物理隔离网闸常见技术问题有什么?
物理隔离网闸常见技术问题有什么?
物理隔离网闸一定要采用专用开关集成电路吗?
答:不是。在开关的实现中,最直接的办法是采用专用开关集成电路,直接控制总线方式。由于受我国芯片制造业的水平限制,性能和质量很难保证,送到外国生产则必须交出电路设计,又担心安全问题。另外一个问题是专用芯片的批量生产和价格问题,在美国也很难解决这个问题。目前美国的物理隔离网闸厂商,采用专用开关芯片的也不多。
物理隔离网闸是如何利用SCSI来实现开关技术的?
答:首先,SCSI不是一个通信协议,而是一个用于主机向存储外设读写的协议。通过两个主机连接一个存储设备,如下图:
中间的固态存储介质,不是采用文件系统方式,而是采用块方式(Block)。外部主机可以向固态存储介质发起读和写的请求,内部主机也可以向固态存储介质发起读和写的请求,但固态存储介质每次只受理一个。固态存储介质本身不可以向主机发起连接请求。因此,外部主机和内部主机不会发生连接,只能通过固态存储介质进行摆渡。这就具备了一个简单的开关原理。在实际的技术中要复杂得多,厂商要解决存在的时钟问题,效率问题,同步问题,可靠性问题,阻塞问题等一系列问题,才可能实现基于SCSI的开关技术。由于SCSI连接不存在任何上层协议的编程接口,仅只有读/写的功能,能够很好地阻挡任何上层通信协议包括TCP/IP,并具有很高的可靠性和稳定性。因此,在操作系统核心层中通过SCSI技术实现主机之间的开关设计在国际上非常流行,也是主流趋势。
物理隔离网闸可以采用USB,火线和以太来实现软开关吗?
答:不可以。USB,火线和以太线,都是通信协议,这在安全性上与防火墙无异。由于USB方式、火线方式和以太方式很容易增加编程接口,如加载TCP/IP,可能受某些软件编程控制,不能有效和彻底地中断TCP/IP和应用服务。基于上述介质实现的通断(有厂商宣称是软开关)不是物理隔离网闸所要求的开关。线路有通断,并不就是物理隔离。(详见物理隔离网闸常见概念问题解答)
为什么SCSI可以,而USB、火线和以太就不行?
答:要说集成电路开关,大家比较容易接受。而SCSI也是线,USB,火线和以太也是线,为什么SCSI可以,而其他的就不行?原因很简单,SCSI不是通信协议,是文件读写协议,SCSI线和固态存储介质作为一个系统来实现开关原理。USB,火线和以太都是通信协议,两个主机相连,已经不具备物理隔离网闸要求的隔离特性和安全特性。
物理隔离网闸的开关的速度很慢吗?
答:不慢。一个33Mhz的32bit的总线bus的PCI能提供的带宽为132MB/s,即1056Mbit/s。一个66Mhz的64bit的总线的PCI能提供的带宽为528MB/s,即4224Mbit/s。采用双通道的320MB/s的SCSI,可以取得的总带宽为640MB/s,即5120Mbit/s。5G带宽应该足够了。
物理隔离网闸工作在OSI模型的那一层?
答:所有的七层都工作。(详见中网物理隔离网闸白皮书)
物理隔离网闸在OSI模型第5层是如何工作的?
答:物理隔离网闸通过工作在第5层,来中断TCP会话,将一组IP包“还原”为一个应用数据。因此,基于TCP协议的攻击,就全部被去掉。比如说,SYNflooding攻击等。
物理隔离网闸在OSI模型第七层是如何工作的?
答:物理隔离网闸必须在外部和内部主机上同时提供具体的应用代理服务。没有提供代理服务的应用服务的包将无法通过。只有提供相关的应用代理服务,在剥离TCP/IP基础之上,才能将应用协议“剥离”,屏蔽应用协议可能的漏洞,保证安全性。应用代理将应用数据“还原”出来,通过开关电路“摆渡”到对方。
信息安全交换系统是如何工作的?
答:信息安全交换系统的OSI模型图如下。外部主机代理。内部主机代理和中间的安全检查主机。三台主机之间通过以太方式相连。有文献说,可以将中间的安全检查主机,采用物理隔离卡,来人工切换。有些类似安全系统和物理隔离卡的系统应用,可以认为是物理隔离,但不是物理隔离网闸。
安全隔离网闸在OSI模型里是如何工作?
答:安全隔离工作模型有很多种。其中安全性最高的一种如下图。
但没有发现这种结构与单个的代理有本质的不同,除非内部主机的操作系统与外部的不同。该结构的另外两种模型如下,分别是电路代理和包过滤。
电路代理在执行完认证和会话检查后,预以放行,效率比应用代理要高一些。
包过滤的双主机结构,是目前安全性最低的一种。几乎看不出来,它与两个包过滤防火墙串联有什么不同。有些厂商从外部主机的内核中取出数据,将网卡设置为混杂模式,直接传输到内部主机的内核,听起来好像安全一些,实际什么也没有做。比如有些物理隔离就是双主机之间,在机箱内部直接用以太连接起来。
采用了协议转换,是物理隔离吗?
答:不是。采用双主机形式,在双主机之间执行协议转换,还是安全隔离或逻辑隔离的范畴。因为协议的转换并不意味着消除了基于协议的攻击,还是存在通信连接,存在基于通信连接的攻击。
基于协议转换的双主机结构有哪些类型和形式?
答:主要有三种类型,应用代理,电路代理和包过滤类型。协议转换形式包括但不限于USB,火线,串口,并口,ATM,myrinet,专用ASIC卡等形式。
很多人并不认为,双主机用以太方式连接起来,能增加安全性,也不认为是什么物理隔离。因为在理论上,黑客可以通过操作系统的漏洞扫描来发现主机漏洞,从而入侵该主机,再扫描下一个主机,逐步入侵。因此,有些厂商,将以太线改为串口,并口,USB或火线,有的干脆在USB或火线上跑TCP/IP协议。总体上,可以归纳为,双主机之间有通信协议,甚至是TCP/IP协议,某些情况下,包直接从外部主机到达内部主机,可能发生基于包的攻击,某些情况下,可能发生基于连接的攻击,某些情况下,可能发生基于命令的攻击等。因此,基于私有通信协议并不意味着安全。
有些厂商为了增加对内容的检查,利用TCP Stream来还原数据流,以便增加对内容的检查。在防火墙上同样可以增加这些功能。如有厂商推出流过滤,就是这样一个功能。这只是上图的一个变种,同样存在基于连接的攻击,基于会话的攻击,和基于协议的攻击。
这是另外一个变种,在双主机上利用应用代理来增强安全性,消除了利用协议漏洞攻击的可能性,但还是存在基于通信连接攻击的可能性。因此上述情况都不是物理隔离网闸。
物理隔离网闸的每一个应用都需要相应的代理?
答:是。除了标准通用应用之外,每一个应用只要有协议规范,就可以定制。因此任何行业都可以使用物理隔离网闸,不管其应用多特殊。
物理隔离网闸的应用代理是否符合相关的RFC规范?
答:符合。只有符合,才能保证应用的透明性和互通性。
从外网已经ping不通内网,是物理隔离网闸吗?
答:不一定。Ping当然无法ping通物理隔离网闸,但ping不通不一定是物理隔离网闸。在路由器上禁止ICMP协议,ping就不能工作,但不是物理隔离网闸。
从外网无法扫描内网的主机,是物理隔离网闸吗?
答:不一定。扫描软件无法通过物理隔离网闸来扫描内部主机,但扫描不了内部主机不一定就是物理隔离网闸。扫描软件就无法通过代理服务器来扫描内部主机,但代理服务器不是物理隔离网闸。
通过开关来实现了包转发,是物理隔离网闸吗?
答:不是。只要包里含有TCP/IP协议,即使是使用了开关,也可以建立TCP连接。存在基于包和TCP协议的攻击。
为什么说即使入侵了网闸的外部主机,也无法入侵内部主机?
答:物理隔离网闸的外部主机和内部主机不是通过对话来进行通信的,而是不对话不通信,只根据“好的”约定来进行简单的动作。比如说,在最坏的可能的情况下,黑客入侵了外部主机,黑客也可以人工的向固态存储介质写文件,内部主机拿到这些文件后,内部应用不能理解这些文件,只好丢掉,即使理解了,发现不符合安全政策,也是丢掉。内部主机的决策不是由外部主机发来的文件决定,而是根据内部的安全政策决定。因此,不可能控制内部。加上没有连接,没有通信,没有协议,不可能入侵内部。
物理隔离网闸的外部主机有哪些防止入侵的办法?
答:外部主机因为要提供服务,必须准许访问。从绝对的技术观点上来讲,没有操作系统保证说我这个操作系统没有漏洞,因此,在理论上外部主机存在被攻击的可能性,哪怕是千万分之一的小概率事件。这并不意味着外部主机就一定会被攻击。有很多的技术手段可以保证即使在操作系统有漏洞的情况下,也无法让黑客入侵,如轻量级入侵检测,关闭登录主机服务,隐蔽性防配置文件被窜改,等很多措施,可以将外部主机被入侵的风险降至最低。
为什么物理隔离网闸能阻止未知的攻击?
答:目前发现的攻击,按照分类,有基于应用协议漏洞的,有基于TCP/IP协议漏洞的,有基于命令的,有基于包的。物理隔离网闸从根本上解决了这四种类型的攻击。因此,新的攻击,只要是基于上述四种原理的,不管是已知的,还是未知的,都可以阻止。
物理隔离网闸的安全性是最高的吗?
答:是。物理隔离网闸定位在提供最高的安全性,用于保密网的访问,保护核心资产,保护安全性要求很高的专用网,保护关键数据库,保护系统免受来自互联网的攻击。