网络攻防特点（常见的网络攻防技术）

综述

在工业控制系统实际网络环境中，经常需要创建物理隔离的网络环境，实现内网之间，或内网与外网之间的物理隔离。但是，物理隔离的网络也有数据交换需求存在，各种SCADA系统，生产统计数据，办公文件都可能需要定时传输数据。最初的解决办法就是人工传递，通过U盘，光盘等手段传递数据，但是效率比较低下。随着网络业务日益成熟，数据交换需求越来越强烈，人工方式成为了瓶颈。所以，网闸（GAP）技术应运而生。

网闸，也称为网络安全隔离设备，是一种专业硬件，架设在两个不连通的网络之间，按照需求在一定的限制条件下，完成网络间的数据资源的安全传输。

网闸的产生，最早是出现在美国、以色列等国的军方，用以解决涉密网络与公共网络连接时的安全问题。目前，网闸在国内外已经广泛应用于政府、军事、金融、电力、航天等场景。

网闸的实现

图1反向隔离网闸示意图

如图所示：典型的网闸由硬件设备和软件客户端组成，软件只能运行在特定的主机上，一般这样的主机被称为节点机。网闸设备内部由两台设备和专用的摆渡硬件组合而成，这两台设备可以称为接口机A和接口机B。两台接口机分别与外网和内网相通，但由于接口机取消了所有系统自带网络功能，例如ICMP和所有TCP等功能，使得内外网通常的网络用户不可能感知到网闸的存在，甚至普通的网络扫描也无法发现设备。只有节点机能通过预设的端口与网闸设备单向通信。接口机之间不采用TCP/IP 方式联通，而是通过特定的硬件卡或存储等方式构建一个数据交换区，实现数据的摆渡。

网闸设备的基本特性主要包括：无完整网络连接，单向传输，数据格式认证：

无完整网络连接：通过网闸的摆渡控制，让数据交换区与内外网在任意时刻不能同时连接。这样的设计中断了内外网的直接连接。使得内外网达到物理隔离效果。一般的网络应用，包括病毒，木马等都无法经过网闸建立所需的网络连接。

单向传输：网闸硬件与软件之间采用特定的私有协议，保证与预设方向相反的方向无法传输数据，HTTP，FTP，SMTP等协议均无法通过。如果内外网需要数据交互，一般需要部署正向反向两套网闸，采用不同的策略，通过内外网不同的节点机分别执行数据发送。

数据格式认证：不支持协议解析，不透传业务应用，只对认证后的特定文件格式的数据文件进行摆渡。

由于网闸具备以上特性，网闸可以杜绝两边网络建立任何TCP/IP网络连接，保证物理隔离，同时达到传输特定数据的目的。

网闸中一些可能存在的问题

经过对一些网闸设备的检测，威努特安全团队发现了一些问题，举例如下：

1：私有文件格式

在某典型行业应用环境中，网闸被配置为仅允许行业特定私有格式文件通过。该格式为一种类似于xml的纯文本格式，具有特定格式要求，而且不允许文件中包含0x01，0x02等字符。这种方式有效防止了exe，rar，doc等常见二进制文件格式的传输，并且，普通的文本文件或脚本文件也确实无法通过文件格式校验，从而无法经由网闸传输。但是，任意文件都可以通过base64方式编码为纯文本，然后构造在该特定格式文件中，达到通过网闸的目的。当然，这种方式也具有一定局限性，如果接收端的处理程序不执行解码操作，被传入的文件无法还原成本来的形式，则暂时无法发挥作用。

2：准明文传输问题

根据设计原则，网闸软件与硬件之间的数据通道应采取足够强度的加密。但实际通过数据包分析发现，某网闸采用了UDP协议单向传输数据。数据仅经过简单的编码，而并未加密传输。这种问题可能发生在传输隧道建立和协商的过程中，由于一定的策略或环境限制，导致的安全性降级。