ITPub博客

首页 > IT基础架构 > 网络安全 > [网络安全设备——物理隔离设备2]物理隔离网闸常见概念问题解答

[网络安全设备——物理隔离设备2]物理隔离网闸常见概念问题解答

原创 网络安全 作者:coolsword 时间:2006-04-18 09:46:55 0 删除 编辑

物理隔离网闸是硬件还是软件解决方案?

物理隔离网闸是不是防火墙的一种?

物理隔离网闸与物理隔离卡是不是一回事?

[@more@]

[网络安全设备——网闸2]物理隔离网闸常见概念问题解答

物理隔离网闸需要哪些“许可证”?
  答:根据我国计算机网络安全管理的规定,物理隔离网闸需要取得公安部、国家保密局和中国信息安全测评认证中心的安全产品的测评认证证书。在此基础上,进入军事领域,还需要军队测评认证中心的认证证书。

物理隔离网闸是硬件还是软件解决方案?  答:物理隔离网闸包含两个独立的主机系统和一套固态开关读写介质系统,属于硬件解决方案。但是物理隔离可以通过模块定制来满足行业个性化的需求。

物理隔离网闸是不是防火墙的一种?  答:物理隔离网闸不是防火墙的一种。就像路由器中也带有访问控制的功能一样,但路由器不是防火墙的一种。防火墙是检查设备;物理隔离网闸是隔离设备。防火墙的逻辑是在保证连接连通的情况下尽可能安全;物理隔离的逻辑则是如果不能保证安全的情况下则断开。

物理隔离网闸与物理隔离卡是不是一回事?  答:不是一回事。物理隔离卡是物理隔离的低级实现形式,一个物理隔离卡只能管一台个人计算机,甚至只可能在Windows环境下工作,每次切换都需要开关机一次。物理隔离网闸是物理隔离的高级实现形式,网闸可以管理整个网络,不需要开关机。网闸实现后,原则上不再需要物理隔离卡。

物理隔离网闸与安全隔离网闸是不是一回事?
  答:不是一回事。安全隔离是一种逻辑隔离,防火墙就是一种逻辑隔离,因此防火墙也是一种安全隔离。有些厂商对安全隔离增加了一些特点,如采用了双主机结构,但双主机之间却是通过包来转发的。无论双主机之间采用了多么严格的安全检查,但只要是包转发,就存在基于包的安全漏洞,存在对包的攻击。这在本质上同两个防火墙串联并无本质的差别。

安全隔离网闸存在哪些形式?
  答:从目前已经发现的安全隔离网闸,包括以下类型:通过串口或并口来实现双主机之间的包转发,通过USB或1394或firewire(火线)等方式来实现双主机之间的包转发,甚至是直接通过以太线来实现双主机之间的包转发,以及其他任何形式的通信方式来实现双主机之间的包转发如专用ASIC开关电路,ATM,Myrinet卡等,都是安全隔离网闸,但都不是物理隔离网闸。

怎么在技术上区分物理隔离网闸和安全隔离网闸?
  答:物理隔离网闸的主机之间,没有包转发,只有文件“摆渡”,没有协议存在,对固态介质只有读和写两个命令。安全隔离网闸的主机之间,是采用私有协议,专用协议,有的甚至是公有协议,来实现包转发,主机之间存在协议连接。

怎么在技术上区分物理隔离网闸和安全信息交换系统?
  答:安全信息交换系统,从物理特征上作判断,通过以太协议将三套主机按系统方式连接起来,主机之间的通信可能采用了专用协议,也可能是私有协议,具有较强的深度检查功能。

是不是有开关就是物理隔离网闸?
  答:不是。开关只是离散脉冲的概念,光有离散脉冲并不是物理隔离。只要采用了TCP/IP包的形式,IP包本身就是离散的,TCP可以控制保证在离散的基础上建立完整的连接。在FTP的应用中如断点续传技术就是一个例子,拨号上网掉线了,重新拨号,可以继续下载文件。通过开关将线路时断时通,并不妨碍物理的连接。如果没有TCP/IP协议,只是读写文件,断开则导致读写失败。因此,物理隔离必须建立在无协议的文件“摆渡”的基础上,这种情况下的开关才是物理隔离。

物理隔离网闸是指两个主机之间物理上是完全隔开的吗?
  答:不是。有些人认为,物理隔离是指两个主机之间没有物理连接,是空气断开的。两个主机之间物理上隔开,并不表示是物理隔离。例如,两个主机之间通过无线连网,尽管在物理上是断开的。两个主机是真空断开,也可能是连接的,如卫星通信。物理隔离网闸是指两个主机之间,没有基于物理的通信连接。

到底什么是物理隔离网闸?
  答:物理隔离网闸,是利用双主机形式,从物理上来隔离阻断潜在攻击的连接,其中包括一系列的阻断特征,如没有通信连接,没有命令,没有协议,没有TCP/IP连接,没有应用连接,没有包转发,只有文件“摆渡”,对固态介质只有读和写两个命令。其结果是无法攻击,无法入侵,无法破坏。

物理隔离网闸阻断了所有的连接,怎么交换信息?  答:计算机连网是为了信息交换和共享,但交换信息有很多种形式,连网只是其中的一种。在没有互联网的时代,信息照样交换。阻断了连接,完全可以通过其他形式来继续信息交换。大家比较能理解的方式,如从一台连网的计算机中,将数据拷贝复制,继续检查后,再拷贝复制到另外一台计算机中。其他的形式如复制(拷贝),数据摆渡,镜像,反射等。

应用代理也阻断了直接连接,也是物理隔离网闸吗?
  答:不是。应用代理确实阻断了网络的直接连接,但不是物理隔离。因为应用代理虽说阻断了直接连接,但两个连接共享在一个主机上,存在入侵的威胁。当黑客通过扫描代理主机的操作系统漏洞,通过入侵代理主机本身,以代理主机为跳板,就可以利用建立代理主机和内部主机的连接来进行攻击。物理隔离网闸,采用了双主机结构,两级主机之间是阻断隔离的,即使黑客能够攻破外部主机,也无法入侵和攻击内部主机。

物理隔离网闸可以抵抗哪些攻击?
  答:物理隔离网闸可以解决以下威胁:操作系统漏洞,入侵,基于TCP/IP漏洞的攻击,基于协议漏洞的攻击,木马,基于隧道的攻击,基于文件的攻击(可选)等。这些是互联网目前存在的绝大部分主要威胁。

物理隔离网闸是如何防止操作系统漏洞的?  答:双主机之间是物理阻断的,无连接的,因此,黑客不可能扫描内部网络的所有主机的操作系统漏洞,无法攻击内部,包括物理隔离网闸的内部主机。

物理隔离网闸是如何防止网络入侵的?  答:物理隔离网闸的主机之间,无法建立连接,无法入侵。

物理隔离网闸是如何抵抗基于TCP/IP漏洞的攻击的?
  答:物理隔离网闸的外部主机把TCP/IP协议全部剥离,以原始数据方式进行“摆渡”,因此,无法基于TCP/IP漏洞来进行攻击。同样,也无法基于UDP,ICMP,ARP等协议来进行攻击。

物理隔离网闸是如何抵抗基于协议漏洞的攻击的?  答:物理隔离网闸的外部主机,剥离了应用协议,以原始数据方式进行“摆渡”,因此,无法基于应用协议的漏洞来进行攻击。

物理隔离网闸是如何防止木马攻击的?
  答:物理隔离网闸阻断了网络的所有连接,因此,没有OSI模型的link层,没有TCP、UDP,ICMP,ARP等协议,等于把木马变成了死马,因此对木马攻击是免疫的,无论是已知的还是未知的木马。

物理隔离网闸是如何防止基于隧道的攻击?  答:因为没有连接,因此无法建立隧道攻击。

物理隔离网闸是如何防止基于文件的攻击?
  答:物理隔离网闸在理论上是完全可以防止基于文件的攻击,如病毒等。病毒一般依附在高级文件格式上,低级文件格式则不会有病毒,因此进行文件“摆渡”的时候,可以限制文件的类型,如只有文本文件才可以通过“摆渡”,这样就不会有病毒。但用户有时候会不方便,因此,定义为可选。另外一种方式,是剥离重组方式。剥离高级格式,就消除了病毒的载体,重组后的文件,不会再有病毒。这种方式会导致效率的下降,一些潜在的危险的格式可能会被禁止,导致一些不方便,因此是可选。

物理隔离网闸是中国特有的吗?
  答:不是。美国,以色列,俄罗斯等国家很早就规定涉密网络要采用物理隔离。俄罗斯的Ry Jones,以色列的Buky Carmeli,Elad Baron,Daniel Steiner等人都是该领域的先驱,后者现在美国开公司。目前最大的物理隔离公司当属美国的Whalecommunications公司,Spearhead公司也不小。

物理隔离网闸有哪些政策规定?
  答:根据我国2000年1月1日起颁布实施的《计算机信息系统国际联网保密管理规定》第二章保密制度第六条的规定,"涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相连接,必须实行物理隔离"。涉密网络必须在物理隔离的基础上实现WWW浏览和自由收发E-mail。各级政府机关和涉密单位,必须将已建成的办公局域网同Internet或上一级专网实行物理隔离,正在建设的电子政务网络必须实现物理隔离。
除了党政军外,电力、铁道、金融、银行、证券、保险、税务、海关、水利、交通、民航、社保、石化等行业部门,要求在物理隔离的条件下实现安全的数据库数据交换。如国家经贸委令第30号《电网和电厂计算机监控系统及调度数据网络安全防护规定》,建立健全电力调度系统信息安全防护体系,将电网和电厂计算机监控系统与管理信息系统及办公自动化系统有效隔离,将调度专用数据网络与综合信息网络及外部因特网物理隔离,确保电网调度通讯系统安全、畅通。又如中国证监会颁布的《证券经营机构营业部信息系统技术管理规范》要求,采用硬三层网络结构,内、外网物理隔离,实现证券营业部行情网、交易网和办公网的隔离,系统安全,保密性高。其他行业和部门纷纷颁布建设规范和管理办法,要求使用物理隔离。

物理隔离网闸的速度很慢?  答:错。由于一些厂商在实现技术上的问题,很多人误以为物理隔离网闸的速度很慢。其实不是,目前有些厂商的物理隔离的开关速度在理论上可以达到5120M的速度(5G)。为什么物理隔离的速度反而快了?因为没有复杂的协议,没有协议所带来的额外开销

物理隔离网闸一定要采用专用开关集成电路吗?
答:不是。在开关的实现中,最直接的办法是采用专用开关集成电路,直接控制总线方式。由于受我国芯片制造业的水平限制,性能和质量很难保证,送到外国生产则必须交出电路设计,又担心安全问题。另外一个问题是专用芯片的批量生产和价格问题,在美国也很难解决这个问题。目前美国的物理隔离网闸厂商,采用专用开关芯片的也不多。
物理隔离网闸是如何利用SCSI来实现开关技术的?
答:首先,SCSI不是一个通信协议,而是一个用于主机向存储外设读写的协议。通过两个主机连接一个存储设备,如下图:

中间的固态存储介质,不是采用文件系统方式,而是采用块方式(Block)。外部主机可以向固态存储介质发起读和写的请求,内部主机也可以向固态存储介质发起读和写的请求,但固态存储介质每次只受理一个。固态存储介质本身不可以向主机发起连接请求。因此,外部主机和内部主机不会发生连接,只能通过固态存储介质进行摆渡。这就具备了一个简单的开关原理。在实际的技术中要复杂得多,厂商要解决存在的时钟问题,效率问题,同步问题,可靠性问题,阻塞问题等一系列问题,才可能实现基于SCSI的开关技术。由于SCSI连接不存在任何上层协议的编程接口,仅只有读/写的功能,能够很好地阻挡任何上层通信协议包括TCP/IP,并具有很高的可靠性和稳定性。因此,在操作系统核心层中通过SCSI技术实现主机之间的开关设计在国际上非常流行,也是主流趋势。
物理隔离网闸可以采用USB,火线和以太来实现软开关吗?
答:不可以。USB,火线和以太线,都是通信协议,这在安全性上与防火墙无异。由于USB方式、火线方式和以太方式很容易增加编程接口,如加载TCP/IP,可能受某些软件编程控制,不能有效和彻底地中断TCP/IP和应用服务。基于上述介质实现的通断(有厂商宣称是软开关)不是物理隔离网闸所要求的开关。线路有通断,并不就是物理隔离。(详见物理隔离网闸常见概念问题解答)

为什么SCSI可以,而USB、火线和以太就不行?答:要说集成电路开关,大家比较容易接受。而SCSI也是线,USB,火线和以太也是线,为什么SCSI可以,而其他的就不行?原因很简单,SCSI不是通信协议,是文件读写协议,SCSI线和固态存储介质作为一个系统来实现开关原理。USB,火线和以太都是通信协议,两个主机相连,已经不具备物理隔离网闸要求的隔离特性和安全特性。

物理隔离网闸的开关的速度很慢吗?
答:不慢。一个33Mhz的32bit的总线bus的PCI能提供的带宽为132MB/s,即1056Mbit/s。一个66Mhz的64bit的总线的PCI能提供的带宽为528MB/s,即4224Mbit/s。采用双通道的320MB/s的SCSI,可以取得的总带宽为640MB/s,即5120Mbit/s。5G带宽应该足够了。

物理隔离网闸工作在OSI模型的那一层?
答:所有的七层都工作。

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/1034/viewspace-828146/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论

注册时间:2008-06-10

  • 博文量
    45
  • 访问量
    1190565