「网络安全」安全设备篇（防病毒网关-网闸-VPN）

「网络安全」安全设备篇（7）——防病毒网关

什么是防病毒网关？

防病毒网关是一种网络设备，用以保护网络内(一般是局域网)进出数据的安全，也称作“防毒墙”。主要体现在病毒杀除、关键字过滤(如色情、反动)、垃圾邮件阻止的功能，同时部分设备也具有一定防火墙(划分Vlan)的功能。如果与互联网相连，就需要网关的防病毒软件。

目前，安全网关类设备在应用层和网络层上面都有防火墙的身影，在第三层上面还能看到VPN作用。而防病毒网关这种安全网关作用在第二层，即数据链路层。

查杀方式

基于代理服务器的方式依靠代理服务器对数据进行还原，在数据通过代理服务器时将其数据根据不同协议进行还原，再利用其安装在代理服务器内的扫描引擎对其进行病毒的查杀。

基于防火墙协议还原的方式利用防火墙的协议还原功能，将数据包还原为不同协议的文件，然后传送到相应的病毒扫描服务器进行查杀，扫描后再将该文件传送回防火墙进行数据传输。病毒扫描服务器可以有多个，防火墙内的防病毒代理根据不同协议，将相应的协议数据转送到不同的病毒扫描服务器。

基于邮件服务器的方式可认为是以邮件服务器为网关，在邮件服务器上安装相应的邮件服务器版防病毒产品。邮件服务器版防病毒产品主要通过将防病毒程序内嵌在邮件系统内，它在进出邮件转发前对邮件及其附件进行扫描并清除，从而防止病毒通过邮件网关进入企业内部。

基于信息渡船产品方式实现网关处的病毒防护。信息渡船俗称网闸，它采用GAP技术实现，在产品内建立信息孤岛，通过高速电子开关实现数据在信息孤岛的交换。我们只需在信息孤岛内安装防病毒模块，就可实现对数据交换过程的病毒检测与清除。

过滤技术

协议代理目前，大多数防病毒网关杀毒都采用此协议过滤技术，杀毒在原有物理网关前后形成一层协议代理逻辑网关，所有通过的网络数据都须通过防毒网关，防毒网关将这些内容协议暂时拦截，然后交给杀毒引擎进行内容检查。

透明代理透明代理网关杀毒是防火墙技术的扩展，一般基于硬件。数据包经过网关不会更改路由信息，一次会话数据经过网关杀毒后直接转发，但暂存在最后一个数据包，利用其组合成杀毒引擎可识别的格式数据，确认数据安全性后则进行转发，否则将抛弃该数据包，并向用户端发送终止信息，以保护内网安全。它能大大提高网关对带宽的影响。

部署模式

透明模式

可通过透明网桥模式串行在网络中，该模式的优点是部署简单，缺点是单点故障。

旁路代理模式

旁路代理模式下，需要强制客户端的流量经过防病毒网关，防火墙可以实现这个强制措施。该模式下，防病毒网关仅仅需要处理要检测的相关协议，不需要处理其他协议的转发，可以较好地提高设备性能。

旁路模式旁路模式与旁路代来模式部署的拓扑图是一样，不同的是，旁路模式只能起到检测作用，对于已检测的病毒无法做到清除。

举报/反馈

「网络安全」安全设备篇（8）——网闸

什么是网闸？

网闸（GAP）全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。

网闸在两个不同安全域之间，通过协议转换的手段，以信息摆渡的方式实现数据交换，且只有被系统明确要求传输的信息才可以通过。其信息流一般为通用应用服务。

网闸的一个基本特征，就是内网与外网永远不连接，内网和外网在同一时间最多只有一个同隔离设备建立数据连接，可以是两个都不连接，但不能两个同时都连接。

硬件结构

网闸的硬件主要包括三部分：分别是专用安全隔离切换装置（数据暂存区）、内部处理单元和外部处理单元。系统中的专用安全隔离切换装置分别连接内部处理单元和外部处理单元。这种独特和巧妙的设计，保证了安全隔离切换装置中的数据暂存区在任一时刻仅连通内部或者外部处理单元，从而实现内外网的安全隔离。

工作流程

专有检测模块对请求数据进行合法性检查，剥离原有协议成裸数据，进行内容检查；外网的数据重组模块对请求数据进行重组，还原为标准通信协议；外网摆渡传输模块将重组后的信息摆渡到内网；内网专有检测模块对收到外网的数据进行病毒检查、解析、过滤等处理。内网的数据重组模块重组数据，并还原为标准通讯协议，回传到内网；作用

抵御基于操作系统漏洞攻击行为安全隔离网闸的双主机之间是物理阻断的，无连接的，因此，黑客不可能扫描内部网络的所有主机的操作系统漏洞，无法攻击内部，包括安全隔离网闸的内部主机系统。

抵御基于TCP/IP漏洞的攻击由于安全隔离网闸的主机系统把TCP/IP协议头全部剥离，以原始数据方式在两主机系统间进行“摆渡”，网闸的接受请求的主机系统与请求主机之间建立会话，因此，对于目前所有的如源地址欺骗、伪造TCP序列号、SYN攻击等TCP/IP漏洞攻击是完全阻断的。

抵御木马将数据外泄安全隔离网闸对于每个应用都是在应用层进行处理，并且策略需按照应用逐个下达，同时对于目的地址也要唯一性指定，因此内部主机上的木马是无法实现将数据外泄的。并且木马主动发起的对外连接也将直接被隔离设备切断。

抵御基于文件的病毒传播安全隔离网闸在理论上是完全可以防止基于文件的攻击，如病毒等。病毒一般依附在高级文件格式上，低级文件格式则不会有病毒，因此进行文件“摆渡”的时候，可以限制文件的类型，如只有文本文件才可以通过“摆渡”，这样就不会有病毒。另外一种方式，是剥离重组方式。剥离高级格式，就消除了病毒的载体，重组后的文件，不会再有病毒。这种方式会导致效率的下降，一些潜在的危险的格式可能会被禁止。

抵御DoS/DDoS攻击安全隔离网闸自身特有的无连接特性，能够很好的防止DoS或DDoS攻击穿过隔离设备攻击服务器。但也不能抵御针对安全隔离设备本身的DDoS攻击。

安全性高内外网主机系统分别有独立于网络接口的专用管理接口，同时对于运行的安全策略需要在两个系统分别下达，并通过统一的任务号进行对应。以此达到高安全。即使系统的外网处理单元瘫痪，网络攻击也无法触及内网处理单元。

设备联动可结合防火墙、IDS、VPN等安全设备运行，形成综合网络安全防护平台。

「网络安全」安全设备篇（9）——VPN

什么是VPN？

VPN是英文“Virtual Private Network”的缩写，中文意思是“虚拟专用网络”。

VPN是虚拟出来的企业内部专线。通过特殊加密的通讯协议，为连接在Internet上，不同地理位置的两个或多个企业内部网，建立一条专有的通讯线路，就像架设了一条专线，但不需要真正去铺设光缆之类的物理线路。

VPN构成

VPN由VPN服务器、VPN连接（Internet公共网络）、协议隧道、VPN客户机组成。

工作原理

通常情况下，VPN网关采取双网卡结构，外网卡使用公网IP接入Internet。网络一(假定为公网internet)的终端A访问网络二(假定为公司内网)的终端B，其发出的访问数据包的目标地址为终端B的内部IP地址。网络一的VPN网关在接收到终端A发出的访问数据包时对其目标地址进行检查，如果目标地址属于网络二的地址，则将该数据包进行封装，封装的方式根据所采用的VPN技术不同而不同，同时VPN网关会构造一个新VPN数据包，并将封装后的原数据包作为VPN数据包的负载，VPN数据包的目标地址为网络二的VPN网关的外部地址。网络一的VPN网关将VPN数据包发送到Internet，由于VPN数据包的目标地址是网络二的VPN网关的外部地址，所以该数据包将被Internet中的路由正确地发送到网络二的VPN网关。网络二的VPN网关对接收到的数据包进行检查，如果发现该数据包是从网络一的VPN网关发出的，即可判定该数据包为VPN数据包，并对该数据包进行解包处理。解包的过程主要是先将VPN数据包的包头剥离，再将数据包反向处理还原成原始的数据包。网络二的VPN网关将还原后的原始数据包发送至目标终端B，由于原始数据包的目标地址是终端B的IP，所以该数据包能够被正确地发送到终端B。在终端B看来，它收到的数据包就和从终端A直接发过来的一样。从终端B返回终端A的数据包处理过程和上述过程一样，这样两个网络内的终端就可以相互通讯了。在VPN网关对数据包进行处理时，有两个参数对于VPN通讯十分重要：原始数据包的目标地址（VPN目标地址）和远程VPN网关地址。根据VPN目标地址，VPN网关能够判断对哪些数据包进行VPN处理，对于不需要处理的数据包通常情况下可直接转发到上级路由；远程VPN网关地址则指定了处理后的VPN数据包发送的目标地址，即VPN隧道的另一端VPN网关地址。由于网络通讯是双向的，在进行VPN通讯时，隧道两端的VPN网关都必须知道VPN目标地址和与此对应的远端VPN网关地址。

实现方式

VPN的实现有很多种方法，常用的有以下四种：

1．VPN服务器：在大型局域网中，可以通过在网络中心搭建VPN服务器的方法实现VPN。

2．软件VPN：可以通过专用的软件实现VPN。

3．硬件VPN：可以通过专用的硬件实现VPN。

4．集成VPN：某些硬件设备，如路由器、防火墙等，都含有VPN功能，但是一般拥有VPN功能的硬件设备通常都比没有这一功能的要贵。

VPN分类

根据不同的划分标准，VPN可以按几个标准进行分类划分：

按VPN的协议分类：VPN的隧道协议主要有三种，PPTP、L2TP和IPSec，其中PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议；IPSec是第三层隧道协议。

按VPN的应用分类：（1）Access VPN（远程接入VPN）：客户端到网关，使用公网作为骨干网在设备之间传输VPN数据流量；

（2）Intranet VPN（内联网VPN）：网关到网关，通过公司的网络架构连接来自同公司的资源；

（3）Extranet VPN（外联网VPN）：与合作伙伴企业网构成Extranet，将一个公司与另一个公司的资源进行连接。

按所用的设备类型进行分类：网络设备提供商针对不同客户的需求，开发出不同的VPN网络设备，主要为交换机、路由器和防火墙：

（1）路由器式VPN：路由器式VPN部署较容易，只要在路由器上添加VPN服务即可；

（2）交换机式VPN：主要应用于连接用户较少的VPN网络；

（3）防火墙式VPN：防火墙式VPN是最常见的一种VPN的实现方式，许多厂商都提供这种配置类型

按照实现原理划分：（1）重叠VPN：此VPN需要用户自己建立端节点之间的VPN链路，主要包括：GRE、L2TP、IPSec等众多技术。

（2）对等VPN：由网络运营商在主干网上完成VPN通道的建立，主要包括MPLS、VPN技术。

常见VPN介绍

二层VPN L2TP该协议是一种工业标准的Internet隧道协议，功能大致和PPTP协议类似，比如同样可以对网络数据流进行加密。不过也有不同之处，比如PPTP要求网络为IP网络，L2TP要求面向数据包的点对点连接；PPTP使用单一隧道，L2TP使用多隧道；L2TP提供包头压缩、隧道验证，而PPTP不支持。L2TP协议是由IETF起草，微软、Ascend、Cisco，3com等公司参予制定的二层隧道协议，它结合了PPTP和L2F两种二层隧道协议的优点，为众多公司所接受，已经成为IETF有关2层通道协议的工业标准，基于微软的点对点隧道协议 (PPTP)和思科2层转发协议(L2F)之上的，被一个因特网服务提供商和公司使用使这个虚拟私有网络的操作能够通过因特网。

三层VPN三层VPN包含了很多种VPN，标准的IPsecVPN，SSLVPN，GRE隧道VPN，混合VPN等。企业一般按照自己的需求选择合适的VPN，每种VPN都有自己的优点和缺点。

SSLVPN：SSLVPN指的是基于安全套接层协议(Security Socket Layer-SSL)建立远程安全访问通道的VPN技术。它是近年来兴起的VPN技术，其应用随着Web的普及和电子商务、远程办公的兴起而发展迅速。GRE隧道VPN：通用路由封装（GRE：Generic Routing Encapsulation）在RFC1701/RFC1702中定义，它规定了怎样用一种网络层协议去封装另一种网络层协议的方法。GRE的隧道由两端的源IP地址和目的IP地址来定义，它允许用户使用IP封装IP、IPX、AppleTalk，并支持全部的路由协议，如RIP、OSPF、IGRP、EIGRP。通过GRE，用户可以利用公用IP网络连接IPX网络和AppleTalk网络，还可以使用保留地址进行网络互联，或对公网隐藏企业网的IP地址。IPsecVPN：IPsecVPN是网络层的VPN技术，它独立于应用程序，以自己的封包封装原始IP信息，因此可隐藏所有应用协议的信息。一旦IPSEC建立加密隧道后，就可以实现各种类型的连接，如Web、电子邮件、文件传输、VoIP等，每个传输直接对应到VPN网关之后的相关服务器上。 IPSEC是与应用无关的技术，因此IPSec VPN的客户端支持所有IP层协议，对应用层协议完全透明，这是IPSEC VPN的最大优点之所在。MPLSVPNMPLS-VPN是指采用MPLS技术在宽带IP网络上构建企业IP专网，实现跨地域、安全、高速、可靠 的数据、语音、图像多业务通信，并结合差别服务、流量工程等相关技术，将公众网可靠的性能、良好的扩展性、丰富的功能与专用网的安全 、灵活、高效结合在一起，为用户提供高质量的服务。

VPN作用

VPN是建立在实际网络（或物理网络）基础上的一种功能性网络。它利用低成本的公共网络做为企业骨干网，同时又克服了公共网络缺乏保密性的弱点，在VPN网络中，位于公共网络两端的网络在公共网络上传输信息时，其信息都是经过安全处理的，可以保证数据的完整性、真实性和私有性。

VPN有效解决了地理距离过长，无法假设物理网络以及或随时访问企业内网的安全问题。公司内部网络是封闭的、有边界的，这一问题限制了企业内部各种应用的延伸。通过VPN，将两个物理上分离的网络通过Internet这个公共网络进行逻辑上的直接连接，通过这种方式我们可以无限延伸企业的内部网络，继而使所有用户可以访问相同的资源，使用相同的应用。

VPN的可以很好的利用当前既有的Internet线路资源，不再受地域的限制，而对于用户来讲，VPN的工作方式是完全透明的。VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。