企業(yè)網(wǎng)絡(luò)安全隔離

1、企業(yè)網(wǎng)絡(luò)安全隔離,針對(duì)敏感部門(mén)的保護(hù)，可以有幾種解決方案，一是在《網(wǎng)管員必讀——超級(jí)網(wǎng)管經(jīng)驗(yàn)談》一書(shū)中介紹的子網(wǎng)掩碼子網(wǎng)劃分方法，另一個(gè)就是在《網(wǎng)管員必讀——網(wǎng)絡(luò)應(yīng)用》一書(shū)中介紹的VLAN組劃分方法。還有一種就是本章將要介紹的網(wǎng)絡(luò)隔離方法，它是通過(guò)網(wǎng)絡(luò)物理來(lái)進(jìn)行的。 本章重點(diǎn)如下： 物理隔離原理 物理隔離卡技術(shù)及應(yīng)用 物理隔離網(wǎng)閘技術(shù)及應(yīng)用 網(wǎng)絡(luò)隔離技術(shù),5.1 隔離技術(shù),隔離技術(shù)是網(wǎng)絡(luò)安全技術(shù)的一個(gè)大門(mén)類(lèi)。隨著隔離技術(shù)

2、的近幾年飛速發(fā)展，目前的隔離技術(shù)已比較完善，涵蓋了幾乎所有級(jí)別用戶(hù)的網(wǎng)絡(luò)隔離需求。在許多文章中把這種用于網(wǎng)絡(luò)隔離的安全技術(shù)統(tǒng)稱(chēng)為“網(wǎng)絡(luò)隔離”。 5.1.1 隔離技術(shù)基礎(chǔ) 網(wǎng)絡(luò)中的“隔離”一詞與現(xiàn)實(shí)生活中的“隔離”存在某種認(rèn)識(shí)上的區(qū)別，從傳統(tǒng)意義來(lái)理解“隔離”使兩個(gè)網(wǎng)絡(luò)真正分開(kāi)，但這樣來(lái)談網(wǎng)絡(luò)安全是沒(méi)有任何意義的。事實(shí)上，網(wǎng)絡(luò)安全中的“隔離”后的兩個(gè)網(wǎng)絡(luò)并非完全沒(méi)有聯(lián)系，還是需要有正常的應(yīng)用層數(shù)據(jù)交換的。 目前可

3、以采用的隔離方法主要有以下三類(lèi)： 物理隔離：通過(guò)一定軟、硬件方法使得訪(fǎng)問(wèn)內(nèi)、外網(wǎng)的設(shè)備、線(xiàn)路、存儲(chǔ)均相對(duì)獨(dú)立。 網(wǎng)絡(luò)隔離：利用協(xié)議轉(zhuǎn)換進(jìn)行網(wǎng)間的數(shù)據(jù)交換。 安全隔離：利用專(zhuān)用設(shè)備實(shí)現(xiàn)僅在應(yīng)用層進(jìn)行數(shù)據(jù)交換。,2. 網(wǎng)絡(luò)隔離技術(shù)的發(fā)展歷程 到目前為止，整個(gè)網(wǎng)絡(luò)隔離技術(shù)的發(fā)展經(jīng)歷了以下五代： 第一代隔離技術(shù)——完全的隔離第二代隔離技術(shù)——硬件卡隔離第三代隔離技術(shù)——網(wǎng)絡(luò)協(xié)議隔離第四代隔離技術(shù)——空氣開(kāi)關(guān)網(wǎng)閘隔離第五代隔離技

4、術(shù)——安全網(wǎng)閘隔離 3. 網(wǎng)間不同層次的主安全威脅 網(wǎng)間的安全威脅主要來(lái)自來(lái)以下三個(gè)層次： 物理層：電氣攻擊、線(xiàn)路偵聽(tīng)、線(xiàn)路破壞等。 網(wǎng)絡(luò)層：拒絕服務(wù)攻擊、地址欺騙、碎片攻擊等。 應(yīng)用層：惡意代碼、垃圾郵件等。 本節(jié)詳細(xì)內(nèi)容參見(jiàn)書(shū)本P156~P157頁(yè)。,5.1.2 物理隔離原理,物理隔離可解決目前防火墻中存在的以下根本問(wèn)題： 防火墻對(duì)操作系統(tǒng)的依賴(lài)，因?yàn)椴僮飨到y(tǒng)也有漏洞，而物理隔離技術(shù)不依賴(lài)于操作系統(tǒng)。

5、 TCP/IP協(xié)議存在漏洞，而物理隔離不需要TCP/IP協(xié)議。 防火墻、內(nèi)網(wǎng)和DMZ同時(shí)直接連接，安全威脅仍然存在，而物理隔離不采用直接連接。 應(yīng)用協(xié)議的漏洞，因?yàn)槊詈椭噶羁赡苁欠欠ǖ模锢砀綦x只允許進(jìn)行數(shù)據(jù)交換，而不能運(yùn)行程序。 文件帶有病毒和惡意代碼，而物理隔離不支持MIME，只支持TXT，或殺病毒軟件，或惡意代碼檢查軟件。物理隔離的指導(dǎo)思想與防火墻有很大的不同：防火墻的思路是在保障互聯(lián)互通的前提下，盡可能安全，而物理

6、隔離的思路是在保證必須安全的前提下，盡可能互聯(lián)互通。但它們的隔離原理卻基本上一樣，具體配置方法參見(jiàn)書(shū)本P158~P159頁(yè)。,5.1.3 物理隔離產(chǎn)品的應(yīng)用方式,根據(jù)具體的網(wǎng)絡(luò)環(huán)境和所使用的網(wǎng)絡(luò)隔離設(shè)備可以有如下幾種應(yīng)用方案： 主機(jī)隔離解決方案 該方案屬于終端隔離解決方案，所采用的隔離產(chǎn)品是物理隔離卡產(chǎn)品。 通道隔離方案 該方案屬于信道隔離方案，所采用的安全隔離產(chǎn)品是網(wǎng)絡(luò)線(xiàn)路選擇器，當(dāng)然物理隔離卡也是必不可少的。 主機(jī)-

7、信道雙網(wǎng)隔離解決方案 該方案屬于混合隔離模式，所采用的隔離設(shè)備也有物理隔離卡和網(wǎng)絡(luò)線(xiàn)路選擇器。 主機(jī)-信道多網(wǎng)隔離解決方案該方案與上一方案其實(shí)差不多，只不過(guò)此處隔離的不僅是兩個(gè)網(wǎng)絡(luò)。所采用的設(shè)備同樣有物理隔離卡、網(wǎng)絡(luò)線(xiàn)路選擇器和網(wǎng)閘三類(lèi)。本節(jié)詳細(xì)內(nèi)容參見(jiàn)書(shū)本P160頁(yè)。,5.2 物理隔離卡產(chǎn)品及應(yīng)用,物理隔離卡技術(shù)是整個(gè)網(wǎng)絡(luò)物理隔離技術(shù)一個(gè)重要分支，也是目前應(yīng)用最廣的一種網(wǎng)絡(luò)隔離技術(shù)。目前最常見(jiàn)的物理隔離產(chǎn)品就是各種各樣的隔

8、離卡、網(wǎng)絡(luò)線(xiàn)路選擇器和網(wǎng)閘等。 5.2.1 認(rèn)識(shí)物理隔離卡 目前的物理隔離卡產(chǎn)品非常多樣，不同品牌或型號(hào)的隔離卡產(chǎn)品，與客戶(hù)端硬盤(pán)存儲(chǔ)設(shè)備的連接控制方式可能不同。有的是采用電源控制法，就是在隔離卡上提供兩個(gè)硬盤(pán)電源接口，把硬盤(pán)的電源連接在隔離卡的不同接口上，如圖5-1所示；而有些采取的是采用電源+數(shù)據(jù)線(xiàn)控制法，就是在隔離卡是同時(shí)提供兩個(gè)硬盤(pán)電源和數(shù)據(jù)電纜接口，把硬盤(pán)的電源和數(shù)據(jù)電纜連接在隔離卡的不同電源和數(shù)據(jù)電纜接口上

9、，如圖5-2所示。 從這兩個(gè)圖中可以看出，在隔離卡上還提供一個(gè)用于與主板硬盤(pán)接口連接的硬盤(pán)數(shù)據(jù)電纜接口和一個(gè)電源接口。,,圖5-1： 僅帶硬盤(pán)接口的隔離卡,圖5-2：同時(shí)帶有硬盤(pán)接口和硬盤(pán)電源接口的隔離卡,但要注意，有的隔離卡采用了PCI結(jié)構(gòu)，直接插到主板的PCI插槽中，所以無(wú)需另外提供電源，也就沒(méi)有這樣一個(gè)電源接口了，如圖5-3所示。,盡管隔離卡的磁盤(pán)接口和主機(jī)可能不一樣，但卻通常都提供雙網(wǎng)絡(luò)接口，用于連接內(nèi)、外網(wǎng)網(wǎng)絡(luò)。當(dāng)然

10、也有一些型號(hào)隔離卡產(chǎn)品雖然提供了雙網(wǎng)絡(luò)接口，但同時(shí)適用于單網(wǎng)線(xiàn)隔離模式。 本節(jié)詳細(xì)內(nèi)容參見(jiàn)書(shū)本P160~P162頁(yè)。,圖5-3 PCI主機(jī)接口隔離卡,5.2.2 主要物理隔離模式,目前主流的隔離模式有以下幾種：雙網(wǎng)/雙機(jī)模式雙硬盤(pán)/雙網(wǎng)線(xiàn)模式雙硬盤(pán)/單網(wǎng)線(xiàn)模式單硬盤(pán)/雙網(wǎng)線(xiàn)模式 以上各種隔離模式的具體配置方案和網(wǎng)絡(luò)結(jié)構(gòu)參見(jiàn)書(shū)本P162~P164頁(yè)。,5.2.3 圖文網(wǎng)絡(luò)安全物理隔離器,圖文網(wǎng)絡(luò)安全物理隔離器目

11、前主要有四種型號(hào)產(chǎn)品： 隔離器I型 隔離器I型（如圖5-4所示）是一種通過(guò)外置物理開(kāi)關(guān)來(lái)控制雙硬盤(pán)電源及雙網(wǎng)切換的隔離器，通常用于雙網(wǎng)線(xiàn)布線(xiàn)（即內(nèi)網(wǎng)、外網(wǎng)分開(kāi)布線(xiàn)）網(wǎng)絡(luò)。隔離器Ⅱ型 隔離器Ⅱ型（如圖5-5所示）是一種通過(guò)外置物理開(kāi)關(guān)來(lái)控制雙硬盤(pán)電源及雙網(wǎng)切換的物理隔離器。它具備Ⅰ型隔離器的全部功能，同時(shí)增加了單、雙網(wǎng)線(xiàn)的跳線(xiàn)設(shè)置，單、雙網(wǎng)線(xiàn)環(huán)境通用，通過(guò)隔離卡上的跳線(xiàn)區(qū)分單、雙網(wǎng)線(xiàn)，使用更靈活、更方便。隔離

12、器Ⅲ型,隔離器Ⅲ型（如圖5-6所示）是一種通過(guò)外置物理開(kāi)關(guān)來(lái)控制雙硬盤(pán)電源、IDE數(shù)據(jù)線(xiàn)及雙網(wǎng)切換的物理隔離器。它具備Ⅰ型隔離器的全部功能，同時(shí)增加了單、雙網(wǎng)線(xiàn)的跳線(xiàn)設(shè)置及對(duì)硬盤(pán)IDE線(xiàn)的控制及切換，兼容性更好，單、雙網(wǎng)線(xiàn)環(huán)境通用，通過(guò)隔離卡上的跳線(xiàn)區(qū)分單、雙網(wǎng)線(xiàn)，使用更靈活、更方便。,圖5-4：隔離器I型 圖5-5：隔離器Ⅱ型,隔離器IV型 隔離器IV型（如圖5-7所示）是一種通過(guò)外置物理開(kāi)關(guān)來(lái)控制雙硬盤(pán)電源及雙網(wǎng)切換的

13、物理隔離器，單、雙網(wǎng)線(xiàn)環(huán)境通用。,圖5-6：隔離器Ⅲ型 圖5-7：隔離器IV型,本節(jié)詳細(xì)內(nèi)容參見(jiàn)書(shū)本P164~P165頁(yè)。,5.2.4 圖文網(wǎng)絡(luò)安全物理隔離器,深圳市利譜信息技術(shù)有限公司的利普牌網(wǎng)絡(luò)隔離產(chǎn)品非常齊全，主要有以下幾個(gè)系列的產(chǎn)品。 1. 單硬盤(pán)系列 利普公司的單硬盤(pán)物理隔離卡有兩個(gè)主要的系列：TP-60X和TP-608，前者均采用純件分區(qū)，而后者均采用軟件分區(qū)。在TP-60X系列中又有以下幾

14、個(gè)型號(hào)的產(chǎn)品： TP-601隔離卡：?jiǎn)斡脖P(pán)工作，適用于內(nèi)外網(wǎng)時(shí)分開(kāi)布線(xiàn)（雙布線(xiàn)）的用戶(hù)。使用鼠標(biāo)在屏幕上軟件切換。 TP-602隔離卡：?jiǎn)斡脖P(pán)工作，適用于單機(jī)撥號(hào)方式的用戶(hù)。適用于ISDN、ADSL、Modem等撥號(hào)上網(wǎng)方式。使用鼠標(biāo)在屏幕上軟件切換。 TP-603隔離卡：?jiǎn)斡脖P(pán)工作，適用于內(nèi)外網(wǎng)共用一條網(wǎng)線(xiàn)（單布線(xiàn)） 的用戶(hù)，須配合網(wǎng)絡(luò)線(xiàn)路選擇器使用。使用鼠標(biāo)在屏幕上軟件切換。TP-60XH隔離卡：為半高單硬盤(pán)隔離卡。,在TP

15、-608系列隔離卡系列中又有如下幾個(gè)型號(hào)產(chǎn)品： TP-608A隔離卡：?jiǎn)斡脖P(pán)工作，適用于內(nèi)外網(wǎng)時(shí)分開(kāi)布線(xiàn)（雙布線(xiàn)）的用戶(hù)。它使用鼠標(biāo)在屏幕上軟件切換。 TP-608B隔離卡：?jiǎn)斡脖P(pán)工作，適用于內(nèi)外網(wǎng)共用一條網(wǎng)線(xiàn)（單布線(xiàn)） 的用戶(hù)，須配合網(wǎng)絡(luò)線(xiàn)路選擇器使用。使用鼠標(biāo)在屏幕上軟件切換。 TP-608H隔離卡：為半高單硬盤(pán)隔離卡。 2. 雙硬盤(pán)系列利普公司的單硬盤(pán)物理隔離卡有兩個(gè)主要的系列：TP-90X和TP-80X在TP—90X系

16、列雙硬盤(pán)隔離卡系列中又有以下幾個(gè)型號(hào)的產(chǎn)品： TP-901隔離卡：雙硬盤(pán)工作，適用于內(nèi)外網(wǎng)時(shí)分開(kāi)布線(xiàn)（雙布線(xiàn)）的用戶(hù)。使用鼠標(biāo)在屏幕上軟件切換。TP-902隔離卡：雙硬盤(pán)工作，適用于單機(jī)撥號(hào)方式的用戶(hù)。 適用于ISDN、ADSL、Modem等撥號(hào)上網(wǎng)方式。使用鼠標(biāo)在屏幕上軟件切換。TP-903隔離卡：雙硬盤(pán)工作，適用于內(nèi)外網(wǎng)共用一條網(wǎng)線(xiàn)（單布線(xiàn)）的用戶(hù)，須配合網(wǎng)絡(luò)線(xiàn)路選擇器使用。使用鼠標(biāo)在屏幕上軟件切換。,TP-90X隔離卡：采用

17、切換硬盤(pán)電源方式。 TP-90XD隔離卡：采用切換硬盤(pán)數(shù)據(jù)線(xiàn)方式。TP-90XK隔離卡：既可采用鼠標(biāo)點(diǎn)擊軟件切換,也可采用扭動(dòng)鑰匙切換。 TP-90XS隔離卡：適用于SATA標(biāo)準(zhǔn)的串口硬盤(pán)。 TP-90XQ隔離卡：快速切換隔離卡，采用特殊技術(shù)縮短重新啟動(dòng)時(shí)間。 TP-90XH隔離卡：為半高隔離卡。 TP-80X系列雙硬盤(pán)隔離卡有如下主要型號(hào)產(chǎn)品： TP-801隔離卡：雙硬盤(pán)工作，適用于內(nèi)外網(wǎng)時(shí)分開(kāi)布線(xiàn)（雙布線(xiàn)）的

18、用戶(hù).使用外置選擇開(kāi)關(guān)硬件切換。 TP-802隔離卡：雙硬盤(pán)工作，適用于單機(jī)撥號(hào)方式的用戶(hù)。適用于ISDN、ADSL、Modem等撥號(hào)上網(wǎng)方式，使用外置選擇開(kāi)關(guān)硬件切換。,TP-803隔離卡：雙硬盤(pán)工作，適用于內(nèi)外網(wǎng)共用一條網(wǎng)線(xiàn)（單布線(xiàn)）的用戶(hù)，須配合網(wǎng)絡(luò)線(xiàn)路選擇器使用。使用外置選擇開(kāi)關(guān)硬件切換。 TP-80X隔離卡：采用切換硬盤(pán)電源方式。 TP-80XD隔離卡：采用切換硬盤(pán)數(shù)據(jù)線(xiàn)方式。 TP-80XK隔離卡：采用三段選擇開(kāi)關(guān)，

19、可鎖機(jī)，可通過(guò)扭動(dòng)鑰匙切換，機(jī)械鎖匙萬(wàn)把中無(wú)重復(fù)。 TP-80XH隔離卡：為半高隔離卡。3. 單硬盤(pán)切換卡 是一種適用于單硬盤(pán)、軟件切換方式的隔離卡，必須配合該公司的IP切換軟件才能使用。主要有兩種型號(hào)：NS-908終端網(wǎng)絡(luò)切換卡和GS-208服務(wù)器網(wǎng)絡(luò)切換卡。 NS-908終端網(wǎng)絡(luò)切換卡：須配合IP切換軟件TIPTOP V3.0，適用雙布線(xiàn)網(wǎng)絡(luò)環(huán)境，終端用戶(hù)使用。GS-208服務(wù)器網(wǎng)絡(luò)切換卡：是一個(gè)專(zhuān)用于服務(wù)器端的物理

20、切換卡系列，其中GS-208A 用于雙布線(xiàn)環(huán)境；GS-208B用于單布線(xiàn)環(huán)境，需與利譜公司生產(chǎn)的線(xiàn)路選擇器配套使用。均可自動(dòng)完成兩個(gè)網(wǎng)絡(luò)間的物理切換。本節(jié)詳細(xì)內(nèi)容參見(jiàn)書(shū)本P166~P172頁(yè)。,5.3 網(wǎng)絡(luò)線(xiàn)路選擇器產(chǎn)品及應(yīng)用,目前能生產(chǎn)網(wǎng)絡(luò)線(xiàn)路選擇器產(chǎn)品的廠(chǎng)商比較多，在此僅以深圳利普公司的產(chǎn)品為例進(jìn)行介紹。 5.3.1 LS-8網(wǎng)絡(luò)線(xiàn)路選擇器及應(yīng)用 LS-8是深圳利普公司的一款24口，可連接8個(gè)終端的網(wǎng)絡(luò)線(xiàn)路選擇器

21、。它所連接的終端用戶(hù)必須采用該公司生產(chǎn)的TP-903、TP-803、TP-603型隔離卡。它提供了內(nèi)外網(wǎng)網(wǎng)線(xiàn)的二選一功能，可根據(jù)用戶(hù)桌面選擇使同一條網(wǎng)線(xiàn)分時(shí)傳送內(nèi)外兩個(gè)不同網(wǎng)絡(luò)；支持各種網(wǎng)絡(luò)協(xié)議；支持IEEE 802.3 10BASE-T，IEEE 802.3u 100BASE-TX網(wǎng)絡(luò)標(biāo)準(zhǔn)；RJ45網(wǎng)絡(luò)接口，支持10M以太網(wǎng)、100M快速以太網(wǎng)；支持3、4、5類(lèi)UTP雙絞網(wǎng)線(xiàn)。 LS-8的單布線(xiàn)（雙網(wǎng)單線(xiàn)）解決方案如圖5-8所

22、示。本方案用于內(nèi)外網(wǎng)未分別布線(xiàn)的網(wǎng)絡(luò)，即單布線(xiàn)網(wǎng)絡(luò)環(huán)境。配合使用TIPTOP網(wǎng)絡(luò)線(xiàn)路選擇器，不需重新布線(xiàn)，所有用戶(hù)均可連接互聯(lián)網(wǎng)，同時(shí)確保兩個(gè)網(wǎng)絡(luò)之間物理隔離。,,圖5-8 LS-8網(wǎng)絡(luò)線(xiàn)路選擇器單布線(xiàn)/雙硬盤(pán)隔離方案,本節(jié)詳細(xì)內(nèi)容參見(jiàn)書(shū)本P173頁(yè)。,5.3.2 LS-24網(wǎng)絡(luò)線(xiàn)路選擇器及應(yīng)用,這是利普公司的一款72口，可以連接24個(gè)（72/3）終端隔離用戶(hù)的網(wǎng)絡(luò)線(xiàn)路選擇器，占2U機(jī)位，如圖5-9所示。它所連接的終端隔離用戶(hù)也必須使

23、用該公司生產(chǎn)的TP-903、TP-803、TP-603型物理隔離卡。其性能與前面介紹的LS-8差不多，不同的只是所提供的端口數(shù)，本機(jī)為72口（最多可連接24個(gè)終端用戶(hù)），而LS-8為24口（最多可連接8個(gè)終端用戶(hù)）。網(wǎng)絡(luò)應(yīng)用方案也可參見(jiàn)圖5-8。,圖5-9 利譜LS-24網(wǎng)絡(luò)線(xiàn)路選擇器,5.3.3 NS-16網(wǎng)絡(luò)切換器及應(yīng)用,NS-16適用單布線(xiàn)網(wǎng)絡(luò)環(huán)境，可連接16個(gè)終端（共48口），占1U機(jī)位。終端無(wú)須加裝隔離卡，在用戶(hù)端軟件的控制下

24、，即可完成網(wǎng)絡(luò)切換。NS-16的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖5-10所示。其主要性能和特點(diǎn)參見(jiàn)書(shū)中P174頁(yè)。,圖5-10 NS-16網(wǎng)絡(luò)切換器單網(wǎng)線(xiàn)解決方案,5.4 物理隔離網(wǎng)閘,在物理隔離方面，除了前面介紹的物理隔離卡、網(wǎng)絡(luò)線(xiàn)路選擇器、網(wǎng)絡(luò)切換器等，還有另一種安全級(jí)別更高的隔離技術(shù)，那就是物理隔離網(wǎng)閘技術(shù)。它主要應(yīng)用于一些政府、金融、證券網(wǎng)絡(luò)等安全級(jí)別要求非常高的單位中。 5.4.1 物理隔離網(wǎng)閘概述 近年來(lái)，隨著我國(guó)信息

25、化建設(shè)步伐的加快，“電子政務(wù)”應(yīng)運(yùn)而生，并以前所未有的速度發(fā)展。電子政務(wù)體現(xiàn)在社會(huì)生活的各個(gè)方面：工商注冊(cè)申報(bào)、網(wǎng)上報(bào)稅、網(wǎng)上報(bào)關(guān)、基金項(xiàng)目申報(bào)等等。電子政務(wù)與國(guó)家和個(gè)人的利益密切相關(guān)，在我國(guó)電子政務(wù)系統(tǒng)建設(shè)中，外部網(wǎng)絡(luò)連接著廣大民眾，內(nèi)部網(wǎng)絡(luò)連接著政府公務(wù)員桌面辦公系統(tǒng)，專(zhuān)網(wǎng)連接著各級(jí)政府的信息系統(tǒng)，在外網(wǎng)、內(nèi)網(wǎng)、專(zhuān)網(wǎng)之間交換信息是基本要求。如何在保證內(nèi)網(wǎng)和專(zhuān)網(wǎng)資源安全的前提下，實(shí)現(xiàn)從民眾到政府的網(wǎng)絡(luò)暢通、資源共享、方便快捷是電子政務(wù)

26、系統(tǒng)建設(shè)中必須解決的技術(shù)問(wèn)題。,一般采取的方法是在內(nèi)網(wǎng)與外網(wǎng)之間實(shí)行防火墻的邏輯隔離，在內(nèi)網(wǎng)與專(zhuān)網(wǎng)之間實(shí)行物理隔離。但物理隔離網(wǎng)閘成為電子政務(wù)信息系統(tǒng)必須配置的設(shè)備，由此開(kāi)始，物理隔離網(wǎng)閘產(chǎn)品與技術(shù)在我國(guó)快速興起，成為我國(guó)信息安全產(chǎn)業(yè)發(fā)展的一個(gè)新的增長(zhǎng)點(diǎn)。 物理隔離網(wǎng)閘也屬于物理隔離產(chǎn)品，是采用控制開(kāi)關(guān)關(guān)網(wǎng)絡(luò)選擇控制的，不過(guò)它與物理隔離卡所采用的控制開(kāi)關(guān)不一樣，性能要高。目前常見(jiàn)的物理隔離開(kāi)關(guān)技術(shù)有三種：實(shí)時(shí)開(kāi)關(guān)（R

27、eal-Time Switch），單向連接（One-Way Link）和網(wǎng)絡(luò)開(kāi)關(guān)（Network Switch）。實(shí)時(shí)開(kāi)關(guān)和單向連接的速度要快一些，網(wǎng)絡(luò)開(kāi)關(guān)的速度要慢一些。 通常，物理隔離網(wǎng)閘是使用帶有多種控制功能的固態(tài)開(kāi)關(guān)讀寫(xiě)介質(zhì)連接兩個(gè)獨(dú)立主機(jī)系統(tǒng)的信息安全設(shè)備。由于物理隔離網(wǎng)閘所連接的兩個(gè)獨(dú)立主機(jī)系統(tǒng)之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無(wú)協(xié)議“擺渡”，

28、且對(duì)固態(tài)存儲(chǔ)介質(zhì)只有“讀”和“寫(xiě)”兩個(gè)命令。所以，物理隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使“黑客”無(wú)法入侵、無(wú)法攻擊、無(wú)法破壞，實(shí)現(xiàn)了真正的安全。,5.4.2 物理隔離網(wǎng)閘的安全模塊,物理隔離網(wǎng)閘要實(shí)現(xiàn)比物理隔離卡更高級(jí)別的安全保護(hù)功能，就必須有其特殊的安全功能模塊，這其中就包括： 安全隔離模塊：隔離硬件在兩個(gè)網(wǎng)絡(luò)上進(jìn)行切換，通過(guò)對(duì)硬件上的存儲(chǔ)芯片的讀寫(xiě)，完成數(shù)據(jù)的交換。 保證兩個(gè)網(wǎng)絡(luò)在鏈路層斷開(kāi)，不與兩個(gè)網(wǎng)絡(luò)

29、同時(shí)連接，兩個(gè)網(wǎng)絡(luò)交換的數(shù)據(jù)必須是剝離TCP/IP協(xié)議后在應(yīng)用層之上進(jìn)行。內(nèi)核防護(hù)模塊：在內(nèi)、外部處理單元中嵌入安全加固的操作系統(tǒng)，設(shè)置基于內(nèi)核的IDS等。 安全檢查模塊：數(shù)據(jù)完整性檢查、病毒查殺、惡意攻擊代碼檢查等。 身份認(rèn)證模塊：支持身份認(rèn)證、數(shù)字簽名。 訪(fǎng)問(wèn)控制模塊：實(shí)行強(qiáng)制訪(fǎng)問(wèn)控制。安全審計(jì)模塊：建立完善日志系統(tǒng)。本節(jié)詳細(xì)內(nèi)容參見(jiàn)書(shū)本P176頁(yè)。,5.4.3 物理隔離網(wǎng)閘的主要功能和應(yīng)用領(lǐng)域,1. 物理隔離網(wǎng)閘的主要

30、功能 從隔離網(wǎng)閘所具有的安全模塊我們基本上可以看出物理網(wǎng)閘所具的如下安全保護(hù)功能：阻斷網(wǎng)絡(luò)的直接物理連接阻斷網(wǎng)絡(luò)的邏輯連接數(shù)據(jù)傳輸機(jī)制的不可編程性安全審查原始數(shù)據(jù)無(wú)危害性管理和控制功能根據(jù)需要建立數(shù)據(jù)特征庫(kù)根據(jù)需要提供定制安全策略和傳輸策略的功能支持定時(shí)/實(shí)時(shí)文件交換支持郵件同步,支持Web方式支持?jǐn)?shù)據(jù)庫(kù)同步支持多種數(shù)據(jù)庫(kù) 2. 物理隔離網(wǎng)閘的主要應(yīng)用領(lǐng)域 物理隔離網(wǎng)閘的應(yīng)用目前

31、非常廣泛，特別是在有電子商務(wù)應(yīng)用的企事業(yè)單位和政府網(wǎng)絡(luò)中。典型的應(yīng)用方案如圖5-11示。本節(jié)詳細(xì)內(nèi)容參見(jiàn)書(shū)本P177~P178頁(yè)。,圖5-11 物理隔離網(wǎng)閘的典型應(yīng)用方案拓?fù)浣Y(jié)構(gòu),5.4.4 主要物理隔離網(wǎng)閘產(chǎn)品類(lèi)型,到目前為止，通常把市面上的物理隔離網(wǎng)閘產(chǎn)品分為兩代，即“第一代空氣開(kāi)關(guān)型網(wǎng)閘”和“第二代專(zhuān)用交換通道型網(wǎng)閘。 第一代空氣開(kāi)關(guān)型網(wǎng)閘的數(shù)據(jù)交換方式是利用單刀雙擲開(kāi)關(guān)使得內(nèi)外處理單元分時(shí)存取共享存儲(chǔ)設(shè)備完成數(shù)據(jù)交換，

32、實(shí)現(xiàn)了在空氣縫隙隔離（Air Gap）情況下的數(shù)據(jù)交換。它的安全功能原理是通過(guò)應(yīng)用層數(shù)據(jù)提取與安全審查達(dá)到杜絕基于協(xié)議層的攻擊和增強(qiáng)應(yīng)用層安全的效果。它的拓?fù)浣Y(jié)構(gòu)如圖5-12所示。 第二代專(zhuān)用交換通道型網(wǎng)閘的數(shù)據(jù)交換方式是利用專(zhuān)用高速通道、私有通信協(xié)議和加密簽名機(jī)制實(shí)現(xiàn)了在網(wǎng)絡(luò)隔離的情況下完成高速實(shí)時(shí)的數(shù)據(jù)交換。這的安全功能原理：通過(guò)應(yīng)用層數(shù)據(jù)提取與安全審查達(dá)到杜絕基于協(xié)議層的攻擊和增強(qiáng)應(yīng)用層安全的效果。它的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖5-

33、13所示。,,圖5-12 第一代空氣開(kāi)關(guān)型物理網(wǎng)閘應(yīng)用方案拓?fù)浣Y(jié)構(gòu),圖5-13 第二代專(zhuān)用通道型物理隔離網(wǎng)閘應(yīng)用方案拓?fù)浣Y(jié)構(gòu),5.4.5 物理隔離網(wǎng)閘的信息交換方式,計(jì)算機(jī)網(wǎng)絡(luò)依據(jù)物理連接和邏輯連接來(lái)實(shí)現(xiàn)不同網(wǎng)絡(luò)之間、不同主機(jī)之間、主機(jī)與終端之間的信息交換與信息共享。物理隔離網(wǎng)閘既然隔離、阻斷了網(wǎng)絡(luò)的所有連接，實(shí)際上就是隔離、阻斷了網(wǎng)絡(luò)的連通。網(wǎng)絡(luò)被隔離、阻斷后，兩個(gè)獨(dú)立主機(jī)系統(tǒng)之間如何進(jìn)行信息交換呢？其實(shí)網(wǎng)絡(luò)只是信息交換的一種方式

34、，而不是全部。在互聯(lián)網(wǎng)時(shí)代以前，信息照樣進(jìn)行交換，如數(shù)據(jù)文件復(fù)制（拷貝）、數(shù)據(jù)擺渡，數(shù)據(jù)鏡像，數(shù)據(jù)反射等等，物理隔離網(wǎng)閘就是使用數(shù)據(jù)“擺渡”的方式實(shí)現(xiàn)兩個(gè)網(wǎng)絡(luò)之間的信息交換。 網(wǎng)絡(luò)的外部主機(jī)系統(tǒng)通過(guò)物理隔離網(wǎng)閘與網(wǎng)絡(luò)的內(nèi)部主機(jī)系統(tǒng)“連接”起來(lái)，物理隔離網(wǎng)閘將外部主機(jī)的TCP/IP協(xié)議全部剝離，將原始數(shù)據(jù)通過(guò)存儲(chǔ)介質(zhì)，以“擺渡”的方式導(dǎo)入到內(nèi)部主機(jī)系統(tǒng)，實(shí)現(xiàn)信息的交換。物理隔離網(wǎng)閘在網(wǎng)絡(luò)的第七層將數(shù)據(jù)還原為原始數(shù)據(jù)文件，然后以“擺

35、渡文件”的形式來(lái)傳遞原始數(shù)據(jù)。,從以上信息交換過(guò)程可以看出，每一次數(shù)據(jù)交換，物理隔離網(wǎng)閘都經(jīng)歷了數(shù)據(jù)的寫(xiě)入、數(shù)據(jù)讀出兩個(gè)過(guò)程；內(nèi)網(wǎng)與外網(wǎng)永不連接；內(nèi)網(wǎng)和外網(wǎng)在同一時(shí)刻最多只有一個(gè)同物理隔離網(wǎng)閘建立非TCP/IP協(xié)議的數(shù)據(jù)連接。整個(gè)網(wǎng)閘安全防護(hù)數(shù)據(jù)交換過(guò)程可從圖5-14中得出。,圖5-14 通過(guò)網(wǎng)閘進(jìn)行數(shù)據(jù)交換的過(guò)程,本節(jié)詳細(xì)內(nèi)容參見(jiàn)書(shū)本P179~P180頁(yè)。,5.4.6 利普v2.0物理隔離網(wǎng)閘應(yīng)用方案,TIPTOP v2.0隔離網(wǎng)閘

36、（如圖5-15所示）具有以下主要功能和特點(diǎn)：應(yīng)用代理服務(wù)提供電子郵件收發(fā)服務(wù)提供文件下載和上傳服務(wù),圖5-15 TIPTOP v2.0物理隔離網(wǎng)閘,提供數(shù)據(jù)庫(kù)交換服務(wù)提供文件交換服務(wù)雙主機(jī)系統(tǒng)結(jié)構(gòu)，確保工作安全可靠。獨(dú)有DTP物理隔離通道控制系統(tǒng)特有控制邏輯和專(zhuān)用通訊協(xié)議完全控制數(shù)據(jù)的實(shí)時(shí)交換專(zhuān)用安全操作系統(tǒng)及嵌入式程序 該產(chǎn)品的應(yīng)用方案如5-16圖所示。,本節(jié)詳細(xì)內(nèi)容參見(jiàn)書(shū)本P180~P181頁(yè)。,TIPTO

37、P v2.0網(wǎng)閘應(yīng)用方案拓?fù)浣Y(jié)構(gòu),5.5 網(wǎng)絡(luò)隔離技術(shù),網(wǎng)絡(luò)隔離，英文全稱(chēng)為“Network Isolation”，是網(wǎng)絡(luò)安全隔離技術(shù)的一種。它是指把兩個(gè)或兩個(gè)以上可路由的網(wǎng)絡(luò)（如：TCP/IP）通過(guò)不可路由的協(xié)議（如：IPX/SPX、NetBEUI等）進(jìn)行數(shù)據(jù)交換而達(dá)到隔離目的。由于其原理主要是采用了不同的協(xié)議，所以通常也叫協(xié)議隔離（Protocol Isolation）。1997年，信息安全專(zhuān)家Mark Joseph Edwards

38、在他編寫(xiě)的《Understanding Network Security》一書(shū)中，他就對(duì)協(xié)議隔離進(jìn)行了歸類(lèi)。在書(shū)中他明確地指出了協(xié)議隔離和防火墻隔離不屬于同類(lèi)隔離方式。 5.5.1網(wǎng)絡(luò)隔離技術(shù)的發(fā)展 網(wǎng)絡(luò)隔離技術(shù)的得出，經(jīng)歷了以下幾個(gè)主要發(fā)展階段： 首先是前面介紹的“物理隔離”技術(shù)，當(dāng)然不再像以前那樣硬性要求兩個(gè)網(wǎng)絡(luò)完全沒(méi)有任何硬件或軟件的連接，而是通過(guò)某種措施實(shí)現(xiàn)兩個(gè)網(wǎng)絡(luò)的電氣方面的物理隔離。,這類(lèi)產(chǎn)

39、品的杰出代表就是各種隔離模式的隔離卡。 第二個(gè)階段人產(chǎn)開(kāi)始考慮從安全角度來(lái)考慮“網(wǎng)絡(luò)隔離”的含義了，這就是“安全隔離”。這種觀點(diǎn)主張以“安全隔離”來(lái)代替“物理隔離”。安全隔離主要對(duì)協(xié)議進(jìn)行一些檢查，或?qū)崿F(xiàn)私有協(xié)議的轉(zhuǎn)換，但網(wǎng)絡(luò)是沒(méi)有斷開(kāi)的。為了減少?gòu)膶挼牟呗詭?lái)的風(fēng)險(xiǎn)，安全隔離被限制在一定的環(huán)境下使用。安全隔離多采用直接連接的辦法，在機(jī)箱內(nèi)部，用網(wǎng)線(xiàn)將兩個(gè)主機(jī)連接起來(lái)，通過(guò)協(xié)議轉(zhuǎn)換的方式，進(jìn)行聯(lián)網(wǎng)。安全隔離是一種網(wǎng)絡(luò)直接連接的方式

40、，兩個(gè)網(wǎng)絡(luò)是聯(lián)網(wǎng)的，這與前面的物理隔離中的不準(zhǔn)進(jìn)行網(wǎng)絡(luò)連接，不準(zhǔn)聯(lián)網(wǎng)，根本不一樣。 真正的“網(wǎng)絡(luò)隔離”理念還是近期的事，它是用“網(wǎng)絡(luò)隔離”來(lái)代替原來(lái)的“物理隔離”或“安全隔離”，更加貼近“網(wǎng)絡(luò)隔離”本身的含義。首先，隔離的概念是基于網(wǎng)絡(luò)的。沒(méi)有聯(lián)網(wǎng)就沒(méi)有隔離的必要。其次，沒(méi)有信息交換或資源共享的概念，也談不上隔離。隔離的本質(zhì)是在需要交換信息甚至是其享資源的情況下才出現(xiàn)。,5.5.2 網(wǎng)絡(luò)隔離技術(shù)的安全要點(diǎn),一套真正的安全隔離產(chǎn)品