0x00 定義:
網閘(GAP)全稱安全隔離網閘。安全隔離網閘是一種由帶有多種控制功能專用硬件在電路上切斷網絡之間的鏈路層連接,並能夠在網絡間進行安全適度的應用數據交換的網絡安全設備。
網閘在兩個不同安全域之間,通過協議轉換的手段,以信息擺渡的方式實現數據交換,且只有被系統明確要求傳輸的信息才可以通過。其信息流一般為通用應用服務。
網閘的一個基本特征,就是內網與外網永遠不連接,內網和外網在同一時間最多只有一個同隔離設備建立數據連接,可以是兩個都不連接,但不能兩個同時都連接。
0x01 功能模塊:
網閘的硬件主要包括三部分:分別是專用安全隔離切換裝置(數據暫存區)、內部處理單元和外部處理單元。系統中的專用安全隔離切換裝置分別連接內部處理單元和外部處理單元。這種獨特和巧妙的設計,保證了安全隔離切換裝置中的數據暫存區在任一時刻僅連通內部或者外部處理單元,從而實現內外網的安全隔離
0x02 工作流程:
專有檢測模塊對請求數據進行合法性檢查,剝離原有協議成裸數據,進行內容檢查;
外網的數據重組模塊對請求數據進行重組,還原為標准通信協議;
外網擺渡傳輸模塊將重組后的信息擺渡到內網;
內網專有檢測模塊對收到外網的數據進行病毒檢查、解析、過濾等處理。
內網的數據重組模塊重組數據,並還原為標准通訊協議,回傳到內網;
(author https://www.cnblogs.com/Shepherdzhao/)
0x03 主要功能 :
抵御基於操作系統漏洞攻擊行為
安全隔離網閘的雙主機之間是物理阻斷的,無連接的,因此,黑客不可能掃描內部網絡的所有主機的操作系統漏洞,無法攻擊內部,包括安全隔離網閘的內部主機系統。
抵御基於TCP/IP漏洞的攻擊
由於安全隔離網閘的主機系統把TCP/IP協議頭全部剝離,以原始數據方式在兩主機系統間進行“擺渡”,網閘的接受請求的主機系統與請求主機之間建立會話,因此,對於目前所有的如源地址欺騙、偽造TCP序列號、SYN攻擊等TCP/IP漏洞攻擊是完全阻斷的。
抵御木馬將數據外泄
安全隔離網閘對於每個應用都是在應用層進行處理,並且策略需按照應用逐個下達,同時對於目的地址也要唯一性指定,因此內部主機上的木馬是無法實現將數據外泄的。並且木馬主動發起的對外連接也將直接被隔離設備切斷。
抵御基於文件的病毒傳播
安全隔離網閘在理論上是完全可以防止基於文件的攻擊,如病毒等。病毒一般依附在高級文件格式上,低級文件格式則不會有病毒,因此進行文件“擺渡”的時候,可以限制文件的類型,如只有文本文件才可以通過“擺渡”,這樣就不會有病毒。另外一種方式,是剝離重組方式。剝離高級格式,就消除了病毒的載體,重組后的文件,不會再有病毒。這種方式會導致效率的下降,一些潛在的危險的格式可能會被禁止。
抵御DoS/DDoS攻擊
安全隔離網閘自身特有的無連接特性,能夠很好的防止DoS或DDoS攻擊穿過隔離設備攻擊服務器。但也不能抵御針對安全隔離設備本身的DDoS攻擊。
安全性高
內外網主機系統分別有獨立於網絡接口的專用管理接口,同時對於運行的安全策略需要在兩個系統分別下達,並通過統一的任務號進行對應。以此達到高安全。即使系統的外網處理單元癱瘓,網絡攻擊也無法觸及內網處理單元。
設備聯動
可結合防火牆、IDS、VPN等安全設備運行,形成綜合網絡安全防護平台。