今日頭條
官方微信
官方抖音
案例頻道
前言
隨著互聯(lián)網(wǎng)的日益普及,網(wǎng)絡(luò)安全也越來(lái)越受到人們的重視,尤其是對(duì)于企業(yè)和國(guó)家機(jī)關(guān)來(lái)講,網(wǎng)絡(luò)安全就更加的不可或缺。但是由于傳統(tǒng)的以防火墻為核心的安全體系結(jié)構(gòu)本身所固有的弱點(diǎn)以及新的黑客攻擊技術(shù)的發(fā)展,傳統(tǒng)結(jié)構(gòu)在很大程度上已經(jīng)無(wú)法滿足我們對(duì)于網(wǎng)絡(luò)安全的要求。
本文將介紹一種新的網(wǎng)絡(luò)安全解決方案――隔離網(wǎng)關(guān),以及凌華高速數(shù)字I/O卡PCI-7300A在其中的應(yīng)用。
網(wǎng)絡(luò)安全的現(xiàn)狀
目前,最為流行的網(wǎng)絡(luò)安全架構(gòu)是以防火墻為核心的網(wǎng)絡(luò)安全體系架構(gòu)。但事實(shí)證明這種安全防御體系并未能有效地防止目前所頻頻發(fā)生的網(wǎng)絡(luò)攻擊。
原因主要在于防火墻所采用的體系結(jié)構(gòu),我們可以把目前常見(jiàn)的防火墻分為這么幾種類型:1、包過(guò)濾(Packet Filter,包括靜態(tài)包過(guò)濾和動(dòng)態(tài)包過(guò)濾);2、電路網(wǎng)關(guān)(Circuit Level Gateway);3、應(yīng)用網(wǎng)關(guān)(Application Level Gateway)。
通過(guò)下面這張圖我們可以很清晰的了解到防火墻的架構(gòu)。
圖1 防火墻架構(gòu)
這樣我們可以對(duì)防火墻架構(gòu)得出下面的一些結(jié)論:
1、OSI的層號(hào)越高,防火墻所要檢測(cè)包的信息內(nèi)容就越多,安全性就越高,但同時(shí)相對(duì)的速度和效率就會(huì)越低,也就是我們必須在安全性和性能(速度、效率)上作一種平衡。
2、依賴于TCP/IP協(xié)議,而TCP/IP本身并沒(méi)有一些控制機(jī)制來(lái)保證安全性,多數(shù)的黑客攻擊都是利用了TCP/IP本身的漏洞。
3、防火墻的哲學(xué)是必須首先保證網(wǎng)絡(luò)的連通,這樣就必須開(kāi)放相應(yīng)的端口,如80端口、25端口等,對(duì)這些開(kāi)放端口的攻擊,防火墻不能防止。
新的思路:隔離
現(xiàn)在,人們已經(jīng)開(kāi)始意識(shí)到防火墻在網(wǎng)絡(luò)安全方面的局限性,隔離技術(shù)開(kāi)始進(jìn)入大家的視野。目前,最主要的解決方案有兩種:物理隔離和邏輯隔離。所謂物理隔離,就是阻斷內(nèi)網(wǎng)與外網(wǎng)的直接物理連接與邏輯連接,內(nèi)網(wǎng)與外網(wǎng)不會(huì)同時(shí)連接在隔離設(shè)備上,這樣雖然提高了安全性,但也提高了成本、降低了效率和易用性。因此,對(duì)于大多數(shù)用戶而言,邏輯隔離是最為合適的安全解決方案。
邏輯隔離保證安全的要點(diǎn)主要在于:
1、保證自身的高安全性,一般要求由兩套主機(jī)組成,一套控制外網(wǎng)接口,另一套控制內(nèi)網(wǎng)接口,然后在兩套主機(jī)系統(tǒng)之間通過(guò)不可路由的協(xié)議進(jìn)行數(shù)據(jù)交換,這樣,既便黑客攻破了外網(wǎng)系統(tǒng),仍然無(wú)法控制內(nèi)網(wǎng)系統(tǒng),就達(dá)到了更高的安全級(jí)別。
2、確保網(wǎng)絡(luò)間是隔離的,關(guān)鍵是網(wǎng)絡(luò)包不可路由到對(duì)方網(wǎng)絡(luò)。這也是和防火墻的最關(guān)鍵區(qū)別。
3、要保證傳遞的只是最原始的應(yīng)用層數(shù)據(jù),也就是必須通過(guò)協(xié)議分析,將應(yīng)用層數(shù)據(jù)提取,然后再進(jìn)行數(shù)據(jù)傳輸,保證傳輸?shù)臄?shù)據(jù)不具有攻擊的特性。
4、要在堅(jiān)持隔離的前提下保證網(wǎng)絡(luò)暢通,不能夠成為網(wǎng)絡(luò)交換的瓶頸。
下圖簡(jiǎn)單描述了邏輯隔離網(wǎng)關(guān)的體系架構(gòu)。
圖2 邏輯隔離網(wǎng)關(guān)的體系架構(gòu)
邏輯隔離技術(shù)的最關(guān)鍵點(diǎn)是選擇合適的硬件來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)間的數(shù)據(jù)交換,這種硬件應(yīng)該能夠保證高帶寬、交換數(shù)據(jù)的可靠性高、基于其的專用協(xié)議開(kāi)發(fā)方便等特點(diǎn)。
PCI-7300A是邏輯隔離網(wǎng)關(guān)的理想選擇
北京某網(wǎng)絡(luò)安全技術(shù)公司經(jīng)過(guò)市場(chǎng)調(diào)查,選擇了凌華的PCI-7300A開(kāi)發(fā)其隔離網(wǎng)關(guān)產(chǎn)品。PCI-7300A主要的特性有:
?高速,通過(guò)總線主控DMA可提供高達(dá)80MB/s的數(shù)據(jù)吞吐率
?具有靈活的握手方式,保證在高速數(shù)據(jù)傳輸時(shí)也不會(huì)丟失數(shù)據(jù)
?提供齊全的驅(qū)動(dòng)程序及完整的API支持,DLL執(zhí)行效率高,保證系統(tǒng)實(shí)時(shí)性
圖3:凌華PCI-7300A
客戶在開(kāi)發(fā)時(shí),外網(wǎng)服務(wù)器選用Linux操作系統(tǒng),進(jìn)一步降低因操作系統(tǒng)而引起安全性漏洞的可能性;而內(nèi)網(wǎng)服務(wù)器選擇Windows2000操作系統(tǒng),易用性更佳。在外網(wǎng)、內(nèi)網(wǎng)服務(wù)器各安裝一片PCI-7300A板卡,在此基礎(chǔ)上自行開(kāi)發(fā)了專有安全協(xié)議和加密驗(yàn)證機(jī)制及應(yīng)用層數(shù)據(jù)提取和鑒別認(rèn)證等方面的軟件,徹底阻斷了網(wǎng)絡(luò)間的直接TCP/IP連接,同時(shí)對(duì)網(wǎng)間通信的雙方、內(nèi)容、過(guò)程施以嚴(yán)格的身份認(rèn)證、內(nèi)容過(guò)濾、安全審計(jì)等多種安全防護(hù)機(jī)制,從而保證了網(wǎng)間數(shù)據(jù)交換的安全、可控,杜絕了由于操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議自身漏洞帶來(lái)的安全風(fēng)險(xiǎn)。同時(shí),PCI-7300A本身也提供較高的帶寬,保證了在加入隔離網(wǎng)關(guān)后整個(gè)網(wǎng)絡(luò)連接的通暢。
結(jié)論
由于防火墻本身的缺陷,邏輯隔離網(wǎng)關(guān)將成為相當(dāng)一段時(shí)間內(nèi)網(wǎng)絡(luò)安全產(chǎn)品的新熱點(diǎn)和發(fā)展趨勢(shì)。而PCI-7300A由于其所具有的高速、握手方式通訊、開(kāi)發(fā)程序簡(jiǎn)便等特點(diǎn),非常適合于在邏輯隔離網(wǎng)關(guān)中用作內(nèi)、外網(wǎng)服務(wù)器間的專用通訊設(shè)備。
北京市公安局海淀分局備案號(hào):11010802023656號(hào)