网闸关键技术原理详细说明.docVIP

网闸技术原理 摘要： 关键词： 引言 计算机网络快速反展，已经包含到了大家生活各个方面，成为实现信息 搜集处理、加强交流、提升工作生活效率和质量关键手段。作为一计算机网络最具代表性表现形式，nIetmet实际上是由世界范围内众多计算机网络联结而成一个逻辑网络。它并非一个含有独立形态网络，而是由计算机网络汇合成一个网络集合体。所以Iniemet比其它形式计算机网络更具开放性和自由性。而且因为其所含有国际性，使诸如电子商务、电子现金、数字货币、网络银行等新业务能够经过它得以实现。 同时，信息网络普及和网络中多种潜在漏洞给我们带来了新安全威胁，如黑客侵袭、病毒骚扰和系统内部泄密等，频繁出现攻击事件严重威胁着 网络中数据安全。而关键信息一旦泄漏，必将造成重大损失。 针对这个问题，国家保密局早在1998年公布《包含国家秘密通信、办 公自动化和计算机信息系统审批暂行措施》]ll中就提出了“物理隔离”要求，文中明确要求:涉密系统不得直接或间接和国际联网，必需实施物理隔离。20XX年，国家保密局正式颁布《计算机信息系统国际联网保密管理要求》121中也明确要求:“凡包含国家秘密计算机信息系统，不得直接或间接地和国际互联网或其它公共信息网络相联接，必需实施物理隔离。” 防火墙防病毒漏洞扫描和系统风险评定以至人侵检测这些技术全部可在一定程度上提供安全保护但现在全部安全手段，不管使用一个或将全部方法综合使用，全部无法做到对网络和信息资源完美保护，因为这些边界安全防护方法全部是在保持内外网络联通前提下对内网进行安全防护，访问策略配置失误、防火墙设备本身可能存在漏洞等问题全部可能造成内网边界被从外部突破，无法从根本上确保内网安全。针对这个问题，参考中国外部分成熟技术，网络安全隔离网闸逐步开始应用起来，它是从物理链路上断开内网和外网不可信任直接网络连接，同时还保持在安全可控条件下进行适度数据交换。 网闸在中国叫法很多，有叫安全隔离网闸、物理隔离网闸、安全隔离和信息交换系统，但全部是为了实现同一个安全目标而设计，那就是确保安全前提下实现有限数据交流。 网闸是使用带有多个控制功效固态开关读写介质连接两个独立主机系统信息安全设备。网闸是一个网络隔离技术，它所连接两个独立主机系统之间不存在通信物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议信息包转发，只有数据文件无协议“摆渡”，且对固态存放介质只有“读”和“写”两个命令。所以网闸从物理上隔离、阻断了含有潜在攻击可能一切连接，是“黑客”无法入侵、无法攻击、无法破坏、实现真正安全。 工作原理 结构 物理隔离网闸体系结构关键由三部分组成：外网处理单元、内网处理单元、 隔离和交换控制单元。 内网处理单元：包含内网接口单元和内网数据缓冲区。接口部分负责和内网连接，并终止内网用户网络连接，对数据进行病毒检测、防火墙、入侵防护等安全检测后剥离出“纯数据”，作好交换准备，也完成来自内网对用户身份确实定，确保数据安全通道;数据缓冲区是存放并调度剥离后数据，负责和隔离交换单元数据交换。 外网处理单元：和内网处理单元功效相同，但处理是外网连接。 隔离和交换控制单元：是网闸隔离控制摆渡控制，控制交换通道开启和关闭。控制单元中包含一个数据交换区，就是数据交换中摆渡船。对交换通道控制方法现在有两种技术，摆渡开关和通道控制。摆渡开关是电子倒换开关，让数据交换区和内外网在任意时刻不一样时连接，形成空间间隔GAP，实现物理隔离。通道方法是在内外网之间改变通讯模式，中止了内外网直接连接，采取私密通讯手段形成内外网物理隔离。该单元中有一个数据交换区，作为交换数据中转。 数据传输过程 第一步，当数据包从外部网流入时，外网处理单元对数据包进行安全检验，如包过滤，内容扫描，认证审查等，若经过安全检验，则去掉数据包多种包头信息，只保留应用层数据，也就是原始数据，然后用自定义协议封装该数据。 第二步，控制逻辑会主动去探测内网处理单元和外网处理单元，若有数据传输，则进行对应方向数据传输。在此，内外网处理单元数据传输两个通道只有一个通道工作。假设控制逻辑许可外网处理单元数据，经自定义协议封装好原始数据流入隔离交换单元存放区，在此，隔离交换单元存放区和内网处理单元存放区之间传输通道是禁用。假设外网处理单元和隔离硬件交换单元传输通道有开关K1控制，内网处理单元和隔离硬件交换单元传输通道有开关K2控制，K1、K2不能同时为开。 第三步，隔离交换单元经过第二步类似方法将数据传入内网处理单元存放区。 第四步，内网处理单元将数据包自定义协议包头去除，得到原始数据，然后用某种通用协议封装数据，将该数据包传送给内网对应主机。 以上