SIZE: 14pt; LINE-HEIGHT: 240%; FONT-FAMILY: 宋体; mso-ascii-font-family: " Roman? New ?Times mso-hansi-font-family: Roman?; Times>
网闸不同于防火墙,也不同于堡垒机,是因为网闸从物理上保证内外网的不互通,其中隔离控制部分是实现这个物理隔离的关键。这里重点分析目前流行的几种技术:
1、摆渡交换技术
摆渡开关是网闸最常用的倒换方式。为了保持内外网的物理隔离,所以在与内网连接的时候,一定与外网断开,但与外网连接的时候,一定与内网断开。所谓断开是只物理通讯的“高阻”状态或物理的停电,没有进行通讯的可能。
在内外网处理单元内都有自己的缓冲空间,用来存储需要交换的数据文件,在隔离与交换控制单元也有一个用于数据交换区。当电子开关C点与A点连通,交换区与内网连通,此时与外网断开,内网中需要交换的数据写入数据交换区,同时读出数据交换区中从外网来的数据,完成一次摆渡。但电子开关C点与B点连通,交换区与外网连通,此时与内网断开,外网中需要交换的数据写入数据交换区,同时读出数据交换区中从内网来的数据,完成二次摆渡。
很多厂家实现了多个网络的数据交换的网闸,则把电子开关换成交换矩阵。数据的交换方式有些类似数据交换机的方式,但每个网络处理单元只与数据缓冲区中的一个连接。因为每个网络单元同时只与一个数据交换区连接,每个数据交换区也同时只与一个网络单元连接,所以各个网络没有个一个时刻是相互连通。网络处理单元从缓冲区读数据时,只从自己的对应缓冲区读取,写数据时写入目标网络对应的缓冲区。
2、缓冲区通讯技术的选择
内部通道与网闸外部接口选择不同通讯技术,可以既形象又完全地中断应用连接,对阻断攻击是较好的选择。网闸内部有三个数据区域、两种内部通道,合理地选择通讯技术,可以大大减少被攻击的可能性。网闸厂家一般不公开自己的实现方式,私密性有助于网闸的安全性。但大多数是在内部通道2上做文章
这里总结了几种实现的方式:
Ø 基于常用通讯总线的方式
内外接口采用工控主机方式,主机把要交换的数据通过PCI总线写入PCI插卡,在PCI插卡有数据缓冲区域,电子开关是CPLD实现的控制电路,控制内部通道1与2的开闭。内部通道2可以选择不同是通讯总线连接,比如PCI、USB、串口通讯等,也可以选择网络方式,在图中表示为数据传输专用协议。图中显示的是二区模型示例。
数据缓冲存储可以选择双端口的静态存储器(Dual Port SRAM),这样只要在存储器的两个端口上控制就可以了,但两个开关不能同时闭合。
Ø 基于存储总线方式
存储方式的把交换区看成本地可读写的硬盘,主机单元通过扩展卡把SCSI存储扩展,在加上控制信号组成专用的扩展总线连接到隔离交换控制主机上。利用电子开关控制内外网的主机单元分别读写数据交换区域的存储空间。
在数据交换区定义好内网或外网读写的固定区域:内网写/外网读区域、内网读/外网写区域。对交换区的读写采取块方式,不能采用文件方式,数据的校验、文件的还原都在主机单元中进行。
该方式的困难在于主机挂接盘需要识别,若倒换频繁对系统影响很大,所以在扩展卡上通过总线的控制信号对主机系统进行屏蔽,让主机始终认为磁盘在线,但读写的控制听从隔离交换控制主机的调度。
这里采用的是SCSI存储方式,也可以采用IDE方式,从设计的方便上还可以选择串行的存储方式,如SATA,SAS方式。也可以采用USB盘方式,USB的总线控制要简单的多,目前USB的空间足够大,但速度上还有差距。
3、单向通道技术
单向通道技术是近年兴起的新技术,单向是相对于通讯的双向而言的。网闸中无论采用那种开关技术,实际就是物理链路的倒换,在内外网之间提供一个安全的、功能视同隔离的交换区,象码头的摆渡一样,把我们认为是真实的数据摆渡过去。但是通讯协议的设计是分层次的,我们要交换的纯数据本身在网闸的种种技术手段中还是要穿越网闸,那么某种攻击的行为就可能掩藏于“纯数据”之中,通过网闸后再还原成攻击程序。即使定义了安全原则的网闸只提供文件交换的功能,也还是要为两端的客户提供一定的服务接口,否则用户没有办法把数据交给你,若抛开所有的安全检测技术不谈,服务就有可能成为攻击行为的承载列车。就象我们摆渡客户的包裹,但包裹里面藏有客户也不知道(也可能主观隐藏的)的病毒,被同样摆渡到对岸。
先来分析一下攻击的过程:
Ø 攻击者伪装攻击信息
Ø 伪装信息搭载正常数据通过网闸
Ø 攻击信息还原成自己,收集信息,并同样手段向攻击者报告
Ø 攻击根据已经取得的权限,进行下一步动作
从过程中我们可以看出,攻击是一个双向互动的过程,也就是说,通讯是双向的。攻击者要通过进入内网的代理者实行他的计划。
既然通讯的双向性提供了攻击者的通道,单向通道技术就诞生了。所谓单向,就是把通讯的收、发两个链路完全分开,在一个通道中不能完成通讯的反馈,攻击行为就成了半开的连接,不能发挥效果。发送方只管发送数据,数据方只管接收数据。
或者针对安全级别较高的网络,只允许信息单向地流入,而没有流出的通道,保证该网络的安全性。
数据是在通讯中交换,若只有单方向,对数据的完整性是有很大影响的。比如,数据在传输过程中损坏,接收方没有通知发送方重传的可能,只有丢弃。对于发送方来说,只管把数据发出,对方是否收到,数据是否可用都不知道。但通道技术在对数据完整性有一定损害的基础上保证了安全性。
作为将单向通道技术进行改进,扩展了硬件的控制信号线,加上简单的控制信号,实现数据的差错重发,但没有增加回向数据通道,所以也保证数据的单向通道方式。
从模型中可以看出:攻击者是无法越过单向通道网闸进行攻击。若攻击者控制了发送方的主机单元,把攻击信息发送过去,但由于是单向通道网闸,被控制的主机单元得不到返回的信息,不了解内部情况,所以无法实施下一步攻击计划。若攻击者控制了接收的主机单元,由于单向通道,他无法把攻击工具送到另一方,当然也就无法发起攻击了。
单向通道技术没有差错重传机制,在单向通道技术的网闸上无法实现业务数据交换代理的,所以要实现业务数据的自动交换,可以在网络中使用两个相互反向的单通道网闸,分别提供两个数据通道,实现两个方向的数据交换。
4、小结
从总线技术来讲,存储总线把交换区看成存储硬盘,是模拟人工摆渡的最合理技术,应用协议的阻断是最“彻底的”,从安全性来讲,单通道技术是网络安全保证性比较高的,但对业务的自动交换支持也是最差的。
要隔离,也要交换,这本身就是一对矛盾的需求,最佳的方式就是根据客户两个网络的具体安全需求,选择合适的网闸实现数据的交换。我们建议采用下面的方式:
Ø 对于网络的保密性要求高的,采用单通道技术的网闸,保证高密级网络的信息绝对不外流。
Ø 对于从业务安全考虑的网络分离,建议采用存储总线方式网闸,数据可以交换,业务连接彻底中断。
Ø 对于防止外部攻击的网络分离,建议采用业务代理数据交换的通讯总线或存储总线网闸,针对业务进行代理数据交换,提高数据交换的能力的同时,阻断攻击的载体。
