|
“網絡隔離”技術概述及發展方向
|
|
網絡隔離技術的目標是確保把有害的攻擊隔離,在可信網絡之外和保證可信網絡內部信息不外泄的前提下,完成網間數據的安全交換。網絡隔離技術是在原有安全技術的基礎上發展起來的,它彌補了原有安全技術的不足,突出了自己的優勢。
隔離技術的發展歷程
網絡隔離,英文名為Network Isolation,主要是指把兩個或兩個以上可路由的網絡(如:TCP/IP)通過不可路由的協議(如:IPX/SPX、NetBEUI等)進行數據交換而達到隔離目的。由于其原理主要是采用了不同的協議,所以通常也叫協議隔離(Protocol Isolation)。1997年,信息安全專家Mark Joseph Edwards在他編寫的《Understanding Network Security》一書中,他就對協議隔離進行了歸類。在書中他明確地指出了協議隔離和防火墻不屬于同類產品。
隔離概念是在為了保護高安全度網絡環境的情況下產生的;隔離產品的大量出現,也是經歷了五代隔離技術不斷的實踐和理論相結合后得來的。
第一代隔離技術——完全的隔離。此方法使得網絡處于信息孤島狀態,做到了完全的物理隔離,需要至少兩套網絡和系統,更重要的是信息交流的不便和成本的提高,這樣給維護和使用帶來了極大的不便。
第二代隔離技術——硬件卡隔離。在客戶端增加一塊硬件卡,客戶端硬盤或其他存儲設備首先連接到該卡,然后再轉接到主板上,通過該卡能控制客戶端硬盤或其他存儲設備。而在選擇不同的硬盤時,同時選擇了該卡上不同的網絡接口,連接到不同的網絡。但是,這種隔離產品有的仍然需要網絡布線為雙網線結構,產品存在著較大的安全隱患。
第三代隔離技術—數據轉播隔離。利用轉播系統分時復制文件的途徑來實現隔離,切換時間非常之久,甚至需要手工完成,不僅明顯地減緩了訪問速度,更不支持常見的網絡應用,失去了網絡存在的意義。
第四代隔離技術—空氣開關隔離。它是通過使用單刀雙擲開關,使得內外部網絡分時訪問臨時緩存器來完成數據交換的,但在安全和性能上存在有許多問題。
第五代隔離技術—安全通道隔離。此技術通過專用通信硬件和專有安全協議等安全機制,來實現內外部網絡的隔離和數據交換,不僅解決了以前隔離技術存在的問題,并有效地把內外部網絡隔離開來,而且高效地實現了內外網數據的安全交換,透明支持多種網絡應用,成為當前隔離技術的發展方向。
隔離技術需具備的安全要點
要具有高度的自身安全性 隔離產品要保證自身具有高度的安全性,至少在理論和實踐上要比防火墻高一個安全級別。從技術實現上,除了和防火墻一樣對操作系統進行加固優化或采用安全操作系統外,關鍵在于要把外網接口和內網接口從一套操作系統中分離出來。也就是說至少要由兩套主機系統組成,一套控制外網接口,另一套控制內網接口,然后在兩套主機系統之間通過不可路由的協議進行數據交換,如此,既便黑客攻破了外網系統,仍然無法控制內網系統,就達到了更高的安全級別。
要確保網絡之間是隔離的 保證網間隔離的關鍵是網絡包不可路由到對方網絡,無論中間采用了什么轉換方法,只要最終使得一方的網絡包能夠進入到對方的網絡中,都無法稱之為隔離,即達不到隔離的效果。顯然,只是對網間的包進行轉發,并且允許建立端到端連接的防火墻,是沒有任何隔離效果的。此外,那些只是把網絡包轉換為文本,交換到對方網絡后,再把文本轉換為網絡包的產品也是沒有做到隔離的。
要保證網間交換的只是應用數據 既然要達到網絡隔離,就必須做到徹底防范基于網絡協議的攻擊,即不能夠讓網絡層的攻擊包到達要保護的網絡中,所以就必須進行協議分析,完成應用層數據的提取,然后進行數據交換,這樣就把諸如TearDrop、Land、Smurf和SYN Flood等網絡攻擊包,徹底地阻擋在了可信網絡之外,從而明顯地增強了可信網絡的安全性。
要對網間的訪問進行嚴格的控制和檢查 作為一套適用于高安全度網絡的安全設備,要確保每次數據交換都是可信的和可控制的,嚴格防止非法通道的出現,以確保信息數據的安全和訪問的可審計性。所以必須施加以一定的技術,保證每一次數據交換過程都是可信的,并且內容是可控制的,可采用基于會話的認證技術和內容分析與控制引擎等技術來實現。
要在堅持隔離的前提下保證網絡暢通和應用透明 隔離產品會部署在多種多樣的復雜網絡環境中,并且往往是數據交換的關鍵點,因此,產品要具有很高的處理性能,不能夠成為網絡交換的瓶頸,要有很好的穩定性;不能夠出現時斷時續的情況,要有很強的適應性,能夠透明接入網絡,并且透明支持多種應用。
網絡隔離的關鍵點
網絡隔離的關鍵是在于系統對通信數據的控制,即通過不可路由的協議來完成網間的數據交換。由于通信硬件設備工作在網絡七層的最下層,并不能感知到交換數據的機密性、完整性、可用性、可控性、抗抵賴等安全要素,所以這要通過訪問控制、身份認證、加密簽名等安全機制來實現,而這些機制的實現都是通過軟件來實現的。
因此,隔離的關鍵點就成了要盡量提高網間數據交換的速度,并且對應用能夠透明支持,以適應復雜和高帶寬需求的網間數據交換。而由于設計原理問題使得第三代和第四代隔離產品在這方面很難突破,既便有所改進也必須付出巨大的成本,和“適度安全”理念相悖。
隔離技術的未來發展方向
第五代隔離技術的出現,是在對市場上網絡隔離產品和高安全度網需求的詳細分析情況下產生的,它不僅很好地解決了第三代和第四代很難解決的速度瓶頸問題,并且先進的安全理念和設計思路,明顯地提升了產品的安全功能,是一種創新的隔離防護手段。
隔離原理 第五代隔離技術的實現原理是通過專用通信設備、專有安全協議和加密驗證機制及應用層數據提取和鑒別認證技術,進行不同安全級別網絡之間的數據交換,徹底阻斷了網絡間的直接TCP/IP連接,同時對網間通信的雙方、內容、過程施以嚴格的身份認證、內容過濾、安全審計等多種安全防護機制,從而保證了網間數據交換的安全、可控,杜絕了由于操作系統和網絡協議自身漏洞帶來的安全風險。
|
|
| |
|
|
|
|
|
