合众安全数据交换系统白皮书4.0 - 图文(2)

合众安全数据交换系统白皮书

征的数据的为禁止、否则允许。这样的访问控制列表成为可简称为“黑名单”。对这种防御手段最简单的描述是：“兵来将挡，水来土掩”，发现一种新的攻击行为或者新的病毒、蠕虫，就将其列入“黑名单”，进行防范。

2.2.2. 防火墙防御技术的缺点

防火墙防御技术打个形象的比喻是亡羊补牢、事后防御，不能防患于未然。安全威胁是变化多端的动态、持续的过程。当一种最新的攻击技术出现时，这些技术手段都难以在第一时间进行防御，只能起到“亡羊补牢”的作用。

从安全威胁的发展趋势上看，新的攻击手段和新木马、蠕虫才是对网络和信息系统的最大威胁。新的恶意代码的形成和新型攻击行为的发生永远早于“黑名单”的形成。因此，防火墙防御技术无法有效防止针对未知漏洞的攻击和针对已知漏洞的新型攻击。

作为目前安全威胁的主流，80%以上的有效攻击是新型恶意代码和新型攻击行为导致。因此，防火墙防御技术不能抵挡80%的攻击，其防御能力令人置疑。

由于防火墙防御技术本身的实现机制，一种新型攻击的出现时间和这种防御技术具备防御能力的时间存在一个时间差。这个时间差我们暂时称为“攻击－防御”时间差。由于这些原因，虽然网络安全的投入快速增长(34%，IDG统计数据)，甚至超过了信息网络系统规模的增长速度(20%)，但网络安全威胁和事件发生频度没有得到有效抑制(50%-100%)。

2.2.3. 网闸防御技术

网闸的安全思路来自于“不同时连接”。不同时连接两个网络，通过一个中间缓冲区来“摆渡”业务数据，业务实现了互通，“不连接”原则上入侵的可能性就小多了。

网闸采用“2+1”结构设计，即外主机、内主机和隔离交换模块。内、外网主机具有独立运算单元和存储单元，分别连接可信及不可信网络。内外网主机间不存在任何网络连接，因此不存在基于网络协议的数据转发。隔离交换模块是内外网主机间数据交换的唯一通道，本身没有操作系统和应用编程接口，所有的控制逻辑和传输逻辑固化在硬件中，自主实现内外网数据的交换和验证。

网闸的安全核心是对协议的剥离，网闸的内外主机作为各自网络的终点。将

杭州合众信息工程有限公司 6

合众安全数据交换系统白皮书

网络上传送的数据还原为应用层数据并通过网闸私有的协议进行数据摆渡。当然网闸只是阻断了内外主机之间的TCP会话，网闸内外主机与各自网络终端的TCP会话并没有被终止。为了追求数据摆渡的效率，网闸两个主机之间的数据摆渡也经历了文件、数据块、私有协议等多次技术的变革。

网闸防御技术与防火墙防御技术最大不同点是网闸阻断了内外网之间的TCP会话，如果说防火墙防御技术是一种基于代理的黑名单防御技术的话，则网闸防御技术是一种基于交换的白名单防御技术。所以可以这么说，网闸能够比防火墙更大程度防止未知的攻击，安全性更高一些。

2.2.4. 网闸防御技术的缺点

网闸的安全基础是基于交换的白名单防御技术。其核心是通过数据交换过程中的协议剥离、内容检查来保证内部网络的安全，这也就是网闸学名叫“网络隔离和信息交换系统”的缘由。

隔离和交换是网闸的两个最基本的功能，从网闸自2000年进入市场以来，虽经过近十年的发展，但是普遍使用的情况并不理想，分析其原因有如下几点：

2.2.4.1. 网闸交换的不稳定性

交换与代理不同，交换对稳定性的要求很高，代理如果失败客户端会重新发起，交换一旦失败，则很有可能数据就会因此彻底丢失。所以交换对可靠性、准确性和完整性的要求很高。

但是网闸交换本身就是不稳定的，目前网闸通过私有协议在两台主机间进行数据摆渡，交换可靠性的唯一保证就是数据自身的CRC校验，当传输中出现抖动、阻塞甚至是硬件故障时，数据丢包甚至是整个数据块丢失都是非常正常的事情，网闸自身是没有任何机制保证交换绝对可靠稳定的。

事情上要保证交换系统的稳定，目前国际国内主流的做法就是通过消息队列来传输数据，这样即便是出现网络抖动、阻塞甚至是断网，数据始终存放在队列中，直到确定到接收端已经受到数据包。

消息队列是在不可靠网络中保证数据一致性、完整性的有效方法，而且它天生就是异步的，因为将消息发送到队列和从队列中接收消息是在不同的主机上完

杭州合众信息工程有限公司 7

合众安全数据交换系统白皮书

成的。

由于网闸交换的不稳定性，而关键业务对交换可靠性、一致性、完整性又有着非常高的要求，所以很多用户只能在网闸两端部署消息中间件系统，通过消息中间件系统的消息队列来保证交换的可靠性。

2.2.4.2. 网闸对异构交换的不兼容性

在内外网之间一定要保证数据的同构交换是不太现实的。信息化的繁荣发展使得越来越的应用系统出现数据的异构。这种数据的异构有些是由于IT技术的不断变革进步造成的，有些又是由于不同的开发公司、开发团队采用不一致的标准造成的，总之人为强制要求内外网数据交换必须是同构是不可能的，网闸交换必须保证对数据异构的支持性。

数据的异构性是非常复杂的，它不仅有相对比较简单的操作系统异构（如源数据操作系统是WINDOWS而目标数据操作系统是LINUX等），也有较为复杂的数据结构的异构（如源数据格式与目标数据格式不一致、源数据类型与目标数据类型不一致等），还有更为复杂的数据转换问题（如源数据M/F在目标数据中需要转换为性别男/女等）。另外有时候还需要面对文件和数据库之间的数据交换（如文件交换至数据库或数据库交换至文件等），以上这些都是目前网闸所不兼容的。

由于网闸对异构交换的不兼容性，当关键业务需要对异构数据进行转换、转义、匹配时，有些用户只能在网闸两端部署手工开发的应用系统，将网闸摆渡进来的数据进行二次处理，然后才进入到目标数据库中。

2.2.4.3. 网闸交换的低效率

其实现在的网闸其数据传输的效率很高，一般都能达到400Mbps以上，延时也由于采用私有协议交换越来越短，有些基本上只有几个微妙。但是数据传输效率并不等同于交换的效率，因为我们知道数据交换是由数据获取、数据传输和数据装载三部分组成的。

由于网速是越来越快，数据传输的速度也就越来越高，在整个数据交换延时中，数据传输的延时所占比重最小，几乎是可以忽略不计的。所以可以这么说，

杭州合众信息工程有限公司 8

合众安全数据交换系统白皮书

数据交换的效率主要看数据获取的效率和数据装载的效率。

我们知道，要想提高数据获取和装载的效率，只能选择数据的批量获取和批量装载，而数据批量获取和批量装载的效率，除了与用户存储数据的数据库和文件系统的性能有关以外，也与网闸内外主机的处理能力、内存大小有着直接的关系。通过测试证明，网闸主机的处理能力越强、内存越大，则批量获取和批量装载的速度越快，数据交换的效率也就越高。

但是现有的网闸往往都是采用工控机作为原型来设计，其CPU处理能力和内存大小受到工控设备的限制，甚至比普通的服务器也差距不小。通过测试证明，网闸的数据获取和数据装载是其交换过程的两块短板，网闸的配置越低，则其交换能力越差，大多数根本不能承受大数据量交换的压力。

由于网闸交换的低效率，有些用户在面临大数据量、大并发量交换的时候，往往不敢用网闸，只能采用交换机、防火墙等设备来代替网闸。还有些用户在网闸两端部署交换服务器，将数据获取和数据装载工作由交换服务器完成，网闸只负责数据传输来加快数据交换效率，满足用户业务的需要。

2.2.4.4. 网闸交换的不安全性

1) 通过网闸进行代理会带来更大的不安全性

正是由于网闸交换的不稳定、不可靠；网闸对异构交换的不兼容和网闸交换的低效率，很多单位在使用网闸时，其实没有用网闸的交换功能，而是直接使用网闸的代理功能。

网闸本身是基于交换的，它怎么又会支持代理呢？这是因为为了加强网闸对不同应用的适应性，网闸厂商将内外主机的程序进行了改进。内外主机接收到各自网络的TCP或UDP协议会话时，并不真正终端这些会话，而是将会话内容打成数据包后通过网闸自身的私有协议摆渡到另一端，由另一端将数据包再重新生成为协议会话发出去。这样一来，从应用的角度来看，协议依然存在而且能够在内外网中传递。

网闸通过这种方式能够支持HTTP、数据库客户端协议（如TNS、TDS）、FTP、POP3、SMTP、UDP、MMS等各种协议代理，对应用提供了适用性。

杭州合众信息工程有限公司 9

合众安全数据交换系统白皮书

但是网闸不是防火墙，防火墙用的是基于代理的黑名单防御技术，通过黑名单规则规定那些协议、那些网段、那些端口甚至那些内容不能进。网闸采用的是基于交换的白名单防御技术，它的本意是定义那些数据可以进，没有定义那些数据不能进。可以这么说，对于代理的防御能力防火墙远远强于网闸，网闸一旦使用代理就是一道不设防的防线，基本上任何数据都可以进入内网。

2) 网闸的内容检查并无太大作用

上面分析过网闸是采用白皮单进行安全防御的，其实质是规定那些数据可以交换。所以网闸就必须提供内容检查功能，内容检查是保证交换安全的核心。

我们知道，数据交换最大的安全问题就是所交换的数据是否干净、是否不含木马和病毒、交换内容是否不越权等等。而内容检查机制是保证上述问题得到解决的唯一途径。现在提到安全的时候我们总说应用层安全，而内容检查就是保证应用层安全最有效的手段。

但是，网闸在数据交换时其实已经力有不逮，交换本身就用去了网闸所有的处理能力和内存，网闸做内容检查其实已经是心有余而力不足。所以很多用户发现其实网闸是不能防病毒和木马的，我们希望网闸过滤掉的数据网闸其实根本过滤不掉。

当然不能说网闸的所有内容检查功能都是摆设，但是绝大多数网闸是无法过滤病毒和木马这一点是事实。所以很多人认为对于交换而言，网闸也是不安全的，并不能真正保护内网主机和应用系统的安全。

3) 网闸交换缺乏必要的内容审计

我们知道没有任何安全设备能够保证做到100%的有效，好的安全策略总是事先考虑到事后弥补的方法。一旦安全设备被突破了，总是能够通过入侵者留下的蛛丝马迹发现攻击的过程，分析攻击造成的损失，弥补攻击造成的后果，并追究攻击者的责任，这也是安全防护体系中需要重点考虑的环节。

网闸作为安全隔离交换的唯一通道和关键设备，用户当然希望网闸能够将所交换的内容全部审计下来，万一出现问题可以作为事后凭证加以分析。

杭州合众信息工程有限公司 10

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库合众安全数据交换系统白皮书4.0 - 图文(2)在线全文阅读。