真人打鱼捕鱼app下载

网闸应用案例

发布日期:2011-07-24真人打鱼捕鱼app下载 > 解决方案

 网闸在社保网络安全防护中的应用研究

 

      摘要:网闸是新一代高安全性的网络隔离产品,已经成为继防火墙之后最受关注的安全产品。网闸很好地解决了隔离断开和数据交换的难题,在保证两个网络完全断开和协议中止的情况下,以非网络方式实现了数据交换。同时网闸还提供高速度、高稳定性的数据交换能力,能够满足用户对高安全、高性能、高可靠性的应用需要。本文结合社保网络实际应用,提出了采用网闸来隔离社保网不同安全域,并设置策略保护核心服务器区域。这种隔离保护措施可操作性强,安全防护效果明显。      关键词:网闸;社保网;安全防护

 

      0 前言

各级社保网络信息系统经过多年的建设,已经初具规模。社保网络上承载或运行着医疗险、养老险、失业险等信息系统。社保网联接下属劳动保障经办单位、定点医院、药店、银行、社区服务中心等相关单位。另外为了方便对社会提供服务和移动办公需要,社保网还需要与互联网相联。

根据业务性质要求及数据高安全性的需要,社保网络应具备高效、完整的安全体系,能提供7*24小时不间断的服务。

传统的安全保护措施是以防火墙、入侵检测、杀病毒为核心的安全防御体系,这些措施虽然起到了一定的作用,但其隔离防护效果还不尽如人意,而网闸弥补了这些不足,尤其是网闸近似于物理隔离的特性,使得其安全保护性能远远超过了防火墙。

1 传统隔离措施及存在的问题

传统的网络安全是通过边界控制、执行安全政策来完成的。内网和外网,专网和公网,涉密网和非涉密网,互联网和内联网,大体上反应了这样一种划分。这种二元逻辑划分,有时候过于简单,人们采用非战区(DMZ )或安全服务子网(SSN)的办法进行补充。通过限制边界,改善了网络的安全状况。

根据社保网络应用结构和各信息系统的性质,我们将其划分为五大安全域和三大安全防护边界。

五大安全域:核心服务器区域(安全级别最高)、网络安全管理区域、内部办公区域、对外服务的DMZ区域、二级单位及横向联网单位接入区域。

五大安全区域相互之间有多个网络边界,其中需要重点布防的边界是:互联网边界(安全威胁最高),二级单位医保/银行/税务接入边界、DMZ区域与核心服务器区域边界。传统的措施是在这些边界处部署防火墙进行隔离。区域划分及防火墙部署示意图如图1所示。

1 采用防火墙进行隔离示意图

 

上述隔离办法存在的主要问题是:

l         由于核心服务器区域的安全级别远远高于其它区域,在DMZ区域与核心服务器区域边界仅仅部署防火墙隔离,而防火墙是逻辑隔离设备,其隔离强度和安全检查策略不能满足此处高安全性的要求;

l         在互联网边界已有防火墙进行隔离,再在DMZ区域与核心服务器区域边界又部署防火墙隔离,虽然两处策略不尽相同,但还是存在同质化的疑虑,即黑客如果攻破了第一道防火墙,那么照样可以攻破第二道防火墙。

 

2 网闸工作原理

网闸是新一代的高安全性的隔离技术产品。网闸采用“2+1”的结构,即由两套单边计算机主机(外部主机、内部主机)和一套固态介质存储系统的隔离开关组成。由外部主机、内部主机和开关系统组成。

外部的单边计算机主机,只有外网卡,没有内网卡。该主机安装有代理软件:Agent。这个“Agent”不是内网的一部分,而是外网的一部分。“ Agent”代理内网去外网获取信息,然后放在指定的地方。

内部的计算机主机,只有内网卡,没有外网卡。该主机是网闸在内网的连接点,属于内网的一部分。所有内网的主机需要得到外网上的信息,都必须通过这台主机来代办。这台主机并不是简单的代理所有的请求,而是执行严格的安全政策,内容审查,防泄密,批准或是不批准访问请求。它从固定的地方取回请求的文件信息,检查请求回来的数据是否安全,建立内部的TCP/IP网络连接,将文件数据发回给请求者。

基于固态存储介质的网络开关,是网络隔离的核心。外部单边计算机主机与内部单边计算机主机是永远断开的。隔离开关逻辑上由两个开关组成,一个开关处在外部单边计算机主机和固态存储介质之间,我们称之为K1,另一个开关处在内部单边计算机主机和固态存储介质之间,我们称之为K2K1K2在任何时候至少有一个是断开的,即K1*K2=0,这是物理上固定的,不受任何控制系统的控制。因此,只有三种情况,K1=1K2=0K1=0K2=1K1=0K2=0。如图2所示。

怎样在两个网络完全断开的情况下,实现信息的交换,是网闸的关键。外部单边计算机主机,在K1=1K2=0状态下,将文件信息交给固态存储介质,类似于交给银行的保险箱。内部单边计算机主机,在K1=0K2=1的状态下,将文件信息从固态存储介质中取回,相当于从银行保险箱中取走文件。两种状况下,K1*K2=0,即两个主机是完全断开的。在K1=0K2=0状态下,没有任何信息交换,也是断开的。

 

2 网闸开关原理

网闸从网络第一层一直工作到网络第七层,网闸断开了两个网络,中止了所有的协议,在网络的第七层将包还原为原始数据或文件,然后以“摆渡文件”的形式来传递和交换数据,没有任何包、命令和TCP/IP协议(包括UDPICMP)可以穿透网闸。

 3网闸在社保网络中的部署

前面讨论了防火墙隔离措施存在的问题,在图1中,将DMZ区域与核心服务器区域边界的防火墙,替换为网闸设备,其隔离强度和安全检查策略就可满足此处高安全性的要求。同时考虑到此处边界的重要性和高可用性要求,此处可采用双机热备的方式部署网闸,以免出现单点故障。

将网闸的外部主机连接DMZ区交换机,内部主机核心服务器区交换机,外部主机包含外部单边代理(软件模块)、内部主机包含内部单边代理(软件模块),内外网主机代理之间的文件交换均通过网闸的开关系统来摆渡数据,部署示意图如图3所示。

3:网闸隔离部署示意图

 4 网闸的安全保护作用

1)网闸消除了来自外网对内网的攻击

部署了网闸后,由于外网(DMZ区及Internet)与内网(核心服务器区)是永远断开的,加上采用单边计算机主机模式,中断了TCP/IP,中断了应用连接,屏蔽了内部的网络拓扑结构,屏蔽了内部直接的操作系统漏洞,使基于网络的攻击无处可乘。部署网闸使得外网:

l         无法ping涉密网的任何主机;

l         无法穿透网闸来追踪路由(traceroute);

l         无法扫描内部网络,因此无法发现内网的主机信息、操作系统信息、应用信息;

l         无法发现内网主机的漏洞、应用的漏洞;

l         无法同内网的主机建立通信连接;

l         无法向内网发送IP包;

l         无法同内网的人格任何主机建立TCP/UDP/ICMP连接;

l         无法同内网的任何主机建立应用连接(C/SB/S)。

2)网闸消除了对自身攻击的威胁和风险

用于对外访问的网闸的外部主机,本身不对外提供任何服务,也不向外开放任何端口,只主动向外请求服务。因此,外网上的计算机不能对网闸外部主机的任何端口进行连接,从而无法进行攻击。任何主动向网闸发起的连接都被拒绝。

网闸主机采用了抗攻击内核的技术,完全屏蔽了外部主机的存在,因此无法攻击。

网闸的双主机结构消除了网闸的操作系统漏洞的威胁。双主机之间的开关,是一个完全的硬件介质,没有操作系统没有软件,没有状态,没有任何控制单元,因此,完全无法攻击。这既保证了即使退一万步,外部主机的操作系统的漏洞被曝光,也无法对内网的内部主机进行刺探,因为开关是完全无法进行攻击的。

在最坏的情况下,外部主机的操作系统漏洞被曝光,黑客所能做的最坏的结果是,向开关发送无效的数据,这个我们不用担心,因为内网的内部主机的鉴别和过滤程序会拒绝这些数据;破坏操作系统并关闭外部主机,这个我们也不担心,因为网闸在这种情况下,还是物理断开的。因为网络隔离的安全侦测是,如果不能保证安全就断开。

3)网闸采用了内容过滤和检查机制来防信息泄露

l         URL进行格式过滤、内容过滤和控制;

l         URL执行白名单或黑名单过滤;

l         GET进行格式过滤、内容过滤和控制;

l         GET的文件类型进行限制;

l         POST进行内容过滤;

l         POST进行类型、格式控制;

l         对交换的数据进行防病毒检查、进行防恶意代码检查;

l         对交换数据包含的命令、协议进行检查;

l         对重定向进行限制;

l         通过应用代理来执行严格的应用规范检查。

4)网闸可建立单向信息流入政策

网闸在内网中执行的是一种单向信息流入的服务政策,即内网可以访问外网,但外网不能访问内网。如在DMZ区部署前置机,通过网闸将社保核心服务器上的数据摆渡到前置机上,供Internet上的用户进行查询,但Internet上的用户不允许直接访问到核心服务器上。

另外还可在 DMZ区部署前置服务器,收集和接收Internet上用户(如社区用户通过Internet)上传过来的信息,经过加工处理再通过网闸单向传递给核心服务器,供内部使用。

同时在此基础上,网闸还采取多重措施,严防泄密。这些措施包括:身份认证、格式控制机制、关键词过滤机制、访问控制技术等措施。

 5 结束语

在实际应用中,我们采用两台中网网闸X-GAP8500(双机热备)来隔离社保网核心服务器区域与DMZ区域。经过收发包测试,发包计算机所发数据包不会直接通过TCP协议栈到达收包计算机,在网闸的内外端机采用应用代理进行协议终止,并在应用层进行协议过滤,未知协议不能通过网闸。网闸的安全强度大大高于防火墙,安全防护效果明显,并且运行稳定。类似的网闸应用还可推广到网上税务、网上财政、网上银行、网上证券、网上工商、网上电力营销等系统。