一、概述
网闸(GAP)全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。
网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全。
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。
二、网闸的工作原理
隔离网闸(安全隔离与信息交换),是在保证两个网络安全隔离的基础上实现安全信息交换和资源共享的技术。它采用独特的硬件设计并集成多种软件防护策略,能够抵御各种已知和未知的攻击,显著提高内网的安全强度,为用户创造无忧的网络应用环境。
GAP源于英文的“Air Gap”,GAP技术是一种通过专用硬件使两个或者两个以上的网络在不连通的情况下,实现安全数据传输和资源共享的技术。GAP中文名字叫做安全隔离网闸,它采用独特的硬件设计,能够显著地提高内部用户网络的安全强度。
GAP技术的基本原理是:切断网络之间的通用协议连接;将数据包进行分解或重组为静态数据;对静态数据进行安全审查,包括网络协议检查和代码扫描等;确认后的安全数据流入内部单元;内部用户通过严格的身份认证机制获取所需数据。
安全隔离与信息交换系统SGAP一般由三部分构成:内网处理单元、外网处理单元和专用隔离硬件交换单元。系统中的内网处理单元连接内部网,外网处理单元连接外部网,专用隔离硬件交换单元在任一时刻点仅连接内网处理单元或外网处理单元,与两者间的连接受硬件电路控制高速切换。这种独特设计保证了专用隔离硬件交换单元在任一时刻仅连通内部网或者外部网,既满足了内部网与外部网网络物理隔离的要求,又能实现数据的动态交换。SGAP系统的嵌入式软件系统里内置了协议分析引擎、内容安全引擎和病毒查杀引擎等多种安全机制,可以根据用户需求实现复杂的安全策略。SGAP系统可以广泛应用于银行、政府等部门的内部网络访问外部网络,也可用于内部网的不同信任域间的信息交互。
安全级别不一样,网闸是一种隔离设备,在保障安全的基础上实现通讯,而防火墙是保障通讯的基础上尽量做到安全。
三、防火墙的工作原理
防火墙就是一种过滤塞,你可以让你喜欢的东西通过这个塞子,别的玩意都统统过滤掉。在网络的世界里,要由防火墙过滤的就是承载通信数据的通信包。
天下的防火墙至少都会说两个词:Yes或者No。直接说就是接受或者拒绝。最简单的防火墙是以太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样:有的取代系统上已经装备的TCP/IP协议栈;有的在已有的协议栈上建立自己的软件模块;有的干脆就是独立的一套操作系统。还有一些应用型的防火墙只对特定类型的网络连接提供保护(比如SMTP或者HTTP协议等)。还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙,因为他们的工作方式都是一样的:分析出入防火墙的数据包,决定放行还是把他们扔到一边。
四、具体区别
功能项
防火墙
安全隔离网闸
产品定位
在保障互联互通的前提下,尽可能保障安全。
在保证高度安全的前提下,尽可能实现互联互通。
设计思想
网络访问控制设备。防火墙部署于网络边界,在保证双方网络访问连接的同时,根据策略对数据报文进行访问控制,并在不影响设备性能的前提下进行内容过滤。
网络隔离交换设备。模拟人工拷盘实现数据信息在两个网络之间交换。对于网络间通过网闸实现数据同步的应用,网闸主动监控并读取所隔离的两个网络中的服务器数据从而实现数据同步,而非服务器主动发起连接请求;对于网络间的客户端和服务器之间通过网闸访问控制的应用,网闸的一个主机系统中断访问连接,另一主机系统重新建立连接,两主机系统中在应用层进行数据报文重组,重在进行数据内容的检查。
硬件结构设计
防火墙为单主机结构,报文在同一个主机系统上经过安全检测后,根据策略转发。
安全隔离网闸基于“2+1”的体系结构,即由两个主机系统和一个隔离交换硬件组成,隔离交换硬件为专有硬件,不受主机系统控制。数据信息流经网闸时是串行流经三个系统的。
操作系统设计
防火墙一般采用单一的专用操作系统。
安全隔离网闸的两个主机系统各自有专用操作系统,相互独立。
协议处理程度
不同类型的防火墙,可能分别或综合采用分组包过滤、状态包过滤、NAT、应用层内容检查等安全技术,工作在OSI协议栈的第三至七层,通过匹配安全策略规则,依据IP头、TCP头信息、应用层明文信息,对进出防火墙的会话进行过滤。
所有到达安全隔离网闸外网的会话都被中断原有的TCP/IP连接,隔离设备将所有的协议剥离,将原始的数据写入存储介质。根据不同的应用,可能有必要对数据进行完整性和安全性检查,如防病毒和恶意代码等。对所有数据在应用层进行协议还原的基础上,以专有协议格式进行数据摆渡,综合了访问控制、内容过滤、病毒查杀等技术,具备全面的安全防护功能。
安全机制
采用包过滤、代理服务等安全机制。
在GAP技术的基础上,综合了访问控制、内容过滤、病毒查杀等技术,具有全面的安全防护功能。
抵御基于操作系统漏洞攻击行为
防火墙通过防止对内扫描等设置,可以部分防止黑客发现主机的操作系统漏洞。但无法阻止黑客通过防火墙允许的策略利用漏洞进行攻击。
安全隔离网闸的双主机之间是物理阻断的,无连接的,因此,黑客不可能扫描内部网络的所有主机的操作系统漏洞,无法攻击内部,包括安全隔离网闸的内部主机系统。
抵御基于TCP/IP漏洞的攻击
防火墙需要制定严格的访问控制策略对连接进行检查以抵御TCP/IP漏洞攻击,只能对大部分已知TCP/IP攻击实施阻断。
由于安全隔离网闸的主机系统把TCP/IP协议头全部剥离,以原始数据方式在两主机系统间进行“摆渡”,网闸的接受请求的主机系统与请求主机之间建立会话,因此,对于目前所有的如源地址欺骗、伪造TCP序列号、SYN攻击等TCP/IP漏洞攻击是完全阻断的。
抵御木马将数据外泄
防火墙部署时,一般对于内部网络向外部的访问控制是全部开放的,因此内部主机上的木马会很容易将数据外泄。并且黑客也容易通过木马主动建立的对外连接实现对内主机的远程控制。
安全隔离网闸对于每个应用都是在应用层进行处理,并且策略需按照应用逐个下达,同时对于目的地址也要唯一性指定,因此内部主机上的木马是无法实现将数据外泄的。并且木马主动发起的对外连接也将直接被隔离设备切断。
抵御基于文件的病毒传播
防火墙可以根据应用层访问控制策略对经过防火墙的文件进行检查,或根据对文件类型的控制,只允许低级文件格式,如无病毒的文本格式内容穿过防火墙。等方式来抵御病毒传播。
安全隔离网闸在理论上是完全可以防止基于文件的攻击,如病毒等。病毒一般依附在高级文件格式上,低级文件格式则不会有病毒,因此进行文件“摆渡”的时候,可以限制文件的类型,如只有文本文件才可以通过“摆渡”,这样就不会有病毒。另外一种方式,是剥离重组方式。剥离高级格式,就消除了病毒的载体,重组后的文件,不会再有病毒。这种方式会导致效率的下降,一些潜在的危险的格式可能会被禁止。
抵御DoS/DDoS攻击
防火墙通过SYN代理或SYN网关等技术,可以较好的抵御现有的各种DoS攻击类型。但对于大规模DDoS攻击方式,还没有有效的防护手段。
安全隔离网闸自身特有的无连接特性,能够很好的防止DoS或DDoS攻击穿过隔离设备攻击服务器。但也不能抵御针对安全隔离设备本身的DDoS攻击。
管理安全性
通过网络接口远程管理。但如攻击者获得了管理权限,可以通过远程调整防火墙的安全策略,从而达到攻击目的。
内外网主机系统分别有独立于网络接口的专用管理接口,同时对于运行的安全策略需要在两个系统分别下达,并通过统一的任务号进行对应。以此达到高安全。
可管理性
管理配置有一定复杂性。
个人认为管理配置不比防火墙简单。
遭攻击后果
被攻破的防火墙只是个简单的路由器,将危及内网安全。
即使系统的外网处理单元瘫痪,网络攻击也无法触及内网处理单元。
与其它安全设备联动性
目前防火墙基本都可以与IDS设备联动。
可结合防火墙、IDS、VPN等安全设备运行,形成综合网络安全防护平台。