背景
隨著互聯(lián)網(wǎng)的日益普及��,網(wǎng)絡(luò)安全也越來越受到人們的重視��,尤其是對于企業(yè)和國家機(jī)關(guān)來講,網(wǎng)絡(luò)安全就更加的不可或缺���。但是由于傳統(tǒng)的以防火墻為核心的安全體系結(jié)構(gòu)本身所固有的弱點(diǎn)以及新的黑客攻擊技術(shù)的發(fā)展����,傳統(tǒng)結(jié)構(gòu)在很大程度上已經(jīng)無法滿足我們對于網(wǎng)絡(luò)安全的要求。
本文將介紹一種新的網(wǎng)絡(luò)安全解決方案——隔離網(wǎng)關(guān)���,以及華北科技4網(wǎng)口以太網(wǎng)網(wǎng)卡L-400在其中的應(yīng)用���。
網(wǎng)絡(luò)安全的現(xiàn)狀
目前,最為流行的網(wǎng)絡(luò)安全架構(gòu)是以防火墻為核心的網(wǎng)絡(luò)安全體系架構(gòu)��。但事實(shí)證明這種安全防御體系并未能有效地防止目前所頻頻發(fā)生的網(wǎng)絡(luò)攻擊�����。
原因主要在于防火墻所采用的體系結(jié)構(gòu)����,我們可以把目前常見的防火墻分為這么幾種類型:1、包過濾(Packet Filter���,包括靜態(tài)包過濾和動態(tài)包過濾)����;2、電路網(wǎng)關(guān)(Circuit Level Gateway)�;3、應(yīng)用網(wǎng)關(guān)(Application Level Gateway)���。每種類型都是兩種Model: OSI Model和TCP/IP Model���。
這樣我們可以對防火墻架構(gòu)得出下面的一些結(jié)論:
1、OSI的層號越高���,防火墻所要檢測包的信息內(nèi)容就越多�����,安全性就越高,但同時相對的速度和效率就會越低��,也就是我們必須在安全性和性能(速度���、效率)上作一種平衡�����。
2����、依賴于TCP/IP協(xié)議,而TCP/IP本身并沒有一些控制機(jī)制來保證安全性�����,多數(shù)的黑客攻擊都是利用了TCP/IP本身的漏洞��。
3���、防火墻的哲學(xué)是必須首先保證網(wǎng)絡(luò)的連通��,這樣就必須開放相應(yīng)的端口�����,如80端口�����、25端口等��,對這些開放端口的攻擊���,防火墻不能防止��。
新的思路:隔離
現(xiàn)在�����,人們已經(jīng)開始意識到防火墻在網(wǎng)絡(luò)安全方面的局限性���,隔離技術(shù)開始進(jìn)入大家的視野。目前���,最主要的解決方案有兩種:物理隔離和邏輯隔離�。所謂物理隔離��,就是阻斷內(nèi)網(wǎng)與外網(wǎng)的直接物理連接與邏輯連接��,內(nèi)網(wǎng)與外網(wǎng)不會同時連接在隔離設(shè)備上��,這樣雖然提高了安全性�����,但也提高了成本���、降低了效率和易用性�����。因此�,對于大多數(shù)用戶而言�,邏輯隔離是最為合適的安全解決方案。
邏輯隔離保證安全的要點(diǎn)主要在于:
1��、保證自身的高安全性����,一般要求由兩套主機(jī)組成,一套控制外網(wǎng)接口�,另一套控制內(nèi)網(wǎng)接口,然后在兩套主機(jī)系統(tǒng)之間通過不可路由的協(xié)議進(jìn)行數(shù)據(jù)交換�����,這樣����,既便黑客攻破了外網(wǎng)系統(tǒng),仍然無法控制內(nèi)網(wǎng)系統(tǒng)�����,就達(dá)到了更高的安全級別。
2�、確保網(wǎng)絡(luò)間是隔離的,關(guān)鍵是網(wǎng)絡(luò)包不可路由到對方網(wǎng)絡(luò)���。這也是和防火墻的最關(guān)鍵區(qū)別����。
3�、要保證傳遞的只是最原始的應(yīng)用層數(shù)據(jù),也就是必須通過協(xié)議分析���,將應(yīng)用層數(shù)據(jù)提取���,然后再進(jìn)行數(shù)據(jù)傳輸,保證傳輸?shù)臄?shù)據(jù)不具有攻擊的特性��。
4����、要在堅(jiān)持隔離的前提下保證網(wǎng)絡(luò)暢通���,不能夠成為網(wǎng)絡(luò)交換的瓶頸�����。
邏輯隔離技術(shù)的最關(guān)鍵點(diǎn)是選擇合適的硬件來實(shí)現(xiàn)網(wǎng)絡(luò)間的數(shù)據(jù)交換�����,這種硬件應(yīng)該能夠保證高帶寬���、交換數(shù)據(jù)的可靠性高���、基于其的專用協(xié)議開發(fā)方便等特點(diǎn)。
L-400是邏輯隔離網(wǎng)關(guān)的理想選擇
北京某網(wǎng)絡(luò)安全技術(shù)公司經(jīng)過市場調(diào)查����,選擇了華北科技的L-400開發(fā)其隔離網(wǎng)關(guān)產(chǎn)品。L-400主要的特性有:
•兼容PCI2.1規(guī)范��、PCI橋1.1規(guī)范和ACPI1.1電源管理規(guī)范
•采用INTEL82551ER 32bit 33MHz 10M/100/M智能以太網(wǎng)控制芯片
•符合IEEE802.3 10base-T和IEEE802.3u 100base-TX標(biāo)準(zhǔn)
•支持全雙工(full-duplex)工作模式�����,可以使帶寬達(dá)20Mbps/200Mbps
•內(nèi)置獨(dú)立的接收����、傳送FIFO功能(2KB傳送及4KB接收)�����,提高數(shù)據(jù)傳輸速率
客戶在開發(fā)時���,外網(wǎng)服務(wù)器選用Linux操作系統(tǒng),進(jìn)一步降低因操作系統(tǒng)而引起安全性漏洞的可能性�����;而內(nèi)網(wǎng)服務(wù)器選擇Windows2000操作系統(tǒng)�,易用性更佳。在外網(wǎng)���、內(nèi)網(wǎng)服務(wù)器各安裝一塊L-400網(wǎng)卡�,在此基礎(chǔ)上自行開發(fā)了專有安全協(xié)議和加密驗(yàn)證機(jī)制及應(yīng)用層數(shù)據(jù)提取和鑒別認(rèn)證等方面的軟件���,徹底阻斷了網(wǎng)絡(luò)間的直接TCP/IP連接�����,同時對網(wǎng)間通信的雙方��、內(nèi)容���、過程施以嚴(yán)格的身份認(rèn)證、內(nèi)容過濾��、安全審計(jì)等多種安全防護(hù)機(jī)制���,從而保證了網(wǎng)間數(shù)據(jù)交換的安全�、可控���,杜絕了由于操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議自身漏洞帶來的安全風(fēng)險(xiǎn)�。同時��,L-400本身也提供較高的帶寬�����,保證了在加入隔離網(wǎng)關(guān)后整個網(wǎng)絡(luò)連接的通暢����。
結(jié)論
由于防火墻本身的缺陷,邏輯隔離網(wǎng)關(guān)將成為相當(dāng)一段時間內(nèi)網(wǎng)絡(luò)安全產(chǎn)品的新熱點(diǎn)和發(fā)展趨勢�����。而L-400由于其所具有的高速、握手方式通訊����、開發(fā)程序簡便等特點(diǎn),非常適合于在邏輯隔離網(wǎng)關(guān)中用作內(nèi)��、外網(wǎng)服務(wù)器間的專用通訊設(shè)備��。
