安全隔离网闸
定义
安全隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立网络系统的信息安全设备。由于物理隔离网闸所连接的两个独立网络系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全。
功能模块
安全隔离闸门的功能模块有:
安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证
主要功能
1、阻断网络的直接物理连接:物理隔离网闸在任何时刻都只能与非可信网络和可信网络上之一相连接,而不能同时与两个网络连接;
2、阻断网络的逻辑连接:物理隔离网闸不依赖操作系统、不支持TCP/IP协议。两个网络之间的信息交换必须将TCP/IP协议剥离,将原始数据通过P2P的非TCP/IP连接方式,通过存储介质的“写入”与“读出”完成数据转发;
3、安全审查:物理隔离网闸具有安全审查功能,即网络在将原始数据“写入”物理隔离网闸前,根据需要对原始数据的安全性进行检查,把可能的病毒代码、恶意攻击代码消灭干净等;
4、原始数据无危害性:物理隔离网闸转发的原始数据,不具有攻击或对网络安全有害的特性。就像txt文本不会有病毒一样,也不会执行命令等。
5、管理和控制功能:建立完善的日志系统。
6、根据需要建立数据特征库:在应用初始化阶段,结合应用要求,提取应用数据的特征,形成用户特有的数据特征库,作为运行过程中数据校验的基础。当用户请求时,提取用户的应用数据,抽取数据特征和原始数据特征库比较,符合原始特征库的数据请求进入请求队列,不符合的返回用户,实现对数据的过滤。
7、根据需要提供定制安全策略和传输策略的功能:用户可以自行设定数据的传输策略,如:传输单位(基于数据还是基于任务)、传输间隔、传输方向、传输时间、启动时间等。
8、支持定时/实时文件交换;支持支持单向/双向文件交换;支持数字签名、内容过滤、病毒检查等功能。
工作原理
安全隔离网闸的组成:
安全隔离网闸是实现两个相互业务隔离的网络之间的数据交换,通用的网闸模型设计一般分三个基本部分:
1、 内网处理单元:包括内网接口单元与内网数据缓冲区。接口部分负责与内网的连接,并终止内网用户的网络连接,对数据进行病毒检测、防火墙、入侵防护等安全检测后剥离出“纯数据”,作好交换的准备,也完成来自内网对用户身份的确认,确保数据的安全通道;数据缓冲区是存放并调度剥离后的数据,负责与隔离交换单元的数据交换。
2、 外网处理单元:与内网处理单元功能相同,但处理的是外网连接。
3、 隔离与交换控制单元(隔离硬件):是网闸隔离控制的摆渡控制,控制交换通道的开启与关闭。控制单元中包含一个数据交换区,就是数据交换中的摆渡船。对交换通道的控制的方式目前有两种技术,摆渡开关与通道控制。摆渡开关是电子倒换开关,让数据交换区与内外网在任意时刻的不同时连接,形成空间间隔GAP,实现物理隔离。通道方式是在内外网之间改变通讯模式,中断了内外网的直接连接,采用私密的通讯手段形成内外网的物理隔离。该单元中有一个数据交换区,作为交换数据的中转。
其中,三个单元都要求其软件的操作系统是安全的,也就是采用非通用的操作系统,或改造后的专用操作系统。一般为Unix BSD或Linux的经安全精简版本,或者其他是嵌入式操作系统等,但都要对底层不需要的协议、服务删除,使用的协议优化改造,增加安全特性,同时提高效率。
如果针对网络七层协议,安全隔离网闸是在硬件链路层上断开。
区别比较
1、与物理隔离卡的区别
安全隔离网闸与物理隔离卡最主要的区别是,安全隔离网闸能够实现两个网络间的自动的安全适度的信息交换,而物理隔离卡只能提供一台计算机在两个网之间切换,并且需要手动操作,大部分的隔离卡还要求系统重新启动以便切换硬盘。
2、网络交换信息的区别
安全隔离网闸在网络间进行的安全适度的信息交换是在网络之间不存在链路层连接的情况下进行的。安全隔离网闸直接处理网络间的应用层数据,利用存储转发的方法进行应用数据的交换,在交换的同时,对应用数据进行的各种安全检查。路由器、交换机则保持链路层畅通,在链路层之上进行IP包等网络层数据的直接转发,没有考虑网络安全和数据安全的问题。
3、与防火墙的区别
防火墙一般在进行IP包转发的同时,通过对IP包的处理,实现对TCP会话的控制,但是对应用数据的内容不进行检查。这种工作方式无法防止泄密,也无法防止病毒和黑客程序的攻击。
使用方式
1、涉密网与非涉密网之间
2、局域网与互联网之间
3、办公网与业务网之间
4、业务网与互联网之间
VPN设备
定义
虚拟专用网络指的是在公用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台之上的逻辑网络,用户数据在逻辑链路中传输。
主要功能
1、通过隧道或虚电路实现网络互联
2、支持用户安全管理
3、能够进行网络监控、故障诊断。
工作原理
1、通常情况下,VPN网关采取双网卡结构,外网卡使用公网IP接入Internet。
5、网络二的VPN网关对接收到的数据包进行检查,如果发现该数据包是从网络一的VPN网关发出的,即可判定该数据包为VPN数据包,并对该数据包进行解包处理。解包的过程主要是先将VPN数据包的包头剥离,再将数据包反向处理还原成原始的数据包。
7、从终端B返回终端A的数据包处理过程和上述过程一样,这样两个网络内的终端就可以相互通讯了。
常用VPN技术
1、MPLS VPN:是一种基于MPLS技术的IP VPN,是在网络路由和交换设备上应用MPLS(多协议标记交换)技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN)。MPLS优势在于将二层交换和三层路由技术结合起来,在解决VPN、服务分类和流量工程这些IP网络的重大问题时具有很优异的表现。因此,MPLS VPN在解决企业互连、提供各种新业务方面也越来越被运营商看好,成为在IP网络运营商提供增值业务的重要手段。MPLS VPN又可分为二层MPLS VPN(即MPLS L2 VPN)和三层MPLS VPN(即MPLS L3 VPN)。
2、SSL VPN:是以HTTPS(Secure HTTP,安全的HTTP,即支持SSL的HTTP协议)为基础的VPN技术,工作在传输层和应用层之间。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,可以为应用层之间的通信建立安全连接。SSL VPN广泛应用于基于Web的远程安全接入,为用户远程访问公司内部网络提供了安全保证。
3.IPSec VPN是基于IPSec协议的VPN技术,由IPSec协议提供隧道安全保障。IPSec是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。
主要类型
按所用的设备类型进行分类:
主要为交换机、路由器和防火墙:
(1)路由器式VPN:路由器式VPN部署较容易,只要在路由器上添加VPN服务即可;
(2)交换机式VPN:主要应用于连接用户较少的VPN网络;
(3)防火墙式VPN:防火墙式VPN是最常见的一种VPN的实现方式,许多厂商都提供这种配置类型;
VPN的隧道协议主要有三种,PPTP、L2TP和IPSec,其中PPTP和L2TP协议工作在OSI模型的第二层,又称为二层隧道协议;IPSec是第三层隧道协议。
实现方式
VPN的实现有很多种方法,常用的有以下四种:
1.VPN服务器:在大型局域网中,可以通过在网络中心搭建VPN服务器的方法实现VPN。
2.软件VPN:可以通过专用的软件实现VPN。
3.硬件VPN:可以通过专用的硬件实现VPN。
4.集成VPN:某些硬件设备,如路由器、防火墙等,都含有VPN功能,但是一般拥有VPN功能的硬件设备通常都比没有这一功能的要贵。
流量监控设备
定义
网络流量控制是一种利用软件或硬件方式来实现对电脑网络流量的控制。它的最主要方法,是引入QoS的概念,从通过为不同类型的网络数据包标记,从而决定数据包通行的优先次序。
技术类型
流控技术分为两种:
随着网上应用类型的不断丰富,仅通过第四层端口信息已经不能真正判断流量中的应用类型,更不能应对基于开放端口、随机端口甚至采用加密方式进行传输的应用类型。例如,P2P类应用会使用跳动端口技术及加密方式进行传输,基于交换路由设备进行流量控制的方法对此完全失效。
另一种是智能流控方式,通过专业的流控设备实现基于应用层的流控,属于七层流控。
主要功能
1、全面透视网络流量,快速发现与定位网络故障
2、保障关键应用的稳定运行,确保重要业务顺畅地使用网络
3、限制与工作无关的流量,防止对带宽的滥用
4、管理员工上网行为,提高员工网上办公的效率
5、依照法规要求记录上网日志,避免违法行为
6、保障内部信息安全,减少泄密风险
7、保障服务器带宽,保护服务器安全
8、内置企业级路由器与防火墙,降低安全风险
9、专业负载均衡,提升多线路的使用价值
使用方式
1、网关模式:置于出口网关,所有数据流直接经由设备端口通过;
2、网桥模式:如同集线器的作用,设备置于网关出口之后,设置简单、透明;
3、旁路模式:与交换机镜像端口相连,通过对网络出口的交换机进行镜像映射,设备获得链路中的数据“拷贝”,主要用于监听、审计局域网中的数据流及用户的网络行为。
防病毒网关(防毒墙)
定义
防病毒网关是一种网络设备,用以保护网络内(一般是局域网)进出数据的安全。主要体现在病毒杀除、关键字过滤(如色情、反动)、垃圾邮件阻止的功能,同时部分设备也具有一定防火墙(划分Vlan)的功能。
主要功能
1、病毒杀除
2、关键字过滤
3、垃圾邮件阻止的功能
4、部分设备也具有一定防火墙
能够检测进出网络内部的数据,对http、ftp、SMTP、IMAP和POP3五种协议的数据进行病毒扫描,一旦发现病毒就会采取相应的手段进行隔离或查杀,在防护病毒方面起到了非常大的作用。
与防火墙的区别
1、防病毒网关:专注病毒过滤,阻断病毒传输,工作协议层为ISO 2-7层,分析数据包中的传输数据内容,运用病毒分析技术处理病毒体,具有防火墙访问控制功能模块
2、防火墙:专注访问控制,控制非法授权访问,工作协议层为ISO 2-4层,分析数据包中源IP目的IP,对比规则控制访问方向,不具有病毒过滤功能
与防病毒软件的区别
1、防病毒网关:基于网络层过滤病毒;阻断病毒体网络传输;网关阻断病毒传输,主动防御病毒于网络之外;网关设备配置病毒过滤策略,方便、扼守咽喉;过滤出入网关的数据;与杀毒软件联动建立多层次反病毒体系。
2、防病毒软件:基于操作系统病毒清除;清除进入操作系统病毒;病毒对系统核心技术滥用导致病毒清除困难,研究主动防御技术;主动防御技术专业性强,普及困难;管理安装杀毒软件终端;病毒发展互联网化需要网关级反病毒技术配合。
查杀方式
对进出防病毒网关数据监测:以特征码匹配技术为主;对监测出病毒数据进行查杀:采取将数据包还原成文件的方式进行病毒处理。
1、基于代理服务器的方式
2、基于防火墙协议还原的方式
3、基于邮件服务器的方式
使用方式
1、透明模式:串联接入网络出口处,部署简单
2、旁路代理模式:强制客户端的流量经过防病毒网关,防病毒网关仅仅需要处理要检测的相关协议,不需要处理其他协议的转发,可以较好的提高设备性能。
3、旁路模式:与旁路代理模式部署的拓扑一样,不同的是,旁路模式只能起到检测作用,对于已检测到的病毒无法做到清除。
Web应用防火墙(WAF)
定义
Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一种设备。
产生背景
当WEB应用越来越为丰富的同时,WEB 服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。SQL注入、网页篡改、网页挂马等安全事件,频繁发生。
企业等用户一般采用防火墙作为安全保障体系的第一道防线。但是,在现实中,他们存在这样那样的问题,由此产生了WAF(Web应用防护系统)。Web应用防护系统用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同,WAF工作在应用层,因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。
主要功能
1、审计设备:用来截获所以HTTP数据或者仅仅满足某些规则的会话;
2、访问控制设备:用来控制对Web应用的访问,既包括主动安全模式也包括被动安全模式。
3、架构/网络设计工具:当运行在反向代理模式,他们被用来分配职能,集中控制,虚拟基础结构等。
4、WEB应用加固工具:这些功能增强被保护Web应用的安全性,它不仅能够屏蔽WEB应用固有弱点,而且 能够保护WEB应用编程错误导致的安全隐患。主要包括防攻击、防漏洞、防暗链、防爬虫、防挂马、抗DDos等。
使用方式
与IPS设备部署方式类似,可以串联部署在web服务器等关键设备的网络出口处。
安全审计系统
定义
网络安全审计系统针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。从管理层面提供互联网的有效监督,预防、制止数据泄密。满足用户对互联网行为审计备案及安全保护措施的要求,提供完整的上网记录,便于信息追踪、系统安全管理和风险防范。
主要类型
根据被审计的对象(主机、设备、网络、数据库、业务、终端、用户)划分,安全审计可以分为:
1. 主机审计:审计针对主机的各种操作和行为。
2. 设备审计:对网络设备、安全设备等各种设备的操作和行为进行审计网络审计:对网络中各种访问、操作的审计,例如telnet操作、FTP操作,等等。
3. 数据库审计:对数据库行为和操作、甚至操作的内容进行审计业务审计:对业务操作、行为、内容的审计。
4. 终端审计:对终端设备(PC、打印机)等的操作和行为进行审计,包括预配置审计。
5. 用户行为审计:对企业和组织的人进行审计,包括上网行为审计、运维操作审计有的审计产品针对上述一种对象进行审计,还有的产品综合上述多种审计对象。
主要功能
1、采集多种类型的日志数据
能采集各种操作系统的日志,防火墙系统日志,入侵检测系统日志,网络交换及路由设备的日志,各种服务和应用系统日志。
2、日志管理
多种日志格式的统一管理。自动将其收集到的各种日志格式转换为统一的日志格式,便于对各种复杂日志信息的统一管理与处理。
3、日志查询
支持以多种方式查询网络中的日志记录信息,以报表的形式显示。
4、入侵检测
使用多种内置的相关性规则,对分布在网络中的设备产生的日志及报警信息进行相关性分析,从而检测出单个系统难以发现的安全事件。
5、自动生成安全分析报告
根据日志数据库记录的日志数据,分析网络或系统的安全性,并输出安全性分析报告。报告的输出可以根据预先定义的条件自动地产生、提交给管理员。
6、网络状态实时监视
可以监视运行有代理的特定设备的状态、网络设备、日志内容、网络行为等情况。
7、事件响应机制
当审计系统检测到安全事件时候,可以采用相关的响应方式报警。
8、集中管理
审计系统通过提供一个统一的集中管理平台,实现对日志代理、安全审计中心、日志数据库的集中管理。
使用方式
安全审计产品在网络中的部署方式主要为旁路部署。