收藏
下载资源

网络隔离技术课件

上传人:pu****.1 文档编号:570101628 上传时间:2024-08-02 格式:PPT 页数:21 大小:263KB
返回 下载 相关 举报
网络隔离技术课件_第1页
第1页 / 共21页
网络隔离技术课件_第2页
第2页 / 共21页
网络隔离技术课件_第3页
第3页 / 共21页
网络隔离技术课件_第4页
第4页 / 共21页
网络隔离技术课件_第5页
第5页 / 共21页
点击查看更多>>
资源描述

《网络隔离技术课件》由会员分享,可在线阅读,更多相关《网络隔离技术课件(21页珍藏版)》请在金锄头文库上搜索。

1、第第 9 9 章章 隔离技术隔离技术 本章学习目标:本章学习目标:了解网了解网络隔离隔离发展展历程程掌握网掌握网络隔离的技隔离的技术原理原理了解网了解网络隔离的技隔离的技术分分类及及发展方向展方向掌握网掌握网闸的基本原理的基本原理 29.1 9.1 隔离技隔离技术概述概述 安安全全域域是是以以信信息息涉涉密密程程度度划划分分的的网网络络空空间间。涉涉密密域域就就是是涉涉及及国国家家秘秘密密的的网网络络空空间间。非非涉涉密密域域就就是是不不涉涉及及国国家家的的秘秘密密,但但是是涉涉及及本本单单位位,本本部部门门或或者者本本系系统统的的工工作作秘秘密密的的网网络络空空间间。公公共共服服务务域域是是

2、指指既既不不涉涉及及国国家家秘秘密密也也不不涉涉及及工工作作秘秘密密,是是一一个向因特网络完全开放的公共信息交换空间。个向因特网络完全开放的公共信息交换空间。 9.1.1 9.1.1 隔离的概念隔离的概念 1 1、安全域、安全域 电电子子政政务务的的内内网网和和外外网网要要实实行行严严格格的的物物理理隔隔离离。政政务务的的外外网网和和因因特特网网络络要要实实行行逻逻辑辑隔隔离离,按按照照安安全全域域的的划划分分,政政府府的的内内网网就就是是涉涉密密域域,政政府府的的外外网网就就是是非非涉涉密密域域,因因特特网网就就是是公公共共服服务域。务域。 39.1 9.1 隔离技隔离技术概述概述 网网络络

3、隔隔离离(Network Network IsolationIsolation),主主要要是是指指把把两两个个或或两两个个以以上上可可路路由由的的网网络络(如如TCP/IPTCP/IP)通通过过不不可可路路由由的的协协议议(如如IPX/SPXIPX/SPX、NetBEUINetBEUI等等)进进行行数数据据交交换换而而达达到到隔隔离离目目的的。由由于于其其原原理理主主要要是是采采用用了了不不同同的的协协议议,所所以以通通常常也也叫叫协协议议隔隔离(离(Protocol IsolationProtocol Isolation)。)。 9.1.1 9.1.1 隔离的概念隔离的概念 2 2、网网络隔

4、离隔离 第一代隔离技第一代隔离技术完全的隔离完全的隔离第二代隔离技第二代隔离技术硬件卡隔离硬件卡隔离 第三代隔离技第三代隔离技术数据数据转播隔离播隔离 第四代隔离技第四代隔离技术空气开关隔离空气开关隔离 第五代隔离技第五代隔离技术安全通道隔离安全通道隔离 49.1 9.1 隔离技隔离技术概述概述 9.1.2 9.1.2 网网络隔离的技隔离的技术原理原理 右图右图表示没有表示没有连接接时内外网的内外网的应用状况,从用状况,从连接特征可以看出接特征可以看出这样的的结构从物理上完全分离。构从物理上完全分离。 59.1 9.1 隔离技隔离技术概述概述 9.1.2 9.1.2 网网络隔离的技隔离的技术原

5、理原理 当外网需要有数据到当外网需要有数据到达内网的达内网的时候候,以,以电子子邮件件为例,外部的服例,外部的服务器立器立即即发起起对隔离隔离设备的非的非TCP/IPTCP/IP协议的数据的数据连接,接,隔离隔离设备将所有的将所有的协议剥剥离,将原始的数据写入存离,将原始的数据写入存储介介质。 69.1 9.1 隔离技隔离技术概述概述 9.1.2 9.1.2 网网络隔离的技隔离的技术原理原理 一旦数据完全写入隔一旦数据完全写入隔离离设备的存的存储介介质,隔离,隔离设备立即中断与外网的立即中断与外网的连接。接。转而而发起起对内网的非内网的非TCP/IPTCP/IP协议的数据的数据连接。接。隔离隔

6、离设备将存将存储介介质内的内的数据推向内网。内网收到数据推向内网。内网收到数据后,立即数据后,立即进行行TCP/IPTCP/IP的封装和的封装和应用用协议的封装,的封装,并交并交给应用系用系统。 在控制台收到完整的交换信号之后,隔离设备立即切断在控制台收到完整的交换信号之后,隔离设备立即切断隔离设备于内网的直接连接隔离设备于内网的直接连接 79.1 9.1 隔离技隔离技术概述概述 9.1.2 9.1.2 网网络隔离的技隔离的技术原理原理 内网有内网有电子子邮件要件要发出,隔离出,隔离设备收到内网建收到内网建立立连接的接的请求之后,建立求之后,建立与内网之与内网之间的非的非TCP/IPTCP/I

7、P协议的数据的数据连接。隔离接。隔离设备剥离所有的剥离所有的TCP/IPTCP/IP协议和和应用用协议,得到原始的数,得到原始的数据,将数据写入隔离据,将数据写入隔离设备的存的存储介介质。 89.1 9.1 隔离技隔离技术概述概述 9.1.2 9.1.2 网网络隔离的技隔离的技术原理原理 一旦数据完全写入隔一旦数据完全写入隔离离设备的存的存储介介质,隔离,隔离设备立即中断与内网的立即中断与内网的连接。接。转而而发起起对外网的非外网的非TCP/IPTCP/IP协议的数据的数据连接。接。隔离隔离设备将存将存储介介质内的内的数据推向外网。外网收到数据推向外网。外网收到数据后,立即数据后,立即进行行T

8、CP/IPTCP/IP的封装和的封装和应用用协议的封装,的封装,并交并交给系系统 99.1 9.1 隔离技隔离技术概述概述 9.1.2 9.1.2 网网络隔离的技隔离的技术原理原理 每一次数据交每一次数据交换,隔离,隔离设备经历了数据的了数据的接受接受、存存储和和转发三个三个过程。由于程。由于这些些规则都是在内存和内核中完成的,因此速度都是在内存和内核中完成的,因此速度上有保上有保证,可以达到,可以达到100%100%的的总线处理能力。理能力。物理隔离的一个特征,物理隔离的一个特征,就是内网与外网永不就是内网与外网永不连接,内网和外网在同一接,内网和外网在同一时间最多只有一个最多只有一个同隔离

9、同隔离设备建立非建立非TCP/IPTCP/IP协议的数据的数据连接。接。其数据其数据传输机制是存机制是存储和和转发。物理隔离的好。物理隔离的好处是明是明显的,即使外网在的,即使外网在处在最坏的情在最坏的情况下,内网也不会有任何破坏,修复外网系况下,内网也不会有任何破坏,修复外网系统也非常容易。也非常容易。 109.1 9.1 隔离技隔离技术概述概述 9.1.3 9.1.3 网网络隔离技隔离技术分分类 1 1基于代基于代码、内容等隔离的反病毒和内容、内容等隔离的反病毒和内容过滤技技术 2 2基于网基于网络层隔离的防火隔离的防火墙技技术 3 3基于物理基于物理链路路层的物理隔离技的物理隔离技术 1

10、19.1 9.1 隔离技隔离技术概述概述 9.1.4 网络隔离技术要点与发展方向网络隔离技术要点与发展方向 1 1网网络隔离技隔离技术需要具有的安全要点需要具有的安全要点2 2网网络隔离的关隔离的关键点点 隔离的关键点就成了要尽量提高网间数据交换的速度,并且对应用能隔离的关键点就成了要尽量提高网间数据交换的速度,并且对应用能够透明支持,以适应复杂和高带宽需求的网间数据交换。够透明支持,以适应复杂和高带宽需求的网间数据交换。 要具有高度的自身安全性要具有高度的自身安全性要确保网要确保网络之之间是隔离的是隔离的 要保要保证网网间交交换的只是的只是应用数据用数据 要要对网网间的的访问进行行严格的控制

11、和格的控制和检查 要在要在坚持隔离的前提下保持隔离的前提下保证网网络畅通和通和应用透明用透明 129.1 9.1 隔离技隔离技术概述概述 9.1.4 网络隔离技术要点与发展方向网络隔离技术要点与发展方向 3 3隔离技隔离技术的未来的未来发展方向展方向 通过专用通信设备、专有安全协议和加密验证机制及应通过专用通信设备、专有安全协议和加密验证机制及应用层数据提取和鉴别认证技术,进行不同安全级别网络之间用层数据提取和鉴别认证技术,进行不同安全级别网络之间的数据交换,彻底阻断网络间的直接的数据交换,彻底阻断网络间的直接TCP/IPTCP/IP连接,同时对网连接,同时对网间通信的双方、内容、过程施以严格

12、的身份认证、内容过滤、间通信的双方、内容、过程施以严格的身份认证、内容过滤、安全审计等多种安全防护机制,从而保证了网间数据交换的安全审计等多种安全防护机制,从而保证了网间数据交换的安全、可控,杜绝了由于操作系统和网络协议自身漏洞带来安全、可控,杜绝了由于操作系统和网络协议自身漏洞带来的安全风险。的安全风险。 139.2 9.2 隔离网隔离网闸 网闸是使用带有多种控制功能的固态开关读写介质连接网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。两个独立主机系统的信息安全设备。 物理隔离网闸所连接的两个独立主机系统之间不存在通物理隔离网闸所连接的两个独立主机系统之间不存

13、在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议不存在依据协议的信息包转发,只有数据文件的无协议“摆摆渡渡”,且对固态存储介质只有,且对固态存储介质只有“读读”和和“写写”两个命令。所两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使的一切连接,使“黑客黑客”无法入侵、无法攻击、无法破坏,无法入侵、无法攻击、无法破坏,实现了真正的安全。实现了真正的安全。 149.2 9.2 隔离网隔离网闸 9.2.1 9.2

14、.1 网网闸的的发展展阶段段 网闸,又称安全隔离与信息交换系统,是新一代高安全度的企网闸,又称安全隔离与信息交换系统,是新一代高安全度的企业级信息安全防护设备,它依托安全隔离技术为信息网络提供了更业级信息安全防护设备,它依托安全隔离技术为信息网络提供了更高层次的安全防护能力,不仅使得信息网络的抗攻击能力大大增强,高层次的安全防护能力,不仅使得信息网络的抗攻击能力大大增强,而且有效地防范了信息外泄事件的发生。而且有效地防范了信息外泄事件的发生。 第第一一代代网网闸闸的的技技术术原原理理是是利利用用单单刀刀双双掷掷开开关关使使得得内内外外网网的的处处理理单单元元分分时时存存取取共共享享存存储储设设

15、备备来来完完成成数数据据交交换换的的。安安全全原原理理是是通通过过应应用用层层数数据据提提取取与与安安全全审审查查达达到杜绝基于协议层的攻击和增强应用层安全的效果。到杜绝基于协议层的攻击和增强应用层安全的效果。 第第二二代代网网闸闸正正是是在在吸吸取取了了第第一一代代网网闸闸优优点点的的基基础础上上,利利用用专专用用交交换换通通道道PETPET(Private Private Exchange Exchange TunnelTunnel)技技术术,在在不不降降低低安安全全性性的的前前提提下下能能够够完完成成内内外外网网之之间间高高速速的的数数据据交交换换,有有效效地地克克服服了了第第一一代代网

16、网闸闸的的弊弊端端。第第二二代代网网闸闸的的安安全全数数据交换过程是通过专用硬件通信卡、私有通信协议和加密签名机制来实现。据交换过程是通过专用硬件通信卡、私有通信协议和加密签名机制来实现。 159.2 9.2 隔离网隔离网闸 9.2.2 9.2.2 网网闸工作原理工作原理 隔离网闸(安全隔离与信息交换隔离网闸(安全隔离与信息交换, ,GAPGAP),),是在保证两个网络安是在保证两个网络安全隔离的基础上实现安全信息交换和资源共享的技术。全隔离的基础上实现安全信息交换和资源共享的技术。 169.2 9.2 隔离网隔离网闸 9.2.3 9.2.3 隔离网隔离网闸要点要点 1 1)专用用硬硬件件设计

17、保保证了了物物理理隔隔离离下下的的信信息息交交流流。GAPGAP均均采采用用专用用隔隔离离硬硬件件的的设计完完成成隔隔离离功功能能,硬硬件件设计保保证在在任任意意时刻刻网网络间的的链路路层断断开开,阻阻断断TCP/IPTCP/IP协议以以及及其其他他网网络协议;同同时该硬硬件件不不提提供供编程程软接接口口,不不受受系系统控控制制,仅提提供供物理上的控制开关。物理上的控制开关。这样黑客无法从黑客无法从远程程获得硬件的控制得硬件的控制权。 2 2)集集合合多多种种安安全全技技术消消除除数数据据交交换中中的的安安全全隐患患。在在专用用硬硬件件基基础上上,紧密密集集成成了了内内核核防防护、协议转化化、

18、病病毒毒查杀、身身份份验证、访问控控制制、安安全全审计等等模模块。这些模些模块可以与隔离硬件可以与隔离硬件结合形成整体的防御体系。合形成整体的防御体系。 3 3)网网闸以以安安全全隔隔离离为基基础,并并集集成成多多种种防防护技技术,其其软硬硬一一体体设计形形成成整整体多体多层面的安全防面的安全防护。 4 4)灵活高效数据交)灵活高效数据交换形式确保形式确保应用需求。用需求。GAPGAP产品都提供了多种数据交品都提供了多种数据交换方方式以式以满足足业务应用。如公安部信息通信局与天行网安公司用。如公安部信息通信局与天行网安公司联合研制的天行安全隔合研制的天行安全隔离网离网闸(TopwalkTopw

19、alk-GAP-GAP)提供了文件交提供了文件交换、邮件交件交换、数据、数据库交交换和提供和提供APIAPI应用用接口的消息模接口的消息模块,同,同时具有具有较高的高的传输速率和低延速率和低延迟性。性。 179.3 9.3 典型典型产品介品介绍 天御天御60006000网络物理隔离系统网络物理隔离系统 189.3 9.3 典型典型产品介品介绍 天御天御60006000系列网系列网络物理隔离系物理隔离系统是由北京和信网安科技有是由北京和信网安科技有限公司与中国科学院中力机限公司与中国科学院中力机电新技新技术有限公司有限公司联合开合开发的网的网络安全安全产品。在保品。在保证内外网物理隔离的情况下,

20、内外网物理隔离的情况下,实现安全高效的安全高效的数据交数据交换,为解决内网的安全解决内网的安全问题提供了全新的解决方案。提供了全新的解决方案。在在保保证必必须安全的前提下,尽可能互安全的前提下,尽可能互联互通。互通。 9.3.1 9.3.1 产品概况品概况 9.3.2 9.3.2 安全策略安全策略 外网服务器的外网服务器的TCP/IPTCP/IP协议栈关闭,内外网服务器之间采用纯数据进行传输协议栈关闭,内外网服务器之间采用纯数据进行传输内网和外网之内网和外网之间采用采用专有的通有的通讯协议,有效防止黑客从外网攻入内网,有效防止黑客从外网攻入内网内网向外内网向外发起的起的连接需接需经过内网服内网

21、服务器的身份器的身份认证外网主外网主动发起的起的连接无法建立,只有内网接无法建立,只有内网请求的回求的回应数据可以数据可以进入内网入内网 199.3 9.3 典型典型产品介品介绍 产品的安装部署产品的安装部署 20本章本章小结小结 本本章章主主要要介介绍绍了了隔隔离离技技术术的的发发展展、现现状状及及工工作作原原理理,重重点点应应掌掌握握安安全全隔隔离离网网闸闸(GAPGAP)的的工工作作原原理理:协协议议控控制制、数数据据转转换换、安安全全审审查查、身身份份认认证证等等。同同时时应应将将安安全全隔隔离离网网闸闸与与传传统统防防火火墙墙对对比比地地学学习习,理理解解它它们们间间的的异异同同,特特别别是是在在安安全全机机制制、硬硬件件设设计计、网网络络协协议议处处理理、遭遭攻攻击击后后果果等等方方面的区别。面的区别。 21作作 业业 P 202P 202 1 1、2 2、3 3

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 工作计划

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号