物理隔离与数据交换-网闸中的核心技术.docx

物理隔离与数据交换 -网闸中的核心技术 网闸不同于防火墙 ,也不同于堡垒机 ,是因为网闸从物理上保证内外网的不互通 , 其中隔 离控制部分是实现这个物理隔离的关键。这里重点分析目前流行的几种技 术 : 1、摆渡交换技术 摆渡开关是网闸最常用的倒换方式。 为了保持内外网的物理隔离 , 所以在与内网连接的时候 , 一定与外网断开 ,但与外网连接的时候 ,一定与内网断开。所谓断开是只物理通讯的 “高阻 ”状 态或物理的停电 ,没有进行通讯的可能。 在内外网处理单元内都有自己的缓冲空间 , 用来存储需要交换的数据文件 , 在隔离与交换控 制单元也有一个用于数据交换区。 当电子开关 C 点与 A 点连通 , 交换区与内网连通 , 此时与外网 断开 , 内网中需要交换的数据写入数据交换区 , 同时读出数据交换区中从外网来的数据 , 完成一 次摆渡。但电子开关 C 点与 B 点连通 ,交换区与外网连通 , 此时与内网断开 , 外网中需要交换的 数据写入数据交换区 ,同时读出数据交换区中从内网来的数据 ,完成二次摆渡。 很多厂家实现了多个网络的数据交换的网闸 , 则把电子开关换成交换矩阵。 数据的交换方式 有些类似数据交换机的方式 , 但每个网络处理单元只与数据缓冲区中的一个连接。 因为每个网络 单元同时只与一个数据交换区连接 , 每个数据交换区也同时只与一个网络单元连接 , 所以各个网 络没有个一个时刻是相互连通。网络处理 单元从缓冲区读数据时 ,只从自己的对应缓冲区读取 , 写数据时写入目标网络对应的 缓冲区。 2、缓冲区通讯技术的选择 内部通道与网闸外部接口选择不同通讯技术 , 可以既形象又完全地中断应用连 接 , 对阻断攻 击是较好的选择。网闸内部有三个数据区域、 两种内部通道 ,合理地选择通讯技术 , 可以大大减 少被攻击的可能性。 网闸厂家一般不公开自己的实现方式 , 私密性有助于网闸的安全性。 但大多 数是在内部通道 2 上做文章 这里总结了几种实现的方式 : ????????基于常用通讯总线的方式 内外接口采用工控主机方式 ,主机把要交换的数据通过 PCI 总线写入 PCI 插卡 , 在 PCI 插 卡有数据缓冲区域 ,电子开关是 CPLD 实现的控制电路 ,控制内部通道 1 与 2 的开闭。内部通道 2 可以选择不同是通讯总线连接 ,比如 PCI 、 USB 、串口通讯 等 ,也可以选择网络方式 ,在图中表 示为数据传输专用协议。图中显示的是二区模型示例。 缓冲区 数据缓冲存储可以选择 双端口的静态存储器 (Dual Port SRAM , 这样只要在存储 器的两个端口上控制就可以了 ,但两个开关不能同时闭合。 ????????基于存储总线方式 存储方式的把交换区看成本地可读写的硬盘  ,主机单元通过扩展卡把  SCSI 存储 扩展 ,在加 上控制信号组成专用的扩展总线连接到隔离交换控制主机上。 开关控制内外网的主机单 元分别读写数据交换区域的存储空间。  利用电子 在数据交换区定义好内网或外网读写的固定区域 :内网写 /外网读区域、 内网 读 /外网写区域。 对交换区的读写采取块方式 , 不能采用文件方式 , 数据的校验、文件的还原都在主机单元中进行。 该方式的困难在于主机挂接盘需要识别 , 若倒换频繁对系统影响很大 , 所以在扩展卡上通过 总线的控制信号对主机系统进行屏蔽 , 让主机始终认为磁盘在线 , 但读写的控制听从隔离交换控 制主机的调度。 这里采用的是 SCSI 存储方式 ,也可以采用 IDE 方式 ,从设计的方便上还可以选择串行的存 储方式 ,如 SATA , SAS 方式。也可以采用 USB 盘方式 , USB 的总线控制要简单的多 ,目前 USB 的 空间足够大 ,但速度上还有差距。 3、单向通道技术 单向通道技术是近年兴起的新技术 ,单向是相对于通讯的双向而言的。网闸中无论采用那 种开关技术 , 实际就是物理链路的倒换 , 在内外网之间提供一个安全的、 功能视同隔离的交换区 , 象码头的摆渡一样 , 把我们认为是真实的数据摆渡过去。 但是通讯协议的设计是分层次的 , 我们 要交换的纯数据本身在网闸的种种技术手段中还是要穿越网闸 , 那么某种攻击的行为就可能掩藏 于“纯数据 ”之中 ,通过网闸后再还原成攻击程序。 即使定义了安全原则的网闸只提供文件交换 的功能 , 也还是要为两端的客户提供一定的服务接口 , 否则用户没有办法把数据交给你 , 若抛开 所有的安全检测技术不谈 ,服务就有可能成为攻击行为的承载列车。就象我们摆渡客 户的包裹 , 但包裹里面藏有客户也不知道 (也可能主观隐藏的 的病毒 ,被同样摆渡到对岸。 先来分析一下攻击的过程 : ????????攻击者伪装攻击信息 ????????伪