隔離網(wǎng)閘的應(yīng)用討論

1、隔離網(wǎng)閘的應(yīng)用討論南京高等職業(yè)技術(shù)學(xué)校計(jì)算機(jī)管理系邱敏摘要 ：隨我國(guó)信息化建設(shè)和電子政務(wù)的發(fā)展，核心隔離網(wǎng)絡(luò)與開(kāi)放網(wǎng)絡(luò)間在物理隔離基礎(chǔ)上進(jìn)行適度、可控和安全的數(shù)據(jù)交換的需求日益凸顯，網(wǎng)閘設(shè)備也因此而被廣泛應(yīng)用。但實(shí)際在使用中，部分用戶卻不能明了網(wǎng)閘的工作特性，甚至不能分辨其與網(wǎng)橋、防火墻的區(qū)別，造成了網(wǎng)閘的使用風(fēng)險(xiǎn)和不便。本文從分析隔離網(wǎng)閘的工作原理出發(fā)，對(duì)其從工作特點(diǎn)、與防火墻區(qū)別、使用條件、應(yīng)用注意事項(xiàng)等方面進(jìn)行了討論，為用戶更好的使用網(wǎng)閘提供了經(jīng)驗(yàn)。關(guān)鍵字 ：網(wǎng)閘、隔離、安全1 概述隨互聯(lián)網(wǎng)上病毒、入侵、 網(wǎng)絡(luò)攻擊等計(jì)算機(jī)犯罪日益嚴(yán)重并泛濫，往往防火墻等網(wǎng)絡(luò)安全設(shè)備也不能保證單位內(nèi)部網(wǎng)絡(luò)

2、的安全。出于保護(hù)核心信息網(wǎng)絡(luò)安全的目的，大量重點(diǎn)單位采用的手段常常是實(shí)現(xiàn)核心網(wǎng)絡(luò)與其它網(wǎng)絡(luò)的物理隔離，并且禁止網(wǎng)內(nèi)計(jì)算機(jī)的光驅(qū)、usb口等數(shù)據(jù)輸入設(shè)備的使用。然而， 這樣的封閉方法往往造成了網(wǎng)絡(luò)使用的極大不便，為了解決這樣的難題， 在現(xiàn)今的諸多應(yīng)用中，常采用在高安全要求的內(nèi)部網(wǎng)絡(luò)和低安全等級(jí)的外部網(wǎng)絡(luò)間架設(shè)隔離網(wǎng)閘，保障內(nèi)網(wǎng)安全且同時(shí)實(shí)現(xiàn)跨網(wǎng)絡(luò)數(shù)據(jù)交流。網(wǎng)閘技術(shù)最早起源于美國(guó)、以色列軍方， 方法是通過(guò)自動(dòng)方式來(lái)模擬人工通過(guò)磁盤在外網(wǎng)和內(nèi)網(wǎng)之間進(jìn)行數(shù)據(jù)交換的過(guò)程。其基本流程是網(wǎng)閘設(shè)備提取網(wǎng)絡(luò)數(shù)據(jù)包中的應(yīng)用數(shù)據(jù)，進(jìn)行安全審查， 從而實(shí)現(xiàn)數(shù)據(jù)的安全交換。但由于內(nèi)網(wǎng)、外網(wǎng)公用數(shù)據(jù)處理系統(tǒng)，網(wǎng)閘無(wú)法滿足

3、隔離的要求，屬于非隔離方式。隨技術(shù)發(fā)展，現(xiàn)今廣泛使用的網(wǎng)閘均采用雙主機(jī)形式（見(jiàn)圖1） ，其間的安全數(shù)據(jù)交換通過(guò)專用硬件通信卡或傳輸鏈路使用數(shù)據(jù)擺渡方式實(shí)現(xiàn)。顯然，這樣的結(jié)構(gòu)可以保障網(wǎng)閘從物理上阻斷潛在攻擊的連接，網(wǎng)閘兩端沒(méi)有通信連接，沒(méi)有命令控制，沒(méi)有傳輸協(xié)議， 沒(méi)有tcp/ip 各層連接， 也沒(méi)有數(shù)據(jù)包的轉(zhuǎn)發(fā)，只能通過(guò)網(wǎng)閘兩端主機(jī)對(duì)連接介質(zhì)寫、 擺渡、讀實(shí)現(xiàn)數(shù)據(jù)傳輸。我們常稱這樣的網(wǎng)閘為隔離網(wǎng)閘。物理隔離網(wǎng)閘外網(wǎng)主機(jī)內(nèi)網(wǎng)主機(jī)數(shù)據(jù)擺渡介質(zhì)讀寫外網(wǎng) pc內(nèi)網(wǎng) pctcp/iptcp/ip寫讀圖 1 網(wǎng)閘結(jié)構(gòu)示意圖目前，網(wǎng)閘在我國(guó)已經(jīng)擁有了大量的用戶，多集中在政府、媒體、公安、金融、電力等對(duì)安全性

4、要求很高的部門。國(guó)內(nèi)網(wǎng)閘產(chǎn)品的品牌主要有中網(wǎng)隔離網(wǎng)閘、聯(lián)想網(wǎng)御安全隔離網(wǎng)閘、偉思網(wǎng)絡(luò)安全隔離網(wǎng)閘等等，這些品牌都獲得了國(guó)家權(quán)威部門的認(rèn)證,其中包括公安部的銷售許可證、3c 認(rèn)證；國(guó)家保密局的涉密信息系統(tǒng)產(chǎn)品檢測(cè)證書；以及軍用信息安全產(chǎn)品認(rèn)證證書等等。國(guó)際品牌有whale 的 e-gap、 spearhead的 netgap 等等，其主要功能則都是實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的文件交換、網(wǎng)頁(yè)單向?yàn)g覽、數(shù)據(jù)庫(kù)交互等。網(wǎng)閘在網(wǎng)絡(luò)安全中的作用大小一直是頗受爭(zhēng)議的話題，有網(wǎng)管認(rèn)為， 當(dāng)網(wǎng)閘外網(wǎng)主機(jī)被攻陷，病毒程序或木馬完全可以混在數(shù)據(jù)里流到內(nèi)網(wǎng)主機(jī)，從tcp 端口再映射出去，無(wú)非是多了一個(gè)暫存的過(guò)程而已，如果

5、是這樣， 幾十萬(wàn)元的投資用于其它方面能否得到更好的回報(bào)呢？而筆者認(rèn)為，隔離網(wǎng)閘有其使用的特殊性，通過(guò)正確應(yīng)用， 其確有其它網(wǎng)絡(luò)安全設(shè)備不可替代性，以下我們將對(duì)隔離網(wǎng)閘做進(jìn)一步討論。2. 隔離網(wǎng)閘工作原理隔離網(wǎng)閘的基本功能是安全隔離與信息交換，其通過(guò)專用硬件使兩個(gè)網(wǎng)絡(luò)在物理不連通的情況下實(shí)現(xiàn)數(shù)據(jù)的安全傳輸。通常，隔離網(wǎng)閘包括內(nèi)網(wǎng)（可信端）處理單元、外網(wǎng)（非可信端） 處理單元、 硬件隔離交換單元三部分。網(wǎng)閘內(nèi)部的隔離硬件交換單元類似單刀雙擲開(kāi)關(guān)在任一時(shí)刻點(diǎn)僅連接內(nèi)網(wǎng)處理單元或外網(wǎng)處理單元并進(jìn)行高速切換。這種設(shè)計(jì)較好的保證了隔離網(wǎng)閘的基本功能的實(shí)現(xiàn)，如圖2 網(wǎng)閘數(shù)據(jù)傳輸邏輯示意。外網(wǎng)處理單元內(nèi)網(wǎng)外網(wǎng)

6、靜態(tài)數(shù)據(jù)包發(fā)送網(wǎng)絡(luò)層物理鏈接層傳輸層應(yīng)用層以太網(wǎng)絡(luò)層物理鏈接層傳輸層根據(jù)策略對(duì)數(shù)據(jù)包過(guò)濾隔離硬件交換寫靜態(tài)數(shù)據(jù)包接收讀應(yīng)用層（訪問(wèn)身份驗(yàn)證等）內(nèi)網(wǎng)處理單元以太隔離網(wǎng)閘圖 2 外網(wǎng)至內(nèi)網(wǎng)單向數(shù)據(jù)傳輸邏輯示意圖網(wǎng)閘阻斷一切通用通信協(xié)議連接，由于幾乎所有的網(wǎng)絡(luò)攻擊都是基于通用網(wǎng)絡(luò)協(xié)議的，阻斷通用協(xié)議也就意味著阻斷了網(wǎng)絡(luò)攻擊的途徑，這樣在外網(wǎng)內(nèi)直接攻擊內(nèi)網(wǎng)內(nèi)設(shè)備幾乎不能成為可能。因?yàn)槭褂酶綦x硬件交換單元實(shí)現(xiàn)數(shù)據(jù)擺渡傳輸，網(wǎng)閘內(nèi)兩端主機(jī)對(duì)數(shù)據(jù)傳輸?shù)牟僮鲀H有讀寫兩種， 這樣必需把網(wǎng)絡(luò)數(shù)據(jù)包轉(zhuǎn)為靜態(tài)數(shù)據(jù)進(jìn)行處理。靜態(tài)數(shù)據(jù)可以是應(yīng)用層數(shù)據(jù)文件或傳輸層數(shù)據(jù)包?；陟o態(tài)數(shù)據(jù)， 可通過(guò)網(wǎng)閘內(nèi)網(wǎng)處理單元對(duì)靜態(tài)數(shù)據(jù)進(jìn)行

7、安全審查，對(duì)數(shù)據(jù)包的過(guò)濾（如網(wǎng)絡(luò)協(xié)議檢查、代碼掃描等）則可確保內(nèi)網(wǎng)端接收數(shù)據(jù)的安全性。內(nèi)網(wǎng)用戶通過(guò)嚴(yán)格的身份認(rèn)證機(jī)制獲取所需數(shù)據(jù)，則可進(jìn)一步確保內(nèi)網(wǎng)設(shè)備訪問(wèn)網(wǎng)閘的網(wǎng)絡(luò)安全。3. 與防火墻的區(qū)別網(wǎng)閘作為網(wǎng)絡(luò)安全產(chǎn)品架設(shè)在內(nèi)網(wǎng)、外網(wǎng)之間， 從而讓用戶很容易聯(lián)想到防火墻，兩者是否為同系列產(chǎn)品？事實(shí)上，這兩種產(chǎn)品無(wú)論從功能還是實(shí)現(xiàn)原理上，都是不同的。 防火墻是保證網(wǎng)絡(luò)層安全的邊界安全工具（如通常的非軍事化區(qū)），而隔離網(wǎng)閘重點(diǎn)是保護(hù)內(nèi)部網(wǎng)絡(luò)的安全，實(shí)現(xiàn)內(nèi)網(wǎng)和外網(wǎng)數(shù)據(jù)的有限聯(lián)通。網(wǎng)閘和防火墻的特點(diǎn)對(duì)比如下表所示：區(qū)別特點(diǎn)通用防火墻產(chǎn)品隔離網(wǎng)閘產(chǎn)品處理單元結(jié)構(gòu)單處理單元，過(guò)濾、控制數(shù)據(jù)包在不同網(wǎng)絡(luò)接口間轉(zhuǎn)發(fā)

8、雙處理處理單元架設(shè)在內(nèi)、外網(wǎng)兩端， 分解或重組數(shù)據(jù)包為靜態(tài)數(shù)據(jù)擺渡至網(wǎng)絡(luò)另一端傳輸協(xié)議使用 tcp/ip 協(xié)議在內(nèi)網(wǎng)和外網(wǎng)的傳輸中， 網(wǎng)閘內(nèi)處理單元間阻斷任何通用網(wǎng)絡(luò)協(xié)議。 內(nèi)外網(wǎng)設(shè)備分別和網(wǎng)閘內(nèi)對(duì)應(yīng)的處理單元通過(guò)tcp/ip 通信。對(duì)數(shù)據(jù)包的處理為保障工作效率，一般防火墻在進(jìn)行ip 包轉(zhuǎn)發(fā)的同時(shí)，通過(guò)對(duì)ip 包的處理，實(shí)現(xiàn)對(duì)tcp會(huì)話的控制， 但并不對(duì)數(shù)據(jù)包內(nèi)容檢查。數(shù)據(jù)包需轉(zhuǎn)為靜態(tài)數(shù)據(jù)， 在接收端必須過(guò)濾和代碼掃描，以保障數(shù)據(jù)安全。對(duì)設(shè)備管理可通過(guò)配置在任意接口訪問(wèn)設(shè)備僅可通過(guò)受信端訪問(wèn)設(shè)備升級(jí)需根據(jù)網(wǎng)絡(luò)攻擊特點(diǎn)的不同，進(jìn)行策略調(diào)整，軟件升級(jí)無(wú)需進(jìn)行頻繁的升級(jí)調(diào)整，由于網(wǎng)閘僅通過(guò)事先被注冊(cè)

9、許可的靜態(tài)數(shù)據(jù)，如文本文件、 靜態(tài)網(wǎng)頁(yè)數(shù)據(jù)等。交互鏈接，如“會(huì)話”可以，可以通過(guò)配置防火墻，實(shí)現(xiàn)防火墻兩端的會(huì)話鏈路。不支持， 因?yàn)槿鐚?shí)現(xiàn)數(shù)據(jù)交互，即使采用擺渡和內(nèi)網(wǎng)端內(nèi)容過(guò)濾，也很難防止內(nèi)網(wǎng)的探測(cè)、攻擊、信息泄漏網(wǎng)絡(luò)層數(shù)據(jù)轉(zhuǎn)發(fā)防火墻是三層網(wǎng)絡(luò)設(shè)備，是支持的不支持。 隔離網(wǎng)閘是斷開(kāi)所有網(wǎng)絡(luò)鏈路，直接對(duì)應(yīng)用層數(shù)據(jù)或傳輸層數(shù)據(jù)包進(jìn)行內(nèi)容檢查和控制。如實(shí)現(xiàn)外網(wǎng)到內(nèi)網(wǎng)的ip 數(shù)據(jù)轉(zhuǎn)發(fā)，則無(wú)法對(duì)數(shù)據(jù)進(jìn)行全面完整的內(nèi)容檢查和控制，從而大大降低網(wǎng)閘的安全性。4. 隔離網(wǎng)閘的應(yīng)用討論隔離網(wǎng)閘通常架設(shè)于內(nèi)網(wǎng)（如涉密網(wǎng)、業(yè)務(wù)網(wǎng)）與外網(wǎng)（如非涉密網(wǎng)、辦公網(wǎng)）之間，在確保內(nèi)部網(wǎng)絡(luò)保證高強(qiáng)度的安全同時(shí)，又提供內(nèi)部網(wǎng)絡(luò)與

10、外部網(wǎng)絡(luò)的信息交換。通過(guò)對(duì)網(wǎng)閘工作原理的分析，我們知道網(wǎng)閘的使用可以防止內(nèi)部網(wǎng)絡(luò)信息泄漏、外部的病毒木馬程序的滲入、阻斷來(lái)自外部網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊。同時(shí)，在網(wǎng)閘兩端處理單元上進(jìn)一步集成身份認(rèn)證技術(shù)、單點(diǎn)登錄、證書密碼、包過(guò)濾、端口封鎖、入侵檢測(cè)、漏洞掃描、防病毒等諸多技術(shù)，則基本實(shí)現(xiàn)網(wǎng)閘的高安全登記應(yīng)用。依據(jù)網(wǎng)絡(luò)安全的“ 木桶原理 ” ，即水桶的裝水量由最短的板塊決定，安全體系的安全性取決于所有環(huán)節(jié)的安全性最差的那一個(gè)。因此， 作為網(wǎng)閘安全等級(jí)較高的網(wǎng)絡(luò)設(shè)備，對(duì)使用環(huán)境的要求也是極高的。筆者總結(jié)了以下幾點(diǎn)：網(wǎng)閘連接的可信端網(wǎng)絡(luò)應(yīng)該是封閉的、高安全等級(jí)的。例如，內(nèi)網(wǎng)計(jì)算機(jī)的光盤、u 盤等設(shè)備被隨意使

11、用，投入大量資金使用網(wǎng)閘是沒(méi)有意義的。網(wǎng)閘內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)連接應(yīng)屬于有限的互聯(lián)，根據(jù)需要映射部分tcp 端口，并對(duì)數(shù)據(jù)包內(nèi)容掃描，接收規(guī)則運(yùn)行的數(shù)據(jù)包。如網(wǎng)閘映射所有tcp 端口，則網(wǎng)閘和網(wǎng)橋沒(méi)有什么區(qū)別，除了速度更慢。通過(guò)網(wǎng)閘交互的數(shù)據(jù)格式應(yīng)該是被預(yù)知可控的，只有預(yù)知可控的數(shù)據(jù)才能被很好的進(jìn)行特征掃描和識(shí)別。例如,文本文件必然是ascii 碼，音頻文件必然有符合要求的擴(kuò)展名、頭文件和幀格式。使用網(wǎng)閘并非內(nèi)網(wǎng)的數(shù)據(jù)安全就萬(wàn)無(wú)一失，同樣需要防范符合網(wǎng)閘傳輸規(guī)范危險(xiǎn)攻擊。例如，外網(wǎng)通過(guò)網(wǎng)閘查詢內(nèi)網(wǎng)數(shù)據(jù)庫(kù)，sql 命令被變?yōu)閤ml 文件傳輸后在內(nèi)網(wǎng)執(zhí)行， 當(dāng)網(wǎng)閘外部處理單元被攻破后，xml 文件則

12、中的sql 命令則可破壞內(nèi)網(wǎng)數(shù)據(jù)庫(kù)。5. 隔離網(wǎng)閘在南京電臺(tái)的應(yīng)用實(shí)例南京電臺(tái)局域網(wǎng)絡(luò)由播出業(yè)務(wù)網(wǎng)和辦公網(wǎng)組成，業(yè)務(wù)網(wǎng)為封閉網(wǎng)絡(luò)，用于廣播節(jié)目生產(chǎn)播出，屏蔽了usb 口、軟驅(qū)、光驅(qū)等輸入接口；而辦公網(wǎng)連接互聯(lián)網(wǎng)，相對(duì)開(kāi)放。由于業(yè)務(wù)網(wǎng)的封閉， 造成了音頻素材、成品節(jié)目共享交換的很大不便，因此架設(shè)一臺(tái)隔離網(wǎng)閘用于音頻節(jié)目交互，如圖3 所示：業(yè)務(wù)網(wǎng)文件服務(wù)器辦公網(wǎng)文件服務(wù)器vigap300dr辦公網(wǎng)業(yè)務(wù)網(wǎng)tcp/iptcp/ip安全鏈接安全 鏈接圖 3 南京電臺(tái)網(wǎng)閘使用例圖南京電臺(tái)方案使用的網(wǎng)閘為偉思公司vigap3000dr型防火墻，在網(wǎng)閘兩端連接文件服務(wù)器。 當(dāng)辦公網(wǎng)端文件服務(wù)器內(nèi)mp2 音頻文件被寫入， 服務(wù)器隨即發(fā)送該文件至隔離網(wǎng)閘，經(jīng)數(shù)據(jù)擺渡后，網(wǎng)閘在可信端對(duì)文件特征進(jìn)行掃描，符合策略則發(fā)送至業(yè)務(wù)網(wǎng)服務(wù)器存儲(chǔ)，供業(yè)務(wù)網(wǎng)使用。在文件傳輸過(guò)程中，網(wǎng)閘兩端處理單元僅開(kāi)放文件傳輸端口，并僅允許兩端文件服務(wù)器ip 地址的接入，加密被傳輸?shù)囊纛l數(shù)據(jù)文件，這樣較好的保證辦公網(wǎng)端處理單元的安全。當(dāng) mp2 文件被網(wǎng)閘可信端接收后，則進(jìn)行文件擴(kuò)展名、文件頭、數(shù)據(jù)包幀頭掃描，crc 文件校驗(yàn)等工作，則可確保接收到的mp2 文件的真實(shí)性。通過(guò)這樣的傳輸方