1、網閘及其原理簡介
網閘(GAP)全稱安全隔離網閘。網閘是在兩個不同安全域之間,透過協議轉換的手段,以資訊擺渡的方式實現數據交換,且只有被系統明確要求傳輸的資訊纔可以透過。其資訊流一般爲通用應用服務。網閘的“閘”字取自於船閘的意思,在資訊擺渡的過程中內外網(上、下游)從未發生物理連接,所以網閘產品必須要有至少兩套主機和一個物理隔離部件纔可完成物理隔離任務。
網閘的基本原理是:切斷網絡之間的通用協議連接;將數據包進行分解或重組爲靜態數據;對靜態數據進行安全審查,包括網絡協議檢查和代碼掃描等;確認後的安全數據流入內部單元;內部用戶透過嚴格的身份認證機制獲取所需數據。
安全隔離網閘是一種由帶有多種控制功能專用硬件在電路上切斷網絡之間的鏈路層連接,並能夠在網絡間進行安全適度的應用數據交換的網絡安全設備。隔離網閘的硬件設備由三部分組成:外部處理單元、內部處理單元、隔離硬件。
2、安全隔離的意義
當用戶的網絡需要保證高強度的安全,同時又與其它不信任網絡進行資訊交換的情況下,如果採用物理隔離卡,資訊交換的需求將無法滿足;如果採用目前最爲流行的防火牆技術,則無法防止內部資訊的泄漏和外部病毒、程序員程序的滲入,安全性無法得到保證。在這種情況下,隔離網閘能夠同時滿足這兩個要求,又避免了物理隔離卡和防火牆的不足之處,是物理隔離網絡之間數據交換的最佳選擇。
通常見到的'木馬大部分是基於TCP的,木馬的客戶端和服務器端需要建立連接,而隔離網閘從原理實現上就切斷所有的TCP連接,包括UDP1CMP等其他各種協議,使各種木馬無法透過隔離網閘進行通訊,從而可以防止未知和已知的木馬攻擊。
3、網閘在資料下載系統中的應用
根據系統安全性設計原則,在內網外增加資料交換區域和與互聯網連接的資料接收區域,區域之間透過網閘進行網絡安全隔離,在保護資訊安全的要求下實現內網與互聯網的安全互聯,基本達到資訊安全等級保護的三級要求。
資料接收系統由資料接收服務器、出口防火牆、網閘、攻擊網關、入侵檢測設備等構成,這裏的網閘選擇的是“2+1”的安全隔離網閘,該硬件設備由三部分組成:外部處理單元、內部處理單元、隔離安全數據交換單元。安全數據交換單元不同時與內外網處理單元連接,爲“2+1”的主機架構。隔離網閘採用安全隔離技術,創建一個內、外網物理斷開的環境。資料接收區從互聯網上獲取資料,經過篩選和格式轉化後儲存到本地進行惡意代碼檢查,經過篩選後的數據透過網閘單向傳輸設備擺渡到資料交換服務器存儲,並進行不同惡意代碼庫的代碼檢查後傳輸至內網,供用戶使用。
本系統透過建立完善的安全體系,在網絡、操作系統、應用和數據安全等層面上,爲系統建立一套立體縱深的安全技術架構,以實現抵禦各個層面的攻擊,防止病毒和惡意代碼入侵等功能,同事進行系統整體安全測試和安全加固,將漏洞風險降到最低。
在系統安全設計上堅持整體性原則、適應性及靈活性原則、易操作性原則和多重保護原則,應用縱深防禦策略,注重從局部計算環境防止內部的威脅,從各種不同類型的邊界區域,聯合採用多種安全技術整體防禦外部威脅。採取減輕風險的技術途徑,儘可能加強安全防範手段,在整個方案中,網閘起到了至關重要的作用,是這個系統整體架構的核心組成部分,是所有資訊安全得到保證的關鍵所在。
4,結論
本方案從網絡層、操作系統層、應用層及數據層等方面來對可能存在的安全隱患進行了分析,並有針對性的採取了相應的設備設施,極大限度的降低了網絡安全風險,透過使用網閘的單向傳輸特性,在保護資訊安全的前提下實現內網與互聯網的安全互聯。