网络安全ch4-网络隔离技术 (1).ppt

网络安全 张磊 华东师范大学 软件学院 第4章 网络隔离技术 第3章 网络隔离技术 网络隔离技术的目标 面对新型网络攻击手段的出现和高安全度网络对安全的特殊需求，全新安全防护防范理念的网络安全技术——“网络隔离技术”应运而生。 网络隔离技术的目标是确保把有害的攻击隔离，在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网间数据的安全交换。 网络隔离技术是在原有安全技术的基础上发展起来的，它弥补了原有安全技术的不足，突出了自己的优势。 网络隔离概念 网络隔离，英文名为Network Isolation：两个或两个以上的计算机或网络在断开连接的基础上，实现信息交换和资源共享 物理隔离 协议隔离 网络隔离的核心是物理隔离 物理隔离的一个特征，就是内网与外网永不连接，内网和外网在同一时间最多只有一个同隔离设备建立非TCP／IP协议的数据连接。 协议隔离是在密码技术的支持下，采用专用安全通信协议隔离技术实现的。 网络隔离技术的概念来源 网络隔离的概念源于 人工烤盘 Sneakernet 轮渡 人工烤盘 人工拷盘是已知的最早的网络隔离技术。 最早的计算机是单机的，不同的计算机还没有联网。没有联网的两个计算机之间要交换数据，最简单的办法是人工拷盘。 要特别强调，在人工拷盘的任何时刻，两个计算机之间是完全断开的，没有联网的。 在拷盘的时候，当计算机操作人员在一台计算机里拷盘时，与另外一台计算机是完全断开的； 当计算机操作人员把磁盘拿出的时候，与两台计算机都是完全断开的； 当计算机操作人员把文件数据复制到目的计算机时，与原来的计算机是完全断开的。 在任何时候，两台交换文件数据的计算机，总是断开的。 Sneakernet（人力网） 人在两台计算机或两个网络之间使用软盘、移动硬盘等可以移动的存储介质来交换文件或数据，这样两个隔离的计算机或网络与人一起便构成了一个逻辑上的虚拟网络 轮渡 网络隔离有多种方式，其中最重要的一种方式是网闸。网闸的概念主要是源于轮渡。 对轮渡的工作机理的借鉴，大大地推动了网络隔离的研究发展，直接导致网闸技术的出现。 “下车改乘轮船”的现象启发人们研究协议的剥离技术， “下船改成汽车”的现象启发人们研究协议的重建技术， “轮船载人渡河”启发人们研究文件“摆渡”，最后实现了在两网断开的情况下可以进行数据交换。从两台主机在断开的情况下可以实现数据交换，到两个网络之间在断开的情况下也可以实现数据交换 网络隔离技术的发展历史 隔离概念是在为了保护高安全度网络环境的情况下产生的； 隔离产品的大量出现，也是经历了五代隔离技术不断的实践和理论相结合后得来的。 网络隔离技术的发展历史（续） 第一代隔离技术—完全的隔离 此方法使得网络处于信息孤岛状态，做到了完全的物理隔离，需要至少两套网络和系统，更重要的是信息交流的不便和成本的提高，这样给维护和使用带来了极大的不便。 第二代隔离技术—硬件卡隔离 在客户端增加一块硬件卡，客户端硬盘或其他存储设备首先连接到该卡，然后再转接到主板上，通过该卡能控制客户端硬盘或其他存储设备。而在选择不同的硬盘时，同时选择了该卡上不同的网络接口，连接到不同的网络。但是，这种隔离产品有的仍然需要网络布线为双网线结构，产品存在着较大的安全隐患。 网络隔离技术的发展历史（续） 第三代隔离技术—数据转播隔离 利用转播系统分时复制文件的途径来实现隔离，切换时间非常之久，甚至需要手工完成，不仅明显地减缓了访问速度，更不支持常见的网络应用，失去了网络存在的意义。 第四代隔离技术—空气开关隔离 它是通过使用单刀双掷开关，使得内外部网络分时访问临时缓存器来完成数据交换的，但在安全和性能上存在有许多问题。 网络隔离技术的发展历史（续） 第五代隔离技术—安全通道隔离 此技术通过专用通信硬件和专有安全协议等安全机制，来实现内外部网络的隔离和数据交换，不仅解决了以前隔离技术存在的问题，并有效地把内外部网络隔离开来，而且高效地实现了内外网数据的安全交换，透明支持多种网络应用，成为当前隔离技术的发展方向。 第4章 网络隔离技术 物理隔离 网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。 它所连接的两个独立主机系统之间不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。 网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，是“黑客”无法入侵、无法攻击、无法破坏、实现真正的安全。 物理隔离 协议隔离 “协议隔离”技术在内部网络与外部网络的连接端点处，配置协议隔离器来隔离内外网。 协议隔离器使用了两台不同设备上的通用网络接口分别连接内部与外部网，而设备之间通过使用专用密码通信协议的专用接口卡进行互