中網(wǎng)物理隔離產(chǎn)品白皮書

1、中網(wǎng)物理隔離產(chǎn)品白皮書總論物理隔離產(chǎn)品是用來解決網(wǎng)絡(luò)安全問題的。尤其是在那些需要絕對保證安全的保密網(wǎng)，專網(wǎng)和特種網(wǎng)絡(luò)與互聯(lián)網(wǎng)進(jìn)行連接時(shí)，為了防止來自互聯(lián)網(wǎng)的攻擊和保證這些高安全性網(wǎng)絡(luò)的保密性、安全性、完整性、防抵賴和高可用性，幾乎全部要求采用物理隔離技術(shù)。學(xué)術(shù)界一般認(rèn)為，最早提出物理隔離技術(shù)的，應(yīng)該是以色列和美國的軍方。但是到目前為止，并沒有完整的關(guān)于物理隔離技術(shù)的定義和標(biāo)準(zhǔn)。從不同時(shí)期的用詞也可以看出，物理隔離技術(shù)一直在演變和發(fā)展。較早的用詞為PhysicalDisconnection，Disconnection有使斷開，切斷，不連接的意思，直譯為物理斷開。這種情況是完全可以理解，保密網(wǎng)與互

2、聯(lián)網(wǎng)連接后，出現(xiàn)很多問題，在沒有解決安全問題或沒有解決問題的技術(shù)手段之前，先斷開再說。后來有PhysicalSeparationSeparation有分開，分離，間隔和距離的意思，直譯為物理分開。后期發(fā)現(xiàn)完全斷開也不是辦法，互聯(lián)網(wǎng)總還是要用的，采取的策略多為該連的連，不該連的不連。這樣的該連的部分與不該連的部分要分開。也有PhysicalIsolationIsolation有孤立，隔離，封閉，絕緣的意思，直譯為物理封閉。事實(shí)上，沒有與互聯(lián)網(wǎng)相連的系統(tǒng)不多，互聯(lián)網(wǎng)的用途還是很大，因此，希望能將一部分高安全性的網(wǎng)絡(luò)隔離封閉起來。再后來多使用PhysicalGap,Gap有豁口，裂口，缺口和差異的意

3、思，直譯為物理隔離，意為通過制造物理的豁口，來達(dá)到隔離的目的。到這個(gè)時(shí)候，Physical這個(gè)詞顯得非常僵硬，于是有人用AirGap來代替PhysicalGap。AirGap意為空氣豁口，很明顯在物理上是隔開的。但有人不同意，理由是空氣豁口就“物理隔閡了嗎？沒有，電磁輻射，無線網(wǎng)絡(luò)，衛(wèi)星等都是空氣豁口，卻沒有物理隔離，甚至連邏輯上都沒有隔離。于是，E-Gap，Netgap，l-Gap等都出來了?，F(xiàn)在，一般稱GapTechnology，意為物理隔離，成為互聯(lián)網(wǎng)上一個(gè)專用名詞。對物理隔離的理解表現(xiàn)為以下幾個(gè)方面：1，阻斷網(wǎng)絡(luò)的直接連接，即沒有兩個(gè)網(wǎng)絡(luò)同時(shí)連在隔離設(shè)備上；2，阻斷網(wǎng)絡(luò)的互聯(lián)網(wǎng)邏輯連接

4、，即TCP/IP的協(xié)議必需被剝離，將原始數(shù)據(jù)通過P2P的非TCP/IP連接協(xié)議透過隔離設(shè)備傳遞；3，隔離設(shè)備的傳輸機(jī)制具有不可編程的特性，因此不具有感染的特性；4，任何數(shù)據(jù)都是通過兩級移動代理的方式來完成，兩級移動代理之間是物理隔離的;5,隔離設(shè)備具有審查的功能;6,隔離設(shè)備傳輸?shù)脑紨?shù)據(jù)，不具有攻擊或?qū)W(wǎng)絡(luò)安全有害的特性。就像令等。txt文本不會有病毒一樣，也不會執(zhí)行命7，強(qiáng)大的管理和控制功能。網(wǎng)絡(luò)安全的體系架構(gòu)的演變要對物理隔離技術(shù)有一個(gè)深入的了解，必須對網(wǎng)絡(luò)安全體系架構(gòu)有深入的研究。要了解網(wǎng)絡(luò)安全的架構(gòu)體系，從目前網(wǎng)絡(luò)安全市場的構(gòu)成就可以初見端倪。防火墻，防病毒，VPN和入侵檢測(IDS

5、)，是市場的主流產(chǎn)品。安全體系以防火墻為核心，向聯(lián)動的方向發(fā)展。因此，要了解網(wǎng)絡(luò)安全的架構(gòu)體系的演變，必須防火墻進(jìn)行深入的了解。現(xiàn)狀目前，市場上銷售量第一和第二的防火墻都使用一種被稱為狀態(tài)檢測包隔離的技術(shù)，StatefulInspectionPacketFiltering(SIPF)。狀態(tài)檢測有兩大優(yōu)勢，一是速度快，二是具有很大的靈活性。這也是SIPF為什么受歡迎的原因。有人會注意到我們甚至沒有提到安全性，盡管人們要買防火墻，聽起來是要解決安全問題，但安全性不是人們選擇防火墻的第一理由。人們選擇防火墻的第一理由是易于安裝和使用，盡可能的減少麻煩和對網(wǎng)絡(luò)結(jié)構(gòu)的變動，以及對業(yè)務(wù)的影響。有防火墻之父

6、”之稱的馬爾科斯(MarcusRanum)也注意到這一點(diǎn)，防火墻客戶有一次投票結(jié)果前三位重要特性是透明特性，性能和方便性，而不是安全性，沒有人對這個(gè)結(jié)果感到驚訝。僅有防火墻的安全架構(gòu)是遠(yuǎn)遠(yuǎn)不夠的目前網(wǎng)絡(luò)安全市場上，最流行的安全架構(gòu)是以防火墻為核心的安全體系架構(gòu)。通過防火墻來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保障體系。然而，以防火墻為核心的安全防御體系未能有效地防止目前頻頻發(fā)生網(wǎng)絡(luò)攻擊。僅有防火墻的安全架構(gòu)是遠(yuǎn)遠(yuǎn)不夠的。以致于很多人都在懷疑，防火墻是不是過時(shí)了。連具？quot;防火墻之父”馬爾科斯都宣稱，他再也不相信防火墻。這么說防火墻，似乎有一點(diǎn)過。主要的原因是前一個(gè)時(shí)期，防火墻已經(jīng)成為安全的代名詞，言必談防火墻

7、。導(dǎo)致很多廠商把根本不屬于防火墻的東西全部推到防火墻上，如防火墻上的路由功能，甚至過分到把應(yīng)用服務(wù)也搬到防火墻上，造成防火墻萬能的局面，以致于”期望越高，失望越大雖說防火墻不是萬能的，但沒有防火墻卻是萬萬不能的。防火墻至今為止還是最重要的安全工具。任何技術(shù)都有其局限性，防火墻也不例外。防火墻架構(gòu)的回顧今天，我們發(fā)現(xiàn)自己處在一種網(wǎng)絡(luò)不安全的現(xiàn)狀，呼喚我們對防火墻架構(gòu)的基礎(chǔ)進(jìn)行一個(gè)仔細(xì)的回顧。防火墻對網(wǎng)絡(luò)安全的保護(hù)程度，很大程度上取決于防火墻的體系架構(gòu)。一般的防火墻采用以下防火墻架構(gòu)的一種或幾種：I靜態(tài)包過濾(StaticPacketFilter)I動態(tài)包過濾(DynamicorStatefulP

8、acketFilter)I電路網(wǎng)關(guān)(CircuitLevelGateway)I應(yīng)用網(wǎng)關(guān)(ApplicationLevelGateway)I狀態(tài)檢測包過濾(StatefulInspectionPacketFilter)I切換代理(CutoffProxy)I物理隔離(AirGap)網(wǎng)絡(luò)安全是一種平衡網(wǎng)絡(luò)安全只是在可信和性能之間的一種簡單的平衡。所有的防火墻都依賴于對通過防火墻的包的信息進(jìn)行檢查。檢查的越多，越安全。檢查的重點(diǎn)是對網(wǎng)絡(luò)協(xié)議的信息，這些信息按OSI的模型來講，即分布在7層。知道防火墻運(yùn)行在那一層上，就知道它的體系架構(gòu)是什么。I一般說來，OSI的層號越高，防火墻要檢查包的信息內(nèi)容就越多，

9、對CPU和內(nèi)存的要求就高。IOSI的層號越高，防火墻檢查的內(nèi)容就越多，也就越安全。在防火墻的體系架構(gòu)中，效率速度與防火墻的安全性，一直是一個(gè)折中方案。即高安全性的防火墻的效率和速度較低，高速度高效率的防火墻的安全性較低。然而，隨著多CPU計(jì)算機(jī)的成本的下降，和操作系統(tǒng)支持對稱多處理系統(tǒng)(SMP)的特性，傳統(tǒng)的高速的包過濾的防火墻與開銷較大的代理防火墻之間的差距逐步縮小。成功的防火墻的一個(gè)最重要的因素，是誰在安全和性能之間選擇做決定：(1)防火墻廠商，通過限制用戶的架構(gòu)選擇，或(2)用戶，在一個(gè)強(qiáng)壯的防火墻中要求更多的架構(gòu)。實(shí)際上，到底是用戶決定市場，還上廠商決定市場。這個(gè)問題沒有答案，要看最后

10、的事實(shí)。防火墻的架構(gòu)總體上如下圖。我們把OSI的明顯和TCP/IP的模型，對照起來，以便把問題說清楚。在檢查防火墻的架構(gòu)中，查看IP包頭中最重要的幾項(xiàng)信息是:IIP包頭(IPheader)ITCP包頭(TCPheader)I應(yīng)用層包頭(applicationheader)I數(shù)據(jù)加載的包頭(data-payloadheader)靜態(tài)包過濾(StaticPacketFilter)包過濾防火墻是最古老的防火墻架構(gòu)之一。包過濾防火墻運(yùn)行在網(wǎng)絡(luò)層，即OSI的第三層。防火墻決定放行還是拒絕一個(gè)包，主要是基于對IP包頭和協(xié)議包頭的一些具體的信息進(jìn)行檢查，它們包括：I源地址(SourceAddress)I目的

11、地址(DestinationAddress)I應(yīng)用協(xié)議(ApplicationorProtocol)I源端口號(SourcePortNumber)I目的端口號(DestinationPortNumber)在轉(zhuǎn)發(fā)一個(gè)包之前，防火墻將IP包頭和TCP包頭的信息與用戶定義的規(guī)則表的信息進(jìn)行比較，決定是轉(zhuǎn)發(fā)還是拒絕。規(guī)則表就是用戶定義的安全規(guī)則。規(guī)則是按順序進(jìn)行檢查的，只到有規(guī)則匹配為止。如果沒有規(guī)則匹配，則按缺省的規(guī)則執(zhí)行。防火墻的缺省規(guī)則應(yīng)該是禁止。實(shí)際上，有兩種思想決定防火墻的缺省規(guī)則，(D易于使用，或(2)安全第一。易于使用，一般都設(shè)置為準(zhǔn)許放行。安全第一，一般都設(shè)置為禁止放行。靜態(tài)包過濾防火

12、墻，用戶可以定義規(guī)則來決定準(zhǔn)許什么包通過，或決定禁止什么包通過。用戶定義規(guī)則，通過檢查IP包頭的信息，來準(zhǔn)許或拒絕包從什么地址來，到什么地址去，可能是一個(gè)地址或一組地址。用戶定義具體服務(wù)的規(guī)則，通過檢查TCP包頭的信息，來準(zhǔn)許或拒絕包到達(dá)或來自相關(guān)具體服務(wù)的端口。包過濾防火墻的決定機(jī)制是，最后的規(guī)則如果與前面的規(guī)則沖突，最后的規(guī)則有效。當(dāng)規(guī)則的檢查是順序執(zhí)行時(shí)，包過濾防火墻的規(guī)則配置是十分復(fù)雜和困難的。我們知道，N條規(guī)則，按各種不同的順序排列，可能的結(jié)果有N!之多。除非所有的規(guī)則都不相關(guān)，則N!種順序的結(jié)果都一樣，否則，其結(jié)果就可能不同。加一條規(guī)則是容易的，寫一段規(guī)則來實(shí)現(xiàn)某種安全功能則非常困

13、難，要求系統(tǒng)管理員對協(xié)議，TCP/IP的工作機(jī)制非常清楚，而且還得了解流程。有些管理員總是把后加的規(guī)則放在最后，也有的系統(tǒng)管理員總是放在前面，還有的系統(tǒng)管理員，隨機(jī)的插入在規(guī)則的什么地方。最大的問題在于，規(guī)則A,B,C的排放順序不同，規(guī)則的結(jié)構(gòu)不一定相同，可能的排放方式為，ABC，ACB，BAC，BCA，CAB，CAB，這六種結(jié)果可能相同，可能不同，而且無法知道是相同還是不同，只有具體去分析。如果一個(gè)系統(tǒng)的規(guī)則有100條，則有100!=9.33e+157種可能性結(jié)果，即使只有萬分之一的結(jié)果不同，也是一個(gè)巨大的天文數(shù)字。實(shí)際上，如果不同規(guī)則的相關(guān)性很低，結(jié)果不同是一個(gè)小概率事件。但是，如果不同規(guī)

14、則的相關(guān)性很高，結(jié)果則難以預(yù)料。其結(jié)果是一致性檢查很難做到。這就是為什么經(jīng)常會出現(xiàn)，有時(shí)候，加一條規(guī)則沒問題，有時(shí)候卻有問題。用戶必須仔細(xì)的檢查所加入的規(guī)則，以保證其結(jié)果是其預(yù)期的結(jié)果。一個(gè)好的方法是，盡可能幫助用戶設(shè)計(jì)自己的安全策略，使其不同規(guī)則的相關(guān)性很低，盡可能保證結(jié)果是完全相同的。即使用戶的規(guī)則順序是有效的，包過濾防火墻還有個(gè)根本的局限性。它不知道什么地址是真實(shí)的，什么地址是假的。因?yàn)門CP/IP的包頭的地址是可以改寫的。即使用戶可以在防火墻中，把不確定的源地址禁止掉，黑客還是可以使用別人的源地址，這個(gè)地址是正常的，卻是黑客盜用，這使得問題變得更加復(fù)雜。像源地址欺騙，源地址假冒等這類攻

15、擊對包過濾防火墻非常有效。因此，盡管包過濾防火墻的性能和速度很高，其安全性卻是有限的。由于包過濾防火墻只檢查（1）源和目標(biāo)地址，（2）源和目標(biāo)端口，而不檢查其它的重要的信息。因此，黑客在是其它的包頭里加載惡意數(shù)據(jù)和命令。黑客還可以在包的數(shù)據(jù)中掩藏惡意的命令和數(shù)據(jù)，這就是流行的掩藏隧道（CovertChannel）攻擊。在路由器中，一般都支持包過濾技術(shù)。但由于其安全性有限，所以用戶一般都會再購買單獨(dú)的防火墻來提供更高的安全性。優(yōu)點(diǎn)：I對網(wǎng)絡(luò)性能基本上沒有影響I成本很低，路由器和一般的操作系統(tǒng)都支持缺點(diǎn)：I工作在網(wǎng)絡(luò)層，只檢查IP和TCP的包頭I不檢查包的數(shù)據(jù)，提供的安全行性不高I缺乏狀態(tài)信息II

16、P易被假冒和欺騙I規(guī)則很好寫，但很難寫正確，規(guī)則測試?yán)щyI保護(hù)的等級低,動態(tài)包過濾動態(tài)包過濾是靜態(tài)包過濾技術(shù)的發(fā)展和演化。因此，它繼承了靜態(tài)包過濾的一個(gè)根本缺點(diǎn)：不知道狀態(tài)信息。典型的動態(tài)包過濾，就向靜態(tài)包過濾一樣，主要工作在網(wǎng)絡(luò)層，即osi的第三層。有些高級一些的動態(tài)包過濾防火墻也工作到傳輸層，即OSI的第四層。動態(tài)包過濾防火墻決定放行還是拒絕一個(gè)包，主要還是基于對IP包頭和協(xié)議包頭的一些具體的信息進(jìn)行檢查，它們包括：I源地址(SourceAddress)I目的地址(DestinationAddress)I應(yīng)用協(xié)議(ApplicationorProtocol)I源端口號(SourcePort

17、Number)I目的端口號(DestinationPortNumber)與靜態(tài)包過濾技術(shù)不同，動態(tài)包過濾防火墻知道一個(gè)新的連接和一個(gè)已經(jīng)建立的連接的不同。對于已經(jīng)建立的連接，動態(tài)包過濾防火墻將狀態(tài)信息寫進(jìn)常駐內(nèi)存的狀態(tài)表，后來的包的信息與狀態(tài)表中的信息進(jìn)行比較，該動作是在操作系統(tǒng)的內(nèi)核中完成的。因此，增加了很多的安全性。一個(gè)典型的例子是，靜態(tài)包過濾無法區(qū)分一個(gè)外部用戶進(jìn)入的包與一個(gè)內(nèi)部用戶出去后回來的包的不同，動態(tài)包過濾防火墻就知道。動態(tài)包過濾防火墻可以限制外部用戶訪問內(nèi)部，但保證內(nèi)部用戶可以訪問外部，而且可以回來。靜態(tài)包過濾防火墻做不到。當(dāng)一個(gè)包是屬于一個(gè)已經(jīng)建立連接時(shí)，防火墻不作進(jìn)一步檢查

18、就可以放行這個(gè)包。通過占有部分系統(tǒng)內(nèi)存，減少了包的檢查工作量，因此，動態(tài)包過濾的性能有一定程度的增加。動態(tài)包過濾技術(shù)可以支持對稱多處理系統(tǒng)(SMP)和多CPU系統(tǒng)，可以取得更高的速度和性能。一般說來，每增加一個(gè)處理器，動態(tài)包過濾技術(shù)可以增加30%的性能。但是單線程系統(tǒng)就無法得到多處理器的好處。舉例說明，廠商A采用專用RISC芯片的系統(tǒng)，取得150Mbps速度，廠商B采用普通Intel的CPU，支持多CPU和對稱多處理系統(tǒng)(SMP)，卻取得了超過600Mbps的速度。有些廠商，為了克服單線程動態(tài)包過濾所帶來的限制，冒險(xiǎn)的采用簡化RFC規(guī)定的三次握手建立連接的TCP/IP機(jī)制，一次握手就建立連接，

19、并且寫入狀態(tài)表。這給黑客很大的可乘之機(jī)，像LAND，PingofDeath，Teardrop這類的單包攻擊，很容易攻擊成功。優(yōu)點(diǎn)：I速度和效率高I成本低I知道狀態(tài)缺點(diǎn):I工作在網(wǎng)絡(luò)層，只檢查IP和TCP包頭I不知道數(shù)據(jù)包，安全性不高I易于IP假冒和欺騙I規(guī)則編制困難I簡化的三次握手導(dǎo)致另外的安全性問題I只提供較低的安全保護(hù)電路網(wǎng)關(guān)電路網(wǎng)關(guān)工作在會話層，即OSI的第五層。在很多方面，電路網(wǎng)關(guān)很像是包過濾的一個(gè)擴(kuò)展。電路網(wǎng)關(guān)，執(zhí)行包過濾的功能，增加一次握手再證實(shí)，增加建立連接的序列號的合法性檢查。電路網(wǎng)關(guān)在建立一個(gè)會話會電路之前，檢查和證實(shí)TCP和UDP。電路網(wǎng)關(guān)決定準(zhǔn)許還是拒絕一個(gè)包，依賴于檢查

20、包的IP頭和TCP頭的下列信息：I源地址(SourceAddress)I目標(biāo)地址(DestinationAddress)I應(yīng)用協(xié)議(ApplicationorProtocol)I源端口(SourcePortNumber)I目標(biāo)端口(DestinationPortNumber)I握手和系歹1號(HandshakingandSequenceNumber)類似于包過濾，在轉(zhuǎn)發(fā)一個(gè)包之前，電路網(wǎng)關(guān)將IP頭和TCP頭的信息與用戶定義的規(guī)則表進(jìn)行比較，決定是否準(zhǔn)許放行還是拒絕。電路網(wǎng)關(guān)的安全性有所提高，主要是客戶端要進(jìn)行認(rèn)證。認(rèn)證程序決定用戶是否是可信的。旦認(rèn)證之后，通過客戶端發(fā)起TCP握手的SYN標(biāo)示和

21、ACK標(biāo)示，以及相關(guān)的系列號是正確而且連貫的，該會話才是合法的。一旦會話是合法的，開始執(zhí)行包過濾規(guī)則的檢查。電路網(wǎng)關(guān)理論上的安全性要比包過濾高。電路網(wǎng)關(guān)的效率和速度也是較高的。優(yōu)點(diǎn):I對網(wǎng)絡(luò)的性能的影響適中或較低I中斷了直接連接I比包過濾的安全性要高一個(gè)級別缺點(diǎn)：I有包過濾的很多缺點(diǎn)I不對數(shù)據(jù)作任何檢查，允許任何數(shù)據(jù)簡單的穿透連接I只能提供中低的安全性應(yīng)用網(wǎng)關(guān)像電路網(wǎng)關(guān)一樣，應(yīng)用網(wǎng)關(guān)截獲所有進(jìn)和出的包，運(yùn)行代理機(jī)制，通過網(wǎng)關(guān)來復(fù)制和轉(zhuǎn)發(fā)信息，功能像一個(gè)代理服務(wù)器，防止任何的直接連接。作為應(yīng)用網(wǎng)關(guān)的代理與電路網(wǎng)關(guān)有以卜不同：I代理是與應(yīng)用相關(guān)的，每一種應(yīng)用需要一個(gè)具體的代理I代理檢查包的所有數(shù)據(jù)

22、，包括包頭和數(shù)據(jù)I工作在OSI的第七層，即應(yīng)用層OSIModelProxyAppbcatMm與電路代理不同的是，應(yīng)用網(wǎng)關(guān)只接受具體的應(yīng)用產(chǎn)生的包，然后進(jìn)行復(fù)制，轉(zhuǎn)發(fā)和過濾。舉例來說，HTTP代理只處理HTTP流量，F(xiàn)TP代理只處理FTP流量。沒有應(yīng)用代理的數(shù)據(jù)不能被處理，即被拒絕。應(yīng)用代理不僅要檢查所有的協(xié)議，還有檢查所有的內(nèi)容。因此，代理可以過濾具體的命令，可以過濾惡意代碼，可以殺病毒，可以對內(nèi)容進(jìn)行檢查和過濾。很明顯，應(yīng)用代理必須具有緩存的功能。應(yīng)用網(wǎng)關(guān)可以防止隱腋隧道的攻擊。應(yīng)用網(wǎng)關(guān)工作在第七層，與具體的應(yīng)用相關(guān)，應(yīng)用協(xié)議規(guī)定了所有的規(guī)程，因此，較為容易設(shè)計(jì)過濾規(guī)則。應(yīng)用代理要比包過濾更

23、容易配置和管理。通過檢查完整的包，應(yīng)用網(wǎng)關(guān)是目前最安全的防火墻。優(yōu)點(diǎn)：I通過支持SMP和多CPU，應(yīng)用網(wǎng)關(guān)對網(wǎng)絡(luò)性能影響是完全可以接受的I禁止直接連接，消除隧道攻擊的危害I檢查協(xié)議信息，消除了內(nèi)存溢出攻擊I最高的安全性缺點(diǎn)I如果系統(tǒng)實(shí)現(xiàn)不好，性能很差I(lǐng)對程序的質(zhì)量要求很高I應(yīng)用支持有限I對操作系統(tǒng)有依賴性狀態(tài)檢測包過濾狀態(tài)檢測組合了很多動態(tài)包過濾、電路網(wǎng)關(guān)和應(yīng)用網(wǎng)關(guān)的功能。狀態(tài)檢測包過濾有一個(gè)根本的能力，即檢查所有七層的信息。但主要OSI是工作OSI的第三層即網(wǎng)絡(luò)層，而且主要是采用動態(tài)包過濾工作模式。狀態(tài)檢測包過濾也能像電路網(wǎng)關(guān)那樣工作，決定在一個(gè)會話中的包是否是正常的。狀態(tài)檢測也能作為一個(gè)最

24、小化的應(yīng)用網(wǎng)關(guān)，對某些內(nèi)容進(jìn)行檢查。就像應(yīng)用網(wǎng)關(guān)一樣，一旦采用這些功能，防火墻的性能也是直線下降。從很大程度上來講，狀態(tài)檢測防火墻的成功，不完全是一個(gè)技術(shù)上的成功，而是一個(gè)市場概念的成功。狀態(tài)檢測對很多技術(shù)進(jìn)行了簡化，然后進(jìn)行組合。狀態(tài)檢測從技術(shù)上并沒有克服技術(shù)上的局限性。主要表現(xiàn)在以下幾個(gè)方面：高安全性和性能的矛盾并沒有解決。絕大部分狀態(tài)檢測防火墻都是配置工作在動態(tài)包過濾模式，取得了很高的性能，但安全性并不高。一旦決定采用較高安全性模式，性能立即下降。應(yīng)用網(wǎng)關(guān)中斷網(wǎng)絡(luò)的直接連接，創(chuàng)造兩個(gè)連接，在兩個(gè)連接之間，進(jìn)行數(shù)據(jù)的復(fù)制，檢查和轉(zhuǎn)發(fā)。不像應(yīng)用網(wǎng)關(guān)那樣，狀態(tài)檢測技術(shù)并不中斷網(wǎng)絡(luò)的直接連接。這

25、就是最著名的狀態(tài)檢測和應(yīng)用網(wǎng)關(guān)之爭。這里面反映了防火墻的哲學(xué)之爭：能做和做了是兩碼事。狀態(tài)檢測防火墻滿足了用戶對高性能和高安全性同時(shí)需求的矛盾心理，它給用戶一種合理的可信心里，我可以通過配置部分實(shí)現(xiàn)第七層得到高安全性，但現(xiàn)在我實(shí)際在使用的是第三層高性能的動態(tài)包過濾。優(yōu)點(diǎn)：I提供檢測所有OSI七層的能力I不改變目前的直接連接模式I提供完整的動態(tài)包過濾功能I動態(tài)包過濾提供較快的速度缺點(diǎn)I單線程的狀態(tài)檢測對性能有很大的影響，因此用戶多在工作動態(tài)包過濾模式I直接連接對高安全性是不合適的I依賴于操作系統(tǒng)的安全性I工作在動態(tài)包過濾模式并沒有很高的安全性切換代理切換代理是動態(tài)包過濾和電路代理的一種混合型防火

26、墻。簡單地講，切換代理首先作為一個(gè)電路代理來執(zhí)行RFC規(guī)定的三次握手和任何認(rèn)證要求，然后切換代動態(tài)包過濾模式上。因此，剛開始他工作在網(wǎng)絡(luò)的會話層，即OSI的第五層，在認(rèn)證完成并建立連接之后，轉(zhuǎn)到網(wǎng)絡(luò)層即OSI的第三層。有時(shí)候，切換代理又稱自適應(yīng)防火墻。很明顯，要用會話層的安全性和網(wǎng)絡(luò)層的高效率。知道了切換代理能干什么，但最重要的是要知道他沒有干什么。切換代理不是傳統(tǒng)的電路代理，他沒有中斷電路的直接連接。我們注意到切換代理提供了某種程度上關(guān)于安全性和效率之間的平衡。我們相信，所有的防火墻架構(gòu)在互聯(lián)網(wǎng)安全上都有他自己的位置。假如您的安全政策，要求訪問認(rèn)證，檢查三次握手機(jī)制，并不要求中斷直接連接，切

27、換代理是一個(gè)很好的選擇。但是，用戶應(yīng)該明白，切換代理不是電路代理，直接連接并沒有中斷。優(yōu)點(diǎn)：I比傳統(tǒng)的電路代理對網(wǎng)絡(luò)性能的影響更小I三次握手檢查機(jī)制減小了IP假冒和欺騙的可能性缺點(diǎn)：I不是電路代理I還是存在動態(tài)包過濾的缺點(diǎn)I不檢查數(shù)據(jù)，提供較低的安全性I設(shè)計(jì)規(guī)則困難新思路：物理隔離在防火墻的發(fā)展過程中，人們最終意識到防火墻在安全方面的局限性。高性能，高安全性，易用性方面的矛盾并沒有很好的解決。防火墻體系架構(gòu)在高安全性方面的缺陷，驅(qū)使人們追求更高安全性的解決方案，人們期望更安全的技術(shù)手段，物理隔離技術(shù)應(yīng)運(yùn)而生。物理隔離是安全市場上的一匹黑馬。在經(jīng)過漫長的市場概念澄清和馬拉松式技術(shù)演變進(jìn)步之后，市

28、場最終接受物理隔離具有最高安全性。人們把高安全性的所有要求都集中在物理隔離上，中斷直接連接，不光檢查所有的協(xié)議，還把協(xié)議給剝離掉，直接還原成最原始的數(shù)據(jù)，對數(shù)據(jù)可以檢查和掃描，防止惡意代碼和病毒，甚至對數(shù)據(jù)的屬性進(jìn)行要求，不支持TCP/IP，不依賴操作系統(tǒng)，一句話，對OSI的七層進(jìn)行全面檢查，在異構(gòu)介質(zhì)上重組所有的數(shù)據(jù)（第七層之上，八層？）物理隔離在技術(shù)上取得了很大的突破。首先在性能上，物理隔離利用SCSI可以達(dá)到320MBPS的速度，利用實(shí)時(shí)交換可以達(dá)到1000Mbps的速度。在安全性上，目前存在的安全問題，對物理隔離而言在理論上都不存在。這就是各國政府和軍方都強(qiáng)制推行物理隔離的主要原因。優(yōu)

29、點(diǎn)：I中斷直接連接I強(qiáng)大的檢查機(jī)制I最高的安全性缺點(diǎn)：“深度防御”的安全策略的另I對協(xié)議不透明，對每一種協(xié)議都要一種具體的實(shí)現(xiàn)物理隔離：與互聯(lián)網(wǎng)斷開定位物理隔離技術(shù)，不是要替代防火墻，入侵檢測，漏洞掃描和防病毒系統(tǒng)，相反，它是用戶外一塊基石。物理隔離技術(shù)，是絕對要解決互聯(lián)網(wǎng)的安全問題，而不是什么其它的問題。物理隔離要解決的問題解決目前防火墻存在的根本問題：I防火墻對操作系統(tǒng)的依賴，因?yàn)椴僮飨到y(tǒng)也有漏洞ITCP/IP的協(xié)議漏洞：不用TCP/IPI防火墻、內(nèi)網(wǎng)和DMZ同時(shí)直接連接，I應(yīng)用協(xié)議的漏洞，因?yàn)槊詈椭噶羁赡苁欠欠ǖ腎文件帶有病毒和惡意代碼：不支持MIME，只支持TXT，或殺病毒軟件，或惡

30、意代碼檢查軟件物理隔離的指導(dǎo)思想與防火墻有很大的不同：（D防火墻的思路是在保障互聯(lián)互通的前提下，盡可能安全，而（2）物理隔離的思路是在保證必須安全的前提下，盡可能互聯(lián)互通。操作系統(tǒng)的漏洞：操作系統(tǒng)是一個(gè)平臺，要支持各種各樣的應(yīng)用，OS有下列特點(diǎn)：I功能越多，漏洞越多I應(yīng)用越新，漏洞越多I用的人越多，找出漏洞的可能性越大I用的越廣泛，漏洞曝光的幾率就越大黑客攻防火墻，一般都是先攻操作系統(tǒng)。控制了操作系統(tǒng)就控制了防火墻。TCP/IP的漏洞：TCP/IP是冷戰(zhàn)時(shí)期的產(chǎn)物，目標(biāo)是要保證通達(dá)，保證傳輸?shù)拇謺缧?。通過來回確認(rèn)來保證數(shù)據(jù)的完整性，不確認(rèn)則要重傳。TCP/IP沒有內(nèi)在的控制機(jī)制，來支持源地址的

31、鑒別，來證實(shí)IP從哪兒來。這就是TCP/IP漏洞的根本原因。黑客利用TCP/IP的這個(gè)漏洞，可以使用偵聽的方式來截獲數(shù)據(jù)，能對數(shù)據(jù)進(jìn)行檢查，推測TCP的系列號，修改傳輸路由，修改鑒別過程，插入黑客的數(shù)據(jù)流。莫里斯病毒就是利用這一點(diǎn)，給互聯(lián)網(wǎng)造成巨大的危害。防火墻的漏洞：防火墻要保證服務(wù)，必須開放相應(yīng)的端口。防火墻要準(zhǔn)許HTTP服務(wù)，就必須開放80端口，要提供MAIL服務(wù)，就DOS或DDOS，對開放的端口進(jìn)行攻擊，防火必須開放25端口等。對開放的端口進(jìn)行攻擊，防火墻不能防止。利用墻無法禁止。利用開放服務(wù)流入的數(shù)據(jù)來攻擊，防火墻無法防止。利用開放服務(wù)的數(shù)據(jù)隱腋隧道進(jìn)行攻擊，防火墻無法防止。攻擊開放

32、服務(wù)的軟件缺陷，防火墻無法防止。防火墻不能防止對自己的攻擊，只能強(qiáng)制對抗。防火墻本身是一種被動防衛(wèi)機(jī)制，不是主動安全機(jī)制。防火墻不能干涉還沒有到達(dá)防火墻的包，如果這個(gè)包是攻擊防火墻的，只有已經(jīng)發(fā)生了攻擊，防火墻才可以對抗，根本不能防止。目前還沒有一種技術(shù)可以解決所有的安全問題，但是防御的深度愈深，網(wǎng)絡(luò)愈安全。物理安全是目前唯一能解決上述問題的安全設(shè)備。物理隔離的技術(shù)路線目前物理隔離的技術(shù)路線有三種：網(wǎng)絡(luò)開關(guān)(NetworkSwitcher)，實(shí)時(shí)交換(Real-timeSwitch)和單向連接(OneWayLink)網(wǎng)絡(luò)開關(guān)是比較容易理解的一種。在一個(gè)系統(tǒng)里安裝兩套虛擬系統(tǒng)和一個(gè)數(shù)據(jù)系統(tǒng)，數(shù)據(jù)被寫入到一個(gè)虛擬系統(tǒng)，然后交換到數(shù)據(jù)系統(tǒng)，再交換到另一個(gè)虛擬系