網(wǎng)絡(luò )隔離中的數據交換技術(shù)介紹

一、背景

　　網(wǎng)絡(luò )隔離是很多專(zhuān)用網(wǎng)絡(luò )的沒(méi)有辦法的辦法，網(wǎng)絡(luò )上承載專(zhuān)用的業(yè)務(wù)，其安全性一定要得到保障，然而網(wǎng)絡(luò )的建設就是為了互通的，沒(méi)有數據的共享，網(wǎng)絡(luò )的作用也縮水了不少，因此網(wǎng)絡(luò )隔離與數據共享交換本身就是天生的一對矛盾，如何解決好網(wǎng)絡(luò )的安全，又方便地實(shí)現數據的交換是很多網(wǎng)絡(luò )安全技術(shù)人員在一直探索的。

　　網(wǎng)絡(luò )要隔離的原因很多，通常說(shuō)的有下面兩點(diǎn)：

　　1、涉密的網(wǎng)絡(luò )與低密級的網(wǎng)絡(luò )互聯(lián)是不安全的，尤其來(lái)自不可控制網(wǎng)絡(luò )上的入侵與攻擊是無(wú)法定位管理的?；ヂ?lián)網(wǎng)是世界級的網(wǎng)絡(luò )，也是安全上難以控制的網(wǎng)絡(luò )，又要連通提供公共業(yè)務(wù)服務(wù)，又要防護各種攻擊與*。要有隔離，還要數據交換是各企業(yè)、政府等網(wǎng)絡(luò )建設的首先面對的問(wèn)題。

　　2、安全防護技術(shù)永遠落后于攻擊技術(shù)，先有了矛，可以刺傷敵人，才有了盾，可以防護被敵人刺傷。攻擊技術(shù)不斷變化升級，門(mén)檻降低、漏洞出現周期變短、*傳播技術(shù)成了木馬的運載工具...而防護技術(shù)好象總是打不完的補丁，目前互聯(lián)網(wǎng)上的黑客已經(jīng)產(chǎn)業(yè)化，有些象網(wǎng)絡(luò )上的黑社會(huì )，雖然有時(shí)也做些殺富濟貧的義舉，但為了生存，不斷專(zhuān)研新型攻擊技術(shù)也是必然的。在一種新型的攻擊出現后，防護技術(shù)要遲后一段時(shí)間才有應對的辦法，這也是網(wǎng)絡(luò )安全界的目前現狀。

　　因此網(wǎng)絡(luò )隔離就是先把網(wǎng)絡(luò )與非安全區域劃開(kāi)，當然最好的方式就是在城市周?chē)诘淖o城河，然后再建幾個(gè)可以控制的吊橋，保持與城外的互通。數據交換技術(shù)的發(fā)展就是研究橋上的防護技術(shù)。

　　關(guān)于隔離與數據交換，啟明星辰公司有比較的安全策略研究，總結起來(lái)有下面幾種安全策略：

　　修橋策略：業(yè)務(wù)協(xié)議直接通過(guò)，數據不重組，對速度影響小，安全性弱

　　◆防火墻FW：網(wǎng)絡(luò )層的過(guò)濾

　　◆多重安全網(wǎng)關(guān)：從網(wǎng)絡(luò )層到應用層的過(guò)濾，多重關(guān)卡策略

　　渡船策略：業(yè)務(wù)協(xié)議不直接通過(guò)，數據要重組，安全性好

　　◆網(wǎng)閘：協(xié)議落地，安全檢測依賴(lài)于現有的安全技術(shù)

　　◆交換網(wǎng)絡(luò )：建立交換緩沖區，采用防護、監控與審計多方位的安全防護

　　人工策略：不做物理連接，人工用移動(dòng)介質(zhì)交換數據，安全性最好。

　　二、數據交換技術(shù)

　　1、防火墻

　　防火墻是最常用的網(wǎng)絡(luò )隔離手段，主要是通過(guò)網(wǎng)絡(luò )的路由控制，也就是訪(fǎng)問(wèn)控制列表(ACL)技術(shù)，網(wǎng)絡(luò )是一種包交換技術(shù)，數據包是通過(guò)路由交換到達目的地的，所以控制了路由，就能控制通訊的線(xiàn)路，控制了數據包的流向，早期的網(wǎng)絡(luò )安全控制方面基本上是防火墻。國內影響較大的廠(chǎng)商有天融信、啟明星辰、聯(lián)想網(wǎng)御等。

　　但是，防火墻有一個(gè)很顯著(zhù)的缺點(diǎn)：就是防火墻只能做網(wǎng)絡(luò )四層以下的控制，對于應用層內的*、蠕蟲(chóng)都沒(méi)有辦法。對于安全要求初級的隔離是可以的，但對于需要深層次的網(wǎng)絡(luò )隔離就顯得不足了。

　　值得一提的是防火墻中的NAT技術(shù)，地址翻譯可以隱藏內網(wǎng)的IP地址，很多人把它當作一種安全的防護，認為沒(méi)有路由就是足夠安全的。地址翻譯其實(shí)是代理服務(wù)器技術(shù)的一種，不讓業(yè)務(wù)訪(fǎng)問(wèn)直接通過(guò)是在安全上前進(jìn)了一步，但目前應用層的繞過(guò)NAT技術(shù)很普遍，隱藏地址只是相對的。目前很多攻擊技術(shù)是針對防火墻的，尤其防火墻對于應用層沒(méi)有控制，方便了木馬的進(jìn)入，進(jìn)入到內網(wǎng)的木馬看到的是內網(wǎng)地址，直接報告給外網(wǎng)的攻擊者，NAT的安全作用就不大了。

　　2、多重安全網(wǎng)關(guān)(也稱(chēng)新一代防火墻)

　　防火墻是在橋上架設的一道關(guān)卡，只能做到類(lèi)似護照的檢查，多重安全網(wǎng)關(guān)的方法就是架設多道關(guān)卡，有檢查行李的、有檢查人的。多重安全網(wǎng)關(guān)也有一個(gè)統一的名字：UTM(統一威脅管理)。設計成一個(gè)設備，還是多個(gè)設備只是設備本身處理能力的不同，重要的是進(jìn)行從網(wǎng)絡(luò )層到應用層的全面檢查。國內推出UTM的廠(chǎng)家很多，如天融信、啟明星辰等。

　　多重安全網(wǎng)關(guān)的檢查分幾個(gè)層次：

　　FW：網(wǎng)絡(luò )層的ACL

　　IPS：防入侵行為

　　AV：防*入侵

　　可擴充功能：自身防DOS攻擊、內容過(guò)濾、流量整形...

　　防火墻與多重安全網(wǎng)關(guān)都是架橋的策略，主要是采用安全檢查的方式，對應用的協(xié)議不做更改，所以速度快，流量大，可以過(guò)汽車(chē)業(yè)務(wù)，從客戶(hù)應用上來(lái)看，沒(méi)有不同。