网闸与双主机的对比.doc

伟思网闸与双主机结构系统的技术比较 一、物理隔离网闸的系统结构与安全性论述 介绍安全隔离与信息交换系统技术，我们想首先介绍安全隔离与信息交换系统的设计原型，通过该原型可以使我们更清晰地了解设计安全隔离与信息交换系统产品的初衷，以及安全隔离与信息交换系统架构自身就具有的其它安全产品无法取代的新安全特性。 1 隔离网闸的安全模型 安全隔离与信息交换系统最基本的设计理念来自于一个被称为Sneaker－Net的模型，该模型期望解决这样一个矛盾：如何在最大程度上保护我们私有网络安全的同时又可与外界（如Internet）进行安全的交换数据交换。Sneaker－Net模型实际上给我们提供了一个很好的解决方案，该解决方案实际上已经在中国电子政务的许多敏感网络上被大量采用。该模型的结构如图所示： 在Sneaker-NET技术中，有一个人来操作，另外包括两个网络：不可信网络和可信网络，这两个网络物理隔断，在大多数Sneaker-NET方案中，也有一个独立的计算机，或者一个与两个网络分离的DMZ区域，用于内容检查。 采用Sneaker-NET技术后，网络信息流如下： 该人在不可信网络上的计算机上手工方式拷贝文件到磁盘或磁带。 该人将磁盘或磁带拿到一个独立的计算机上进行内容检测。检测包括（不仅仅这些）：病毒扫描、检验该文件格式是否和预先定义的文件格式相符等。 如果内容检测为不安全或非法，它们将被丢弃；如果内容是安全和合法的，此人在可信网络上的计算机上手工方式将该磁盘或磁带的文件拷贝到计算机上。 信息从可信网络传输到不可信网络将也用相似的流程。 在Sneaker-NET模型中，没有人可以从不可信的网络访问和操作控制可信网络上的计算机，所有允许到可信网络的数据都在一个安全的环境中经过详细的审查，这是从不安全环境到安全环境传输信息的一个最安全的方法。 伟思安全隔离与信息交换系统模型带来的新安全特性 同传统的防火墙等访问控制技术相比，Sneaker－Net独特的模型结构天然具有了一些其它安全技术难以达到的安全特性，主要包括以下几个方面： 1) 对网络层/OS层已知和未知攻击的全面防护能力。由于在该模型中内外网间实际上物理断开，所有访问被转化成应用层数据形式通过独立的存储介质在内外网移动，因此，移动的数据中并不包含相对低层的网络层/OS层控制信息，换句话说，隐藏在网络层/OS层的攻击行为根本没有进入受保护内网网络的可能，无论该攻击方式是已知的还是未知的。而目前其它安全技术基本上还是基于特征匹配的方式过滤这些攻击行为，遗漏和处理不当都在所难免，并且对未知攻击毫无办法，对受保护网络造成严重安全隐患。 2) 不再依赖操作系统的安全性。目前所有安全技术的实现都必须依赖操作系统做为平台提供低层服务支持，操作系统的安全性实际上就影响到整个安全产品的安全性，目前主流的OS主要是微软和Uinx/Linux两大类，所有这些操作系统都具有一定数量的Bugs，这些漏洞也随之成为整个安全产品的漏洞。而Sneaker－Net模型很好地解决了这个问题，其内网处理服务器上的操作系统完全不对外暴露，暴露在外的仅仅是负责外网处理的服务器，即使该服务器因操作系统Bugs被攻击，实际上也无法进一步影响内网处理服务器，因为内外网是物理断开的。实际上，与防火墙等其它安全产品不同，黑客无法利用现有操作系统Bugs获得对Sneaker－Net结构的控制权。 3) 强化安全决策过程的安全性。安全决策是最重要和基础的安全防御手段之一，安全决策包括认证、访问控制列表（ACL）、内容过滤以及格式检查等一系列方式。安全决策功能一旦失效，恶意访问将无阻碍地进入受保护网络（例如访问控制列表被更改，已禁止端口被开放等）。目前的网络安全产品对决策模块的防护能力相对较弱，而Sneaker－Net模型则将所有安全决策过程置于中立的与内外网没有连接的隔离区内完成，且关键的策略库置于与被检查数据物理断开的受保护端（LAN）服务器上，因此，策略库和决策过程都十分安全，未经严格检查的数据将始终被隔离在受保护网络（LAN）以外，确保决策过程的安全。 4) 数据静态化。在Sneaker－Net模型中，所有进入模型内的数据在人的传递过程中都是静态的，其内容不被任何程序执行，仅仅是对静态内容实施检查和决策，因此，这些数据本身携带的任何恶意代码都无法执行，也就无法危及系统的安全，整个系统安全可靠。 2 隔离网闸的实现 GAP安全隔离与信息交换系统技术就是基于这样的一个机理实现的一种安全信息交换技术。在Sneaker-NET中，人的作用是在两个网络之间进行低速的手工交换数据，而在采用GAP技术的设备中，用一个快速电子开关来实现这一功能；用在Sneaker-NET中做数据交换的磁介质，在GAP技术中则用存储设备来代替。在某一时刻，电子开关只能连接到