第1页共42页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页共42页中网物理隔离产品白皮书总论物理隔离产品是用来解决网络安全问题的。尤其是在那些需要绝对保证安全的保密网,专网和特种网络与互联网进行连接时,为了防止来自互联网的攻击和保证这些高安全性网络的保密性、安全性、完整性、防抵赖和高可用性,几乎全部要求采用物理隔离技术。学术界一般认为,最早提出物理隔离技术的,应该是以色列和美国的军方。但是到目前为止,并没有完整的关于物理隔离技术的定义和标准。从不同时期的用词也可以看出,物理隔离技术一直在演变和发展。较早的用词为PhysicalDisconnection,Disconnection有使断开,切断,不连接的意思,直译为物理断开。这种情况是完全可以理解,保密网与互联网连接后,出现很多问题,在没有解决安全问题或没有解决问题的技术手段之前,先断开再说。后来有PhysicalSeparation,Separation有分开,分离,间隔和距离的意思,直译为物理分开。后期发现完全断开也不是办法,互联网总还是要用的,采取的策略多为该连的第2页共42页第1页共42页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第2页共42页连,不该连的不连。这样的该连的部分与不该连的部分要分开。也有PhysicalIsolation,Isolation有孤立,隔离,封闭,绝缘的意思,直译为物理封闭。事实上,没有与互联网相连的系统不多,互联网的用途还是很大,因此,希望能将一部分高安全性的网络隔离封闭起来。再后来多使用PhysicalGap,Gap有豁口,裂口,缺口和差异的意思,直译为物理隔离,意为通过制造物理的豁口,来达到隔离的目的。到这个时候,Physical这个词显得非常僵硬,于是有人用AirGap来代替PhysicalGap。AirGap意为空气豁口,很明显在物理上是隔开的。但有人不同意,理由是空气豁口就"物理隔离"了吗?没有,电磁辐射,无线网络,卫星等都是空气豁口,却没有物理隔离,甚至连逻辑上都没有隔离。于是,E-Gap,Netgap,I-Gap等都出来了。现在,一般称GapTechnology,意为物理隔离,成为互联网上一个专用名词。对物理隔离的理解表现为以下几个方面:第3页共42页第2页共42页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第3页共42页1,阻断网络的直接连接,即没有两个网络同时连在隔离设备上;2,阻断网络的互联网逻辑连接,即TCP/IP的协议必需被剥离,将原始数据通过P2P的非TCP/IP连接协议透过隔离设备传递;3,隔离设备的传输机制具有不可编程的特性,因此不具有感染的特性;4,任何数据都是通过两级移动代理的方式来完成,两级移动代理之间是物理隔离的;5,隔离设备具有审查的功能;6,隔离设备传输的原始数据,不具有攻击或对网络安全有害的特性。就像txt文本不会有病毒一样,也不会执行命令等。7,强大的管理和控制功能。网络安全的体系架构的演变要对物理隔离技术有一个深入的了解,必须对网络安全体系架构有深入的研究。要了解网络安全的架构体系,从目前网络安全市场的第4页共42页第3页共42页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第4页共42页构成就可以初见端倪。防火墙,防病毒,VPN和入侵检测(IDS),是市场的主流产品。安全体系以防火墙为核心,向联动的方向发展。因此,要了解网络安全的架构体系的演变,必须防火墙进行深入的了解。现状目前,市场上销售量第一和第二的防火墙都使用一种被称为状态检测包隔离的技术,StatefulInspectionPacketFiltering(SIPF)。状态检测有两大优势,一是速度快,二是具有很大的灵活性。这也是SIPF为什么受欢迎的原因。有人会注意到我们甚至没有提到安全性,尽管人们要买防火墙,听起来是要解决安全问题,但安全性不是人们选择防火墙的第一理由。人们选择防火墙的第一理由是易于安装和使用,尽可能的减少麻烦和对网络结构的变动,以及对业务的影响。第5页共42页第4页共42页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第5页共42页有"防火墙之父"之称的马尔科斯(MarcusRanum)也注意到这一点,防火墙客户有一次投票,结果前三位重要特性是透明特性,性能和方...
