关于网络安全新技术研究

摘要：目前，宽带网的普及，业界电子商务的开展，海量的网络信息，日趋丰富的网络功能使得“网上办公”条件已经成熟。随着我国电子政务的进一步发展，政府对企事业单位的管理将更多地从网络上进行，因此企业办公将不再局限于传统模式，而是将内部办公计算机通过局域网连接起来，形成信息化办公的群体效益，而企业内部网络搭上Internet互联网这个信息高速直通车后，使得信息交换传递更加快捷及时，现代办公已经发展到办公信息化的时代。然而随着信息化在我国的不断深入与发展，网络安全问题也日益成为我们关注的焦点。

关键词：网络隔离； 防火墙；局域网；网络安全

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)31-0857-03

A Research on the New Technology about Network Security

JIN Bao-zhuang

(Liaoning University of International Business and Economics, Dalian 116052, China)

Abstract: At present, the popularity of broadband, e-commerce industry to carry out, the mass of information networks, the increasing wealth of features makes the network, "the network" conditions are ripe. Along with the further development of e-government, the Government of the management of enterprises and institutions will be more from the networks, the business office will no longer be confined to the traditional model, but internal office local area network through a computer link up to form Information Office of the effectiveness of groups, and the internal network to catch a high-speed Internet information through the Internet, allows the exchange of information faster and more timely delivery, the office has been the development of modern information technology to the office of the times. However, with the information technology in China continued to deepen and development, network security issues are increasingly becoming the focus of our attention.）

Key words: network isolation; firewall; LAN; network security

1 前言

随着Internet的飞速发展以及我国政府信息化为代表的电子政务的蓬勃发展，宽带网已经得到普及，业界电子商务的开展，海量的网络信息，日趋丰富的网络功能使得“网上办公”条件已经成熟。，办公信息化带来了办公效率质的飞跃，但办公信息化的安全，特别是内部办公网络的安全问题，也极大地引起人们的关注和思考。信息安全性要求和政府办公效率问题一度使人们陷入两难境地。2000年1月1日起正式实施的《计算机信息系统国际联网保密管理规定》中更是明确规定：“凡涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或者其他公共信息网络相连接，必须实行物理隔离”。

2 网络隔离技术简介

2.1 网络隔离技术的发展历程

最早研究网络隔离技术的国家有美国、以色列和俄罗斯，我国提出物理隔离是在20世纪90年代的中后期。网络隔离概念最早是国外军方以“物理隔离”提出来的，不过直到现在，也没有完整的关于网络隔离技术的定义和标准，现在一般称之为“GAP Technology”，意为网络隔离。

网络隔离技术的发展到目前为止经历了以下五个发展阶段：

1) 完全的物理隔离。内部网络与外部网络为两套网络，它们之间完全的物理隔离。

2) 硬件隔离卡隔离。在客户端增加一块硬件卡，客户端硬盘或其他存储设备首先连接到该卡，然后再转接到主板上，通过该卡能控制客户端硬盘或其他存储设备。

3) 数据转移隔离。利用转移系统分时复制文件的途径来实现隔离。

4) 空气开关隔离。通过使用单刀双掷开关，使得内外部网络分时访问临时缓存器来完成数据交换的。

5) 安全通道隔离。通过专用通信硬件和私有不可路由协议等安全机制来实现内外部网络的隔离和数据交换，不仅解决了以前隔离技术存在的问题，并有效地把内外部网络隔离开来，而且高效地实现了内外网数据的安全交换，透明支持多种网络应用，成为当前隔离技术的发展方向。

2.2 网络隔离技术原理

网络隔离产品采用了网络隔离技术，是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。所以，网络隔离产品从物理上隔离、阻断了具有潜在攻击可能的一切连接，使“黑客”无法入侵、无法攻击、无法破坏，实现了真正的安全。

3 防火墙的体系架构

3.1 防火墙的体系架构

目前的防火墙大都依赖于对数据包的信息进行检查，检查的重点是网络协议的信息。防火墙主要查看IP包中的IP包头、TCP包头、应用层包头以及数据加载的包头，要了解防火墙的具体架构，就需要分析它是检查的那一层协议的信息。根据OSI模型，防火墙架构包含以下几种：包过滤防火墙，电路网关防火墙，应用网关防火墙，状态检测包过滤防火墙和切换防火墙。

3.1.1 网络隔离设备的体系架构

防火墙是建立在内外网边界上的过滤封锁机制，内部网络被认为是安全和可信赖的，而外部网络被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络。防火墙对网络安全的保护程度，很大程度上取决于防火墙的体系架构。

3.1.2 网络隔离设备的实现机制

网络隔离设备由内网处理单元、外网处理单元和专用隔离硬件组成。网络隔离硬件包括一个独立的固态存储单元和一个独立的调度和控制单元，内网处理单元和外网处理单元在同一时刻最多只有一个同固态存储单元建立非TCP/IP协议的数据连接，并通过私有协议进行数据的交换。下面提到的外网指不可信网络（如Internet），内网指高安全性的内部专用网。

通常情况下，网络隔离系统的外网处理单元与外网相连，内网处理单元与内网相连，外网和内网是完全断开的。

3.2 安全性分析比较

防火墙设备侧重于网络层到应用层的策略隔离，操作系统、内部系统的漏洞、通用协议的缺陷等都成为不安全的潜在因素。

首先由防火墙的体系架构可知，防火墙可能会产生网络层短路，从而导致伪造合法数据包带来的危害；防火墙还难于抵御数据驱动式攻击，即大量合法的数据包将导致网络阻塞而使正常通信瘫痪。其次，防火墙很难阻止由通用协议本身漏洞发起的入侵。第三，防火墙系统本身的缺陷也是影响内部网络安全的重要因素，当防火墙主机被控制后，内部受保护网络就会暴露无疑。第四，要使防火墙发挥有效的安全性，需要正确、合理的配置防火墙相关的安全策略，而配置的复杂程度不仅带来烦琐的工作量，同时也增加了配置不当带来的安全隐患。

3.3 各自定位的分析比较

3.3.1 解决目前防火墙存在的根本问题

1) 防火墙对操作系统的依赖，因为操作系统也有漏洞。黑客攻击防火墙，一般先攻击其操作系统，控制了操作系统，即控制了防火墙。而网络隔离产品在内、外部主机系统中嵌入安全加固的操作系统，并且内部主机的操作系统对外部攻击者是不可见的；

2) TCP/IP的协议漏洞；

3) 防火墙、内网和DMZ同时直接连接；

4) 应用协议的漏洞，因为命令和指令可能是非法的；

5) 安全策略的漏洞：在防火墙的安全策略，对于一个厉害的黑客来说是暴露的，他可通过利用错误配置的安全策略，侵入到您公司的内网。

3.3.2 网络隔离技术的指导思想与防火墙有很大的不同

1) 防火墙的思路是在保障互联互通的前提下，尽可能安全；

2) 网络隔离技术的思路是在保证必须安全的前提下，尽可能互联互通。

3.3.3 体系架构不同

网络隔离产品一般为双机或三机系统，而防火墙由一台处理机组成，为单机系统。而网络隔离设备实现了OSI模型七层的断开和应用层内容的检查机制，因而不会产生网络层短路，消除了基于网络协议的攻击。

3.3.4 设备本身的安全性不同

防火墙为单机系统，无法彻底消除操作系统的漏洞的威胁。一旦其操作系统被恶意攻击，防火墙完全处于被黑客控制之中，那么受防火墙保护的另一端网络就完全暴露在攻击之下。受保护网络的安全程度，很大程度上取决于防火墙自身的安全强度。而网络隔离产品由于采用了可靠的双机系统结构，可以提供从硬件、协议到内容的全方位安全保护。即使外部主机系统被曝光，也无法对内部主机系统进行攻击，因为内部主机系统和外部主机系统是物理隔离的。

3.3.5 安全规则配置的复杂程度不同

防火墙主要依据网络管理工程师配置的规则进行安全检查，其安全性的高低与规则配置情况密切相关。规则配置十分复杂，规则最终所起的作用不仅与每条规则有关，而且与每条规则的先后顺序、规则之间的相关性都有很大关系。网络管理工程师必须仔细检查每条规则，以保证其结果是其预期的结果。

从另一个方面讲，防火墙的配置要求网络管理工程师有较高的网络知识和技术水平。防火墙只是一个被动的安全策略执行设备，防火墙不能防止策略配置不当或错误配置引起的安全威胁，规则配置错误将造成不安全通道打开。

而网络隔离设备无需进行复杂的规则配置，只需设定一些内外网访问政策。网络隔离设备仅允许定制的信息进行交换，即使出现错误，也至多是数据不再允许传输，而不会造成重大安全事故。

3.3.6 是否防止内部的泄密行为

网络隔离与信息交换系统采用内容过滤和检查机制来防止泄密，另外具有严格的身份认证机制，因此不仅使信息网络的抗攻击能力大大增强，而且有效地防范了信息外泄事件的发生。而防火墙一般不具有这些安全机制，内部的用户主动泄密，防火墙是无能为力的。

3.3.7 内部支持的协议不同

防火墙由于采用标准的TCP/IP协议，不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙准许某些标准网络协议，防火墙不能防止利用该协议中的缺陷进行的攻击。

而网络隔离产品内外网主机之间不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，因此最大程度上减少了由于标准协议所带来的安全漏洞。

3.3.8 对未知网络攻击的防范能力不同

目前发现的攻击，按照分类，有基于应用协议漏洞的，有基于TCP/IP协议漏洞的，有基于命令的，有基于包的，有基于操作系统的。网络隔离产品从根本上解决了这五种类型的攻击。因此，新的攻击，只要是基于上述五种原理的，不管是已知的，还是未知的，都可以阻止。而防火墙没有从根本上解决基于操作系统、应用协议、TCP/IP协议等漏洞造成的安全问题，从而缺乏对未知网络攻击的防范能力。

3.3.9 安全性和处理速度的矛盾

防火墙在安全性、效率和功能方面的矛盾比较突出。防火墙的技术结构，往往是安全性高效率就低，效率高就会以安全性为代价。而网络隔离产品私有硬件隔离交换，不存在安全性和处理速度的矛盾。

3.4 发展趋势的分析比较

针对目前防火墙存在的安全缺陷，防火墙技术会向具有入侵防御功能的智能化方向发展，同时网络架构的不断升级要求防火墙处理能力的不断提高。

目前网络安全市场上，以防火墙为核心的安全体系架构实现的安全保障体系未能有效的防止频频发生的网络攻击，以及防火墙集成的IDS造成的漏报误报，这些都要求未来的防火墙具有更高的安全性，集成IPS的防火墙将逐步取代集成IDS的防火墙。通过集成多种功能设计，例如包括VPN、AAA、PKI、IPSec等多种附加功能，提高防火墙的可管理和可控能力，不断增强防火墙的抗DoS攻击能力，同时利用统计、记忆、概率和决策的智能方法对数据进行识别来达到访问控制的目的。具备集中的网络管理平台，支持双机热备份、负载均衡和多出口路由以及IPv6等将是未来防火墙的发展重点。

网络隔离技术经过几个阶段的发展，目前正处于第五代网络隔离设备的研发阶段。网络隔离技术正向易用性、应用融合化等方向发展，网络隔离技术在负载均衡、冗余备份、硬件密码加速、易集成管理等方面还需要进一步的改进，同时更好地集成入侵防御和加密通道、数字证书等技术，将成为新一代网络隔离产品发展的趋势。为了更好的满足我国提出的内网、外网和公网的网络体系结构，从成本和易管理方面出发，三网或多网的网络隔离设备也将成为网络隔离技术的一个发展方向。

4 结束语

网络隔离是一项网络安全技术，网络隔离可能对防泄密管理有很大的帮助，但这不意味着网络隔离是一项完全的防泄密技术。将网络隔离技术完全等同于防泄密技术是一种错误的理解。实际上即使是网络隔离，也没有解决类似于电磁辐射所导致的泄密，只有防电磁辐射泄密技术如TEMPEST才能解决这类问题。

网络隔离是目前最好的网络安全技术，它消除了基于网络和基于协议的安全威胁，但网络隔离技术也存在局限性，对非网络的威胁如内容安全，就无法从理论上彻底排除，就像人工拷盘一样，交换的数据本身可能带有病毒，即使查杀病毒也不一定可以查杀干净。但它不是网络安全问题，不存在攻击和入侵之类的威胁。如果用户确定交换的内容是完全可信和可控的，那么网络隔离是用户解决网络安全问题的最佳选择。

参考文献：

[1] 张千里, 陈光英. 网络安全新技术[M]. 北京：人民邮电出版社, 2003.

[2] Whitman E.Mattord,J. 信息安全管理――信息安全丛书[M]. 重庆：重庆大学出版社, 2005.

[3] 凌捷，谢赞福. 信息安全概论――21世纪计算机科学与技术系列教材[M]. 广州：华南理工大学出版社, 2005.