本
文
摘
要
安全隔离网闸介绍
定义
安全隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立网络系统的信息安全设备。由于物理隔离网闸所连接的两个独立网络系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的 无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全。
功能模块
安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证。
主要功能
1、阻断网络的直接物理连接:物理隔离网闸在任何时刻都只能与非可信网络和可信网络上之一相连接,而不能同时与两个网络连接; 2、阻断网络的逻辑连接:物理隔离网闸不依赖操作系统、不支持TCP/IP协议。两个网络之间的信息交换必须将 TCP/IP 协议剥离, 将原始数据通过 P2P 的非 TCP/IP 连接方式,通过存储介质的“写入” 与“读出”完成数据转发; 3、安全审查:物理隔离网闸具有安全审查功能,即网络在将原始数据“写入”物理隔离网闸前,根据需要对原始数据的安全性进行检查,把可能的病毒代码、恶意攻击代码消灭干净等;4、原始数据无危害性:物理隔离网闸转发的原始数据,不具有攻击或对网络安全有害的特性。就像 txt 文本不会有病毒一样,也不会执行命令等。 5、管理和控制功能:建立完善的日志系统。 6、根据需要建立数据特征库:在应用初始化阶段,结合应用要求,提取应用数据的特征,形成用户特有的数据特征库,作为运行过程中数据校验的基础。当用户请求时,提取用户的应用数据,抽取数据特征和原始数据特征库比较,符合原始特征库的数据请求进入请求队列,不符合的返回用户,实现对数据的过滤。7、根据需要提供定制安全策略和传输策略的功能:用户可以自行设定数据的传输策略,如:传输单位(基于数据还是基于任务)、传输间隔、传输方向、传输时间、启动时间等。8、支持定时/实时文件交换;支持支持单向/双向文件交换;支持数字签名、内容过滤、病毒检查等功能。
工作原理
安全隔离网闸的组成:安全隔离网闸是实现两个相互业务隔离的网络之间的数据交换,通用的网闸模型设计一般分三个基本部分: 1、内网处理单元:包括内网接口单元与内网数据缓冲区。接口部分负责与内网的连接,并终止内网用户的网络连接,对数据进行病 毒检测、防火墙、入侵防护等安全检测后剥离出“纯数据”,作好交换的准备,也完成来自内网对用户身份的确认,确保数据的安全通道;数据缓冲区是存放并调度剥离后的数据,负责与隔离交换单元的数据 交换。 2、外网处理单元:与内网处理单元功能相同,但处理的是外网连接。 3、隔离与交换控制单元(隔离硬件):是网闸隔离控制的摆渡控制,控制交换通道的开启与关闭。控制单元中包含一个数据交换区,就是数据交换中的摆渡船。对交换通道的控制的方式目前有两种技术,摆渡开关与通道控制。摆渡开关是电子倒换开关,让数据交换区与内外网在任意时刻的不同时连接,形成空间间隔 GAP,实现物理隔离。通道方式是在内外网之间改变通讯模式,中断了内外网的直接连接,采用私密的通讯手段形成内外网的物理隔离。该单元中有一个数据交 换区,作为交换数据的中转。其中,三个单元都要求其软件的操作系统是安全的,也就是采用非通用的操作系统,或改造后的专用操作系统。一般为 Unix BSD 或 Linux 的经安全精简版本,或者其他是嵌入式操作系统等,但都要对底层不需要的协议、服务删除,使用的协议优化改造,增加安全特性,同时提高效率。如果针对网络七层协议,安全隔离网闸是在硬件链路层上断开。
区别比较
1、与物理隔离卡的区别安全隔离网闸与物理隔离卡最主要的区别是,安全隔离网闸能够实现两个网络间的自动的安全适度的信息交换,而物理隔离卡只能提供一台计算机在两个网之间切换,并且需要手动操作,大部分的隔离卡还要求系统重新启动以便切换硬盘。2、网络交换信息的区别安全隔离网闸在网络间进行的安全适度的信息交换是在网络之间不存在链路层连接的情况下进行的。安全隔离网闸直接处理网络间的应用层数据,利用存储转发的方法进行应用数据的交换,在交换的同 时,对应用数据进行的各种安全检查。路由器、交换机则保持链路层畅通,在链路层之上进行IP包等网络层数据的直接转发,没有考虑 网络安全和数据安全的问题。3、与防火墙的区别防火墙一般在进行IP包转发的同时,通过对IP包的处理,实现对TCP会话的控制,但是对应用数据的内容不进行检查。这种工作方式无法防止泄密,也无法防止病毒和黑客程序的攻击。
部署方式
1、涉密网与非涉密网之间2、局域网与互联网之间(内网与外网之间) 3、办公网与业务网之间 4、业务网与互联网之间
免费资料分享
最近有同学跟我要网络及网路安全技术方面的资料,我特意花一个月时间,总结了我15年网络及网络安全技术领域工作经验,收集了这份史上最良心、最硬核、最实用的「网络及网路安全工程师从入门到高级教程+实验模拟工具包+项目案例合集」,无偿分享给大家。
资料包几乎覆盖了主流厂商(思科、华为、新华三)认证的初级/高级网络工程师培训教材、教学视频、1:1实验模拟器等等,非常适合初学者入门和进阶。
除此以外,再分享我主导或者参与过的各种中大型项目案例合集,包含设备配置方法+网络拓扑图示例+涉及的技术讲解,让你迅速掌握各类网络及网络安全项目现场实施经验,成为项目实战型网络及网络安全高手,迈入高薪IT人才行列!
如果你决心成为一个优秀的网络及网络安全工程师,请一定要保存起来好好学习!
后期我也会组建一些技术交流群,让大家能认识更多的大佬,有个好的圈子,你对行业的认知将在最前沿。
大家想要上面「网络及网路安全技术入门到高级教程工具包 + 进入网络及网路安全技术交流群」,可以关注老欧