云安全产品配置与应用 案例引导与入侵检测技术基础 4-1-03《信息安全产品配置与应用》课程-网闸篇-网闸原理【案例引导与网闸技术基础】.ppt

网闸的定义与功能 网闸是使用带有多种控制功能的固态开关、读写介质，连接两个独立主机系统的信息安全设备。 物理隔离网闸所连接的两个独立主机系统之间不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。所以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使“黑客”无法入侵、无法攻击、无法破坏，实现了真正的安全。 网闸的技术原理 第一代网闸的技术原理是利用单刀双掷开关使得内外网的处理单元分时存取共享存储设备来完成数据交换的。安全原理是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果。 目前网闸正是在吸取了第一代网闸优点的基础上，利用专用交换通道PET（Private Exchange Tunnel）技术，在不降低安全性的前提下能够完成内外网之间高速的数据交换，有效地克服了第一代网闸的弊端。第二代网闸的安全数据交换过程是通过专用硬件通信卡、私有通信协议和加密签名机制来实现。 网闸至少是三模块架构（内网处理单元、外网处理单元、隔离与交换控制单元）；应保证网闸的外部主机和内部主机在任何时候是完全断开的；完成应用协议的剥离（OSI 的 5 至 7 层）；代理完成TCP/IP协议的重建，实现内网与外网的数据交换。 隔离网闸特性 采用高性能的专用芯片增强网闸数据摆渡能力 通过专用通信设备、专有安全协议和加密验证机制及应用层数据提取和鉴别认证技术，进行不同安全级别网络之间的数据交换，彻底阻断网络间的直接TCP/IP连接。 对网间通信的双方、内容、过程施以严格的身份认证、内容过滤、安全审计等多种安全防护机制，从而保证了网间数据交换的安全、可控，杜绝了由于操作系统和网络协议自身漏洞带来的安全风险。