第16章网络安全隔离课件.ppt

,第16章 网络安全隔离,16.1 网络隔离的概念16.2 安全隔离的原理16.3 应用模式和功能,16.1 网络隔离的概念网络隔离(Network Isolation)，主要是指把两个或两个以上可路由的网络(如TCP/IP)通过不可路由的协议进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议，所以通常也叫协议隔离(Protocol Isolation)。目前常见的网络隔离方式如表16-1所示。,由于业务需要，需要定时与外单位进行业务数据交换，将采集到的数据存储在相应业务系统。如仅通过防火墙保护公安网络安全，则安全性只能得到有限的保证。首先，防火墙的安全程度依赖于操作系统的安全，一旦防火墙被攻破，则被保护网络暴露在攻击者的视线之内；其次，防火墙采用TCP/IP协议，通用的网络协议存在大量的漏洞；第三，作为网关型的访问控制设备，缺乏对应用层的检测能力，只要网络提供相应的服务，就需要在防火墙上开放相应的端口，服务类型越多，潜在的威胁就越大。因此，防火墙并不是在高安全等级的网络间实现隔离的最佳选择。,当用户的网络需要保证高强度的安全，同时又与其他不信任网络进行信息交换的情况下，如果采用物理隔离卡，则信息交换的需求将无法满足。在这种情况下，隔离网闸能够同时满足这两个要求，又避免了物理隔离卡和防火墙的不足之处，是物理隔离网络之间数据交换的最佳选择。网闸在国内的叫法很多，有叫“安全隔离网闸”的，有叫“物理隔离网闸”的，也有叫“安全隔离与信息交换系统”的，但都是为了实现在确保安全的前提下实现有限的数据交流。因为与防火墙“保证网络连通的前提下提供有限的安全策略”的设计理念截然不同，网闸并不适用于所有应用环境，而是只能在一些特定的领域进行应用。,防火墙不拆解数据包，只是做简单转发，对转发的数据包进行协议检查，若符合规则，则通过，否则丢掉，防火墙两边主机直接进行通信。网闸切断了内外主机之间的直接通信，连接是通过间接地与网闸建立内部连接而实现的，外部网络无法知道受保护网络的真实IP地址，也无法通过数据包的指纹对目标主机进行软件版本和操作系统的判断。通过网闸攻击者无法收集到任何有用的信息，从而无法展开有效的攻击行为。,16.2 安全隔离的原理16.2.1 安全隔离理论模型安全隔离的安全思路来自于“不同时连接”，如图16-1所示，不同时连接两个网络，近似于人工的“U盘摆渡”方式，通过一个中间缓冲区来“摆渡”业务数据。安全隔离的安全性来自于它摆渡的数据的内容清晰可见。安全隔离的设计是“代理+摆渡”。代理不是仅仅完成简单的协议转换或“隧道”式的外部封装，而是将整个数据包报文进行彻底的“拆卸”，把数据还原成原始的部分，拆除各种通信协议添加的包头和包尾，通信协议落地，用专用协议、单向通道技术、存储等方式阻断业务的连接，用代理方式支持上层业务。,(1) 摆渡：专有协议交换。只能按照专有的格式进行数据交换，任何数据必须经过分析、过滤，按照确定的方式进行交换。系统底层实现了专有信息传输，自动完成信息的转化和恢复。(2) 拆卸：数据分片重组。由于实现了协议和数据的分离，故系统只会传递静态纯数据。为了实现用户的透明访问，保障任意大小的数据块都能顺利传输，系统底层自动实现了数据文件按照交换区大小进行自动的分片传输。在系统另一侧，自动按照约定的专有协议进行数据重组，从而实现任意数据的交换。,图16-1 安全隔离模型图,16.2.2 网闸网闸是在两个不同安全域之间，通过协议转换的手段，以信息摆渡的方式实现数据交换，且只有被系统明确要求传输的信息才可以通过。其信息流一般为通用应用服务。在信息摆渡的过程中内外网(上下游)从不发生物理连接。第一代网闸利用单刀双掷开关使得内外网的处理单元分时存取共享存储设备来完成数据交换。安全原理是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果。第二代网闸吸取了第一代网闸的优点，利用专用交换通道(Private Exchange Tunnel，PET)技术，在不降低安全性的前提下能够完成内外网之间高速的数据交换，有效地克服了第一代网闸的弊端。第二代网闸的安全数据交换过程是通过专用硬件通信卡、私有通信协议和加密签名机制来实现的。,信息通过网闸传递需经过多个安全模块的检查，以验证被交换信息的合法性。当访问请求到达内外网主机模块时，首先由网闸实现TCP连接的终结，确保TCP/IP协议不会直接或通过代理方式穿透网闸；然后，内外网主机模块会依据安全策略对访问请求进行预处理，判断是否符合访问控制策略，并依据RFC或定制策略对数据包进行应用层协议检查和内容过滤，检验其有效载荷的合法性和安全性。一旦数据包通过了安全检查，内外网主机模块会对数据包进行格式化，将每个合法数据包的传输信息和传输数据分别转换成专有格式数据，存放在缓冲区等待被隔离交换模块处理。这种“静态”的数据形态不可执行，不依赖于任何通用协议，只能被网闸的内部处理机制识别及处理，因此可避免遭受利用各种已知或未知网络层漏洞的威胁。每一次数据交换，隔离设备都要经历数据的接收、存储和转发三个过程。,物理隔离的一个特征，就是内网与外网永不连接，内网和外网在同一时间最多只有一个与隔离设备建立非TCP/IP协议的数据连接。其数据传输机制是存储和转发。物理隔离的好处很明显，即使外网处在最坏的情况下，内网也不会有任何破坏，修复外网系统也非常容易。安全隔离与信息交换系统对数据的交换不依赖于任何通用协议，没有数据包的处理及连接会话的建立，而是以静态的专有格式化数据块的形式在内/外网间传递，因此不会受到任何已知或未知网络层漏洞的威胁。,如图16-2所示，网闸进行数据交换的步骤如下：(1) 切断网络之间的通用协议连接，当外网需要有数据到达内网时，外部处理单元发起对隔离设备的非TCP/IP协议的数据连接；(2) 隔离设备将所有的协议剥离，将数据包进行分解或重组为静态数据，写入存储介质；(3) 一旦数据完全写入隔离设备的存储介质，隔离设备立即中断与外部处理单元的连接，对静态数据进行安全审查，包括网络协议检查和代码扫描等；(4) 数据确认安全后，隔离设备发起对内部处理单元的非TCP/IP协议的数据连接，将存储介质内的数据推向内部处理单元；(5) 内部处理单元收到数据后，立即进行TCP/IP的封装和应用协议的封装，并交给应用系统。内部用户通过严格的身份认证机制获取所需数据。,图16-2 网闸原理图,通常，网闸为2U的专用网络设备，其内部采用“2+1”模块结构设计，即包括外网主机模块、内网主机模块和隔离交换模块。内网主机模块、外网主机模块具有独立运算单元和存储单元，分别连接可信及不可信网络，对访问请求进行预处理，以实现安全应用数据的剥离。隔离交换模块采用专用的双通道隔离交换卡实现，通过内嵌的安全芯片完成内网与外网主机模块间安全的数据交换。内网与外网主机模块间不存在任何网络连接，因此不存在基于网络协议的数据转发。隔离交换模块是内网与外网主机模块间数据交换的唯一通道，本身没有操作系统和应用编程接口，所有的控制逻辑和传输逻辑固化在安全芯片中，基于ASIC专用芯片技术及相应的时分多路隔离交换逻辑电路，不受主机系统控制，能独立完成应用数据的封包、摆渡、拆包，自主实现内网与外网数据的交换和验证。安全隔离网闸在完成常规的IP地址、协议类型、协议分析等检查后，还能在数据通过隔离交换矩阵封包之前进行数据内容的检查。在极端情况下，即使黑客攻破了外网主机模块，但由于无从了解隔离交换模块的工作机制，因此无法进行渗透，内网系统的安全仍然可以保障。,隔离交换模块固化控制逻辑，与内网和外网模块间只存在内存缓冲区的读写操作，没有任何网络协议和数据包的转发。隔离交换子系统采用互斥机制，在读写一端主机模块的数据前先中止对另一端的操作，确保隔离交换系统不会同时对内网与外网主机模块的数据进行处理，以保证在任意时刻可信网与非可信网间不存在链路层通路，实现网络的安全隔离。当内网与外网主机模块通过隔离交换模块接收到来自另一端的格式化数据，可根据本端的安全策略进行进一步的应用层安全检查。经检验合格后，进行逆向转换，将格式化数据转换成符合RFC标准的TCP/IP数据包，再将数据包发送到目的计算机，完成数据的安全交换。,网闸在过滤颗粒度方面会更加细致，做到了层层设防。在应用层提供身份认证、内容监测、病毒检测多种策略进行严格检测，各个厂家多支持根据特殊应用定制专用模块，在应用层上各个厂家的产品差距不大，提供的检测内容都基本相同。在传输层对IP端口进行限制，这和防火墙工作没有太多区别。网闸在IP层通过MAC绑定策略来提高安全性，最好的做法是在该层剥离了除ARP之外的所有协议，并限制了ARP的应答，使非授权主机根本无法获知网闸的存在。,通过专用通信设备、专有安全协议、加密验证机制及应用层数据提取和鉴别认证技术，进行不同安全级别网络之间的数据交换，彻底阻断网络间的直接TCP/IP连接，同时对网间通信的双方、内容、过程施以严格的身份认证、内容过滤、安全审计等多种安全防护机制，从而保证了网间数据交换的安全、可控，杜绝由于操作系统和网络协议自身漏洞带来的安全风险。,在检查区域中可部署虚拟机和多个操作系统，创造一个虚拟环境，将进入隔离区的数据和应用程序等在虚拟环境中激活，根据其行为特征判断是否存在窃密风险。这个技术主要用来应对加壳和加密的病毒，因为这两类病毒在执行时最终还是要自身脱壳和解密的，这样，杀毒软件就可以在其“现出原形”之后对其进行准确识别和处理。,总的来说，网闸具有以下特点：(1) 采用双主机系统，内端机与需要保护的内网连接，外端机与外网连接。这种双系统模式彻底将内网保护起来，即使外网被黑客攻击，甚至瘫痪，也无法对内网造成伤害。(2) 采用自定义私有通信协议，避免了通用协议存在的漏洞。(3) 采用专用硬件控制技术保证内网与外网之间没有实时连接。(4) 对外网的任何响应都保证是内网合法用户发出的请求应答，即被动响应，隔离网闸重点是保护内部网络的安全。隔离网闸通常布置在两个安全级别不同的两个网络之间，如信任网络和非信任网络，管理员可以从信任网络一方对安全隔离网闸进行管理。,16.2.3 数据交换网交换网络的模型来源于银行系统的Clark-Wilson模型，主要是通过业务代理与双人审计的思路保护数据的完整性。交换网络是在两个隔离的网络之间建立一个网络交换区域，负责数据的交换。交换网络的两端可以采用多重网关，也可以采用网闸。在交换网络内部采用监控、审计等安全技术，整体上形成一个立体的交换网安全防护体系。交换网络的核心是业务代理，客户业务要经过接入缓冲区的申请代理，到业务缓冲区的业务代理，才能进入生产网络。交换网络在防止内部网络数据泄密的同时，保证数据的完整性，即没有授权的人不能修改数据，防止授权用户错误的修改，并保证内外数据的一致性。,数据交换网技术在结构上类似于DMZ(非军事区)，如图16-3所示，在两个网络间建立一个缓冲地，让数据交换处于可控的范围之内。数据交换网技术比其边界安全技术有显著的优势：(1) 综合使用了安全网关与网闸，采用多层次安全防范；(2) 有了缓冲空间，可以增加安全监控与审计，用专家来对付黑客的入侵，边界处于可控制的范围内；(3) 业务代理保证数据完整性，也让外来的访问者止步于网络的交换区，所有的需求由服务人员提供，就像来访的人只能在固定的接待区洽谈业务，不能进入到内部的办公区一样。,图16-3 数据交换网,数据交换网技术针对的是大数据互通的网络互联，一般来说适合于下面的场合：(1) 要互通的业务数据量大，或有一定的实时性要求，人工、网闸方式效率低，网关方式的保护性不足。如银行银联系统、海关报关系统、社保管理系统、公安出入境管理系统、大型企业内部网络与Internet之间、公众图书馆系统等。这些系统的突出特点都是其数据中心极为重要，但又具有海量数据交换的需求，业务要求提供互联网的访问，在安全性与业务适应性的要求下，业务互联需要用完整的安全技术来保障，适合选择数据交换网方式。,(2) 高密级网络的对外互联。高密级网络一般涉及国家机密，信息不能泄漏是第一要素，也就是绝对不允许非授权人员的入侵。然而出于对公众信息的需求，或对大众网络与信息的监管，必须与非可信网络互联，若是监管之类的业务，业务流量也很大，并且实时性要求也高，在网络互联上也适合选择数据交换网技术。,16.2.4 通信交换和协议分析安全隔离网闸最初只支持文件交换功能(工作原理是模拟人工拷盘)，目前已经发展到具有数据库同步、数据库访问、邮件访问、安全Web访问、FTP访问等多种功能，能对HTTP、FTP、SMTP、POP3等通用协议进行内容检查。因为不少用户应用系统采用的都是自定义格式的私有协议，如果没有对安全隔离网闸实施二次开发，就无法对交换的数据内容进行过滤。这是因为私有协议的数据格式、数据内容等都没有公开，导致安全隔离网闸厂商无法定义出相应的数据内容检查规则，也就无法实现高安全的隔离交换控制。为了应对通用安全隔离网闸无法对私有协议进行数据内容检查的问题，安全隔离网闸厂商、用户以及相关的主管部门都在积极寻找相应对策，目前，主要有以下两种技术路线：,(1) 实现物理层数据单向传输，并强化用户认证功能。如通过国家电力调度通信中心的检测认证，在电力行业广泛应用的“单向横向安全隔离装置”，以及国家保密局正在认证、可以部署在电子政务中的“安全隔离与信息单向导入系统”等，但部署这些单向安全隔离网闸时，也需要将应用系统进行改造。另外，这些单向安全隔离网闸应用扩展能力差，只适合在特定行业内强制推行，无法应用于双向数据交换、应用复杂的网络环境。,(2) 与用户的具体应用相结合，在双向数据交换的网络环境下实现对交换数据内容的检查。当前，由于绝大部分用户的应用都需要进行双向数据传输，因此第二种技术路线将是安全隔离网闸发展的必由之路，按照第一种技术路线发展的单向安全隔离网闸，则会发展成为一类独立的安全产品。如图16-4所示为某安全隔离网闸数据检查流程图。网闸以自定义的、开放的应用检查接口(Application Checking Interface，ACI)为基础，不但支持内置的、面向通用应用协议(如HTTP、FTP等)的多种检查模块，还支持内容检查模块的扩展。用户可以根据需要来自行开发内容检查模块，并通过安全隔离网闸的Web管理界面上传至VSP操作系统，通过使用内容检查模块，用户可实现对基于私有协议的应用内容的数据格式、完整性、关键字、内容安全的检查。,图16-4 某安全隔离网闸数据检查流程图,16.3 应用模式和功能16.3.1 应用场所国家保密局对安全隔离与信息交换类产品的应用做了规定，规定安全隔离与信息交换系统在以下四种网络环境下应用：(1) 不同的内部网络之间；(2) 同一内部网络的不同安全域之间；(3) 与Internet物理隔离的网络与秘密级内部网络之间；(4) 未与内部网络连接的网络与Internet之间。,因此，安全隔离系统可适用于以下情况： (1) 内部网与非内部网之间。(2) 局域网与互联网之间。有些局域网络，特别是政府办公网络，涉及敏感信息，有时需要与互联网在物理上断开。(3) 办公网与业务网之间。由于办公网络与业务网络的信息敏感程度不同，为了提高工作效率，办公网络有时需要与业务网络交换信息。为解决业务网络的安全，比较好的办法就是在办公网与业务网之间使用安全隔离。(4) 电子政务的内网与专网之间。如图16-5所示，在电子政务系统建设中，要求政府内网与外网之间用逻辑隔离，在政府专网与内网之间用物理隔离。(5) 业务网与互联网之间。电子商务网络一边连接业务网络服务器，一边通过互联网连接广大民众。为了保障业务网络服务器的安全，在业务网络与互联网之间应实现物理隔离。,图16-5 电子政务的内网与专网之间部署网闸,16.3.2 内容安全过滤功能安全隔离系统应该能提供多种内容安全过滤与内容访问控制功能，既能有效地防止外部恶意软件进入内网，也能控制内网用户对外部资源不良内容的访问及敏感信息的泄漏。它包括HTTP、FTP、邮件及文件交换、URL过滤、关键字过滤、Cookie过滤、文件类型检查及病毒查杀等：(1) URL/域名过滤：可对用户访问的Web站点的域名及URL等进行基于正则表达式的过滤，禁止用户访问暴力、色情、反动的主页或站点中的特定目录或文件。,(2) 黑/白名单关键字过滤：可对邮件标题和内容以及传输的文件等进行黑/白名单关键字过滤，进行单词及短句的智能匹配，禁止包含特定关键字的敏感信息泄漏，或只允许包含相应关键字的文件通过网闸传递。(3) Cookie过滤：可对Cookie进行过滤。通过对Cookie进行过滤，可以防止敏感信息的泄漏。同时还可以防止用户进行浏览论坛、上网聊天等违反安全策略的操作。,(4) 文件类型检查：可对传输的文件进行类型检查，只允许符合安全策略的文件通过网闸传递。避免传输二进制文件可能带来的病毒和敏感信息泄露等问题。(5) 病毒及恶意软件检查：系统可内嵌杀病毒引擎，对允许传输的文件进行病毒的检查，确保进入可信网络的文件不包含病毒及Java/JavaScript/Active-X等恶意软件。,16.3.3 管理和审计功能典型的安全隔离系统应能够提供以下管理和审计功能：(1) 提供基于全中文Web方式的远程管理系统，方便用户移动管理，同时对管理员身份进行严格认证，支持基于HTTP的数字证书安全访问，对用户密码进行严格检查，防止出现弱密码，并对输入错误次数进行限定，保护管理员身份安全；(2) 提供本地串口登录管理功能，在远程管理失效或者遭受非法攻击等情况下，通过物理上接近系统，能够及时地进入并管理配置系统；,(3) 提供强大的日志和设计功能，支持SysLog等标准日志服务，支持对所有访问的日志记录功能，提供对本地日志信息的浏览、查询、排序、下载等多种审计手段，还支持对指定事件的多种报警方式，包括界面报警、邮件报警、手持移动设备短信报警等等。,