护的主要是内部网络,一旦支持交互式访问如支持建立会话,那么无法防止信息的泄漏以及内部系统遭受攻击,因此,安全隔离网闸不支持交互式访问。安全隔离网闸的主要性能指标 性能指标包括:系统数据交换速率:120mbps 硬件切换时间:5ms
安全隔离网闸通常具备的安全功能模块:安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证 。
三、安全隔离网闸与路由器、交换机在网络之间交换信息的差异
安全隔离网闸在网路间进行的安全适度的信息交换是在网络之间不存在链路层连接的情况下进行的。安全隔离网闸直接处理网络间的应用层数据,利用存储转发的方法进行应用数据的交换,在交换的同时,对应用数据进行的各种安全检查。路由器、交换机则保持链路层畅通,在链路层之上进行ip包等网络层数据的直接转发,没有考虑网络安全和数据安全的问题。
它由三个组件构成:a网处理机、b网处理机和gap开关设备。我们可以很清楚地看到连接两个网络的gap设备不能同时连接到相互独立的a网和b网中,即gap在某一时刻只与其中某个网络相连。gap设备连接a网时,它是与b网断开的,a网处理机把数据放入gap中;gap在接收完数据后自动切换到b网,同时,gap与a网断开;b网处理机从gap中取出数据,并根据合法数据的规则进行严格的检查,判断这些数据是否合法,若为非法数据,则删除它们。同理,b网也以同样的方式通过gap将数据安全地交换到a网中。从a网处理机往gap放入数据开始,到b网处理机从gap中取出数据并检查结束,就完成了一次数据交换。gap就这样在a网处理机与b网处理机之间来回往复地进行实时数据交换。在通过gap交换数据的同时,a网和b网依然是隔离的。
安全网闸是如何来保证在两个网络之间的安全性呢?首先,这两个网络一直是隔离的,在两个网络之间只能通过gap来交换数据,当两个网络的处理机或gap三者中的任何一个设备出现问题时,都无法通过gap进入另一个网络,因为它们之间没有物理连接;第二,gap只交换数据,不直接传输tcp/ip,这样避免了tcp/ip的漏洞;第三,任何一方接收到数据,都要对数据进行严格的内容检测和病毒扫描,严格控制非法数据的交流。gap的安全性高低关键在于其对数据内容检测的强弱。若不做任何检测,虽然是隔离的两个网络,也能传输非法数据、病毒、木马,甚至利用应用协议漏洞通过gap设备从一个网络直接进入另一个网络。那么gap的作用将大打折扣。
尽管作为物理安全设备,安全网闸提供的高安全性是显而易见的,但是由于其工作原理上的特性, 不可避免地决定了安全网闸存在一些缺陷:
a.只支持静态数据交换,不支持交互式访问
这是安全网闸最明显得一个缺陷。类似于拷盘在两台主机间交换数据,安全网闸的数据是以存储转发模式工作的,在数据链路层其网段的两边始终是中断的,在其三个组件的任何一个节点上交换的都必须是完整的应用层数据。因此,它不支持诸如动态web页面技术中的activex、java甚至是客户端的cookie技术,目前安全网闸一般只支持静态web页,邮件文件等静态数据的交换。
b.适用范围窄,必须根据具体应用开发专用的交换模块
由于数据链路层被忽略,安全网闸无法实现一个完整的iso/osi七层连接过程,所以安全网闸对所有交换的数据必须根据其特性开发专用的交换模块,而不是采用is0/osi七层模型提供的传统的层次封装的开放式编程接口。所以客户所能实现的数据交换类型均取决于产品提供商到底能提供多少种应用模块,甚至于要根据客户的要求临时开发各种应用模块,灵活性差,适用范围十分狭窄;
c.系统配置复杂,安全性很大程度上取决于网管员的技术水平
安全网闸采用由其主动发起数据请求的方式进行工作,它不会接受和响应其它主机主动发起的数据请求,也不对外提供任何服务。对于取到的数据还要进行一些病毒、木马过滤和安全性检查等一系列功能,这都需要网管员根据网络应用的具体情况加以判断和设置。如果设置不当,比如对内部人员向外部提交的数据不进行过滤而导致信息外泄等,都可能造成安全网闸的安全功能大打折扣。
d.结构复杂,实施费用较高
安全网闸的三个组件都必须为大容量存储设备,特别在支持多种应用的情况下,存储转发决定了必须采用较大的存储器来存储和缓存大量的交换数据。另外,安全网闸由于处在两个网段的结合部,具有网关的地位,一旦当机就会使两边数据无法交换,所以往往需要配置多台网闸设备作为冗余,使购置和实施费用不可避免地上升了;
e.技术不成熟,没有形成体系化
安全网闸技术是一项新兴的网络安全技术,尚无专门的国际性研究组织对其进行系统的研究和从事相关体系化标准的制定工作。对其工作原理的界定也很模糊,在国外,一些应用的比较多的安全网闸产品,比如国外的e-gap(whale公司)和air gap ag系列(spearhead公司),本质上它们是一种内容过滤型防火墙,由于支持交互式会话,严格意义上已经不属于物理隔离产品。国内的安全网闸成熟产品少,由于诸多原因,也并未得到充分推广;
f.可能造成其他安全产品不能正常工作,并带来瓶颈问题
安全性和易用性始终是一对矛盾,在已有的防火墙,vpn,aaa认证设备等安全设施的多重构架环境中,安全网闸产品的加入,使网络日趋复杂化,正常的访问连接越来越多的被各种不可见和不易见因素所干扰和影响,已经配置好的各种网络产品和安全产品,可能由于安全网闸的配置不当而受到影响。由于多重过滤的安全设施结构,安全网闸的加入使瓶颈问题更加突出。因为电子开关切换速率的固有特性和安
上一页 [1] [2] [3] 下一页