安全數據交換單元不同時與內外網處理單元連接,為2 1的主機架構。隔離網閘采用SU-Gap安全隔離技術,創建一個內、外網物理斷開的環境。
網閘的產生,最早是出現在美國、以色列等國的軍方,用以解決涉密網絡與公共網絡連接時的安全問題。
隨著電子政務在我國的蓬勃發展,政府部門的高安全網絡和其他低安全網絡之間進行數據交換的需求日益明顯,出于國家安全考慮,政府部門一般傾向于使用國內安全廠商的安全產品,種種因素促使了網閘在我國的產生。
我國第一款安全隔離網閘產生于2000年,現已經廣泛應用于政府、金融、交通、能源等行業。
安全隔離網閘的組成:
安全隔離網閘是實現兩個相互業務隔離的網絡之間的數據交換,通用的網閘模型設計一般分三個基本部分:
a. 內網處理單元
b. 外網處理單元
c. 隔離與交換控制單元(隔離硬件)
其中,三個單元都要求其軟件的操作系統是安全的,也就是采用非通用的操作系統,或改造后的專用操作系統。一般為Unix BSD或Linux的經安全精簡版本,或者其他是嵌入式操作系統VxWorks等,但都要對底層不需要的協議、服務刪除,使用的協議優化改造,增加安全特性,同時提高效率。
下面分別介紹三個基本部分的功能:
內網處理單元:包括內網接口單元與內網數據緩沖區。接口部分負責與內網的連接,并終止內網用戶的網絡連接,對數據進行病毒檢測、防火墻、入侵防護等安全檢測后剝離出“純數據”,作好交換的準備,也完成來自內網對用戶身份的確認,確保數據的安全通道;數據緩沖區是存放并調度剝離后的數據,負責與隔離交換單元的數據交換。
外網處理單元:與內網處理單元功能相同,但處理的是外網連接。
隔離與交換控制單元:是網閘隔離控制的擺渡控制,控制交換通道的開啟與關閉。控制單元中包含一個數據交換區,就是數據交換中的擺渡船。對交換通道的控制的方式目前有兩種技術,擺渡開關與通道控制。擺渡開關是電子倒換開關,讓數據交換區與內外網在任意時刻的不同時連接,形成空間間隔GAP,實現物理隔離。通道方式是在內外網之間改變通訊模式,中斷了內外網的直接連接,采用私密的通訊手段形成內外網的物理隔離。該單元中有一個數據交換區,作為交換數據的中轉。
安全隔離網閘的兩類模型:
在內外網處理單元中,接口處理與數據緩沖之間的通道,稱內部通道1,緩沖區與交換區之間的通道,稱內部通道2。對內部通道的開關控制,就可以形成內外網的隔離。模型中的用中間的數據交換區擺渡數據,稱為三區模型;擺渡時,交換區的總線分別與內、外網緩沖區連接,也就是內部通道2的控制,完成數據交換。
還有一種方式是取消數據交換區,分別交互控制內部通道1與內部通道2,形成二區模型。
二區模型的數據擺渡分兩次:先是連接內、外網數據緩沖區的內部通道2斷開,內部通道1連接,內外網接口單元將要交換的數據接收過來,存在各自的緩沖區中,完成一次擺渡。然后內部通道1斷開,內部通道2連接,內外網的數據緩沖區與各自的接口單元斷開后,兩個緩沖區連接,分別把要交換的數據交換到對方的緩沖區中,完成數據的二次擺渡。
內部通道一般也采用非通用網絡的通訊連接,讓來自兩端的可能攻擊終止于接口單元,從而增強網閘的隔離效果。安全隔離網閘設計的目的,是隔離內外網業務連接的前提下,實現安全的數據交換。也就是安全專家描述的:協議落地,數據交換。
由于職能和業務的不同,用戶的應用系統及其數據交換方式也多種多樣:各種審批系統、各種數據查詢系統需要在網絡間傳輸和交換指定數據庫記錄;各種匯總系統、各種數據采集系統需要在網絡間傳輸和交換指定文件;各種復雜的應用系統需要傳輸和交換定制數據;內外網之間的郵件互通和網頁瀏覽需求要求網絡之間能夠進行郵件轉發和網頁轉發。
故主流的安全隔離網閘一般具有如下功能模塊:數據庫模塊、文件模塊、消息模塊、郵件模塊和瀏覽模塊。
安全隔離網閘和防火墻有著本質的不同,以下表進行簡單的對比:
項目 |
安全隔離網閘 |
防火墻 |
訪問控制特點 |
基于物理隔離的白名單控制 |
基于連通網絡的黑名單控制 |
硬件特點 |
多主機形成縱深防御,保證隔離效果 |
單主機多宿主 |
隔離類型 |
專用隔離硬件 |
無專用數據交換硬件 |
軟件特點 |
不允許TCP會話 |
允許TCP會話 |
訪問類型 |
不允許從外到內的訪問 |
允許從外到內的訪問 |
安全性特點 |
可以最大程度防止未知攻擊 |
不能防止未知攻擊 |
性能與應用特點 |
確保安全性能所需的管理和維護工作量小 |
需要7x24監控,確保安全性能 |
數據通過性 |
性能適中 |
高性能 |
隔離方式 | 需要與應用系統結合 |
對應用透明 |
格式:pdf
大小:44KB
頁數: 2頁
評分: 4.7
隨著計算機技術的不斷發展,網絡安全已成為各行業極為關注的重要問題。文章分析了安全隔離網閘(GAP)技術的基本結構,對該技術在網絡安全管理系統中基本的工作原理進行了探討,同時簡單介紹了目前較為流行的兩種GAP技術:動態斷開技術和固定斷開技術。
格式:pdf
大小:44KB
頁數: 3頁
評分: 4.4
隨著計算機技術和網絡技術應用的日益普及,各地政府部門都將如何構建一個安全、高效的網絡系統作為政府信息化發展的目標之一。作為政府行政機構,上世紀90年代公安系統就已經開始了網絡系統工程的建設。目前,在全國的公安系統中已經通過租用運營商的網絡服務,陸續建立起跨地市、跨省及全國性的廣域網,用來承載公安系統運作的各種數據信息。但是,隨著
基于IP網絡的視頻監控已經逐漸發展成為安防業的主流方案,成功應用于平安工程、高速公路、公安網、園區等大型項目。IP的標準性和開放性也使得各個網絡孤島的整合變得容易,使網絡規模的擴展變得輕松。考慮到IPv4地址資源緊張和2012年2月前各區域網絡地址段相互重疊的現實,以及各種網絡安全的需要,NAT、防火墻、安全隔離網閘等設備被大量的應用于大型網絡中。這就使得基于IP的視頻監控系統的信令和業務流程變得非常復雜,甚至導致某些業務在某些特定的組網中無法開展。下面簡單闡述下在視頻監控網絡存在NAT、防火墻、安全隔離網閘時,視頻監控網絡通信變得復雜困難的緣由。
在存在NAT設備的時候,由于IP報文穿過NAT設備之后其源IP地址或目的IP地址會發生改變,而一個業務信令內部通常也包含有源IP地址和目的IP地址,由此造成內、外部地址的不統一,這在很多時候會對視頻監控業務流程造成困擾。另外,如果NAT外網存在設備要首先發起通向內網的TCP/UDP連接,就必須先在NAT設備上為內網的那些設備分別配置內部服務器的地址/端口映射,這樣顯然會浪費大量公網地址,很多時候也是不允許的。當然,在控制服務器可以判斷出交互的兩臺設備誰處于NAT內網誰處于外網時,可以通知內網的設備主動向外網設備發起連接。但是這要求每個會話連接都實現兩種或甚至兩種以上的處理流程,對于一個包含了多個會話行為的業務流程這種組合會變得非常復雜。況且某些標準業務也不允許交互的雙方顛倒C/S的角色。
在存在防火墻時,需要防火墻開放相當數量的UDP/TCP端口以便防火墻外的終端,如視頻監控客戶端,能主動訪問防火墻內的服務器,如視頻管理服務器(VM)。這樣就給企業內網帶來了安全隱患。
在存在安全隔離網閘時,大量以IP代理方式實現的網閘(即來自外部的流量先發送到網閘的一個代理IP,網閘修改目的IP后再往內網轉發),通常會要求網閘協助對業務信令的內部信息做出相應的修改,因為其中可能包含有IP地址信息。于是監控系統廠家每開發一個新特性可能都會要求網閘公司配合做出相應的特性開發。
另外,一些特殊用戶還有特殊的視頻監控網絡需求。比如說公安網絡等安全性要求較高的網絡需要:所有的會話連接都要求由內網發起,否則外部流量就進入不了內網。在一個典型的集中控制架構中,終端,如編碼設備,首先得向服務器,如視頻管理服務器,發起注冊信令,點播業務也是點播主機先向服務器發起申請,當終端和主機處于外網而服務器處于內網時業務就會遭遇困境。