| 出版日期:2003-12-8 总期号:1273 本年期号:92 |
|
 |
GAP的安检措施——网络协议的分拆/重组
由于协议在网络传输中的重要性,GAP对协议的分析和处理是进行协议的分拆和重组。 分拆与重组的实现 GAP技术事实上将原来直接连通内外网络的TCP连接,分解为外网到GAP不可信端的TCP连接、不可信端到可信端的特定方式连接、可信端到内网的TCP连接的组合。因此,在添加具有GAP的技术之后,可以阻断内外网络之间直接的TCP对话。 更重要的是,GAP技术不但在逻辑上终止了TCP对话,还从物理上断开了外网络之间的连接,使得内外网络之间在任何时候都不存在直接的物理层和链路层连接通路。 GAP技术在协议处理时好比我们在坐飞机前进行的比通常更为苛刻和严格的的安全处理和检查: 首先,在安检处停住(协议会话终止),然后并不是只做简单的探测器扫描,而是更加彻底地将身上的所有衣物统统去掉(协议剥离,无论已知的攻击或未知的攻击通通去掉),然后人(静态裸数据)再带上标牌(签名),通过特定的栈桥(特定的硬件物理开关)进到安全检测平台进行检查(静态裸数据检查),没有问题后,再发给人原来的同样质地和样式的衣物(协议重组),最后人就可以直接登上飞机了(内部会话建立)。 解决两个问题 第一,解决了基于网络层和传输层的已知和未知攻击的防御难题。目前主要采用的建立特征库的防范方法,尤其不能有效地杜绝新的攻击行为。而TCP/IP协议的分拆/重组使来自不可信网络的TCP/IP报头无法穿越GAP,包括已知和未知的攻击行为。 第二,解决了系统自身安全性的问题。TCP/IP协议已知的协议格式和安全漏洞使得黑客有机会对任何支持该协议的堡垒主机如防火墙、防病毒网关等发动攻击。这些攻击有可能获得系统控制权。GAP技术的解决方案就是将接受到的数据剥离报头部分,在内部不采用任何网络协议,并且利用GAP反射专用电路实现数据的读写控制,这样就使得黑客无法利用任何方式攻击GAP,保证系统安全。 
GAP协议分拆与重组技术原理图 |
||||||||||||||||||||||||||||
