区块链与信息安全讨论之：浅谈网络隔离（二）

学技术，问问题，找专家，上区块链兄弟

作者：于中阳

本文发表自区块链兄弟，著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

本文约1700字+，阅读（观看）需要10分钟

此次分享是信息安全中的信息安全基础—安全政策解读之网络隔离，信息安全是一个交叉学科，知识点很多、很杂，很多东西需要整理，但其又是当今社会愈发重要的信息技术，其和区块链的联系也颇深。（于中阳 Mercina-zy）

在网络隔离手段中，最常用的是防火墙技术。其主要是通过网络的路由控制，也就是访向控制列表技术。

网络是一种包交换技术，数据包是通过路由交换到达目的地的，所以控制了路由，就能控制通讯的线路和数据包的流向。

所以，早期的网络安全控制方面基本上是防火墙。

但是，防火墙也有一个很显著的缺点。那就是，防火墙只能做网络四层以下的控制，而其对于应用层内的病毒、蠕虫都是没有办法。

当然，这对于初级的安全要求隔离是可以的，但对于需要深层次的网络隔离就显得力不从心了。

在此，我提一下防火墙中的 NAT 技术。

其地址翻译是可以隐藏内网 IP 地址的，很多人把它当作一种安全的防护，并认为没有路由就是足够安全的。

地址翻译，其实是代理服务器技术的一种，其中不让业务访问直接通过，这其实在安全上是前进的，但目前应用层的绕过，NAT 技术很普遍，隐藏地址只是相对的。

目前很多攻击技术是针对防火墙的，尤其防火墙对于应用层没有控制，这就方便了木马的进入。进入到内网的木马看到的是内网地址，直接报告给外网的攻击者， NAT 的安全作用就不大了。

新一代防火墙技术，是通过多重安全网关，通过架设更多的关卡来处理不同类别的事务。

其基本的策略，其实都是架桥的策略。主要是采用安全检查的方式，对应用的协议不做更改，所以速度快，流量大，从客户应用上来看，没有什么不同。

其中，关于网闸的设计，其实形象的借鉴了船闸的概念。其设计采用"代理+摆渡"。

通俗的讲，不在河上架桥，可以设摆渡船，摆渡船不直接连接两岸，安全性当然要比桥好，即便是攻击，也不可能一下就进入，在船上总是要受到管理者的各种控制。

补充说明一下，网闸的功能也是存在代理的，当然，这个代理不只是协议代理，而是数据的"拆卸"把数据还原成原始的面貌，拆除各种通信协议添加的：“包头”与“包尾”。

很多攻击是通过对数据的拆装来隐藏自己的，所以，若没有了这些“通信的外衣”，攻击者其实是非常难以藏的。

网闸的安全理念是：网络隔离，即"过河用船不用桥"，也就是用“摆渡方式”来隔离网络。

其中，协议隔离，即“禁止采用集装箱运输”，通讯协议落地，用专用协议或存储等方式阻断通讯协议的连接，用代理方式支持上层业务。

按国家安全要求就是：

1）需要涉密网络与非涉密网络在互联的时候，要采用网闸隔离。

2）若非涉密网络与互联两连通时，采用单向网闸，若非涉密网络与互联网不连通时，采用双向网闸。

交换网络

交换网络的模型来源于银行系统的 Clark-Wilson 模型，主要是通过业务代理与双人审计的思路保护数据的完整性。

交换网络是在两个隔离的网络之间建立一个数据交换区域，负责业务数据交换(单肉或双向)。交换网络的两端可以采用多重网关，也可以采用网闸。

在交换网络内部采用监控、审计等安全技术，整体上形成一个立体的交换网安全防护体系。

交换网络的核心也是业务代理。

客户业务要经过接入缓冲区的申请代理，到业务缓冲区的业务代理，才能进入生产网络。网闸与交换网络技术都是采用渡船策略，通过延长数据通信的“里程”，来增加安全保障措施。

网络隔离技术要点

网络隔离技术的安全要点经过概括，有如下几点：

1）要具有高度的自身安全性。

2） 要确保网络之间是隔离的。

3）要保证网间交换的只是应用数据。

4） 要对网间的访问进行严格的控制和检查。

5） 要在坚持隔离的前提下保证网络畅通和应用透明。

总结

网络隔离的关键，其实在于系统对通信数据的控制，即通过不可路由的协议来完成网间的数据交换。由于通信硬件设备工作在网络七层的最下层，并不能感知到交换数据的机密性、完整性、可用性、可控性、抗抵赖等安全要素，所以这要通过访问控制、身份认证、加密签名等安全机制来实现，而这些机制的实现都是通过软件来实现的。

因此，隔离的关键点就成了要尽量提高网间数据交换的速度，并且对应用能够透明的支持，以适应高复杂和高带宽需求的网间数据交换。

文章发布只为分享区块链技术内容，版权归原作者所有，观点仅代表作者本人，绝不代表区块链兄弟赞同其观点或证实其描述。

热文推荐