ccidnet????

出版日期:2004-09-13 总期号:1347 本年期号:68

本期导读
要闻综合
中国信息化
网络与通信
软件与服务
产品与应用
渠道与市场
华南专刊
西北专刊
东北专刊
存储世界
网吧新天地专刊
 网闸应用专栏
用网闸保护网站



  中网网闸工作示意图

  

  互联网改变了我们的生活,其中影响最大的莫过于网站。上网用户每天花大量的时间在浏览各种网站,网站内容涉及到现实世界的方方面面。网站是互联网最重要的资源,政府网站是网站最重要的部分之一。随着我国电子政务,电子商务和金字系列工程的逐步开展,政府的网站越来越多,也越来越重要。

  近年来,网站被攻击事件的不断发生,严重地扰乱了网站的正常服务,带来了不良的政治和经济影响。其中,拒绝服务攻击和非法篡改网页是严重的两大威胁。拒绝服务攻击是指利用伪造的TCP包向提供服务的网站发起虚假的连接,不正常地占用和耗尽服务器的资源,导致网站无法提供正常的服务。非法篡改网页指将网站中的网页更换为恶意的网页,或非法修改其中的内容或图片。据报道,截止到2003年底,我国互联网内共有272万多台主机受到来自境外的攻击,有1157个网站被篡改,而全球有175937个网站被篡改,其中包括大量政府网站。对政府网站而言,网页的篡改,尤其是含有政治目的的篡改,会对政府造成严重地伤害。同普通的商业网站不同,政府网站被篡改是完全无法接受的。

  为了解决网站的安全问题,出现了很多的网站保护的解决方案。典型的方案包括,采用防火墙来执行访问控制,保护网站不被非授权用户访问,控制互联网用户对网站系统的访问;或采用抗攻击网关来解决拒绝服务攻击的问题;或采用入侵检测,来保护网站系统免遭网络攻击;由于网页篡改者利用操作系统的漏洞和管理的缺陷进行攻击,而防火墙和入侵检测工作在网络层上,它们无法有效阻止网页篡改事件发生,因此,较多的是采用主页防篡改监控系统,来保护网站主页面不被非授权删除、修改、替换。

  用户很快就发现,这些解决方案未能有效地解决网站的安全问题。防火墙不能解决基于80端口攻击的问题;抗攻击网关只解决拒绝服务攻击,无法解决安全漏洞带来的入侵问题;入侵检测可以解决应用安全的漏洞问题,不能解决拒绝服务攻击的问题;主页防篡改系统出现最多的问题,是自己先被攻击、入侵、甚至样本被篡改,导致网站不攻自破。用户要保护一个网站,购买上述全部的产品,有“大炮打蚊子”的感觉,太夸张了些,而且也解决不了网站的安全问题。

  网站的安全问题还没有解决,黑客却越来越猖獗。一个名为“zone-h.org”的网站,公布了大量的政府网站被黑的消息,其中就有我国政府网站的名字。政府对保护网站的要求越来越高,主要的安全需求包括:能有效地提供服务,确保内容不被篡改,保证内容的完整性。政府用户意识到被攻击是不可避免的,但保证不被入侵和篡改网站的内容是必须保证的安全底线,还必须有效地提供服务,否则也是一种拒绝服务。

  中网公司是国内安全技术领先的专业性公司,在为多家政府部门网站提供技术保障服务的工程中,中网公司率先将目前安全性最高的隔离网闸应用在政府网站的保护措施中,并积累了大量的经验,发展了一套完整的安全的可行的网站保护安全方案。在实际的考验中,被证明是行之有效的网站保护解决方案,其拓扑图如图所示。

  中网的物理隔离网闸(X-GAP)通过了公安部、中国信息安全产品测评认证中心、国家保密局测评认证中心和解放军测评认证中心的检测测评和认证,并且获得了财政部等多家部委行业的认可、审查和准入,是目前极为成熟的物理隔离技术产品。中网X-GAP网闸采用SCSI技术,在保证网络隔离断开的前提下,将人工拷盘的工作自动化。64位66兆主频的ASIC芯片,最高可提供5G的背板交换速率,完全可以满足政府网站提供服务的要求。

  中网X-GAP网闸实现了互联网与政府网站服务器的隔离断开,中止了通讯协议的连接,中止了TCP/IP协议的连接,中止了HTTP协议的应用连接,剥离了通讯协议桢,剥离了TCP/IP包,剥离了HTTP应用协议,消除了基于通讯协议的攻击,消除了基于TCP/IP协议的攻击,消除了基于HTTP应用协议的攻击。

  中网X-GAP网站在隔离断开的前提下,实现了基于模拟拷盘的文件交换功能。在网站保护的安全解决方案设计中,中网X-GAP网闸裁减了所有的应用协议,只增加了支持HTTP协议的恢复和重建模块,这种“拒绝所有,只保留必须提供的服务”的安全机制是目前最高的安全机制。中网X-GAP支持HTTP1.0和1.1两种版本。

  中网X-GAP网闸支持访问控制功能,支持抗拒绝服务攻击的功能。由于互联网与网站服务器是隔离,黑客不可能入侵,黑客不可能利用操作系统的漏洞和管理的缺陷,保护网站系统免遭网络攻击,有效阻止网页篡改事件发生。

  用户在使用中网X-GAP网闸保护网站时,只需要一套网闸,就满足了用户的全部要求,实现了抗攻击和防篡改的功能,超过了传统的防火墙、入侵检测、抗攻击网关和主页防篡改等多个安全产品的安全功效。用户尤其喜欢的是,网闸根本就不允许入侵和改写,而不是像有些产品工作的那样,把被黑客篡改的内容再改写回来。