第五章 网络防御技术链路层的安全.pptVIP

在控制台收到完成数据交换任务的信号之后，立即切断与内部主机的直接连接。恢复到网络断开的初始状态。即图1。 如果这时，内网有电子邮件要发出，内部主机先接受内部的数据后，并建立与固态存储介质之间的非TCP/IP协议的数据连接。内部主机剥离所有的TCP/IP协议和应用协议，得到原始的数据，将数据写入存储介质。见图4所示。对其进行防病毒处理、防泄密和防恶意代码检查。然后中断与内部主机的直接连接。 一旦数据全部写入存储介质，立即中断与内部主机的连接。恢复到图1的状态。转而发起对外部主机的非TCP/IP协议的数据连接。网络隔离将存储介质内的数据发送给外部主机。见图5。外部主机收到数据后，立即进行TCP/IP的封装和应用协议的封装，并发送给外网。控制台收到处理完毕的信息后，立即中断隔离设备与外网的连接，恢复到完全隔离状态。见图1所示。 每一次数据交换，隔离设备经历了数据的接收，存储和转发三个过程。由于这些规则都是在内存和内核里完成的，因此速度上有保证，可以达到100%的总线处理能力。 网络隔离的一个特征，就是内网与外网永不连接。内部主机和外部主机在同一时间最多只有一个同固态存储介质建立非TCP/IP协议的数据连接。其数据传输机制是存储和转发。网络隔离的好处是明显的，即使外网在最坏的情况下，内网不会有任何破坏。修复外网系统也非常容易。 以上这种基于两个单边主机（内部主机和外部主机）之间的数据交换的网络隔离技术，被称作网闸。 网络隔离技术要点与发展方向 （1）要具有高度的自身安全性。 隔离产品要保证自身具有高度的安全性，至少在理论和实践上要比防火墙高一个安全级别。 （2）要确保网络之间是隔离的。 （3）要保证网间交换的只是应用数据。 既然要达到网络隔离，就必须做到彻底防范基于网络协议的攻击，即不能够让网络层的攻击包到达要保护的网络中，所以就必须进行协议分析，完成应用层数据的提取，然后进行数据交换，这样就把诸如TearDrop、Land、Smurf和SYN Flood等网络攻击包，彻底地阻挡在了可信网络之外，从而明显地增强了可信网络的安全性。 （4）要对网间的访问进行严格的控制和检查 作为一套适用于高安全度网络的安全设备，要确保每次数据交换都是可信的和可控制的，严格防止非法通道的出现，以确保信息数据的安全和访问的可审计性。 （5）要在坚持隔离的前提下保证网络畅通和应用透明。 隔离产品会部署在多种多样的复杂网络环境中，并且往往是数据交换的关键点，因此，产品要具有很高的处理性能。 3 网闸 网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。 网闸是一种网络隔离技术，它所连接的两个独立主机系统之间不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。 网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，是“黑客”无法入侵、无法攻击、无法破坏、实现真正的安全。 网闸技术的发展 第一代网闸的技术原理是利用单刀双掷开关，使得内外网的处理单元分时存取共享存储设备来完成数据交换。 第二代网闸是在吸收了第一代网闸的优点的基础上，创造性地利用全新理念的专用交换通道（PET）技术，在不降低安全性的前提下，能够完成内外网之间高速的数据交换。 网闸工作原理 网闸技术的基本原理是：切断网络之间的通用协议连接；将数据包进行分解或重组为静态数据；对静态数据进行安全审查，包括网络协议检查和代码扫描等；确认后的安全数据流如内部单元；内部用户通过严格的身份验证机制获取所需数据（如下图）。 网闸一般由三部分构成：内网处理单元、外网处理单元和专用隔离硬件交换单元。 病毒过滤 内核防护 访问控制 协议转换 安全审计 身份验证 病毒过滤 内核防护 协议转换 内部网 专用隔离硬件 外部网 内网处理单元 外网处理单元 网闸技术的实现 目前国际上网络隔离的断开技术有两大类： 一是动态断开技术：基于SCSI的开关技术和基于内存总线的开关技术。动态断开技术主要是通过开关技术来实现的。一般由两个开关和一个固态存储介质组成。既然是开关，那么什么时候开或什么时候关，都由独立的控制逻辑控制。 另一类是固定断开技术：如单向传输技术。 值得强调的是，采用以太网线直接连接两个主机，无论其原理多么像隔离，都不是隔离，因为以太协议本身是可以被攻击的。 动态断开技术 不可信外网 可信内网 存储介质 外网机 内网机 K1 K2 逻辑条件：K3=K1*K2