跳至主要內容

网闸

网闸

1.概念

1.1.防火墙

防火墙是一种用来加强网络之间访问控制的特殊网络互联设备。计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。

  • 端口转发
  • 访问控制
  • 风险、漏洞扫描
  • 流量监控
  • 上网行为管理

1.2.网闸

安全隔离与信息交换系统,利用专有硬件实现两个网络在不连通的情况下进行数据的安全交换和资源共享。

1.2.1.结构

一般以二主机加专用隔离部件的方式组成,即由内部处理单元、外部处理单元和专用隔离部件组成:

img.png

1.2.2.安全标准和原理

安全标准:

  • GB/T18336-2001 信息技术安全技术信息技术安全性评估准则
  • GB/T20279-2015 信息安全技术网络和终端设备隔离部件安全技术要求
  • BMB16-2004 涉及国家秘密的信息系统安全隔离与信息交换产品技术要求

网闸在网络的第七层将数据还原为原始数据文件,然后以“摆渡文件”的形式来传递原始数据。任何形式的数据包、信息传输命令和TCP/IP 协议都不可能穿透网闸。

当内网与外网之间无信息交换时,数据交换单元与内网交换单元,数据交换单元与外网处理单元,内网处理单元与外网处理单元之间是完全断开的,即三者之间不存在任何连接。

网闸的专用隔离芯片部分在任意时刻只能与一个处理单元建立非TCP/IP 协议的数据连接,即当它与外部处理单元的主机系统相连接时,它与内部处理单元必须是断开的,反之依然。即保证内、外网络不能同时连接在网闸上。

1.2.3.代理模块

img_1.png

模式说明
透明代理模式设备处于透明代理模式时,无任何 IP 地址,不改变用户的网络拓扑,设备透明接入。该模式不可以启用认证功能。
代理模式设备处于代理模式时,客户端可以通过访问隔离设备的代理IP,和服务器通信。客户端不需要添加额外的路由信息。内外网网段可以相同,也可以不同。
路由模式设备处于路由模式时,客户端添加正确的路由信息,就可以访问服务器的真实 IP 直接通信。如果策略配置了多IP 对应,客户端也可以通过访问隔离设备的 IP 代理通信,即使用路由模式下的代理。内外网网段要求不同。
1.2.3.1.透明代理

img_2.png

img_3.png

img_4.png

img_5.png

1.2.3.2.普通代理

img_6.png

1.2.3.3.路由模式

img_7.png

1.2.4.交换模块

1.2.4.1.文件交换

img_8.png

img_9.png

1.2.4.2.数据库同步

img_10.png

img_11.png

2.区别

img_12.png

3.常见问题

1. 网闸是什么设备?

网闸是一种由专用硬件在电路上切断网络之间的链路层连接,能够在物理隔离的网络之间进行适度的安全数据交换的网络安全设备。

2. 网闸是硬件设备还是软件设备?

网闸是由软件和硬件组成的设备。

3. 网闸硬件设备是由几部分组成?

网闸的硬件设备由三部分组成:外部处理单元、内部处理单元、隔离硬件。

4. 单向传输用单主机网闸可以吗?

网闸的组成必须是由物理的三部分组成,所以单主机(包括多处理器)的安全产品并不是网闸产品,无法完成物理隔离任务。其所谓的单向传输只是基于数据包的过滤,类似防火墙产品,并不是物理隔离产品。

5. 为什么要使用网闸?

当用户的网络需要保证高强度的安全,同时又与其它不信任网络进行信息交换的情况下,如果采用物理隔离卡,信息交换的需求将无法满足;如果采用防火墙,则无法防止内部信息泄漏和外部病毒、黑客程序的渗入,安全性无法保证。在这种情况下,网闸能够同时满足这两个要求,又避免了物理隔离卡和防火墙的不足之处,是物理隔离网络之间数据交换的最佳选择。

6. 政府机关上网计算机为什么必须内外网物理隔离?

在政府建立内部网的工程中,安全保密问题一直是工程建设的重点内容,这是因为内部网中的信息常常是涉密或内部信息。为此,国家明确规定涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行物理隔离,以确保国家秘密的安全。

7. 为什么说网闸能够防止未知和已知木马攻击?

通常见到的木马大部分是基于TCP的,木马的客户端和服务器端需要建立连接,而网闸从原理实现上就切断所有的TCP连接,包括UDP、ICMP等其他各种协议,使各种木马无法通过网闸进行通讯。从而可以防止未知和已知的木马攻击。

8. 网闸能取代防火墙吗?

无论从功能还是实现原理上讲,网闸和防火墙是完全不同的两个产品,防火墙是保证网络层安全的边界安全工具(如通常的非军事化区),而网闸重点是保护内部网络的安全。因此两种产品由于定位的不同,因此不能相互取代。

9. 网闸通常布置在什么位置?

网闸通常布置在两个安全级别不同的两个网络之间,如信任网络和非信任网络,管理员可以从信任网络一方对网闸进行管理。

10. 网闸是否可以在网络内部使用?

可以,网络内部安全级别不同的两个网络之间也可以安装网闸进行隔离。

11. 如果对应网络七层协议,网闸是在哪一层断开?

如果针对网络七层协议,网闸是在硬件链路层上断开。

12. 有了防火墙和IDS,还需要网闸吗?

防火墙是网络层边界检查工具,可以设置规则对内部网络进行安全防护,而IDS一般是对已知攻击行为进行检测,这两种产品的结合可以很好的保护用户的网络,但是从安全原理上来讲,无法对内部网络做更深入的安全防护。网闸重点是保护内部网络,如果用户对内部网络的安全非常在意,那么防火墙和IDS再加上网闸将会形成一个很好的防御体系。

13. 网闸适用于什么样的场合?

  • 第①种场合:涉密网与非涉密网之间。
  • 第②种场合:局域网与互联网之间。有些局域网络,特别是政府办公网络,涉及敏感信息,有时需要与互联网在物理上断开,用物理网闸是一个常用的办法。
  • 第③种场合:办公网与业务网之间,由于办公网络与业务网络的信息敏感程度不同,例如,银行的办公网络和银行业务网络就是很典型的信息敏感程度不同的两类网络。为了提高工作效率,办公网络有时需要与业务网络交换信息。为解决业务网络的安全,比较好的办法就是在办公网与业务网之间使用物理网闸,实现两类网络的物理隔离。
  • 第④种场合:电子政务的内网与专网之间,在电子政务系统建设中,要求政府内网与外网之间用逻辑隔离,在政府专网与内网之间用物理隔离。现常用的方法是用物理网闸来实现。
  • 第⑤种场合:业务网与互联网之间,电子商务网络一边连接着业务网络服务器,一边通过互联网连接着广大民众。为了保障业务网络服务器的安全,在业务网络与互联网之间应实现物理隔离。