网闸应用测试

发布日期:2011-07-24首页 > 解决方案

 

某医院与外网采用网闸隔离设备的效果测试报告

摘要:医院业务网络与外网(包括互联网、医保网)相联处可选择部署防火墙或网闸设备进行隔离。为了了解其隔离效果的不同,找出网闸与防火墙的本质区别,我们进行了本项测试工作。通过测试证明:网闸中断了TCP/IP、中断了应用连接、只有裸数据“摆渡”,网闸隔离强度更高、安全防护效果明显。

    关键词:网闸;安全隔离;效果测试

 一、网闸技术简介

网闸是新一代高安全性的隔离产品。网闸采用“2+1”的结构,即由两套单边计算机主机(外部主机、内部主机)和一套固态介质存储系统的隔离开关组成。

外部单边主机,只有外网卡,没有内网卡。该主机安装有代理软件:Agent。“Agent”代理内网去外网获取信息,然后放在指定的地方。内部的计算机主机,只有内网卡,没有外网卡。该主机是网闸在内网的连接点,属于内网的一部分。所有内网的主机需要得到外网上的信息,都必须通过这台主机来代办。

网闸从网络第一层一直工作到网络第七层,网闸断开了两个网络,中止了所有的协议,在网络的第七层将包还原为原始数据或文件,然后以“摆渡文件”的形式来传递和交换数据,没有任何包、命令和TCP/IP协议(包括UDPICMP)可以穿透网闸。

二、某医院应用概述

某医院现有近千台客户端主机、二十多台服务器,其中以一台装有ORACLE数据库的小型机为核心服务器。整个医院园区网以独立专网方式运行多年,现由于业务需要,要和社保医疗保障系统互联互通,同时还要与互联网相联。这样该网络面临着新的网络安全考验。

由于信息技术的飞速发展,实施攻击的技术要求越来越简单,成本越来越低,同时操作系统的漏洞却不断被发现,病毒不断爆发,信息系统所面临的安全威胁越来越大。如果该网络局部或全局瘫痪,不仅对医院的正常业务造成严重的影响,也对医院的形象和服务质量造成不可估量的损失。所以如何保障医院网络及整个信息系统的安全与稳定运行成为一项极为重要的工作内容。

为了保护医院业务网的安全,在医院网络与外网(包括互联网、医保网)相联处可选择部署防火墙或隔离网闸设备进行隔离。但两种设备的隔离效果差别较大,为了了解其隔离效果的不同,找出网闸与防火墙的本质区别,我们进行了本项测试工作。

 

三、测试内容和结果

(一)DOS 攻击测试

模拟一台外网攻击机,向内网的某一服务器进行SYN FLOODLAND的攻击。一般情况下会随着攻击强度的增加,服务器的资源会逐渐耗尽,最终达到服务不可用的状态,甚至系统崩溃。示意图如图1所示。

1 DOS攻击测试示意图

DOS攻击的原理是利用TCP/IP上的漏洞,例如TCP的三次握手协议,防火墙即使有包过滤的功能,但也不能抵御这种类型的攻击,仅仅只能做到屏蔽IP与端口。在IP源地址被伪造的情况下,就更不能识别到这种攻击。但是网闸采用了物理隔离,任何数据包都采用了重组的方式达到网络的对端,并且中网网闸有独特的抗DOS功能模块,这次经模拟测试,也证实了极佳的效果。具体过程如下:

1.         模拟测试工具,本次采用DOS攻击压力测试软件。截图如图2所示:

2 DOS攻击压力测试

2.         在没有攻击前,被攻击的服务器系统状态正常,如图3

3

3.         采用SYN_FLOODDOS攻击,CPU、内存、系统资源都明显大幅度的提高。由于采用伪造源地址的攻击,系统内闲置了上千条连接,如图4、图5

4

5

4.         采用LANDDOS最高强度攻击后,CPU占用率100%,系统异常缓慢。鼠标与键盘都有很明显的延时现象。应用程序与服务都不能运行。

6

5.         采用网闸隔离后,在SYN_FLOODLAND攻击目标服务器时,并没有出现服务不可用现象,CPU、内存的变化并不明显,大约在2%8%,在攻击的同时,也测试了两端网络文件复制、访问均没有问题、传输速度上也没有任何延迟的现象,如图7

7

       从此测试的结果来看,网闸基本抵御了所有的DOS攻击。正常用户的应用访问没有受到影响。

 (二)反射型病毒入侵测试

将内网某台服务器安装定制的后门程序,然后通过外网的一台服务器非法入侵与监控,这其中包括键盘后台记录、密码自动获取、屏幕监控、进程查找等。总之,可以获取该主机的控制权,甚至能够关机重启。

一般情况下防火墙会控制外网向内网的访问端口,但在内网向外网访问的情况下,由于外网地址不固定,会采取不限制内网向外网的访问,在这种宽松的情况下,如果内网某台PC感染了木马病毒,则不需要外网的入侵者主动连到内网,内网的服务器也会主动寻找外网攻击者,这就是木马、特洛伊的特点。

示意图如图8所示。

8

采用防火墙及网闸进行隔离的测试步骤如下:

1. 采用网闸前,被攻击服务器在感染病毒后,没有任何的异常现象,实际病毒已经隐藏在系统进程各种,一般防病毒软件和使用者都很难发现到。

9

      2. 这是后门程序的控制端,一般外网入侵者会通过类似的工具,来探测内网的受感染的机群,俗称“肉鸡”。可见类似工具的功能非常强大,使用起来也非常方便。

10

   3. 在使用网闸隔离后,虽然内部主机受到木马病毒的感染,但外部的入侵者不能探测也不能连接。内部的感染机也无法主动通知外部入侵者,这是因为网闸的物理隔离功能起到效果。

      

11

 四、结论

由于网闸中断了TCP/IP、中断了应用连接、只有裸数据摆渡。部署网闸使得外网:

l         无法ping内网的任何主机;

l         无法穿透网闸来追踪路由(traceroute);

l         无法扫描内部网络,因此无法发现内网的主机信息、操作系统信息、应用信息;

l         无法发现内网主机的漏洞、应用的漏洞;

l         无法同内网的主机建立通信连接;

l         无法向内网发送IP包;

l         无法同内网的任何主机建立TCP/UDP/ICMP连接;

l         无法同内网的任何主机建立应用连接(C/SB/S)。

通过测试,可以清楚看到防火墙与网闸的本质区别。防火墙是首先保证联通性,再追求安全性;网闸是先保证安全性,再追求联通性。网闸隔离强度更高、隔离效果更好,安全性能更高。

 参考文献:

【1】       万平国. 《网络隔离与网闸》,机械工业出版社,2004年。

【2】       阎慧 王伟 宁宇鹏. 《防火墙原理与技术》,机械工业出版社,2004年。

 

 

上一篇:政府门户网站安全方案

下一篇:网闸应用案例