防火墙简介:防火墙被称为网络安全防线中的第一道门槛,其包括包过滤、状态检测、应用代理等基本功能。目前主流的状态检测不但可以实现基于网络层的IP包头和TCP包头的策略控制,还可以跟踪TCP会话状态,给用户提供了安全和效能的很好结合。
网闸简介:网闸是使用带有多种控制功能的固态开关读写介质,连接两个独立主机系统的信息安全设备。使主机系统间不存在通信的物理连接、逻辑连接及信息传输协议,不存在依据协议进行的信息交换,而只有以数据文件形式进行的无协议摆渡。网闸是在两个不同安全域之间,通过协议转换的手段,以信息摆渡的方式实现数据交换,且只有被系统明确要求传输的信息才可以通过。其信息流一般为通用应用服务。网闸的"闸"字取自于船闸的意思,在信息摆渡的过程中内外网(上下游)从未发生物理连接,所以网闸产品必须要有至少两套主机和一个物理隔离部件才可完成物理隔离任务。现在市场上出现的的单主机网闸或单主机中有两个及多个处理引擎的过滤产品不是真正的网闸产品,不符合物理隔离标准。其只是一个包过滤的安全产品,类似防火墙。网闸技术是模拟人工拷盘的工作模式,通过电子开关的快速切换实现两个不同网段的数据交换的物理隔离安全技术。网闸技术在安全技术领域源于被称之为GAP,又称为Air Gap的安全技术,它本意是指由空气形成的用于隔离的缝隙。在网络安全技术中,主要指通过专用的硬件设备在物理不连通的情况下,实现两个独立网络之间的数据安全交换和资源共享
因此,网闸从逻辑上隔离、阻断了对内网具有潜在攻击可能的一切网络连接,使外部攻击者无法直接入侵、攻击或破坏内网,保障了内部主机的安全。
网闸和防火墙的区别
1、应用场景区别
网闸和防火墙的应用场景是不同的
防火墙:网络已经存在考虑安全问题上防火墙,但首先要保证网络的连通性,其次才是安全问题
网闸:网闸是保证安全的基础上进行数据交换,网闸是两个网络已经存在,现在两个网络不得不互联,互联就要保证安全,网闸是现在唯一最安全的网络边界安全隔离的产品,只有网闸这种产品才能解决这个问题,所以必须用网闸。
2、硬件区别
防火墙是单主机架构,早期使用包过滤的技术,网闸是双主机2+1架构,通过私有的协议摆渡的方式进行数据交换,基于会话的检测机制,由于网闸是双主机结构,即使外网端被攻破,由于内部使用私有协议互通,没办法攻击到内网,防火墙是单主机结构,如果被攻击了,就会导致内网完全暴露给别人。
3、功能区别
网闸主要包含两大类功能访问类功能和同步类功能,访问类功能类似于防火墙,网闸相对于防火墙安全性更高的是同步类功能。
(1)访问类功能
代理模式:目前认为代理模式是最安全的模式,但是防火墙不支持代理模式,网闸是支持代理模式的,所以防火墙是不能用在涉密和非涉密网的安全隔离的,网闸是可以的。
代理模式:外网访问网闸的IP:192.168.1.254,网闸会把请求发送给192.168.2.100的内网服务器,从而达到隐藏内网服务器真实IP的目的。
(2)同步类功能
文件同步和数据库同步:防火墙的工作原理,放在网络中间,源端发起访问,目的端被访问,防火墙收到判断一下,给你转过去,网闸的工作原理,我主动抓取放到另外一侧,两侧都是文件或数据库服务器,这个过程终端不知道网闸的存在,因为对外没有开放端口,安全性更高,防火墙的端口是对外开放的。
网闸就像是河上的一条摆渡船,河这边的人想去对岸,必须先上船,这个期间对面的人也只能等船靠岸后再乘船过河。这个船就是网闸自己起的一个代理,内网数据不能直接与外网通信,需要先与网闸的代理ip建立通信,外网只能访问网闸的代理ip。
两者的本质区别为防火墙的数据通信是基于二三层直接通信,而网闸是通过应用层代理的交接传输。总体来说,防火墙是保证网络层安全的边界安全工具,而网闸重点是保护内部网络的安全。产品定位不同,因此两种产品是不能相互取代的。
网闸主要特点
1、安全高效的体系架构:安全隔离与信息交换系统采用"2+1"模块结构设计,即包括外网主机模块、内网主机模块和隔离交换模块。内、外网主机模块具有独立运算单元和存储单元,分别连接可信及不可信网络,对访问请求进行预处理,以实现安全应用数据的剥离。隔离交换模块采用专用的双通道隔离交换卡实现,通过内嵌的安全芯片完成内外网主机模块间安全的数据交换。内外网主机模块间不存在任何网络连接,因此不存在基于网络协议的数据转发。
2、专用的隔离交换模块:网闸产品核心部件为隔离交换模块,安全隔离与信息交换系统隔离交换模块基于专用安全芯片设计,全硬件交换;消除性能瓶颈;从可信网到非可信网的数据流与从非可信网到可信网的数据流采用不同的数据通道,对通道的分离控制保证各通道的传输方向可控。
3、操作系统安全可靠:内外网主机模块应采用自主安全可靠的操作系统。
4、强大的网络适应能力:网闸针对不同的软件模块具有多种部署方式,支持代理方式、透明方式等多种部署方式,可以根据用户网络的特殊性采用不同的实现方式进行灵活部署。
5、深度应用层解析过滤能力:网闸针对HTTP协议、FTP协议、POP3协议、SMTP协议、TNS协议等多种应用层协议进行深度解析及过滤,满足用户安全性需求。
6、深度应用层攻击防御能力:网闸具有防病毒功能模块,针对文件交换模块、FTP访问模块、安全浏览模块、邮件访问模块具有防病毒功能,支持本地升级及远程升级。网神网闸具有入侵检测功能,可对网页攻击、缓冲区溢出攻击、后门/木马、P2P、病毒/蠕虫、拒绝服务攻击、扫描类攻击等多种攻击类型进行实时检测并记录日志。
7、强大的网络适应能力:网闸具有多种功能模块,用户可以根据网络需求选用相应的功能模块;网闸每种功能模块具有多种实现方式,用户可以根据网络需求选用相应的实现方式。如:文件交换模块支持FTP、SMB、NFS等多种文件传输协议,支持无客户端方式及有客户端方式等;网闸双机热备、负载均衡功能通讯接口可以设置为HA接口、网络接口等,支持宕机切换、抜线切换,支持ping、connect等多种主动链路探测,可以适应各种复杂的双机及负载网络环境需求;
8、丰富的应用模块:安全隔离与信息交换系统采用模块化的系统结构设计,根据不同的应用环境,量身定制多个功能模块,以满足用户的不同需求。
9、网闸技术要求:网闸用于数据采集网络到办公网络的数据传送,在保证仪表数据正常采集传输的同时保证数据采集网络与办公网络的有效隔离。网闸设置在办公网核心附近,电解数据采集网络核心和炭素数据采集网络核心分别通过千兆网络连接到网闸的内网接口,网闸的外网接口连接到办公网核心。
10、网闸产品厂家需要具备以下资质:
①公安部计算机信息系统安全专用产品销售许可证(三级以上)及公安部计算机信息系统安全产品质量监督检验中心检验报告(三级以上);
②国家保密局涉密信息系统产品检测证书;
③国家密码管理局密码检测证书;
④国家电网公司EMC检测认证;
⑤DTP物理隔离通道系统证书;
⑥解放军军用信息安全产品认证证书(军C以上)级;
⑦国家信息安全产品3C证书(三级以上)。
网闸常见问题解答
1、问题:网闸是什么设备?解答:网闸是一种由专用硬件在电路上切断网络之间的链路层连接,能够在物理隔离的网络之间进行适度的安全数据交换的网络安全设备。
2、问题:网闸是硬件设备还是软件设备?解答:网闸是由软件和硬件组成的设备。
3、问题:网闸硬件设备是由几部分组成?解答:网闸的硬件设备由三部分组成:外部处理单元、内部处理单元、隔离硬件。
4、问题:单向传输用单主机网闸可以吗?解答:网闸的组成必须是由物理的三部分组成,所以单主机(包括多处理器)的安全产品并不是网闸产品,无法完成物理隔离任务。其所谓的单向传输只是基于数据包的过滤,类似防火墙产品,并不是物理隔离产品。
5、问题:为什么要使用网闸?解答:当用户的网络需要保证高强度的安全,同时又与其它不信任网络进行信息交换的情况下,如果采用物理隔离卡,信息交换的需求将无法满足;如果采用防火墙,则无法防止内部信息泄漏和外部病毒、黑客程序的渗入,安全性无法保证。在这种情况下,网闸能够同时满足这两个要求,又避免了物理隔离卡和防火墙的不足之处,是物理隔离网络之间数据交换的最佳选择。
6、问题:政府机关上网计算机为什么必须内外网物理隔离?解答:在政府建立内部网的工程中,安全保密问题一直是工程建设的重点内容,这是因为内部网中的信息常常是涉密或内部信息。为此,国家明确规定涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行物理隔离,以确保国家秘密的安全。
7、问题:为什么说网闸能够防止未知和已知木马攻击?解答:通常见到的木马大部分是基于TCP的,木马的客户端和服务器端需要建立连接,而网闸从原理实现上就切断所有的TCP连接,包括UDP、ICMP等其他各种协议,使各种木马无法通过网闸进行通讯。从而可以防止未知和已知的木马攻击。
8、问题:网闸能取代防火墙吗?解答:无论从功能还是实现原理上讲,网闸和防火墙是完全不同的两个产品,防火墙是保证网络层安全的边界安全工具(如通常的非军事化区),而网闸重点是保护内部网络的安全。因此两种产品由于定位的不同,因此不能相互取代。
9、问题:网闸通常布置在什么位置?解答:网闸通常布置在两个安全级别不同的两个网络之间,如信任网络和非信任网络,管理员可以从信任网络一方对网闸进行管理。
10、问题:网闸是否可以在网络内部使用?解答:可以,网络内部安全级别不同的两个网络之间也可以安装网闸进行隔离。
11、问题:如果对应网络七层协议,网闸是在哪一层断开?解答:如果针对网络七层协议,网闸是在硬件链路层上断开。
12、问题:有了防火墙和IDS,还需要网闸吗?解答:防火墙是网络层边界检查工具,可以设置规则对内部网络进行安全防护,而IDS一般是对已知攻击行为进行检测,这两种产品的结合可以很好的保护用户的网络,但是从安全原理上来讲,无法对内部网络做更深入的安全防护。网闸重点是保护内部网络,如果用户对内部网络的安全非常在意,那么防火墙和IDS再加上网闸将会形成一个很好的防御体系。
13、问题:网闸适用于什么样的场合?解答:第①种场合:涉密网与非涉密网之间。第②种场合:局域网与互联网之间。有些局域网络,特别是政府办公网络,涉及敏感信息,有时需要与互联网在物理上断开,用物理网闸是一个常用的办法。第③种场合:办公网与业务网之间由于办公网络与业务网络的信息敏感程度不同,例如,银行的办公网络和银行业务网络就是很典型的信息敏感程度不同的两类网络。为了提高工作效率,办公网络有时需要与业务网络交换信息。为解决业务网络的安全,比较好的办法就是在办公网与业务网之间使用物理网闸,实现两类网络的物理隔离。第④种场合:电子政务的内网与专网之间在电子政务系统建设中,要求政府内网与外网之间用逻辑隔离,在政府专网与内网之间用物理隔离。现常用的方法是用物理网闸来实现。第⑤种场合:业务网与互联网之间电子商务网络一边连接着业务网络服务器,一边通过互联网连接着广大民众。为了保障业务网络服务器的安全,在业务网络与互联网之间应实现物理隔离。
总结
虽然,网闸使用很广泛,但是它也存在一定的缺陷,首先技术不成熟,没有形成体系化。网闸技术是一项新兴的网络安全技术,尚无专门的国际性研究组织对其进行系统的研究和从事相关体系化标准的制定工作。对其工作原理的界定也很模糊,在国外,一些应用的比较多的网闸产品,比如国外的e-Gap(Whale公司)和Air Gap AG系列,本质上它们是一种内容过滤型防火墙,由于支持交互式会话,严格意义上已经不属于物理隔离产品。国内的网闸成熟产品少,由于诸多原因,也并未得到充分推广。其次可能造成其他安全产品不能正常工作,并带来瓶颈问题,安全性和易用性始终是一对矛盾,在已有的防火墙,VPN,AAA认证设备等安全设施的多重构架环境中,网闸产品的加入,使网络日趋复杂化,正常的访问连接越来越多的被各种不可见和不易见因素所干扰和影响,已经配置好的各种网络产品和安全产品,可能由于网闸的配置不当而受到影响。由于多重过滤的安全设施结构,网闸的加入使瓶颈问题更加突出。因为电子开关切换速率的固有特性和安全过滤内容功能的复杂化,目前网闸的交换速率已接近该技术的理论速率极限,可以预见在不久的将来,随着高速网络技术的发展,网闸在交换速率上的问题将会成为阻碍网络数据交换的重要因素。