中网物理隔离产品白皮书总论(1)27804.docx

《中网物理隔离产品白皮书总论(1)27804.docx》由会员分享，可在线阅读，更多相关《中网物理隔离产品白皮书总论(1)27804.docx（32页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、中网物理隔离产品白皮书总论物理隔离产品是用来解决网络安全问题的。尤其是在那些需要绝对保证安全的保密网，专网和特种网络与互联网进行连接时，为了防止来自互联网的攻击和保证这些高安全性网络的保密性、安全性、完整性、防抵赖和高可用性，几乎全部要求采用物理隔离技术。学术界一般认为，最早提出物理隔离技术的，应该是以色列和美国的军方。但是到目前为止，并没有完整的关于物理隔离技术的定义和标准。从不同时期的用词也可以看出，物理隔离技术一直在演变和发展。较早的用词为Physical Disconnection，Disconnection有使断开，切断，不连接的意思，直译为物理断开。这种情况是完全可以理解，保密网与

2、互联网连接后，出现很多问题，在没有解决安全问题或没有解决问题的技术手段之前，先断开再说。后来有Physical Separation，Separation有分开，分离，间隔和距离的意思，直译为物理分开。后期发现完全断开也不是办法，互联网总还是要用的，采取的策略多为该连的连，不该连的不连。这样的该连的部分与不该连的部分要分开。也有Physical Isolation，Isolation有孤立，隔离，封闭，绝缘的意思，直译为物理封闭。事实上，没有与互联网相连的系统不多，互联网的用途还是很大，因此，希望能将一部分高安全性的网络隔离封闭起来。再后来多使用Physical Gap，Gap有豁口，裂口，缺

3、口和差异的意思，直译为物理隔离，意为通过制造物理的豁口，来达到隔离的目的。到这个时候，Physical这个词显得非常僵硬，于是有人用Air Gap来代替Physical Gap。Air Gap意为空气豁口，很明显在物理上是隔开的。但有人不同意，理由是空气豁口就物理隔离了吗？没有，电磁辐射，无线网络，卫星等都是空气豁口，却没有物理隔离，甚至连逻辑上都没有隔离。于是，E-Gap，Netgap，I-Gap等都出来了。现在，一般称Gap Technology，意为物理隔离，成为互联网上一个专用名词。对物理隔离离的理解解表现为为以下几几个方面面：1， 阻断断网络的的直接连连接，即即没有两两个网络络同时连

4、连在隔离离设备上上；2， 阻断网网络的互互联网逻逻辑连接接，即TTCP/IP的的协议必必需被剥剥离，将将原始数数据通过过P2PP的非TTCP/IP连连接协议议透过隔隔离设备备传递；3， 隔离设设备的传传输机制制具有不不可编程程的特性性，因此此不具有有感染的的特性；4， 任何数数据都是是通过两两级移动动代理的的方式来来完成，两两级移动动代理之之间是物物理隔离离的；55， 隔隔离设备备具有审审查的功功能；66， 隔隔离设备备传输的的原始数数据，不不具有攻攻击或对对网络安安全有害害的特性性。就像像txtt文本不不会有病病毒一样样，也不不会执行行命令等等。7， 强大的的管理和和控制功功能。网络安全的的

5、体系架架构的演演变要对物理隔隔离技术术有一个个深入的的了解，必必须对网网络安全全体系架架构有深深入的研研究。要要了解网网络安全全的架构构体系，从从目前网网络安全全市场的的构成就就可以初初见端倪倪。防火火墙，防防病毒，VVPN和和入侵检检测（IIDS），是是市场的的主流产产品。安安全体系系以防火火墙为核核心，向向联动的的方向发发展。因因此，要要了解网网络安全全的架构构体系的的演变，必必须防火火墙进行行深入的的了解。现状目前，市场场上销售售量第一一和第二二的防火火墙都使使用一种种被称为为状态检检测包隔隔离的技技术，SStattefuul IInsppecttionn Paackeet FFiltt

6、eriing (SIIPF)。状态态检测有有两大优优势，一一是速度度快，二二是具有有很大的的灵活性性。这也也是SIIPF为为什么受受欢迎的的原因。有有人会注注意到我我们甚至至没有提提到安全全性，尽尽管人们们要买防防火墙，听听起来是是要解决决安全问问题，但但安全性性不是人人们选择择防火墙墙的第一一理由。人人们选择择防火墙墙的第一一理由是是易于安安装和使使用，尽尽可能的的减少麻麻烦和对对网络结结构的变变动，以以及对业业务的影影响。有防火墙墙之父之称的的马尔科科斯（MMarccus Rannum）也也注意到到这一点点，防火火墙客户户有一次次投票，结结果前三三位重要要特性是是透明特特性，性性能和方方便

7、性，而而不是安安全性，没没有人对对这个结结果感到到惊讶。仅有防火墙墙的安全全架构是是远远不不够的目前网络安安全市场场上，最最流行的的安全架架构是以以防火墙墙为核心心的安全全体系架架构。通通过防火火墙来实实现网络络的安全全保障体体系。然然而，以以防火墙墙为核心心的安全全防御体体系未能能有效地地防止目目前频频频发生网网络攻击击。仅有有防火墙墙的安全全架构是是远远不不够的。以以致于很很多人都都在怀疑疑，防火火墙是不不是过时时了。连连具?qquott;防火火墙之父父马尔尔科斯都都宣称，他他再也不不相信防防火墙。这么说防火火墙，似似乎有一一点过。主主要的原原因是前前一个时时期，防防火墙已已经成为为安全的

8、的代名词词，言必必谈防火火墙。导导致很多多厂商把把根本不不属于防防火墙的的东西全全部推到到防火墙墙上，如如防火墙墙上的路路由功能能，甚至至过分到到把应用用服务也也搬到防防火墙上上，造成成防火墙墙万能的的局面，以以致于期望越越高，失失望越大大。虽说防火墙墙不是万万能的，但但没有防防火墙却却是万万万不能的的。防火火墙至今今为止还还是最重重要的安安全工具具。任何何技术都都有其局局限性，防防火墙也也不例外外。 防火墙架构构的回顾顾今天，我们们发现自自己处在在一种网网络不安安全的现现状，呼呼唤我们们对防火火墙架构构的基础础进行一一个仔细细的回顾顾。防火墙对网网络安全全的保护护程度，很很大程度度上取决决于

9、防火火墙的体体系架构构。一般般的防火火墙采用用以下防防火墙架架构的一一种或几几种：ll 静态态包过滤滤（Sttatiic PPackket Fillterr）l 动态包包过滤（DDynaamicc orr Sttateefull Paackeet FFiltter）l 电路网关（Circuit Level Gateway）l 应用网关（Application Level Gateway）l 状态检测包过滤（Stateful Inspection Packet Filter）l 切换代理（Cutoff Proxy）l 物理隔离（Air Gap）网络安全是是一种平平衡网络安全只只是在可可信和性性能

10、之间间的一种种简单的的平衡。所有的防火火墙都依依赖于对对通过防防火墙的的包的信信息进行行检查。检检查的越越多，越越安全。检检查的重重点是对对网络协协议的信信息，这这些信息息按OSSI的模模型来讲讲，即分分布在77层。知知道防火火墙运行行在那一一层上，就就知道它它的体系系架构是是什么。l 一般说说来，OOSI的的层号越越高，防防火墙要要检查包包的信息息内容就就越多，对对CPUU和内存存的要求求就高。l OSI的层号越高，防火墙检查的内容就越多，也就越安全。 在防火墙的体系架构中，效率速度与防火墙的安全性，一直是一个折中方案。即高安全性的防火墙的效率和速度较低，高速度高效率的防火墙的安全性较低。然

11、而，随着多CPU计算机的成本的下降，和操作系统支持对称多处理系统（SMP）的特性，传统的高速的包过滤的防火墙与开销较大的代理防火墙之间的差距逐步缩小。成功的防火火墙的一一个最重重要的因因素，是是谁在安安全和性性能之间间选择做做决定：（1）防防火墙厂厂商，通通过限制制用户的的架构选选择，或或（2）用用户，在在一个强强壮的防防火墙中中要求更更多的架架构。实实际上，到到底是用用户决定定市场，还还上厂商商决定市市场。这这个问题题没有答答案，要要看最后后的事实实。 防防火墙的的架构总总体上如如下图。我我们把OOSI的的明显和和TCPP/IPP的模型型，对照照起来，以以便把问问题说清清楚。在检查防火火墙的

12、架架构中，查查看IPP包头中中最重要要的几项项信息是是：l IP包包头（IIP hheadder）l TCP包头（TCP header）l 应用层包头（application header）l 数据加载的包头（datapayload header）静态包过滤滤（Sttatiic PPackket Fillterr）包过滤防火火墙是最最古老的的防火墙墙架构之之一。包包过滤防防火墙运运行在网网络层，即即OSII的第三三层。防火墙决定定放行还还是拒绝绝一个包包，主要要是基于于对IPP包头和和协议包包头的一一些具体体的信息息进行检检查，它它们包括括：l 源地址址（Soourcce AAddrresss

13、）l 目的地地址（DDesttinaatioon AAddrresss）l 应用协协议（AAppllicaatioon oor PProttocool）ll 源端端口号（SSourrce Porrt NNumbber）l 目的端口号（Destination Port Number）在转发一个个包之前前，防火火墙将IIP包头头和TCCP包头头的信息息与用户户定义的的规则表表的信息息进行比比较，决决定是转转发还是是拒绝。规规则表就就是用户户定义的的安全规规则。规规则是按按顺序进进行检查查的，只只到有规规则匹配配为止。如如果没有有规则匹匹配，则则按缺省省的规则则执行。防防火墙的的缺省规规则应该该是禁

14、止止。实际上，有有两种思思想决定定防火墙墙的缺省省规则，（11）易于于使用，或或（2）安安全第一一。易于于使用，一一般都设设置为准准许放行行。安全全第一，一一般都设设置为禁禁止放行行。静态包过滤滤防火墙墙，用户户可以定定义规则则来决定定准许什什么包通通过，或或决定禁禁止什么么包通过过。用户户定义规规则，通通过检查查IP包包头的信信息，来来准许或或拒绝包包从什么么地址来来，到什什么地址址去，可可能是一一个地址址或一组组地址。用用户定义义具体服服务的规规则，通通过检查查TCPP包头的的信息，来来准许或或拒绝包包到达或或来自相相关具体体服务的的端口。包过滤防火火墙的决决定机制制是，最最后的规规则如果

15、果与前面面的规则则冲突，最最后的规规则有效效。当规则的检检查是顺顺序执行行时，包包过滤防防火墙的的规则配配置是十十分复杂杂和困难难的。我我们知道道，N条条规则，按按各种不不同的顺顺序排列列，可能能的结果果有N!之多。除除非所有有的规则则都不相相关，则则N!种种顺序的的结果都都一样，否否则，其其结果就就可能不不同。加加一条规规则是容容易的，写写一段规规则来实实现某种种安全功功能则非非常困难难，要求求系统管管理员对对协议，TTCP/IP的的工作机机制非常常清楚，而而且还得得了解流流程。有有些管理理员总是是把后加加的规则则放在最最后，也也有的系系统管理理员总是是放在前前面，还还有的系系统管理理员，随

16、随机的插插入在规规则的什什么地方方。最大大的问题题在于，规规则A,B,CC的排放放顺序不不同，规规则的结结构不一一定相同同，可能能的排放放方式为为，ABBC，AACBB，BAAC，BBCAA，CAAB，CCABB，这六六种结果果可能相相同，可可能不同同，而且且无法知知道是相相同还是是不同，只只有具体体去分析析。如果果一个系系统的规规则有1100条条，则有有1000!99.333e1157种种可能性性结果，即即使只有有万分之之一的结结果不同同，也是是一个巨巨大的天天文数字字。实际际上，如如果不同同规则的的相关性性很低，结结果不同同是一个个小概率率事件。但但是，如如果不同同规则的的相关性性很高，结

17、结果则难难以预料料。其结结果是一一致性检检查很难难做到。这这就是为为什么经经常会出出现，有有时候，加加一条规规则没问问题，有有时候却却有问题题。 用用户必须须仔细的的检查所所加入的的规则，以以保证其其结果是是其预期期的结果果。一个个好的方方法是，尽尽可能帮帮助用户户设计自自己的安安全策略略，使其其不同规规则的相相关性很很低，尽尽可能保保证结果果是完全全相同的的。即使用户的的规则顺顺序是有有效的，包包过滤防防火墙还还有一个个根本的的局限性性。它不不知道什什么地址址是真实实的，什什么地址址是假的的。因为为TCPP/IPP的包头头的地址址是可以以改写的的。即使用户可可以在防防火墙中中，把不不确定的的

18、源地址址禁止掉掉，黑客客还是可可以使用用别人的的源地址址，这个个地址是是正常的的，却是是黑客盗盗用，这这使得问问题变得得更加复复杂。像像源地址址欺骗，源源地址假假冒等这这类攻击击对包过过滤防火火墙非常常有效。因因此，尽尽管包过过滤防火火墙的性性能和速速度很高高，其安安全性却却是有限限的。 由于包包过滤防防火墙只只检查（11）源和和目标地地址，（22）源和和目标端端口，而而不检查查其它的的重要的的信息。因因此，黑黑客在是是其它的的包头里里加载恶恶意数据据和命令令。黑客客还可以以在包的的数据中中掩藏恶恶意的命命令和数数据，这这就是流流行的掩掩藏隧道道（Cooverrt CChannnell）攻击击

19、。在路由器中中，一般般都支持持包过滤滤技术。但但由于其其安全性性有限，所所以用户户一般都都会再购购买单独独的防火火墙来提提供更高高的安全全性。 优点：l 对网络络性能基基本上没没有影响响l 成成本很低低，路由由器和一一般的操操作系统统都支持持缺点：l 工作在在网络层层，只检检查IPP和TCCP的包包头l 不检查查包的数数据，提提供的安安全行性性不高ll 缺乏乏状态信信息l IP易易被假冒冒和欺骗骗l 规规则很好好写，但但很难写写正确，规规则测试试困难ll 保护护的等级级低动态包过滤滤动态包过滤滤是静态态包过滤滤技术的的发展和和演化。因因此，它它继承了了静态包包过滤的的一个根根本缺点点：不知知道

20、状态态信息。典型的动态态包过滤滤，就向向静态包包过滤一一样，主主要工作作在网络络层，即即OSII的第三三层。有有些高级级一些的的动态包包过滤防防火墙也也工作到到传输层层，即OOSI的的第四层层。动态包过滤滤防火墙墙决定放放行还是是拒绝一一个包，主主要还是是基于对对IP包包头和协协议包头头的一些些具体的的信息进进行检查查，它们们包括：l 源源地址（SSourrce Adddresss）ll 目的的地址（DDesttinaatioon AAddrresss）l 应用协协议（AAppllicaatioon oor PProttocool）ll 源端端口号（SSourrce Porrt NNumbbe

21、r）l 目的端口号（Destination Port Number）与静态包过过滤技术术不同，动动态包过过滤防火火墙知道道一个新新的连接接和一个个已经建建立的连连接的不不同。对对于已经经建立的的连接，动动态包过过滤防火火墙将状状态信息息写进常常驻内存存的状态态表，后后来的包包的信息息与状态态表中的的信息进进行比较较，该动动作是在在操作系系统的内内核中完完成的。因因此，增增加了很很多的安安全性。一一个典型型的例子子是，静静态包过过滤无法法区分一一个外部部用户进进入的包包与一个个内部用用户出去去后回来来的包的的不同，动动态包过过滤防火火墙就知知道。动动态包过过滤防火火墙可以以限制外外部用户户访问内

22、内部，但但保证内内部用户户可以访访问外部部，而且且可以回回来。静静态包过过滤防火火墙做不不到。当一个包是是属于一一个已经经建立连连接时，防防火墙不不作进一一步检查查就可以以放行这这个包。通通过占有有部分系系统内存存，减少少了包的的检查工工作量，因因此，动动态包过过滤的性性能有一一定程度度的增加加。动态态包过滤滤技术可可以支持持对称多多处理系系统（SSMP）和和多CPPU系统统，可以以取得更更高的速速度和性性能。一一般说来来，每增增加一个个处理器器，动态态包过滤滤技术可可以增加加30%的性能能。但是是单线程程系统就就无法得得到多处处理器的的好处。举举例说明明，厂商商A采用用专用RRISCC芯片的

23、的系统，取取得1550Mbbps速速度，厂厂商B采采用普通通Inttel的的CPUU，支持持多CPPU和对对称多处处理系统统（SMMP），却却取得了了超过6600MMbpss的速度度。有些厂商，为为了克服服单线程程动态包包过滤所所带来的的限制，冒冒险的采采用简化化RFCC规定的的三次握握手建立立连接的的TCPP/IPP机制，一一次握手手就建立立连接，并并且写入入状态表表。这给给黑客很很大的可可乘之机机，像LLANDD，Piing of Deaath，TTearrdroop这类类的单包包攻击，很很容易攻攻击成功功。优点：l 速度和和效率高高l 成成本低ll 知道道状态缺点：l 工作在在网络层层，

24、只检检查IPP和TCCP包头头l 不不知道数数据包，安安全性不不高l 易于IIP假冒冒和欺骗骗l 规规则编制制困难ll 简化化的三次次握手导导致另外外的安全全性问题题l 只只提供较较低的安安全保护护电路网关 电路网关工工作在会会话层，即即OSII的第五五层。在在很多方方面，电电路网关关很像是是包过滤滤的一个个扩展。电电路网关关，执行行包过滤滤的功能能，增加加一次握握手再证证实，增增加建立立连接的的序列号号的合法法性检查查。电路网关在在建立一一个会话话会电路路之前，检检查和证证实TCCP和UUDP。电路网关决决定准许许还是拒拒绝一个个包，依依赖于检检查包的的IP头头和TCCP头的的下列信信息：l

25、l 源地地址（SSourrce Adddresss）ll 目标标地址（DDesttinaatioon AAddrresss）l 应用协协议（AAppllicaatioon oor PProttocool）ll 源端端口（SSourrce Porrt NNumbber）l 目标端口（Destination Port Number）l 握手和系列号（Handshaking and Sequence Number）类似于包过过滤，在在转发一一个包之之前，电电路网关关将IPP头和TTCP头头的信息息与用户户定义的的规则表表进行比比较，决决定是否否准许放放行还是是拒绝。电路网关的的安全性性有所提提高，主

26、主要是客客户端要要进行认认证。认认证程序序决定用用户是否否是可信信的。一一旦认证证之后，通通过客户户端发起起TCPP握手的的SYNN标示和和ACKK标示，以以及相关关的系列列号是正正确而且且连贯的的，该会会话才是是合法的的。一旦旦会话是是合法的的，开始始执行包包过滤规规则的检检查。电路网关理理论上的的安全性性要比包包过滤高高。电路路网关的的效率和和速度也也是较高高的。优点：l 对网络络的性能能的影响响适中或或较低ll 中断断了直接接连接ll 比包包过滤的的安全性性要高一一个级别别缺点：l 有包过过滤的很很多缺点点l 不不对数据据作任何何检查，允允许任何何数据简简单的穿穿透连接接l 只只能提供供

27、中低的的安全性性应用网关 像电路网关关一样，应应用网关关截获所所有进和和出的包包，运行行代理机机制，通通过网关关来复制制和转发发信息，功功能像一一个代理理服务器器，防止止任何的的直接连连接。作作为应用用网关的的代理与与电路网网关有以以下不同同：l 代理是是与应用用相关的的，每一一种应用用需要一一个具体体的代理理l 代代理检查查包的所所有数据据，包括括包头和和数据ll 工作作在OSSI的第第七层，即即应用层层与电路代理理不同的的是，应应用网关关只接受受具体的的应用产产生的包包，然后后进行复复制，转转发和过过滤。举举例来说说，HTTTP代代理只处处理HTTTP流流量，FFTP代代理只处处理FTTP

28、流量量。没有有应用代代理的数数据不能能被处理理，即被被拒绝。应用代理不不仅要检检查所有有的协议议，还有有检查所所有的内内容。因因此，代代理可以以过滤具具体的命命令，可可以过滤滤恶意代代码，可可以杀病病毒，可可以对内内容进行行检查和和过滤。很很明显，应应用代理理必须具具有缓存存的功能能。应用用网关可可以防止止隐蔽隧隧道的攻攻击。应用网关工工作在第第七层，与与具体的的应用相相关，应应用协议议规定了了所有的的规程，因因此，较较为容易易设计过过滤规则则。应用用代理要要比包过过滤更容容易配置置和管理理。通过检查完完整的包包，应用用网关是是目前最最安全的的防火墙墙。优点：l 通过支支持SMMP和多多CPU

29、U，应用用网关对对网络性性能影响响是完全全可以接接受的ll 禁止止直接连连接，消消除隧道道攻击的的危害ll 检查查协议信信息，消消除了内内存溢出出攻击ll 最高高的安全全性缺点l 如如果系统统实现不不好，性性能很差差l 对对程序的的质量要要求很高高l 应应用支持持有限ll 对操操作系统统有依赖赖性状态检测包包过滤 状态检测组组合了很很多动态态包过滤滤、电路路网关和和应用网网关的功功能。状状态检测测包过滤滤有一个个根本的的能力，即即检查所所有OSSI七层层的信息息。但主主要是工工作OSSI的第第三层即即网络层层，而且且主要是是采用动动态包过过滤工作作模式。状态检测包包过滤也也能像电电路网关关那样

30、工工作，决决定在一一个会话话中的包包是否是是正常的的。状态态检测也也能作为为一个最最小化的的应用网网关，对对某些内内容进行行检查。就就像应用用网关一一样，一一旦采用用这些功功能，防防火墙的的性能也也是直线线下降。从很大程度度上来讲讲，状态态检测防防火墙的的成功，不不完全是是一个技技术上的的成功，而而是一个个市场概概念的成成功。状状态检测测对很多多技术进进行了简简化，然然后进行行组合。状状态检测测从技术术上并没没有克服服技术上上的局限限性。主主要表现现在以下下几个方方面：高安全性和和性能的的矛盾并并没有解解决。绝大部分状状态检测测防火墙墙都是配配置工作作在动态态包过滤滤模式，取取得了很很高的性性

31、能，但但安全性性并不高高。一旦决定采采用较高高安全性性模式，性性能立即即下降。应用网关中中断网络络的直接接连接，创创造两个个连接，在在两个连连接之间间，进行行数据的的复制，检检查和转转发。不不像应用用网关那那样，状状态检测测技术并并不中断断网络的的直接连连接。这这就是最最著名的的状态检检测和应应用网关关之争。这里面反映映了防火火墙的哲哲学之争争：能做做和做了了是两码码事。状态检测防防火墙满满足了用用户对高高性能和和高安全全性同时时需求的的矛盾心心理，它它给用户户一种合合理的可可信心里里，我可可以通过过配置部部分实现现第七层层得到高高安全性性，但现现在我实实际在使使用的是是第三层层高性能能的动态

32、态包过滤滤。优点：l 提供检检测所有有OSII七层的的能力ll 不改改变目前前的直接接连接模模式l 提供完完整的动动态包过过滤功能能l 动动态包过过滤提供供较快的的速度缺点l 单单线程的的状态检检测对性性能有很很大的影影响，因因此用户户多在工工作动态态包过滤滤模式ll 直接接连接对对高安全全性是不不合适的的l 依依赖于操操作系统统的安全全性l 工作在在动态包包过滤模模式并没没有很高高的安全全性切换代理 切换代理是是动态包包过滤和和电路代代理的一一种混合合型防火火墙。简简单地讲讲，切换换代理首首先作为为一个电电路代理理来执行行RFCC规定的的三次握握手和任任何认证证要求，然然后切换换代动态态包过

33、滤滤模式上上。因此此，刚开开始他工工作在网网络的会会话层，即即OSII的第五五层，在在认证完完成并建建立连接接之后，转转到网络络层即OOSI的的第三层层。有时时候，切切换代理理又称自自适应防防火墙。很很明显，要要用会话话层的安安全性和和网络层层的高效效率。知道了切换换代理能能干什么么，但最最重要的的是要知知道他没没有干什什么。切切换代理理不是传传统的电电路代理理，他没没有中断断电路的的直接连连接。我我们注意意到切换换代理提提供了某某种程度度上关于于安全性性和效率率之间的的平衡。 我们相相信，所所有的防防火墙架架构在互互联网安安全上都都有他自自己的位位置。假假如您的的安全政政策，要要求访问问认证

34、，检检查三次次握手机机制，并并不要求求中断直直接连接接，切换换代理是是一个很很好的选选择。但但是，用用户应该该明白，切切换代理理不是电电路代理理，直接接连接并并没有中中断。优点：l 比传统统的电路路代理对对网络性性能的影影响更小小l 三三次握手手检查机机制减小小了IPP假冒和和欺骗的的可能性性缺点：l 不是电电路代理理l 还还是存在在动态包包过滤的的缺点ll 不检检查数据据，提供供较低的的安全性性l 设设计规则则困难新思路：物物理隔离离在防火墙的的发展过过程中，人人们最终终意识到到防火墙墙在安全全方面的的局限性性。高性性能，高高安全性性，易用用性方面面的矛盾盾并没有有很好的的解决。防防火墙体体

35、系架构构在高安安全性方方面的缺缺陷，驱驱使人们们追求更更高安全全性的解解决方案案，人们们期望更更安全的的技术手手段，物物理隔离离技术应应运而生生。物理隔离是是安全市市场上的的一匹黑黑马。在在经过漫漫长的市市场概念念澄清和和马拉松松式技术术演变进进步之后后，市场场最终接接受物理理隔离具具有最高高安全性性。人们们把高安安全性的的所有要要求都集集中在物物理隔离离上，中中断直接接连接，不不光检查查所有的的协议，还还把协议议给剥离离掉，直直接还原原成最原原始的数数据，对对数据可可以检查查和扫描描，防止止恶意代代码和病病毒，甚甚至对数数据的属属性进行行要求，不不支持TTCP/IP，不不依赖操操作系统统，一

36、句句话，对对OSII的七层层进行全全面检查查，在异异构介质质上重组组所有的的数据（第第七层之之上，八八层？）。物理隔离在在技术上上取得了了很大的的突破。首首先在性性能上，物物理隔离离利用SSCSII可以达达到3220MBBps的的速度，利利用实时时交换可可以达到到10000Mbbps的的速度。在在安全性性上，目目前存在在的安全全问题，对对物理隔隔离而言言在理论论上都不不存在。这这就是各各国政府府和军方方都强制制推行物物理隔离离的主要要原因。优点：l 中断直直接连接接l 强强大的检检查机制制l 最最高的安安全性 缺点：l 对协议议不透明明，对每每一种协协议都要要一种具具体的实实现 物理隔离：与互

37、联联网断开开定位物理隔离技技术，不不是要替替代防火火墙，入入侵检测测，漏洞洞扫描和和防病毒毒系统，相相反，它它是用户户深度度防御的安全全策略的的另外一一块基石石。物理理隔离技技术，是是绝对要要解决互互联网的的安全问问题，而而不是什什么其它它的问题题。物理隔离要要解决的的问题解决目前防防火墙存存在的根根本问题题：l 防火墙墙对操作作系统的的依赖，因因为操作作系统也也有漏洞洞l TTCP/IP的的协议漏漏洞：不不用TCCP/IIPl 防火墙墙、内网网和DMMZ同时时直接连连接，ll 应用用协议的的漏洞，因因为命令令和指令令可能是是非法的的l 文文件带有有病毒和和恶意代代码：不不支持MMIMEE，只

38、支支持TXXT，或或杀病毒毒软件，或或恶意代代码检查查软件物理隔离的的指导思思想与防防火墙有有很大的的不同：（1）防防火墙的的思路是是在保障障互联互互通的前前提下，尽尽可能安安全，而而（2）物物理隔离离的思路路是在保保证必须须安全的的前提下下，尽可可能互联联互通。操作系统的的漏洞：操作系系统是一一个平台台，要支支持各种种各样的的应用，OOS有下下列特点点：l 功能越越多，漏漏洞越多多l 应应用越新新，漏洞洞越多ll 用的的人越多多，找出出漏洞的的可能性性越大ll 用的的越广泛泛，漏洞洞曝光的的几率就就越大黑客攻防火火墙，一一般都是是先攻操操作系统统。控制制了操作作系统就就控制了了防火墙墙。TC

39、P/IIP的漏漏洞：TTCP/IP是是冷战时时期的产产物，目目标是要要保证通通达，保保证传输输的粗旷旷性。通通过来回回确认来来保证数数据的完完整性，不不确认则则要重传传。TCCP/IIP没有有内在的的控制机机制，来来支持源源地址的的鉴别，来来证实IIP从哪哪儿来。这这就是TTCP/IP漏漏洞的根根本原因因。黑客客利用TTCP/IP的的这个漏漏洞，可可以使用用侦听的的方式来来截获数数据，能能对数据据进行检检查，推推测TCCP的系系列号，修修改传输输路由，修修改鉴别别过程，插插入黑客客的数据据流。莫莫里斯病病毒就是是利用这这一点，给给互联网网造成巨巨大的危危害。防火墙的漏漏洞：防防火墙要要保证服服

40、务，必必须开放放相应的的端口。防防火墙要要准许HHTTPP服务，就就必须开开放800端口，要要提供MMAILL服务，就就必须开开放255端口等等。对开开放的端端口进行行攻击，防防火墙不不能防止止。利用用DOSS或DDDOS，对对开放的的端口进进行攻击击，防火火墙无法法禁止。利利用开放放服务流流入的数数据来攻攻击，防防火墙无无法防止止。利用用开放服服务的数数据隐蔽蔽隧道进进行攻击击，防火火墙无法法防止。攻攻击开放放服务的的软件缺缺陷，防防火墙无无法防止止。防火墙不能能防止对对自己的的攻击，只只能强制制对抗。防防火墙本本身是一一种被动动防卫机机制，不不是主动动安全机机制。防防火墙不不能干涉涉还没有

41、有到达防防火墙的的包，如如果这个个包是攻攻击防火火墙的，只只有已经经发生了了攻击，防防火墙才才可以对对抗，根根本不能能防止。目前还没有有一种技技术可以以解决所所有的安安全问题题，但是是防御的的深度愈愈深，网网络愈安安全。物物理安全全是目前前唯一能能解决上上述问题题的安全全设备。物理隔离的的技术路路线目前物理隔隔离的技技术路线线有三种种：网络络开关（NNetwworkk Swwitccherr），实实时交换换（Reeal-timme SSwittch）和和单向连连接（OOne Wayy Liink）。网络开关是是比较容容易理解解的一种种。在一一个系统统里安装装两套虚虚拟系统统和一个个数据系系统，

42、数数据被写写入到一一个虚拟拟系统，然然后交换换到数据据系统，再再交换到到另一个个虚拟系系统。实时交换，相相当于在在两个系系统之间间，共用用一个交交换设备备，交换换设备连连接到网网络A，得得到数据据，然后后交换到到网络BB。单向连接，早早期指数数据向一一个方向向移动，一一般指从从高安全全行的网网络向安安全性低低的网络络移动。物理隔离的的技术原原理物理隔离的的技术架架构在隔隔离上。以以下的图图组可以以给我们们一个清清晰的概概念，物物理隔离离是如何何实现的的。图1，外网网是安全全性不高高的互联联网，内内网是安安全性很很高的内内部专用用网络。正正常情况况下，隔隔离设备备和外网网，隔离离设备和和内网，外

43、外网和内内网是完完全断开开的。保保证网络络之间是是完全断断开的。隔离设备可可以理解解为纯粹粹的存储储介质，和和一个单单纯的调调度和控控制电路路。当外网需要要有数据据到达内内网的时时候，以以电子邮邮件为例例，外部部的服务务器立即即发起对对隔离设设备的非非TCPP/IPP协议的的数据连连接，隔隔离设备备将所有有的协议议剥离，将将原始的的数据写写入存储储介质。根根据不同同的应用用，可能能有必要要对数据据进行完完整性和和安全性性检查，如如防病毒毒和恶意意代码等等。见下下图2。一旦数据完完全写入入隔离设设备的存存储介质质，隔离离设备立立即中断断与外网网的连接接。转而而发起对对内网的的非TCCP/IIP协

44、议议的数据据连接。隔隔离设备备将存储储介质内内的数据据推向内内网。内内网收到到数据后后，立即即进行TTCP/IP的的封装和和应用协协议的封封装，并并交给应应用系统统。这个时候内内网电子子邮件系系统就收收到了外外网的电电子邮件件系统通通过隔离离设备转转发的电电子邮件件。见下下图3。在控制台收收到完整整的交换换信号之之后，隔隔离设备备立即切切断隔离离设备于于内网的的直接连连接。见见下图44。如果这时，内内网有电电子邮件件要发出出，隔离离设备收收到内网网建立连连接的请请求之后后，建立立与内网网之间的的非TCCP/IIP协议议的数据据连接。隔隔离设备备剥离所所有的TTCP/IP协协议和应应用协议议，得

45、到到原始的的数据，将将数据写写入隔离离设备的的存储介介质。必必要的化化，对其其进行防防病毒处处理和防防恶意代代码检查查。然后后中断与与内网的的直接连连接。见见下图55。一旦数据完完全写入入隔离设设备的存存储介质质，隔离离设备立立即中断断与内网网的连接接。转而而发起对对外网的的非TCCP/IIP协议议的数据据连接。隔隔离设备备将存储储介质内内的数据据推向外外网。外外网收到到数据后后，立即即进行TTCP/IP的的封装和和应用协协议的封封装，并并交给系系统。见见下图66。控制台收到到信息处处理完毕毕后，立立即中断断隔离设设备与外外网的连连接，恢恢复到完完全隔离离状态。见见下图77。每一次数据据交换，隔隔离设备备经历了了数据的的接受，存存储和转转发三个个过程。由由于这些些规则都都是在内内存和内内核力完完成的，因因此速度度上有保保证，可可以达到到1000%的总总线处理理能力。物理隔离的的一个特特征，就就是内网网与外网网永不连连接，内内网和外外网在同同一时间间最多只只有一个个同隔离离设备建建立非TTCP/IP协协议的数数据连接接。其数数据传输输机制是是存储和和转发。物理隔离的的好处是是明显的的，即使使外网在在最坏的的情况下下，内网网不会有有任何破破坏。修修复外网网系统也也非常容容易。