第9章隔离技术本章学习目标:了解网络隔离发展历程掌握网络隔离的技术原理了解网络隔离的技术分类及发展方向掌握网闸的基本原理29.1隔离技术概述安全域是以信息涉密程度划分的网络空间。涉密域就是涉及国家秘密的网络空间。非涉密域就是不涉及国家的秘密,但是涉及本单位,本部门或者本系统的工作秘密的网络空间。公共服务域是指既不涉及国家秘密也不涉及工作秘密,是一个向因特网络完全开放的公共信息交换空间。9.1.1隔离的概念1、安全域电子政务的内网和外网要实行严格的物理隔离。政务的外网和因特网络要实行逻辑隔离,按照安全域的划分,政府的内网就是涉密域,政府的外网就是非涉密域,因特网就是公共服务域。39.1隔离技术概述网络隔离(NetworkIsolation),主要是指把两个或两个以上可路由的网络(如TCP/IP)通过不可路由的协议(如IPX/SPX、NetBEUI等)进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议,所以通常也叫协议隔离(ProtocolIsolation)。9.1.1隔离的概念2、网络隔离——第一代隔离技术完全的隔离——第二代隔离技术硬件卡隔离——第三代隔离技术数据转播隔离——第四代隔离技术空气开关隔离——第五代隔离技术安全通道隔离49.1隔离技术概述9.1.2网络隔离的技术原理右图表示没有连接时内外网的应用状况,从连接特征可以看出这样的结构从物理上完全分离。内网外网存储介质控制器59.1隔离技术概述9.1.2网络隔离的技术原理当外网需要有数据到达内网的时候,以电子邮件为例,外部的服务器立即发起对隔离设备的非TCP/IP协议的数据连接,隔离设备将所有的协议剥离,将原始的数据写入存储介质。内网外网存储介质控制器69.1隔离技术概述9.1.2网络隔离的技术原理一旦数据完全写入隔离设备的存储介质,隔离设备立即中断与外网的连接。转而发起对内网的非TCP/IP协议的数据连接。隔离设备将存储介质内的数据推向内网。内网收到数据后,立即进行TCP/IP的封装和应用协议的封装,并交给应用系统。内网外网存储介质控制器在控制台收到完整的交换信号之后,隔离设备立即切断隔离设备于内网的直接连接79.1隔离技术概述9.1.2网络隔离的技术原理内网有电子邮件要发出,隔离设备收到内网建立连接的请求之后,建立与内网之间的非TCP/IP协议的数据连接。隔离设备剥离所有的TCP/IP协议和应用协议,得到原始的数据,将数据写入隔离设备的存储介质。内网外网存储介质控制器89.1隔离技术概述9.1.2网络隔离的技术原理一旦数据完全写入隔离设备的存储介质,隔离设备立即中断与内网的连接。转而发起对外网的非TCP/IP协议的数据连接。隔离设备将存储介质内的数据推向外网。外网收到数据后,立即进行TCP/IP的封装和应用协议的封装,并交给系统内网外网存储介质控制器99.1隔离技术概述9.1.2网络隔离的技术原理每一次数据交换,隔离设备经历了数据的接受、存储和转发三个过程。由于这些规则都是在内存和内核中完成的,因此速度上有保证,可以达到100%的总线处理能力。物理隔离的一个特征,就是内网与外网永不连接,内网和外网在同一时间最多只有一个同隔离设备建立非TCP/IP协议的数据连接。其数据传输机制是存储和转发。物理隔离的好处是明显的,即使外网在处在最坏的情况下,内网也不会有任何破坏,修复外网系统也非常容易。109.1隔离技术概述9.1.3网络隔离技术分类1.基于代码、内容等隔离的反病毒和内容过滤技术2.基于网络层隔离的防火墙技术3.基于物理链路层的物理隔离技术119.1隔离技术概述9.1.4网络隔离技术要点与发展方向1.网络隔离技术需要具有的安全要点2.网络隔离的关键点隔离的关键点就成了要尽量提高网间数据交换的速度,并且对应用能够透明支持,以适应复杂和高带宽需求的网间数据交换。要具有高度的自身安全性要确保网络之间是隔离的要保证网间交换的只是应用数据要对网间的访问进行严格的控制和检查要在坚持隔离的前提下保证网络畅通和应用透明129.1隔离技术概述9.1.4网络隔离技术要点与发展方向3.隔离技术的未来发展方向通过专用通信设备、专有安全协议和加密验证机制及应用层数据提取和鉴别认证技术,进行不同安全级别网络之间的数据交换,...
