0x01 什么是安全网闸?
安全网闸(SGAP)全称安全隔离网闸,又称“安全隔离与信息交换”,是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,用以实现不同安全级别网络之间的安全隔离,并提供可管可控的数据交换软硬件系统,从而抵御各种已知和未知的攻击,提高内网的安全强度。
网闸最早出现在美国、以色列等国军方,它相当于一个高速开关在内外网之间来回切换,同一时刻内外网间没有连接,处于物理隔离状态,在隔离内外网业务连接的前提下,实现安全的数据交换。
网闸通常使用 “2+1” 架构,即内网处理单元、外网处理单元和DTP物理隔离通道,确保内外网之间没有TCP/IP连接,通过协议剥离、信息摆渡、安全检查、病毒扫描等方式确保内外网在隔离的情况下进行信息交互。
0x02 实现原理及运作流程
1、发展历程
多套网络技术
- 早期没有合适的设备可用,一些组织通过建立两套完全独立的网络来实现隔离,一套可对外连接,一套完全封闭于内部,两套网络互不相连。两套系统间无法做到信息共享,只能借助于人工或各自部署于两套网络中的独立的计算机来分别获取内部和外部信息。这种方式安全性较高,但两个网络间信息交换困难。
隔离卡技术
- 随后出现的隔离卡技术避免了使用多套计算机系统而带来的资源浪费和操作不便。它借助隔离卡对两个网络控制器分别供电,并将一台设备上的硬盘物理分割为两个分区,分别与内外网络相连。在不同的硬盘上各自安装独立的操作系统,形成两个完全独立的环境。操作者每次只能进入其中一个系统,要进行系统切换时,必须关机重启。采用单机隔离卡技术,解决了单机非实时信息交换的需求,但网间连续实时的业务依然无法开展,且对单机通信的信息泄漏问题没有有效的监控手段。
传统网闸技术
在安全隔离方面也曾出现过其它多种技术方案,比如在隔离卡建立起的两套系统间设立数据缓冲区,进行分时连接和切换,还有就是基于电子开关的方式进行隔离系统两端网络通断的控制。传统网闸技术在一定程度上能够解决信息交换和隔离的需求,但在安全功能实现和系统性能上仍不能完全满足安全建设的要求。
2、工作原理
SGAP技术的基本原理:首先切断网络之间的TCP/IP等通用协议连接,将数据包进行分解或重组为静态数据,然后对静态数据进行安全审查,包括网络协议检查、代码扫描等,确认后的安全数据流入内部单元,内部用户通过身份认证机制获取所需数据。
3、单元模块
安全网闸在功能上基本包含:安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证等。
SGAP在系统单元上一般由三部分构成:内网处理单元、外网处理单元和专用隔离硬件交换单元。三个单元都要求其软件的操作系统是安全的,也就是采用非通用的操作系统,或改造后的专用操作系统。一般为Unix BSD或Linux的变种版本,或者其他是嵌入式操作系统VxWorks等,但都要对底层不需要的协议、服务删除,使用的协议优化改造,增加安全特性,同时提高效率。
系统中的内网处理单元连接内部网,外网处理单元连接外部网,两模块间没有直接的物理连接,形成物理隔断,从而保证可信网和非可信网之间没有数据包的交换,没有网络连接的建立。专用隔离硬件交换单元在任一时刻点仅连接内网处理单元或外网处理单元,与两者间的连接受硬件电路控制高速切换,其交换单元的这种交换并不是数据包的转发,而是应用层数据的静态读写操作,因此可信网的用户可以通过安全隔离与信息交换系统放心的访问非可信网的资源,而不必担心可信网的安全受到影响。单元模块具体负责处理的内容如下:
- 内网处理单元
包括内网接口单元与内网数据缓冲区。接口部分负责与内网的连接,并终止内网用户的网络连接,对数据进行病毒检测、防火墙、入侵防护等安全检测后剥离出“纯数据”,作好交换的准备,也完成来自内网对用户身份的确认,确保数据的安全通道;数据缓冲区是存放并调度剥离后的数据,负责与隔离交换单元的数据交换。 - 外网处理单元
与内网处理单元功能相同,但处理的是外网连接。 隔离与交换控制单元
是网闸隔离控制的摆渡控制,控制交换通道的开启与关闭。控制单元中包含一个数据交换区,就是数据交换中的摆渡船。对交换通道的控制的方式目前有两种技术,摆渡开关与通道控制。摆渡开关是电子倒换开关,让数据交换区与内外网在任意时刻的不同时连接,形成空间间隔GAP,实现物理隔离。通道方式是在内外网之间改变通讯模式,中断了内外网的直接连接,采用私密的通讯手段形成内外网的物理隔离。该单元中有一个数据交换区,作为交换数据的中转。
这种独特设计保证了专用隔离硬件交换单元在任一时刻仅连通内部网或者外部网,既满足了内部网与外部网网络物理隔离的要求,又能实现数据的动态交换。同时SGAP软件系统会内置一些协议分析引擎、安全检测、病毒查杀等多种安全检测机制,根据用户需求配置不同的安全策略等。4、运作流程
信息通过网闸传递需经过多个安全模块的检查,以验证被交换信息的合法性。当访问请求到达内外网主机模块时,首先由网闸实现 TCP 连接的终结,确保 TCP/IP 协议不会直接或通过代理方式穿透网闸;然后内外网主机模块会依据安全策略对访问请求进行预处理,判断是否符合访问控制策略,并依据 RFC 或定制策略对数据包进行应用层协议检查和内容过滤,检验其有效载荷的合法性和安全性。一旦数据包通过了安全检查,内外网主机模块会对数据包进行格式化,将每个合法数据包的传输信息和传输数据分别转换成专有格式数据,存放在缓冲区等待被隔离交换模块处理。这种“静态”的数据形态不可执行,不依赖于任何通用协议,只能被网闸的内部处理机制识别及处理,因此可避免遭受利用各种已知或未知网络层漏洞的威胁。
隔离交换单元模块采用固化控制逻辑,与内外网模块间只存在内存缓冲区的读写操作,没有任何网络协议和数据包的转发。隔离交换子系统采用互斥机制,在读写一端主机模块的数据前先中止对另一端的操作,确保隔离交换系统不会同时对内外网主机模块的数据进行处理,以保证在任意时刻可信网与非可信网间不存在链路层通路,实现网络的安全隔离。 当内外网主机模块通过隔离交换模块接收到来自另一端的格式化数据,可根据本端的安全策略进行进一步的应用层安全检查。经检验合格,则进行逆向转换,将格式化数据转换成符合 RFC 标准的 TCP/IP 数据包,将数据包发送到目的计算机,完成数据的安全交换。![]()
5、部署架构
安全隔离网闸通常布置在两个安全级别不同的两个网络之间,如信任网络和非信任网络,管理员可以从信任网络一方对安全隔离网闸进行管理。
0x03 需求场景及痛点解决
1、业务痛点
实现隔离不难,难在隔离后的数据交换,因此需要一套解决方案来实现既要物理隔离来保护数据安全,又可以兼顾数据交换,同时又不像隔离卡那样复杂麻烦。
- 当用户的网络需要保证高强度的安全,同时又与其它不信任网络进行信息交换的情况下,如果采用物理隔离卡,用户必须使用开关在内外网之间来回切换,不仅管理起来非常麻烦,使用起来也非常不方便,如果采用防火墙,由于防火墙自身的安全很难保证,所以防火墙也无法防止内部信息泄漏和外部病毒、黑客程序的渗入,安全性无法保证。在这种情况下,安全隔离网闸能够同时满足这两个要求,弥补了物理隔离卡和防火墙的不足之处。
传统的U盘、FTP来实现数据交换既不方便,也缺少过程审计,在发生数据泄露时候难以溯源,需要一套解决方案来实现做到隔离数据交换可管可控。
- 通过划分内外网或者再细分办公网、业务网等实现网络隔离不难,但这种逻辑上的网络隔离并不能确保数据资产安全,因为网络划分了还需要进行数据交换,内网的东西要发出去,外网的东西也要发进来,这时候在进行内外网数据传输安全性就很难保证,并且通过传统的FTP、U盘传输都没有审计的功能,数据泄露的时候很难进行溯源,这时候就需要有GAP,既可以审计审批来确保数据合规,也可以对内外网之间数据传输可管可控。
无法确保TCP/IP协议、防火墙本身的安全,因此需要一套解决方案加强隔离程度,应对未知、APT等攻击。
通常见到的木马大部分是基于TCP的,木马的客户端和服务器端需要建立连接,而安全隔离网闸由于使用了自定义的私有协议(不同于通用协议)。使得支持传统网络结构的所有协议均失效,从原理实现上就切断所有的TCP连接,包括UDP、ICMP等其他各种协议,使各种木马无法通过安全隔离网闸进行通讯,从而可以防止未知和已知的木马攻击。并且从目前的安全技术,无论防火墙、UTM等防护系统都不能保证攻击的一定阻断,入侵检测等监控系统也不能保证入侵行为完全捕获,所以最安全的方式就是物理的分开。
2、政策标准
- 工信部《工业控制网络安全隔离与信息交换系统安全技术要求》
- 公安部技术规范要求,涉密网及国家重大基础设施网络必须与公网进行物理隔离,电子政务的内外网络之间需要满足“物理隔离”。
最高人民法院《安全隔离与信息交换平台建设要求》FYB/T 53001—2020
3、适用群体
业安全网闸主要服务于电力、工业、医院、银行等一些对数据安全合规要求较高的单位。
4、市场占比
根据IDC 2020年发布的《中国安全隔离与信息交换市场份额,2019:各方需求驱动,市场发展长期向好》研究报告,安全网闸市场规模达到1.05亿美元,较2018年同比增长20.5%,启明和奇安信市场份额占比前列。
![]()
0x04 常见问题
1、与防火墙有什么区别?
网闸是一种隔离设备,是在保障安全的基础上实现通讯,而防火墙是保障通讯的基础上尽量做到安全。防火墙一般在进行IP包转发的同时,通过对IP包的处理,实现对TCP会话的控制,但是对应用数据的内容不进行检查。这种工作方式无法防止泄密,也无法防止病毒和黑客程序的攻击。
| 特性 | 安全网闸 | 防火墙 |
|---|---|---|
| 访问控制 | 基于物理隔离的白名单控制 | 基于连通网络的黑名单控制 |
| 硬件特点 | 多主机形成纵深防御,保证隔离效果 | 单主机多宿主 |
| 隔离类型 | 专用隔离硬件 | 无专用数据交换硬件 |
| 软件特点 | 不允许TCP会话 | 允许TCP会话 |
| 访问类型 | 不允许从外到内的访问 | 允许从外到内的访问 |
| 安全性特点 | 可以最大程度防止未知攻击 | 不能防止未知攻击 |
| 性能与应用特点 | 确保安全性能所需的管理和维护工作量小 | 需要7x24监控,确保安全性能 |
| 数据通过性 | 性能适中 | 高性能 |
| 隔离方式 | 需要与应用系统结合 | 对应用透明 |
2、与物理隔离卡的区别?
安全隔离网闸与物理隔离卡最主要的区别是安全隔离网闸能够实现两个网络间的自动的安全适度的信息交换,而物理隔离卡只能提供一台计算机在两个网之间切换,并且需要手动操作,大部分的隔离卡还要求系统重新启动以便切换硬盘。
3、交换信息与路由器、交换机在网络之间数据交换的区别?
安全隔离网闸在网路间进行的安全适度的信息交换是在网络之间不存在链路层连接的情况下进行的。安全隔离网闸直接处理网络间的应用层数据,利用存储转发的方法进行应用数据的交换,在交换的同时,对应用数据进行的各种安全检查。路由器、交换机则保持链路层畅通,在链路层之上进行IP包等网络层数据的直接转发,没有考虑网络安全和数据安全的问题。
4、与单向网闸的区别?
单向网闸在发现攻击后只会阻断外网的电路, 双向网闸在发现攻击后内外两边的电路都阻断。
5、有了防火墙和IDS,是否还需要安全隔离网闸?
防火墙是网络层边界检查工具,可以设置规则对内部网络进行安全防护,而IDS一般是对已知攻击行为进行检测,这两种产品的结合可以很好的保护用户的网络,但是从安全原理上来讲,无法对内部网络做更深入的安全防护。安全隔离网闸重点是保护内部网络,如果用户对内部网络的安全非常在意,那么防火墙和IDS再加上安全隔离网闸将会形成一个很好的防御体系。
并且即使网闸隔离效果很好,但是也不能取代防火墙,防火墙一般是基于网络层和传输层来进行访问控制。对于应用层控制不如网闸,而网闸对于应用层的控制更加细致化,更加深度化,但是对于网络层和传输层的控制则不如防火墙。防火墙的主要在作用就是安全域的划分(逻辑隔离)以及边界的访问控制而网闸则是在内外网之间进行数据的“摆渡”(物理隔离),相比之下,网闸的安全级别大于防火墙,但是处理报文的速率要低于防火墙。
6、隔离后环境之间可以交换哪些数据?
支持交换哪些数据取决于安装了哪些应用模块及配置的访问策略,例如可以安装流量网页、邮件、访问数据库等应用。
7、安全网闸是否支持千、万兆网?
大多安全隔离网闸支持百兆网络,如果要支持千、万兆网络,需要多台安全网闸做负载均衡。
8、安全网闸安全性如何,能否被突破?
安全网闸物理隔离相对来说已经比较安全了,但也会存在一些物理社工、配置策略不当等进行攻击,例如:从Fastjson绕WAF到打穿网闸、用激光入侵系统——腾讯玄武实验室 BadBarcode 研究的新进展。
8、安全网闸是否会接受外来请求,是否能够隔离两个网络的相同网段地址?
不会,所有的请求都是由安全网闸主动发起,不接受外来请求,不提供任何系统服务;可以隔离两个网络相同网段。