第3章 网络安全隔离技术.ppt

SSL : Security Socket Layer 外联网Extranet是一个使用Internet/Intranet技术使企业与其客户和其它企业相连来完成其共同目标的合作网络。Extranet可以作为公用的Internet和专用的Intranet之间的桥梁，也可以被看作是一个能被企业成员访问或与其它企业合作的企业Intranet的一部分。 * * 证书可以保存在USB-Key中。而USB-Key是一种结合U盘和智能芯片的智能卡。USB-Key对外提供了一组标准的接口，通过该接口只能获取公钥证书以及数字签名，不能导出证书中的私钥。因而使用USB-Key可以很好地保护用户证书的私密性。现在普遍采用口令+USB-Key的方式构成双因子认证。 * 实现了用户访问权限的控制以及用户访问终端的安全性 物理隔离（physical isolation）是指处于不同安全域的网络之间不能以直接或间接的方式相连接。 物理隔离是通过物理隔离部件来实现的。 物理隔离部件（physical disconnection separation components）是在端上实现信息物理断开的信息安全部件，如物理隔离卡。 物理隔离部件 物理隔离部件实现方式 单向隔离 在端上依靠由硬件访问控制信息交换分区实现信息在不同的安全域信息单向流动。 协议隔离 通过协议转换的手段保证受保护信息在逻辑上是隔离的，只有被系统要求传输的、内容受限的信息可以通过 网闸 网闸（gap）是位于两个不同安全域之间，通过协议转换的手段，以信息摆渡的方式实现数据交换。只有被系统明确要求传输的信息可以通过。（最常用） 网闸的基本思想 外网处理单元 内网处理单元 专用隔离交换单元 网闸的技术特征 1、物理层断开 通过电子开关的组合逻辑来实现的。 2、数据链路的断开 断开任何可能基于物理层建立的数据链路。 3、TCP/IP协议剥离和重建技术 4、应用协议的剥离和重建技术 网闸技术 1、基于SCSI的网闸技术 俄罗斯的Ry Jones,美国的琼鱼通信公司，以及我国的中网公司等均采用此技术。SCSI是外设读写协议，不是一个通信协议。通过两个主机连接一个存储设备。中间的固态存储介质，不是采用文件系统方式，而是采用块方式。固态存储介质每次只受理一个请求，本身不可以向主机发起连接请求。 2、基于总线的网闸技术 美国的矛头公司，我国的国保金泰公司采用这种技术。该技术源于并行计算，多个并行的计算机要共享和交换个子内存的数据。采用一种叫做双端口的静态存储器，配合基于独立的复杂可编程逻辑芯片（ CPLD）控制电路，实现在两个端口的开关，双端口各自通过开关连接到独立的计算机主机上。 电子政务中的内外网隔离 三网隔离关系示意图 电子政务网络构成： 由内网、外网和互联网三级网络构成的庞大的信息系统。各个网络执行着不同的服务内容：内网是一个完整的政府办公自动化环境，外网担负着与公众间信息沟通的任务，而互联网则负责政府与外部的信息交换 政务外网 政府部门之间(同级、上下级、副省级以下的政府机构之间)由于协同办公的需要而建立的专用网络。它同政府内网物理隔离，同互联网逻辑隔离。通过互联网门户，公民、企业可办理各种手续、证书、执照等，接受政府提供的各种服务. 政务内网： 政务内网为政府机构内所构建的办公网络，而且这种网同其它网是物理隔离的 小结 无边界、扁平架构的网络必将逐步演化成有序的、层次化的网络架构。而在这个演化过程中，网络隔离技术将扮演重要角色。 作业 书P74 3－1，3－2，3－3，3－8，3－11 局域网连接最常用的方式是以太网。最初的以太网以同轴电缆的方式连接。 同轴以太网的使用在20世纪80年代早期开始，20世纪90年代逐渐被以太网集线器替代。 * 无论是在同轴电缆连接的还是集线器连接的以太网上，任何设备都可以访问其它设备并监听所有流量。由同轴电缆与集线器连接的计算机属于同一个冲突域，即同一网段的机器共享固有的带宽，传输通过碰撞检测进行，同一网段计算机越多，传输碰撞也越多，传输速率会变慢。由于这两种连接都是共享方式的，于是某个用户就可以利用局域网分析仪截获分析局域网上所有的数据包。因为没有办法防止某个系统在物理上访问另一个系统，所以每个系统都需要保证安全，除非所有用户都是可以信任。 * 物理编址（相对应的是网络编址）定义了设备在数据链路层的编址方式； 网络拓扑结构包括数据链路层的说明，定义了设备的物理连接方式，如星型拓扑结构或总线拓扑结构等； 错误校验向发生传输错误的上层协议告警； 数据帧序列重新整理并传输除序列以外的帧； 流控可以延缓数据的传输能力，以使接收设备不会因为在某一时刻接收到了超过其处理能力的信息流而崩溃。 * 虽然交换机能够隔离