信息安全技术 周苏 第4-2讲 网络隔离技术与网闸应用新.pptVIP

计算机网络技术 信息安全技术 第 4 讲 防火墙与网络隔离技术 防火墙技术及Windows防火墙配置 网络隔离技术与网闸应用 第 4-2 讲 网络隔离技术与网闸应用 尽管我们正在广泛地采用着各种复杂的安全技术，如防火墙、代理服务器、入侵检测机制、通道控制机制等，但是，由于这些技术基本上都是一种逻辑机制，这对于逻辑实体 (如黑客或内部用户等) 而言，是可能被操纵的。 第 4-2 讲 网络隔离技术与网闸应用 在政府、军队、企业等领域，由于核心部门的信息安全关系着国家安全、社会稳定，因此迫切需要比传统产品更为可靠的技术防护措施，由此产生了物理隔离技术，该技术主要基于这样的思想：如果不存在与网络的物理连接，网络安全威胁便受到了真正的限制。 第 4-2 讲 网络隔离技术与网闸应用 在电子政务建设中，我们会遇到安全域的问题 安全域是以信息涉密程度划分的网络空间，包括： 涉密域。就是涉及国家秘密的网络空间。 非涉密域。就是不涉及国家的秘密，但是涉及本单位，本部门或者本系统的工作秘密的网络空间。 公共服务域是指既不涉及国家秘密也不涉及工作秘密，是一个向互联网络完全开放的公共信息交换空间。 第 4-2 讲 网络隔离技术与网闸应用 国家有关文件严格规定，政务的内网和政务的外网要实行严格的物理隔离。政务的外网和互联网络要实行逻辑隔离，按照安全域的划分，政府的内网就是涉密域，政府的外网就是非涉密域，因特网就是公共服务域。 第 4-2 讲 网络隔离技术与网闸应用 网络隔离 (network isolation) 主要是指把两个或两个以上可路由的网络 (如TCP/IP) 通过不可路由的协议 (如IPX/SPX、NetBEUI等) 进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议，所以通常也叫协议隔离 (protocol isolation) 。 第 4-2 讲 网络隔离技术与网闸应用 隔离概念是在保护高安全度网络环境的情况下产生的，而隔离产品的大量出现，也经历了五代隔离技术的不断的理论和实践相结合的过程。 第一代隔离技术——完全隔离。此方法使得网络处于信息孤岛状态，做到了完全的物理隔离，一般需要至少两套网络和系统，更重要的是信息交流的不便和成本的提高，给维护和使用带来了极大的不便。 第 4-2 讲 网络隔离技术与网闸应用 第二代隔离技术——硬件卡隔离。在客户机端增加一块硬件卡，客户机端硬盘或其他存储设备首先连接到该卡，然后再转接到主板上，通过该卡能控制客户机端硬盘或其他存储设备。而在选择不同的硬盘时，同时选择了该卡上不同的网络接口，连接到不同的网络。但是，这种隔离产品有的仍然需要网络布线为双网线结构，产品存在着较大的安全隐患。 第 4-2 讲 网络隔离技术与网闸应用 第三代隔离技术——数据转播隔离。利用转播系统分时复制文件的途径来实现隔离，但切换时间非常长。甚至需要手工完成。这不仅明显地减缓了访问速度，更不支持常见的网络应用，失去了网络存在的意义。 第四代隔离技术——空气开关隔离。它通过使用单刀双掷开关、使得内外部网络分时访问临时缓存器来完成数据交换，但在安全和性能上存在有许多问题。 第 4-2 讲 网络隔离技术与网闸应用 第五代隔离技术——安全通道隔离。此技术通过专用通信硬件和专有安全协议等安全机制，来实现内、外部网络的隔离和数据交换。不仅解决了以前隔离技术存在的问题，并有效地把内、外部网络隔离开来，而且高效地实现了内、外网数据的安全交换，透明支持多种网络应用，成为当前隔离技术的发展方向。 第 4-2 讲 网络隔离技术与网闸应用 1. 网络隔离的技术原理 物理隔离的技术架构在隔离上，我们通过以下一组图示来说明物理隔离是如何实现的。 第 4-2 讲 网络隔离技术与网闸应用 下图表示没有连接时内外网的应用状况。从连接特征可以看出，这样的结构从物理上完全分离。外网是安全性不高的因特网，内网是安全性很高的内部专用网络。正常情况下，隔离设备和外网，隔离设备和内网，外网和内网是完全断开的，即保证网络之间是完全断开的。隔离设备可以理解为纯粹的存储介质和一个单纯的调度和控制电路。 第 4-2 讲 网络隔离技术与网闸应用 当外网有数据需要到达内网时，以电子邮件为例，外部服务器立即发起对隔离设备的非TCP/IP协议的数据连接，隔离设备将所有协议剥离，将原始的数据写入存储介质 (图4.25) 。根据不同的应用；可能有必要对数据进行完整性和安全性检查，如防病毒和恶意代码等。 第 4-2 讲 网络隔离技术与网闸应用 一旦数据完全写入隔离设备的存储介质，隔离设备立即中断与外网的连接。转而发起对内网的非TCP/IP协议的数据连接。隔离设备将存储介质内的数据推向内网。内网收到数据后，立即进行TCP/IP的封装和应用协议的封装，并交给应用系统