关于深网
深网的企业新闻,资质,联系方式...您都可以在这找到
“在HW(护网)行动中,没有绝对安全的系统,只有尚未被发现的攻击路径。”
每年的“护网行动”都是一场没有硝烟的战争。
作为防守方(蓝队),你是否经历过这样的绝望时刻:
明明部署了顶级的防火墙、全流量的威胁感知,甚至在边界做了严格的 ACL 策略,却在某个深夜突然收到告警——核心内网失陷了。
攻击者是如何进来的?
答案通常是:边界防御被绕过,横向移动发生了。
今天,我们不谈花哨的 AI 检测,也不谈复杂的流量分析,我们只聊一种在实战攻防中被视为 “作弊级” 的防御手段——网闸(GAP)与光闸(FGAP)。
一、 HW 实战复盘:防火墙的“阿喀琉斯之踵”
让我们复盘一次典型的 HW 攻击路径:
攻击方(红队)视角:
1、信息收集: 发现目标单位对外发布的 Web 服务器存在 Struts2 远程代码执行漏洞(0 day)。
2、撕开裂口: 利用漏洞植入 Webshell,拿下 Web 服务器权限。
3、横向移动: 以 Web 服务器为跳板,扫描内网。由于内网防火墙信任来自 DMZ 区的流量,红队顺利进入核心数据库区。
防守方(蓝队)困境:
1、防火墙失效: 防火墙是基于规则的。一旦攻击者进入了内网边界,防火墙就成了“自己人”,不再拦截。
2、VPN 风险: 很多单位 VPN 账号泄露或被爆破,红队直接接入内网。
3、供应链攻击: 红队攻陷了运维人员的笔记本(属于内网可信设备),直接绕过所有边界防御。
核心痛点:
只要内网与互联网、办公网与运维网之间存在 TCP/IP 逻辑连通,红队就有机会“顺藤摸瓜”。
二、 物理隔离:让攻击流量“断流”
在 HW 行动中,最高明的防守不是“封堵”,而是 “断路”。这就是网闸和光闸的战略价值。
1. 网闸(GAP):切断协议的“咽喉”
在 HW 场景中,我们通常会在 互联网接入区 与 核心内网 之间部署网闸。
原理: 网闸采用 “2+1”架构。当红队攻陷外网服务器时,他们面对的不是一台路由器或防火墙,而是一堵 “协议墙”。
实战效果: 红队发出的任何 TCP 握手包、ICMP 探测包,在到达网闸外端机后,会被彻底剥离。由于没有 TCP/IP 协议栈,红队无法进行端口扫描,也无法建立会话。他们就像站在玻璃门外,能看到里面的东西,却怎么也打不开门。
2. 光闸(FGAP):终结“回连”的噩梦
在更高强度的对抗中,红队擅长使用 “无文件攻击” 和 “反弹 Shell”。
痛点: 即使内网主机中毒,木马程序也会尝试向外发起连接(回连),建立 C2(Command & Control)通道。
光闸的降维打击: 光闸利用 单向光纤传输。
如果是 “入网” 场景:光纤只允许外网数据传入,内网无法发出任何 ACK 包。
如果是 “出网” 场景:内网数据可以出去,但外网的控制指令进不来。
HW 战果: 在去年的国家级护网行动中,某能源集团部署光闸后,即便红队通过钓鱼邮件攻陷了办公网电脑,由于光闸的物理阻断,木马始终无法回连,最终在隔离区“饿死”。
三、 红蓝对抗:为什么红队最怕“物理隔离”?
在 HW 圈子里,红队流传着一句话:“不怕WAF,不怕IPS,就怕对面上了闸。”
攻击手段 | 防火墙/IPS 防御 | 网闸/光闸 防御 |
0 day 漏洞利用 | 规则库未更新则失效 | 有效。不管漏洞多新,没有通路就无法利用。 |
端口扫描 | 可能被欺骗或绕过 | 无效。网闸没有开放端口,扫描结果为空。 |
ARP 欺骗/中间人 | 较难防御 | 天然免疫。二层协议被终结。 |
DDoS 攻击 | 带宽耗尽即瘫痪 | 清洗后摆渡。仅合法流量通过,攻击流量被丢弃。 |
APT 潜伏 | 难以发现长期潜伏 | 物理阻断。无法建立持久化连接。 |
结论: 逻辑安全设备是在 “打仗”,而物理隔离设备是直接 “拆桥”。
四、 备战 HW:如何用网闸构建“铁桶阵”?
如果您是今年的防守单位,建议参考以下 “三区三闸” 防御架构:
1、边界区(互联网 ↔ 边界区):部署 抗 D 与防火墙。这是第一道防线,主要挡流量。
2、隔离区(边界区 ↔ 核心内网):部署 网闸(GAP)。这是最关键的一道门。所有对外服务的数据,必须经过“协议剥离”才能进入内网。
3、运维区(办公网 ↔ 生产网):部署 光闸(FGAP)。确保运维人员即使在办公网中毒,也无法通过跳板机控制生产服务器。
五、 我们的优势:HW 赛场上的“定海神针”
作为多次参与国家级护网行动的装备提供商,我们的产品专为实战打造:
毫秒级切换:独创的 “多通道并行摆渡” 技术,在确保物理断开的同时,不影响业务连续性,红队测不出延迟波动。
隐身模式:设备本身无 IP 地址、无 MAC 地址,红队扫不到设备,自然无从下手。
攻击溯源:虽不连网,但具备强大的日志审计能力。一旦外端机检测到攻击,立即记录攻击者特征并联动封锁,为蓝队提供反击弹药。
六、 结语:不打无准备之仗
HW 行动不仅是技术的比拼,更是底线的防守。
当红队祭出 0 day 大杀器时,不要让防火墙孤军奋战。
给您的核心网络上一把 “物理锁”,让攻击流量止于门外。
江苏深网科技是一家专门从事跨域安全产品开发、销售,提供网络攻防技术服务的网络安全公司,并成立自主品牌“深铠威”。公司主营业务面向工业互联网、物联网等新基建大背景,重点研发、销售跨域安全产品和网络安全工具软件。公司核心团队来自于军队科研院所和国内知名高科技企业,依托核心团队多年的网络安全攻防技术研究,目前已推出网闸、光闸、数据交换平台等跨域交换安全产品以及IPSec VPN和SSL VPN安全网关产品,并拥有了细分领域领先的网络攻防技术研发能力,目前已广泛应用于政府、金融、能源、医疗、教育、交通、传媒等行业。