網(wǎng)絡(luò)隔離的工作原理

1、.,重慶電子工程職業(yè)學(xué)院,信息安全產(chǎn)品配置與應(yīng)用之網(wǎng)閘篇 技術(shù)與原理,.,任務(wù)目標(biāo) 任務(wù)1：學(xué)習(xí)網(wǎng)閘的基本技術(shù)原理與發(fā)展歷史 任務(wù)2：學(xué)習(xí)網(wǎng)閘的典型功能與部署方式 學(xué)習(xí)目標(biāo) 了解網(wǎng)閘技術(shù)原理與發(fā)展歷史 掌握網(wǎng)閘典型應(yīng)用與部署方法,本講主要任務(wù)和學(xué)習(xí)目標(biāo),.,本講主要內(nèi)容,網(wǎng)絡(luò)隔離的概念 網(wǎng)絡(luò)隔離技術(shù)的原理與發(fā)展歷程 隔離網(wǎng)閘的定義與技術(shù)原理 隔離網(wǎng)閘未來(lái)的發(fā)展方向 隔離網(wǎng)閘典型部署方式,.,隔離概念的提出,國(guó)外 最早提出隔離概念，70年代美國(guó)、俄羅斯和以色列等國(guó)都存在此方面的技術(shù)應(yīng)用和相關(guān)法規(guī) 國(guó)內(nèi) 隔離要求最早是由國(guó)家保密局提出的，并已嚴(yán)格在涉密網(wǎng)內(nèi)執(zhí)行 中共中央辦公廳2002年第17號(hào)文件

2、明確強(qiáng)調(diào)：“政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)之間物理隔離，政務(wù)外網(wǎng)與互聯(lián)網(wǎng)之間邏輯隔離”,.,網(wǎng)絡(luò)隔離的概念,網(wǎng)絡(luò)隔離（Network Isolation），主要是指把兩個(gè)或兩個(gè)以上可路由的網(wǎng)絡(luò)（如TCP/IP）通過(guò)不可路由的協(xié)議（如IPX/SPX、NetBEUI等）進(jìn)行數(shù)據(jù)交換而達(dá)到隔離目的。由于其原理主要是采用了不同的協(xié)議，所以通常也叫協(xié)議隔離（Protocol Isolation）。,第一代隔離技術(shù)完全的隔離 第二代隔離技術(shù)硬件卡隔離 第三代隔離技術(shù)數(shù)據(jù)轉(zhuǎn)播隔離 第四代隔離技術(shù)空氣開(kāi)關(guān)隔離 第五代隔離技術(shù)安全通道隔離,.,本講主要內(nèi)容,網(wǎng)絡(luò)隔離的概念 網(wǎng)絡(luò)隔離技術(shù)的原理與發(fā)展歷程 隔離網(wǎng)閘的定義與技術(shù)

3、原理 隔離網(wǎng)閘未來(lái)的發(fā)展方向 隔離網(wǎng)閘典型部署方式,.,網(wǎng)絡(luò)隔離的技術(shù)原理,下圖表示沒(méi)有連接時(shí)內(nèi)外網(wǎng)的應(yīng)用狀況，從連接特征可以看出這樣的結(jié)構(gòu)從物理上完全分離。,.,網(wǎng)絡(luò)隔離的技術(shù)原理,當(dāng)外網(wǎng)需要有數(shù)據(jù)到達(dá)內(nèi)網(wǎng)的時(shí)候，以電子郵件為例，外部的服務(wù)器立即發(fā)起對(duì)隔離設(shè)備的非TCP/IP協(xié)議的數(shù)據(jù)連接，隔離設(shè)備將所有的協(xié)議剝離，將原始的數(shù)據(jù)寫入存儲(chǔ)介質(zhì)。,.,網(wǎng)絡(luò)隔離的技術(shù)原理,一旦數(shù)據(jù)完全寫入隔離設(shè)備的存儲(chǔ)介質(zhì)，隔離設(shè)備立即中斷與外網(wǎng)的連接。轉(zhuǎn)而發(fā)起對(duì)內(nèi)網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)連接。隔離設(shè)備將存儲(chǔ)介質(zhì)內(nèi)的數(shù)據(jù)推向內(nèi)網(wǎng)。內(nèi)網(wǎng)收到數(shù)據(jù)后，立即進(jìn)行TCP/IP的封裝和應(yīng)用協(xié)議的封裝，并交給應(yīng)用系統(tǒng)。,在

4、控制臺(tái)收到完整的交換信號(hào)之后，隔離設(shè)備立即切斷隔離設(shè)備于內(nèi)網(wǎng)的直接連接,.,本講主要內(nèi)容,網(wǎng)絡(luò)隔離的概念 網(wǎng)絡(luò)隔離技術(shù)的原理與發(fā)展歷程 隔離網(wǎng)閘的定義與技術(shù)原理 隔離網(wǎng)閘未來(lái)的發(fā)展方向 隔離網(wǎng)閘典型部署方式,.,網(wǎng)閘的定義與功能,網(wǎng)閘是使用帶有多種控制功能的固態(tài)開(kāi)關(guān)、讀寫介質(zhì)，連接兩個(gè)獨(dú)立主機(jī)系統(tǒng)的信息安全設(shè)備。 物理隔離網(wǎng)閘所連接的兩個(gè)獨(dú)立主機(jī)系統(tǒng)之間不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無(wú)協(xié)議“擺渡”，且對(duì)固態(tài)存儲(chǔ)介質(zhì)只有“讀”和“寫”兩個(gè)命令。所以，物理隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使“黑客”無(wú)法入

5、侵、無(wú)法攻擊、無(wú)法破壞，實(shí)現(xiàn)了真正的安全。,.,網(wǎng)閘的技術(shù)原理,第一代網(wǎng)閘的技術(shù)原理是利用單刀雙擲開(kāi)關(guān)使得內(nèi)外網(wǎng)的處理單元分時(shí)存取共享存儲(chǔ)設(shè)備來(lái)完成數(shù)據(jù)交換的。安全原理是通過(guò)應(yīng)用層數(shù)據(jù)提取與安全審查達(dá)到杜絕基于協(xié)議層的攻擊和增強(qiáng)應(yīng)用層安全的效果。 目前網(wǎng)閘正是在吸取了第一代網(wǎng)閘優(yōu)點(diǎn)的基礎(chǔ)上，利用專用交換通道PET（Private Exchange Tunnel）技術(shù)，在不降低安全性的前提下能夠完成內(nèi)外網(wǎng)之間高速的數(shù)據(jù)交換，有效地克服了第一代網(wǎng)閘的弊端。第二代網(wǎng)閘的安全數(shù)據(jù)交換過(guò)程是通過(guò)專用硬件通信卡、私有通信協(xié)議和加密簽名機(jī)制來(lái)實(shí)現(xiàn)。 網(wǎng)閘至少是三模塊架構(gòu)（內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元、隔離與交

6、換控制單元）；應(yīng)保證網(wǎng)閘的外部主機(jī)和內(nèi)部主機(jī)在任何時(shí)候是完全斷開(kāi)的；完成應(yīng)用協(xié)議的剝離（OSI 的 5 至 7 層）；代理完成TCP/IP協(xié)議的重建，實(shí)現(xiàn)內(nèi)網(wǎng)與外網(wǎng)的數(shù)據(jù)交換。,.,本講主要內(nèi)容,網(wǎng)絡(luò)隔離的概念 網(wǎng)絡(luò)隔離技術(shù)的原理與發(fā)展歷程 隔離網(wǎng)閘的定義與技術(shù)原理 隔離網(wǎng)閘未來(lái)的發(fā)展方向 隔離網(wǎng)閘典型部署方式,.,隔離網(wǎng)閘未來(lái)的發(fā)展方向,采用高性能的專用芯片增強(qiáng)網(wǎng)閘數(shù)據(jù)擺渡能力 通過(guò)專用通信設(shè)備、專有安全協(xié)議和加密驗(yàn)證機(jī)制及應(yīng)用層數(shù)據(jù)提取和鑒別認(rèn)證技術(shù)，進(jìn)行不同安全級(jí)別網(wǎng)絡(luò)之間的數(shù)據(jù)交換，徹底阻斷網(wǎng)絡(luò)間的直接TCP/IP連接。 對(duì)網(wǎng)間通信的雙方、內(nèi)容、過(guò)程施以嚴(yán)格的身份認(rèn)證、內(nèi)容過(guò)濾、安全審計(jì)等多種安全防護(hù)機(jī)制，從而保證了網(wǎng)間數(shù)據(jù)交換的安全、可控，杜絕了由于操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議自身漏洞帶來(lái)的安全風(fēng)險(xiǎn)。,.,本講主要內(nèi)容,網(wǎng)絡(luò)隔離的概念 網(wǎng)絡(luò)隔離技術(shù)的原理與發(fā)展歷程 隔離網(wǎng)閘的定義與技術(shù)原理 隔離網(wǎng)閘未來(lái)的發(fā)展方向 隔離網(wǎng)閘典型部署方式,.,涉密網(wǎng)絡(luò)中的部署方式,部署在非涉密網(wǎng)和涉密網(wǎng)之間,部署在涉密網(wǎng)子網(wǎng)之間,.,常規(guī)網(wǎng)絡(luò)中的應(yīng)用,內(nèi)外之間的安全隔離,對(duì)公外網(wǎng)和業(yè)務(wù)網(wǎng)之間,不同業(yè)務(wù)部門之間,邊緣網(wǎng)與總部綜合網(wǎng)之間,實(shí)現(xiàn)