今日頭條
官方微信
官方抖音
案例頻道
前言
隨著互聯網的日益普及,網絡安全也越來越受到人們的重視,尤其是對于企業和國家機關來講,網絡安全就更加的不可或缺。但是由于傳統的以防火墻為核心的安全體系結構本身所固有的弱點以及新的黑客攻擊技術的發展,傳統結構在很大程度上已經無法滿足我們對于網絡安全的要求。
本文將介紹一種新的網絡安全解決方案――隔離網關,以及凌華高速數字I/O卡PCI-7300A在其中的應用。
網絡安全的現狀
目前,最為流行的網絡安全架構是以防火墻為核心的網絡安全體系架構。但事實證明這種安全防御體系并未能有效地防止目前所頻頻發生的網絡攻擊。
原因主要在于防火墻所采用的體系結構,我們可以把目前常見的防火墻分為這么幾種類型:1、包過濾(Packet Filter,包括靜態包過濾和動態包過濾);2、電路網關(Circuit Level Gateway);3、應用網關(Application Level Gateway)。
通過下面這張圖我們可以很清晰的了解到防火墻的架構。
圖1 防火墻架構
這樣我們可以對防火墻架構得出下面的一些結論:
1、OSI的層號越高,防火墻所要檢測包的信息內容就越多,安全性就越高,但同時相對的速度和效率就會越低,也就是我們必須在安全性和性能(速度、效率)上作一種平衡。
2、依賴于TCP/IP協議,而TCP/IP本身并沒有一些控制機制來保證安全性,多數的黑客攻擊都是利用了TCP/IP本身的漏洞。
3、防火墻的哲學是必須首先保證網絡的連通,這樣就必須開放相應的端口,如80端口、25端口等,對這些開放端口的攻擊,防火墻不能防止。
新的思路:隔離
現在,人們已經開始意識到防火墻在網絡安全方面的局限性,隔離技術開始進入大家的視野。目前,最主要的解決方案有兩種:物理隔離和邏輯隔離。所謂物理隔離,就是阻斷內網與外網的直接物理連接與邏輯連接,內網與外網不會同時連接在隔離設備上,這樣雖然提高了安全性,但也提高了成本、降低了效率和易用性。因此,對于大多數用戶而言,邏輯隔離是最為合適的安全解決方案。
邏輯隔離保證安全的要點主要在于:
1、保證自身的高安全性,一般要求由兩套主機組成,一套控制外網接口,另一套控制內網接口,然后在兩套主機系統之間通過不可路由的協議進行數據交換,這樣,既便黑客攻破了外網系統,仍然無法控制內網系統,就達到了更高的安全級別。
2、確保網絡間是隔離的,關鍵是網絡包不可路由到對方網絡。這也是和防火墻的最關鍵區別。
3、要保證傳遞的只是最原始的應用層數據,也就是必須通過協議分析,將應用層數據提取,然后再進行數據傳輸,保證傳輸的數據不具有攻擊的特性。
4、要在堅持隔離的前提下保證網絡暢通,不能夠成為網絡交換的瓶頸。
下圖簡單描述了邏輯隔離網關的體系架構。
圖2 邏輯隔離網關的體系架構
邏輯隔離技術的最關鍵點是選擇合適的硬件來實現網絡間的數據交換,這種硬件應該能夠保證高帶寬、交換數據的可靠性高、基于其的專用協議開發方便等特點。
PCI-7300A是邏輯隔離網關的理想選擇
北京某網絡安全技術公司經過市場調查,選擇了凌華的PCI-7300A開發其隔離網關產品。PCI-7300A主要的特性有:
?高速,通過總線主控DMA可提供高達80MB/s的數據吞吐率
?具有靈活的握手方式,保證在高速數據傳輸時也不會丟失數據
?提供齊全的驅動程序及完整的API支持,DLL執行效率高,保證系統實時性
圖3:凌華PCI-7300A
客戶在開發時,外網服務器選用Linux操作系統,進一步降低因操作系統而引起安全性漏洞的可能性;而內網服務器選擇Windows2000操作系統,易用性更佳。在外網、內網服務器各安裝一片PCI-7300A板卡,在此基礎上自行開發了專有安全協議和加密驗證機制及應用層數據提取和鑒別認證等方面的軟件,徹底阻斷了網絡間的直接TCP/IP連接,同時對網間通信的雙方、內容、過程施以嚴格的身份認證、內容過濾、安全審計等多種安全防護機制,從而保證了網間數據交換的安全、可控,杜絕了由于操作系統和網絡協議自身漏洞帶來的安全風險。同時,PCI-7300A本身也提供較高的帶寬,保證了在加入隔離網關后整個網絡連接的通暢。
結論
由于防火墻本身的缺陷,邏輯隔離網關將成為相當一段時間內網絡安全產品的新熱點和發展趨勢。而PCI-7300A由于其所具有的高速、握手方式通訊、開發程序簡便等特點,非常適合于在邏輯隔離網關中用作內、外網服務器間的專用通訊設備。
北京市公安局海淀分局備案號:11010802023656號