■前言 隨著互聯(lián)網(wǎng)的日益普及，網(wǎng)絡安全也越來越受到人們的重視，尤其是對于企業(yè)和國家機關來講，網(wǎng)絡安全就更加的不可或缺。但是由于傳統(tǒng)的以防火墻為核心的安全體系結構本身所固有的弱點以及新的黑客攻擊技術的發(fā)展，傳統(tǒng)結構在很大程度上已經(jīng)無法滿足我們對于網(wǎng)絡安全的要求。 本文將介紹一種新的網(wǎng)絡安全解決方案——隔離網(wǎng)關，以及凌華高速數(shù)字I/O卡PCI-7300A在其中的應用。 　　 ■網(wǎng)絡安全的現(xiàn)狀 目前，最為流行的網(wǎng)絡安全架構是以防火墻為核心的網(wǎng)絡安全體系架構。但事實證明這種安全防御體系并未能有效地防止目前所頻頻發(fā)生的網(wǎng)絡攻擊。 原因主要在于防火墻所采用的體系結構，我們可以把目前常見的防火墻分為這么幾種類型：1、包過濾（Packet Filter，包括靜態(tài)包過濾和動態(tài)包過濾）；2、電路網(wǎng)關（Circuit Level Gateway）；3、應用網(wǎng)關（Application Level Gateway）。 通過下面這張圖我們可以很清晰的了解到防火墻的架構。 這樣我們可以對防火墻架構得出下面的一些結論： 1、OSI的層號越高，防火墻所要檢測包的信息內(nèi)容就越多，安全性就越高，但同時相對的速度和效率就會越低，也就是我們必須在安全性和性能（速度、效率）上作一種平衡。 2、依賴于TCP/IP協(xié)議，而TCP/IP本身并沒有一些控制機制來保證安全性，多數(shù)的黑客攻擊都是利用了TCP/IP本身的漏洞。 3、防火墻的哲學是必須首先保證網(wǎng)絡的連通，這樣就必須開放相應的端口，如80端口、25端口等，對這些開放端口的攻擊，防火墻不能防止。 ■新的思路：隔離 現(xiàn)在，人們已經(jīng)開始意識到防火墻在網(wǎng)絡安全方面的局限性，隔離技術開始進入大家的視野。目前，最主要的解決方案有兩種：物理隔離和邏輯隔離。所謂物理隔離，就是阻斷內(nèi)網(wǎng)與外網(wǎng)的直接物理連接與邏輯連接，內(nèi)網(wǎng)與外網(wǎng)不會同時連接在隔離設備上，這樣雖然提高了安全性，但也提高了成本、降低了效率和易用性。因此，對于大多數(shù)用戶而言，邏輯隔離是最為合適的安全解決方案。 邏輯隔離保證安全的要點主要在于： 1、保證自身的高安全性，一般要求由兩套主機組成，一套控制外網(wǎng)接口，另一套控制內(nèi)網(wǎng)接口，然后在兩套主機系統(tǒng)之間通過不可路由的協(xié)議進行數(shù)據(jù)交換，這樣，既便黑客攻破了外網(wǎng)系統(tǒng)，仍然無法控制內(nèi)網(wǎng)系統(tǒng)，就達到了更高的安全級別。 2、確保網(wǎng)絡間是隔離的，關鍵是網(wǎng)絡包不可路由到對方網(wǎng)絡。這也是和防火墻的最關鍵區(qū)別。 3、要保證傳遞的只是最原始的應用層數(shù)據(jù)，也就是必須通過協(xié)議分析，將應用層數(shù)據(jù)提取，然后再進行數(shù)據(jù)傳輸，保證傳輸?shù)臄?shù)據(jù)不具有攻擊的特性。 4、要在堅持隔離的前提下保證網(wǎng)絡暢通，不能夠成為網(wǎng)絡交換的瓶頸。 下圖簡單描述了邏輯隔離網(wǎng)關的體系架構。 邏輯隔離技術的最關鍵點是選擇合適的硬件來實現(xiàn)網(wǎng)絡間的數(shù)據(jù)交換，這種硬件應該能夠保證高帶寬、交換數(shù)據(jù)的可靠性高、基于其的專用協(xié)議開發(fā)方便等特點。 PCI-7300A是邏輯隔離網(wǎng)關的理想選擇 北京某網(wǎng)絡安全技術公司經(jīng)過市場調查，選擇了凌華的PCI-7300A開發(fā)其隔離網(wǎng)關產(chǎn)品。PCI-7300A主要的特性有 ●高速，通過總線主控DMA可提供高達80MB/s的數(shù)據(jù)吞吐率 ●具有靈活的握手方式，保證在高速數(shù)據(jù)傳輸時也不會丟失數(shù)據(jù) ●提供齊全的驅動程序及完整的API支持，DLL執(zhí)行效率高，保證系統(tǒng)實時性 [ALIGN=CENTER] PCI-7300A[/ALIGN] 客戶在開發(fā)時，外網(wǎng)服務器選用Linux操作系統(tǒng)，進一步降低因操作系統(tǒng)而引起安全性漏洞的可能性；而內(nèi)網(wǎng)服務器選擇Windows2000操作系統(tǒng)，易用性更佳。在外網(wǎng)、內(nèi)網(wǎng)服務器各安裝一片PCI-7300A板卡，在此基礎上自行開發(fā)了專有安全協(xié)議和加密驗證機制及應用層數(shù)據(jù)提取和鑒別認證等方面的軟件，徹底阻斷了網(wǎng)絡間的直接TCP/IP連接，同時對網(wǎng)間通信的雙方、內(nèi)容、過程施以嚴格的身份認證、內(nèi)容過濾、安全審計等多種安全防護機制，從而保證了網(wǎng)間數(shù)據(jù)交換的安全、可控，杜絕了由于操作系統(tǒng)和網(wǎng)絡協(xié)議自身漏洞帶來的安全風險。同時，PCI-7300A本身也提供較高的帶寬，保證了在加入隔離網(wǎng)關后整個網(wǎng)絡連接的通暢。 ■結論 由于防火墻本身的缺陷，邏輯隔離網(wǎng)關將成為相當一段時間內(nèi)網(wǎng)絡安全產(chǎn)品的新熱點和發(fā)展趨勢。而PCI-7300A由于其所具有的高速、握手方式通訊、開發(fā)程序簡便等特點，非常適合于在邏輯隔離網(wǎng)關中用作內(nèi)、外網(wǎng)服務器間的專用通訊設備。