网络隔离技术原理.pptVIP

网络隔离技术原理 物理隔离网闸的定位 ?物理隔离技术，不是要替代防火墙，入侵检测，漏洞扫描和防病毒系统，相反，它是用户“深度防御”的安全策略的另外一块基石，一般用来保护“核心”部分。 物理隔离技术，是绝对要解决互联网的安全问题，而不是什么其它的问题。 物理隔离要解决的问题 防火墙对操作系统的依赖，因为操作系统也有漏洞 ?TCP/IP的协议漏洞：不用TCP/IP ?防火墙、内网和DMZ同时直接连接 ?应用协议的漏洞，因为命令和指令可能是非法的 文件带有病毒和恶意代码 物理隔离要解决的问题 物理隔离的指导思想与防火墙有很大的不同 （1）防火墙的思路是在保障互联互通的前提下，尽可能安全。 （2）物理隔离的思路是在保证必须安全的前提下，尽可能互联互通。 TCP/IP的漏洞 ??? TCP/IP是冷战时期的产物，目标是要保证通达，保证传输的粗旷性。通过来回确认来保证数据的完整性，不确认则要重传。 TCP/IP没有内在的控制机制，来支持源地址的鉴别，来证实IP从哪儿来。这就是TCP/IP漏洞的根本原因。 TCP/IP的漏洞 黑客利用TCP/IP的这个漏洞，可以使用侦听的方式来截获数据，能对数据进行检查，推测TCP的系列号，修改传输路由，修改鉴别过程，插入黑客的数据流。莫里斯病毒就是利用这一点，给互联网造成巨大的危害。 防火墙的漏洞 防火墙要保证服务，必须开放相应的端口。防火墙要准许HTTP服务，就必须开放80端口，要提供MAIL服务，就必须开放25端口等。对开放的端口进行攻击，防火墙不能防止。 利用DOS或DDOS，对开放的端口进行攻击，防火墙无法禁止。 利用开放服务流入的数据来攻击，防火墙无法防止。 利用开放服务的数据隐蔽隧道进行攻击，防火墙无法防止。 攻击开放服务的软件缺陷，防火墙无法防止。 防火墙的漏洞 攻击开放服务的软件缺陷，防火墙无法防止。 防火墙不能防止对自己的攻击，只能强制对抗。防火墙本身是一种被动防卫机制，不是主动安全机制。 防火墙不能干涉还没有到达防火墙的包，如果这个包是攻击防火墙的，只有已经发生了攻击，防火墙才可以对抗，根本不能防止。 隔离网闸的信息交换方式 网络的外部主机系统通过物理隔离网闸与网络的内部主机系统“连接”起来 物理隔离网闸将外部主机的TCP/IP协议全部剥离，将原始数据通过存储介质，以“摆渡”的方式导入到内部主机系统，实现信息的交换。 隔离网闸的信息交换方式 物理隔离网闸在任意时刻只能与一个网络的主机系统建立非TCP/IP协议的数据连接，即当它与外部网络的主机系统相连接时，它与内部网络的主机系统必须是断开的，反之依然。 即保证内、外网络不能同时连接在物理隔离网闸上。物理隔离网闸的原始数据“摆渡”机制是原始数据通过存储介质的存储（写入）和转发（读出）。 隔离网闸的信息交换方式 物理隔离网闸在网络的第七层将数据还原为原始数据文件，然后以“摆渡文件”的形式来传递原始数据。 任何形式的数据包、信息传输命令和TCP/IP协议都不可能穿透物理隔离网闸。这同透明桥、混杂模式、IP?over?USB、代理主机、以及通过开关方式来转发信息包有本质的区别。 下面以内网与专网之间的隔离网闸为例，说明通过隔离网闸的信息交换过程。 隔离网闸的组成 物理隔离网闸的三个部分组成：? 外部处理单元； 内部处理单元； 隔离硬件。? 隔离网闸的组成 安全隔离模块：隔离硬件在两个网络上进行切换，通过对硬件上的存储芯片的读写，完成数据的交换。?保证两个网络在链路层断开，不与两个网络同时连接，两个网络交换的数据必须是剥离TCP/IP协议后在应用层之上进行。 内核防护模块：在内、外部处理单元中嵌入安全加固的操作系统，设置基于内核的IDS等。? 隔离网闸的组成 安全检查模块：数据完整性检查、病毒查杀、恶意攻击代码检查等。? 身份认证模块：支持身份认证、数字签名。? 访问控制模块：实行强制访问控制。 安全审计模块：建立完善日志系统。? 网闸的技术特征 网闸的结构 采用2+1架构，两个主机，一个基于独立控制电路的动态存储介质。 物理层断开 保证网闸的内部主机和外部主机任何时候是完全断开的。两个主机之间和动态存储介质之间存在各一个开关电路 ，不能同时闭合。 网闸的技术特征 链路层的断开技术 有些安全产品采用通过不可路由的协议（如IPX/SPX,NetBEUI等），但是也有针对这种协议的攻击。 TCP/IP协议剥离和重建技术 应用协议的剥离和重建技术 物理隔离网闸主要功能 阻断网络的直接物理连接：物理隔离网闸在任何时刻都只能与非可信网络和可信网络上之一相连接，而不能同时与两个网络连接； 阻断网络的逻辑连接：物理隔离网闸不依赖操作系统、不支持TCP/IP协议。两个网络之间的信息交换必须将TCP/IP协议剥离，将原始数据