《网络隔离及网闸50》由会员分享,可在线阅读,更多相关《网络隔离及网闸50(74页珍藏版)》请在金锄头文库上搜索。
1、第十章网络隔离与网闸10.1 网络隔离技术10.2 网闸10.3 典型网闸产品10.1 网络隔离技术n 面对新型网络攻击手段的出现和高安全度网络对安全的特殊需求,全新安全防护防范理念的网络安全技术“网络隔离技术”应运而生。网络隔离技术的目标是确保把有害的攻击隔离,在可信网络之外和保证可信网络内部信息不外泄的前提下,完成网间数据的安全交换。网络隔离技术是在原有安全技术的基础上发展起来的,它弥补了原有安全技术的不足,突出了自己的优势。 n网络隔离,英文名为NetworkIsolation,主要是指把两个或两个以上可路由的网络(如:TCP/IP)通过不可路由的协议(如:IPX/SPX、NetBEUI
2、等)进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议,所以通常也叫协议隔离(ProtocolIsolation)。10.1.1网络隔离技术的概念来源n1.网络隔离技术的概念来源n网络隔离的概念源于人工烤盘、Sneakernet和轮渡。n(1)人工烤盘 人工拷盘是已知的最早的网络隔离技术。最早的计算机是单机的,不同的计算机还没有联网。没有联网的两个计算机之间要交换数据,最简单的办法是人工拷盘。要特别强调,在人工拷盘的任何时刻,两个计算机之间是完全断开的,没有联网的。在拷盘的时候,当计算机操作人员在一台计算机里拷盘时,与另外一台计算机是完全断开的;当计算机操作人员把磁盘拿出的时候,与两
3、台计算机都是完全断开的;当计算机操作人员把文件数据复制到目的计算机时,与原来的计算机是完全断开的。在任何时候,两台交换文件数据的计算机,总是断开的。n(2)Sneakernet(人力网)n人工拷盘利用软件来实现文件数据交换,但并不是只有软盘才能交换文件数据。除软盘外、移动硬盘、可擦写光盘以及U盘都可以实现文件数据交换。人在两台计算机或两个网络之间使用软盘、移动硬盘等可以移动的存储介质来交换文件或数据,这样两个隔离的计算机或网络与人一起便构成了一个逻辑上的虚拟网络(3)轮渡n网络隔离有多种方式,其中最重要的一种方式是网闸。网闸的概念主要是源于轮渡。n对轮渡的工作机理的借鉴,大大地推动了网络隔离的
4、研究发展,直接导致网闸技术的出现。“下车改乘轮船”的现象启发人们研究协议的剥离技术,“下船改成汽车”的现象启发人们研究协议的重建技术,“轮船载人渡河”启发人们研究文件“摆渡”,最后实现了在两网断开的情况下可以进行数据交换。从两台主机在断开的情况下可以实现数据交换,到两个网络之间在断开的情况下也可以实现数据交换。2.网络隔离技术的发展历史n隔离概念是在为了保护高安全度网络环境的情况下产生的;隔离产品的大量出现,也是经历了五代隔离技术不断的实践和理论相结合后得来的。第一代隔离技术完全的隔离。此方法使得网络处于信息孤岛状态,做到了完全的物理隔离,需要至少两套网络和系统,更重要的是信息交流的不便和成本
5、的提高,这样给维护和使用带来了极大的不便。第二代隔离技术硬件卡隔离。在客户端增加一块硬件卡,客户端硬盘或其他存储设备首先连接到该卡,然后再转接到主板上,通过该卡能控制客户端硬盘或其他存储设备。而在选择不同的硬盘时,同时选择了该卡上不同的网络接口,连接到不同的网络。但是,这种隔离产品有的仍然需要网络布线为双网线结构,产品存在着较大的安全隐患。n第三代隔离技术数据转播隔离。利用转播系统分时复制文件的途径来实现隔离,切换时间非常之久,甚至需要手工完成,不仅明显地减缓了访问速度,更不支持常见的网络应用,失去了网络存在的意义。n 第四代隔离技术空气开关隔离。它是通过使用单刀双掷开关,使得内外部网络分时访
6、问临时缓存器来完成数据交换的,但在安全和性能上存在有许多问题。n 第五代隔离技术安全通道隔离。此技术通过专用通信硬件和专有安全协议等安全机制,来实现内外部网络的隔离和数据交换,不仅解决了以前隔离技术存在的问题,并有效地把内外部网络隔离开来,而且高效地实现了内外网数据的安全交换,透明支持多种网络应用,成为当前隔离技术的发展方向。 10.1.2网络隔离技术的原理n1.网络隔离要解决的问题n 网络隔离的指导思想与防火墙有很大的不同,体现在防火墙的思路是在保障互联互通的前提下,尽可能安全,而网络隔离的思路是在必须保证安全的前提下,尽可能互联互通,如果不安全则断开。n 网络隔离技术就是要解决目前网络安全
7、存在的最根本问题,包括对操作系统的依赖,因为操作系统有漏洞;也包括对TCP/IP协议的依赖,而TCP/IP协议同样有漏洞。解决通信连接的问题,当内网和外网直接连接时,存在基于通信的攻击和应用协议的漏洞,因为命令和指令可能是非法的。2.网络隔离的技术原理n互联网是基于TCP/IP来实现的,而所有的攻击都可以归纳为基于对TCP/IP的OSI数据通信模型的某一层或多层的攻击,因此第一个最直接的想法就是断开TCP/IP的OSI数据模型的所有层,就可以消除目前TCP/IP网络存在的攻击.这就是网络隔离的技术原理。 n一、网络物理层的断开n 物理层是可以被攻击的。尤其物理层的逻辑表示是可以被攻击的。一个物
8、理层上的断开,应该是“不能基于一个物理层的连接,来完成一个OSI模型中的数据链路的建立”。 n二、网络数据链路层的断开n数据链路是在物理层上建立一个可以进行数据通信的数据链路,是一个通信协议的概念。只要存在通信协议就可以被攻击。数据链路是可以被攻击的。n数据链路的断开意味着什么?n首先,必须消除所有建立通信链路的控制信号,因为这些信号是可以被攻击的。其次,每一次的数据传输,是否能够到达或正确性方面是没有保证的。n再次,不能建立一个会话机制。因此,用技术术语来定义,数据链路的断开是指上一次数据传输与下一次数据传输的相关性的概率为零。n三、网络层的断开 网络层的断开,就是剥离所有的IP协议。因为剥
9、离了IP,就不会基于IP包来暴露内部的网络结构,就没有真假IP地址之说,也没有IP碎片,就消除了所有基于IP协议的攻击。n四、网络传输层的断开 传输层的断开,就是剥离TCP或UDP协议。因此,消除了基于TCP或UDP的攻击。n五、网络会话层的断开 会话层的断开实际上是断开一个应用会话的连接,消除了交互式的应用会话。n六、网络表现层的断开 表现层是用于保证网络的跨平台应用。剥离了表现层就消除了跨平台的应用。 n七、网络应用层的断开 应用层的断开,就是消除或剥离了所有的应用协议。n 网络隔离就是指全部七层的断开。每一层的断开,尽管降低了其他层被攻击的概率,但并没有从理论上排除其他层的攻击。有一些例
10、子表明,断开了某一层,照样存在对其他层的攻击。隔离网闸必须对OSI模型的各层全面进行断开,在断开的基础上,实现文件或数据的“拷盘”。 3.网络隔离的技术路线n目前实施网络隔离的技术路线由三种:网络开关、实时交换和单向连接。n(1)网络开关是比较容易理解的一种。在一个系统里安装两套虚拟系统和一个数据系统,数据被写入到一个虚拟系统,然后交换到数据系统,在交换到另一个虚拟系统。这种系统只适合于简单的文件交换,没有复杂的应用。n(2)实时交换相当于在两个系统之间,共用一个交换设备,交换设备连接到网络A,得到数据,然后交换到网络B。这种系统适合于实时应用系统。n(3)单向连接,早期指数据向一个方向移动,
11、一般指从安全性高的网络向安全性低的网络移动。这种系统只适合于数据单向迁移。4.基于网络隔离的数据交换原理n网络隔离的技术架构重点在隔离上,实现隔离是关键。以下的组图可以给我们一个清晰的概念,在数据交换时网络隔离是如何实现的。n图1,外网是安全性不高的互联网,内网是安全性很高的内部网络。正常情况下,隔离设备的外部主机和外网相连,隔离设备的内部主机和内网相连,外网和内网是完全断开的。隔离设备是一个独立的固态存储介质和一个单纯的调度控制电路。n 当外网需要有数据送达内网的时候,以电子邮件为例,外部主机先接受数据,并发起对固态存储介质的非TCP/IP协议的数据连接,外部主机将所有的协议剥离,将原始的数
12、据写入固态存储介质。如图2所示。根据不同的应用,可能有必要对数据进行完整性和安全性检查,如防病毒和恶意代码等。n一旦数据全部写入存储介质,立即中断与外部主机的连接。恢复到图1的状态。转而发起对内部主机的非TCP/IP协议的数据连接。固态存储介质将数据发送给内部主机。内部主机收到数据后,立即进行TCP/IP的封装和应用协议的封装,并发送给内网。见图3所示。这个时候内网电子邮件系统就收到了外网的电子邮件系统通过网络隔离设备转发的电子邮件。 n 在控制台收到完成数据交换任务的信号之后,立即切断与内部主机的直接连接。恢复到网络断开的初始状态。即图1。n 如果这时,内网有电子邮件要发出,内部主机先接受内
13、部的数据后,并建立与固态存储介质之间的非TCP/IP协议的数据连接。内部主机剥离所有的TCP/IP协议和应用协议,得到原始的数据,将数据写入存储介质。见图4所示。对其进行防病毒处理、防泄密和防恶意代码检查。然后中断与内部主机的直接连接。n一旦数据全部写入存储介质,立即中断与内部主机的连接。恢复到图1的状态。转而发起对外部主机的非TCP/IP协议的数据连接。网络隔离将存储介质内的数据发送给外部主机。见图5。外部主机收到数据后,立即进行TCP/IP的封装和应用协议的封装,并发送给外网。控制台收到处理完毕的信息后,立即中断隔离设备与外网的连接,恢复到完全隔离状态。见图1所示。 每一次数据交换,隔离设
14、备经历了数据的接收,存储和转发三个过程。由于这些规则都是在内存和内核里完成的,因此速度上有保证,可以达到100%的总线处理能力。n 网络隔离的一个特征,就是内网与外网永不连接。内部主机和外部主机在同一时间最多只有一个同固态存储介质建立非TCP/IP协议的数据连接。其数据传输机制是存储和转发。网络隔离的好处是明显的,即使外网在最坏的情况下,内网不会有任何破坏。修复外网系统也非常容易。n 以上这种基于两个单边主机(内部主机和外部主机)之间的数据交换的网络隔离技术,被称作网闸。 10.1.3网络隔离技术要点与发展方向n1.网络隔离技术需具有的安全要点n(1)要具有高度的自身安全性。 隔离产品要保证自
15、身具有高度的安全性,至少在理论和实践上要比防火墙高一个安全级别。从技术实现上,除了和防火墙一样对操作系统进行加固优化或采用安全操作系统外,关键在于要把外网接口和内网接口从一套操作系统中分离出来。也就是说至少要由两套主机系统组成,一套控制外网接口,另一套控制内网接口,然后在两套主机系统之间通过不可路由的协议进行数据交换。n(2)要确保网络之间是隔离的。 保证网间隔离的关键是网络包不可路由到对方网络,无论中间采用了什么转换方法,只要最终使得一方的网络包能够进入到对方的网络中,都无法称之为隔离,即达不到隔离的效果。n(3)要保证网间交换的只是应用数据。 既然要达到网络隔离,就必须做到彻底防范基于网络
16、协议的攻击,即不能够让网络层的攻击包到达要保护的网络中,所以就必须进行协议分析,完成应用层数据的提取,然后进行数据交换,这样就把诸如TearDrop、Land、Smurf和SYN Flood等网络攻击包,彻底地阻挡在了可信网络之外,从而明显地增强了可信网络的安全性。n(4)要对网间的访问进行严格的控制和检查。 作为一套适用于高安全度网络的安全设备,要确保每次数据交换都是可信的和可控制的,严格防止非法通道的出现,以确保信息数据的安全和访问的可审计性。可采用基于会话的认证技术和内容分析与控制引擎等技术来实现。n(5)要在坚持隔离的前提下保证网络畅通和应用透明。 隔离产品会部署在多种多样的复杂网络环
17、境中,并且往往是数据交换的关键点,因此,产品要具有很高的处理性能。2.网络隔离技术未来的发展方向n 第五代隔离技术的出现,是在对市场上网络隔离产品和高安全度网需求的详细分析情况下产生的,它不仅很好地解决了第三代和第四代很难解决的速度瓶颈问题,并且先进的安全理念和设计思路,明显地提升了产品的安全功能,是一种创新的隔离防护手段。n 第五代隔离技术的实现原理是通过专用通信设备、专有安全协议和加密验证机制及应用层数据提取和鉴别认证技术,进行不同安全级别网络之间的数据交换,彻底阻断了网络间的直接TCP/IP连接,同时对网间通信的双方、内容、过程施以严格的身份认证、内容过滤、安全审计等多种安全防护机制,从
18、而保证了网间数据交换的安全、可控,杜绝了由于操作系统和网络协议自身漏洞带来的安全风险。 10.2 网闸n网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。网闸是一种网络隔离技术,它所连接的两个独立主机系统之间不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,是“黑客”无法入侵、无法攻击、无法破坏、实现真正的安全。10.2.1网闸技术的发展n网闸,又称安全隔离与信息交换系统,是新一代高安全度的企业级信
19、息安全防护设备,不仅使得信息网络的抗攻击能力大大增强,而且有效地防范了信息外泄事件的发生。n第一代网闸的技术原理是利用单刀双掷开关,使得内外网的处理单元分时存取共享存储设备来完成数据交换。n第二代网闸是在吸收了第一代网闸的优点的基础上,创造性地利用全新理念的专用交换通道(PET)技术,在不降低安全性的前提下,能够完成内外网之间高速的数据交换。10.2.2网闸工作原理n网闸技术的基本原理是:切断网络之间的通用协议连接;将数据包进行分解或重组为静态数据;对静态数据进行安全审查,包括网络协议检查和代码扫描等;确认后的安全数据流如内部单元;内部用户通过严格的身份验证机制获取所需数据(如下图)。n网闸一
20、般由三部分构成:内网处理单元、外网处理单元和专用隔离硬件交换单元。n网闸技术可以广泛应用于银行、政府等部门的内部网络访问外网,也可用于内部网的不同信任域间的信息交互。病毒过滤病毒过滤内核防护内核防护访问控制访问控制协议转换协议转换安全审计安全审计身份验证身份验证病毒过滤病毒过滤内核防护内核防护协议转换协议转换内部网内部网专用隔离硬件专用隔离硬件外部网外部网内网处内网处理单元理单元外网处外网处理单元理单元10.2.3网闸技术的实现n1.物理层和数据链路层的断开技术n目前国际上网络隔离的断开技术有两大类:n 一是动态断开技术,如基于SCSI的开关技术和基于内存总线的开关技术。动态断开技术主要是通过
21、开关技术来实现的。一般由两个开关和一个固态存储介质组成。既然是开关,那么什么时候开或什么时候关,都由独立的控制逻辑控制。n 另一类是固定断开技术,如单向传输技术。n 值得向用户强调的是,采用以太网线直接连接两个主机,无论其原理多么像隔离,都不是隔离,因为以太协议本身是可以被攻击的。 动态断开技术不可信外网不可信外网可信内网可信内网存储介质存储介质外网机外网机内网机内网机K1K2逻辑条件:K1=K2*K3通过两个开关的不能同时闭合来保证通过两个开关的不能同时闭合来保证OSIOSI模型物理层的断开,可模型物理层的断开,可能的三种情况是:能的三种情况是:K1K1接通,接通,K2K2断开;断开;K1K
22、1断开,断开,K2K2接通;接通;K1K1断开,断开,K2K2断开。断开。网络隔离的断开原理n 网闸OSI模型数据链路层的断开,是网闸最模糊却是最重要的环节。从目前的情况来看,市场出现的网闸有很多未能实现对OSI的第二层即数据链路层的断开。n 要断开OSI模型数据链路层,必须消除所有的通信协议。那些所谓的私有协议、协议转换和专用协议等措施,都没有断开数据链路层,只是将通信协议转换成了私有通信协议,或称为安全通信协议,但不是数据链路的断开。n(1)基于基于SCSISCSI的网闸技术的网闸技术n 基于SCSI的网闸技术是目前最主流的网闸技术。SCSI是一个外设读写协议,而不是一个通信协议。外设协议
23、是一个主从的单向协议,外设设备仅仅是一个介质目标,不具备任何逻辑执行能力,主机写入数据,但并不知道是否正确。需要读出写入的数据,通过比较来确认写入的数据是否正确。因此,SCSI本身已经断开了OSI模型中的数据链路,没有通信协议。但SCSI本身有一套外设读写机制,这些读写机制保证读写数据的正确性和可靠性。 n(2 2)基于总线的网闸技术)基于总线的网闸技术n 基于总线的网闸技术也是目前成熟的技术之一。这种技术采用一种叫双端口的静态存储器(Dual Port SRAM),配合基于独立的CPLD的控制电路,以实现在两个端口上的开关,双端口各自通过开关连接到独立的计算机主机上。CPLD作为独立的控制电
24、路,确保双端口静态存储器的每一个端口上存在一个开关,两个开关不能同时闭合。当交换的内容是文件数据时,它确实给出了一种隔离断开的实现。当交换的内容是IP包,则不是。 因为双端口RAM可以进行IP包的存储和转发,这是一种结构缺陷。 固定断开技术n固定断开技术采用的是单向传输,单向传输不需要开关。比如说,电视台发射的电视信号,单向传输给电视机。电视机可以接收电视信号,但无法对电视台进行攻击。n单向传输也存在必须从物理层和数据链路层进行断开的问题。n如果硬件上是双向的,仅从数据链路传输的方向上来控制,还是可能被攻击,因此不是严格意义上的网络隔离。硬件上的单向,以以太介质为例,发送方的接收线路必须被剪断
25、,接收方的发送线路必须被剪断。 n单向传输,从本质上改变了通信的概念,不再是双发交互通信,而变成了单向广播。广播方有主控权,接收者完全是被动的。2.TCP/IP连接和应用连接的断开nTCP/IP连接的断开是OSI模型的第三层和第四层的断开,应用连接的断开是OSI模型的第五层至第七层的断开。n网闸的TCP/IP连接的断开,是把一个TCP/IP连接断开为两个TCP/IP连接,并且断开后的两个TCP/IP连接不得共享同一个主机。也就是说,内网某主机与网闸的内部主机之间是一个TCP/IP连接,网闸的外部主机与外网某主机是一个TCP/IP连接。n应用层的断开也是同样道理,是把一个应用连接断开为两个应用连
26、接,并且断开后的两个应用连接不得共享同一台主机。这里主要对VLAN和网络隔离这两种方案进行详细介绍,并通过具体的产品和案例向大家介绍具体隔离方案的实例。学习内容如下:u通过子网掩码划分子网的原理uVLAN的作用及VLAN子网配置方法u网络隔离技术的分类和发展历程u物理隔离原理u物理隔离卡的安装和应用u网络线路选择器的连接与使用u物理隔离网闸的隔离原理和方案应用企业网络安全隔离技术通过子网掩码划分子网的方法是要改变传统的子网掩码格式,从主机位的高位开始,把主机位的一部分划分到网络ID部分,实际上就是子网位。这使得IP地址的结构由原来的两级变为3级:网络ID、子网ID和主机ID。也就是通常所说的变
27、长子网掩码(VLSM)技术原理。通过子网掩码划分子网的意义体现在如下几个方面:减少数据广播带来的负面影响;充分利用现有IP地址资源;保护各独立子网;便于维护。子网划分的不足体现在:网络配置不灵活,有时还存在IP资源浪费。通过子网掩码划分子网概述通过子网掩码划分子网概述VLAN子网划分方法较前面介绍的通过子网掩码进行子网划分的方法来说更加灵活,功能更强。但它需要专门的设备,那就是支持VLAN技术的交换机。VLAN简介VLAN(VirtualLocalAreaNetwork,虚拟局域网)是对连接到的第二层/三层交换机端口的网络用户进行逻辑分段。VLAN划分的意义在于:可独立划分;不会减少IP地址资
28、源;划分方式灵活。典型VLAN网络结构如下图所示。VLAN子网的划分常见的主要有以下5种VLAN子网划分方式:u按端口划分:这种划分方式就是将交换机中的某些端口定义为一个单独的区域,从而形成一个VLAN子网。u按MAC地址划分VLAN:就是把一组属于设定MAC地址的计算机划分为一个VLAN组。能很好地独立于网络层上的各种应用。u基于网络层划分VLAN:有两种方案:一种是基于通信协议(如果网络中存在多协议)来划分;另一种是基于网络层地址(最常见的是TCP/IP中的子网段地址)来划分。u基于IP广播组划分:可将任何属于同一IP广播组的计算机划分到同一个VLAN。u基于策略的VLAN:根据一定的策略
29、来划分VLAN是最灵活的VLAN划分方式,能够把相关的用户连成一体。VLAN的划分方式VLAN的用途主要体现在以下3个方面:u控制广播风暴:在VLAN中,网络被逻辑地分割成广播域,由VLAN成员所发送的信息帧或数据包仅在VLAN内的成员之间传送,而不是向网上的所有工作站发送。这样可减少主干网的流量,提高网络速度。u增强网络的安全性:采用VLAN提供的安全机制,可以限制特定用户的访问,控制广播组的大小和位置,甚至锁定网络成员的MAC地址,这样,就限制了未经安全许可的用户和网络成员对网络的使用。u增强网络管理:采用VLAN技术,使用VLAN管理程序可对整个网络进行集中管理,能更容易地实现网络的管理
30、性。uVLAN的主要应用u组建局域网u组建校园网u设置共享资源VLAN的主要用途在一个快速以太网中,典型的VLAN配置需要进行以下几个步骤。u设置VTP域。u配置聚合链路(Trunk)协议。u创建VLAN组。u配置三层交换机端口。三层交换机上的VLAN配置网络隔离(NetworkIsolation)技术是网络安全技术的一个大门类。随着近几年隔离技术的飞速发展,目前的隔离技术已比较完善,涵盖了几乎所有级别用户的网络隔离需求。网络隔离技术基础网络中的“隔离”一词与现实生活中的“隔离”存在某种认识上的区别,从传统意义来理解“隔离”使两个网络真正分开,但这样来谈网络安全是没有任何意义的。事实上,网络安
31、全中的“隔离”后的两个网络并非完全没有联系,还是需要有正常的应用层数据交换的。目前可以采用的隔离方法主要有以下三类:u物理隔离:通过一定软、硬件方法使得访问内、外网的设备、线路、存储均相对独立。u网络隔离:利用协议转换进行网间的数据交换。u安全隔离:利用专用设备实现仅在应用层进行数据交换。网络隔离概述2.网络隔离技术的发展历程到目前为止,整个网络隔离技术的发展经历了以下五代:u第一代隔离技术完全的隔离u第二代隔离技术硬件卡隔离u第三代隔离技术网络协议隔离u第四代隔离技术空气开关网闸隔离u第五代隔离技术安全网闸隔离3.网间不同层次的主安全威胁网间的安全威胁主要来自来以下三个层次:u物理层:电气攻
32、击、线路侦听、线路破坏等。u网络层:拒绝服务攻击、地址欺骗、碎片攻击等。u应用层:恶意代码、垃圾邮件等。无论采取哪种网络隔离方案,在具体应用中至少要在安全和控制中做到满足如下需求:u具有高度的自身安全性u确保网络之间是隔离的u保证网间交换的只是应用数据u对网间的访问进行严格的控制和检查u在坚持隔离的前提下保证网络畅通和应用透明。网络隔离的安全控制要点和发展方向物理隔离概述尽管正在广泛地使各种复杂的软件技术,如防火墙、代理服务器、侵袭探测器、通道控制机制,但是由于这些技术都是基于软件的保护,是一种逻辑机制,这对于逻辑实体(黑客或内部用户)而言是可能被操纵的,即由于这些技术的极端复杂性与有限性,这
33、些在线分析技术无法提供某些组织(如军队、军工、政府、金融、研究院、电信以及企业)提出的高度数据安全要求。物理学隔离技术就能较好地解决这些问题。物理隔离主要应用在以下行业:各级政府机关和涉密单位;金融、证券、税务、海关等行业部门。物理隔离物理隔离技术的指导思想与防火墙有很大的不同:防火墙的思路是在保障互连互通的前提下,尽可能安全,而物理隔离的思路是在保证必须安全的前提下,尽可能互连互通。虽然物理隔离技术存在多种隔离方式,但是它们的隔离原理却基本上一样。主要物理隔离产品物理安全隔离产品常见的有物理隔离卡、物理隔离集线器和物理隔离网闸3大类。物理隔离卡(也称“网络安全隔离卡”,NETSECURITY
34、SEPARATECARD)是物理隔离的低级实现形式,是以物理方式将一台PC虚拟为两个电脑,实现工作站的双重状态。网络结构如下面左图所示。物理隔离原理n2物理隔离集线器n物理隔离集线器(也称“网络线路选择器”和“网络安全集线器”等,NETSECURITYSEPARATEHUB)是一种多路开关切换设备,它与物理隔离卡配合使用。n网络结构如上面右图所示。3物理隔离网闸n物理隔离网闸(也称“网络安全隔离网闸”,NETSECURITYSEPARATEGAP),是利用双主机形式,从物理上来隔离阻断潜在攻击的连接。其中包括一系列的阻断特征,如没有通信连接,没有命令,没有协议,没有TCP/IP连接,没有应用连
35、接,没有包转发,只有文件“摆渡”,对固态介质只有读和写两个命令。根据具体的网络环境和所使用的网络隔离设备可以有如下几种应用方案:u主机隔离解决方案该方案属于终端隔离解决方案,所采用的隔离产品是物理隔离卡产品。u通道隔离方案该方案属于信道隔离方案,所采用的安全隔离产品是网络线路选择器,当然物理隔离卡也是必不可少的。u主机-信道双网隔离解决方案该方案属于混合隔离模式,所采用的隔离设备也有物理隔离卡和网络线路选择器。u主机-信道多网隔离解决方案该方案与上一方案其实差不多,只不过此处隔离的不仅是两个网络。所采用的设备同样有物理隔离卡、网络线路选择器和网闸三类。物理隔离方案物理隔离卡技术是整个网络物理隔
36、离技术一个重要分支,也是目前应用最广的一种网络隔离技术。目前最常见的物理隔离产品就是各种各样的隔离卡、网络线路选择器和网闸等。认识物理隔离卡1物理隔离卡结构目前的物理隔离卡产品非常多样,不同品牌或型号的隔离卡产品,与客户端硬盘存储设备的连接控制方式可能不同。有的是采用电源控制法,就是在隔离卡上提供两个硬盘电源接口,把硬盘的电源连接在隔离卡的不同接口上,如下页上图所示;而有些采取的是采用电源+数据线控制法,就是在隔离卡是同时提供两个硬盘电源和数据电缆接口,把硬盘的电源和数据电缆连接在隔离卡的不同电源和数据电缆接口上,如下页下图所示。从这两个图中可以看出,在隔离卡上还提供一个用于与主板硬盘接口连接
37、的硬盘数据电缆接口和一个电源接口。物理隔离卡产品及应用有的隔离卡采用了PCI结构,直接插到主板的PCI插槽中,所以无须另外提供电源,也就没有这样一个电源接口了,如下图所示。2物理隔离卡方案的主要特性u转换比较便u数据安全交u有效安全控u技术应用广泛目前主流的隔离模式有以下几种:u双网/双机模式u双硬盘/双网线模式u双硬盘/单网线模式u单硬盘/双网线模式主要物理隔离模式图文网络安全物理隔离器目前主要有四种型号产品:u隔离器I型隔离器I型(如下页左图所示)是一种通过外置物理开关来控制双硬盘电源及双网切换的隔离器,通常用于双网线布线(即内网、外网分开布线)网络。u隔离器型隔离器型(如下面右图所示)是
38、一种通过外置物理开关来控制双硬盘电源及双网切换的物理隔离器。它具备型隔离器的全部功能,同时增加了单、双网线的跳线设置,单、双网线环境通用,通过隔离卡上的跳线区分单、双网线,使用更灵活、更方便。u隔离器型图文网络安全物理隔离器隔离器型(如下页左图所示)是一种通过外置物理开关来控制双硬盘电源、IDE数据线及双网切换的物理隔离器。它具备型隔离器的全部功能,同时增加了单、双网线的跳线设置及对硬盘IDE线的控制及切换,兼容性更好,单、双网线环境通用,通过隔离卡上的跳线区分单、双网线,使用更灵活、更方便。u隔离器IV型隔离器IV型(如下面右图所示)是一种通过外置物理开关来控制双硬盘电源及双网切换的物理隔离
39、器,单、双网线环境通用。深圳市利谱信息技术有限公司的利普牌网络隔离产品非常齐全,主要有以下几个系列的产品。1.单硬盘系列利普公司的单硬盘物理隔离卡有两个主要的系列:TP-60X和TP-608,前者均采用纯件分区,而后者均采用软件分区。在TP-60X系列中又有以下几个型号的产品:uTP-601隔离卡:单硬盘工作,适用于内外网时分开布线(双布线)的用户。使用鼠标在屏幕上软件切换。uTP-602隔离卡:单硬盘工作,适用于单机拨号方式的用户。适用于ISDN、ADSL、Modem等拨号上网方式。使用鼠标在屏幕上软件切换。uTP-603隔离卡:单硬盘工作,适用于内外网共用一条网线(单布线)的用户,须配合网
40、络线路选择器使用。使用鼠标在屏幕上软件切换。uTP-60XH隔离卡:为半高单硬盘隔离卡。利普隔离卡产品在TP-608系列隔离卡系列中又有如下几个型号产品:uTP-608A隔离卡:单硬盘工作,适用于内外网时分开布线(双布线)的用户。它使用鼠标在屏幕上软件切换。uTP-608B隔离卡:单硬盘工作,适用于内外网共用一条网线(单布线)的用户,须配合网络线路选择器使用。使用鼠标在屏幕上软件切换。uTP-608H隔离卡:为半高单硬盘隔离卡。2.双硬盘系列利普公司的单硬盘物理隔离卡有两个主要的系列:TP-90X和TP-80X在TP90X系列双硬盘隔离卡系列中又有以下几个型号的产品:uTP-901隔离卡:双硬
41、盘工作,适用于内外网时分开布线(双布线)的用户。使用鼠标在屏幕上软件切换。TP-902隔离卡:双硬盘工作,适用于单机拨号方式的用户。适用于ISDN、ADSL、Modem等拨号上网方式。使用鼠标在屏幕上软件切换。uTP-903隔离卡:双硬盘工作,适用于内外网共用一条网线(单布线)的用户,须配合网络线路选择器使用。使用鼠标在屏幕上软件切换。uTP-90X隔离卡:采用切换硬盘电源方式。uTP-90XD隔离卡:采用切换硬盘数据线方式。uTP-90XK隔离卡:既可采用鼠标点击软件切换,也可采用扭动钥匙切换。uTP-90XS隔离卡:适用于SATA标准的串口硬盘。uTP-90XQ隔离卡:快速切换隔离卡,采用
42、特殊技术缩短重新启动时间。uTP-90XH隔离卡:为半高隔离卡。TP-80X系列双硬盘隔离卡有如下主要型号产品:uTP-801隔离卡:双硬盘工作,适用于内外网时分开布线(双布线)的用户.使用外置选择开关硬件切换。uTP-802隔离卡:双硬盘工作,适用于单机拨号方式的用户。适用于ISDN、ADSL、Modem等拨号上网方式,使用外置选择开关硬件切换。uTP-803隔离卡:双硬盘工作,适用于内外网共用一条网线(单布线)的用户,须配合网络线路选择器使用。使用外置选择开关硬件切换。uTP-80X隔离卡:采用切换硬盘电源方式。uTP-80XD隔离卡:采用切换硬盘数据线方式。uTP-80XK隔离卡:采用三
43、段选择开关,可锁机,可通过扭动钥匙切换,机械锁匙万把中无重复。uTP-80XH隔离卡:为半高隔离卡。3.单硬盘切换卡是一种适用于单硬盘、软件切换方式的隔离卡,必须配合该公司的IP切换软件才能使用。主要有两种型号:NS-908终端网络切换卡和GS-208服务器网络切换卡。uNS-908终端网络切换卡:须配合IP切换软件TIPTOPV3.0,适用双布线网络环境,终端用户使用。uGS-208服务器网络切换卡:是一个专用于服务器端的物理切换卡系列,其中GS-208A用于双布线环境;GS-208B用于单布线环境,需与利谱公司生产的线路选择器配套使用。均可自动完成两个网络间的物理切换。典型网络线路选择器介
44、绍目前能生产网络线路选择器产品的厂商比较多,在此仅以深圳利普公司的产品为例进行介绍。1.LS-8网络线路选择器LS-8是深圳利普公司的一款24口,可连接8个终端的网络线路选择器。它所连接的终端用户必须采用该公司生产的TP-903、TP-803、TP-603型隔离卡。它提供了内外网网线的二选一功能,可根据用户桌面选择使同一条网线分时传送内外两个不同网络;支持各种网络协议;支持IEEE802.310BASE-T,IEEE802.3u100BASE-TX网络标准;RJ45网络接口,支持10M以太网、100M快速以太网;支持3、4、5类UTP双绞网线。LS-8的单布线(双网单线)解决方案如下图所示。本
45、方案用于内外网未分别布线的网络,即单布线网络环境。配合使用TIPTOP网络线路选择器,不需重新布线,所有用户均可连接互联网,同时确保两个网络之间物理隔离。2.LS-24网络线路选择器这是利普公司的一款72口,可以连接24个(72/3)终端隔离用户的网络线路选择器,占2U机位,如下图所示。它所连接的终端隔离用户也必须使用该公司生产的TP-903、TP-803、TP-603型物理隔离卡。其性能与前面介绍的LS-8差不多,不同的只是所提供的端口数,本机为72口(最多可连接24个终端用户),而LS-8为24口(最多可连接8个终端用户)。网络应用方案也可参见上图。3.NS-16网络切换器NS-16适用单
46、布线网络环境,可连接16个终端(共48口),占1U机位。终端无须加装隔离卡,在用户端软件的控制下,即可完成网络切换。NS-16的网络拓扑结构如下图所示。物理隔离网闸技术主要应用于一些政府、金融、证券网络等安全级别要求非常高的单位中。物理隔离网闸概述1物理隔离网闸技术的产生背景(略)2物理隔离网闸的安全模块物理隔离网闸包括以下几个模块:安全隔离模块、内核防护模块、安全检查模块、身份认证模块、访问控制模块和安全审计模块。3物理隔离网闸的主要功能物理隔离网闸的主要功能包括:阻断网络的直接物理连接;阻断网络的逻辑连接;数据传输机制的不可编程性;安全审查;原始数据无危害性;管理和控制功能;根据需要建立数
47、据特征库;根据需要提供定制安全策略和传输策略的功能;具有支持功能;邮件同步;支持Web方式;支持多种数据库;支持数据库同步。物理隔离网闸的工作原理(P446)物理隔离网闸1物理隔离网闸的类型到目前为止,通常把市面上的物理隔离网闸产品分为两代,即“第一代空气开关型网闸”和“第二代专用交换通道型网闸”。2.物理隔离网闸的主要应用领域物理隔离网闸的应用目前非常广泛,特别是在有电子商务应用的企事业单位和政府网络中。典型的应用方案如下图所示。物理隔离网闸的主要功能和应用领域1TIPTOPv2.0隔离网闸方案TIPTOPv2.0隔离网闸是深圳市利谱信息技术有限公司的产品。该产品的典型应用方案如下图所示。适用于已经实现物理隔离的两个网络之间在服务器端进行数据的安全、自动交换。该网闸解决方案是一种系统的安全解决方案,集成了多种安全技术,可以代替人工拷盘方式。两个物理隔离网闸应用方案2中网物理隔离网闸X-GAP中网物理隔离网闸X-GAP真正实现了两个网络之间的物理隔离。物理隔离网闸中断了两个网络之间的直接连接,所有的数据交换必须通过物理隔离网闸,网闸从网络层的第七层将数据还原为原始数据(文件),然后以“摆渡文件”的形式来传递数据。X-GAP方案在工商行政系统中的应用方案示例如下图所示。7/19/202474
