004 网闸【产品】

产品别名:安全隔离与信息交换系统。

1 产品概述

网闸是在两个不同安全域之间,通过协议转换的手段,以信息摆渡的方式实现数据交换,且只有被系统明确要求传输的信息才可以通过。其信息流一般为通用应用服务。当用户的网络需要保证高强度的安全,同时又与其它不信任网络进行信息交换的情况下,如果采用物理隔离卡,信息交换的需求将无法满足;如果采用防火墙,则无法防止内部信息泄漏和外部病毒、黑客程序的渗入,安全性无法保证。在这种情况下,隔离网闸能够同时满足这两个要求,又避免了物理隔离卡和防火墙的不足之处,是物理隔离网络之间数据交换的最佳选择。

假设我们把内外网用一条河隔离开,河两边的人就无法接触传递物品了,而我们在河中间设立一个摆渡人,驾着一艘小船帮助河两岸的人传递物品和信息,为了不耽误信息传递速度,我们把小船的传递速度设置成无限快,但是小船每个时间点上只能在岸的一边,这样就保证了两岸的人实现了物理隔离。而“摆渡”就是网闸的核心概念。

网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议"摆渡",且对固态存储介质只有"读"和"写"两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使"黑客"无法入侵、无法攻击、无法破坏,实现了真正的安全。

2 发展历史

第一代网闸

利用单刀双掷开关使得内外网的处理单元分时存取共享存储设备来完成数据交换的,实现了在空气缝隙隔离(Air Gap)情况下的数据交换,安全原理是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果。

第二代网闸

创造性地利用全新理念的专用交换通道PET(Private Exchange Tunnel)技术,在不降低安全性的前提下能够完成内外网之间高速的数据交换,有效地克服了第一代网闸的弊端,第二代网闸的安全数据交换过程是通过专用硬件通信卡、私有通信协议和加密签名机制来实现的,虽然仍是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全效果的,但却提供了比第一代网闸更多的网络应用支持,并且由于其采用的是专用高速硬件通信卡,使得处理能力大大提高,达到第一代网闸的几十倍之多,而私有通信协议和加密签名机制保证了内外处理单元之间数据交换的机密性、完整性和可信性,从而在保证安全性的同时,提供更好的处理性能,能够适应复杂网络对隔离应用的需求。

3 产品原理

切断网络之间的通用协议连接,将数据包进行分解或重组为静态数据,对静态数据进行安全审查,包括网络协议检查和代码扫描等,确认后的安全数据流入内部单元,内部用户通过严格的身份认证机制获取所需数据。

网闸实现两个相互业务隔离的网络之间的数据交换,通用的网闸模型设计一般分三个基本部分:

①内网处理单元

包括内网接口单元与内网数据缓冲区。接口部分负责与内网的连接,并终止内网用户的网络连接,对数据进行病毒检测、防火墙、入侵防护等安全检测后剥离出“纯数据”,作好交换的准备,也完成来自内网对用户身份的确认,确保数据的安全通道;数据缓冲区是存放并调度剥离后的数据,负责与隔离交换单元的数据交换。

②外网处理单元

与内网处理单元功能相同,但处理的是外网连接。

③隔离与交换控制单元

控制单元中包含一个数据交换区,就是数据交换中的摆渡船。对交换通道的控制的方式目前有两种技术,摆渡开关与通道控制。摆渡开关是电子倒换开关,让数据交换区与内外网在任意时刻的不同时连接,形成空间间隔GAP,实现物理隔离。通道方式是在内外网之间改变通讯模式,中断了内外网的直接连接,采用私密的通讯手段形成内外网的物理隔离。该单元中有一个数据交换区,作为交换数据的中转。 

在内外网处理单元中,接口处理与数据缓冲之间的通道,称内部通道1,缓冲区与交换区之间的通道,称内部通道2。对内部通道的开关控制,就可以形成内外网的隔离。模型中的用中间的数据交换区摆渡数据,称为三区模型;摆渡时,交换区的总线分别与内、外网缓冲区连接,也就是内部通道2的控制,完成数据交换。还有一种方式是取消数据交换区,分别交互控制内部通道1与内部通道2,形成二区模型。二区模型的数据摆渡分两次:先是连接内、外网数据缓冲区的内部通道2断开,内部通道1连接,内外网接口单元将要交换的数据接收过来,存在各自的缓冲区中,完成一次摆渡。然后内部通道1断开,内部通道2连接,内外网的数据缓冲区与各自的接口单元断开后,两个缓冲区连接,分别把要交换的数据交换到对方的缓冲区中,完成数据的二次摆渡。

三个单元都要求其软件的操作系统是安全的,也就是采用非通用的操作系统,或改造后的专用操作系统。一般为Unix BSD或Linux的变种版本,或者其他是嵌入式操作系统VxWorks等,但都要对底层不需要的协议、服务删除,使用的协议优化改造,增加安全特性,同时提高效率。

4 产品架构

典型的网闸由硬件设备和软件客户端组成,软件只能运行在特定的主机上,一般这样的主机被称为节点机。网闸设备内部由两台设备和专用的摆渡硬件组合而成,这两台设备可以称为接口机A和接口机B。两台接口机分别与外网和内网相通,但由于接口机取消了所有系统自带网络功能,例如ICMP和所有TCP等功能,使得内外网通常的网络用户不可能感知到网闸的存在,甚至普通的网络扫描也无法发现设备。只有节点机能通过预设的端口与网闸设备单向通信。接口机之间不采用TCP/IP 方式联通,而是通过特定的硬件卡或存储等方式构建一个数据交换区,实现数据的摆渡。

4.1 硬件架构

4.2 软件架构

5 产品部署

6 产品特色

安全隔离:“2+1”系统架构

即由两个主机系统和一个隔离交换矩阵组成,主机系统采用通用安全平台,隔离交换矩阵基于专用芯片实现主机系统间采用自有协议摆渡数据,确保信任网络和非信任网络之间任何连接的断开,彻底阻断 TCP/IP 协议及其他网络协议。

文件同步

文件同步功能采用格式检查、内容过滤、病毒检测、时间控制等多种安全策略实现安全、可控的数据交换。分为有客户端和无客户端两种部署方式, Windows、Lniux 等多种系统平台,一源多目的、多源一目的、多源多目的等多种应用环境,文件同步功能采用系统监控方式,可实时监控文件的 OPEN、CLOSE 状态,第一时间捕获变化的文件。文件同步应用时,部署于信任网络与非信任网络文件服务器之间,使用专用客户端时,专用客户端部署于文件服务器,实时监控文件的增量变化,获取数据后将数据加密传输至网闸设备,网闸将数据摆渡至接收端专用 File Clent,FileClent将数据写入目标 File Server。

数据库同步

主动到源 DB 中抓取变化数据,然后通过加密协议将数据发送至网闸设备,网闸设备将数据摆渡至接收端专用 DB Client,接收端专用 DB Client 将数据最终推送到目标 DB。一般支持 Oracle、SQL Server、Sybase、Db2 等主流数据库间单向和双向同步;可同构、异构同步;一对多,多对一同步;字段级的同步,具有条件同步等多种同步策略。

代理访问

网闸根据用户应用的特点,可提供专用代理服务模块,除支持 FTP、HTTP/HTTPS、SMTP、POP3 等多种常规应用协议外,还可根据用户需求提供私有协议代理开发功能。

当用户使用代理访问模块时,如启用 FTP 传输模块,网闸立刻开启 FTP 代理服务功能。下面以用户的 FTP 访问流程为例进行说明:

①建立连接

用户在客户端输入网闸内网口 IP 地址(普通代理)和用户名密码,网闸接到数据包后根据配置策略进行访问控制,网闸内网主机首先在网络层和传输层对用户的源 IP及目标 IP 和端口进行合规性检查,合规则进行数据还原,非合规则丢弃该包并向用户返回提示信息;然后数据还原至应用层,网闸内网主机按照 FTP 协议格式进行协议解析,对访问的用户名进行合规检查,合规则进行下一步操作,非合规则丢弃该包并向用户返回提示信息;最后网闸内网主机将数据按照网御私有协议进行数据封装,通过隔离交换部件摆渡到外网主机,外网主机按FTP协议进行还原,将请求发送到服务器,根据TCP/IP协议三次握手建立连接。

②请求数据

用户从服务器下载数据,如输入 mget a.doc,网闸内网主机收到数据包后进行协议解析,根据用户策略进行操作行为(命令)控制,检查用户是否具有下载(上传)的权限,如是否禁止了 GET 命令,如果合规,则将数据进行私有协议封装,安全摆渡至外网主机,外网主机进协议还原,将请求转发至目标服务器;否则丢弃该数据包并向用户返回提示信息。

③返回数据

目标服务器返回数据,网闸外网主机接收到数据包,进行协议解析,内容过滤等操作,如进行文件格式检查、文件大小控制等,合规则进行下一步操作,否则向用户返回提示信息;最后将合规数据按照私有协议进行封装,通过隔离交换部件将私有协议数据包安全摆渡至内网主机;内网主机对合规数据进行 FTP 协议还原,将数据返回至客户端;网闸通过接入访问控制、操作行为(协议命令)控制、内容过滤等三层“过滤网”,实现合法的终端、合法的用户访问指定的服务,通过指定的规则传输合规的内容,配合网闸的隔离交换部件,实现内外网安全隔离的同时,保证数据的安全摆渡。





你可能感兴趣的:(004 网闸【产品】)