信息安全基础-5网络设备安全技术.pptVIP

无数据交换的网络断开 图5-39 无数据交换的网络断开图 外部主机与固态存储介质交换数据 图5-40 外部主机与固态存储介质交换数据示意图 固态存储介质与内部主机数据交换 图5-41 固态存储介质与内部主机数据交换示意图 文件被传送到内网恢复断开状态 图5-42 文件被传送到内网恢复断开状态 5.4网络隔离技术 5.4.2网络隔离技术工作原理及关键技术 5.GAP技术 (1)定义：gap源于英文的airgap，gap技术是一种通过专用硬件使两个或者两个以上的网络在不连通的情况下，实现安全数据传输和资源共享的技术。gap中文名字叫做安全隔离网闸，它采用独特的硬件设计，能够显著地提高内部用户网络的安全强度。 （2）GAP技术的基本原理 目前主要有3类GAP技术。实时开关(Real Time Switch)、单向连接(One Way Link)和网络交换器(Network Switcher)。 实时开关(Real Time Switch) 实时开关(Real Time Switch)指同一时刻内外网络没有物理上的数据连通．但又快速分时地处理并传递数据。通常实时开关连接一个网络去获得数据，然后开关转向另一个网络并把数据放在上面两个网络间的数据移动以很快的速度进行，就象实时处理一样。通常采取的方式是：终止网络连接并剥去TCP报头，然后把“原始”数据传人实时开关，这样就可除去网络协议漏洞带来的风险。同时，实时开关也可执行内容检测以防止病毒所造成的损害。 单向连接(One Way Link) 单向连接(One Way Link)指数据只能单向地从源网(source network)传输到目的网(destination network)。单向连接实际上建立了一个“只读”网络，即不允许数据反向传回到源网。同实时开关一样，单向连接必须用硬件来实现．以防止数据传错方向。 网络交换器(Network Switcher) 网络交换器(Network Switcher)指一台计算机上有两个虚拟机，先把数据写入一个虚拟机，然后通过开关把传输数据到另一个虚拟机，数据传输速度比实时开关和单向连接都慢，不是实时工作的。网络转换器通常可用带有双接口的硬件卡来实现，每个接口连接一个隔离的网络，但同一时刻只有一个是激活的。 （3）网闸的应用定位 安全隔离网闸的优势在于它通过在不可信网络牺牲自己来积极有效地应对攻击，以充分保护可信网络避免受到基于操作系统和网络的各种攻击。它的应用包括以下几个方面。 1)涉密网与非涉密网之间； 2)局域网与互联网之间（内网与外网之间），有些局域网络，特别是政府办公网络，涉及政府敏感信息，有时需要与互联网在物理上断开，用物理隔离网闸是一个常用的办法。 （3）网闸的应用定位 3)办公网与业务网之间，由于办公网络与业务网络的信息敏感程度不同，例如，银行的办公网络和银行业务网络就是很典型的信息敏感程度不同的两类网络。 4)电子政务的内网与专网之间，在电子政务系统建设中要求政府内网与外网之间用逻辑隔离，在政府专网与内网之间用物理隔离。现常用的方法是用物理隔离网闸来实现。 （3）网闸的应用定位 5)业务网与互联网之间，电子商务网络一边连接着业务网络服务器，一边通过互联网连接着广大民众。为了保障业务网络服务器的安全，在业务网络与互联网之间应实现物理隔离。 5.4.3网络隔离常见产品 1国外网闸产品介绍 美国鲸鱼公司的网闸（e-Gap） 美国矛头公司的网闸（NETGAP） 2国内网闸产品介绍 天融信公司网闸（TopRules） 中网公司的网闸（X-GAP） 国保金泰公司网闸（IGAP） 联网公司的网闸（SIS）等 5.5统一威胁管理系统 1UTM的定义 UTM（Unified Threat Management），即统一威胁管理，2004年9月，IDC首都提出统一威胁管理的概念，即将防病毒，入侵检测和防火墙安全设备划归统一威胁管理的新类别，目前UTM常定义为由硬件软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，同时将多种安全特性集成于一个硬件设备里，形成标准的统一威胁管理平台。UTM设备应该具备的基本功能包括网络防火墙，网络入侵检测，防御和网管防病毒功能。 5.5统一威胁管理系统 2统一威胁管理系统特点 3UTM优点 （1）将多种安全功能整合在同一产品当中能够让这些功能组成统一的整体发挥作用 （2）减低信息安全工作强度。 （3）降低技术复杂度 4UTM的缺点 （1）过度集成带来的风险 （2）性能和稳定性 5.5项目小实验 【实验名称】站点到站点的IPSECVPN实现 【实验内容】 配置VPN系统，实现站点到站点的可靠信息传输。 【实验原理】 IPSEC三层隧道实现安全的数据传输，详细的原理请参考5.3.3小节。 5.5