首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

安全隔离网闸概述信安世纪

朋友们,今天给大家带来的是一款可爱又可恨的安全产品——网闸。

网闸,全名:安全隔离网闸。顾名思义,它的作用就是隔离。既可以隔离两个网络设备,又可以隔离两个网段。那么有人就会问了,这不是跟防火墙的作用一样吗?没错,防火墙也会起到隔离的作用,但是不同的是,防火墙的隔离仅限于逻辑上的隔离,而网闸则是物理上的隔离。说到物理隔离,有的人心里就会浮现出一个问题,既然都物理隔离了还怎么进行通信呢?

网闸的原理和由来:

网闸最早是由以色列人创造出来,供军方使用的。军方要求信息保密性极强,而怎样才能做到相对安全的保密呢?以色列的科学家从内网外网隔离的角度出发来考虑问题而设计了网闸这款安全产品。如果将内网外网隔离,那么外来的黑客不就窃取不到信息。可是如果隔离内外网,那么内网同样也没办法访问外网了,这无疑是个大难题。那么,他们是怎么解决这个难题的呢?原来,聪明的以色列人用到了极限这个概念。假设我们把内外网用一条河隔离开,河两边的人就无法接触传递物品了,而我们在河中间设立一个摆渡人,驾着一艘小船帮助河两岸的人传递物品和信息,为了不耽误信息传递速度,我们把小船的传递速度设置成无限快但是小船每个时间点上只能在岸的一边,这样就保证了两岸的人实现了物理隔离。而“摆渡”就是网闸的核心概念。

目前市面上的对于链路传输层面的控制各式各样。假设我们的数据是一辆车,车要到达要去的地方就得走在在路上(链路中),首先为了规定数据小车不跑错目的地,我们修了一条路,路上画的有引导线,分为左转右转和直行的车道,这就是对于线路的安全控制,其代表有:VLAN(广播隔离)和ACL(访问控制)。数据参差不齐,那么怎么才能保证我们收到的数据是我们想要的数据而不是黑客发给我们的数据呢?这里我们修了一座桥,要想过桥就必须经过检查站检查数据,符合要求的数据包才可以通过这座桥。其代表有:FW(防火墙),IPS(入侵防护),AV(防病毒),WAF(Web应用防护),UTM(安全网关),NGFW(下一代防火墙)。除此之外,我们还可以用摆渡的形式来传递数据包,摆渡分为一次摆渡和两次摆渡,一次摆渡的代表是代理服务(上网代理、业务前置机),两次摆渡的代表则是网闸设备。

网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议"摆渡",且对固态存储介质只有"读"和"写"两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使"黑客"无法入侵、无法攻击、无法破坏,实现了真正的安全。

第一代网闸的技术原理是利用单刀双掷开关使得内外网的处理单元分时存取共享存储设备来完成数据交换的,实现了在空气缝隙隔离(Air Gap)情况下的数据交换,安全原理是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果。

第二代网闸正是在吸取了第一代网闸优点的基础上,创造性地利用全新理念的专用交换通道PET(Private Exchange Tunnel)技术,在不降低安全性的前提下能够完成内外网之间高速的数据交换,有效地克服了第一代网闸的弊端,第二代网闸的安全数据交换过程是通过专用硬件通信卡、私有通信协议和加密签名机制来实现的,虽然仍是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全效果的,但却提供了比第一代网闸更多的网络应用支持,并且由于其采用的是专用高速硬件通信卡,使得处理能力大大提高,达到第一代网闸的几十倍之多,而私有通信协议和加密签名机制保证了内外处理单元之间数据交换的机密性、完整性和可信性,从而在保证安全性的同时,提供更好的处理性能,能够适应复杂网络对隔离应用的需求。

为什么要使用安全隔离网闸呢?其意义是:

(一)当用户的网络需要保证高强度的安全,同时又与其它不信任网络进行信息交换的情况下,如果采用物理隔离卡,用户必须使用开关在内外网之间来回切换,不仅管理起来非常麻烦,使用起来也非常不方便,如果采用防火墙,由于防火墙自身的安全很难保证,所以防火墙也无法防止内部信息泄漏和外部病毒、黑客程序的渗入,安全性无法保证。在这种情况下,安全隔离网闸能够同时满足这两个要求,弥补了物理隔离卡和防火墙的不足之处,是最好的选择。

(二)对网络地隔离是通过网闸隔离硬件实现两个网络在链路层断开,但是为了交换数据,通过设计的隔离硬件在两个网络对应的上进行切换,通过对硬件上的存储芯片的读写,完成数据的交换。

(三)安装了相应的应用模块之后,安全隔离网闸可以在保证安全的前提下,使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据,并可以在网络之间交换定制的文件。

网闸管理主界面:

网闸日志审计:

主要功能:

1.有哪些功能模块 :

安全隔离闸门的功能模块有:安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证。

2.防止未知和已知木马攻击:

为什么说安全隔离网闸能够防止未知和已知木马攻击?

通常见到的木马大部分是基于TCP的,木马的客户端和服务器端需要建立连接,而安全隔离网闸由于使用了自定义的私有协议(不同于通用协议)。使得支持传统网络结构的所有协议均失效,从原理实现上就切断所有的TCP连接,包括UDP、ICMP等其他各种协议,使各种木马无法通过安全隔离网闸进行通讯。从而可以防止未知和已知的木马攻击。

3.具有防病毒措施:

安全隔离网闸具有防病毒措施吗?

作为提供数据交换的隔离设备,安全隔离网闸上内嵌病毒查杀的功能模块,可以对交换的数据进行病毒检查。

那么为什么说网闸是可爱又可恨的一款产品呢?是因为网闸摆渡文件时不会对内容进行深度检测,也即是网闸无法挡住应用层的安全问题。在这方面上不如AV与IPS。而如果网闸摆渡的只是基本数据文件时,这时候网闸的安全性就非常高。虽然网闸在信息安全世界充满了争议,但还是得到了大规模的应用。

网闸硬件设备:

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20171213G08IDV00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券