网闸工作原理资料.docVIP

物理隔离网闸简介 二零零四年三月1. 物理隔离网闸的定位 3 2. 物理隔离要解决的问题 3 3. TCP/IP的漏洞 3 4. 防火墙的漏洞 4 5. 物理隔离的技术原理 4 6. 物理隔离网闸常见技术问题解答 8 6.1. 物理隔离网闸一定要采用专用开关集成电路吗？ 8 6.2. 物理隔离网闸是如何利用SCSI来实现开关技术的？ 9 6.3. 物理隔离网闸可以采用USB，火线和以太来实现软开关吗？ 9 6.4. 为什么SCSI可以，而USB、火线和以太就不行？ 10 6.5. 物理隔离网闸的开关的速度很慢吗？ 10 6.6. 物理隔离网闸工作在OSI模型的那一层？ 10 6.7. 物理隔离网闸在OSI模型第5层是如何工作的？ 11 6.8. 物理隔离网闸在OSI模型第七层是如何工作的？ 12 6.9. 信息安全交换系统是如何工作的？ 12 6.10. 安全隔离网闸在OSI模型里是如何工作？ 13 6.11. 采用了协议转换，是物理隔离吗？ 15 6.12. 基于协议转换的双主机结构有哪些类型和形式？ 15 6.13. 物理隔离网闸的每一个应用都需要相应的代理？ 17 6.14. 物理隔离网闸的应用代理是否符合相关的RFC规范？ 17 6.15. 从外网已经ping不通内网，是物理隔离网闸吗？ 17 6.16. 从外网无法扫描内网的主机，是物理隔离网闸吗？ 18 6.17. 通过开关来实现了包转发，是物理隔离网闸吗？ 18 6.18. 为什么说即使入侵了网闸的外部主机，也无法入侵内部主机？ 18 6.19. 物理隔离网闸的外部主机有哪些防止入侵的办法？ 18 6.20. 为什么物理隔离网闸能阻止未知的攻击？ 19 6.21. 物理隔离网闸的安全性是最高的吗？ 19 物理隔离网闸的定位物理隔离技术，不是要替代防火墙，入侵检测，漏洞扫描和防病毒系统，相反，它是用户“深度防御”的安全策略的另外一块基石，一般用来保护为了的“核心”。物理隔离技术，是绝对要解决互联网的安全问题，而不是什么其它的问题。 物理隔离要解决的问题解决目前防火墙存在的根本问题：防火墙对操作系统的依赖，因为操作系统也有漏洞TCP/IP的协议漏洞：不用TCP/IP防火墙、内网和DMZ同时直接连接，应用协议的漏洞，因为命令和指令可能是非法的文件带有病毒和恶意代码：不支持MIME，只支持TXT，或杀病毒软件，或恶意代码检查软件 物理隔离的指导思想与防火墙有很大的不同：防火墙的思路是在保障互联互通的前提下，尽可能安全，而物理隔离的思路是在保证必须安全的前提下，尽可能互联互通。 TCP/IP的漏洞TCP/IP是冷战时期的产物，目标是要保证通达，保证传输的粗旷性。通过来回确认来保证数据的完整性，不确认则要重传。TCP/IP没有内在的控制机制，来支持源地址的鉴别，来证实IP从哪儿来。这就是TCP/IP漏洞的根本原因。黑客利用TCP/IP的这个漏洞，可以使用侦听的方式来截获数据，能对数据进行检查，推测TCP的系列号，修改传输路由，修改鉴别过程，插入黑客的数据流。莫里斯病毒就是利用这一点，给互联网造成巨大的危害。 防火墙的漏洞防火墙要保证服务，必须开放相应的端口。防火墙要准许HTTP服务，就必须开放80端口，要提供MAIL服务，就必须开放25端口等。对开放的端口进行攻击，防火墙不能防止。利用DOS或DDOS，对开放的端口进行攻击，防火墙无法禁止。利用开放服务流入的数据来攻击，防火墙无法防止。利用开放服务的数据隐蔽隧道进行攻击，防火墙无法防止。攻击开放服务的软件缺陷，防火墙无法防止。防火墙不能防止对自己的攻击，只能强制对抗。防火墙本身是一种被动防卫机制，不是主动安全机制。防火墙不能干涉还没有到达防火墙的包，如果这个包是攻击防火墙的，只有已经发生了攻击，防火墙才可以对抗，根本不能防止。目前还没有一种技术可以解决所有的安全问题，但是防御的深度愈深，网络愈安全。物理隔离网闸是目前唯一能解决上述问题的安全设备。 物理隔离的技术原理物理隔离的技术架构在隔离上。以下的图组可以给我们一个清晰的概念，物理隔离是如何实现的。图1，外网是安全性不高的互联网，内网是安全性很高的内部专用网络。正常情况下，隔离设备和外网，隔离设备和内网，外网和内网是完全断开的。保证网络之间是完全断开的。 隔离设备可以理解为纯粹的存储介质，和一个单纯的调度和控制电路。 当外网需要有数据到达内网的时候，以电子邮件为例，外部的服务器立即发起对隔离设备的非TCP/IP协议的数据连接，隔离设备将所有的协议剥离，将原始的数据写入存储介质。根据不同的应用，可能有必要对数据进行完整性和安全性检查，如防病毒和恶意代码等。见下图2。 一旦数据完全写入隔离设备的存储介质，隔离设备立即中断与外网的连接。转而发起对内网的非TCP/IP协议的数据