CN112839058A - 一种设计防火墙的方法 - Google Patents
一种设计防火墙的方法 Download PDFInfo
- Publication number
- CN112839058A CN112839058A CN202110186294.1A CN202110186294A CN112839058A CN 112839058 A CN112839058 A CN 112839058A CN 202110186294 A CN202110186294 A CN 202110186294A CN 112839058 A CN112839058 A CN 112839058A
- Authority
- CN
- China
- Prior art keywords
- module
- data
- firewall
- network
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种全新的防火墙设计方法。所述方法解决了防火墙小型化、微型化的业内难题。为在全网范围内,对所有的信息终端提供安全防护,提供了一种可行的技术方案。对网络安全业主而言,用所述方法构建的防火墙,1)彻底摆脱业主对防火墙建设团队的“信任”依赖。2)可以有效的将内网信息终端上必然存在的操作系统、应用系统上的安全漏洞,同外网隔离。对于从所述防火墙传输出、输入的数据,用发明专利《一种数据包装方法》(专利申请号:2019102326268)所述的方法进行包装、检测,则用本专利方法设计防火墙,就可以发现任何现在以及未来采用任何技术手段,刺破通讯协议,向通讯数据中注入的恶意代码,从而阻断病毒对内网信息终端的感染、入侵。
Description
技术领域
本发明涉及一种设计防火墙的方法。
背景技术
防火墙是当今构成一个网络应用系统的标准部件。任何一个网络应用的系统中,防火墙同服务器一样,都是必备的标准件。一个防火墙将一个网络应用系统的网络系统分为内网和外网。
防火墙从出现至今,功能越来越强大,能抵抗的病毒也越来越多,但其基本架构-硬件、操作系统、防病毒的应用系统-并未发生任何改变。在网络安全的攻防战中,这种结构尽显疲态。虽然防火墙能防御的病毒越来越多,但其本应起到的安全防护作用却越来越弱、越来越小。
以两三年前出现的勒索病毒为例。一方面人们看到的是国内、国外众多的提供网络安全专业服务的网安公司,不断声称其网安产品能如何、如何的查杀各种已知的、未来的勒索病毒,另一方面人们看到的是不断爆出的勒索病毒中标案,中标标的从最初的攻击个人的电脑,勒索个人,逐步转向攻击企业、组织的网络系统,勒索法人,勒索金额从最初的不到1比特币(也就是几百到几千美金)到现在动辄上百万甚至上千万欧元,而不少的中标企业最终不得不以缴纳不菲的勒索金了事。
无数的网络安全事件无不说明一个残酷现实,防火墙这个古老的安全部件,在今天以及未来其能起到的安全作用,将会越来弱。现阶段业内热炒的“零信任网络”技术概念,其实就是对防火墙的最直白的间接否定。
2019年6月开始,中国陆续颁布、实施《计算机等级保护2.0版》(业内简称“等宝2.0”)。等宝2.0同之前的实施的等宝1.0相比,其最大的改变就是,网络应用的安全防护范围,从等宝1.0规则下的防火墙后的内网,扩大到等宝2.0规则下的内网、外网。
美国国防创新委员会在其于2019年4月发布的《5G生态系统:对美国国防部的风险与机遇》报告中的“建议二”中,则明确的指出“外围防御模型已经被证明是无效的”。
2019年中美两国关于网络安全的两个国家行为,为持续多年的以防火墙为最重要的安全防御部件,将整个网络系统人为的分割为内网、外网,将攻击阻挡在防火墙之外的外围防御模型,敲响了丧钟,画上了句号。
究其原因,主要就是防火墙所能起到的安全防护功能越来越弱。这一点从无数的网络安全事件上,得以充分的证明。特别是最近几年大火且被业内公认为下一个网络应用风口的物联网应用上,发生的越来越多的安全事件,更是说明外围防御模型的天然局限型。造成这一局面,无外乎以下几个主要原因:
原因1:现在的防火墙产品,全都是采用“硬件、操作系统、防病毒的应用系统”的标准架构。在操作系统、防病毒的应用系统天然具有的安全漏洞的情况下,这种架构的防火墙,天然就有安全漏洞,且根本就无法保证其自身的安全性。而令人担忧的是,随着时间的推移、操作系统功能的越来越强大和繁复、防火墙的安全功能的越来越多,这些天然具备的安全漏洞数量,不是在减少,而是在增加。而随时间线的延长,必然出现越来越多的安全漏洞,这就使得防火墙的安全作用越来越弱。而且从理论上讲,运行于操作系统之上的防病毒的应用系统对于操作系统上的安全漏洞的防护效果基本上可以认为是可以忽略不计的微乎其微。
原因2:无论是哪家的防火墙,对输入、输出防火墙的数据所采用的数据检查的安全策略,本质上并无显著区别。穷尽排除法是所有防火墙产品,标准的基本安全策略。所述策略的基础技术特征就是,用检测已知病毒特征码的方式,来判断进入防火墙的数据,是否带有病毒。在病毒越来越多的今天和未来,要想使得进出防火墙的数据流,不因穷尽检测而产出太多的时延,则必须1)放弃一些必要的检测。2)必须依靠具备大算力和大储存量的设备来实施的这种极耗费资源的穷尽式检测。这就必然导致两个严重后果:1)安全策略天然有安全漏洞。因为随着病毒越来越多,必然要放弃某些必要的病毒检测。2)防火墙无法小型化和微型化,无法为一个网络应用系统中的所有网络终端,提供安全防护。而这两点,在最近几年日渐火爆的物联网应用上频发的安全事件和勒索病毒攻击案件勒索赎金越叫越高,得到充分的验证。
原因3:安全漏洞看不见摸不着,而防火墙以及以此为基础的网络安全系统,又必然会或多或少的接触到应用系统的核心敏感数据,这就使得网安系统的建设,必然带有网络安全业主对网安系统建设实施人的天然信任。换而言之,对于专业的网安公司而言,技术好坏在其次,网安业主对网安项目建设团队的人,特别是关键人的信任,才是关键中的关键。一个大型的网络安全建设项目,网络安全业主,首先考虑的项目建设团队人员的安全性原因就在于此。很难想象一个网络安全项目业主会聘请一个完全没有信任感的网安团队参与其网络安全项目的建设。比如任何一家俄罗斯最顶级的网络安全公司绝对不会进入一个美国或其盟友的最高安全等级的网络安全项目业主的考虑范围,反之亦然。
发明内容
为了有效克服现有防火墙技术方案上的缺陷和弊端,本发明提供了一种全新设计防火墙的方法。所述的方法分为如下的几个设计板块:
设计板块1:设计两个功能模块,他们分别是同外网相连的完成数据收/发功能的收发模块(模块1)和同内网相连的完成数据处理功能的处理模块(模块2)。两个模块之间由数据通道相连;
设计板块2:按数据流的传输方向,设计两个数据处理业务流程,所述的两个数据处理业务流程分别是:数据流从外网传入内网的数据输入业务流程(流程1);数据流从内网传输到外网的数据输出业务流程(流程2);
设计板块3:根据安全防护的需要和数据流输入/输出业务流程的需要,设计模块1同模块2之间的数据通道的个数和所采用的数据通讯的技术方案;
设计板块4:根据安全防护的需要和数据流输入/输出业务流程的需要,设计模块1同外网连接的数据通道的个数和所采用的数据通讯的技术方案;
设计板块5:根据安全防护的需要和数据流输入/输出业务流程的需要,设计模块2同内网连接的数据通道的个数和所采用的数据通讯的技术方案。
其中:
所述的模块2有两个基础类型:简单型模块2-1和简单型模块2-2;
所述简单型模块2-1的技术特征是,它由一个CPU和由此CPU独立管理的RAM构成,所述的CPU运行在非操作系统环境之下,且有两个的数据通道;
所述简单型模块2-2的技术特征是,它由一个CPU和此CPU独立管理的RAM构成,所述的CPU运行在非操作系统环境之下,且最少有三个的数据通道。
对于有更高技术/性能要求的复杂型模块2,可采用如下但不限于如下2种方式进行设计:
方式1:由两个或两个以上的简单型模块2通过串联和/或并联方式构成的简单型模块2矩阵。如果模块2矩阵中有简单型模块2-2,则所有的简单型模块2-2的数据通道中,最少有一个数据通道,既不同外网相连也不同内网相连;
方式2:由两个或两个以上的简单型模块2和一台或多台含操作系统的信息终端组成的数据处理终端矩阵。在这个矩阵中,简单型模块2处于含操作系统的信息终端同外网或内网之间,使得所述矩阵中的所有含操作系统的信息终端中的任何一台,都同内网或外网无直接相连的数据通道。
所述的数据输入业务流程(流程1)由分别分布在模块1和模块2上的两个子业务流程组成:
流程1-1:模块1接收外网输入的数据,通过模块1和模块2之间的数据通道将接收的数据传输到模块2;
流程1-2:模块2对收到的数据进行处理,处理后的数据,或丢弃或送入内网。
所述的数据输出业务流程(流程2)由分别分布在模块1和模块2上的两个子业务流程组成:
流程2-1:模块2接收从内网传来的数据,并对收到的数据进行处理,处理后的数据,或丢弃或通过模块1和模块2之间的数据通道传输到模块1;
流程2-2:模块1将所收到的数据送入外网。
流程1和流程2中所述的数据处理,包括但不限于,为安全目的进行的数据的插入、删除、分拆、重组、校验、验证、加密、解密。
模块1于模块2间的数据通道包括但不限于并行数据总线和串行数据总线。
为达成最佳的在所述方法设计的防火墙之间,进行安全数据传输的安全目的,模块1的几个优选设计原则是:
1)模块1同外网最少有两个连接数据通道。原则上讲,模块1同外网之间,有越多的数据通道,攻击方获得/拦截传输数据的工程成本就越高,数据传输的保密性也强。防火墙的对传输数据的安全防护效果就越好。
2)模块1同外网有两个以上的连接数据通道时,最少采用2两种不同的通讯方式。比如一个数据通道采用移动互联网的数据通道,一个通道采用短信通道或语音通道。对任何于一个商用的网络应用系统而言,北斗短信通道是其可以获得的最优的一个安全数据通道。
3)模块1同外网有两个以上的连接数据通道时,优先采用租用不同的通讯运营商的通讯线路。比如对于有两个固网数据通道的防火墙而言,分别租用移动、联通的固网线路。这样对于网络安全攻击方而言,无论是要拦截通讯数据还是要进行中间人攻击,都必须同时入侵移动、联通的网络线路,并要准确找到这两条通讯线路,这无疑增加了攻击方的攻击难度。
本发明是一种全新的防火墙设计方法。通过此方法设计出来的防火墙,同传统的防火墙相比,具有如下优点:
1)传统的防火墙只能为网络应用系统的服务器端提供有限的安全防护。对于网络安全业主而言,因受网络安全项目建设的预算限制,则无法提供同样安全强度的全网安全防护。用所述方法设计的防火墙可以为任何的网络应用系统,为服务器端和用户端提供覆盖全网的、相同安全等级的全网安全防护。
2)传统的防火墙,无法对内网进行有效的切割。这就使得处于内网的任意一台数据终端,都会成为攻击病毒的注入点。用所述方法设计的防火墙,可以对内网进行有效的切割并对切割后的各个子内网,提供不同安全等级的安全防护。这就使得传统防火墙下,病毒单点注入,全网皆墨的安全攻击事件,成为历史。这就使得前两年流行的“微网络”的安全概念,有了一个真正可行的技术方案。
3)在传统防火墙上永远必然存在于操作系统、防病毒应用系统的安全漏洞,在所述方法设计出的防火墙上永不存在。
4)传统防火墙因必然存在的操作系统上、防病毒应用系统的安全漏洞,使得内网、外网之间,并无一个清晰而明确的安全边界。用所述方法设计的防火墙,使得内网和外网之间,从此有了一个清晰而明确的安全边界。任何入侵到模块1和内网的病毒,所能看到的就是一个一个的既无法入侵,又无法探测的数据黑洞。入侵到内网的病毒,如果没有内部人助力,无法向外网传出哪怕是一个比特的数据。
5) 用所述方法设计的防火墙,对进出防火墙的数据,可以采用唯一性验证的数据安全检测策略。这就彻底摆脱了传统防火墙采用的穷尽性检测法,对大存储力和大算力的天然依赖。从而使得所述防火墙的成本大幅降低,同时按所述方法设计的防火墙的微型化、小型化在技术上成为可能。
6)过往和当下,有不少网络安全企业,宣称自己的网络安全产品所采用的安全策略、机制不但可以有效对抗现在的病毒,更可以对抗未来的病毒。但这种宣称,更多只是商家的宣称用语。这种宣称用语,既无法在技术上得到证实,也无法被实际效果所证实。而用本发明所述方法设计的防火墙,在设计分布在模块2上的数据处理的业务流程(流程1-2、流程2-1)时,对从内网传输到外网的数据,如采用专利《一种数据包装方法》(专利申请号:2019102326268)所述的方法进行包装,再用所述专利的方法对从外网输入内网的数据进行检测,则用本专利方法设计防火墙,就可以发现任何现在以及未来,采用任何技术手段,刺破通讯协议,向通讯数据中注入的恶意代码。这一当前业内独有的安全特性,使得网络安全业主在所述防火墙的设计、实施、维护、运行等业务环节,彻底摆脱了:1)对网络安全项目建设团队的人员信任的依赖。2)内网中所有含操作系统终端上必然存在的安全漏洞的永久威胁。
附图说明
图1:传统的防火墙防护的网络系统结构示意图。
图2:所述方法下,新防火墙保护的网络应用系统结构示意图。
图3:简单型模块2-1结构示意图。
图4:简单型模块2-2结构示意图。
图5:一种有一个内网连接通道和两个外网连接通道的新防火墙结构示意图。
图6:一种有一个内网连接通道和一个外网连接通道的新防火墙结构示意图。
图7:一种为服务器提供安全防护的新防火墙结构示意图。
图8:一种基于移动互联网物的物联网终端的结构示意图。
图9:一种为无人值守的物联网终端提供安全防护的新防火墙结构示意图。
图10:一种为有人值守的物联网终端提供安全防护的新防火墙结构示意图
具体实施方式
下面结合具体实施例对本发明内容进行详细说明。
图1是传统的防火墙防护的网络系统结构示意图。在这个结构中,防火墙将整个网络系统,分割为内网、外网两个部分。但在防火墙操作系统上的安全漏洞的作用下,外网、内网实际上并无明确而清晰的边界。
在中国的等宝1.0时代,网络应用系统的防护范围为防火墙后的内网。2019年6月开始的“等宝2.0”则将网络应用系统的防护范围,扩大到处于内网和外网的所有终端。
美国国防创新委员会在其于2019年4月发布的《5G生态系统:对美国国防部的风险与机遇》报告中的“建议二”中,则明确的指出“外围防御模型已经被证明是无效的”,在其报告中进一步指出,在“外围防御模型”下,防火墙既无法抵御来对外网设备的攻击,如入侵到外网路由器上的拦截数据的盗取攻击,或中间人攻击,又无法抵御对外网终端的攻击或劫持外网终端后对服务器发起的攻击。
2019 年 6 月 28 日美国参议院审议、通过的《能源基础设施安全法》,彻底终止了在美国国内能源基础设施上(如电网控制系统),采用任何高级的自动化系统方案进行安全防御的可能性。法案要求相关企业转而探讨用低技术含量方法替代自动化系统的方案,比如用人工过程而非联网方式,直接由人类操作员来完成重要节点的安全控制的可能性。因为,他们认为,低技术含量的方法,可以有效的大大增加网络攻击难度,挫败最高端的网络黑客。显而易见的是,对于人工完成的控制过程而言,无论技术多么高强的黑客想要访问电网,必须实际接触到相关设备。这样,那些能源企业,只要管好接触相关设备的人,就可以有效屏或抵抗蔽任何顶级黑客利用操作系统或应用系统上的安全漏洞所发起的远程无接触攻击。
由此可见,图1这样的安全模型已经无法适应当下日益严重的网络安全形势。
图2是所述方法下,新防火墙保护的网络应用系统结构示意图。
图中显示:1)新防火墙1将内网、外网进行了有效的分割。2)新防火墙2又在内网将服务器同内网进行了有效的分割。3)新防火墙3、新防火墙n分别对外网终端1、外网终端n提供了安全防护。
在此网络结构下,任何入侵到内网终端、服务器、外网终端、内网、外网的病毒,看到的都是一个个数据黑洞,无法利用操作系统、应用系统上的安全漏洞,入侵到其他地方。
所述的设计方法,为实现“微网络”安全,提供了一种可行的技术方案。
对网络安全的业主而言,他可以请张三团队建构其防火墙系统1.0版,而后在完全不改变防火墙2的内网同服务器之间通信数据格式的情况下,请李四团队对新防火墙2进行改造。这样就可以完全规避掉张三团队的信任风险。同时,因李四团队,无法完整了解整个防火墙的数据结构,对李四团队的信任风险,一样可以有效屏蔽。完成升级后,网络安全业主只要保证防火墙2的安装地,没有外人入侵,就可以保证新防火墙2不会被人入侵。
图3、图4:分别为简单型模块2-1和简单型模块2-2结构示意图。其中图3为三数据通道的简单型模块2-2的结构示意图。
图5是一种有一个内网连接通道和两个外网连接通道的新防火墙结构示意图。其中模块2是一个由一个简单型模块2-1和一个有四个的数据通道的简单型模块2-2按照方式1构成的简单型模块2矩阵。其中CPU1连接一个键盘。此键盘用于将工作参数输入到CPU1和CPU2上。
图5所示的模块2矩阵,是一种最简单的、用方式1连接而成的模块2矩阵。网络安全业主用所述的方式1构成更为复杂、高效的模块2矩阵。
图6是一种有一个内网连接通道和一个外网连接通道的新防火墙结构示意图。其中模块1 是由两个简单型模块2-1包夹一台电脑(既按方式2连接)构成。这个结构就保证了电脑同外网、内网之间,没有直接的数据通道。从而保证了此电脑上必然存在的操作系统、应用系统上的安全漏洞,同外网、内网之间的有效隔离。
图6所示的模块2矩阵,是一种最简单的、用方式2连接而成的模块2矩阵。网络安全业主用所述的方式2构成更为复杂、高效的模块2矩阵。
无论是图5结构还是图6结构,亦或是更为复杂的模块2结构,对网络安全业主而言,他只要:
1)严格看管住键盘,防止任何未经授权的人接触到模块2中的键盘,则任何入侵到内网、外网、1号模块1、2号模块1病毒、甚至是模块2矩阵的开发人员,都无法将任何工作参数,输入到模块2上。
2)严格看管住摆放模块2的物理空间,防止任何未经授权的人对模块2中的任何部件进行任何未经授权的改动,则可以彻底切断内网、外网之间未经授权的数据交换。
图5、图6所示的结构,就使得网络安全业主;1)有效屏蔽了所有内网、外网网络设备上必然存在于操作系统、应用系统上安全漏洞之间的联系,进而可有效抵抗利用这些安全漏洞所发起的网络攻击。2)有效屏蔽防火墙开发团队的信任漏洞。换而言之,网络安全业主在选择防火墙的开发团队时,只要考虑这个团队的开发能力,是否能匹配这个防火墙的开发需求就可,而完全不要考虑这个防火墙开发团队的信任问题。而考虑防火墙开发团队的信任问题,是当下选择以旧式防火墙为核心安全部件构建安全防护系统时的第一优先考虑事项。
图7是一种为服务器提供安全防护的新防火墙结构示意图。图中所示的防火墙具有一个内网数据通道和四个外网数据通道,一个防火墙控制通道。其中以移动网通讯模块为通讯部件的3号模块2提供两个数据通道:移动数据通道(也就是所谓的流量通道)和短信通道。键盘则是一个防火墙控制通道,授权人员通过键盘向新防火墙输入工作参数、内外传输到外网的数据、外网传输到内网的数据。
图7所示的新防火墙,同现在的防火墙相比:
1)可以有效屏蔽掉所有现在行之有效的数据拦截攻击。
所有的网络攻击,都是以利用网络系统上的安全漏洞,从拦截网络间的通讯数据,作为攻击的起点。换而言之,有效防止对通信数据的拦截,就可以有效的防止利用操作系统和应用系统上的安全漏洞发起的网络攻击。
现在的防火墙在两个服务器之间(如A公司的总公司服务器防火墙同分公司服务器之间防火墙)的安全措施多半采用VPN的方式进行防护。但这种安全防护并不安全。这一点去看一下美国国防创新委员会在其于2019年4月发布的《5G生态系统:对美国国防部的风险与机遇》报告中的风险来源(报告中的网络安全风险的来源是:网络空间和移动终端)和我国的等宝2.0的相关安全要求,就可以清楚的知道,这绝非空穴来风。同时已经有相关案例证实,VPN是完全可以攻破的。
新防火墙的多所数据通道,就可以轻松击溃现在所有的拦截数据的网络攻击。以最简单的两个数据通道(采用1号模块1和2号模块1的数据通道)为例。网络安全业主只要将1号模块1接入A网络运营商运营的网络,2号模块1接入B网络运营商运营的网络,就可以废了当下所有拦截数据的攻击方案。对以商业目的为基础数据拦截攻击,人工数据通道和中国的北斗短信数据通道,基本上可以认为是绝对安全的数据通道。特别是北斗短信数据通道,相信没有哪个商业机构敢对它发起攻击,哪怕是拦截攻击。
2)防火墙的建设成本大幅降低,使得真正技术含义上的“微网络”的构建和“零信任”网络安全机制的建立成为可能。
现在的防火墙所采用的检测策略是穷尽法,既进行数据检查时,防火墙是需要排除所有可能的病毒特征后,才能放行被检测数据。但这种策略在工程实施过程中,天然带来了2个安全漏洞:
漏洞1:防火墙对进出防火墙数据进行的数据检测是必须在某一个限定的时间内完成,所以穷尽检测的安全策略的实施需要强大的算力和存储力做支撑。而大算力、大存储力的获得,又需要网络安全业主对其网络安全项目的强力的建设预算的支撑。任何强大的预算其实都无法支撑无尽的算力和存储力的需求。有限的预算就决定了只能以有限的的算力和存储力作为整个网络安全项目建设的基础。这使得任何一个以现在防火墙为核心部件的网络安全项目,在建设之初就是一个有安全漏洞的吞金兽。而随着时间的推移,安全漏洞又会不断发现,再吞大笔的网络安全建设预算,就是必然。对强大算力和存储力的需求,使得防火墙的小型化、微型化缺乏技术基础。所以,前两年开始热炒的“微网络”的安全防御概念,也仅仅停留在业内的技术探讨范畴。
漏洞2:现在的防火墙必然会触碰到网络安全业主的核心敏感数据。这在网络安全项目建设已经成为一个独立产品形态时,对网络安全业主而言,选择可信任的网络安全项目建设团队,成了选择团队技术能力的绝对前置条件。这就使得任何一个网络安全项目的建设,天然就带有“信任”基础。在美国国防创新委员会在其于2019年4月发布的《5G生态系统:对美国国防部的风险与机遇》报告中提出的“零信任”的网络安全概念,天然就排除了“防火墙”(准确的讲是现在的防火墙)这一安全部件的存在。
新防火墙采用的是唯一性数据检查策略。既只有符合唯一的数据检查特征的数据才能够通过新防火墙。这一技术特点使得:1)新防火墙对算力和存储力的需求大幅降低,它可以降低到现在防火墙的万分之一或十万分之一以上。这就使得网络安全业主完全摆脱网络安全项目预算的限制,想在什么地方安装新防火墙就在什么地方安装新防火墙。从而使得两年前开始热炒的“微网络”的安全防御概念,在技术和资金上获得支撑而变为现实。2)新防火墙的建设,天然摆脱了网络安全业主对防火墙建设团队的的“信任”依赖。这在技术上保证了“零信任”网络安全机制的建立。
图8是一种基于移动互联网物的物联网终端的结构示意图。这种结构,适用于表达所有的物联网终端。
物联网是被业内公认的下一代各种热门网络应用的应用池。但令人沮丧的是现有的网络安全技术,完全无法支撑起未来物联网应用对网络安全的预期。因为以现有的网络安全攻击技术,分分钟就可以攻破以现有的网络安全技术构建的任何物联网应用系统。而这样的攻击,不是攻击方在是技术上的“可行”还是“不可行”的问题,而是攻击方在财物报表上的“盈”和“亏”问题。而以现有的网络安全技术的技术基础对未来方案安全技术进行展望,结果依然是令人沮丧。2019 年 6 月 28 日美国参议院审议、通过的《能源基础设施安全法》,就充分说明了这一点。
图9是一种为无人值守的物联网终端提供安全防护的新防火墙结构示意图。其中CPU1及其连接的RAM、移动网通讯模块2就构成了本发明所述的新防火墙。
对网络安全业主而言,有大量的符合本发明所述的技术要求的CPU供他选择。在CPU1上完成的“流程1-2”和“流程2-1”,因没有太高的技术难度和不需要“信任投资”,故这部分的开发人员的支出也大为节省。这就使得图9中的防火墙,BOM表成本极为低廉。稍微有点网络完全需求的物联网应用系统,都可负担。系统投入运行后,业主只要选用不同的移动网络运营商,如SIM1选择A移动运营商,通讯时走数据通道,SIM卡2选用B移动运营商,通讯时走短信通道。这样就可以使得当下所有有效的网络安全攻击手段,统统失效。
对于网络安全的攻击方而言,面对这样的物联网终端以及由本发明所述防火墙构成的物联网应用系统,他们所面临的头号问题,不是攻击技术上行或不行的问题,而是如何确保请攻击行为,在财物报表上是“盈”的问题。
图10是一种为有人值守的物联网终端提供安全防护的新防火墙结构示意图。其中CPU1以及同其连接的RAM、键盘构成了本发明所述的新防火墙。所述新防火墙所需要工作参数,由值班人员通过键盘输入CPU1。
实施例1:
服务器间的防火墙或内网中各个子内网之间的防火墙。
图7结构的新防火墙,就可以构成了服务器之间的防火墙,不论这些服务器之间的连接是通过内网还是通过外网。两个新防火墙之间的五个数据通道,足以满足绝大部分高强度防数据传输被拦截的安全需要。
极低的工程成本(图7结构的防火墙,最低也就是一台3-4千元的电脑的钱),使得在内网进行任意的子内网的分割,成为了可能。以一个千人规模的总公司内网为例,20台图7结构的新防火墙,总预算也不过10万元。而这20台新防火墙足以构成最少三道安全防线,将其核心IT设备,如核心数据的服务器,重要部门、员工的办公电脑,防护的密不透风。而这10万元的预算,很难构建一个满足上千人规模的总公司的安全的网络系统。
网络安全业主在定义穿透图7结构的防火墙的通讯协议时,可采用专利《一种数据包装方法》(专利申请号:2019102326268)所述的方法,对穿透图7结构防火墙的数据进行包装。按所述方法包装的数据,在通过图7中的CPU2、CPU3、CPU4时,可以发现任何现在以及未来通过任何技术手段,刺破通讯协议,向通讯数据中注入的恶意代码。
这一安全特性,符合等宝2.0中关于物联网终端的通讯端口应能够抵御恶意代码的注入攻击的安全要求规范。
对于任何一个商用的网络应用系统,将图7结构中的由CPU4构成的移动网通讯信道,更换为北斗短信信道,则可以抵御所有的以商业目的为最终攻击目的网络安全攻击。
实施例2:
无人值守的物联网应用系统。
由图9所示的物联网终端和图7所示的防火墙,就构成了本发明所述的防火墙保护下的无人值守的物联网应用系统。
在这个系统中,物联网终端侧的防火墙可以采用“xx科技”的“xxx8x8k64x”单片机和最便宜的GSM模块(只要能收发短信即可)构建。整个防火墙的BOM表成本为,单片机3.x元,GSM模块不超过25元。对于一千个物联网终端,且对网络安全有点需求的物联网应用系统而言,不到3万元的新防火墙BOM表成本,完全没有任何预算压力。
注:
1) 为避为人做广告之嫌,以上单片机的部分信息用“x”替代。
2)xxx8x8k64x单片机为51核,其他的技术参数是:64K的Flash程序存储器,8K的片内扩展SRAM,4个标准串口。这些参数,可满足绝大多数物联网终端构建防火墙的需要。
3)其他品牌的、非51核的具有类似技术参数单片机,多如牛毛。对网络安全的业主而言,具有极大的选择空间。
实施例3:
有人值守的物联网应用系统。
由图10所示的物联网终端和图7所示的防火墙,就构成了本发明所述的安全机制保护下的有人值守的物联网应用系统。
在这个系统中,物联网终端侧的防火墙可以采用“xx科技”的“xxx8x8k64x”单片机。整个防火墙的BOM表成本为,单片机3.x元,键盘和显示器不超过25元。对于一千个物联网终端,且对网络安全有相当需求的物联网系统而言,不到3万元的防火墙BOM表成本,完全没有任何预算压力。
本实施例的有人值守的物联网终端,完全符合2019 年 6 月 28 日美国参议院审议通过的《能源基础设施安全法》中所要求的安全防御的技术要求。
实施例4:
网络安全业主在网络安全建设过程中,如何有效规避对防火墙建设人员的“信任”依赖。
在网络安全问题日益严重的今天,任何一个网络安全业主,都面临着两个选择难题,1):在一个网络应用系统中,安排多少网络安全项目的预算。太少,应用系统等于“裸奔”。太多,又没有足够的预算额度支撑。2)在数据为王的今天,网络安全项目的建设过程中,开发团队必然会接触到应用系统的核心敏感数据。这就使得应用系统在建设初期就包含了网络安全建设团队人员信任依赖。
本发明的防火墙设计方法,可以有效的解决网络安全业主,特别是创业初期的网络安全业主,在创业初期面临的预算紧张和对网络安全建设团队的“信任”依赖。
比如,对于一个物联网应用项目的创业团队而言,初期搭建其物联网应用系统时,可以采用图5(预算不到500元)或图6(预算不到2-3千元)结构的防火墙,作为其初期验证系统的防火墙。系统稳定了,且终端数量上去了,可以考虑采用图7(预算4、5千到上万元)结构的防火墙作为图5或图6验证结构的升级替代。企业再发展了,就可以以图7为发展原点,继续升级。所述的升级包括但不限于:用图7结构中CPU1扩展为CPU1-1、CPU1-2、……CPU1-n,对内网进行横向分割;用多个图7结构对内网进行纵向分割。而这种防火墙的升级、迭代,可以使得每一期的防火墙建设团队,永远都只接触到的是,碎片化的防火墙运行机制,从而使得网络安全业主,彻底摆脱了网络安全业主对防火墙建设团队的人员“信任”的依赖。
通过以上4个实施例的演示,相信业内的技术人员,都可以用本专利所述的方法,构建出符合其需求的高安全强度等级、低成本的具有极具性价比优势的防火墙。
Claims (8)
1.一种设计防火墙的方法,其特征在于:所述的设计防火墙的方法分为以下几个设计模块:
设计模块1:设计两个功能模块,所述的两个功能模块分别是:同外网连接的完成数据收/发功能的数据收发模块(模块1),同内网连接的完成数据处理功能的数据处理模块(模块2);
设计模块2:按数据流的传输方向,设计两个数据处理业务流程,所述的两个数据处理业务流程分别是:数据流从外网传入内网的数据输入业务流程(流程1);数据流从内网传输到外网的数据输出业务流程(流程2);
设计模块3:根据安全防护的需要和数据流输入/输出业务流程的需要,设计模块1同模块2之间的数据通道的个数和所采用的数据通讯的技术方案;
设计模块4:根据安全防护的需要和数据流输入/输出业务流程的需要,设计模块1同外网连接的数据通道的个数和所采用的数据通讯的技术方案;
设计模块5:根据安全防护的需要和数据流输入/输出业务流程的需要,设计模块2同内网连接的数据通道的个数和所采用的数据通讯的技术方案。
2.根据权利要求1所述的方法,其特征在于:所述的模块2按其结构的简单/复杂程度分为简单型模块2和复杂型模块2;简单型模块2又分为简单型模块2-1和简单型模块2-2两种简单型模块;所述简单型模块2-1由一个CPU和其独立管理的RAM构成,所述CPU运行在非操作系统环境之下,且有两个的数据通道;所述简单型模块2-2由一个CPU和其独立管理的RAM构成,所述CPU运行在非操作系统环境之下,且最少有三个的数据通道。
3.根据权利要求1-2所述的方法,其特征在于:所述的复杂型模块2以简单型模块2为基础部件,通过如下但不限于如下2种连接方式构成:
方式1:由两个或两个以上的简单型模块2通过串联和/或并联方式构成的简单型模块2矩阵,且矩阵中简单型模块2-2的数据通道,最少有一个数据通道,既不同外网相连也不同内网相连;
方式2:由两个或两个以上的简单型模块2和一台或多台含操作系统的信息终端组成的数据处理终端矩阵;在所述的矩阵中,简单型模块2处于含操作系统的信息终端同外网或内网之间,使得所述矩阵中的所有含操作系统的信息终端,同内网或外网无直接相连的数据通道。
4.根据权利要求1所述的方法,其特征在于:所述的模块1由两个或两个以上分别同外网相连的子模块1构成时,任意两个子模块1之间,在所述方法设计的防火墙范围内,没有任何的直接相连的数据通道。
5.根据权利要求1所述的方法,其特征在于:所述的数据输入业务流程(流程1)由分别分布在模块1和模块2上的两个子业务流程组成:流程1-1:模块1接收外网输入的数据,通过模块1和模块2之间的数据通道将接收的数据传输到模块2;流程1-2:模块2对收到的数据进行处理,处理后的数据,或丢弃或送入内网。
6.根据权利要求1所述的方法,其特征在于:所述的数据输出业务流程(流程2)由分别分布在模块1和模块2上的两个子业务流程组成:流程2-1:模块2接收从内网传来的数据,并对收到的数据进行处理,处理后的数据,或丢弃或通过模块1和模块2之间的数据通道传输到模块1;流程2-2:模块1将所收到的数据送入外网。
7.根据权利要求5-6所述的方法,其特征在于:所述的对收到的数据进行处理,包括但不限于,为安全目的进行的数据的插入、删除、分拆、重组、校验、验证、加密、解密。
8.根据权利要求1-4所述的方法,其特征在于:所述的数据通道包括但不限于并行数据总线和串行数据总线。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110186294.1A CN112839058A (zh) | 2021-02-17 | 2021-02-17 | 一种设计防火墙的方法 |
| PCT/CN2021/086347 WO2022174509A1 (zh) | 2021-02-17 | 2021-04-12 | 一种设计防火墙的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110186294.1A CN112839058A (zh) | 2021-02-17 | 2021-02-17 | 一种设计防火墙的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112839058A true CN112839058A (zh) | 2021-05-25 |
Family
ID=75933639
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110186294.1A Pending CN112839058A (zh) | 2021-02-17 | 2021-02-17 | 一种设计防火墙的方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN112839058A (zh) |
| WO (1) | WO2022174509A1 (zh) |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9282080B2 (en) * | 2013-03-11 | 2016-03-08 | Xerox Corporation | Customer vetted device status communication system and method |
| CN104363221A (zh) * | 2014-11-10 | 2015-02-18 | 青岛微智慧信息有限公司 | 一种网络安全隔离文件传输控制方法 |
| CN107070907A (zh) * | 2017-03-31 | 2017-08-18 | 杭州通悟科技有限公司 | 内外网数据单向传输方法及系统 |
| CN109032281A (zh) * | 2018-08-28 | 2018-12-18 | 西安工业大学 | 一种即插即用无线网络防火墙装置 |
| CN109729105A (zh) * | 2019-03-26 | 2019-05-07 | 黄策 | 一种数据包装方法 |
| CN111510436B (zh) * | 2020-03-27 | 2021-08-10 | 黑龙江省网络空间研究中心 | 网络安全系统 |
-
2021
- 2021-02-17 CN CN202110186294.1A patent/CN112839058A/zh active Pending
- 2021-04-12 WO PCT/CN2021/086347 patent/WO2022174509A1/zh active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022174509A1 (zh) | 2022-08-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Yaacoub et al. | Cyber-physical systems security: Limitations, issues and future trends | |
| Braun et al. | Security and privacy challenges in smart cities | |
| Razzaq et al. | Security issues in the Internet of Things (IoT): A comprehensive study | |
| US11171974B2 (en) | Distributed agent based model for security monitoring and response | |
| Rizvi et al. | Identifying the attack surface for IoT network | |
| Srivastava et al. | XAI for cybersecurity: state of the art, challenges, open issues and future directions | |
| Maesschalck et al. | Don’t get stung, cover your ICS in honey: How do honeypots fit within industrial control system security | |
| Gao et al. | Information security investment when hackers disseminate knowledge | |
| Li et al. | A critical review of cyber-physical security for building automation systems | |
| Srinadh et al. | An analytical study on security and future research of Internet of Things | |
| Yaacoub et al. | Security of federated learning with IoT systems: Issues, limitations, challenges, and solutions | |
| Diwan | An investigation and analysis of cyber security information systems: latest trends and future suggestion | |
| Zahid et al. | A security risk mitigation framework for cyber physical systems | |
| Uyyala | Multilevel Authentication System Using Hierarchical Intrusion Detection Architecture For Online Banking | |
| CN112839058A (zh) | 一种设计防火墙的方法 | |
| CN104734977B (zh) | 影子路由器 | |
| Mack | Cyber security | |
| Alshammari et al. | Deception for cyber adversaries: status, challenges, and perspectives | |
| Rawal et al. | Cybersecurity and Identity Access Management | |
| Lv et al. | Security analysis of online digital goods business based on stochastic game net model | |
| Tuptuk et al. | Crime in the age of the Internet of Things | |
| CN112668014B (zh) | 具有两个键盘的信息终端 | |
| Singh et al. | A hybrid model for cyberspace security | |
| Mammeri | Cryptography: Algorithms, Protocols, and Standards for Computer Security | |
| Liu et al. | AI electronic products information security research |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |