网闸与防火墙的区别
网闸和防火墙的区别1、应用场景区别网闸和防火墙的应用场景是不同的防火墙:网络已经存在考虑安全问题上防火墙,但首先要保证网络的连通性,其次才是安全问题网闸:网闸是保证安全的基础上进行数据交换,网闸是两个网络已经存在,现在两个网络不得不互联,互联就要保证安全,网闸是现在唯一最安全的网络边界安全隔离的产品,只有网闸这种产品才能解决这个问题,所以必须用网闸。2、硬件区别防火墙是单主机架构,早期使用包过滤的技术,网闸是双主机2+1架构,通过私有的协议摆渡的方式进行数据交换,基于会话的检测机制,由于网闸是双主机结构,即使外网端被攻破,由于内部使用私有协议互通,没办法攻击到内网,防火墙是单主机结构,如果被攻击了,就会导致内网完全暴露给别人。3、功能区别网闸主要包含两大类功能访问类功能和同步类功能,访问类功能类似于防火墙,网闸相对于防火墙安全性更高的是同步类功能。(1)访问类功能代理模式:目前认为代理模式是最安全的模式,但是防火墙不支持代理模式,网闸是支持代理模式的,所以防火墙是不能用在涉密和非涉密网的安全隔离的,网闸是可以的。(2)同步类功能文件同步和数据库同步:防火墙的工作原理,放在网络中间,源端发起访问,目的端被访问,防火墙收到判断一下,给你转过去,网闸的工作原理,我主动抓取放到另外一侧,两侧都是文件或数据库服务器,这个过程终端不知道网闸的存在,因为对外没有开放端口,安全性更高,防火墙的端口是对外开放的。
网闸与防火墙的区别
网闸与防火墙的区别有产品定位不同、设计思想不同、硬件结构设计不同、操作系统设计不同、安全机制不同等。1、产品定位不同防火墙在保障互联互通的前提下,尽可能保障安全。安全隔离网闸在保证高度安全的前提下,尽可能实现互联互通。2、设计思想不同防火墙是网络访问控制设备。防火墙部署于网络边界,在保证双方网络访问连接的同时,根据策略对数据报文进行访问控制,并在不影响设备性能的前提下进行内容过滤。安全隔离网闸是网络隔离交换设备。模拟人工拷盘实现数据信息在两个网络之间交换。3、硬件结构设计不同防火墙为单主机结构,报文在同一个主机系统上经过安全检测后,根据策略转发。安全隔离网闸基于“二加一”的体系结构,即由两个主机系统和一个隔离交换硬件组成,隔离交换硬件为专有硬件,不受主机系统控制。数据信息流经网闸时是串行流经三个系统的。4、操作系统设计不同防火墙一般采用单一的专用操作系统。安全隔离网闸的两个主机系统各自有专用操作系统,相互独立。5、安全机制不同防火墙采用包过滤、代理服务等安全机制。在 GAP 技术的基础上,综合了访问控制、内容过滤、病毒查杀等技术,具有全面的安全防护功能。安全隔离网闸在 GAP 技术的基础上,综合了访问控制、内容过滤等技术,具有全面的安全防护功能。
网关和网闸、防火墙有什么区别?
一、主体不同1、网关:又称网间连接器、协议转换器。2、网闸:是使用带有多种控制功能的固态开关读写介质,连接两个独立主机系统的信息安全设备。3、防火墙:是通过有机结合各类用于安全管理与筛选的软件和硬件设备。二、作用不同1、网关:在网络层以上实现网络互连,是复杂的网络互连设备,仅用于两个高层协议不同的网络互连。2、网闸:由于两个独立的主机系统通过网闸进行隔离,使系统间不存在通信的物理连接、逻辑连接及信息传输协议,不存在依据协议进行的信息交换,而只有以数据文件形式进行的无协议摆渡。3、防火墙:帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。三、特点不同1、网关:关既可以用于广域网互连,也可以用于局域网互连。 网关是一种充当转换重任的计算机系统或设备。2、网闸:从逻辑上隔离、阻断了对内网具有潜在攻击可能的一切网络连接,使外部攻击者无法直接入侵、攻击或破坏内网,保障了内部主机的安全。3、防火墙:主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性。参考资料来源:百度百科-网闸参考资料来源:百度百科-网关参考资料来源:百度百科-防火墙
什么是物理隔离装置? 和防火墙有什么区别?
物理隔离,是指采用物理方法将内网与外网隔离从而避免入侵或信息泄露的风险的技术手段。物理隔离主要用来解决网络安全问题的,尤其是在那些需要绝对保证安全的保密网。为了防止来自互联网的攻击和保证这些高安全性网络的保密性、安全性、完整性、防抵赖和高可用性,几乎全部要求采用物理隔离技术。区别:1,防火墙传输数据可以双向,支持TCP/IP七层协议。2,防火墙代主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障,从而实现对计算机不安全网络因素的阻断。3,无论从功能还是实现原理上讲,安全隔离网闸和防火墙是完全不同的两个产品,防火墙是保证网络层安全的边界安全工具(如通常的非军事化区),而安全隔离网闸重点是保护内部网络的安全。因此两种产品由于定位的不同,不能相互取代。4,物理隔离装置也就是安全网闸,只能单向传输数据,不是正向就是反向。不能同时双向,这样也就切断了黑客的访问连接。5,物理隔离装置针对的是一区二区与三区之间传输间才用到的,横向隔离装置相当于是安全网闸,数据只能单向传输,不能双向。扩展资料防火墙一般在进行IP包转发的同时,通过对IP包的处理,实现对TCP会话的控制,但是对应用数据的内容不进行检查。这种工作方式无法防止泄密,也无法防止病毒和黑客程序的攻击。只有在防火墙同意情况下,用户才能够进入计算机内,如果不同意就会被阻挡于外,防火墙技术的警报功能十分强大,在外部的用户要进入到计算机内时,防火墙就会迅速的发出相应的警报,并提醒用户的行为。进行自我的判断来决定是否允许外部的用户进入到内部,只要是在网络环境内的用户,这种防火墙都能够进行有效的查询,同时把查到信息朝用户进行显示,然后用户需要按照自身需要对防火墙实施相应设置,对不允许的用户行为进行阻断。通过防火墙还能够对信息数据的流量实施有效查看,并且还能够对数据信息的上传和下载速度进行掌握,便于用户对计算机使用的情况具有良好的控制判断,计算机的内部情况也可以通过这种防火墙进行查看,还具有启动与关闭程序的功能,计算机系统的内部中具有的日志功能。参考资料来源:百度百科-物理隔离网闸参考资料来源:百度百科-防火墙
什么是物理隔离装置? 和防火墙有什么区别?
物理隔离,是指采用物理方法将内网与外网隔离从而避免入侵或信息泄露的风险的技术手段。物理隔离主要用来解决网络安全问题的,尤其是在那些需要绝对保证安全的保密网。为了防止来自互联网的攻击和保证这些高安全性网络的保密性、安全性、完整性、防抵赖和高可用性,几乎全部要求采用物理隔离技术。区别:1,防火墙传输数据可以双向,支持TCP/IP七层协议。2,防火墙代主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障,从而实现对计算机不安全网络因素的阻断。3,无论从功能还是实现原理上讲,安全隔离网闸和防火墙是完全不同的两个产品,防火墙是保证网络层安全的边界安全工具(如通常的非军事化区),而安全隔离网闸重点是保护内部网络的安全。因此两种产品由于定位的不同,不能相互取代。4,物理隔离装置也就是安全网闸,只能单向传输数据,不是正向就是反向。不能同时双向,这样也就切断了黑客的访问连接。5,物理隔离装置针对的是一区二区与三区之间传输间才用到的,横向隔离装置相当于是安全网闸,数据只能单向传输,不能双向。扩展资料防火墙一般在进行IP包转发的同时,通过对IP包的处理,实现对TCP会话的控制,但是对应用数据的内容不进行检查。这种工作方式无法防止泄密,也无法防止病毒和黑客程序的攻击。只有在防火墙同意情况下,用户才能够进入计算机内,如果不同意就会被阻挡于外,防火墙技术的警报功能十分强大,在外部的用户要进入到计算机内时,防火墙就会迅速的发出相应的警报,并提醒用户的行为。进行自我的判断来决定是否允许外部的用户进入到内部,只要是在网络环境内的用户,这种防火墙都能够进行有效的查询,同时把查到信息朝用户进行显示,然后用户需要按照自身需要对防火墙实施相应设置,对不允许的用户行为进行阻断。通过防火墙还能够对信息数据的流量实施有效查看,并且还能够对数据信息的上传和下载速度进行掌握,便于用户对计算机使用的情况具有良好的控制判断,计算机的内部情况也可以通过这种防火墙进行查看,还具有启动与关闭程序的功能,计算机系统的内部中具有的日志功能。参考资料来源:百度百科-物理隔离网闸参考资料来源:百度百科-防火墙
物理隔离网闸的组成有
网闸的工作原理是什么?
解答:
网闸的基本原理是:切断网络之间的通用协议连接;将数据包进行分解或重组为静态数据;对静态数据进行安全审查,包括网络协议检查和代码扫描等;确认后的安全数据流入内部单元;内部用户通过严格的身份认证机制获取所需数据。
问题:
什么是网闸?
解答:
网闸是在两个不同安全域之间,通过协议转换的手段,以信息摆渡的方式实现数据交换,且只有被系统明确要求传输的信息才可以通过。其信息流一般为通用应用服务。注:网闸的“闸”字取自于船闸的意思,在信息摆渡的过程中内外网(上下游)从未发生物理连接,所以网闸产品必须要有至少两套主机和一个物理隔离部件才可完成物理隔离任务。现在市场上出现的的单主机网闸或单主机中有两个及多个处理引擎的过滤产品不是真正的网闸产品,不符合物理隔离标准。其只是一个包过滤的安全产品,类似防火墙。注:单主机网闸多以单向网闸来掩人耳目。
问题:
隔离网闸是什么设备?
解答:
隔离网闸是一种由专用硬件在电路上切断网络之间的链路层连接,能够在物理隔离的网络之间进行适度的安全数据交换的网络安全设备。
问题:
隔离网闸是硬件设备还是软件设备?
解答:
隔离网闸是由软件和硬件组成的设备。
问题:
隔离网闸硬件设备是由几部分组成?
解答:
隔离网闸的硬件设备由三部分组成:外部处理单元、内部处理单元、隔离硬件。
问题:
单向传输用单主机网闸可以吗?
解答:
隔离网闸的组成必须是由物理的三部分组成,所以单主机(包括多处理器)的安全产品并不是网闸产品,无法完成物理隔离任务。其所谓的单向传输只是基于数据包的过滤,类似防火墙产品,并不是物理隔离产品。
问题:
为什么说隔离网闸能够防止未知和已知木马攻击?
解答:
通常见到的木马大部分是基于TCP的,木马的客户端和服务器端需要建立连接,而隔离网闸从原理实现上就切断所有的TCP连接,包括UDP、ICMP等其他各种协议,使各种木马无法通过隔离网闸进行通讯。从而可以防止未知和已知的木马攻击。
问题:
隔离网闸与防火墙有何不同?
解答:
主要有以下几点不同:
A、隔离网闸采用双主机系统,内端机与需要保护的内部网络连接,外端机与外网连接。这种双系统模式彻底将内网保护起来,即使外网被黑客攻击,甚至瘫痪,也无法对内网造成伤害。防火墙是单主机系统。
B、隔离网闸采用自身定义的私有通讯协议,避免了通用协议存在的漏洞。防火墙采用通用通讯协议即TCP/IP协议。
C、隔离网闸采用专用硬件控制技术保证内外网之间没有实时连接。而防火墙必须保证实时连接。
D、隔离网闸对外网的任何响应都保证是内网合法用户发出的请求应答,即被动响应,而防火墙则不会对外网响应进行判断,也即主动响应。这样,网闸就避免了木马和黑客的攻击。
问题:
隔离网闸能取代防火墙吗?
解答:
无论从功能还是实现原理上讲,隔离网闸和防火墙是完全不同的两个产品,防火墙是保证网络层安全的边界安全工具(如通常的非军事化区),而隔离网闸重点是保护内部网络的安全。因此两种产品由于定位的不同,因此不能相互取代。
问题:
隔离网闸通常布置在什么位置?
解答:
隔离网闸通常布置在两个安全级别不同的两个网络之间,如信任网络和非信任网络,管理员可以从信任网络一方对安全隔离网闸进行管理。
问题:
隔离网闸是否可以在网络内部使用?
解答:
可以,网络内部安全级别不同的两个网络之间也可以安装隔离网闸进行隔离。
问题:
如果对应网络七层协议,隔离网闸是在哪一层断开?
解答:
如果针对网络七层协议,隔离网闸是在硬件链路层上断开。
问题:
有了防火墙和IDS,还需要隔离网闸吗?
解答:
防火墙是网络层边界检查工具,可以设置规则对内部网络进行安全防护,而IDS一般是对已知攻击行为进行检测,这两种产品的结合可以很好的保护用户的网络,但是从安全原理上来讲,无法对内部网络做更深入的安全防护。隔离网闸重点是保护内部网络,如果用户对内部网络的安全非常在意,那么防火墙和IDS再加上隔离网闸将会形成一个很好的防御体系。
问题:
隔离网闸适用于什么样的场合?
解答:
第1种场合:涉密网与非涉密网之间。
第2种场合:局域网与互联网之间。有些局域网络,特别是政府办公网络,涉及敏感信息,有时需要与互联网在物理上断开,用物理隔离网闸是一个常用的办法。
第3种场合:办公网与业务网之间
由于办公网络与业务网络的信息敏感程度不同,例如,银行的办公网络和银行业务网络就是很典型的信息敏感程度不同的两类网络。为了提高工作效率,办公网络有时需要与业务网络交换信息。为解决业务网络的安全,比较好的办法就是在办公网与业务网之间使用物理隔离网闸,实现两类网络的物理隔离。
第4种场合:电子政务的内网与专网之间
在电子政务系统建设中,要求政府内网与外网之间用逻辑隔离,在政府专网与内网之间用物理隔离。现常用的方法是用物理隔离网闸来实现。
第5种场合:业务网与互联网之间
电子商务网络一边连接着业务网络服务器,一边通过互联网连接着广大民众。为了保障业务网络服务器的安全,在业务网络与互联网之间应实现物理隔离。
隔离网闸有哪些功能
安全隔离网闸,又名“网闸”、“物理隔离网闸”,用以实现不同安全级别网络之间的安全隔离,并提供适度可控的数据交换的软硬件系统。安全隔离网闸的组成:安全隔离网闸是实现两个相互业务隔离的网络之间的数据交换,通用的网闸模型设计一般分三个基本部分:a. 内网处理单元b. 外网处理单元c. 隔离与交换控制单元(隔离硬件)其中,三个单元都要求其软件的操作系统是安全的,也就是采用非通用的操作系统,或改造后的专用操作系统。一般为Unix BSD或Linux的经安全精简版本,或者其他是嵌入式操作系统VxWorks等,但都要对底层不需要的协议、服务删除,使用的协议优化改造,增加安全特性,同时提高效率。下面分别介绍三个基本部分的功能:内网处理单元:包括内网接口单元与内网数据缓冲区。接口部分负责与内网的连接,并终止内网用户的网络连接,对数据进行病毒检测、防火墙、入侵防护等安全检测后剥离出“纯数据”,作好交换的准备,也完成来自内网对用户身份的确认,确保数据的安全通道;数据缓冲区是存放并调度剥离后的数据,负责与隔离交换单元的数据交换。外网处理单元:与内网处理单元功能相同,但处理的是外网连接。隔离与交换控制单元:是网闸隔离控制的摆渡控制,控制交换通道的开启与关闭。控制单元中包含一个数据交换区,就是数据交换中的摆渡船。对交换通道的控制的方式目前有两种技术,摆渡开关与通道控制。摆渡开关是电子倒换开关,让数据交换区与内外网在任意时刻的不同时连接,形成空间间隔GAP,实现物理隔离。通道方式是在内外网之间改变通讯模式,中断了内外网的直接连接,采用私密的通讯手段形成内外网的物理隔离。该单元中有一个数据交换区,作为交换数据的中转。安全隔离网闸的两类模型:在内外网处理单元中,接口处理与数据缓冲之间的通道,称内部通道1,缓冲区与交换区之间的通道,称内部通道2。对内部通道的开关控制,就可以形成内外网的隔离。模型中的用中间的数据交换区摆渡数据,称为三区模型;摆渡时,交换区的总线分别与内、外网缓冲区连接,也就是内部通道2的控制,完成数据交换。还有一种方式是取消数据交换区,分别交互控制内部通道1与内部通道2,形成二区模型。二区模型的数据摆渡分两次:先是连接内、外网数据缓冲区的内部通道2断开,内部通道1连接,内外网接口单元将要交换的数据接收过来,存在各自的缓冲区中,完成一次摆渡。然后内部通道1断开,内部通道2连接,内外网的数据缓冲区与各自的接口单元断开后,两个缓冲区连接,分别把要交换的数据交换到对方的缓冲区中,完成数据的二次摆渡。内部通道一般也采用非通用网络的通讯连接,让来自两端的可能攻击终止于接口单元,从而增强网闸的隔离效果。安全隔离网闸设计的目的,是隔离内外网业务连接的前提下,实现安全的数据交换。也就是安全专家描述的:协议落地,数据交换。功能由于职能和业务的不同,用户的应用系统及其数据交换方式也多种多样:各种审批系统、各种数据查询系统需要在网络间传输和交换指定数据库记录;各种汇总系统、各种数据采集系统需要在网络间传输和交换指定文件;各种复杂的应用系统需要传输和交换定制数据;内外网之间的邮件互通和网页浏览需求要求网络之间能够进行邮件转发和网页转发。故主流的安全隔离网闸一般具有如下功能模块:数据库模块、文件模块、消息模块、邮件模块和浏览模块。
网闸在数据库交换安全通信的作用
一、Web数据交换存在的安全问题及其需求
基于XML的Web数据交换是采用应用层协议作为其传输协议。因此,我们主要考虑传输中的安全问题。目前,XML传输过程中存在的安全威胁主要表现在以下几个方面:非法授权访问,数据泄露,数据丢失,数据篡改,拒绝服务攻击和数据原发者的抵赖。根据上述的表现形式,我们可以将web数据交换存在的安全需求归纳为一致性,机密性,身份鉴别和验证,授权和访问控制,信任,绘画和策略。
二、基于PKI/PMI的安全Web数据交换总体框架
对于传统的Web数据交换,认证和授权功能都嵌在应用(应用是提供特定功能的程序集合)的内部,这样还增加了应用的复杂性。对于管理者而言,很难使用通用的安全策略。
为了部分解决以上问题,引入了公共密钥基础设施。PKI可以提供认证、完整性和机密性等核心服务,还可支撑安全通信、安全时间戳、公正、不可否认等服务。对于用户只需要设定和记忆单个用户名和单个口令。因此仍然需要多个管理者来专门管理接入控制列表和PKI中的公钥证书等相关内容。
在应用了PKI技术后,虽然管理量较传统模型减少了,让然存在很多弊端。为了继续优化系统模型,在引入PKI的基础之上进一步引入权限管理基础设施。对于管理者来说,只需要管理PKI的公钥证书和PMI中的属性证书AC(Attribute Certificate)等相关内容。属性证书包含了一些终端实体和其它信息的属性,并由属性机构AA(Attribute Authority)的私钥进行信息的数字签名。大大地减少了管理者的工作量。基于PKI/PMI的安全Web数据交换总体框架包括安全基础设施层、安全应用支撑层和应用层三个部分组成。
安全基础设施层是整个安全框架的基础,包括PKI和PMI两个部分,提供身份证书和属性证书的发放、维护、撤销等管理,以及实现具体的权限验证。
三、基于PKI/PMI的Web数据交换流程的安全性
该公司财务系统的Web数据交换的核心是大量的数据访问Web应用,利用PKI/PMI可以为XML安全技术提供PKC数字身份证书,对相关Web应用实现基于角色的安全访问控制。
用户以数字身份证书进行用户身份认证。认证合法,则进入访问控制流程,验证该合法用户的有关信息和他所拥有的访问权限,访问控制流程的功能在于根据浏览器请求执行的URL信息和经认证合法的用户相关信息在访问控制数据库中查找该用户对他所请求的URL页面是否有权执行。如下图所示。
针对Web数据交换的安全问题,各相关组织和公司正在努力研究,制订一系列的标准,开发相应的技术和解决方案。
(一)目前在基于PKI/PMI的安全Web数据交换框架下可以采用的技术
1.XML身份认证。XML身份认证有六种方法:基于身份验证、SSL身份验证、摘要身份验证、集成窗口式验证、客户证书验证和XML签名语法与处理。
2.XML数据加密。XML加密语法与处理是W3C的一个工作组开发出来的规范。这个规范描述了对数据的加密过程以及加密结果的XML表示。
3.XML安全声明和标记语言。定义了对验证、属性和授权信息进行XML编码的语法和语义以及这些安全信息的传输协议。
4.XML可扩展访问控制标记语言。是一种可扩展的访问控制策略语言,用于以XML表示访问对象的授权策略。
5.XML可扩展权利标记语言。它提供了一个指定和管理与数字资源和服务相关的权利和条件的方法。
6.XML密钥管理规范。包括两部分:XML密钥信息服务规范和XML密钥注册服务规范。
7.Web服务安全会话语言。Web服务安全会话语言提供了安全会话上下文的建立和共享以及派生会话密钥的机制。
四、结语
企业Web信息系统建设发展的趋势是从单个的信息系统应用向企业应用集成,在企业应用集成中,以XML为核心的跨平台的数据交换处于核心和枢纽地位。如何保证基于XML的Web数据交换能够高效而安全的运转,这就要求在复杂的网络环境下,能够提供一个基于应用层整体的安全解决方案。本文就此着手进行理论和技术研究,并应用于企业信息系统中,该研究在现代企业Web数据交换的安全领域有着广泛的应用价值。
网关和网闸是一个概念吗?如何更好的理解?谢谢!
网关(Gateway)又称网间连接器、协议转换器。网关在网络层以上实现网络互连,是最复杂的网络互连设备,仅用于两个高层协议不同的网络互连。网关既可以用于广域网互连,也可以用于局域网互连。 网关是一种充当转换重任的计算机系统或设备。使用在不同的通信协议、数据格式或语言,甚至体系结构完全不同的两种系统之间,网关是一个翻译器。与网桥只是简单地传达信息不同,网关对收到的信息要重新打包,以适应目的系统的需求。同层--应用层。网闸(GAP)全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。北京数码星辰宇宙盾网闸很不错,我们公司用的就是这一款,防病毒能力特别强,据说是该网闸没有文件系统。我们公司的网闸用了8年了都没坏。
网闸工作原理
网闸的技术原理是,实现了内外网的逻辑隔离,在技术特征上,主要表现在网络模型各层的断开。
物理层断开。网闸采用的网络隔离技术,就是要保证网闸的外部主机和内部主机在任何时候是完全断开的。但外部主机与固态存储介质,内部主机与固态存储介质,在进行数据传递的时候,有条件地进行单个连通,但不能同时相连。在实现上,外部主机与固态存储介质之间、内部主机与固态存储介质之间均存在一个开关电路。网络隔离必须保证这两个开关不会同时闭合,从而保证OSI模型上的物理层的断开机制。
链路层断开。由于开关的同时闭合可以建立一个完整的数据通信链路,因此必须消除数据链路的建立,这就是链路层断开技术。任何基于链路通信协议的数据交换技术,都无法消除数据链路的连接,因此不是网络隔离技术,如基于以太网的交换技术、串口通信或高速串口通信协议的USB等。
TCP/IP协议隔离。为了消除TCP/IP协议(OSI的3~4层)的漏洞,必须剥离TCP/IP协议。在经过网闸进行数据摆渡时,必须再重建TCP/IP协议。
应用协议隔离。为了消除应用协议(OSI的5~7层)的漏洞,必须剥离应用协议。剥离应用协议后的原始数据,在经过网闸进行数据摆渡时,必须重建应用协议。
网闸是使用带有多种控制功能的固态开关读写介质,连接两个独立主机系统的信息安全设备。由于两个独立的主机系统通过网闸进行隔离,使系统间不存在通信的物理连接、逻辑连接及信息传输协议,不存在依据协议进行的信息交换,而只有以数据文件形式进行的无协议摆渡。
网闸的工作原理
网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备,由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发。网闸的技术原理是,实现了内外网的逻辑隔离,在技术特征上,主要表现在网络模型各层的断开。物理层断开。网闸采用的网络隔离技术,就是要保证网闸的外部主机和内部主机在任何时候是完全断开的。但外部主机与固态存储介质,内部主机与固态存储介质,在进行数据传递的时候,有条件地进行单个连通,但不能同时相连。在实现上,外部主机与固态存储介质之间、内部主机与固态存储介质之间均存在一个开关电路。网络隔离必须保证这两个开关不会同时闭合,从而保证OSI模型上的物理层的断开机制。链路层断开。由于开关的同时闭合可以建立一个完整的数据通信链路,因此必须消除数据链路的建立,这就是链路层断开技术。任何基于链路通信协议的数据交换技术,都无法消除数据链路的连接,因此不是网络隔离技术,如基于以太网的交换技术、串口通信或高速串口通信协议的USB等。TCP/IP协议隔离。为了消除TCP/IP协议(OSI的3~4层)的漏洞,必须剥离TCP/IP协议。在经过网闸进行数据摆渡时,必须再重建TCP/IP协议。应用协议隔离。为了消除应用协议(OSI的5~7层)的漏洞,必须剥离应用协议。剥离应用协议后的原始数据,在经过网闸进行数据摆渡时,必须重建应用协议。网闸是使用带有多种控制功能的固态开关读写介质,连接两个独立主机系统的信息安全设备。由于两个独立的主机系统通过网闸进行隔离,使系统间不存在通信的物理连接、逻辑连接及信息传输协议,不存在依据协议进行的信息交换,而只有以数据文件形式进行的无协议摆渡。
安全隔离网闸的原理
安全隔离网闸的组成:安全隔离网闸是实现两个相互业务隔离的网络之间的数据交换,通用的网闸模型设计一般分三个基本部分:a. 内网处理单元b. 外网处理单元c. 隔离与交换控制单元(隔离硬件)其中,三个单元都要求其软件的操作系统是安全的,也就是采用非通用的操作系统,或改造后的专用操作系统。一般为Unix BSD或Linux的经安全精简版本,或者其他是嵌入式操作系统VxWorks等,但都要对底层不需要的协议、服务删除,使用的协议优化改造,增加安全特性,同时提高效率。下面分别介绍三个基本部分的功能:内网处理单元:包括内网接口单元与内网数据缓冲区。接口部分负责与内网的连接,并终止内网用户的网络连接,对数据进行病毒检测、防火墙、入侵防护等安全检测后剥离出“纯数据”,作好交换的准备,也完成来自内网对用户身份的确认,确保数据的安全通道;数据缓冲区是存放并调度剥离后的数据,负责与隔离交换单元的数据交换。外网处理单元:与内网处理单元功能相同,但处理的是外网连接。隔离与交换控制单元:是网闸隔离控制的摆渡控制,控制交换通道的开启与关闭。控制单元中包含一个数据交换区,就是数据交换中的摆渡船。对交换通道的控制的方式目前有两种技术,摆渡开关与通道控制。摆渡开关是电子倒换开关,让数据交换区与内外网在任意时刻的不同时连接,形成空间间隔GAP,实现物理隔离。通道方式是在内外网之间改变通讯模式,中断了内外网的直接连接,采用私密的通讯手段形成内外网的物理隔离。该单元中有一个数据交换区,作为交换数据的中转。安全隔离网闸的两类模型:在内外网处理单元中,接口处理与数据缓冲之间的通道,称内部通道1,缓冲区与交换区之间的通道,称内部通道2。对内部通道的开关控制,就可以形成内外网的隔离。模型中的用中间的数据交换区摆渡数据,称为三区模型;摆渡时,交换区的总线分别与内、外网缓冲区连接,也就是内部通道2的控制,完成数据交换。还有一种方式是取消数据交换区,分别交互控制内部通道1与内部通道2,形成二区模型。二区模型的数据摆渡分两次:先是连接内、外网数据缓冲区的内部通道2断开,内部通道1连接,内外网接口单元将要交换的数据接收过来,存在各自的缓冲区中,完成一次摆渡。然后内部通道1断开,内部通道2连接,内外网的数据缓冲区与各自的接口单元断开后,两个缓冲区连接,分别把要交换的数据交换到对方的缓冲区中,完成数据的二次摆渡。内部通道一般也采用非通用网络的通讯连接,让来自两端的可能攻击终止于接口单元,从而增强网闸的隔离效果。安全隔离网闸设计的目的,是隔离内外网业务连接的前提下,实现安全的数据交换。也就是安全专家描述的:协议落地,数据交换。