某醫(yī)院與外網采用(yòng)網閘隔離設備的效果測試報告
摘要:醫(yī)院業務(wù)網絡與外網(包括互聯網、醫(yī)保網)相聯處可(kě)選擇部署防火牆或網閘設備進行隔離。為(wèi)了了解其隔離效果的不同,找出網閘與防火牆的本質(zhì)區(qū)别,我們進行了本項測試工(gōng)作(zuò)。通過測試證明:網閘中(zhōng)斷了TCP/IP、中(zhōng)斷了應用(yòng)連接、隻有(yǒu)裸數據“擺渡”,網閘隔離強度更高、安(ān)全防護效果明顯。
關鍵詞:網閘;安(ān)全隔離;效果測試
網閘是新(xīn)一代高安(ān)全性的隔離産(chǎn)品。網閘采用(yòng)“2+1”的結構,即由兩套單邊計算機主機(外部主機、内部主機)和一套固态介質(zhì)存儲系統的隔離開關組成。
外部單邊主機,隻有(yǒu)外網卡,沒有(yǒu)内網卡。該主機安(ān)裝(zhuāng)有(yǒu)代理(lǐ)軟件:Agent。“Agent”代理(lǐ)内網去外網獲取信息,然後放在指定的地方。内部的計算機主機,隻有(yǒu)内網卡,沒有(yǒu)外網卡。該主機是網閘在内網的連接點,屬于内網的一部分(fēn)。所有(yǒu)内網的主機需要得到外網上的信息,都必須通過這台主機來代辦(bàn)。
網閘從網絡第一層一直工(gōng)作(zuò)到網絡第七層,網閘斷開了兩個網絡,中(zhōng)止了所有(yǒu)的協議,在網絡的第七層将包還原為(wèi)原始數據或文(wén)件,然後以“擺渡文(wén)件”的形式來傳遞和交換數據,沒有(yǒu)任何包、命令和TCP/IP協議(包括UDP和ICMP)可(kě)以穿透網閘。
二、某醫(yī)院應用(yòng)概述
某醫(yī)院現有(yǒu)近千台客戶端主機、二十多(duō)台服務(wù)器,其中(zhōng)以一台裝(zhuāng)有(yǒu)ORACLE數據庫的小(xiǎo)型機為(wèi)核心服務(wù)器。整個醫(yī)院園區(qū)網以獨立專網方式運行多(duō)年,現由于業務(wù)需要,要和社保醫(yī)療保障系統互聯互通,同時還要與互聯網相聯。這樣該網絡面臨着新(xīn)的網絡安(ān)全考驗。
由于信息技(jì )術的飛速發展,實施攻擊的技(jì )術要求越來越簡單,成本越來越低,同時操作(zuò)系統的漏洞卻不斷被發現,病毒不斷爆發,信息系統所面臨的安(ān)全威脅越來越大。如果該網絡局部或全局癱瘓,不僅對醫(yī)院的正常業務(wù)造成嚴重的影響,也對醫(yī)院的形象和服務(wù)質(zhì)量造成不可(kě)估量的損失。所以如何保障醫(yī)院網絡及整個信息系統的安(ān)全與穩定運行成為(wèi)一項非常重要的工(gōng)作(zuò)内容。
為(wèi)了保護醫(yī)院業務(wù)網的安(ān)全,在醫(yī)院網絡與外網(包括互聯網、醫(yī)保網)相聯處可(kě)選擇部署防火牆或隔離網閘設備進行隔離。但兩種設備的隔離效果差别較大,為(wèi)了了解其隔離效果的不同,找出網閘與防火牆的本質(zhì)區(qū)别,我們進行了本項測試工(gōng)作(zuò)。
三、測試内容和結果
(一)DOS 攻擊測試
模拟一台外網攻擊機,向内網的某一服務(wù)器進行SYN FLOOD和LAND的攻擊。一般情況下會随着攻擊強度的增加,服務(wù)器的資源會逐漸耗盡,最終達到服務(wù)不可(kě)用(yòng)的狀态,甚至系統崩潰。示意圖如圖1所示。
圖1 DOS攻擊測試示意圖
DOS攻擊的原理(lǐ)是利用(yòng)TCP/IP上的漏洞,例如TCP的三次握手協議,防火牆即使有(yǒu)包過濾的功能(néng),但也不能(néng)抵禦這種類型的攻擊,僅僅隻能(néng)做到屏蔽IP與端口。在IP源地址被僞造的情況下,就更不能(néng)識别到這種攻擊。但是網閘采用(yòng)了物(wù)理(lǐ)隔離,任何數據包都采用(yòng)了重組的方式達到網絡的對端,并且中(zhōng)網網閘有(yǒu)獨特的抗DOS功能(néng)模塊,這次經模拟測試,也證實了其效果。具(jù)體(tǐ)過程如下:
1. 模拟測試工(gōng)具(jù),本次采用(yòng)DOS攻擊壓力測試軟件。截圖如圖2所示:
圖2 DOS攻擊壓力測試
2. 在沒有(yǒu)攻擊前,被攻擊的服務(wù)器系統狀态正常,如圖3。
圖3
3. 采用(yòng)SYN_FLOOD的DOS攻擊,CPU、内存、系統資源都明顯大幅度的提高。由于采用(yòng)僞造源地址的攻擊,系統内閑置了上千條連接,如圖4、圖5。
圖4
圖5
4. 采用(yòng)LAND的DOS最高強度攻擊後,CPU占用(yòng)率100%,系統異常緩慢。鼠标與鍵盤都有(yǒu)很(hěn)明顯的延時現象。應用(yòng)程序與服務(wù)都不能(néng)運行。
圖6
5. 采用(yòng)網閘隔離後,在SYN_FLOOD和LAND攻擊目标服務(wù)器時,并沒有(yǒu)出現服務(wù)不可(kě)用(yòng)現象,CPU、内存的變化并不明顯,大約在2%至8%,在攻擊的同時,也測試了兩端網絡文(wén)件複制、訪問均沒有(yǒu)問題、傳輸速度上也沒有(yǒu)任何延遲的現象,如圖7。
圖7
從此測試的結果來看,網閘基本抵禦了所有(yǒu)的DOS攻擊。正常用(yòng)戶的應用(yòng)訪問沒有(yǒu)受到影響。
将内網某台服務(wù)器安(ān)裝(zhuāng)定制的後門程序,然後通過外網的一台服務(wù)器非法入侵與監控,這其中(zhōng)包括鍵盤後台記錄、密碼自動獲取、屏幕監控、進程查找等。總之,可(kě)以獲取該主機的控制權,甚至能(néng)夠關機重啓。
一般情況下防火牆會控制外網向内網的訪問端口,但在内網向外網訪問的情況下,由于外網地址不固定,會采取不限制内網向外網的訪問,在這種寬松的情況下,如果内網某台PC感染了木(mù)馬病毒,則不需要外網的入侵者主動連到内網,内網的服務(wù)器也會主動尋找外網攻擊者,這就是木(mù)馬、特洛伊的特點。
示意圖如圖8所示。
圖8
采用(yòng)防火牆及網閘進行隔離的測試步驟如下:
1. 采用(yòng)網閘前,被攻擊服務(wù)器在感染病毒後,沒有(yǒu)任何的異常現象,實際病毒已經隐藏在系統進程各種,一般防病毒軟件和使用(yòng)者都很(hěn)難發現到。
圖9
圖10
圖11
由于網閘中(zhōng)斷了TCP/IP、中(zhōng)斷了應用(yòng)連接、隻有(yǒu)裸數據“擺渡”。部署網閘使得外網:
l 無法ping内網的任何主機;
l 無法穿透網閘來追蹤路由(traceroute);
l 無法掃描内部網絡,因此無法發現内網的主機信息、操作(zuò)系統信息、應用(yòng)信息;
l 無法發現内網主機的漏洞、應用(yòng)的漏洞;
l 無法同内網的主機建立通信連接;
l 無法向内網發送IP包;
l 無法同内網的任何主機建立TCP/UDP/ICMP連接;
l 無法同内網的任何主機建立應用(yòng)連接(C/S或B/S)。
通過測試,可(kě)以清楚看到防火牆與網閘的本質(zhì)區(qū)别。防火牆是首先保證聯通性,再追求安(ān)全性;網閘是先保證安(ān)全性,再追求聯通性。網閘隔離強度更高、隔離效果更好,安(ān)全性能(néng)更高。
【1】 萬平國(guó). 《網絡隔離與網閘》,機械工(gōng)業出版社,2004年。
【2】 閻慧 王偉 甯宇鵬. 《防火牆原理(lǐ)與技(jì )術》,機械工(gōng)業出版社,2004年。
上一篇:政府門戶網站安(ān)全方案
下一篇:網閘應用(yòng)案例