来源:上海中网网络安全技术有限公司 时间:2005-08-03 浏览量:6850
防火墙与网闸的串联应用环境,一般是在网闸与防火墙之间部署交换机接一个“业务外网”(包含一台或者多台前置服务器、或者终端),用来提供网络对外服务,并同时和内网实施数据安全通讯。
防火墙与网闸的串联应用,如果是堆叠式直接串联,中间不设置“业务外网”,则防火墙的功能主要用来过滤垃圾数据包或者攻击包,让正常业务数据包到达网闸,为网闸减轻工作负担。
如果在没有设置“业务外网”情况下,省略掉防火墙,仅仅设置网闸,网闸本身具备防火墙的抗攻击功能,也可以正常工作,但在攻击包(或者垃圾数据包)较多的情况下会损失性能。这种部署常见于两个不同等级内网之间的连接(攻击较少或者基本没有)。
就产品功能而言,防火墙比网闸的功能强大,应用适应性广,支持的各类协议也更多,但安全性要差很多。
防火墙是一个单机设备。工作在OSI模型第2-7层(或者TCP/IP模型2-4层),但主要工作在ISO模型的3-4层(或者TCP/IP模型2-3层)。
隔离网闸是一个2+1系统,工作在ISO模型的1-7层(或者TCP/IP模型1-4层)。
两者系统结构的差别归根结底在于第一层。第一层包含网络物理接口,以及与之相对应的信息流控制方式和信息编码方式。防火墙遵循的是TCP/IP模型第一层协议,网闸颠覆了TCP/IP模型第一层协议,使得TCP/IP数据包无法穿透。
目前网络安全从大类上分为五种威胁,针对每一种安全威胁,下面我们对防火墙和隔离网闸做详细的比较:
一般来说,人为管理差错造成的威胁是最大的安全威胁。
相比较而言:在“人为”管理差错情况下,防火墙造成的安全威胁更甚于网闸。因为,防火墙可以设置成“全通”,形同虚设;网闸没有“全通”机制,只有“全断”。
应用安全是目前网络安全领域最为头痛的事情,防病毒,入侵检测,防漏洞,安全态势感知、C/A认证,VPN,堡垒机、双因子认证等等,都在尝试着去解决应用安全中的某一个痛点。
防火墙在应用安全这个环节显得十分单薄,一般是用关键字检索(对IP包中的数据段检索匹配)来应对,效果非常不理想,聊胜于无而已。
隔离网闸在解决应用安全这个问题上也同样是不能做到完美的,但是相比较防火墙而言,其安全性大大增强,由于网闸实现了物理层隔断,应用达到网闸后,所有的协议头与数据分离,然后裸数据摆渡,然后再封装,在这个过程中,隔离网闸可以对每一个协议剥离/封装实现深度的协议检查和内容检查,可以控制数据类型,数据长度,数据关键字过滤,协议限定等等。另外,还提供了身份认证的辅助安全工具来控制网闸使用者。
在互联网世界,防火墙被攻克的例子不胜枚举,根据2002年8月的《计算机安全》援引的世界互联网权威组织发布的数据,全球最著名防火墙厂商CISCO防火墙的黑客攻破率达到了47%。其根本原因在于:世界上所有的防火墙基于这样一个理念:首先保障信息的传递,然后再最大程度的加强安全。
网络监听攻击、欺骗攻击、木马攻击、密码破解、端口扫描是黑客攻击的主要手段,防火墙对于直接的黑客攻击手段(网络监听攻击、欺骗攻击),可以说是一筹莫展。
目前的TCP/IP协议族的自身漏洞是导致防火墙被频繁攻破的关键因素之一。由于IP包由始至终贯穿防火墙,使得网络监听攻击、欺骗攻击、扫描攻击大行其道。木马攻击也十分普遍,防火墙面对这些攻击只能采用被动防御的手段,事后修改防火墙规则,疲于应付。
隔离网闸在防止基于TCP/IP的黑客攻击方面是绝无仅有的。无论TCP/IP协议族是否有漏洞,在到达网闸以后,被终止了协议,从而使攻击终止。
因此说,隔离网闸完全消除了基于TCP/IP网络黑客攻击。
网络安全设备的另外一个重要的安全威胁,就是操作系统的漏洞所导致的安全威胁。我们知道,任何安全设备都是有硬件、软件二部分组成。而软件又分为操作系统部分和应用控制软件部分二种。
全世界IT发展的实践表明:任何操作系统都不可能没有安全漏洞,特别是通用的操作系统OS,如Windows(最高危险级别), Linux(中等危险级别),Unix(低等危险级别)以及其他一些具有可用性的操作系统。
操作系统的漏洞导致的后果是黑客可以拥有该设备的使用权限,如果是防火墙,黑客通过OS漏洞攻击掌控该防火墙后,从内核级别(所有防火墙的运行软件都可以很容易受控制,因为它是操作系统的一部分)很容易的就关掉防火墙,从而直接访问内网,下载木马等等。
对于隔离网闸而言,我们依然不能保证黑客不能攻破操作系统漏洞。问题在于即使黑客攻破了隔离网闸【外网机】的操作系统,从而掌控该主机,也可以随时瘫痪网闸,但它无法渗透进内网,因为TCP/IP协议已经中断,如果要继续攻击内网,就需要付出极大的时间和努力去研究【外网机】的信息传输机制,并尝试向内网发送蠕虫或者木马,这个难度非常之大。
但无能如何,一个更安全的操作系统,对于防火墙和网闸这类安全产品而言,显得特别重要,可以大大提高黑客的攻击门槛,从而确保设备的正常运行。
任何安全设备必须有相应的应用控制软件,这一点是无容置疑的。自身应用控制软件的安全虽然比上面几种安全威胁要来的低些,但依然不可忽视。
目前,国内外所有知名的防火墙大都采用了linux操作系统内核所配备的安全模块,并对这些模块实现配置、封装、控制运行。很不幸的是,由于防火墙自身的应用特点,这些应用控制软件是全开放的,而且必须是全开放的。着意味着只要黑客掌控了相应的操作系统操作权限(OS攻击,密码破解、监听攻击),则很容易掌控防火墙自身的应用控制软件,这个时候,所有的事情都可能会发生。
隔离网闸从设计初开始,就定位于“安全第一,宁死不屈”这样一种设计思想,其自身的应用控制软件负责协议/内容检查、协议拆卸/封装、裸数据摆渡、应用代理等一系列专用的处理和控制工作,虽然也会调用操作系统的内核模块,但与防火墙相比,攻击难度要大得多。
| 比较参数 | 隔离网闸 | 防火墙 |
|---|---|---|
| 设计思想 | 在保障绝对安全的前提下,最大限度的保持网络应用效率 | 在保障网络应用效率的前提下,最大限度地保障安全 |
| 取舍原则 | 安全第一,宁死不屈 | 确保连通,安全不松 |
| 支持的应用 | 文件传输、数据库访问、查看静态网页、定制TCP/IP应用,均以应用模块方式提供 | 支持所有应用 |
| 支持的协议 | 在网闸内部,中止TCP/IP协议,只通过读写两个命令,简单,安全,高效 | 支持几乎所有的网络协议 |
| 基于TCP/IP的黑客攻击 | 攻破率极小,有效保护内网 | 理论上的攻破率是100%,实践中可以达到攻破率80%左右 |
| 破解产品驻留进程的攻击 | 攻破率极小,私密,专用 | 攻破率可达50%左右,开放性功能,通用性,接口丰富 |
| 通过操作系统漏洞攻击 | 根据不同的操作系统选型,决定【外网机】被攻破的几率 | 根据不同的操作系统选型,决定防火墙被攻破的几率 |
| 劫持客户端应用程序攻击内网 | 在客户端应用程序被黑客劫持的情况下,可对内网造成一定的危险,存在蠕虫攻击的可能性。应用开放越多,安全性越低 | 在客户端应用程序被黑客劫持的情况下,可以畅通无阻通过防火墙,实施木马攻击和蠕虫攻击 |
| 吞吐率 | 30%-80%,根据不同应用 | 100% |
| 数据包延时 | 1518字节帧长100%负载,1毫秒 | 1518字节帧长100%负载,60微秒 |
| 并发连接数 | 一般小于1万 | 大于30万 |
| 多用户限制 | 无限制 | 无限制 |
| 日志管理 | 支持 | 支持 |
| 行业应用环境 | 内网保护、资源服务器保护 | 所有网络边界 |
| 总结 | 需要超高安全性保证,同时能牺牲部分速度、部分应用范围的地方,隔离网闸是最理想的选择! | 保持高速度,兼容所有应用,提供一定安全保证的地方,防火墙是最理想的选择! |