一、物理隔離網(wǎng)閘的定位

   物理隔離技術(shù)，不是要替代防火墻，入侵檢測(cè)，漏洞掃描和防病毒系統(tǒng)，相反，它是用戶“深度防御”的安全策略的另外一塊基石，一般用來(lái)保護(hù)為了的“核心”。物理隔離技術(shù)，是絕對(duì)要解決互聯(lián)網(wǎng)的安全問(wèn)題，而不是什么其它的問(wèn)題。

    二、物理隔離要解決的問(wèn)題

    解決目前防火墻存在的根本問(wèn)題：
·防火墻對(duì)操作系統(tǒng)的依賴，因?yàn)椴僮飨到y(tǒng)也有漏洞
· TCP/IP的協(xié)議漏洞：不用TCP/IP
· 防火墻、內(nèi)網(wǎng)和DMZ同時(shí)直接連接
· 應(yīng)用協(xié)議的漏洞，因?yàn)槊詈椭噶羁赡苁欠欠ǖ?br>· 文件帶有病毒和惡意代碼：不支持MIME，只支持TXT，或殺病毒軟件，或惡意代碼檢查軟件
物理隔離的指導(dǎo)思想與防火墻有很大的不同：（1）防火墻的思路是在保障互聯(lián)互通的前提下，盡可能安全，而（2）物理隔離的思路是在保證必須安全的前提下，盡可能互聯(lián)互通。

    三、TCP/IP的漏洞

    TCP/IP是冷戰(zhàn)時(shí)期的產(chǎn)物，目標(biāo)是要保證通達(dá)，保證傳輸?shù)拇謺缧?。通過(guò)來(lái)回確認(rèn)來(lái)保證數(shù)據(jù)的完整性，不確認(rèn)則要重傳。TCP/IP沒(méi)有內(nèi)在的控制機(jī)制，來(lái)支持源地址的鑒別，來(lái)證實(shí)IP從哪兒來(lái)。這就是TCP/IP漏洞的根本原因。黑客利用TCP/IP的這個(gè)漏洞，可以使用偵聽(tīng)的方式來(lái)截獲數(shù)據(jù)，能對(duì)數(shù)據(jù)進(jìn)行檢查，推測(cè)TCP的系列號(hào)，修改傳輸路由，修改鑒別過(guò)程，插入黑客的數(shù)據(jù)流。莫里斯病毒就是利用這一點(diǎn)，給互聯(lián)網(wǎng)造成巨大的危害。

    防火墻的漏洞

    防火墻要保證服務(wù)，必須開(kāi)放相應(yīng)的端口。防火墻要準(zhǔn)許HTTP服務(wù)，就必須開(kāi)放80端口，要提供MAIL服務(wù)，就必須開(kāi)放25端口等。對(duì)開(kāi)放的端口進(jìn)行攻擊，防火墻不能防止。利用DOS或DDOS，對(duì)開(kāi)放的端口進(jìn)行攻擊，防火墻無(wú)法禁止。利用開(kāi)放服務(wù)流入的數(shù)據(jù)來(lái)攻擊，防火墻無(wú)法防止。利用開(kāi)放服務(wù)的數(shù)據(jù)隱蔽隧道進(jìn)行攻擊，防火墻無(wú)法防止。攻擊開(kāi)放服務(wù)的軟件缺陷，防火墻無(wú)法防止。
防火墻不能防止對(duì)自己的攻擊，只能強(qiáng)制對(duì)抗。防火墻本身是一種被動(dòng)防衛(wèi)機(jī)制，不是主動(dòng)安全機(jī)制。防火墻不能干涉還沒(méi)有到達(dá)防火墻的包，如果這個(gè)包是攻擊防火墻的，只有已經(jīng)發(fā)生了攻擊，防火墻才可以對(duì)抗，根本不能防止。
目前還沒(méi)有一種技術(shù)可以解決所有的安全問(wèn)題，但是防御的深度愈深，網(wǎng)絡(luò)愈安全。物理隔離網(wǎng)閘是目前唯一能解決上述問(wèn)題的安全設(shè)備。

    物理隔離的技術(shù)原理

    物理隔離的技術(shù)架構(gòu)在隔離上。以下的圖組可以給我們一個(gè)清晰的概念，物理隔離是如何實(shí)現(xiàn)的。圖1，外網(wǎng)是安全性不高的互聯(lián)網(wǎng)，內(nèi)網(wǎng)是安全性很高的內(nèi)部專用網(wǎng)絡(luò)。正常情況下，隔離設(shè)備和外網(wǎng)，隔離設(shè)備和內(nèi)網(wǎng)，外網(wǎng)和內(nèi)網(wǎng)是完全斷開(kāi)的。保證網(wǎng)絡(luò)之間是完全斷開(kāi)的。隔離設(shè)備可以理解為純粹的存儲(chǔ)介質(zhì)，和一個(gè)單純的調(diào)度和控制電路。



    當(dāng)外網(wǎng)需要有數(shù)據(jù)到達(dá)內(nèi)網(wǎng)的時(shí)候，以電子郵件為例，外部的服務(wù)器立即發(fā)起對(duì)隔離設(shè)備的非TCP/IP協(xié)議的數(shù)據(jù)連接，隔離設(shè)備將所有的協(xié)議剝離，將原始的數(shù)據(jù)寫(xiě)入存儲(chǔ)介質(zhì)。根據(jù)不同的應(yīng)用，可能有必要對(duì)數(shù)據(jù)進(jìn)行完整性和安全性檢查，如防病毒和惡意代碼等。見(jiàn)下圖2。



    一旦數(shù)據(jù)完全寫(xiě)入隔離設(shè)備的存儲(chǔ)介質(zhì)，隔離設(shè)備立即中斷與外網(wǎng)的連接。轉(zhuǎn)而發(fā)起對(duì)內(nèi)網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)連接。隔離設(shè)備將存儲(chǔ)介質(zhì)內(nèi)的數(shù)據(jù)推向內(nèi)網(wǎng)。內(nèi)網(wǎng)收到數(shù)據(jù)后，立即進(jìn)行TCP/IP的封裝和應(yīng)用協(xié)議的封裝，并交給應(yīng)用系統(tǒng)。
這個(gè)時(shí)候內(nèi)網(wǎng)電子郵件系統(tǒng)就收到了外網(wǎng)的電子郵件系統(tǒng)通過(guò)隔離設(shè)備轉(zhuǎn)發(fā)的電子郵件。見(jiàn)下圖3。



    在控制臺(tái)收到完整的交換信號(hào)之后，隔離設(shè)備立即切斷隔離設(shè)備于內(nèi)網(wǎng)的直接連接。見(jiàn)下圖4。



    如果這時(shí)，內(nèi)網(wǎng)有電子郵件要發(fā)出，隔離設(shè)備收到內(nèi)網(wǎng)建立連接的請(qǐng)求之后，建立與內(nèi)網(wǎng)之間的非TCP/IP協(xié)議的數(shù)據(jù)連接。隔離設(shè)備剝離所有的TCP/IP協(xié)議和應(yīng)用協(xié)議，得到原始的數(shù)據(jù)，將數(shù)據(jù)寫(xiě)入隔離設(shè)備的存儲(chǔ)介質(zhì)。必要的化，對(duì)其進(jìn)行防病毒處理和防惡意代碼檢查。然后中斷與內(nèi)網(wǎng)的直接連接。見(jiàn)下圖5。



    一旦數(shù)據(jù)完全寫(xiě)入隔離設(shè)備的存儲(chǔ)介質(zhì)，隔離設(shè)備立即中斷與內(nèi)網(wǎng)的連接。轉(zhuǎn)而發(fā)起對(duì)外網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)連接。隔離設(shè)備將存儲(chǔ)介質(zhì)內(nèi)的數(shù)據(jù)推向外網(wǎng)。外網(wǎng)收到數(shù)據(jù)后，立即進(jìn)行TCP/IP的封裝和應(yīng)用協(xié)議的封裝，并交給系統(tǒng)。見(jiàn)下圖6。



    控制臺(tái)收到信息處理完畢后，立即中斷隔離設(shè)備與外網(wǎng)的連接，恢復(fù)到完全隔離狀態(tài)。見(jiàn)下圖7。



    每一次數(shù)據(jù)交換，隔離設(shè)備經(jīng)歷了數(shù)據(jù)的接受，存儲(chǔ)和轉(zhuǎn)發(fā)三個(gè)過(guò)程。由于這些規(guī)則都是在內(nèi)存和內(nèi)核力完成的，因此速度上有保證，可以達(dá)到100%的總線處理能力。

    物理隔離的一個(gè)特征，就是內(nèi)網(wǎng)與外網(wǎng)永不連接，內(nèi)網(wǎng)和外網(wǎng)在同一時(shí)間最多只有一個(gè)同隔離設(shè)備建立非TCP/IP協(xié)議的數(shù)據(jù)連接。其數(shù)據(jù)傳輸機(jī)制是存儲(chǔ)和轉(zhuǎn)發(fā)。

    物理隔離的好處是明顯的，即使外網(wǎng)在最壞的情況下，內(nèi)網(wǎng)不會(huì)有任何破壞。修復(fù)外網(wǎng)系統(tǒng)也非常容易。