信息安全产品配置与应用补交材料143网闸的概念和原理.pptxVIP

重庆电子工程职业学院 《信息安全产品配置与应用》之网闸篇 ——技术与原理 网闸的定义与功能 网闸是使用带有多种控制功能的固态开关、读写介质，连接两个独立主机系统的信息安全设备。主要有如下几种： 1、物理层断开 通过电子开关的组合逻辑来实现的。 2、数据链路的断开 断开任何可能基于物理层建立的数据链路。 3、TCP/IP协议剥离和重建技术 4、应用协议的剥离和重建技术 网闸的技术原理 第一代网闸的技术原理是利用单刀双掷开关使得内外网的处理单元分时存取共享存储设备来完成数据交换的。安全原理是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果。 目前网闸正是在吸取了第一代网闸优点的基础上，利用专用交换通道PET（Private Exchange Tunnel）技术，在不降低安全性的前提下能够完成内外网之间高速的数据交换，有效地克服了第一代网闸的弊端。第二代网闸的安全数据交换过程是通过专用硬件通信卡、私有通信协议和加密签名机制来实现。 网闸至少是三模块架构（内网处理单元、外网处理单元、隔离与交换控制单元）；应保证网闸的外部主机和内部主机在任何时候是完全断开的；完成应用协议的剥离（OSI 的 5 至 7 层）；代理完成TCP/IP协议的重建，实现内网与外网的数据交换。 三类基本网闸技术对比 物理隔离网闸所连接的两个独立主机系统之间不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。所以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使“黑客”无法入侵、无法攻击、无法破坏，实现了真正的安全。 基于SCSI的网闸技术 俄罗斯的Ry Jones,美国的琼鱼通信公司，以及我国的中网公司等均采用此技术。SCSI是外设读写协议，不是一个通信协议。通过两个主机连接一个存储设备。中间的固态存储介质，不是采用文件系统方式，而是采用块方式。固态存储介质每次只受理一个请求，本身不可以向主机发起连接请求。 基于总线的网闸技术 美国的矛头公司，我国的国保金泰公司采用这种技术。该技术源于并行计算，多个并行的计算机要共享和交换个子内存的数据。采用一种叫做双端口的静态存储器，配合基于独立的复杂可编程逻辑芯片（ CPLD）控制电路，实现在两个端口的开关，双端口各自通过开关连接到独立的计算机主机上。 隔离网闸未来的发展方向 采用高性能的专用芯片增强网闸数据摆渡能力 通过专用通信设备、专有安全协议和加密验证机制及应用层数据提取和鉴别认证技术，进行不同安全级别网络之间的数据交换，彻底阻断网络间的直接TCP/IP连接。 对网间通信的双方、内容、过程施以严格的身份认证、内容过滤、安全审计等多种安全防护机制，从而保证了网间数据交换的安全、可控，杜绝了由于操作系统和网络协议自身漏洞带来的安全风险。 涉密网络中的部署方式 部署在非涉密网和涉密网之间 部署在涉密网子网之间 常规网络中的应用 内外之间的安全隔离 对公外网和业务网之间 不同业务部门之间 边缘网与总部综合网之间 实现数据交换的安全