版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
1、企業(yè)網(wǎng)絡(luò)安全隔離,針對敏感部門的保護,可以有幾種解決方案,一是在《網(wǎng)管員必讀——超級網(wǎng)管經(jīng)驗談》一書中介紹的子網(wǎng)掩碼子網(wǎng)劃分方法,另一個就是在《網(wǎng)管員必讀——網(wǎng)絡(luò)應(yīng)用》一書中介紹的VLAN組劃分方法。還有一種就是本章將要介紹的網(wǎng)絡(luò)隔離方法,它是通過網(wǎng)絡(luò)物理來進行的。 本章重點如下: 物理隔離原理 物理隔離卡技術(shù)及應(yīng)用 物理隔離網(wǎng)閘技術(shù)及應(yīng)用 網(wǎng)絡(luò)隔離技術(shù),5.1 隔離技術(shù),隔離技術(shù)是網(wǎng)絡(luò)安全技術(shù)的一個大門類。隨著隔離技術(shù)
2、的近幾年飛速發(fā)展,目前的隔離技術(shù)已比較完善,涵蓋了幾乎所有級別用戶的網(wǎng)絡(luò)隔離需求。在許多文章中把這種用于網(wǎng)絡(luò)隔離的安全技術(shù)統(tǒng)稱為“網(wǎng)絡(luò)隔離”。 5.1.1 隔離技術(shù)基礎(chǔ) 網(wǎng)絡(luò)中的“隔離”一詞與現(xiàn)實生活中的“隔離”存在某種認識上的區(qū)別,從傳統(tǒng)意義來理解“隔離”使兩個網(wǎng)絡(luò)真正分開,但這樣來談網(wǎng)絡(luò)安全是沒有任何意義的。事實上,網(wǎng)絡(luò)安全中的“隔離”后的兩個網(wǎng)絡(luò)并非完全沒有聯(lián)系,還是需要有正常的應(yīng)用層數(shù)據(jù)交換的。 目前可
3、以采用的隔離方法主要有以下三類: 物理隔離:通過一定軟、硬件方法使得訪問內(nèi)、外網(wǎng)的設(shè)備、線路、存儲均相對獨立。 網(wǎng)絡(luò)隔離:利用協(xié)議轉(zhuǎn)換進行網(wǎng)間的數(shù)據(jù)交換。 安全隔離:利用專用設(shè)備實現(xiàn)僅在應(yīng)用層進行數(shù)據(jù)交換。,2. 網(wǎng)絡(luò)隔離技術(shù)的發(fā)展歷程 到目前為止,整個網(wǎng)絡(luò)隔離技術(shù)的發(fā)展經(jīng)歷了以下五代: 第一代隔離技術(shù)——完全的隔離第二代隔離技術(shù)——硬件卡隔離第三代隔離技術(shù)——網(wǎng)絡(luò)協(xié)議隔離第四代隔離技術(shù)——空氣開關(guān)網(wǎng)閘隔離第五代隔離技
4、術(shù)——安全網(wǎng)閘隔離 3. 網(wǎng)間不同層次的主安全威脅 網(wǎng)間的安全威脅主要來自來以下三個層次: 物理層:電氣攻擊、線路偵聽、線路破壞等。 網(wǎng)絡(luò)層:拒絕服務(wù)攻擊、地址欺騙、碎片攻擊等。 應(yīng)用層:惡意代碼、垃圾郵件等。 本節(jié)詳細內(nèi)容參見書本P156~P157頁。,5.1.2 物理隔離原理,物理隔離可解決目前防火墻中存在的以下根本問題: 防火墻對操作系統(tǒng)的依賴,因為操作系統(tǒng)也有漏洞,而物理隔離技術(shù)不依賴于操作系統(tǒng)。
5、 TCP/IP協(xié)議存在漏洞,而物理隔離不需要TCP/IP協(xié)議。 防火墻、內(nèi)網(wǎng)和DMZ同時直接連接,安全威脅仍然存在,而物理隔離不采用直接連接。 應(yīng)用協(xié)議的漏洞,因為命令和指令可能是非法的,而物理隔離只允許進行數(shù)據(jù)交換,而不能運行程序。 文件帶有病毒和惡意代碼,而物理隔離不支持MIME,只支持TXT,或殺病毒軟件,或惡意代碼檢查軟件。物理隔離的指導(dǎo)思想與防火墻有很大的不同:防火墻的思路是在保障互聯(lián)互通的前提下,盡可能安全,而物理
6、隔離的思路是在保證必須安全的前提下,盡可能互聯(lián)互通。但它們的隔離原理卻基本上一樣,具體配置方法參見書本P158~P159頁。,5.1.3 物理隔離產(chǎn)品的應(yīng)用方式,根據(jù)具體的網(wǎng)絡(luò)環(huán)境和所使用的網(wǎng)絡(luò)隔離設(shè)備可以有如下幾種應(yīng)用方案: 主機隔離解決方案 該方案屬于終端隔離解決方案,所采用的隔離產(chǎn)品是物理隔離卡產(chǎn)品。 通道隔離方案 該方案屬于信道隔離方案,所采用的安全隔離產(chǎn)品是網(wǎng)絡(luò)線路選擇器,當然物理隔離卡也是必不可少的。 主機-
7、信道雙網(wǎng)隔離解決方案 該方案屬于混合隔離模式,所采用的隔離設(shè)備也有物理隔離卡和網(wǎng)絡(luò)線路選擇器。 主機-信道多網(wǎng)隔離解決方案該方案與上一方案其實差不多,只不過此處隔離的不僅是兩個網(wǎng)絡(luò)。所采用的設(shè)備同樣有物理隔離卡、網(wǎng)絡(luò)線路選擇器和網(wǎng)閘三類。本節(jié)詳細內(nèi)容參見書本P160頁。,5.2 物理隔離卡產(chǎn)品及應(yīng)用,物理隔離卡技術(shù)是整個網(wǎng)絡(luò)物理隔離技術(shù)一個重要分支,也是目前應(yīng)用最廣的一種網(wǎng)絡(luò)隔離技術(shù)。目前最常見的物理隔離產(chǎn)品就是各種各樣的隔
8、離卡、網(wǎng)絡(luò)線路選擇器和網(wǎng)閘等。 5.2.1 認識物理隔離卡 目前的物理隔離卡產(chǎn)品非常多樣,不同品牌或型號的隔離卡產(chǎn)品,與客戶端硬盤存儲設(shè)備的連接控制方式可能不同。有的是采用電源控制法,就是在隔離卡上提供兩個硬盤電源接口,把硬盤的電源連接在隔離卡的不同接口上,如圖5-1所示;而有些采取的是采用電源+數(shù)據(jù)線控制法,就是在隔離卡是同時提供兩個硬盤電源和數(shù)據(jù)電纜接口,把硬盤的電源和數(shù)據(jù)電纜連接在隔離卡的不同電源和數(shù)據(jù)電纜接口上
9、,如圖5-2所示。 從這兩個圖中可以看出,在隔離卡上還提供一個用于與主板硬盤接口連接的硬盤數(shù)據(jù)電纜接口和一個電源接口。,,圖5-1: 僅帶硬盤接口的隔離卡,圖5-2:同時帶有硬盤接口和硬盤電源接口的隔離卡,但要注意,有的隔離卡采用了PCI結(jié)構(gòu),直接插到主板的PCI插槽中,所以無需另外提供電源,也就沒有這樣一個電源接口了,如圖5-3所示。,盡管隔離卡的磁盤接口和主機可能不一樣,但卻通常都提供雙網(wǎng)絡(luò)接口,用于連接內(nèi)、外網(wǎng)網(wǎng)絡(luò)。當然
10、也有一些型號隔離卡產(chǎn)品雖然提供了雙網(wǎng)絡(luò)接口,但同時適用于單網(wǎng)線隔離模式。 本節(jié)詳細內(nèi)容參見書本P160~P162頁。,圖5-3 PCI主機接口隔離卡,5.2.2 主要物理隔離模式,目前主流的隔離模式有以下幾種:雙網(wǎng)/雙機模式雙硬盤/雙網(wǎng)線模式雙硬盤/單網(wǎng)線模式單硬盤/雙網(wǎng)線模式 以上各種隔離模式的具體配置方案和網(wǎng)絡(luò)結(jié)構(gòu)參見書本P162~P164頁。,5.2.3 圖文網(wǎng)絡(luò)安全物理隔離器,圖文網(wǎng)絡(luò)安全物理隔離器目
11、前主要有四種型號產(chǎn)品: 隔離器I型 隔離器I型(如圖5-4所示)是一種通過外置物理開關(guān)來控制雙硬盤電源及雙網(wǎng)切換的隔離器,通常用于雙網(wǎng)線布線(即內(nèi)網(wǎng)、外網(wǎng)分開布線)網(wǎng)絡(luò)。隔離器Ⅱ型 隔離器Ⅱ型(如圖5-5所示)是一種通過外置物理開關(guān)來控制雙硬盤電源及雙網(wǎng)切換的物理隔離器。它具備Ⅰ型隔離器的全部功能,同時增加了單、雙網(wǎng)線的跳線設(shè)置,單、雙網(wǎng)線環(huán)境通用,通過隔離卡上的跳線區(qū)分單、雙網(wǎng)線,使用更靈活、更方便。隔離
12、器Ⅲ型,隔離器Ⅲ型(如圖5-6所示)是一種通過外置物理開關(guān)來控制雙硬盤電源、IDE數(shù)據(jù)線及雙網(wǎng)切換的物理隔離器。它具備Ⅰ型隔離器的全部功能,同時增加了單、雙網(wǎng)線的跳線設(shè)置及對硬盤IDE線的控制及切換,兼容性更好,單、雙網(wǎng)線環(huán)境通用,通過隔離卡上的跳線區(qū)分單、雙網(wǎng)線,使用更靈活、更方便。,圖5-4:隔離器I型 圖5-5:隔離器Ⅱ型,隔離器IV型 隔離器IV型(如圖5-7所示)是一種通過外置物理開關(guān)來控制雙硬盤電源及雙網(wǎng)切換的
13、物理隔離器,單、雙網(wǎng)線環(huán)境通用。,圖5-6:隔離器Ⅲ型 圖5-7:隔離器IV型,本節(jié)詳細內(nèi)容參見書本P164~P165頁。,5.2.4 圖文網(wǎng)絡(luò)安全物理隔離器,深圳市利譜信息技術(shù)有限公司的利普牌網(wǎng)絡(luò)隔離產(chǎn)品非常齊全,主要有以下幾個系列的產(chǎn)品。 1. 單硬盤系列 利普公司的單硬盤物理隔離卡有兩個主要的系列:TP-60X和TP-608,前者均采用純件分區(qū),而后者均采用軟件分區(qū)。在TP-60X系列中又有以下幾
14、個型號的產(chǎn)品: TP-601隔離卡:單硬盤工作,適用于內(nèi)外網(wǎng)時分開布線(雙布線)的用戶。使用鼠標在屏幕上軟件切換。 TP-602隔離卡:單硬盤工作,適用于單機撥號方式的用戶。適用于ISDN、ADSL、Modem等撥號上網(wǎng)方式。使用鼠標在屏幕上軟件切換。 TP-603隔離卡:單硬盤工作,適用于內(nèi)外網(wǎng)共用一條網(wǎng)線(單布線) 的用戶,須配合網(wǎng)絡(luò)線路選擇器使用。使用鼠標在屏幕上軟件切換。TP-60XH隔離卡:為半高單硬盤隔離卡。,在TP
15、-608系列隔離卡系列中又有如下幾個型號產(chǎn)品: TP-608A隔離卡:單硬盤工作,適用于內(nèi)外網(wǎng)時分開布線(雙布線)的用戶。它使用鼠標在屏幕上軟件切換。 TP-608B隔離卡:單硬盤工作,適用于內(nèi)外網(wǎng)共用一條網(wǎng)線(單布線) 的用戶,須配合網(wǎng)絡(luò)線路選擇器使用。使用鼠標在屏幕上軟件切換。 TP-608H隔離卡:為半高單硬盤隔離卡。 2. 雙硬盤系列利普公司的單硬盤物理隔離卡有兩個主要的系列:TP-90X和TP-80X在TP—90X系
16、列雙硬盤隔離卡系列中又有以下幾個型號的產(chǎn)品: TP-901隔離卡:雙硬盤工作,適用于內(nèi)外網(wǎng)時分開布線(雙布線)的用戶。使用鼠標在屏幕上軟件切換。TP-902隔離卡:雙硬盤工作,適用于單機撥號方式的用戶。 適用于ISDN、ADSL、Modem等撥號上網(wǎng)方式。使用鼠標在屏幕上軟件切換。TP-903隔離卡:雙硬盤工作,適用于內(nèi)外網(wǎng)共用一條網(wǎng)線(單布線)的用戶,須配合網(wǎng)絡(luò)線路選擇器使用。使用鼠標在屏幕上軟件切換。,TP-90X隔離卡:采用
17、切換硬盤電源方式。 TP-90XD隔離卡:采用切換硬盤數(shù)據(jù)線方式。TP-90XK隔離卡:既可采用鼠標點擊軟件切換,也可采用扭動鑰匙切換。 TP-90XS隔離卡:適用于SATA標準的串口硬盤。 TP-90XQ隔離卡:快速切換隔離卡,采用特殊技術(shù)縮短重新啟動時間。 TP-90XH隔離卡:為半高隔離卡。 TP-80X系列雙硬盤隔離卡有如下主要型號產(chǎn)品: TP-801隔離卡:雙硬盤工作,適用于內(nèi)外網(wǎng)時分開布線(雙布線)的
18、用戶.使用外置選擇開關(guān)硬件切換。 TP-802隔離卡:雙硬盤工作,適用于單機撥號方式的用戶。適用于ISDN、ADSL、Modem等撥號上網(wǎng)方式,使用外置選擇開關(guān)硬件切換。,TP-803隔離卡:雙硬盤工作,適用于內(nèi)外網(wǎng)共用一條網(wǎng)線(單布線)的用戶,須配合網(wǎng)絡(luò)線路選擇器使用。使用外置選擇開關(guān)硬件切換。 TP-80X隔離卡:采用切換硬盤電源方式。 TP-80XD隔離卡:采用切換硬盤數(shù)據(jù)線方式。 TP-80XK隔離卡:采用三段選擇開關(guān),
19、可鎖機,可通過扭動鑰匙切換,機械鎖匙萬把中無重復(fù)。 TP-80XH隔離卡:為半高隔離卡。3. 單硬盤切換卡 是一種適用于單硬盤、軟件切換方式的隔離卡,必須配合該公司的IP切換軟件才能使用。主要有兩種型號:NS-908終端網(wǎng)絡(luò)切換卡和GS-208服務(wù)器網(wǎng)絡(luò)切換卡。 NS-908終端網(wǎng)絡(luò)切換卡:須配合IP切換軟件TIPTOP V3.0,適用雙布線網(wǎng)絡(luò)環(huán)境,終端用戶使用。GS-208服務(wù)器網(wǎng)絡(luò)切換卡:是一個專用于服務(wù)器端的物理
20、切換卡系列,其中GS-208A 用于雙布線環(huán)境;GS-208B用于單布線環(huán)境,需與利譜公司生產(chǎn)的線路選擇器配套使用。均可自動完成兩個網(wǎng)絡(luò)間的物理切換。本節(jié)詳細內(nèi)容參見書本P166~P172頁。,5.3 網(wǎng)絡(luò)線路選擇器產(chǎn)品及應(yīng)用,目前能生產(chǎn)網(wǎng)絡(luò)線路選擇器產(chǎn)品的廠商比較多,在此僅以深圳利普公司的產(chǎn)品為例進行介紹。 5.3.1 LS-8網(wǎng)絡(luò)線路選擇器及應(yīng)用 LS-8是深圳利普公司的一款24口,可連接8個終端的網(wǎng)絡(luò)線路選擇器
21、。它所連接的終端用戶必須采用該公司生產(chǎn)的TP-903、TP-803、TP-603型隔離卡。它提供了內(nèi)外網(wǎng)網(wǎng)線的二選一功能,可根據(jù)用戶桌面選擇使同一條網(wǎng)線分時傳送內(nèi)外兩個不同網(wǎng)絡(luò);支持各種網(wǎng)絡(luò)協(xié)議;支持IEEE 802.3 10BASE-T,IEEE 802.3u 100BASE-TX網(wǎng)絡(luò)標準;RJ45網(wǎng)絡(luò)接口,支持10M以太網(wǎng)、100M快速以太網(wǎng);支持3、4、5類UTP雙絞網(wǎng)線。 LS-8的單布線(雙網(wǎng)單線)解決方案如圖5-8所
22、示。本方案用于內(nèi)外網(wǎng)未分別布線的網(wǎng)絡(luò),即單布線網(wǎng)絡(luò)環(huán)境。配合使用TIPTOP網(wǎng)絡(luò)線路選擇器,不需重新布線,所有用戶均可連接互聯(lián)網(wǎng),同時確保兩個網(wǎng)絡(luò)之間物理隔離。,,圖5-8 LS-8網(wǎng)絡(luò)線路選擇器單布線/雙硬盤隔離方案,本節(jié)詳細內(nèi)容參見書本P173頁。,5.3.2 LS-24網(wǎng)絡(luò)線路選擇器及應(yīng)用,這是利普公司的一款72口,可以連接24個(72/3)終端隔離用戶的網(wǎng)絡(luò)線路選擇器,占2U機位,如圖5-9所示。它所連接的終端隔離用戶也必須使
23、用該公司生產(chǎn)的TP-903、TP-803、TP-603型物理隔離卡。其性能與前面介紹的LS-8差不多,不同的只是所提供的端口數(shù),本機為72口(最多可連接24個終端用戶),而LS-8為24口(最多可連接8個終端用戶)。網(wǎng)絡(luò)應(yīng)用方案也可參見圖5-8。,圖5-9 利譜LS-24網(wǎng)絡(luò)線路選擇器,5.3.3 NS-16網(wǎng)絡(luò)切換器及應(yīng)用,NS-16適用單布線網(wǎng)絡(luò)環(huán)境,可連接16個終端(共48口),占1U機位。終端無須加裝隔離卡,在用戶端軟件的控制下
24、,即可完成網(wǎng)絡(luò)切換。NS-16的網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖5-10所示。其主要性能和特點參見書中P174頁。,圖5-10 NS-16網(wǎng)絡(luò)切換器單網(wǎng)線解決方案,5.4 物理隔離網(wǎng)閘,在物理隔離方面,除了前面介紹的物理隔離卡、網(wǎng)絡(luò)線路選擇器、網(wǎng)絡(luò)切換器等,還有另一種安全級別更高的隔離技術(shù),那就是物理隔離網(wǎng)閘技術(shù)。它主要應(yīng)用于一些政府、金融、證券網(wǎng)絡(luò)等安全級別要求非常高的單位中。 5.4.1 物理隔離網(wǎng)閘概述 近年來,隨著我國信息
25、化建設(shè)步伐的加快,“電子政務(wù)”應(yīng)運而生,并以前所未有的速度發(fā)展。電子政務(wù)體現(xiàn)在社會生活的各個方面:工商注冊申報、網(wǎng)上報稅、網(wǎng)上報關(guān)、基金項目申報等等。電子政務(wù)與國家和個人的利益密切相關(guān),在我國電子政務(wù)系統(tǒng)建設(shè)中,外部網(wǎng)絡(luò)連接著廣大民眾,內(nèi)部網(wǎng)絡(luò)連接著政府公務(wù)員桌面辦公系統(tǒng),專網(wǎng)連接著各級政府的信息系統(tǒng),在外網(wǎng)、內(nèi)網(wǎng)、專網(wǎng)之間交換信息是基本要求。如何在保證內(nèi)網(wǎng)和專網(wǎng)資源安全的前提下,實現(xiàn)從民眾到政府的網(wǎng)絡(luò)暢通、資源共享、方便快捷是電子政務(wù)
26、系統(tǒng)建設(shè)中必須解決的技術(shù)問題。,一般采取的方法是在內(nèi)網(wǎng)與外網(wǎng)之間實行防火墻的邏輯隔離,在內(nèi)網(wǎng)與專網(wǎng)之間實行物理隔離。但物理隔離網(wǎng)閘成為電子政務(wù)信息系統(tǒng)必須配置的設(shè)備,由此開始,物理隔離網(wǎng)閘產(chǎn)品與技術(shù)在我國快速興起,成為我國信息安全產(chǎn)業(yè)發(fā)展的一個新的增長點。 物理隔離網(wǎng)閘也屬于物理隔離產(chǎn)品,是采用控制開關(guān)關(guān)網(wǎng)絡(luò)選擇控制的,不過它與物理隔離卡所采用的控制開關(guān)不一樣,性能要高。目前常見的物理隔離開關(guān)技術(shù)有三種:實時開關(guān)(R
27、eal-Time Switch),單向連接(One-Way Link)和網(wǎng)絡(luò)開關(guān)(Network Switch)。實時開關(guān)和單向連接的速度要快一些,網(wǎng)絡(luò)開關(guān)的速度要慢一些。 通常,物理隔離網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個獨立主機系統(tǒng)的信息安全設(shè)備。由于物理隔離網(wǎng)閘所連接的兩個獨立主機系統(tǒng)之間,不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議,不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā),只有數(shù)據(jù)文件的無協(xié)議“擺渡”,
28、且對固態(tài)存儲介質(zhì)只有“讀”和“寫”兩個命令。所以,物理隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接,使“黑客”無法入侵、無法攻擊、無法破壞,實現(xiàn)了真正的安全。,5.4.2 物理隔離網(wǎng)閘的安全模塊,物理隔離網(wǎng)閘要實現(xiàn)比物理隔離卡更高級別的安全保護功能,就必須有其特殊的安全功能模塊,這其中就包括: 安全隔離模塊:隔離硬件在兩個網(wǎng)絡(luò)上進行切換,通過對硬件上的存儲芯片的讀寫,完成數(shù)據(jù)的交換。 保證兩個網(wǎng)絡(luò)在鏈路層斷開,不與兩個網(wǎng)絡(luò)
29、同時連接,兩個網(wǎng)絡(luò)交換的數(shù)據(jù)必須是剝離TCP/IP協(xié)議后在應(yīng)用層之上進行。內(nèi)核防護模塊:在內(nèi)、外部處理單元中嵌入安全加固的操作系統(tǒng),設(shè)置基于內(nèi)核的IDS等。 安全檢查模塊:數(shù)據(jù)完整性檢查、病毒查殺、惡意攻擊代碼檢查等。 身份認證模塊:支持身份認證、數(shù)字簽名。 訪問控制模塊:實行強制訪問控制。安全審計模塊:建立完善日志系統(tǒng)。本節(jié)詳細內(nèi)容參見書本P176頁。,5.4.3 物理隔離網(wǎng)閘的主要功能和應(yīng)用領(lǐng)域,1. 物理隔離網(wǎng)閘的主要
30、功能 從隔離網(wǎng)閘所具有的安全模塊我們基本上可以看出物理網(wǎng)閘所具的如下安全保護功能:阻斷網(wǎng)絡(luò)的直接物理連接阻斷網(wǎng)絡(luò)的邏輯連接數(shù)據(jù)傳輸機制的不可編程性安全審查原始數(shù)據(jù)無危害性管理和控制功能根據(jù)需要建立數(shù)據(jù)特征庫根據(jù)需要提供定制安全策略和傳輸策略的功能支持定時/實時文件交換支持郵件同步,支持Web方式支持數(shù)據(jù)庫同步支持多種數(shù)據(jù)庫 2. 物理隔離網(wǎng)閘的主要應(yīng)用領(lǐng)域 物理隔離網(wǎng)閘的應(yīng)用目前
31、非常廣泛,特別是在有電子商務(wù)應(yīng)用的企事業(yè)單位和政府網(wǎng)絡(luò)中。典型的應(yīng)用方案如圖5-11示。本節(jié)詳細內(nèi)容參見書本P177~P178頁。,圖5-11 物理隔離網(wǎng)閘的典型應(yīng)用方案拓撲結(jié)構(gòu),5.4.4 主要物理隔離網(wǎng)閘產(chǎn)品類型,到目前為止,通常把市面上的物理隔離網(wǎng)閘產(chǎn)品分為兩代,即“第一代空氣開關(guān)型網(wǎng)閘”和“第二代專用交換通道型網(wǎng)閘。 第一代空氣開關(guān)型網(wǎng)閘的數(shù)據(jù)交換方式是利用單刀雙擲開關(guān)使得內(nèi)外處理單元分時存取共享存儲設(shè)備完成數(shù)據(jù)交換,
32、實現(xiàn)了在空氣縫隙隔離(Air Gap)情況下的數(shù)據(jù)交換。它的安全功能原理是通過應(yīng)用層數(shù)據(jù)提取與安全審查達到杜絕基于協(xié)議層的攻擊和增強應(yīng)用層安全的效果。它的拓撲結(jié)構(gòu)如圖5-12所示。 第二代專用交換通道型網(wǎng)閘的數(shù)據(jù)交換方式是利用專用高速通道、私有通信協(xié)議和加密簽名機制實現(xiàn)了在網(wǎng)絡(luò)隔離的情況下完成高速實時的數(shù)據(jù)交換。這的安全功能原理:通過應(yīng)用層數(shù)據(jù)提取與安全審查達到杜絕基于協(xié)議層的攻擊和增強應(yīng)用層安全的效果。它的網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖5-
33、13所示。,,圖5-12 第一代空氣開關(guān)型物理網(wǎng)閘應(yīng)用方案拓撲結(jié)構(gòu),圖5-13 第二代專用通道型物理隔離網(wǎng)閘應(yīng)用方案拓撲結(jié)構(gòu),5.4.5 物理隔離網(wǎng)閘的信息交換方式,計算機網(wǎng)絡(luò)依據(jù)物理連接和邏輯連接來實現(xiàn)不同網(wǎng)絡(luò)之間、不同主機之間、主機與終端之間的信息交換與信息共享。物理隔離網(wǎng)閘既然隔離、阻斷了網(wǎng)絡(luò)的所有連接,實際上就是隔離、阻斷了網(wǎng)絡(luò)的連通。網(wǎng)絡(luò)被隔離、阻斷后,兩個獨立主機系統(tǒng)之間如何進行信息交換呢?其實網(wǎng)絡(luò)只是信息交換的一種方式
34、,而不是全部。在互聯(lián)網(wǎng)時代以前,信息照樣進行交換,如數(shù)據(jù)文件復(fù)制(拷貝)、數(shù)據(jù)擺渡,數(shù)據(jù)鏡像,數(shù)據(jù)反射等等,物理隔離網(wǎng)閘就是使用數(shù)據(jù)“擺渡”的方式實現(xiàn)兩個網(wǎng)絡(luò)之間的信息交換。 網(wǎng)絡(luò)的外部主機系統(tǒng)通過物理隔離網(wǎng)閘與網(wǎng)絡(luò)的內(nèi)部主機系統(tǒng)“連接”起來,物理隔離網(wǎng)閘將外部主機的TCP/IP協(xié)議全部剝離,將原始數(shù)據(jù)通過存儲介質(zhì),以“擺渡”的方式導(dǎo)入到內(nèi)部主機系統(tǒng),實現(xiàn)信息的交換。物理隔離網(wǎng)閘在網(wǎng)絡(luò)的第七層將數(shù)據(jù)還原為原始數(shù)據(jù)文件,然后以“擺
35、渡文件”的形式來傳遞原始數(shù)據(jù)。,從以上信息交換過程可以看出,每一次數(shù)據(jù)交換,物理隔離網(wǎng)閘都經(jīng)歷了數(shù)據(jù)的寫入、數(shù)據(jù)讀出兩個過程;內(nèi)網(wǎng)與外網(wǎng)永不連接;內(nèi)網(wǎng)和外網(wǎng)在同一時刻最多只有一個同物理隔離網(wǎng)閘建立非TCP/IP協(xié)議的數(shù)據(jù)連接。整個網(wǎng)閘安全防護數(shù)據(jù)交換過程可從圖5-14中得出。,圖5-14 通過網(wǎng)閘進行數(shù)據(jù)交換的過程,本節(jié)詳細內(nèi)容參見書本P179~P180頁。,5.4.6 利普v2.0物理隔離網(wǎng)閘應(yīng)用方案,TIPTOP v2.0隔離網(wǎng)閘
36、(如圖5-15所示)具有以下主要功能和特點:應(yīng)用代理服務(wù)提供電子郵件收發(fā)服務(wù)提供文件下載和上傳服務(wù),圖5-15 TIPTOP v2.0物理隔離網(wǎng)閘,提供數(shù)據(jù)庫交換服務(wù)提供文件交換服務(wù)雙主機系統(tǒng)結(jié)構(gòu),確保工作安全可靠。獨有DTP物理隔離通道控制系統(tǒng)特有控制邏輯和專用通訊協(xié)議完全控制數(shù)據(jù)的實時交換專用安全操作系統(tǒng)及嵌入式程序 該產(chǎn)品的應(yīng)用方案如5-16圖所示。,本節(jié)詳細內(nèi)容參見書本P180~P181頁。,TIPTO
37、P v2.0網(wǎng)閘應(yīng)用方案拓撲結(jié)構(gòu),5.5 網(wǎng)絡(luò)隔離技術(shù),網(wǎng)絡(luò)隔離,英文全稱為“Network Isolation”,是網(wǎng)絡(luò)安全隔離技術(shù)的一種。它是指把兩個或兩個以上可路由的網(wǎng)絡(luò)(如:TCP/IP)通過不可路由的協(xié)議(如:IPX/SPX、NetBEUI等)進行數(shù)據(jù)交換而達到隔離目的。由于其原理主要是采用了不同的協(xié)議,所以通常也叫協(xié)議隔離(Protocol Isolation)。1997年,信息安全專家Mark Joseph Edwards
38、在他編寫的《Understanding Network Security》一書中,他就對協(xié)議隔離進行了歸類。在書中他明確地指出了協(xié)議隔離和防火墻隔離不屬于同類隔離方式。 5.5.1網(wǎng)絡(luò)隔離技術(shù)的發(fā)展 網(wǎng)絡(luò)隔離技術(shù)的得出,經(jīng)歷了以下幾個主要發(fā)展階段: 首先是前面介紹的“物理隔離”技術(shù),當然不再像以前那樣硬性要求兩個網(wǎng)絡(luò)完全沒有任何硬件或軟件的連接,而是通過某種措施實現(xiàn)兩個網(wǎng)絡(luò)的電氣方面的物理隔離。,這類產(chǎn)
39、品的杰出代表就是各種隔離模式的隔離卡。 第二個階段人產(chǎn)開始考慮從安全角度來考慮“網(wǎng)絡(luò)隔離”的含義了,這就是“安全隔離”。這種觀點主張以“安全隔離”來代替“物理隔離”。安全隔離主要對協(xié)議進行一些檢查,或?qū)崿F(xiàn)私有協(xié)議的轉(zhuǎn)換,但網(wǎng)絡(luò)是沒有斷開的。為了減少從寬的策略帶來的風險,安全隔離被限制在一定的環(huán)境下使用。安全隔離多采用直接連接的辦法,在機箱內(nèi)部,用網(wǎng)線將兩個主機連接起來,通過協(xié)議轉(zhuǎn)換的方式,進行聯(lián)網(wǎng)。安全隔離是一種網(wǎng)絡(luò)直接連接的方式
40、,兩個網(wǎng)絡(luò)是聯(lián)網(wǎng)的,這與前面的物理隔離中的不準進行網(wǎng)絡(luò)連接,不準聯(lián)網(wǎng),根本不一樣。 真正的“網(wǎng)絡(luò)隔離”理念還是近期的事,它是用“網(wǎng)絡(luò)隔離”來代替原來的“物理隔離”或“安全隔離”,更加貼近“網(wǎng)絡(luò)隔離”本身的含義。首先,隔離的概念是基于網(wǎng)絡(luò)的。沒有聯(lián)網(wǎng)就沒有隔離的必要。其次,沒有信息交換或資源共享的概念,也談不上隔離。隔離的本質(zhì)是在需要交換信息甚至是其享資源的情況下才出現(xiàn)。,5.5.2 網(wǎng)絡(luò)隔離技術(shù)的安全要點,一套真正的安全隔離產(chǎn)品
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 企業(yè)網(wǎng)絡(luò)安全管理
- 構(gòu)建企業(yè)網(wǎng)絡(luò)安全方案
- 構(gòu)建企業(yè)網(wǎng)絡(luò)安全方案
- 最新企業(yè)網(wǎng)絡(luò)安全應(yīng)急預(yù)案
- 企業(yè)網(wǎng)絡(luò)安全管理策略.pdf
- 企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計
- 最新企業(yè)網(wǎng)絡(luò)安全應(yīng)急預(yù)案
- 某企業(yè)網(wǎng)網(wǎng)絡(luò)安全整改方案
- 畢業(yè)設(shè)計---企業(yè)網(wǎng)絡(luò)安全實施
- 企業(yè)網(wǎng)絡(luò)安全技術(shù)研究.pdf
- 《企業(yè)網(wǎng)絡(luò)安全管理制度》
- 構(gòu)建企業(yè)網(wǎng)絡(luò)安全體系.pdf
- 淺談網(wǎng)絡(luò)安全技術(shù)與企業(yè)網(wǎng)絡(luò)安全解決方案研究
- 解決企業(yè)網(wǎng)絡(luò)安全的對策探討
- 企業(yè)網(wǎng)絡(luò)安全設(shè)計方案論文
- 畢業(yè)設(shè)計-企業(yè)網(wǎng)絡(luò)安全設(shè)計
- 企業(yè)網(wǎng)絡(luò)間的網(wǎng)絡(luò)隔離
- 網(wǎng)絡(luò)安全畢業(yè)設(shè)計--企業(yè)網(wǎng)絡(luò)中信息安全維護
- 畢業(yè)設(shè)計論文--企業(yè)網(wǎng)絡(luò)安全分析
- 制造企業(yè)網(wǎng)絡(luò)安全設(shè)計與實現(xiàn).pdf
評論
0/150
提交評論