谁能解释一下安全隔离网关和防火墙之间的区别?
目前国家明确规定,政府涉密网络要与互联网进行物理隔离,确保信息安全。这有效地避免了来自互联网的网络威胁。而涉密网络之间,如行业内上下级、不同行业部门之间的关系是不信任的,信息流动时会面临安全问题;比如公安内网的敏感信息需要流转到检委会内网,两个部门都有机要网内部的高度敏感信息资源,彼此互不信任。比如工商内网与税务内网、金融内网与海关内网之间的信息流转,都面临着涉密网络的安全和互操作问题。因此,必须采取相应的安全措施来保证机密内网的安全。目前常用的方法有以下两种。
通过人工复制实现隔离状态下的信息交换
目前涉密网络通常与外界物理隔离。涉密网络之间需要交换信息时,通常将双方的数据服务器设置在中间区域,由信任的人员手动复制即可实现。通过手动复制,确实避免了来自不可信网络的黑客攻击等威胁,但也带来了新的问题。首先,人工输入管理的成本比较高,双方必须输入人员参与数据复制工作;其次,人工抄收的实时性差,无法充分发挥网络信息技术带来的快速沟通便利的优势;最后,由于频繁使用软盘或其他存储介质,病毒和特洛伊马的传播增加,带来了新的安全问题。因此,这种方法不能适应电子政务的发展趋势。
用防火墙等逻辑机制保护机密内部网的安全
除了在保证物理隔离的情况下,采用人工复制的方式实现信息交换外,在其他部门的机密内网之间采用防火墙,实现与其他专网的逻辑隔离。但是,防火墙仍然有以下弱点。
图1单边不信任机密内网间安全隔离解决方案
首先,防火墙无法抵御数据驱动的攻击,即大量合法数据包造成网络拥塞,瘫痪正常通信;其次,防火墙很难阻止常见协议本身的漏洞发起的入侵;再次,防火墙系统本身的缺陷也是影响内网安全的重要问题;另外,只有正确合理的配置防火墙才能发挥其自身的安全作用,而配置的复杂性给网管人员带来了繁琐的工作量,也增加了配置不当带来的隐患。因为能够突破防火墙的技术是不断发展的,在保密网络中用防火墙做屏障是一种不可靠的防御手段。
从以上分析可以看出,第一种方案实现了物理隔离,但缺乏实时信息机制,人员管理开销较大;第二种方案采用安全防御机制不那么严密的逻辑隔离技术来保护涉密网络的信息安全,这无疑为数据泄露和黑客破坏提供了可能。因此,两者不能视为一个完整的解决方案。目前新兴的GAP技术可以为涉密网络提供可靠的保护。该技术利用特殊的硬件,在物理链路层断开的前提下,保证两个网络之间的数据安全传输和资源共享,可以显著提高内部用户网络的安全强度。
天网中的GAP技术使信息隔离并交换。
Topwalk-GAP是天星网安信息技术有限公司与公安部通信局联合研发的新一代安全隔离产品,也是GAP技术在国内的代表产品之一。该产品采用独立专有隔离硬件和多个处理单元紧密集成的独特设计,将各种安全模块集成为一体,部署在可信网络和不可信网络之间,可以防范和抵御各种网络攻击和黑客病毒入侵,为用户提供文件传输和数据库交换、收发邮件和浏览网页等多种信息交换方式。它通常部署在可信和不可信网络之间的核心内部网络之间,采用P&技术、协议转换、安全操作系统内核技术、内核入侵检测技术、病毒扫描技术和安全P & ampp(拉推)等安全技术,杜绝有害信息,形成网络间数据交换的安全通道。隔离网关主要提供以下功能模块和根据用户特殊要求定制的模块。
一种单向信任和保密的网络隔离解决方案
在同一个行业领域,下级的分类网络往往面临着信息流通的问题。这种情况下,下级通常信任上级,上级的信息敏感度高于下级,即不同信任级别的涉密网络需要交换信息,可以参考以下解决方案。
图2分类网络间信息交换示意图
如图2所示,左边的方框表示信任部门的机密内网,通常是中央、部委、省级机关等重要部门的核心内网。在机密内网中,通常运行着涉及国家机密、政府和经济敏感信息的资源,因此安全要求非常高。这些部门的内部网络需要通过专网与地方和下属部门的机密内部网络共享和交换信息。在这种情况下,通常是上级的安全高于下级,中央高于地方的单边信任关系。可以采用上述的分级网络之间的单边信任安全解决方案。在该方案中,隔离网关设置在可信端,所有请求都从可信端发起,从而保证了可信秘密网络的安全性。同时,隔离网关为用户提供了多种功能模块,实现了文档交换、邮件收发、数据库共享等灵活便捷的功能。,从而满足上下级部门等不同涉密网络之间的信息共享需求。
双方都不信任涉密网络的隔离方案。
在电子政务的应用中,经常会遇到不同行业网络之间的信息交换问题。因为两个行业都有自己的信息管理系统和人事管理系统,所以在保证双方保密网络高安全性的同时,仍然需要实现适当的信息交换。如图3所示,A部门的机密内网和B部门的机密内网都属于安全敏感度高的区域,通常需要与外网进行安全隔离。因为信息需要在机密内部网之间适当地交换,所以应该为双方设置一个数据中间区。中间区域与两侧机密内网的信息交换通过安全隔离网关实现。
安全隔离网关的这种配置基于以下几点:安全隔离网关采用安全数据P & amp;P(Pull and Push)技术,所有请求都由内网(即可信网络)发起,外部处理单元不提供任何服务。所以建议在中间隔离区设置一个提供文件、邮件、数据库的服务器,负责接收双方提交的数据,然后涉密网络内部主动请求从中间隔离区提取所需数据。这样,确保了用户提交或提取的数据是由可信双方发起的。此外,安全隔离网关采用的访问控制和身份认证机制保证了双方数据交换的安全性和可靠性,同时保证了信息流通的实时性和可操作性。
GAP技术信息交流具有优势。
以上两种方案均采用Topwalk-GAP作为涉密网络间的隔离屏障,通过断开不同涉密网络间的物理链路层,产品具有很高的安全性,并满足它们之间各种形式的信息交换。
与手工复印相比,它有以下优点:
交换方式灵活多样。
GAP技术提供了多种安全的数据交换手段,如文件交换、数据库交换和邮件收发。如果只能通过软盘或其他移动存储介质实现手工复制,那么当文件过多或过大时,将难以满足需求,或者无法在大型关系数据库之间传递表或记录。
及时的信息交流
产品硬件内部数据交换速率达到819.2Mbps,系统数据交换速率达到120 Mbps,硬件切换时间仅为5ms,最大并发连接数突破了目前国内1500的限制,达到5000个以上,可以保证在短时间内完成内外网的信息交换,可以满足大部分政府办公对信息交换的需求,而手动
具有病毒和关键词内容过滤功能。
手工复制需要使用软盘等可移动存储介质,这往往会成为病毒或特洛伊马传播的途径,而且不容易集中管理和控制。使用隔离网关时,交换的文件或数据会被病毒或关键字内容检测到,大大降低了病毒或无意泄露信息带来的安全风险。
图3双方不信任的机密内网之间的安全隔离解决方案。
与防火墙等产品相比,GAP技术具有以下优势:
它比防火墙更强大、更可靠。
防火墙采用网络层的逻辑隔离机制,即主要通过软件策略来实现。因为在网络层是相通的,所以有经验的黑客很难终结。基于GAP技术的Skyline安全隔离网关基于链路层实现了涉密网络与外界的安全隔离,使黑客基于网络协议的攻击失效,既消除了常见协议漏洞对涉密网络的威胁,又防止了内部系统和软件后门及漏洞被外部利用。
有效防止DOS网络攻击
因为防火墙通常建立在TCP/IP协议的路径上,所以需要提供外部服务。拒绝服务攻击(DOS)就是利用TCP/IP协议的缺陷,隔离网关的外部处理单元不需要运行任何服务器程序,并且保证与内网没有TCP/IP协议路径,不接受任何外部主机发起的连接(TCP SYN),使外部主机看起来对互联网是隐藏的,有效地保证了隔离网关本身。
防止因配置错误造成的网络隐患
我们知道,防火墙是由一系列规则组成的。使用该规则检查进出网络数据包,防火墙一般是安全的,但可能存在配置错误,导致不安全通道打开,可能被黑客利用。隔离网关只允许交换定制的信息。即使出现错误,最多也不会传输数据,不会给黑客打开方便之门。
避免操作系统和软件的不断升级。
通常情况下,防火墙只能防止网络层的攻击,而不能提供很好的方法来保护操作系统和软件的安全问题。一个很好的例子是,许多使用防火墙的用户仍然受到“尼姆达”病毒的困扰。使用防火墙的用户仍然必须不断升级他们的操作系统和浏览器,以避免由于这些问题导致的系统攻击。由于隔离网关在链路层断开,禁止所有直接网络连接,因此可以有效保证内部系统的安全性,避免用户复杂的升级工作。