下载提示
- 1.该资料是网友上传的,本站提供全文预览,预览什么样,下载就什么样。
- 2.下载该文档所得收入归上传者、原创者。
- 3.下载的文档,不会出现我们的网址水印。
文档列表
文档介绍
第十章网络隔离与网闸
网络隔离技术
网闸
典型网闸产品
网络隔离技术
面对新型网络攻击手段的出现和高安全度网络对安全的特殊需求,全新安全防护防范理念的网络安全技术——“网络隔离技术”应运而生。 网络隔离技术的目标是确保把有害的攻击隔离,在可信网络之外和保证可信网络内部信息不外泄的前提下,完成网间数据的安全交换。网络隔离技术是在原有安全技术的基础上发展起来的,它弥补了原有安全技术的不足,突出了自己的优势。
网络隔离,work Isolation,主要是指把两个或两个以上可路由的网络(如:TCP/IP)通过不可路由的协议(如:IPX/BEUI等)进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议,所以通常也叫协议隔离(Protocol Isolation)。
网络隔离技术的概念来源
网络隔离的概念源于人工烤盘、和轮渡。
(1)人工烤盘
人工拷盘是已知的最早的网络隔离技术。最早的计算机是单机的,不同的计算机还没有联网。没有联网的两个计算机之间要交换数据,最简单的办法是人工拷盘。要特别强调,在人工拷盘的任何时刻,两个计算机之间是完全断开的,没有联网的。在拷盘的时候,当计算机操作人员在一台计算机里拷盘时,与另外一台计算机是完全断开的;当计算机操作人员把磁盘拿出的时候,与两台计算机都是完全断开的;当计算机操作人员把文件数据复制到目的计算机时,与原来的计算机是完全断开的。在任何时候,两台交换文件数据的计算机,总是断开的。
(2)(人力网)
人工拷盘利用软件来实现文件数据交换,但并不是只有软盘才能交换文件数据。除软盘外、移动硬盘、可擦写光盘以及U盘都可以实现文件数据交换。人在两台计算机或两个网络之间使用软盘、移动硬盘等可以移动的存储介质来交换文件或数据,这样两个隔离的计算机或网络与人一起便构成了一个逻辑上的虚拟网络
(3)轮渡
网络隔离有多种方式,其中最重要的一种方式是网闸。网闸的概念主要是源于轮渡。
对轮渡的工作机理的借鉴,大大地推动了网络隔离的研究发展,直接导致网闸技术的出现。“下车改乘轮船”的现象启发人们研究协议的剥离技术,“下船改成汽车”的现象启发人们研究协议的重建技术,“轮船载人渡河”启发人们研究文件“摆渡”,最后实现了在两网断开的情况下可以进行数据交换。从两台主机在断开的情况下可以实现数据交换,到两个网络之间在断开的情况下也可以实现数据交换。
隔离概念是在为了保护高安全度网络环境的情况下产生的;隔离产品的大量出现,也是经历了五代隔离技术不断的实践和理论相结合后得来的。
第一代隔离技术—完全的隔离。此方法使得网络处于信息孤岛状态,做到了完全的物理隔离,需要至少两套网络和系统,更重要的是信息交流的不便和成本的提高,这样给维护和使用带来了极大的不便。
第二代隔离技术—硬件卡隔离。在客户端增加一块硬件卡,客户端硬盘或其他存储设备首先连接到该卡,然后再转接到主板上,通过该卡能控制客户端硬盘或其他存储设备。而在选择不同的硬盘时,同时选择了该卡上不同的网络接口,连接到不同的网络。但是,这种隔离产品有的仍然需要网络布线为双网线结构,产品存在着较大的安全隐患。
第三代隔离技术—数据转播隔离。利用转播系统分时复制文件的途径来实现隔离,切换时间非常之久,甚至需要手工完成,不仅明显地减缓了访问速度,更不支持常见的网络应用,失去了网络存在的意义。
第四代隔离技术—空气开关隔离。它是通过使用单刀双掷开关,使得内外部网络分时访问临时缓存器来完成数据交换的,但在安全和性能上存在有许多问题。
第五代隔离技术—安全通道隔离。此技术通过专用通信硬件和专有安全协议等安全机制,来实现内外部网络的隔离和数据交换,不仅解决了以前隔离技术存在的问题,并有效地把内外部网络隔离开来,而且高效地实现了内外网数据的安全交换,透明支持多种网络应用,成为当前隔离技术的发展方向。
网络隔离技术的原理
网络隔离的指导思想与防火墙有很大的不同,体现在防火墙的思路是在保障互联互通的前提下,尽可能安全,而网络隔离的思路是在必须保证安全的前提下,尽可能互联互通,如果不安全则断开。
网络隔离技术就是要解决目前网络安全存在的最根本问题,包括对操作系统的依赖,因为操作系统有漏洞;也包括对TCP/IP协议的依赖,而TCP/IP协议同样有漏洞。解决通信连接的问题,当内网和外网直接连接时,存在基于通信的攻击和应用协议的漏洞,因为命令和指令可能是非法的。
互联网是基于TCP/IP来实现的,而所有的攻击都可以归纳为基于对TCP/IP的OSI数据通信模型的某一层或多层的攻击,
网络隔离技术
网闸
典型网闸产品
网络隔离技术
面对新型网络攻击手段的出现和高安全度网络对安全的特殊需求,全新安全防护防范理念的网络安全技术——“网络隔离技术”应运而生。 网络隔离技术的目标是确保把有害的攻击隔离,在可信网络之外和保证可信网络内部信息不外泄的前提下,完成网间数据的安全交换。网络隔离技术是在原有安全技术的基础上发展起来的,它弥补了原有安全技术的不足,突出了自己的优势。
网络隔离,work Isolation,主要是指把两个或两个以上可路由的网络(如:TCP/IP)通过不可路由的协议(如:IPX/BEUI等)进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议,所以通常也叫协议隔离(Protocol Isolation)。
网络隔离技术的概念来源
网络隔离的概念源于人工烤盘、和轮渡。
(1)人工烤盘
人工拷盘是已知的最早的网络隔离技术。最早的计算机是单机的,不同的计算机还没有联网。没有联网的两个计算机之间要交换数据,最简单的办法是人工拷盘。要特别强调,在人工拷盘的任何时刻,两个计算机之间是完全断开的,没有联网的。在拷盘的时候,当计算机操作人员在一台计算机里拷盘时,与另外一台计算机是完全断开的;当计算机操作人员把磁盘拿出的时候,与两台计算机都是完全断开的;当计算机操作人员把文件数据复制到目的计算机时,与原来的计算机是完全断开的。在任何时候,两台交换文件数据的计算机,总是断开的。
(2)(人力网)
人工拷盘利用软件来实现文件数据交换,但并不是只有软盘才能交换文件数据。除软盘外、移动硬盘、可擦写光盘以及U盘都可以实现文件数据交换。人在两台计算机或两个网络之间使用软盘、移动硬盘等可以移动的存储介质来交换文件或数据,这样两个隔离的计算机或网络与人一起便构成了一个逻辑上的虚拟网络
(3)轮渡
网络隔离有多种方式,其中最重要的一种方式是网闸。网闸的概念主要是源于轮渡。
对轮渡的工作机理的借鉴,大大地推动了网络隔离的研究发展,直接导致网闸技术的出现。“下车改乘轮船”的现象启发人们研究协议的剥离技术,“下船改成汽车”的现象启发人们研究协议的重建技术,“轮船载人渡河”启发人们研究文件“摆渡”,最后实现了在两网断开的情况下可以进行数据交换。从两台主机在断开的情况下可以实现数据交换,到两个网络之间在断开的情况下也可以实现数据交换。
隔离概念是在为了保护高安全度网络环境的情况下产生的;隔离产品的大量出现,也是经历了五代隔离技术不断的实践和理论相结合后得来的。
第一代隔离技术—完全的隔离。此方法使得网络处于信息孤岛状态,做到了完全的物理隔离,需要至少两套网络和系统,更重要的是信息交流的不便和成本的提高,这样给维护和使用带来了极大的不便。
第二代隔离技术—硬件卡隔离。在客户端增加一块硬件卡,客户端硬盘或其他存储设备首先连接到该卡,然后再转接到主板上,通过该卡能控制客户端硬盘或其他存储设备。而在选择不同的硬盘时,同时选择了该卡上不同的网络接口,连接到不同的网络。但是,这种隔离产品有的仍然需要网络布线为双网线结构,产品存在着较大的安全隐患。
第三代隔离技术—数据转播隔离。利用转播系统分时复制文件的途径来实现隔离,切换时间非常之久,甚至需要手工完成,不仅明显地减缓了访问速度,更不支持常见的网络应用,失去了网络存在的意义。
第四代隔离技术—空气开关隔离。它是通过使用单刀双掷开关,使得内外部网络分时访问临时缓存器来完成数据交换的,但在安全和性能上存在有许多问题。
第五代隔离技术—安全通道隔离。此技术通过专用通信硬件和专有安全协议等安全机制,来实现内外部网络的隔离和数据交换,不仅解决了以前隔离技术存在的问题,并有效地把内外部网络隔离开来,而且高效地实现了内外网数据的安全交换,透明支持多种网络应用,成为当前隔离技术的发展方向。
网络隔离技术的原理
网络隔离的指导思想与防火墙有很大的不同,体现在防火墙的思路是在保障互联互通的前提下,尽可能安全,而网络隔离的思路是在必须保证安全的前提下,尽可能互联互通,如果不安全则断开。
网络隔离技术就是要解决目前网络安全存在的最根本问题,包括对操作系统的依赖,因为操作系统有漏洞;也包括对TCP/IP协议的依赖,而TCP/IP协议同样有漏洞。解决通信连接的问题,当内网和外网直接连接时,存在基于通信的攻击和应用协议的漏洞,因为命令和指令可能是非法的。
互联网是基于TCP/IP来实现的,而所有的攻击都可以归纳为基于对TCP/IP的OSI数据通信模型的某一层或多层的攻击,
通过两个开关的不能同时闭合来保证OSI模型物理层的断开-Read 来自淘豆网www.taodocs.com转载请标明出处.