物理隔离网闸简介二零零四年三月目录1.物理隔离网闸的定位 (3)2.物理隔离要解决的问题 (3)3.TCP/IP的漏洞 (3)4.防火墙的漏洞 (4)5.物理隔离的技术原理 (4)6.物理隔离网闸常见技术问题解答 (8)6.1.物理隔离网闸一定要采用专用开关集成电路吗？ (8)6.2.物理隔离网闸是如何利用SCSI来实现开关技术的？ (9)6.3.物理隔离网闸可以采用USB，火线和以太来实现软开关吗？ (9)6.4.为什么SCSI可以，而USB、火线和以太就不行？ (10)6.5.物理隔离网闸的开关的速度很慢吗？ (10)6.6.物理隔离网闸工作在OSI模型的那一层？ (10)6.7.物理隔离网闸在OSI模型第5层是如何工作的？ (11)6.8.物理隔离网闸在OSI模型第七层是如何工作的？ (12)6.9.信息安全交换系统是如何工作的？ (12)6.10.安全隔离网闸在OSI模型里是如何工作？ (13)6.11.采用了协议转换，是物理隔离吗？ (15)6.12.基于协议转换的双主机结构有哪些类型和形式？ (15)6.13.物理隔离网闸的每一个应用都需要相应的代理？ (17)6.14.物理隔离网闸的应用代理是否符合相关的RFC规范？ (17)6.15.从外网已经PING不通内网，是物理隔离网闸吗？ (17)6.16.从外网无法扫描内网的主机，是物理隔离网闸吗？ (18)6.17.通过开关来实现了包转发，是物理隔离网闸吗？ (18)6.18.为什么说即使入侵了网闸的外部主机，也无法入侵内部主机？ (18)6.19.物理隔离网闸的外部主机有哪些防止入侵的办法？ (18)6.20.为什么物理隔离网闸能阻止未知的攻击？ (19)6.21.物理隔离网闸的安全性是最高的吗？ (19)1.物理隔离网闸的定位物理隔离技术，不是要替代防火墙，入侵检测，漏洞扫描和防病毒系统，相反，它是用户“深度防御”的安全策略的另外一块基石，一般用来保护为了的“核心”。

物理隔离技术，是绝对要解决互联网的安全问题，而不是什么其它的问题。

2.物理隔离要解决的问题解决目前防火墙存在的根本问题：●防火墙对操作系统的依赖，因为操作系统也有漏洞●TCP/IP的协议漏洞：不用TCP/IP●防火墙、内网和DMZ同时直接连接，●应用协议的漏洞，因为命令和指令可能是非法的●文件带有病毒和恶意代码：不支持MIME，只支持TXT，或杀病毒软件，或恶意代码检查软件物理隔离的指导思想与防火墙有很大的不同：防火墙的思路是在保障互联互通的前提下，尽可能安全，而物理隔离的思路是在保证必须安全的前提下，尽可能互联互通。

3.TCP/IP的漏洞TCP/IP是冷战时期的产物，目标是要保证通达，保证传输的粗旷性。

通过来回确认来保证数据的完整性，不确认则要重传。

TCP/IP没有内在的控制机制，来支持源地址的鉴别，来证实IP从哪儿来。

这就是TCP/IP漏洞的根本原因。

黑客利用TCP/IP的这个漏洞，可以使用侦听的方式来截获数据，能对数据进行检查，推测TCP的系列号，修改传输路由，修改鉴别过程，插入黑客的数据流。

莫里斯病毒就是利用这一点，给互联网造成巨大的危害。

4.防火墙的漏洞防火墙要保证服务，必须开放相应的端口。

防火墙要准许HTTP服务，就必须开放80端口，要提供MAIL服务，就必须开放25端口等。

对开放的端口进行攻击，防火墙不能防止。

利用DOS或DDOS，对开放的端口进行攻击，防火墙无法禁止。

利用开放服务流入的数据来攻击，防火墙无法防止。

利用开放服务的数据隐蔽隧道进行攻击，防火墙无法防止。

攻击开放服务的软件缺陷，防火墙无法防止。

防火墙不能防止对自己的攻击，只能强制对抗。

防火墙本身是一种被动防卫机制，不是主动安全机制。

防火墙不能干涉还没有到达防火墙的包，如果这个包是攻击防火墙的，只有已经发生了攻击，防火墙才可以对抗，根本不能防止。

目前还没有一种技术可以解决所有的安全问题，但是防御的深度愈深，网络愈安全。

物理隔离网闸是目前唯一能解决上述问题的安全设备。

5.物理隔离的技术原理物理隔离的技术架构在隔离上。

以下的图组可以给我们一个清晰的概念，物理隔离是如何实现的。

图1，外网是安全性不高的互联网，内网是安全性很高的内部专用网络。

正常情况下，隔离设备和外网，隔离设备和内网，外网和内网是完全断开的。

保证网络之间是完全断开的。

隔离设备可以理解为纯粹的存储介质，和一个单纯的调度和控制电路。

当外网需要有数据到达内网的时候，以电子邮件为例，外部的服务器立即发起对隔离设备的非TCP/IP协议的数据连接，隔离设备将所有的协议剥离，将原始的数据写入存储介质。

根据不同的应用，可能有必要对数据进行完整性和安全性检查，如防病毒和恶意代码等。

见下图2。

一旦数据完全写入隔离设备的存储介质，隔离设备立即中断与外网的连接。

转而发起对内网的非TCP/IP协议的数据连接。

隔离设备将存储介质内的数据推向内网。

内网收到数据后，立即进行TCP/IP的封装和应用协议的封装，并交给应用系统。

这个时候内网电子邮件系统就收到了外网的电子邮件系统通过隔离设备转发的电子邮件。

见下图3。

在控制台收到完整的交换信号之后，隔离设备立即切断隔离设备于内网的直接连接。

见下图4。

如果这时，内网有电子邮件要发出，隔离设备收到内网建立连接的请求之后，建立与内网之间的非TCP/IP协议的数据连接。

隔离设备剥离所有的TCP/IP 协议和应用协议，得到原始的数据，将数据写入隔离设备的存储介质。

必要的化，对其进行防病毒处理和防恶意代码检查。

然后中断与内网的直接连接。

见下图5。

一旦数据完全写入隔离设备的存储介质，隔离设备立即中断与内网的连接。

转而发起对外网的非TCP/IP协议的数据连接。

隔离设备将存储介质内的数据推向外网。

外网收到数据后，立即进行TCP/IP的封装和应用协议的封装，并交给系统。

见下图6。

控制台收到信息处理完毕后，立即中断隔离设备与外网的连接，恢复到完全隔离状态。

见下图7。

每一次数据交换，隔离设备经历了数据的接受，存储和转发三个过程。

由于这些规则都是在内存和内核力完成的，因此速度上有保证，可以达到100%的总线处理能力。

物理隔离的一个特征，就是内网与外网永不连接，内网和外网在同一时间最多只有一个同隔离设备建立非TCP/IP协议的数据连接。

其数据传输机制是存储和转发。

物理隔离的好处是明显的，即使外网在最坏的情况下，内网不会有任何破坏。

修复外网系统也非常容易。

6.物理隔离网闸常见技术问题解答6.1.物理隔离网闸一定要采用专用开关集成电路吗？答：不是。

在开关的实现中，最直接的办法是采用专用开关集成电路，直接控制总线方式。

由于受我国芯片制造业的水平限制，性能和质量很难保证，送到外国生产则必须交出电路设计，又担心安全问题。

另外一个问题是专用芯片的批量生产和价格问题，在美国也很难解决这个问题。

目前美国的物理隔离网闸厂商，采用专用开关芯片的也不多。

6.2.物理隔离网闸是如何利用SCSI来实现开关技术的？答：首先，SCSI不是一个通信协议，而是一个用于主机向存储外设读写的协议。

通过两个主机连接一个存储设备，如下图：中间的固态存储介质，不是采用文件系统方式，而是采用块方式（Block）。

外部主机可以向固态存储介质发起读和写的请求，内部主机也可以向固态存储介质发起读和写的请求，但固态存储介质每次只受理一个。

固态存储介质本身不可以向主机发起连接请求。

因此，外部主机和内部主机不会发生连接，只能通过固态存储介质进行摆渡。

这就具备了一个简单的开关原理。

在实际的技术中要复杂得多，厂商要解决存在的时钟问题，效率问题，同步问题，可靠性问题，阻塞问题等一系列问题，才可能实现基于SCSI的开关技术。

由于SCSI连接不存在任何上层协议的编程接口，仅只有读/写的功能，能够很好地阻挡任何上层通信协议包括TCP/IP，并具有很高的可靠性和稳定性。

因此，在操作系统核心层中通过SCSI技术实现主机之间的开关设计在国际上非常流行，也是主流趋势。

6.3.物理隔离网闸可以采用USB，火线和以太来实现软开关吗？答：不可以。

USB，火线和以太线，都是通信协议，这在安全性上与防火墙无异。

由于USB方式、火线方式和以太方式很容易增加编程接口，如加载TCP/IP，可能受某些软件编程控制，不能有效和彻底地中断TCP/IP和应用服务。

基于上述介质实现的通断（有厂商宣称是软开关）不是物理隔离网闸所要求的开关。

线路有通断，并不就是物理隔离。

6.4.为什么SCSI可以，而USB、火线和以太就不行？答：要说集成电路开关，大家比较容易接受。

而SCSI也是线，USB，火线和以太也是线，为什么SCSI可以，而其他的就不行？原因很简单，SCSI不是通信协议，是文件读写协议，SCSI线和固态存储介质作为一个系统来实现开关原理。

USB，火线和以太都是通信协议，两个主机相连，已经不具备物理隔离网闸要求的隔离特性和安全特性。

6.5.物理隔离网闸的开关的速度很慢吗？答：不慢。

一个33Mhz的32bit的总线bus的PCI能提供的带宽为132MB/s，即1056Mbit/s。

一个66Mhz的64bit的总线的PCI能提供的带宽为528MB/s，即4224Mbit/s。

采用双通道的320MB/s的SCSI，可以取得的总带宽为640MB/s，即5120Mbit/s。

5G带宽应该足够了。

6.6.物理隔离网闸工作在OSI模型的那一层？答：所有的七层都工作。

6.7.物理隔离网闸在OSI模型第5层是如何工作的？答：物理隔离网闸通过工作在第5层，来中断TCP会话，将一组IP包“还原”为一个应用数据。

因此，基于TCP协议的攻击，就全部被去掉。

比如说，SYNflooding攻击等。

6.8.物理隔离网闸在OSI模型第七层是如何工作的？答：物理隔离网闸必须在外部和内部主机上同时提供具体的应用代理服务。

没有提供代理服务的应用服务的包将无法通过。

只有提供相关的应用代理服务，在剥离TCP/IP基础之上，才能将应用协议“剥离”，屏蔽应用协议可能的漏洞，保证安全性。

应用代理将应用数据“还原”出来，通过开关电路“摆渡”到对方。

6.9.信息安全交换系统是如何工作的？答：信息安全交换系统的OSI模型图如下。

外部主机代理。

内部主机代理和中间的安全检查主机。

三台主机之间通过以太方式相连。

有文献说，可以将中间的安全检查主机，采用物理隔离卡，来人工切换。

有些类似安全系统和物理隔离卡的系统应用，可以认为是物理隔离，但不是物理隔离网闸。

6.10.安全隔离网闸在OSI模型里是如何工作？答：安全隔离工作模型有很多种。

其中安全性最高的一种如下图。

但没有发现这种结构与单个的代理有本质的不同，除非内部主机的操作系统与外部的不同。

该结构的另外两种模型如下，分别是电路代理和包过滤。