|
1.什么是隔离网闸?
隔离网闸是采用双主机+隔离开关的硬件结构,结合高强度的网络协议分析和控制的软件系统,共同构建一个在网络边界处隔离网络已知和未知攻击行为的高端网络安全设备。其主要特征是:在网络边界处中断协议的连接,通过安全设备构建一个没有协议,不依赖操作系统,没有命令控制,没有应用直接连通的,只有“无协议的数据包”的转发的安全环境。通过高层高粒度、高强度的协议分析,将应用可控的安全反射到内网。
物理隔离网闸可以高安全性的保证内网遭受网络层,系统层的已知和未知的网络攻击行为。保证用户的应用在有效安全的情况下可控的展开。
2.我听说过GAP技术,你可以强调一下这一技术的主要原理吗?
GAP技术在设计上主要为征服在当前网络安全设备中存在的两个主要的难题,第一,一旦您安装了GAP设备,黑客就不能直接和您的内部服务器会话,所有的TCP/IP通信被终止,并在GAP内分析,在通信包中只有合法的数据部分才被转发到你的内部服务器上。第二,没有人能够攻击和改变你的安全策略,因为安全策略驻留在GAP后的可信计算机上。任何基于TCP/IP的攻击不能到达内部服务器,即任何基于TCP/IP的已知和未知的攻击都不能成功。
3.物理隔离是中国特有的吗?
很早以前美国,以色列等国家就规定高密级网络要采用物理隔离。国外的新兴技术公司几年前就开发了GAP技术,来实现网络间的物理隔离安全和数据交换。近年来,GAP的概念和技术渐渐才被引进到国内。目前国外GAP安全技术的领先公司是Spearhead公司、Whale公司等。
4.物理隔离网闸与物理隔离卡功能一样吗?
不一样。物理隔离卡是实现终端PC机的物理隔离的,他通过开关PC机切换,使得PC机“非同时”分别连接两个网络――是做网络物理划分的。物理隔离网闸是边界访问控制设备,是运行在网络边界处的,把可信网络和外界网络进行物理隔离,在保证高度安全的前提下进行数据交换。所以隔离网闸和物理隔离卡是不能相互取代的,有各自不同的安全域。
5.物理隔离网闸是“物理隔离产品”吗?
真正的物理隔离就是指完全的物理隔断没有数据交换。隔离网闸是利用了物理隔离技术,实现内外网物理层和网络协议断开但同时可以进行数据交换的产品。严格意义上讲,物理隔离网闸是逻辑隔离的产品――是更注重安全的安全级别更高的产品。物理隔离卡才是真正的物理隔离产品。
6.安装ViGap以后能够为我的安全结构增加怎样的功能?
ViGap确保了任何外部人员都不能访问和改变您的安全策略。安全策略位于可信的CPU,GAP阻止任何来自外部网络的攻击。在不可信CPU(它暴露于INTERNET)和可信CPU(它做出所有安全决策)之间的所有数据传输通过一个专用设计的硬件设备来实现,它不会被任何黑客改变和旁路。在防火墙或代理上的安全策略,对于一个厉害的黑客来说是暴露的,他可通过利用新的未被发现的软件或利用操作系统的漏洞或一个错误配置的安全策略,可以侵入与INTERNET相连的计算机,这将允许攻击者进入到您公司的规则库中,此时已无安全可言。
功能强大的协议分析能力确保了您的计算机免受来自大多数特别应用程序的攻击,例如缓冲区溢出攻击。即使这样的攻击成功,攻击者也不能破坏内部服务器,因为破坏命令不能被协议规则所接受。
对于已知或未知的网络或操作系统攻击,您的服务器仍然可以维持安全,因为产生于可信端的TCP/IP通信,由ViGap的可信CPU创建,并遵循RFC协议,所有非法的通信将被在ViGap的不可信端被阻止。
7.物理隔离网闸是不是防火墙的一种?
物理隔离网闸不是防火墙的一种。虽然有一些技术与防火墙有类似的地方,但是根本的技术基础两者是不同的。防火墙象个筛子一样过滤网络上的大量的应用数据流,禁止或阻塞规则库中非法的行为,是一个“打补丁”的做法(应用第一,安全第二)。而隔离网闸是在物理隔断两个网络的基础上,允许可控的安全的数据通过,在不能够可控的保障安全的情况下就完全物理断开两个网络的连接,从而根本保障内网的安全(安全第一,应用第二)。
8.物理隔离网闸是硬件还是软件方案?
物理隔离网闸是由两个独立的服务器系统和中间的反射GAP开关硬件设备构成的一套系统。他是硬件系统和软件系统完整结合的整体解决方案。仅靠硬件或仅靠软件都不能构成安全完整的物理隔离网闸系统。
9.物理隔离网闸就是指”物理”上是完全隔开吗?
不存在完全“物理”意义上的隔离。严格意义上讲空气中也有物理介质-如无线通讯。物理隔离网闸是指内部主机之间即没有基于物理的通信线路连接,同时在网络协议上也进行中断隔离--是两个方面的完整结合。
10.我正在利用包过滤和代理技术实施一个多层的防火墙方法,ViGap能够增加怎样的功能到我现有的拓扑结构中?
防火墙已经应用了好几年,到目前为止它们提供了市场上最好的保护方法。然而防火墙还是经常被穿透,尽管一些入侵归咎于不正确的防火墙配置,但许多防火墙的失败是因为它们的操作系统漏洞,防火墙中的一些错误允许数据包未经适当的检测而进入网络(例如许多防火墙中的IP碎片)。一个有经验的黑客甚至可以改变存储在与INTERNET相连的计算机的防火墙的规则库,这使得入侵者能够控制通向内部网络的防火墙,当一个黑客检测到防火墙这样的弱点时,它们进入您的内部网络是如此的容易,安装一个ViGap能够确保入侵者不能建立与内部服务器直接的连接。
11.物理隔离网闸只是做链路层隔断吗?
不是。真正的物理隔离网闸必须将OSI模型的所有层进行隔断。仅仅在链路层上隔离只能说明没有实际的物理联线,做链路层上的包或文件的间接转发,不能保证网络上基于网络层和应用层的攻击行为。虽然外加了入侵检测和防病毒模块,但是其安全性比防火墙并不能有根本提升。
12.物理隔离网闸可以防病毒吗?
可以。如果安全策略设定的足够严格(如只允许文本文件通过),那么物理隔离网闸是可以根本防止病毒进入内网的。但是这样的化应用性就最差,失去了安全性和应用性统一的产品理念。隔离网闸的防病毒机制是建立在应用层的高粒度协议分析、内容检查过滤上的,这本质上与防火墙的做法没有什么不同。
13.ViGap能够阻止哪些防火墙不能阻止的攻击?
ViGap将阻止基于TCP/IP协议的攻击,如使用IP碎片包来旁路防火墙的规则库的入侵,或通过在防火墙之后秘密浏览内部网络等都被阻止,与防火墙的IP端口安全规则不同,ViGap强大的协议分析能力将阻止任何企图滥用应用程序特殊弱点的行为如发送服务器难于处理的HTTP或SMTP命令的攻击。ViGap确保那些只有已定义和授权的协议命令才能进入您的受保护的内部服务器。
14.物理隔离网闸是“全能”的网络安全产品吗?
不是。物理隔离网闸是利用物理隔离技术和高强度的协议分析功能来隔离内外网,阻止网络层和系统层已知和未知的网络攻击行为进入内网。虽然他利用了身份认证,硬件编码,GAP反射,协议分析等网络安全技术来保证其本身和内部网络关键应用服务器的安全,但是其在应用层上的安全处理机制与传统的做法没有质的变化。
所以物理隔离网闸+专业的病毒防护体系是比较健全的做法。在隔离网闸上集成查杀病毒等模块一方面降低系统性能,另一方面病毒引擎的升级,特征库的更新都是问题。
隔离是隔离,防火墙是防火墙,病毒是病毒。每个产品都有其专业化的优势,没有“全能”的产品。
15.物理隔离网闸的安全性体现在哪里?
物理隔离网闸的安全性主要体现在物理隔离部件和高粒度的协议分析控制功能上的。
物理隔离部件的作用不仅仅是简单的进行网络链路层的隔离,其核心作用是在正常使用状态下,其能够在内外网络间传输安全的“无协议的数据”,通过硬件的编码,校验等硬件技术来保证数据的有效和安全(安全时逻辑隔离);另一方面,在非正常状态下(如外网主机宕机,发现大量非正常数据包,发生溢出),隔离部件可以根据策略规则将隔离开关指向一侧,断开与外部网络的根本连接,从而保证内网关键服务器免受恶意攻击,这样大大降低了内部网络受到直接攻击的可能和减少了系统维护和支持的工作(非安全时物理隔离)。
协议分析和隔离部件的有机结合才能在网络层、应用层和系统层的对抗已知和未知的攻击,其安全性主要体现在协议分析和控制的强度上。
16.ViGap能够保护我免受那些特殊类型的攻击?
ViGap将保护您的服务器和客户端免受基于网络和TCP的攻击,如land攻击、Teardrop、SYN攻击,WinNuke、端口扫描、SMURF攻击,特大型的IP碎片、TCP碎片等攻击,所有这些攻击能够通过ViGap的固有结构被禁止,而不是通过另外的象防火墙或代理之类的安全设备所使用的软件补丁来阻止,这一点是非常重要的,这意味着任何将来基于TCP/IP的攻击无需打补丁而被禁止。
ViGap工具也能利用协议分析能力区别有效命令和黑客企图,从而保护内部服务器应用程序免受各种类型的攻击。
17.各种攻击详叙:
超载攻击
超载攻击是一个特别类型的拒绝服务的攻击,它通过假冒看似合法的客户发送合法的请求从而淹没提供服务的内部服务器。安装ViGap后,攻击只可能到达ViGap不可信的一端,不会到达与之隔离的内部局域网,确保受保护网络的客户端和服务器受到保护。作为一个隔离网络的工具,ViGap保护可信网络免受超载攻击的进攻。
拒绝服务攻击(DoS)
ViGap通过一个嵌入式防火墙和IDS系统阻止DoS攻击,黑客可能成功的攻击ViGap不可信CPU,但可信CPU能通过程序不断的检查不可信CPU工作是否正常,如果不正常,则重启它,这能确保ViGap的掉线时间最小化,增加正常运行时间。
分布式DoS(DDoS)
大家知道,我们至今还没有一个简单的方法来区分一个通信包是DDoS攻击还是合法的服务器通信,例如:如果一个电子商务站点某天同时接收到2000个请求,而平时的日平均请求数仅为1000,WEB服务器是否应该做出反应?这些是否为真实的交易呢?ViGap可以使用它的QOS特点来限定保持连接到电子商务WEB服务器请求的最小数量,即在服务器受拒绝攻击的情况下,仍然能保持一定数量的连接数,所以针对这种攻击来说,对运行服务器的影响可以减至最低,即缩短服务器的离线时间。另外,ViGap能够准确地控制访问目标应用服务器的命令和文件,从而阻止恶意的命令和操作攻击应用服务器。
缓冲溢出攻击
缓冲溢出攻击的目标是使用服务器应用程序(典型的如:HTTP、FTP、SMTP或DNS服务器后台程序)来执行恶意的代码。一个成功的缓冲溢出攻击通常允许通过加载操作系统命令代码到受攻击的应用程序来完全控制受攻击的机器。缓冲溢出攻击通过利用应用程序协议语言发送一个畸形的命令或非法的参数值给变量来实现,ViGap拒绝许多这样的攻击归因于其位于可信服务器上的应用程序状态检测引擎(ASIE),ASIE处理来自服务器和客户端的所有的请求和命令。当ASIE处理并对这些命令做出反射同时,它也跟踪协议的状态。如果一个缓冲溢出攻击发生,连接的参与者之一将对协议状态不作回答,所以ViGap 将不会反射它,并且缓冲溢出攻击也将不会成功。
18.ViGap协议检测与我的代理服务器的协议检测有何不同?
ViGap协议检测在几个方面不同于你的代理服务器协议检测。代理应用程序做出安全决策往往是在黑客已经破坏到安全策略和内部网络计算机之后做出的,效果不是很好。在ViGap中,有价值的东西如代理配置文件、代理TCP/IP内核不驻留在敌意网络,并通过代理保护,一些缓冲溢出攻击也不能发挥作用。另外ViGap作为一个双重代理结构,ViGap的不可信网络端有可能遭遇缓冲溢出攻击,但由于有反射GAP以及GAP后的规则库的存在,于是可信网络不会遭受攻击。
19.ViGap作为一个真正的GAP设备,伟思公司在ViGap设计上是如何实现物理隔断的?
我们在不可信CPU和可信CPU之间开发了一个双开关和双内存结构来提供物理隔断,并且在可信网络和不可信网络间的互访维持一个可接受的性能。双内存结构允许不可信端软件将数据一直保留在缓冲,同时可信CPU递归地访问这些数据。在可信网络和不可信网络之间唯一的连接是内存条,可信CPU和不可信CPU决不会在同一时间访问相同的内存缓冲区,即每个内存条在同一时间只能被一个CPU访问。
20.国内物理隔离网闸和国外GAP产品的区别?
国内的隔离网闸GAP产品的技术原型多原自于国外,根据国内的实际需求情况,各自研发设计方向和产品的功能定位有所差异。
Whale产品其所有对数据的请求由设备本身发出,不支持外界请求,不支持交互式访问和反向代理,其对协议包的检查基于防火墙和防病毒模块来完成。数据的交换是基于文件的传输,对应用支持须事先设定或开发专门的模块来完成。
NetGAP产品采用专门硬件隔离部件来实现软件功能和隔离开关。基于包的处理,支持交互式访问和反向代理,基于对协议包的高级分析处理来支持比较广泛的协议应用。
21.物理隔离网闸需要哪些“许可证”?
根据我国计算机网络安全管理的规定,隔离网闸需要取得公安部、国家保密局和中国信息安全测评认证中心的安全产品的测评认证证书。如果要进入军事销售,还需要军队测评认证中心的认证证书。
22.ViGap设备能够支持多大的带宽?
一台单一的ViGap设备当前支持大约90M/秒的数据吞吐量。如果要求更大的带宽,我们建议您安装多个ViGap设备,并使用一个负载平衡设备(例如Nortel的Alteon Webswitch、 Radware的 WSD 或Cisco 的Load-director)来分开负载。
23.ViGap支持什么Internet协议?
ViGap支持所有流行的INTERNET协议:HTTP、HTTPS、FTP、SMTP、DNS和POP3。ViGap也支持RADIUS服务器论证和LDAP服务器查找已知用户和邮箱。
24.为了增加一个ViGap到我的安全机构中,是否需要重新配置我的服务器和防火墙?
一般情况下,在一个现有的企业网络拓扑结构中增加一台ViGap设备,我们完全不用改变企业现有的服务器和防火墙配置。
ViGap与防火墙
25.防火墙的功能:
1、限制访问者进入一个被严格控制的点
2、防止进攻者接近防御设备
3、限制访问者离开一个被严格控制的点
4、检查、筛选、过滤和屏蔽信息流中的有害服务,防止对计算机系统进行蓄意破坏
26.防火墙的局限性:
1、不能防范不经防火墙的攻击;?
2、不能防范人为因素的攻击;
3、不能防止受病毒感染的软件或文件的传输;
4、不能防止数据驱动式的攻击。
ViGap:
ViGap不仅能实现防火墙的功能,而且还能做到防火墙做不到的功能,特别是能防范未知的基于网络漏洞的病毒,系统内核漏洞,DOS攻击,负载攻击,分布式DOS攻击,缓冲区溢出攻击。
而且在现有的网络配制基础上增加ViGap设备,并不会改变现有的防火墙配置或路由器配置。
| 
