物理隔离网闸应用性研究.pdfVIP

全目抗恶劣环境计算机第十七届学术年会论文集 ·安全· 物理隔离网闸应用性研究 枞。王鲞 (中国船舶重工集团公司第七O七研究所加固机事业部) ■耍：介绍了物理隔离技术，重点对物理隔离网闸(GAP)的概念、工作原理、组成和功能进行了详细的介绍。以一个专用交换通道型 物理隔离网闸系统为例，从系统架构到模块设计，介绍了物理隔离网闸基本实现方法。 关■■：物理隔离技术；GAP；PET；物理隔离网闸；隔离交换；网络安全 1引言 2．2与其它技术的区嗣 物理隔离技术首先出现在国外，在上世纪90年代中期俄 2．2．1 物理隔离网闸与防火墙的区别 防火墙侧重于网络层至应用层的策略隔离，一般是在进 罗斯人RyJones首先提出“AirGap”隔离概念，其后，以色 列首先研制成功物理隔离卡，实现网络之间的物理隔离；其 行IP包转发的同时，通过对IP包的处理，实现对TCP会话 后，美国Whale 的控制；不切断网络连接，只在网络层对数据包作安全检查， Communications公司和以色列SpearHead公 而对应甩数据的内容一般不进行检查。显然，这种工作方式 司先后推出了e-Gap和NetGap产品，利用专有硬件实现两个 网络在不连通情况下数据的安全交换和资源共享，从而使物 无法防止泄密，也无法阻断网络攻击。 理隔离技术从单纯实现。网络隔离禁止交换”的隔离发展到 物理隔离网阿真正实现了两个网络之间的物理隔离。物 “物理隔离可靠交换”的物理隔离。目前，美国军方、重要 理隔离网闸外侧主机把TCPflP协议全部剥离，以原始数据方 政府部门均采用隔离技术保障信息安全。我国的物理隔离技 式进行“摆渡”，中断了两个网络之间的直接连接，因此，无 术的发展同样经历了类似的过程，随着我国政府电子政务建 法基于TCP／IP漏洞来进行攻击。所有的数据交换必须通过以 设的发展，各个政府部门迫切需要通过互联网实现信息交换， “反射”方式“摆渡”到内部网络。它属于从物理层到应用 同时，采用早期的物理隔离产品，如：隔离卡等产品，由于 层数据级别的多层次隔离，所采用的技术包含了数据分片重 不能进行内外网数据交换，也不能完全满足电子政务建设的 组、协议转化、密码学、入侵检测、病毒及关键字过滤、身 需要，因此，用户需要采用安全理念更先进、安全程度更高 份验证及审计等多个范畴。 的物理隔离技术和产品来保障“内外网物理隔离”以及“适 无论从功能还是实现原理上讲，物理隔离网闸和防火墙 量的信息交换”，市场上称这类产品叫“物理隔离与信息交换 是完全不同的两个产品，防火墙是保证网络层安全的边界安 系统”，俗称网闸。目前，网闸已经由第一代空气开关型隔离 全工具，而物理隔离网闸重点是保护内部网络的安全。 网闸(GAP：Air 筒言之：物理隔离网闸是在保证安全性基础上实现网络 Gap)，发展到第二代专用交换通道型隔离 网闸(PET：Private 互连，防火墙技术是在保证网络性能的基础上实现一定的安 ExchangeTunnel)，本文重点论述后者。 2物理啊膏技术筒介 全防范。物理隔离网闸的安全性要高于防火墙，防火墙的连 2．1■客 通性要好于物理隔离网闸。物理隔离两闸采用硬隔离，防火 物理隔离网闸是一种由带有多种控制功能专用硬件在电 墙采用软隔离。两种产品定位不同。不能相互取代。 路上切断网络之间的链路层连接，并能够在网络间进行安全