網閘是在兩個不同安全域之間,通過協議轉換的手段,以信息擺渡的方式實現數據交換,且只有被系統明確要求傳輸的信息纔可以通過。其信息流一般爲通用應用服務。網閘的“閘”字取自於船閘的意思,在信息擺渡的過程中內外網(上下游)從未發生物理連接,所以網閘產品必須要有至少兩套主機和一個物理隔離部件纔可完成物理隔離任務。現在市場上出現的的單主機網閘或單主機中有兩個及多個處理引擎的過濾產品不是真正的網閘產品,不符合物理隔離標準。其只是一個包過濾的安全產品,類似防火牆。網閘技術是模擬人工拷盤的工作模式,通過電子開關的快速切換實現兩個不同網段的數據交換的物理隔離安全技術。網閘技術在安全技術領域源於被稱之爲GAP,又稱爲Air Gap的安全技術,它本意是指由空氣形成的用於隔離的縫隙。在網絡安全技術中,主要指通過專用的硬件設備在物理不連通的情況下,實現兩個獨立網絡之間的數據安全交換和資源共享。下面賢集網小編來爲大家介紹網閘和防火牆的區別、網閘主要特點、網閘技術要求及網閘常見問題解答。一起來看看吧!
網閘和防火牆的區別
1、應用場景區別
網閘和防火牆的應用場景是不同的
防火牆:網絡已經存在考慮安全問題上防火牆,但首先要保證網絡的連通性,其次纔是安全問題
網閘:網閘是保證安全的基礎上進行數據交換,網閘是兩個網絡已經存在,現在兩個網絡不得不互聯,互聯就要保證安全,網閘是現在唯一最安全的網絡邊界安全隔離的產品,只有網閘這種產品才能解決這個問題,所以必須用網閘。
2、硬件區別
防火牆是單主機架構,早期使用包過濾的技術,網閘是雙主機2+1架構,通過私有的協議擺渡的方式進行數據交換,基於會話的檢測機制,由於網閘是雙主機結構,即使外網端被攻破,由於內部使用私有協議互通,沒辦法攻擊到內網,防火牆是單主機結構,如果被攻擊了,就會導致內網完全暴露給別人。
圖1:防火牆單主機架構
圖2:網閘雙主機2+1架構
3、功能區別
網閘主要包含兩大類功能訪問類功能和同步類功能,訪問類功能類似於防火牆,網閘相對於防火牆安全性更高的是同步類功能。
(1)訪問類功能
代理模式:
目前認爲代理模式是最安全的模式,但是防火牆不支持代理模式,網閘是支持代理模式的,所以防火牆是不能用在涉密和非涉密網的安全隔離的,網閘是可以的。
圖3:代理模式舉例
(2)同步類功能
文件同步和數據庫同步:
防火牆的工作原理,放在網絡中間,源端發起訪問,目的端被訪問,防火牆收到判斷一下,給你轉過去,網閘的工作原理,我主動抓取放到另外一側,兩側都是文件或數據庫服務器,這個過程終端不知道網閘的存在,因爲對外沒有開放端口,安全性更高,防火牆的端口是對外開放的。
網閘主要特點
1、安全高效的體系架構
安全隔離與信息交換系統採用“2+1”模塊結構設計,即包括外網主機模塊、內網主機模塊和隔離交換模塊。內、外網主機模塊具有獨立運算單元和存儲單元,分別連接可信及不可信網絡,對訪問請求進行預處理,以實現安全應用數據的剝離。隔離交換模塊採用專用的雙通道隔離交換卡實現,通過內嵌的安全芯片完成內外網主機模塊間安全的數據交換。內外網主機模塊間不存在任何網絡連接,因此不存在基於網絡協議的數據轉發。
2、專用的隔離交換模塊
網閘產品核心部件爲隔離交換模塊,安全隔離與信息交換系統隔離交換模塊基於專用安全芯片設計,全硬件交換;消除性能瓶頸;從可信網到非可信網的數據流與從非可信網到可信網的數據流採用不同的數據通道,對通道的分離控制保證各通道的傳輸方向可控。
3、操作系統安全可靠
內外網主機模塊應採用自主安全可靠的操作系統。
4、強大的網絡適應能力
網閘針對不同的軟件模塊具有多種部署方式,支持代理方式、透明方式等多種部署方式,可以根據用戶網絡的特殊性採用不同的實現方式進行靈活部署。
5、深度應用層解析過濾能力
網閘針對HTTP協議、FTP協議、POP3協議、SMTP協議、TNS協議等多種應用層協議進行深度解析及過濾,滿足用戶安全性需求。
6、深度應用層攻擊防禦能力
網閘具有防病毒功能模塊,針對文件交換模塊、FTP訪問模塊、安全瀏覽模塊、郵件訪問模塊具有防病毒功能,支持本地升級及遠程升級。網神網閘具有入侵檢測功能,可對網頁攻擊、緩衝區溢出攻擊、後門/木馬、P2P、病毒/蠕蟲、拒絕服務攻擊、掃描類攻擊等多種攻擊類型進行實時檢測並記錄日誌。
7、強大的網絡適應能力
網閘具有多種功能模塊,用戶可以根據網絡需求選用相應的功能模塊;網閘每種功能模塊具有多種實現方式,用戶可以根據網絡需求選用相應的實現方式。如:文件交換模塊支持FTP、SMB、NFS等多種文件傳輸協議,支持無客戶端方式及有客戶端方式等;網閘雙機熱備、負載均衡功能通訊接口可以設置爲HA接口、網絡接口等,支持宕機切換、抜線切換,支持ping、connect等多種主動鏈路探測,可以適應各種複雜的雙機及負載網絡環境需求;
8、豐富的應用模塊
安全隔離與信息交換系統採用模塊化的系統結構設計,根據不同的應用環境,量身定製多個功能模塊,以滿足用戶的不同需求。
9、網閘技術要求
網閘用於數據採集網絡到辦公網絡的數據傳送,在保證儀表數據正常採集傳輸的同時保證數據採集網絡與辦公網絡的有效隔離。網閘設置在辦公網核心附近,電解數據採集網絡核心和炭素數據採集網絡核心分別通過千兆網絡連接到網閘的內網接口,網閘的外網接口連接到辦公網核心。
10、網閘產品廠家需要具備以下資質:
①公安部計算機信息系統安全專用產品銷售許可證(三級以上)及公安部計算機信息系統安全產品質量監督檢驗中心檢驗報告(三級以上);
②國家保密局涉密信息系統產品檢測證書;
③國家密碼管理局密碼檢測證書;
④國家電網公司EMC檢測認證;
⑤DTP物理隔離通道系統證書;
⑥解放軍軍用信息安全產品認證證書(軍C以上)級;
⑦國家信息安全產品3C證書(三級以上)。
網閘常見問題解答
1、問題:網閘是什麼設備?
解答:網閘是一種由專用硬件在電路上切斷網絡之間的鏈路層連接,能夠在物理隔離的網絡之間進行適度的安全數據交換的網絡安全設備。
2、問題:網閘是硬件設備還是軟件設備?
解答:網閘是由軟件和硬件組成的設備。
3、問題:網閘硬件設備是由幾部分組成?
解答:網閘的硬件設備由三部分組成:外部處理單元、內部處理單元、隔離硬件。
4、問題:單向傳輸用單主機網閘可以嗎?
解答:網閘的組成必須是由物理的三部分組成,所以單主機(包括多處理器)的安全產品並不是網閘產品,無法完成物理隔離任務。其所謂的單向傳輸只是基於數據包的過濾,類似防火牆產品,並不是物理隔離產品。
5、問題:爲什麼要使用網閘?
解答:當用戶的網絡需要保證高強度的安全,同時又與其它不信任網絡進行信息交換的情況下,如果採用物理隔離卡,信息交換的需求將無法滿足;如果採用防火牆,則無法防止內部信息泄漏和外部病毒、黑客程序的滲入,安全性無法保證。在這種情況下,網閘能夠同時滿足這兩個要求,又避免了物理隔離卡和防火牆的不足之處,是物理隔離網絡之間數據交換的最佳選擇。
6、問題:政府機關上網計算機爲什麼必須內外網物理隔離?
解答:在政府建立內部網的工程中,安全保密問題一直是工程建設的重點內容,這是因爲內部網中的信息常常是涉密或內部信息。爲此,國家明確規定涉及國家祕密的計算機信息系統,不得直接或間接地與國際互聯網或其它公共信息網絡相聯接,必須實行物理隔離,以確保國家祕密的安全。
7、問題:爲什麼說網閘能夠防止未知和已知木馬攻擊?
解答:通常見到的木馬大部分是基於TCP的,木馬的客戶端和服務器端需要建立連接,而網閘從原理實現上就切斷所有的TCP連接,包括UDP、ICMP等其他各種協議,使各種木馬無法通過網閘進行通訊。從而可以防止未知和已知的木馬攻擊。
8、問題:網閘能取代防火牆嗎?
解答:無論從功能還是實現原理上講,網閘和防火牆是完全不同的兩個產品,防火牆是保證網絡層安全的邊界安全工具(如通常的非軍事化區),而網閘重點是保護內部網絡的安全。因此兩種產品由於定位的不同,因此不能相互取代。
9、問題:網閘通常佈置在什麼位置?
解答:網閘通常佈置在兩個安全級別不同的兩個網絡之間,如信任網絡和非信任網絡,管理員可以從信任網絡一方對網閘進行管理。
10、問題:網閘是否可以在網絡內部使用?
解答:可以,網絡內部安全級別不同的兩個網絡之間也可以安裝網閘進行隔離。
11、問題:如果對應網絡七層協議,網閘是在哪一層斷開?
解答:如果針對網絡七層協議,網閘是在硬件鏈路層上斷開。
12、問題:有了防火牆和IDS,還需要網閘嗎?
解答:防火牆是網絡層邊界檢查工具,可以設置規則對內部網絡進行安全防護,而IDS一般是對已知攻擊行爲進行檢測,這兩種產品的結合可以很好的保護用戶的網絡,但是從安全原理上來講,無法對內部網絡做更深入的安全防護。網閘重點是保護內部網絡,如果用戶對內部網絡的安全非常在意,那麼防火牆和IDS再加上網閘將會形成一個很好的防禦體系。
13、問題:網閘適用於什麼樣的場合?
解答:第①種場合:涉密網與非涉密網之間。
第②種場合:局域網與互聯網之間。有些局域網絡,特別是政府辦公網絡,涉及敏感信息,有時需要與互聯網在物理上斷開,用物理網閘是一個常用的辦法。
第③種場合:辦公網與業務網之間
由於辦公網絡與業務網絡的信息敏感程度不同,例如,銀行的辦公網絡和銀行業務網絡就是很典型的信息敏感程度不同的兩類網絡。爲了提高工作效率,辦公網絡有時需要與業務網絡交換信息。爲解決業務網絡的安全,比較好的辦法就是在辦公網與業務網之間使用物理網閘,實現兩類網絡的物理隔離。
第④種場合:電子政務的內網與專網之間
在電子政務系統建設中,要求政府內網與外網之間用邏輯隔離,在政府專網與內網之間用物理隔離。現常用的方法是用物理網閘來實現。
第⑤種場合:業務網與互聯網之間
電子商務網絡一邊連接着業務網絡服務器,一邊通過互聯網連接着廣大民衆。爲了保障業務網絡服務器的安全,在業務網絡與互聯網之間應實現物理隔離。
雖然,網閘使用很廣泛,但是它也存在一定的缺陷,首先技術不成熟,沒有形成體系化。網閘技術是一項新興的網絡安全技術,尚無專門的國際性研究組織對其進行系統的研究和從事相關體系化標準的制定工作。對其工作原理的界定也很模糊,在國外,一些應用的比較多的網閘產品,比如國外的e-Gap(Whale公司)和Air Gap AG系列,本質上它們是一種內容過濾型防火牆,由於支持交互式會話,嚴格意義上已經不屬於物理隔離產品。國內的網閘成熟產品少,由於諸多原因,也並未得到充分推廣。其次可能造成其他安全產品不能正常工作,並帶來瓶頸問題,安全性和易用性始終是一對矛盾,在已有的防火牆,VPN,AAA認證設備等安全設施的多重構架環境中,網閘產品的加入,使網絡日趨複雜化,正常的訪問連接越來越多的被各種不可見和不易見因素所幹擾和影響,已經配置好的各種網絡產品和安全產品,可能由於網閘的配置不當而受到影響。由於多重過濾的安全設施結構,網閘的加入使瓶頸問題更加突出。因爲電子開關切換速率的固有特性和安全過濾內容功能的複雜化,目前網閘的交換速率已接近該技術的理論速率極限,可以預見在不久的將來,隨着高速網絡技術的發展,網閘在交換速率上的問題將會成爲阻礙網絡數據交換的重要因素。