|
物理隔离功能以及实现技术分析(1)
一、物理隔离网闸的定位
物理隔离技术,不是要替代防火墙,入侵检测,漏洞扫描和防病毒系统,相反,它是用户“深度防御”的安全策略的另外一块基石,一般用来保护为了的“核心”。物理隔离技术,是绝对要解决互联网的安全问题,而不是什么其它的问题。
二、物理隔离要解决的问题
解决目前防火墙存在的根本问题:
·防火墙对操作系统的依赖,因为操作系统也有漏洞
· TCP/IP的协议漏洞:不用TCP/IP
· 防火墙、内网和DMZ同时直接连接
· 应用协议的漏洞,因为命令和指令可能是非法的
· 文件带有病毒和恶意代码:不支持MIME,只支持TXT,或杀病毒软件,或恶意代码检查软件
物理隔离的指导思想与防火墙有很大的不同:(1)防火墙的思路是在保障互联互通的前提下,尽可能安全,而(2)物理隔离的思路是在保证必须安全的前提下,尽可能互联互通。
三、TCP/IP的漏洞
TCP/IP是冷战时期的产物,目标是要保证通达,保证传输的粗旷性。通过来回确认来保证数据的完整性,不确认则要重传。TCP/IP没有内在的控制机制,来支持源地址的鉴别,来证实IP从哪儿来。这就是TCP/IP漏洞的根本原因。黑客利用TCP/IP的这个漏洞,可以使用侦听的方式来截获数据,能对数据进行检查,推测TCP的系列号,修改传输路由,修改鉴别过程,插入黑客的数据流。莫里斯病毒就是利用这一点,给互联网造成巨大的危害。
防火墙的漏洞
防火墙要保证服务,必须开放相应的端口。防火墙要准许HTTP服务,就必须开放80端口,要提供MAIL服务,就必须开放25端口等。对开放的端口进行攻击,防火墙不能防止。利用DOS或DDOS,对开放的端口进行攻击,防火墙无法禁止。利用开放服务流入的数据来攻击,防火墙无法防止。利用开放服务的数据隐蔽隧道进行攻击,防火墙无法防止。攻击开放服务的软件缺陷,防火墙无法防止。
防火墙不能防止对自己的攻击,只能强制对抗。防火墙本身是一种被动防卫机制,不是主动安全机制。防火墙不能干涉还没有到达防火墙的包,如果这个包是攻击防火墙的,只有已经发生了攻击,防火墙才可以对抗,根本不能防止。
目前还没有一种技术可以解决所有的安全问题,但是防御的深度愈深,网络愈安全。物理隔离网闸是目前唯一能解决上述问题的安全设备。
物理隔离的技术原理
物理隔离的技术架构在隔离上。以下的图组可以给我们一个清晰的概念,物理隔离是如何实现的。
图1,外网是安全性不高的互联网,内网是安全性很高的内部专用网络。正常情况下,隔离设备和外网,隔离设备和内网,外网和内网是完全断开的。保证网络之间是完全断开的。隔离设备可以理解为纯粹的存储介质,和一个单纯的调度和控制电路。
当外网需要有数据到达内网的时候,以电子邮件为例,外部的服务器立即发起对隔离设备的非TCP/IP协议的数据连接,隔离设备将所有的协议剥离,将原始的数据写入存储介质。根据不同的应用,可能有必要对数据进行完整性和安全性检查,如防病毒和恶意代码等。见下图2。
| 
