[前言]
随着互联网的日益普及,网络安全也越来越受到人们的重视,尤其是对于企业和国家机关来讲,网络安全就更加的不可或缺。但是由于传统的以防火墙为核心的安全体系结构本身所固有的弱点以及新的黑客攻击技术的发展,传统结构在很大程度上已经无法满足我们对于网络安全的要求。
本文将介绍一种新的网络安全解决方案——隔离网关,以及凌华高速数字I/O卡PCI-7300A在其中的应用。
[网络安全的现状]
目前,最为流行的网络安全架构是以防火墙为核心的网络安全体系架构。但事实证明这种安全防御体系并未能有效地防止目前所频频发生的网络攻击。
原因主要在于防火墙所采用的体系结构,我们可以把目前常见的防火墙分为这么几种类型:1、包过滤(Packet Filter,包括静态包过滤和动态包过滤);2、电路网关(Circuit Level Gateway);3、应用网关(Application Level Gateway)。
通过下面这张图我们可以很清晰的了解到防火墙的架构。
这样我们可以对防火墙架构得出下面的一些结论:
1、OSI的层号越高,防火墙所要检测包的信息内容就越多,安全性就越高,但同时相对的速度和效率就会越低,也就是我们必须在安全性和性能(速度、效率)上作一种平衡。
2、依赖于TCP/IP协议,而TCP/IP本身并没有一些控制机制来保证安全性,多数的黑客攻击都是利用了TCP/IP本身的漏洞。
3、防火墙的哲学是必须首先保证网络的连通,这样就必须开放相应的端口,如80端口、25端口等,对这些开放端口的攻击,防火墙不能防止。
[新的思路:隔离]
现在,人们已经开始意识到防火墙在网络安全方面的局限性,隔离技术开始进入大家的视野。目前,最主要的解决方案有两种:物理隔离和逻辑隔离。所谓物理隔离,就是阻断内网与外网的直接物理连接与逻辑连接,内网与外网不会同时连接在隔离设备上,这样虽然提高了安全性,但也提高了成本、降低了效率和易用性。因此,对于大多数用户而言,逻辑隔离是最为合适的安全解决方案。
逻辑隔离保证安全的要点主要在于:
1、保证自身的高安全性,一般要求由两套主机组成,一套控制外网接口,另一套控制内网接口,然后在两套主机系统之间通过不可路由的协议进行数据交换,这样,既便黑客攻破了外网系统,仍然无法控制内网系统,就达到了更高的安全级别。
2、确保网络间是隔离的,关键是网络包不可路由到对方网络。这也是和防火墙的最关键区别。
3、要保证传递的只是最原始的应用层数据,也就是必须通过协议分析,将应用层数据提取,然后再进行数据传输,保证传输的数据不具有攻击的特性。
4、要在坚持隔离的前提下保证网络畅通,不能够成为网络交换的瓶颈。
下图简单描述了逻辑隔离网关的体系架构。
逻辑隔离技术的最关键点是选择合适的硬件来实现网络间的数据交换,这种硬件应该能够保证高带宽、交换数据的可靠性高、基于其的专用协议开发方便等特点。
[PCI-7300A是逻辑隔离网关的理想选择]
北京某网络安全技术公司经过市场调查,选择了凌华的PCI-7300A开发其隔离网关产品。PCI-7300A主要的特性有
·高速,通过总线主控DMA可提供高达80MB/s的数据吞吐率
·具有灵活的握手方式,保证在高速数据传输时也不会丢失数据
·提供齐全的驱动程序及完整的API支持,DLL执行效率高,保证系统实时性
客户在开发时,外网服务器选用Linux操作系统,进一步降低因操作系统而引起安全性漏洞的可能性;而内网服务器选择Windows2000操作系统,易用性更佳。在外网、内网服务器各安装一片PCI-7300A板卡,在此基础上自行开发了专有安全协议和加密验证机制及应用层数据提取和鉴别认证等方面的软件,彻底阻断了网络间的直接TCP/IP连接,同时对网间通信的双方、内容、过程施以严格的身份认证、内容过滤、安全审计等多种安全防护机制,从而保证了网间数据交换的安全、可控,杜绝了由于操作系统和网络协议自身漏洞带来的安全风险。同时,PCI-7300A本身也提供较高的带宽,保证了在加入隔离网关后整个网络连接的通畅。
[结论]
由于防火墙本身的缺陷,逻辑隔离网关将成为相当一段时间内网络安全产品的新热点和发展趋势。而PCI-7300A由于其所具有的高速、握手方式通讯、开发程序简便等特点,非常适合于在逻辑隔离网关中用作内、外网服务器间的专用通讯设备。
