关注金保工程---网络安全隔离技术要点(之二十九)
人力资源社会保障信息化建设的许多应用都需要在业务专网(生产内网)和公共服务网(外网)之间进行数据交换。由于内外网间隔离强度要求比较高,常规的基于防火墙访问控制技术的逻辑隔离措施不足以满足要求,需要考虑内外网间真正意义的网络层的安全隔离。既要网络隔离又要交换数据,概念上似乎是矛盾的,但实际上,确实存在既网络隔离又交换数据的安全技术——安全隔离与数据交换系统。
安全隔离与数据交换系统,亦称网闸,一般会用“2+1”模式结构设计,即内网主机系统、外网主机系统加上隔离交换模块。通过这一种“2+1”架构的网络隔离设备,能轻松实现两网之间的数据在网络层隔离的情况下进行安全交换。
网闸的隔离交换机制与载人摆渡相似,隔离交换模块好比是摆渡船,内外网主机好比河流的两岸。数据通过隔离交换模块的摆渡,实现了在两侧网络隔离情况下的数据交换。网闸内外主机系统采用专有工控主板设计,各自安装有安全操作系统。隔离交换模块是内外网主机系统唯一的连接部件,加电后自动运行,不接受任何数字信号的控制。它会自动在内外网主机系统之间切换连接,且任一时刻只和一边的主机连接。因此内外主机系统之间不存在任何网络连接。
经过多年的技术演进,目前的网闸所支持的数据交换功能有了大幅增强。主流的网闸产品通常以软件模块的形式支持网络中的各类应用。根据功能应用、配置的不同,网闸功能模块主要分成两大类:交换类和访问类。
交换类功能主要使用在于数据服务器(文件服务器、数据库服务器)之间的数据交换,包括“文件交换”、“数据库同步”两个模块。其核心功能在于把一侧服务器中的数据同步到另一侧服务器中,使两侧的服务器保持数据同步。
访问类功能则主要使用在于客户端、服务器模式(B/S和C/S)的数据访问,包括安全浏览、FTP访问、数据库访问、邮件访问、定制访问等几个模块。此时网闸常部署在客户端和服务器之间,用于保护核心服务器的访问安全、数据安全。
网闸的主要技术指标在配置上包括:主机系统应采用专有安全操作系统,能彻底阻断TCP/IP协议及其他网络协议,隔离交换模块采用无操作系统,外界无法编程控制。设备接口可支持光口和电口多种类型,其中电口应支持10/100/1000M自适应,内外网主机系统分别具有独立的网络口、管理口、HA口(热备口)和1个串口,支持专用冗余协议、双机热备、负载均衡、端口冗余、链路聚合等功能。性能上包括:吞吐量、并发连接数和系统延时。功能上包括:支持网络隔离情况下的文件交换、FTP访问、数据库同步及库表内容安全传输、邮件传输等。可通过定制开发,实现特定TCP、UDP协议的数据隔离交换,基于特定协议的安全检测,实现如黑白名单控制、关键字过滤等。支持HTTP/HTTPS/FTP/SMTP/POP3等应用协议、H323/H323_GK等多媒体协议,TNS等Oracle数据库访问和SNMP/DNS等协议。具备入侵检测功能,抗DDoS攻击。
同样是隔离技术,网闸和防火墙经常被混淆,实际上两种安全技术的实现机制和部署要求有很大的不同,在设计上有着较大的区别。
防火墙作为一种逻辑隔离设备通常部署在网络边界,通过访问控制策略在不影响设备的性能前提下进行内容过滤,在保障相互连通的前提下尽可能保障安全,其结构为单一主机单一操作系统。协议处理上不一样的防火墙,可能分别或综合采用分组包过滤、状态包过滤、NAT、应用层内容检查等安全技术,工作在OSI协议栈的第三至七层,通过匹配安全策略规则,依据IP头、TCP头信息、应用层明文信息,对进出防火墙的会话进行过滤。但是如果攻击者一旦获得了管理权限,可调整防火墙的任意安全策略。
网闸作为一种网络安全隔离设备通常部署在内外网间,实现网络安全隔离。在文件交换上是模拟人工拷盘的方式来实现两网间的数据交换,以此来实现各个服务器应用和数据库间的数据同步。对网络间的客户端与服务器之间通过网闸访问控制的应用,如果一个主机系统中断访问连接,另一主机系统会重新建立连接,并且两主机系统在应用层再次进行数据报文重组,重新进行数据内容的检查。网闸在安全技术上实现的是“2+1”的系统结构,在保证必须安全的前提下,尽可能相互连通且两主机各自安装有独立的操作系统,系统结构更安全。在协议处理上,所有到达安全隔离网闸外网的会话都被中断原有的TCP/IP连接,隔离设备将所有的协议剥离,将原始的数据写入存储介质。根据不同的应用,可能有必要对数据来进行完整性和安全性检查,如防病毒和恶意代码等。对所有数据在应用层进行协议还原的基础上,以专有协议格式进行数据摆渡,综合了访问控制、内容过滤、病毒查杀等技术,具备全面的安全防护功能。网闸两主机系统在管理上分别有独立的管理接口,安全策略分别下达,不可能被控制。
总之,网闸通常应用于不同密级的网络之间、 内部网络和外部网络之间、网络中重要安全域与其他安全域之间,是解决内外网网络安全隔离情况下数据交换的一种有效手段。另外,为确保数据交换安全,应注意依据业务数据交换的实际的需求,严格做好网闸数据交换安全策略的配置。