基于网络隔离的数据交换原理.ppt

* 第十章网络隔离与网闸 操作系统漏洞、TCP/IP 协议漏洞、应用协议漏洞、木马和恶意代码等，就是网络隔离要解决的问题。本章要阐述网络隔离的原理和技术路线以及网闸的技术实现，重点回答在网络隔离的情况下实现安全数据交换的原理，进一步给出了一种网络隔离的产品形式即网闸的原理。网闸技术是一个技术体系，它包括物理层和数据链路层的断开技术，TCP/IP 层和应用层的断开技术， 应用数据交换技术， HTTP 应用交换的实现方式，网闸测试技术等，并给出了网闸的未来发展趋势。到目前为止，网闸是实现网络隔离而又安全的交换数据的最为成熟的技术和产品。 10.1 网络漏洞与隔离 网络隔离技术的目标是确保把有害的攻击隔离，在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网间数据的安全交换。网络隔离技术是在原有安全技术的基础上发展起来的，它弥补了原有安全技术的不足，突出了自己的优势。 网络隔离就是要解决目前网络安全存在的最根本问题： 对操作系统的依赖，因为操作系统也有漏洞 ；对 TCP/IP 协议的依赖，而 TCP/IP 协议有漏洞； 解决通信连接的问题，内网和外网直接连接，存在基于通信的攻击； 应用协议的漏洞，因为命令和指令可能是非法的。 10.2 网络隔离的技术原理 互联网是基于TCP/IP来进行通信的，而所有的攻击都可以归纳为对TCP/IP模型的某一层或某几层的攻击，因此最直接的办法就是断开所有OSI模型的七层。这样就可以消除基于网络各层的攻击。这就是网络隔离技术的原理。 1.物理层的断开 2.数据链路的断开 3.网络层的断开 4.传输层的断开 5.会话层的断开 7.应用层的断开 6.表现层的断开 10.3 网络隔离的技术路线 目前网络隔离的技术路线有三种：网络开关（Network Switcher），实时交换 （Real-time Switch）和单向连接（One Way Link）。 网络开关是比较容易理解的一种。在一个系统里安装两套虚拟系统和一个数据系统，数据被写入到一个虚拟系统，然后交换到数据系统，再交换到另一个虚拟系统。这种系统只适合于简单的文件交换，没有复杂的应用。实时交换，是一个网关处的设备，可以通过物理断开的方式连接两个网络，并且在两个网络间做到了网络协议终止，即只交换应用层数据，相当于在两个系统之间，共用一个交换设备，交换设备连接到网络 A，得到数据，然后交换到网络 B。这种系统适合于实时应用系统。单向连接，早期指数据向一个方向移动，一般指从高安全行的网络向安全性低的网络移动。这种系统只适合于数据单向迁移。本章重点讲述实时交换技术。 10.4 基于网络隔离的数据交换原理 网络隔离的一个特征，就是内网与外网永不连接。网络隔离的内部主机和外部主机在同一时间最多只有一个同网络隔离的固态存储介质建立非 TCP/IP 协议的数据连接。其数据传输机制是存储和转发。网络隔离的好处是明显的，即使 网在最坏的情况下，内网不会有任何破坏。修复外网系统也非常容易。 10.5 网闸 网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议摆渡，且对固态存储介质只有“读”和“写”两个命令。所以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使黑客无法入侵、无法攻击、无法破坏，实现了真正的安全。 安全隔离与信息交换系统，即网闸，是新一代高安全度的企业级信息安全防护设备，它依托安全隔离技术为信息网络提供了更高层次的安全防护能力，不仅使得信息网络的抗攻击能力大大增强，而且有效地防范了信息外泄事件的发生。 10.5 网闸 10.5.1 网闸的技术特征 1. 网闸的架构 网闸的架构至少是三模块架构。 2. 物理层断开技术 网闸采用的网络隔离技术，就是要保证网闸的外部主机和内部主机在任何时候是完全断开的。 3. 链路层断开技术 基于开关断开是可以建立一个完整的数据通信链路，因此必须消除数据链路的建立，这就是链路层断开技术。 4.应用协议的剥离和重建技术 为了消除应用协议（OSI 的 5 至 7 层）的漏洞，必须剥离应用协议。剥离应用协议后的原始数据，在经过网闸之后，必须代理重建应用协议。