背景
隨著互聯(lián)網(wǎng)的日益普及，網(wǎng)絡(luò)安全也越來越受到人們的重視，尤其是對于企業(yè)和國家機(jī)關(guān)來講，網(wǎng)絡(luò)安全就更加的不可或缺。但是由于傳統(tǒng)的以防火墻為核心的安全體系結(jié)構(gòu)本身所固有的弱點(diǎn)以及新的黑客攻擊技術(shù)的發(fā)展，傳統(tǒng)結(jié)構(gòu)在很大程度上已經(jīng)無法滿足我們對于網(wǎng)絡(luò)安全的要求。
本文將介紹一種新的網(wǎng)絡(luò)安全解決方案——隔離網(wǎng)關(guān)，以及華北科技4網(wǎng)口以太網(wǎng)網(wǎng)卡L-400在其中的應(yīng)用。

網(wǎng)絡(luò)安全的現(xiàn)狀
目前，最為流行的網(wǎng)絡(luò)安全架構(gòu)是以防火墻為核心的網(wǎng)絡(luò)安全體系架構(gòu)。但事實(shí)證明這種安全防御體系并未能有效地防止目前所頻頻發(fā)生的網(wǎng)絡(luò)攻擊。
原因主要在于防火墻所采用的體系結(jié)構(gòu)，我們可以把目前常見的防火墻分為這么幾種類型：1、包過濾（Packet Filter，包括靜態(tài)包過濾和動態(tài)包過濾）；2、電路網(wǎng)關(guān)（Circuit Level Gateway）；3、應(yīng)用網(wǎng)關(guān)（Application Level Gateway）。每種類型都是兩種Model: OSI Model和TCP/IP Model。
這樣我們可以對防火墻架構(gòu)得出下面的一些結(jié)論：
1、OSI的層號越高，防火墻所要檢測包的信息內(nèi)容就越多，安全性就越高，但同時(shí)相對的速度和效率就會越低，也就是我們必須在安全性和性能（速度、效率）上作一種平衡。
2、依賴于TCP/IP協(xié)議，而TCP/IP本身并沒有一些控制機(jī)制來保證安全性，多數(shù)的黑客攻擊都是利用了TCP/IP本身的漏洞。
3、防火墻的哲學(xué)是必須首先保證網(wǎng)絡(luò)的連通，這樣就必須開放相應(yīng)的端口，如80端口、25端口等，對這些開放端口的攻擊，防火墻不能防止。

新的思路：隔離
現(xiàn)在，人們已經(jīng)開始意識到防火墻在網(wǎng)絡(luò)安全方面的局限性，隔離技術(shù)開始進(jìn)入大家的視野。目前，最主要的解決方案有兩種：物理隔離和邏輯隔離。所謂物理隔離，就是阻斷內(nèi)網(wǎng)與外網(wǎng)的直接物理連接與邏輯連接，內(nèi)網(wǎng)與外網(wǎng)不會同時(shí)連接在隔離設(shè)備上，這樣雖然提高了安全性，但也提高了成本、降低了效率和易用性。因此，對于大多數(shù)用戶而言，邏輯隔離是最為合適的安全解決方案。
邏輯隔離保證安全的要點(diǎn)主要在于：
1、保證自身的高安全性，一般要求由兩套主機(jī)組成，一套控制外網(wǎng)接口，另一套控制內(nèi)網(wǎng)接口，然后在兩套主機(jī)系統(tǒng)之間通過不可路由的協(xié)議進(jìn)行數(shù)據(jù)交換，這樣，既便黑客攻破了外網(wǎng)系統(tǒng)，仍然無法控制內(nèi)網(wǎng)系統(tǒng)，就達(dá)到了更高的安全級別。
2、確保網(wǎng)絡(luò)間是隔離的，關(guān)鍵是網(wǎng)絡(luò)包不可路由到對方網(wǎng)絡(luò)。這也是和防火墻的最關(guān)鍵區(qū)別。
3、要保證傳遞的只是最原始的應(yīng)用層數(shù)據(jù)，也就是必須通過協(xié)議分析，將應(yīng)用層數(shù)據(jù)提取，然后再進(jìn)行數(shù)據(jù)傳輸，保證傳輸?shù)臄?shù)據(jù)不具有攻擊的特性。
4、要在堅(jiān)持隔離的前提下保證網(wǎng)絡(luò)暢通，不能夠成為網(wǎng)絡(luò)交換的瓶頸。
邏輯隔離技術(shù)的最關(guān)鍵點(diǎn)是選擇合適的硬件來實(shí)現(xiàn)網(wǎng)絡(luò)間的數(shù)據(jù)交換，這種硬件應(yīng)該能夠保證高帶寬、交換數(shù)據(jù)的可靠性高、基于其的專用協(xié)議開發(fā)方便等特點(diǎn)。

L-400是邏輯隔離網(wǎng)關(guān)的理想選擇
北京某網(wǎng)絡(luò)安全技術(shù)公司經(jīng)過市場調(diào)查，選擇了華北科技的L-400開發(fā)其隔離網(wǎng)關(guān)產(chǎn)品。L-400主要的特性有：
•兼容PCI2.1規(guī)范、PCI橋1.1規(guī)范和ACPI1.1電源管理規(guī)范
•采用INTEL82551ER 32bit 33MHz 10M/100/M智能以太網(wǎng)控制芯片
•符合IEEE802.3 10base-T和IEEE802.3u 100base-TX標(biāo)準(zhǔn)
•支持全雙工（full-duplex）工作模式，可以使帶寬達(dá)20Mbps/200Mbps
•內(nèi)置獨(dú)立的接收、傳送FIFO功能（2KB傳送及4KB接收），提高數(shù)據(jù)傳輸速率

客戶在開發(fā)時(shí)，外網(wǎng)服務(wù)器選用Linux操作系統(tǒng)，進(jìn)一步降低因操作系統(tǒng)而引起安全性漏洞的可能性；而內(nèi)網(wǎng)服務(wù)器選擇Windows2000操作系統(tǒng)，易用性更佳。在外網(wǎng)、內(nèi)網(wǎng)服務(wù)器各安裝一塊L-400網(wǎng)卡，在此基礎(chǔ)上自行開發(fā)了專有安全協(xié)議和加密驗(yàn)證機(jī)制及應(yīng)用層數(shù)據(jù)提取和鑒別認(rèn)證等方面的軟件，徹底阻斷了網(wǎng)絡(luò)間的直接TCP/IP連接，同時(shí)對網(wǎng)間通信的雙方、內(nèi)容、過程施以嚴(yán)格的身份認(rèn)證、內(nèi)容過濾、安全審計(jì)等多種安全防護(hù)機(jī)制，從而保證了網(wǎng)間數(shù)據(jù)交換的安全、可控，杜絕了由于操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議自身漏洞帶來的安全風(fēng)險(xiǎn)。同時(shí)，L-400本身也提供較高的帶寬，保證了在加入隔離網(wǎng)關(guān)后整個(gè)網(wǎng)絡(luò)連接的通暢。

結(jié)論
由于防火墻本身的缺陷，邏輯隔離網(wǎng)關(guān)將成為相當(dāng)一段時(shí)間內(nèi)網(wǎng)絡(luò)安全產(chǎn)品的新熱點(diǎn)和發(fā)展趨勢。而L-400由于其所具有的高速、握手方式通訊、開發(fā)程序簡便等特點(diǎn)，非常適合于在邏輯隔離網(wǎng)關(guān)中用作內(nèi)、外網(wǎng)服務(wù)器間的專用通訊設(shè)備。