淺析網閘在網絡安全中的應用

2008-12-31 00:00:00張燕

考試周刊 2008年44期

摘要：本文通過對網閘的概念及演變歷史的闡述，具體分析了網閘在網絡安全中的幾種典型應用架構。

關鍵詞：網閘概念演變應用

1.網閘的概念

網閘，就是安全隔離與數據交換系統，是繼殺毒系統、防火墻、入侵檢測系統后的又一種安全設備。目前對它的應用存在很多爭議，很多人認為網閘是放在需要物理隔離的兩個網絡之間，但根據國家保密局的定性，它不是物理隔離產品，它還是定義在了邏輯隔離的層次，所以試圖用網閘來進行網絡物理隔離的思路是不可行的。也有人認為網閘就是加強版的防火墻，其實這種認識也是片面的。

2.網閘的演變

2000年國內開始出現網閘。當時，網閘的主要技術特點是：數據擺渡。在硬件構架上，主要以分立的三臺工控機堆疊為主。原理是：第一臺工控機負責數據的接收，這時第二臺工控機和第一臺工控機相連，而和第三臺工控機斷開；在第二臺工控機接受到數據后和第一臺工控機斷開，再和第三臺相連，實現開關式的數據擺渡交換。

2001年至2002年完善了這種數據交換的速度和穩定性。當時國家保密局對它的定性是物理隔離還是邏輯隔離沒有統一的認識，但這時國內第一批廠家已經開始以物理隔離的賣點在銷售了。2003年，網閘在數據交換方面隨著對TCP/IP的深入開發，逐漸實現了對TCP/IP協議的剝離和重組技術，于是網閘的并發數及速度逐漸不是應用中的瓶頸，穩定性也逐漸提高。在硬件構架上基本都實現了一體化，大多采用了雙主機構架。主機向嵌入式系統的方向開發，國家保密局也開始對這類產品進行檢測，最終的定性是邏輯隔離。

2004年—2005年，很多廠家停止了對網閘的投入，剩下的廠家開始尋求技術突破。數據同步和文件同步的需求逐漸成為網閘技術攻關的方向，多家廠商很快初步實現了部分同步功能，同時突出網閘的數據隔離交換和防火墻逐漸形成兩個完全不同的產品。2005年至今，隨著應用的發展，網閘的同步功能需求越來越廣，對同步的要求也逐步提高，數據隔離交換技術在很多場合也成了唯一選擇。

3.網閘的應用

應用的快速發展促進了對網絡安全保護的需求。比如，政務公開要求將部分內網數據公布在Internet或其他專網上，以供相關用戶查詢、使用，但完全的物理隔離已經無法滿足日益增加的數據交換的需要。網閘就是實現不同網絡之間數據安全交互的專用設備。它主要有以下幾種應用：

1.數據庫系統隔離與保護

（1）一般第三方應用數據庫隔離保護構架

此構架實施簡單方便，主要實現了TCP/IP協議的安全隔離。存在的主要安全隱患在于：攻擊程序可能利用標準的數據庫協議實施攻擊。

（2）增強第三方應用數據庫隔離保護構架

由于引入了程序進程可信計算模塊后，安全隔離網閘可以鑒別第三方應用程序，如果是木馬、病毒等攻擊程序利用標準的數據庫協議實施攻擊，與網閘的通訊就會被立刻阻斷；只有在安全隔離網閘內部注冊過的第三方應用程序，才能順利交換數據。因此此方案可以有效杜絕攻擊程序利用標準的數據庫協議實施攻擊的可能性，同時保障第三方程序的安全。

（3）專用數據庫同步隔離保護構架

此構架是使用網閘的數據庫同步模塊實現的。它是在終止了各類數據庫通訊協議（例如：Oracle的TNS協議、SQL Server和SyBase的TDS協議）的基礎上，實現記錄數據的高速同步。

2.文件同步系統隔離與保護

（1）網站文件系統隔離保護

此構架是將內部安全的網站文件即時同步到外部鏡像網站。網閘的文件同步模塊通過捕獲文件內核事件，分析文件添加、修改、刪除和更名動作。因此，任何文件的改變都能夠被即時同步。另外網閘的文件同步模塊特別加入了文件防篡改功能，一旦黑客通過Web服務器的漏洞篡改了外部網站的網頁，文件同步模塊能夠“即時”發現，并“立刻”恢復被篡改了的網頁。

（2）數據采集文件系統隔離保護