技术频道

华北科技L-400隔离网关在网络安全领域的应用

  背景
  随着互联网的日益普及,网络安全也越来越受到人们的重视,尤其是对于企业和国家机关来讲,网络安全就更加的不可或缺。但是由于传统的以防火墙为核心的安全体系结构本身所固有的弱点以及新的黑客攻击技术的发展,传统结构在很大程度上已经无法满足我们对于网络安全的要求。
  本文将介绍一种新的网络安全解决方案——隔离网关,以及华北科技4网口以太网网卡L-400在其中的应用。
  
  网络安全的现状
  目前,最为流行的网络安全架构是以防火墙为核心的网络安全体系架构。但事实证明这种安全防御体系并未能有效地防止目前所频频发生的网络攻击。
  原因主要在于防火墙所采用的体系结构,我们可以把目前常见的防火墙分为这么几种类型:1、包过滤(Packet Filter,包括静态包过滤和动态包过滤);2、电路网关(Circuit Level Gateway);3、应用网关(Application Level Gateway)。每种类型都是两种Model: OSI Model和TCP/IP Model。
  这样我们可以对防火墙架构得出下面的一些结论:
  1、OSI的层号越高,防火墙所要检测包的信息内容就越多,安全性就越高,但同时相对的速度和效率就会越低,也就是我们必须在安全性和性能(速度、效率)上作一种平衡。
  2、依赖于TCP/IP协议,而TCP/IP本身并没有一些控制机制来保证安全性,多数的黑客攻击都是利用了TCP/IP本身的漏洞。
  3、防火墙的哲学是必须首先保证网络的连通,这样就必须开放相应的端口,如80端口、25端口等,对这些开放端口的攻击,防火墙不能防止。
  
  新的思路:隔离
  现在,人们已经开始意识到防火墙在网络安全方面的局限性,隔离技术开始进入大家的视野。目前,最主要的解决方案有两种:物理隔离和逻辑隔离。所谓物理隔离,就是阻断内网与外网的直接物理连接与逻辑连接,内网与外网不会同时连接在隔离设备上,这样虽然提高了安全性,但也提高了成本、降低了效率和易用性。因此,对于大多数用户而言,逻辑隔离是最为合适的安全解决方案。
  逻辑隔离保证安全的要点主要在于:
  1、保证自身的高安全性,一般要求由两套主机组成,一套控制外网接口,另一套控制内网接口,然后在两套主机系统之间通过不可路由的协议进行数据交换,这样,既便黑客攻破了外网系统,仍然无法控制内网系统,就达到了更高的安全级别。
  2、确保网络间是隔离的,关键是网络包不可路由到对方网络。这也是和防火墙的最关键区别。
  3、要保证传递的只是最原始的应用层数据,也就是必须通过协议分析,将应用层数据提取,然后再进行数据传输,保证传输的数据不具有攻击的特性。
  4、要在坚持隔离的前提下保证网络畅通,不能够成为网络交换的瓶颈。
  逻辑隔离技术的最关键点是选择合适的硬件来实现网络间的数据交换,这种硬件应该能够保证高带宽、交换数据的可靠性高、基于其的专用协议开发方便等特点。
  
  L-400是逻辑隔离网关的理想选择
  北京某网络安全技术公司经过市场调查,选择了华北科技的L-400开发其隔离网关产品。L-400主要的特性有:
  •兼容PCI2.1规范、PCI桥1.1规范和ACPI1.1电源管理规范
  •采用INTEL82551ER 32bit 33MHz 10M/100/M智能以太网控制芯片
  •符合IEEE802.3 10base-T和IEEE802.3u 100base-TX标准
  •支持全双工(full-duplex)工作模式,可以使带宽达20Mbps/200Mbps
  •内置独立的接收、传送FIFO功能(2KB传送及4KB接收),提高数据传输速率
  
  客户在开发时,外网服务器选用Linux操作系统,进一步降低因操作系统而引起安全性漏洞的可能性;而内网服务器选择Windows2000操作系统,易用性更佳。在外网、内网服务器各安装一块L-400网卡,在此基础上自行开发了专有安全协议和加密验证机制及应用层数据提取和鉴别认证等方面的软件,彻底阻断了网络间的直接TCP/IP连接,同时对网间通信的双方、内容、过程施以严格的身份认证、内容过滤、安全审计等多种安全防护机制,从而保证了网间数据交换的安全、可控,杜绝了由于操作系统和网络协议自身漏洞带来的安全风险。同时,L-400本身也提供较高的带宽,保证了在加入隔离网关后整个网络连接的通畅。
  
  结论
  由于防火墙本身的缺陷,逻辑隔离网关将成为相当一段时间内网络安全产品的新热点和发展趋势。而L-400由于其所具有的高速、握手方式通讯、开发程序简便等特点,非常适合于在逻辑隔离网关中用作内、外网服务器间的专用通讯设备。
  

文章版权归西部工控xbgk所有,未经许可不得转载。