隔离技术介绍.pptVIP

* 第 9 章 隔离技术 本章学习目标： 了解网络隔离发展历程 掌握网络隔离的技术原理 了解网络隔离的技术分类及发展方向 掌握网闸的基本原理 9.1 隔离技术概述 安全域是以信息涉密程度划分的网络空间。涉密域就是涉及国家秘密的网络空间。非涉密域就是不涉及国家的秘密，但是涉及本单位，本部门或者本系统的工作秘密的网络空间。公共服务域是指既不涉及国家秘密也不涉及工作秘密，是一个向因特网络完全开放的公共信息交换空间。 9.1.1 隔离的概念 1、安全域 电子政务的内网和外网要实行严格的物理隔离。政务的外网和因特网络要实行逻辑隔离，按照安全域的划分，政府的内网就是涉密域，政府的外网就是非涉密域，因特网就是公共服务域。 9.1 隔离技术概述 网络隔离（Network Isolation），主要是指把两个或两个以上可路由的网络（如TCP/IP）通过不可路由的协议（如IPX/SPX、NetBEUI等）进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议，所以通常也叫协议隔离（Protocol Isolation）。 9.1.1 隔离的概念 2、网络隔离 第一代隔离技术——完全的隔离 第二代隔离技术——硬件卡隔离 第三代隔离技术——数据转播隔离 第四代隔离技术——空气开关隔离 第五代隔离技术——安全通道隔离 9.1 隔离技术概述 9.1.2 网络隔离的技术原理 右图表示没有连接时内外网的应用状况，从连接特征可以看出这样的结构从物理上完全分离。 9.1 隔离技术概述 9.1.2 网络隔离的技术原理 当外网需要有数据到达内网的时候，以电子邮件为例，外部的服务器立即发起对隔离设备的非TCP/IP协议的数据连接，隔离设备将所有的协议剥离，将原始的数据写入存储介质。 9.1 隔离技术概述 9.1.2 网络隔离的技术原理 一旦数据完全写入隔离设备的存储介质，隔离设备立即中断与外网的连接。转而发起对内网的非TCP/IP协议的数据连接。隔离设备将存储介质内的数据推向内网。内网收到数据后，立即进行TCP/IP的封装和应用协议的封装，并交给应用系统。 在控制台收到完整的交换信号之后，隔离设备立即切断隔离设备于内网的直接连接 9.1 隔离技术概述 9.1.2 网络隔离的技术原理 内网有电子邮件要发出，隔离设备收到内网建立连接的请求之后，建立与内网之间的非TCP/IP协议的数据连接。隔离设备剥离所有的TCP/IP协议和应用协议，得到原始的数据，将数据写入隔离设备的存储介质。 9.1 隔离技术概述 9.1.2 网络隔离的技术原理 一旦数据完全写入隔离设备的存储介质，隔离设备立即中断与内网的连接。转而发起对外网的非TCP/IP协议的数据连接。隔离设备将存储介质内的数据推向外网。外网收到数据后，立即进行TCP/IP的封装和应用协议的封装，并交给系统 9.1 隔离技术概述 9.1.2 网络隔离的技术原理 每一次数据交换，隔离设备经历了数据的接受、存储和转发三个过程。由于这些规则都是在内存和内核中完成的，因此速度上有保证，可以达到100%的总线处理能力。物理隔离的一个特征，就是内网与外网永不连接，内网和外网在同一时间最多只有一个同隔离设备建立非TCP/IP协议的数据连接。其数据传输机制是存储和转发。物理隔离的好处是明显的，即使外网在处在最坏的情况下，内网也不会有任何破坏，修复外网系统也非常容易。 9.1 隔离技术概述 9.1.3 网络隔离技术分类 1．基于代码、内容等隔离的反病毒和内容过滤技术 2．基于网络层隔离的防火墙技术 3．基于物理链路层的物理隔离技术 9.1 隔离技术概述 9.1.4 网络隔离技术要点与发展方向 1．网络隔离技术需要具有的安全要点 2．网络隔离的关键点 隔离的关键点就成了要尽量提高网间数据交换的速度，并且对应用能够透明支持，以适应复杂和高带宽需求的网间数据交换。 要具有高度的自身安全性 要确保网络之间是隔离的 要保证网间交换的只是应用数据 要对网间的访问进行严格的控制和检查 要在坚持隔离的前提下保证网络畅通和应用透明 9.1 隔离技术概述 9.1.4 网络隔离技术要点与发展方向 3．隔离技术的未来发展方向 通过专用通信设备、专有安全协议和加密验证机制及应用层数据提取和鉴别认证技术，进行不同安全级别网络之间的数据交换，彻底阻断网络间的直接TCP/IP连接，同时对网间通信的双方、内容、过程施以严格的身份认证、内容过滤、安全审计等多种安全防护机制，从而保证了网间数据交换的安全、可控，杜绝了由于操作系统和网