物理隔離網(wǎng)閘常見技術(shù)問題解答

物理隔離網(wǎng)閘一定要采用專用開關(guān)集成電路嗎？答：不是。在開關(guān)的實現(xiàn)中，最直接的辦法是采用專用開關(guān)集成電路，直接控制總線方式。由于受我國芯片制造業(yè)的水平限制，性能和質(zhì)量很難保證，送到外國生產(chǎn)則必須交出電路設(shè)計，又擔心安全問題。另外一個問題是專用芯片的批量生產(chǎn)和價格問題，在美國也很難解決這個問題。目前美國的物理隔離網(wǎng)閘廠商，采用專用開關(guān)芯片的也不多。物理隔離網(wǎng)閘是如何利用SCSI來實現(xiàn)開關(guān)技術(shù)的？答：首先，SCSI不是一個通信協(xié)議，而是一個用于主機向存儲外設(shè)讀寫的協(xié)議。通過兩個主機連接一個存儲設(shè)備，如下圖：中間的固態(tài)存儲介質(zhì)，不是采用文件系統(tǒng)方式，而是采用塊方式（Block）。外部主機可以向固態(tài)存儲介質(zhì)發(fā)起讀和寫的請求，內(nèi)部主機也可以向固態(tài)存儲介質(zhì)發(fā)起讀和寫的請求，但固態(tài)存儲介質(zhì)每次只受理一個。固態(tài)存儲介質(zhì)本身不可以向主機發(fā)起連接請求。因此，外部主機和內(nèi)部主機不會發(fā)生連接，只能通過固態(tài)存儲介質(zhì)進行擺渡。這就具備了一個簡單的開關(guān)原理。在實際的技術(shù)中要復(fù)雜得多，廠商要解決存在的時鐘問題，效率問題，同步問題，可靠性問題，阻塞問題等一系列問題，才可能實現(xiàn)基于SCSI的開關(guān)技術(shù)。由于SCSI連接不存在任何上層協(xié)議的編程接口，僅只有謝寫的功能，能夠很好地阻擋任何上層通信協(xié)議包括TCP/IP，并具有很高的可靠性和穩(wěn)定性。因此，在操作系統(tǒng)核心層中通過SCSI技術(shù)實現(xiàn)主機之間的開關(guān)設(shè)計在國際上非常流行，也是主流趨勢。物理隔離網(wǎng)閘可以采用USB，火線和以太來實現(xiàn)軟開關(guān)嗎？答：不可以。USB，火線和以太線，都是通信協(xié)議，這在安全性上與防火墻無異。由于USB方式、火線方式和以太方式很容易增加編程接口，如加載TCP/IP，可能受某些軟件編程控制，不能有效和徹底地中斷TCP/IP和應(yīng)用服務(wù)。基于上述介質(zhì)實現(xiàn)的通斷（有廠商宣稱是軟開關(guān)）不是物理隔離網(wǎng)閘所要求的開關(guān)。線路有通斷，并不就是物理隔離。（詳見物理隔離網(wǎng)閘常見概念問題解答）為什么SCSI可以，而USB、火線和以太就不行？答：要說集成電路開關(guān)，大家比較容易接受。而SCSI也是線，USB，火線和以太也是線，為什么SCSI可以，而其他的就不行？原因很簡單，SCSI不是通信協(xié)議，是文件讀寫協(xié)議，SCSI線和固態(tài)存儲介質(zhì)作為一個系統(tǒng)來實現(xiàn)開關(guān)原理。USB，火線和以太都是通信協(xié)議，兩個主機相連，已經(jīng)不具備物理隔離網(wǎng)閘要求的隔離特性和安全特性。

答：不慢。一個33Mhz的32bit的總線bus的PCI能提供的帶寬為132MB/S，即1056Mbit/s。一個66Mhz的64bit的總線的PCI能提供的帶寬為528MB/S，即4224Mbit/s。采用雙通道的320MB/S的SCSI，可以取得的總帶寬為640MB/S，即5120Mbit/s。5G帶寬應(yīng)該足夠了。物理隔離網(wǎng)閘工作在OSI模型的那一層？答：所有的七層都工作。（詳見中網(wǎng)物理隔離網(wǎng)閘白皮書）AppfkraliorInterfaceInternalNetworkEzlernalNetwork□SIModel□SIModelPresentaiionSessionTranspcrtDa甬Link.PhysicalPreseftlalJCHiTranspontNetworkgAppfkraliorInterfaceInternalNetworkEzlernalNetwork□SIModel□SIModelPresentaiionSessionTranspcrtDa甬Link.PhysicalPreseftlalJCHiTranspontNetworkg忸LinkPhysicalProxyAppfc^ixin<^§4-Application答：物理隔離網(wǎng)閘通過工作在第5層，來中斷TCP會話，將一組IP包“還原”為一個應(yīng)用數(shù)據(jù)。因此，基于TCP協(xié)議的攻擊，就全部被去掉。比如說，SYNflooding攻擊等。

oSI第七層之外B/S會話5至7層□■□■COIP包，3層B/S會話5至7層rrrrrDtcpoSI第七層之外B/S會話5至7層□■□■COIP包，3層B/S會話5至7層答：物理隔離網(wǎng)閘必須在外部和內(nèi)部主機上同時提供具體的應(yīng)用代理服務(wù)。沒有提供代理服務(wù)的應(yīng)用服務(wù)的包將無法通過。只有提供相關(guān)的應(yīng)用代理服務(wù)，在剝離TCP/IP基礎(chǔ)之上，才能將應(yīng)用協(xié)議“剝離”，屏蔽應(yīng)用協(xié)議可能的漏洞，保證安全性。應(yīng)用代理將應(yīng)用數(shù)據(jù)“還原”出來，通過開關(guān)電路“擺渡”到對方。信息安全交換系統(tǒng)是如何工作的？答：信息安全交換系統(tǒng)的OSI模型圖如下。外部主機代理。內(nèi)部主機代理和中間的安全檢查主機。三臺主機之間通過以太方式相連。有文獻說，可以將中間的安全檢查主機，采用物理隔離卡，來人工切換。有些類似安全系統(tǒng)和物理隔離卡的系統(tǒng)應(yīng)用，可以認為是物理隔離，但不是物理隔離網(wǎng)閘。

'rartspMFfrfiiaa梅HericPhraGflinteTiak='4?ffc用擇31Nettfi'ktiwkH*.■.Inteinal再MmmEi'rartspMFfrfiiaa梅HericPhraGflinteTiak='4?ffc用擇31Nettfi'ktiwkH*.■.Inteinal再MmmEiIXcJrtskUetflcriiIris?'汨頑一答：安全隔離工作模型有很多種。其中安全性最高的一種如下圖。OSIModel□SIModelApplicationPrefertaiini:SessionTraisportWetwcricDataUn*PhysicalPtojqrOSIModelApplicationPrefertaiini:SessionTraisportWetwcricDataUn*PhysicalPtojqr/ippfc^lioThPtcafrtppfcatioHNetworkDataLinkPhysicalInterfaceExternalNetworkNetworkInterfaceNetwrt>rtc[nterfaceIInt可sailEjJernml|NeiworkMetworkIn也mailMetwork但沒有發(fā)現(xiàn)這種結(jié)構(gòu)與單個的代理有本質(zhì)的不同，除非內(nèi)部主機的操作系統(tǒng)與外部的不同。該結(jié)構(gòu)的另外兩種模型如下，分別是電路代理和包過濾。OSIMedelOSHMedelInternal性IWQlKinternalHeiwoiKDateLinkPhyskslPtesenlaibnIr.-.nL|XirlAppliGBtbodPress⑶STrafljsf)crtN郁Rri;UnkPhysk?】NetworkintarfBccExternal電路代理在執(zhí)行完認證和會話檢查后，預(yù)以放行，效率比應(yīng)用代理要高一些。包過濾的雙主機結(jié)構(gòu)，是目前安全性最低的一種。幾乎看不出來，它與兩個包過濾防火墻串聯(lián)有什么不同。有些廠商從外部主機的內(nèi)核中取出數(shù)據(jù)，將網(wǎng)卡設(shè)置為混雜模式，直接傳輸?shù)絻?nèi)部主機的內(nèi)核，聽起來好像安全一些，實際什么也沒有做。比如有些物理隔離就是雙主機之間，在機箱內(nèi)部直接用以太連接起來。OSIOSIExtefna.1NetwtirKIE丸&malMetworkNetworklirt印nalMelworKPresen原EionSessionrrarrsport叫#twork□ataLiE!PhysicalAppEk^licnFresenlatioiSessionTransporthl^tw必DataLinkPhysiolNeiwarkI儡采用了協(xié)議轉(zhuǎn)換，是物理隔離嗎？答：不是。采用雙主機形式，在雙主機之間執(zhí)行協(xié)議轉(zhuǎn)換，還是安全隔離或邏輯隔離的范疇。因為協(xié)議的轉(zhuǎn)換并不意味著消除了基于協(xié)議的攻擊，還是存在通信連接，存在基于通信連接的攻擊?；趨f(xié)議轉(zhuǎn)換的雙主機結(jié)構(gòu)有哪些類型和形式？答：主要有三種類型，應(yīng)用代理，電路代理和包過濾類型。協(xié)議轉(zhuǎn)換形式包括但不限于USB，火線，串口，并口，ATM，myrinet，專用ASIC卡等形式。串口.齊口.睿通倍方式OSi：ModelSessionTransportPhysKalExiemai川臥tMijkQSIModfrlNetworkApp*icaik)npresenlaUanSessionflwQrttPhysicalI門膊rnal很多人并不認為，雙主機用以太方式連接起來，能增加安全性，也不認為是什么物理隔離。因為在理論上，黑客可以通過操作系統(tǒng)的漏洞掃描來發(fā)現(xiàn)主機漏洞，從而入侵該主機，再掃描下一個主機，逐步入侵。因此，有些廠商，將以太線改為串口，并口，USB串口.齊口.睿通倍方式OSi：ModelSessionTransportPhysKalExiemai川臥tMijkQSIModfrlNetworkApp*icaik)npresenlaUanSessionflwQrttPhysicalI門膊rnal有些廠商為了增加對內(nèi)容的檢查，利用TCPStream來還原數(shù)據(jù)流，以便增加對內(nèi)容的檢查。在防火墻上同樣可以增加這些功能。如有廠商推出流過濾，就是這樣一個功能。這只是上圖的一個變種，同樣存在基于連接的攻擊，基于會話的攻擊，和基于協(xié)議的攻擊。licationOSIModelPte^enlationSB&sionOSIMM由ExlemalNetwork串口，TranspcrtDataLinkPhysical芥口，等通信方式NfifWMKInterlaceInternalNetworkNetwwicInterfax這是另外一個變種，在雙主機上利用應(yīng)用代理來增強安全性，消除了利用協(xié)議漏洞攻擊的可能性，但還是存在基于通信連接攻擊的可能性。因此上述情況都不是物理隔離網(wǎng)閘?！窤pfllicaltonPt&scttmeSessionTransportMstworfcDaiaLink.Physical物理隔離網(wǎng)閘的每一個應(yīng)用都需要相應(yīng)的代理？答：是。除了標準通用應(yīng)用之外，每一個應(yīng)用只要有協(xié)議規(guī)范，就可以定制。因此任何行業(yè)都可以使用物理隔離網(wǎng)閘，不管其應(yīng)用多特殊。物理隔離網(wǎng)閘的應(yīng)用代理是否符合相關(guān)的RFC規(guī)范？答：符合。只有符合，才能保證應(yīng)用的透明性和互通性。從外網(wǎng)已經(jīng)ping不通內(nèi)網(wǎng)，是物理隔離網(wǎng)閘嗎？答：不一定。Ping當然無法ping通物理隔離網(wǎng)閘，但ping不通不一定是物理隔離網(wǎng)閘。在路由器上禁止ICMP協(xié)議，ping就不能工作，但不是物理隔離網(wǎng)閘。從外網(wǎng)無法掃描內(nèi)網(wǎng)的主機，是物理隔離網(wǎng)閘嗎？答：不一定。掃描軟件無法通過物理隔離網(wǎng)閘來掃描內(nèi)部主機，但掃描不了內(nèi)部主機不一定就是物理隔離網(wǎng)閘。掃描軟件就無法通過代理服務(wù)器來掃描內(nèi)部主機，但代理服務(wù)器不是物理隔離網(wǎng)閘。通過開關(guān)來實現(xiàn)了包轉(zhuǎn)發(fā)，是物理隔離網(wǎng)閘嗎？答：不是。只要包里含有TCP/IP協(xié)議，即使是使用了開關(guān)，也可以建立TCP連接。存在基于包和TCP協(xié)議的攻擊。為什么說即使入侵了網(wǎng)閘的外部主機，也無法入侵內(nèi)部主機？答：物理隔離網(wǎng)閘的外部主機和內(nèi)部主機不是通過對話來進行通信的，而是不對話不通信，只根據(jù)“好的”約定來進行簡單的動作。比如說，在最壞的可能的情況下，黑客入侵了外部主機，黑客也可以人工的向固態(tài)存儲介質(zhì)寫文件，內(nèi)部主機拿到這些文件后，內(nèi)部應(yīng)用不能理解這些文件，只好丟掉，即使理解了，發(fā)現(xiàn)不符合安全政策，也是丟掉。內(nèi)部主機的決策不是由外部主機發(fā)來的文件決定，而是根據(jù)內(nèi)部的安全政策決定。因此，不可能控制內(nèi)部。加上沒有連接，沒有通信，沒有協(xié)議，不可能入侵內(nèi)部。物理隔離網(wǎng)閘的外部主機有哪些防止入侵的辦法？答：外部主機因為要提供服務(wù)，必須準許訪問。從絕對的技術(shù)觀點上來講，沒有操作系統(tǒng)保證說我這個操作系統(tǒng)沒有漏洞，因此，在理論上外部主機存在被攻擊的可能性，哪怕是千萬分之一的小概率事件。這并不意味著外部主機就一定會被攻擊。有很多的技術(shù)手段可以保證即使在操作系統(tǒng)有漏洞的情況下，也無法讓黑客入侵，如輕量級入侵檢測，關(guān)閉登錄主機服務(wù)，隱蔽性防