杨少伟 周营

（摘自《国家信息安全测评认证》杂志）

摘要 随着信息化在我国的不断深入与发展，网络安全问题日益成为我们关注的焦点，而防火墙和网络隔离设备是网络安全领域的两种主要防护设备。本文主要对防火墙和网络隔离设备的实现原理、体系架构、安全特性、功能特点进行了分析比较，并在此基础上对两者的适用范围进行了分析定位，最后对两者的的发展趋势及在未来网络安全技术领域的问题进行了预测。

关键字 网络隔离、防火墙、TCP/IP

1. 引言

随着Internet的飞速发展以及我国政府信息化为代表的电子政务的蓬勃发展，信息安全性要求和政府办公效率问题一度使人们陷入两难境地。2000年1月1日起正式实施的《计算机信息系统国际联网保密管理规定》中更是明确规定：“凡涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或者其他公共信息网络相连接，必须实行物理隔离”。本文从网络隔离技术的发展入手，通过对该技术原理及其实现机制的介绍，首次详尽的对网络隔离技术和防火墙技术的各项内容进行分析研究，同时对网络安全领域的安全设备最新研究进展进行分析，为下一步的研究提出了新的课题和思路。

2. 网络隔离技术简介

2.1.网络隔离技术的发展历程

最早研究网络隔离技术的国家有美国、以色列和俄罗斯，我国提出物理隔离是在20世纪90年代的中后期。网络隔离概念最早是国外军方以“物理隔离”提出来的，不过直到现在，也没有完整的关于网络隔离技术的定义和标准，现在一般称之为“GAP Technology”，意为网络隔离。

网络隔离技术的发展到目前为止经历了以下五个发展阶段：（1）、完全的物理隔离。内部网络与外部网络为两套网络，它们之间完全的物理隔离。（2）、硬件隔离卡隔离。在客户端增加一块硬件卡，客户端硬盘或其他存储设备首先连接到该卡，然后再转接到主板上，通过该卡能控制客户端硬盘或其他存储设备。（3）、数据转移隔离。利用转移系统分时复制文件的途径来实现隔离。（4）、空气开关隔离。通过使用单刀双掷开关，使得内外部网络分时访问临时缓存器来完成数据交换的。（5）、安全通道隔离。通过专用通信硬件和私有不可路由协议等安全机制来实现内外部网络的隔离和数据交换，不仅解决了以前隔离技术存在的问题，并有效地把内外部网络隔离开来，而且高效地实现了内外网数据的安全交换，透明支持多种网络应用，成为当前隔离技术的发展方向，下面提到的网络隔离不加特殊说明都是指安全通道隔离。

2.2.网络隔离技术原理

网络隔离系统通常由三部分组成，即内网处理单元，外网处理单元和专用隔离硬件。内网处理单元和外网处理单元之间的数据交换是通过不可路由的私有协议完成，网络隔离实现了OSI模型全部七层的断开，其在OSI模型中的工作协议层次图如图2-1所示。

网络隔离技术的基本原理是，网络隔离系统切断了网络之间的通用协议连接，外网处理单元将数据包进行剥离或重组为静态数据，然后对静态数据进行安全审查，包括网络协议检查和代码扫描等。经确认后的安全数据通过专用隔离硬件交换到内网处理单元，内部用户通过严格的身份认证机制获取所需数据。

3. 网络隔离设备和防火墙的分析比较

上面我们对网络隔离技术的基本原理及其实现机制进行了比较详细的介绍，防火墙已是我们比较熟悉并且应用很广泛的产品，下面我们将对他们的各自定位、体系架构、安全性等不同方面进行详细的分析比较，从而使我们清楚地了解这两种不同安全技术的差别。

3.1.体系架构的分析比较

3.1.1.防火墙的体系架构

目前的防火墙大都依赖于对数据包的信息进行检查，检查的重点是网络协议的信息，参照OSI模型和TCP/IP模型，防火墙的架构总体上如图3-1所示。防火墙主要查看IP包中的IP包头、TCP包头、应用层包头以及数据加载的包头，要了解防火墙的具体架构，就需要分析它是检查的那一层协议的信息。根据OSI模型，防火墙架构包含以下几种：包过滤防火墙，电路网关防火墙，应用网关防火墙，状态检测包过滤防火墙和切换代理防火墙。

不同架构的防火墙具有不同的特点，包过滤防火墙的特点：部署容易，对应用透明，性能高且成本低；只检查IP和TCP包头，不对应用数据进行检查，安全性不高；不能有效的防止地址欺骗，不能识别不同的用户和防止IP地址的盗用；过滤规则难以配置正确，保护等级低，只提供较低的安全保护。电路网关防火墙的特点如下：中断了直接连接，比包过滤的安全性提高了一个等级；网络性能较高；不对应用数据作任何检查，只提供中低的安全性。应用代理防火墙的特点：易于配置并具有良好的认证登录、日志审计功能，同时能够为用户提供加密机制；禁止直接连接，消除隧道攻击的危害；依赖于所使用的操作系统，操作系统直接面对外部的攻击；对应用程序的质量要求较高；较高的安全性，但速度较慢；内外网数据传递使用相同的TCP/IP协议栈，不能避免协议短路，不能保证免受所有协议弱点的限制。

3.1.2.网络隔离设备的体系架构

网络隔离设备的体系架构如图2-1所示，由该图可知，该系统中断直接连接并检查所有各层的协议，并对各层协议进行剥离获得最原始的静态数据，然后可以对数据进行检查和扫描以防止恶意代码和病毒。网络隔离系统的数据隔离传递不依赖操作系统，不依赖于通用协议栈，不支持TCP/IP，并在异构介质上重组所有的数据。

3.1.2.1.网络隔离设备的实现机制

网络隔离设备由内网处理单元、外网处理单元和专用隔离硬件组成。网络隔离硬件包括一个独立的固态存储单元和一个独立的调度和控制单元，内网处理单元和外网处理单元在同一时刻最多只有一个同固态存储单元建立非TCP/IP协议的数据连接，并通过私有协议进行数据的交换。下面提到的外网指不可信网络（如Internet），内网指高安全性的内部专用网。

通常情况下，网络隔离系统的外网处理单元与外网相连，内网处理单元与内网相连，外网和内网是完全断开的，如图3-2所示。

当外网需要向内网传送数据的时候，外网处理单元接收传输过来的数据并发起对隔离系统存储单元的连接，然后将所有的协议剥离，得到静态数据，并按照私有协议写入存储单元，如图3-3所示。对于不同的应用，还可以根据需要对原始静态数据进行完整性和安全性检查。

当数据接收完全并且通过了安全性检查，隔离系统就会中断与外网的连接，并恢复到图3-2的状态，存储单元转而发起对内网处理单元的连接请求，接着将数据发送给内网处理单元，如图3-4所示。内网处理单元将收到的数据进行处理后传送到内网发起请求的主机。调度控制单元收到数据交换完成的信号后，固态存储单元立即中断与内网处理单元的连接，并恢复到如图3-2所示的状态。

此外，网络隔离系统还包括或嵌入以下一些安全模块：①安全隔离模块，隔离硬件在两个网络上进行切换时，通过对硬件上的存储芯片的读写来完成数据的交换。②系统内核保护模块，在内、外网处理单元中嵌入安全加固的操作系统，设置基于内核的IDS等。③安全检查模块，在外网处理单元内进行数据完整性检查、病毒查杀、恶意攻击代码检查等。④身份认证模块，用来支持身份认证、数字签名。⑤访问控制模块，在内网处理单元实行强制访问控制。⑥安全审计模块，在内网处理单元建立完善的日志系统。

3.2.安全性分析比较

防火墙设备侧重于网络层到应用层的策略隔离，操作系统、内部系统的漏洞、通用协议的缺陷等都成为不安全的潜在因素。防火墙在安全性方面具有以下特点，首先由防火墙的体系架构可知，防火墙可能会产生网络层短路，如图3-5所示，从而导致伪造合法数据包带来的危害；防火墙还难于抵御数据驱动式攻击，即大量合法的数据包将导致网络阻塞而使正常通信瘫痪。其次，防火墙很难阻止由通用协议本身漏洞发起的入侵。第三，防火墙系统本身的缺陷也是影响内部网络安全的重要因素，当防火墙主机被控制后，内部受保护网络就会暴露无疑。第四，要使防火墙发挥有效的安全性，需要正确、合理的配置防火墙相关的安全策略，而配置的复杂程度不仅带来烦琐的工作量，同时也增加了配置不当带来的安全隐患。

网络隔离设备实现了从物理层到应用层的多层次隔离，所采用的技术包含了数据分片重组、协议转化、密码学、入侵检测、病毒及关键字过滤、身份验证及审计等多个范畴。网络隔离设备在安全防护方面具有的特点为，首先，具有更高的可靠性和安全强度，它实现了OSI模型七层的断开和应用层内容的检查机制，因而不会产生网络层短路，消除了基于网络协议的攻击，同时即便网络隔离设备外网主机被攻占，内部系统和软件的后门与漏洞不会被外部利用，保证了内网的安全。其次它能有效阻止DoS攻击，由于网络隔离设备的外网处理单元不运行任何服务程序，保证与内网不存在任何TCP/IP协议通路，也不接受来自外部任何主机的发起连接，因而有效的保证了网络隔离设备本身和内网的安全性。第三，避免了操作系统和应用软件的不断升级，网络隔离设备在链路层断开，可以有效保证内部系统的安全，避免了用户繁杂的升级工作。第四，它能有效防止配置错误引起的网络隐患，防火墙是由一系列的规则组成，使用该规则对于进出的网络包进行检查，规则配置错误将造成不安全通道打开，而网络隔离设备仅允许定制的信息进行交换，即使出现错误，也至多是数据不再允许传输，而不会造成重大安全事故。

3.3.各自定位的分析比较

防火墙设备的定位逻辑是在保证网络互通的情况下尽可能安全；而网络隔离设备的定位逻辑是在保证安全的情况下允许网络互通。

防火墙是一种执行工具，是对安全策略的执行。它的主要功能就是依照所定义的访问控制策略对数据通信进行屏蔽或允许通信，因此它不能防止对自己的攻击，只能强制对抗，因而它本身也是一种被动的防卫工具。防火墙对符合安全策略的数据不能进行更加深入的检查，从而网络黑客可以利用多种攻击手段来伪造满足防火墙安全规则的数据达到欺骗的目的。相反网络隔离设备是在保证安全的情况下进行网络互通的。首先，在任意时刻，隔离系统最多只与内网或外网之一相连，即内外网之间不能发生直接连接。其次，内外网之间的TCP/IP协议和应用协议是阻断的，隔离系统交换的是静态数据，内网和外网之间的逻辑连接也是断开的。第三，网络隔离系统的内网处理单元通过访问控制、用户认证和加密签名等安全机制来达到交换数据的机密、可控和可审查。外网处理单元通过网络协议检查和代码扫描实现了交换数据的可用和完整性。第四，专用隔离硬件还具有不可编程性，只能进行读写操作，不具感染性，因此具有很高的安全性。

因此，同防火墙相比，网络隔离设备的内网与外网的直接连接是断开的隔离的，外网的数据包是不能路由到内网的。特别需要指出的是，网络隔离设备的专用隔离硬件不是使用串口、并口、USB、1394甚至标准网卡等形式实现的“软隔离”，而是使用不可编程的私有安全隔离芯片和接口协议，这就彻底有效的中断了TCP/IP和应用服务，避免了通用协议的攻击。

3.4.发展趋势的分析比较

针对目前防火墙存在的安全缺陷，防火墙技术会向具有入侵防御功能的智能化方向发展，同时网络架构的不断升级要求防火墙处理能力的不断提高。

目前网络安全市场上，以防火墙为核心的安全体系架构实现的安全保障体系未能有效的防止频频发生的网络攻击，以及防火墙集成的IDS造成的漏报误报，这些都要求未来的防火墙具有更高的安全性，集成IPS的防火墙将逐步取代集成IDS的防火墙。通过集成多种功能设计，例如包括VPN、AAA、PKI、IPSec等多种附加功能，提高防火墙的可管理和可控能力，不断增强防火墙的抗DoS攻击能力，同时利用统计、记忆、概率和决策的智能方法对数据进行识别来达到访问控制的目的。具备集中的网络管理平台，支持双机热备份、负载均衡和多出口路由以及IP v6等将是未来防火墙的发展重点。

网络隔离技术经过几个阶段的发展，目前正处于第五代网络隔离设备的研发阶段。网络隔离技术正向易用性、应用融合化等方向发展，网络隔离技术在负载均衡、冗余备份、硬件密码加速、易集成管理等方面还需要进一步的改进，同时更好地集成入侵防御和加密通道、数字证书等技术，将成为新一代网络隔离产品发展的趋势。为了更好的满足我国提出的内网、外网和公网的网络体系结构，从成本和易管理方面出发，三网或多网的网络隔离设备也将成为网络隔离技术的一个发展方向。

另外，可靠性问题一直没有引起网络隔离与信息交换业界的足够重视，这类设备还是在按照计算机、服务器类的制造标准来进行设计，而不是按照通信设备的标准来进行设计。而在本质上，网络隔离与信息交换类属于通信类设备，尤其是在对网站的防护用途中，网络隔离与信息交换设备必须满足长期7×24小时的连续工作要求。在设备的运行过程中，稳定性是压倒一切的。而要满足电信级设备的稳定性要求，就需要彻底改变当前网络隔离设备的工控机架构，基于嵌入式高性能CPU、大规模ASIC来实现网络隔离设备，双机或者多机冗余备份和负载分担也将成为一个基本的要求。具有更高交换性能、更高稳定性的网络隔离产品也将成为未来的一个发展趋势。

北邮英科研制的新一代的网络安全隔离与信息交换系统NetPorter很好的符合了以上趋势。该系统采用嵌入式架构，依托北邮英科多年通信设备开发的经验，将高安全性、高交换性能、高可靠性完美的结合在一起，揭开了网络安全隔离与信息交换技术领域发展新的篇章

4. 结束语