中网物理隔离产品介绍
物理隔离产品是用来解决网络安全问题的。专门是在那些需要绝对保证安全的保密网,专网和特种网络与互联网进行连接时,为了防止来自互联网的攻击和保证这些高安全性网络的保密性、安全性、完整性、防抵赖和高可用性,几乎全部要求采纳物理隔离技术。
学术界一样认为,最早提出物理隔离技术的,应该是以色列和美国的军方。然而到目前为止,并没有完整的关于物理隔离技术的定义和标准。从不同时期的用词也能够看出,物理隔离技术一直在演变和进展。较早的用词为Physical Disconnection,Disconnection有使断开,切断,不连接的意思,直译为物理断开。这种情形是完全能够明白得,保密网与互联网连接后,显现专门多问题,在没有解决安全问题或没有解决问题的技术手段之前,先断开再说。后来有Physical Separation,Separation有分开,分离,间隔和距离的意思,直译为物理分开。后期发觉完全断开也不是方法,互联网总依旧要用的,采取的策略多为该连的连,不该连的不连。如此的该连的部分与不该连的部分要分开。也有Physical Isolation,Isolation有孤立,隔离,封闭,绝缘的意思,直译为物理封闭。事实上,没有与互联网相连的系统不多,互联网的用途依旧专门大,因此,期望能将一部分高安全性的网络隔离封闭起来。再后来多使用Physical Gap,Gap有豁口,裂口,缺口和差异的意思,直译为物理隔离,意为通过制造物理的豁口,来达到隔离的目的。到那个时候,Physical那个词显得专门僵硬,因此有人用Air Gap来代替Physical Gap。Air Gap意为空气豁口,专门明显在物理上是隔开的。但有人不同意,理由是空气豁口就\物理隔离\了吗?没有,电磁辐射,无线网络,卫星等差不多上空气豁口,却没有物理隔离,甚至连逻辑上都没有隔离。因此,E-Gap,Netgap,I-Gap等都出来了。现在,一样称Gap Technology,意为物理隔离,成为互联网上一个专用名词。
对物理隔离的明白得表现为以下几个方面:
1, 阻断网络的直截了当连接,即没有两个网络同时连在隔离设备上;
2, 阻断网络的互联网逻辑连接,即TCP/IP的协议必需被剥离,将原始数据通过P2P的非TCP/IP连接协议透过隔离设备传递;
3, 隔离设备的传输机制具有不可编程的特性,因此不具有感染的特性;
4, 任何数据差不多上通过两级移动代理的方式来完成,两级移动代理之间是物理隔离的; 5, 隔离设备具有审查的功能;
6, 隔离设备传输的原始数据,不具有攻击或对网络安全有害的特性。就像txt文本可不能有病毒一样,也可不能执行命令等。
7, 强大的治理和操纵功能。
网络安全的体系架构的演变
要对物理隔离技术有一个深入的了解,必须对网络安全体系架构有深入的研究。要了解网络安全的架构体系,从目前网络安全市场的构成就能够初见端倪。防火墙,防病毒,VPN和入侵检测〔IDS〕,是市场的主流产品。安全体系以防火墙为核心,向联动的方向进展。因此,要了解网络安全的架构体系的演变,必须防火墙进行深入的了解。
现状
目前,市场上销售量第一和第二的防火墙都使用一种被称为状态检测包隔离的技术,Stateful Inspection Packet Filtering (SIPF)。状态检测有两大优势,一是速度快,二是具有专门大的灵活性。这也是SIPF什么缘故受欢迎的缘故。有人会注意到我们甚至没有提到安全性,尽管人们要买防火墙,听起来是要解决安全问题,但安全性不是人们选择防火墙的第一理由。人们选择防火墙的第一理由是易于安装和使用,尽可能的减少苦恼和对网络结构的变动,以及对业务的阻碍。
有\防火墙之父\之称的马尔科斯〔Marcus Ranum〕也注意到这一点,防火墙客户有一次投票,结果前三位重要特性是透亮特性,性能和方便性,而不是安全性,没有人对那个结果感到惊奇。
仅有防火墙的安全架构是远远不够的
目前网络安全市场上,最流行的安全架构是以防火墙为核心的安全体系架构。通过防火墙来实现网络的安全保证体系。然而,以防火墙为核心的安全防备体系未能有效地防止目前频频发生网络攻击。仅有防火墙的安全架构是远远不够的。以致于专门多人都在怀疑,防火墙是不是过时了。连具?quot;防火墙之父\马尔科斯都宣称,他再也不相信防火墙。
这么说防火墙,看起来有一点过。要紧的缘故是前一个时期,防火墙差不多成为安全的代名词,言必谈防火墙。导致专门多厂商把全然不属于防火墙的东西全部推到防火墙上,如防火墙上的路由功能,甚至过分到把应用服务也搬到防火墙上,造成防火墙万能的局面,以致于\期望越高,败兴越大\。
虽说防火墙不是万能的,但没有防火墙却是万万不能的。防火墙至今为止依旧最重要的安全工具。任何技术都有其局限性,防火墙也不例外。
防火墙架构的回忆
今天,我们发觉自己处在一种网络不安全的现状,呼吁我们对防火墙架构的基础进行一个认确实回忆。
防火墙对网络安全的爱护程度,专门大程度上取决于防火墙的体系架构。一样的防火墙采纳以下防火墙架构的一种或几种:
l 静态包过滤〔Static Packet Filter〕
l 动态包过滤〔Dynamic or Stateful Packet Filter〕 l 电路网关〔Circuit Level Gateway〕 l 应用网关〔Application Level Gateway〕
l 状态检测包过滤〔Stateful Inspection Packet Filter〕 l 切换代理〔Cutoff Proxy〕 l 物理隔离〔Air Gap〕
网络安全是一种平稳
网络安全只是在可信和性能之间的一种简单的平稳。
所有的防火墙都依靠于对通过防火墙的包的信息进行检查。检查的越多,越安全。检查的重点是对网络协议的信息,这些信息按OSI的模型来讲,即分布在7层。明白防火墙运行在那一层上,就明白它的体系架构是什么。
l 一样说来,OSI的层号越高,防火墙要检查包的信息内容就越多,对CPU和内存的要求就高。 l OSI的层号越高,防火墙检查的内容就越多,也就越安全。 在防火墙的体系架构中,效率速度与防火墙的安全性,一直是一个折中方案。即高安全性的防火墙的效率和速度较低,高速度高效率的防火墙的安全性较低。然而,随着多CPU运算机的成本的下降,和操作系统支持对称多处理系统〔SMP〕的特性,传统的高速的包过滤的防火墙与开销较大的代理防火墙之间的差距逐步缩小。
成功的防火墙的一个最重要的因素,是谁在安全和性能之间选择做决定:〔1〕防火墙厂商,通过限制用户的架构选择,或〔2〕用户,在一个强壮的防火墙中要求更多的架构。实际上,到底是用户决定市场,还上厂商决定市场。那个问题没有答案,要看最后的事实。 防火墙的架构总体上如以下图。我们把OSI的明显和TCP/IP的模型,对比起来,以便把问题说清晰。
中网物理隔离产品介绍
