隔离技术介绍-精品课件(PPT).ppt

第 9 章隔离技术本章学****目标: ?了解网络隔离发展历程?掌握网络隔离的技术原理?了解网络隔离的技术分类及发展方向?掌握网闸的基本原理 2 隔离技术概述安全域是以信息涉密程度划分的网络空间。涉密域就是涉及国家秘密的网络空间。非涉密域就是不涉及国家的秘密, 但是涉及本单位,本部门或者本系统的工作秘密的网络空间。公共服务域是指既不涉及国家秘密也不涉及工作秘密,是一个向因特网络完全开放的公共信息交换空间。 隔离的概念 1、安全域电子政务的内网和外网要实行严格的物理隔离。政务的外网和因特网络要实行逻辑隔离,按照安全域的划分,政府的内网就是涉密域,政府的外网就是非涉密域,因特网就是公共服务域。 3 隔离技术概述网络隔离( Network Isolation ), 主要是指把两个或两个以上可路由的网络(如 TCP/IP ) 通过不可路由的协议(如 IPX/SPX 、NetBEUI 等)进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议,所以通常也叫协议隔离( Protocol Isolation )。 隔离的概念 2、网络隔离第一代隔离技术——完全的隔离第二代隔离技术——硬件卡隔离第三代隔离技术——数据转播隔离第四代隔离技术——空气开关隔离第五代隔离技术——安全通道隔离 4 隔离技术概述 网络隔离的技术原理右图表示没有连接时内外网的应用状况,从连接特征可以看出这样的结构从物理上完全分离。 5 隔离技术概述 网络隔离的技术原理当外网需要有数据到达内网的时候,以电子邮件为例,外部的服务器立即发起对隔离设备的非 TCP/IP 协议的数据连接, 隔离设备将所有的协议剥离,将原始的数据写入存储介质。6 隔离技术概述 网络隔离的技术原理一旦数据完全写入隔离设备的存储介质,隔离设备立即中断与外网的连接。转而发起对内网的非 TCP/IP 协议的数据连接。隔离设备将存储介质内的数据推向内网。内网收到数据后,立即进行 TCP/IP 的封装和应用协议的封装, 并交给应用系统。在控制台收到完整的交换信号之后,隔离设备立即切断隔离设备于内网的直接连接 7 隔离技术概述 网络隔离的技术原理内网有电子邮件要发出,隔离设备收到内网建立连接的请求之后,建立与内网之间的非 TCP/IP 协议的数据连接。隔离设备剥离所有的 TCP/IP 协议和应用协议,得到原始的数据,将数据写入隔离设备的存储介质。 8 隔离技术概述 网络隔离的技术原理一旦数据完全写入隔离设备的存储介质,隔离设备立即中断与内网的连接。转而发起对外网的非 TCP/IP 协议的数据连接。隔离设备将存储介质内的数据推向外网。外网收到数据后,立即进行 TCP/IP 的封装和应用协议的封装, 并交给系统 9 隔离技术概述 网络隔离的技术原理每一次数据交换,隔离设备经历了数据的接受、存储和转发三个过程。由于这些规则都是在内存和内核中完成的,因此速度上有保证,可以达到 100% 的总线处理能力。物理隔离的一个特征, 就是内网与外网永不连接,内网和外网在同一时间最多只有一个同隔离设备建立非 TCP/IP 协议的数据连接。其数据传输机制是存储和转发。物理隔离的好处是明显的,即使外网在处在最坏的情况下,内网也不会有任何破坏,修复外网系统也非常容易。 10 隔离技术概述 网络隔离技术分类 1 .基于代码、内容等隔离的反病毒和内容过滤技术 2 .基于网络层隔离的防火墙技术 3 .基于物理链路层的物理隔离技术