《第五章 网络防御技术--链路层的安全》.pptVIP

在控制台收到完成数据交换任务的信号之后，立即切断与内部主机的直接连接。恢复到网络断开的初始状态。即图1。 如果这时，内网有电子邮件要发出，内部主机先接受内部的数据后，并建立与固态存储介质之间的非TCP/IP协议的数据连接。内部主机剥离所有的TCP/IP协议和应用协议，得到原始的数据，将数据写入存储介质。见图4所示。对其进行防病毒处理、防泄密和防恶意代码检查。然后中断与内部主机的直接连接。 一旦数据全部写入存储介质，立即中断与内部主机的连接。恢复到图1的状态。转而发起对外部主机的非TCP/IP协议的数据连接。网络隔离将存储介质内的数据发送给外部主机。见图5。外部主机收到数据后，立即进行TCP/IP的封装和应用协议的封装，并发送给外网。控制台收到处理完毕的信息后，立即中断隔离设备与外网的连接，恢复到完全隔离状态。见图1所示。 每一次数据交换，隔离设备经历了数据的接收，存储和转发三个过程。由于这些规则都是在内存和内核里完成的，因此速度上有保证，可以达到100%的总线处理能力。 网络隔离的一个特征，就是内网与外网永不连接。内部主机和外部主机在同一时间最多只有一个同固态存储介质建立非TCP/IP协议的数据连接。其数据传输机制是存储和转发。网络隔离的好处是明显的，即使外网在最坏的情况下，内网不会有任何破坏。修复外网系统也非常容易。