)之列，這樣的結(jié)果雖然安全性會(huì)有一定的增強(qiáng)，但在大量外網(wǎng)數(shù)據(jù)訪問(wèn)中將受到影響。網(wǎng)絡(luò)的安全保護(hù)也要兼顧數(shù)據(jù)的適時(shí)性。

5.2安全郵件收發(fā)解決方案

在很多的企事業(yè)單位中，都有內(nèi)部的郵件服務(wù)系統(tǒng)，一般情況下，企業(yè)一般不允許對(duì)外網(wǎng)進(jìn)行訪問(wèn)，但根據(jù)業(yè)務(wù)需要必須通過(guò)電子郵件與外界進(jìn)行信息交流。如果是通過(guò)人工的方式對(duì)數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)，通過(guò)移動(dòng)存儲(chǔ)介質(zhì)對(duì)數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)，這樣嚴(yán)重影響了數(shù)據(jù)的交換效率，同時(shí)很多數(shù)據(jù)得不到及時(shí)處理，如果直接接入外網(wǎng)，內(nèi)網(wǎng)的郵件服務(wù)器的安全又得不到保證。在這種條件下，可以通過(guò)安全隔離網(wǎng)閘的方式實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)郵件服務(wù)器的保護(hù)，如圖9。

圖9 網(wǎng)閘內(nèi)網(wǎng)郵件服務(wù)器保護(hù)圖

在這里部署的安全隔離網(wǎng)閘既可以保證內(nèi)網(wǎng)的正常郵件交換，又可以保證可信內(nèi)網(wǎng)與外網(wǎng)之間的安全隔離。內(nèi)外網(wǎng)之間沒(méi)有直接的鏈路連接，沒(méi)有直接的數(shù)據(jù)包或數(shù)據(jù)幀的交換，因此外網(wǎng)用戶(hù)也就無(wú)法通過(guò)郵件系統(tǒng)對(duì)內(nèi)網(wǎng)攻擊。安全網(wǎng)閘對(duì)每個(gè)用戶(hù)制定一個(gè)郵件交換策略，對(duì)郵件的應(yīng)用層數(shù)據(jù)進(jìn)行通信控制，從而保證內(nèi)網(wǎng)安全地收發(fā)郵件，保證安全的郵件處理。

5.3安全網(wǎng)絡(luò)訪問(wèn)解決方案

網(wǎng)絡(luò)訪問(wèn)一般分為企業(yè)內(nèi)網(wǎng)和外網(wǎng)，很多企業(yè)都有自己的內(nèi)網(wǎng)訪問(wèn)系統(tǒng)，在對(duì)外網(wǎng)的訪問(wèn)過(guò)程中，會(huì)因?yàn)橄到y(tǒng)漏洞、不良的上網(wǎng)習(xí)慣等原因，對(duì)內(nèi)網(wǎng)造成安全威脅。在安全內(nèi)網(wǎng)保護(hù)過(guò)程中，有防火墻、防病毒軟件、入侵檢測(cè)系統(tǒng)等安全產(chǎn)品。但是這幾種產(chǎn)品都有一定的局限性，不同廠家的產(chǎn)品的安全的理解也不會(huì)完全一樣，如果采用多種不相兼容的產(chǎn)品的情況下，會(huì)嚴(yán)重影響到網(wǎng)絡(luò)之間的通信問(wèn)題，各種功能的相互影響都會(huì)導(dǎo)致總體維護(hù)成本的增加，安全保障等級(jí)的降低，甚至整個(gè)方案的失敗，如圖10。

圖10 網(wǎng)閘內(nèi)網(wǎng)安全訪問(wèn)保護(hù)圖

在企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間通信過(guò)程中，為保證內(nèi)網(wǎng)用戶(hù)到外網(wǎng)用戶(hù)之間的正常安全訪問(wèn)，可以在內(nèi)外網(wǎng)之間部署一個(gè)安全隔離網(wǎng)閘，進(jìn)行安全的數(shù)據(jù)交換，通過(guò)安全隔離網(wǎng)閘先進(jìn)的安全隔離功能和內(nèi)容檢查技術(shù)使用戶(hù)的網(wǎng)絡(luò)訪問(wèn)得到安全保證。同時(shí)，安全網(wǎng)閘還可以提供強(qiáng)大的審計(jì)功能，使管理員及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)出現(xiàn)的異常情況并及時(shí)進(jìn)行處理，提高網(wǎng)絡(luò)的可靠性。

6 隔離技術(shù)的未來(lái)發(fā)展方向

安全隔離網(wǎng)閘的出現(xiàn)，對(duì)網(wǎng)絡(luò)安全隔離第3代和第4代產(chǎn)品的補(bǔ)充和完善，完美的解決了第3代和第4代隔離產(chǎn)品的瓶頸問(wèn)題，同時(shí)，采用全新的隔離手段，提高了數(shù)據(jù)交換的適時(shí)性。第5代安全隔離網(wǎng)閘中，含有專(zhuān)用的通信設(shè)備、專(zhuān)用的安全協(xié)議和特有的加密驗(yàn)證機(jī)制，在數(shù)據(jù)加密過(guò)程中，對(duì)象是應(yīng)用數(shù)據(jù)，對(duì)數(shù)據(jù)加入了還原提取和鑒別審查認(rèn)證技術(shù)，徹底阻斷了網(wǎng)絡(luò)間的直接連接，隔離了通過(guò)連接、協(xié)議及數(shù)據(jù)包的攻擊，從而保證了網(wǎng)間數(shù)據(jù)交換的可靠和安全，隔離了基于協(xié)議連接和數(shù)據(jù)包安全的風(fēng)險(xiǎn)。

7 總結(jié)

傳統(tǒng)的安全產(chǎn)品在一定程度上提高了當(dāng)前網(wǎng)絡(luò)的安全性，但不同的網(wǎng)絡(luò)安全產(chǎn)品都有一定的局限性，現(xiàn)有的安全產(chǎn)品主要是基于開(kāi)放式協(xié)議的，不能從內(nèi)容上起到安全隔離作用。安全隔離網(wǎng)閘的出現(xiàn)為網(wǎng)絡(luò)安全提出了一個(gè)全新的概念。網(wǎng)絡(luò)安全隔離網(wǎng)閘切斷了信息泄漏的途徑，從安全交換到內(nèi)容審查等多種安全功能為一體，可以通過(guò)不同安全級(jí)別的防護(hù)，部署于不同安全等級(jí)的網(wǎng)絡(luò)間，實(shí)現(xiàn)網(wǎng)絡(luò)安全物理隔離和適時(shí)的數(shù)據(jù)交換。由于網(wǎng)閘的主要功能是要實(shí)現(xiàn)物理上鏈接的斷開(kāi)，提高網(wǎng)絡(luò)安全性保障，所以就不能要求太高的實(shí)時(shí)性了。

[1] 華為技術(shù)有限公司資源隔離VPN技術(shù)白皮書(shū)[R].華為技術(shù)有限公司,2007:2-3.

[2]劉建斌,乎延念超,林洪科. 計(jì)算機(jī)系統(tǒng)的網(wǎng)絡(luò)隔離技術(shù)[J].經(jīng)濟(jì)技術(shù)協(xié)作信息,2007(16):76-76.

[3]張繼永.網(wǎng)絡(luò)隔離技術(shù)與信息安全[J].中國(guó)信息界,2010(9):25-26.

[4]何鵬,劉小飛.網(wǎng)閘技術(shù)在公路客戶(hù)信息服務(wù)系統(tǒng)中的應(yīng)用[J].電子設(shè)計(jì)工程,2009,17(10):69-71.

[5]劉亞杰,周學(xué)廣.基于物理隔離技術(shù)數(shù)據(jù)安全轉(zhuǎn)發(fā)的模型[J].計(jì)算機(jī)與數(shù)字工程,2006,34(11):164-166.

[6]鄒韻飛.網(wǎng)絡(luò)不良通信行為的研究[J].江西科學(xué),2010,28(6):849-854.

[7]楊林海,潘毅,徐剛.基于爭(zhēng)用型以太網(wǎng)的數(shù)據(jù)幀長(zhǎng)研究[J].江西科學(xué),2014,31(3):364-415.

[8]計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定[P].江西電子信息產(chǎn)業(yè)門(mén)戶(hù),2012.

[9]Vijay Bollapragada Mohamed Khalid Scott Wainner.IPsec VPN設(shè)計(jì)[M].人民郵電出版社,2012:125-126.

ResearchofEnterpriseNetworkSecurityIsolationTechnology

YANG Linhai,HE Binying,GU Donghu

(Yunnan Technology and Business University,651700,Kunming,PRC)

Network has been greatly improving the efficiency running an enterprise,at the same time,network security is becoming the primary objective preventing from the network attacks.Our network security is facing many unprecedented threats than before.The more varied ways of attacking under constantly improved technology,the more requirements to network security.The traditional network security mechanisms will confront great challenges from network threats.The lately developed network isolation technology,differed from and traditional data switching and routing technologies,will achieve the realization of the security of data transmitting on condition that ensure the physical isolation of conditions.

network security;isolation;data exchange

2014-07-10;

2014-08-12

楊林海(1982-)，男，白族，云南大理人，碩士研究生，講師/高級(jí)工程師，主要從事數(shù)據(jù)通信和網(wǎng)絡(luò)安全研究。

10.13990/j.issn1001-3679.2014.05.028

TN915.08；TN918.91

A

1001-3679(2014)05-0704-07