萬盛學電腦網

 萬盛學電腦網 >> 病毒防治 >> 網絡安全中物理隔離實現技術分析

網絡安全中物理隔離實現技術分析

  物理隔離技術,不是要替代防火牆,入侵檢測,漏洞掃描和防病毒系統,相反,它是用戶“深度防御的安全策略的另外一塊基石,一般用來保護為了的“核心。物理隔離技術,是絕對要解決互聯網的安全問題,而不是什麼其它的問題。

一、物理隔離要解決的問題

解決目前防火牆存在的根本問題:

防火牆對操作系統的依賴,因為操作系統也有漏洞

TCP/IP的協議漏洞:不用TCP/IP

防火牆、內網和DMZ同時直接連接

應用協議的漏洞,因為命令和指令可能是非法的

文件帶有病毒和惡意代碼:不支持MIME,只支持TXT,或殺病毒軟件,或惡意代碼檢查軟件

物理隔離的指導思想與防火牆有很大的不同:(1)防火牆的思路是在保障互聯互通的前提下,盡可能安全,而(2)物理隔離的思路是在保證必須安全的前提下,盡可能互聯互通。

二、TCP/IP的漏洞

TCP/IP是冷戰時期的產物,目標是要保證通達,保證傳輸的粗曠性。通過來回確認來保證數據的完整性,不確認則要重傳。TCP/IP沒有內在的控制機制,來支持源地址的鑒別,來證實IP從哪兒來。這就是TCP/IP漏洞的根本原因。黑客利用TCP/IP的這個漏洞,可以使用偵聽的方式來截獲數據,能對數據進行檢查,推測TCP的系列號,修改傳輸路由,修改鑒別過程,插入黑客的數據流。莫裡斯病毒就是利用這一點,給互聯網造成巨大的危害。

防火牆的漏洞

防火牆要保證服務,必須開放相應的端口。防火牆要准許HTTP服務,就必須開放80端口,要提供MAIL服務,就必須開放25端口等。對開放的端口進行攻擊,防火牆不能防止。利用Dos或DDOS,對開放的端口進行攻擊,防火牆無法禁止。利用開放服務流入的數據來攻擊,防火牆無法防止。利用開放服務的數據隱蔽隧道進行攻擊,防火牆無法防止。攻擊開放服務的軟件缺陷,防火牆無法防止。

防火牆不能防止對自己的攻擊,只能強制對抗。防火牆本身是一種被動防衛機制,不是主動安全機制。防火牆不能干涉還沒有到達防火牆的包,如果這個包是攻擊防火牆的,只有已經發生了攻擊,防火牆才可以對抗,根本不能防止。

目前還沒有一種技術可以解決所有的安全問題,但是防御的深度愈深,網絡愈安全。物理隔離網閘是目前唯一能解決上述問題的安全設備。

物理隔離的技術原理

物理隔離的技術架構在隔離上。以下的圖組可以給我們一個清晰的概念,物理隔離是如何實現的。

外網是安全性不高的互聯網,內網是安全性很高的內部專用網絡。正常情況下,隔離設備和外網,隔離設備和內網,外網和內網是完全斷開的。保證網絡之間是完全斷開的。隔離設備可以理解為純粹的存儲介質,和一個單純的調度和控制電路。

當外網需要有數據到達內網的時候,以電子郵件為例,外部的服務器立即發起對隔離設備的非TCP/IP協議的數據連接,隔離設備將所有的協議剝離,將原始的數據寫入存儲介質。根據不同的應用,可能有必要對數據進行完整性和安全性檢查,如防病毒和惡意代碼等。

一旦數據完全寫入隔離設備的存儲介質,隔離設備立即中斷與外網的連接。轉而發起對內網的非TCP/IP協議的數據連接。隔離設備將存儲介質內的數據推向內網。內網收到數據後,立即進行TCP/IP的封裝和應用協議的封裝,並交給應用系統。

這個時候內網電子郵件系統就收到了外網的電子郵件系統通過隔離設備轉發的電子郵件。在控制台收到完整的交換信號之後,隔離設備立即切斷隔離設備於內網的直接連接。

如果這時,內網有電子郵件發出,隔離設備收到內網建立連接的請求後,建立與內網之間的非TCP/IP協議的數據連接。隔離設備剝離所有的TCP/IP協議和應用協議,得到原始的數據,將數據寫入隔離設備的存儲介質。必要的化,對其進行防病毒處理和防惡意代碼檢查。然後中斷與內網的直接連接。

一旦數據完全寫入隔離設備的存儲介質,隔離設備立即中斷與內網的連接。轉而發起對外網的非TCP/IP協議的數據連接。隔離設備將存儲介質內的數據推向外網。外網收到數據後,立即進行TCP/IP的封裝和應用協議的封裝,並交給系統。

控制台收到信息處理完畢後,立即中斷隔離設備與外網的連接,恢復到完全隔離狀態。   

每一次數據交換,隔離設備經歷了數據的接受,存儲和轉發三個過程。由於這些規則都是在內存和內核力完成的,因此速度上有保證,可以達到100%的總線處理能力。

物理隔離的一個特征,就是內網與外網永不連接,內網和外網在同一時間最多只有一個同隔離設備建立非TCP/IP協議的數據連接。其數據傳輸機制是存儲和轉發。

物理隔離的好處是明顯的,即使外網最壞情況下,內網不會有任何破壞。修復外網系統也非常容易。

copyright © 萬盛學電腦網 all rights reserved