1、網閘及其原理簡介
網閘(GAP)全稱安全隔離網閘。網閘是在兩個不同安全域之間,通過協議轉換的手段,以資訊擺渡的方式實現資料交換,且只有被系統明確要求傳輸的資訊才可以通過。其資訊流一般為通用應用服務。網閘的“閘”字取自於船閘的意思,在資訊擺渡的過程中內外網(上、下游)從未發生物理連線,所以網閘產品必須要有至少兩套主機和一個物理隔離部件才可完成物理隔離任務。
網閘的基本原理是:切斷網路之間的通用協議連線;將資料包進行分解或重組為靜態資料;對靜態資料進行安全審查,包括網路協議檢查和程式碼掃描等;確認後的安全資料流入內部單元;內部使用者通過嚴格的身份認證機制獲取所需資料。
安全隔離網閘是一種由帶有多種控制功能專用硬體在電路上切斷網路之間的鏈路層連線,並能夠在網路間進行安全適度的應用資料交換的網路安全裝置。隔離網閘的硬體裝置由三部分組成:外部處理單元、內部處理單元、隔離硬體。
2、安全隔離的意義
當用戶的網路需要保證高強度的安全,同時又與其它不信任網路進行資訊交換的情況下,如果採用物理隔離卡,資訊交換的需求將無法滿足;如果採用目前最為流行的防火牆技術,則無法防止內部資訊的洩漏和外部病毒、程式設計師程式的滲入,安全性無法得到保證。在這種情況下,隔離網閘能夠同時滿足這兩個要求,又避免了物理隔離卡和防火牆的不足之處,是物理隔離網路之間資料交換的最佳選擇。
通常見到的'木馬大部分是基於TCP的,木馬的客戶端和伺服器端需要建立連線,而隔離網閘從原理實現上就切斷所有的TCP連線,包括UDP1CMP等其他各種協議,使各種木馬無法通過隔離網閘進行通訊,從而可以防止未知和已知的木馬攻擊。
3、網閘在資料下載系統中的應用
根據系統安全性設計原則,在內網外增加資料交換區域和與網際網路連線的資料接收區域,區域之間通過網閘進行網路安全隔離,在保護資訊保安的要求下實現內網與網際網路的安全互聯,基本達到資訊保安等級保護的三級要求。
資料接收系統由資料接收伺服器、出口防火牆、網閘、攻擊閘道器、入侵檢測裝置等構成,這裡的網閘選擇的是“2+1”的安全隔離網閘,該硬體裝置由三部分組成:外部處理單元、內部處理單元、隔離安全資料交換單元。安全資料交換單元不同時與內外網處理單元連線,為“2+1”的主機架構。隔離網閘採用安全隔離技術,建立一個內、外網物理斷開的環境。資料接收區從網際網路上獲取資料,經過篩選和格式轉化後儲存到本地進行惡意程式碼檢查,經過篩選後的資料通過網閘單向傳輸裝置擺渡到資料交換伺服器儲存,並進行不同惡意程式碼庫的程式碼檢查後傳輸至內網,供使用者使用。
本系統通過建立完善的安全體系,在網路、作業系統、應用和資料安全等層面上,為系統建立一套立體縱深的安全技術架構,以實現抵禦各個層面的攻擊,防止病毒和惡意程式碼入侵等功能,同事進行系統整體安全測試和安全加固,將漏洞風險降到最低。
在系統安全設計上堅持整體性原則、適應性及靈活性原則、易操作性原則和多重保護原則,應用縱深防禦策略,注重從區域性計算環境防止內部的威脅,從各種不同型別的邊界區域,聯合採用多種安全技術整體防禦外部威脅。採取減輕風險的技術途徑,儘可能加強安全防範手段,在整個方案中,網閘起到了至關重要的作用,是這個系統整體架構的核心組成部分,是所有資訊保安得到保證的關鍵所在。
4,結論
本方案從網路層、作業系統層、應用層及資料層等方面來對可能存在的安全隱患進行了分析,並有針對性的採取了相應的裝置設施,極大限度的降低了網路安全風險,通過使用網閘的單向傳輸特性,在保護資訊保安的前提下實現內網與網際網路的安全互聯。