网络隔离的工作原理
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
重庆电子工程职业学院
《信息安全产品配置与应用》之网闸篇 ——技术与原理
.
本讲主要任务和学习目标
任务目标
任务1:学习网闸的基本技术原理与发展历史 任务2:学习网闸的典型功能与部署方式
学习目标
了解网闸技术原理与发展历史 掌握网闸典型应用与部署方法
.
本讲主要内容
网络隔离的概念 网络隔离技术的原理与发展历程 隔离网闸的定义与技术原理 隔离网闸未来的发展方向 隔离网闸典型部署方式
.
网闸的技术原理
第一代网闸的技术原理是利用单刀双掷开关使得内外网的处理单元分 时存取共享存储设备来完成数据交换的。安全原理是通过应用层数据 提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果。
目前网闸正是在吸取了第一代网闸优点的基础上,利用专用交换通道 PET(Private Exchange Tunnel)技术,在不降低安全性的前提下能够 完成内外网之间高速的数据交换,有效地克服了第一代网闸的弊端。 第二代网闸的安全数据交换过程是通过专用硬件通信卡、私有通信协 议和加密签名机制来实现。
.
本讲主要内容
网络隔离的概念 网络隔离技术的原理与发展历程 隔离网闸的定义与技术原理 隔离网闸未来的发展方向 隔离网闸典型部署方式
.
网络隔离的技术原理
下图表示没有连接时内外网的应用状况,从连接特征可以看出这样的 结构从物理上完全分离。
控制器
外网
内网
存储介质
.
网络隔离的技术原理
当外网需要有数据到达内网的时候,以电子邮件为例,外部的服务器 立即发起对隔离设备的非TCP/IP协议的数据连接,隔离设备将所有的 协议剥离,将原始的数据写入存储介质。
控制器
外网
内网
存储介质
.
网络隔离的技术原理
一旦数据完全写入隔离设备的存储介质,隔离设备立即中断与外网的 连接。转而发起对内网的非TCP/IP协议的数据连接。隔离设备将存储 介质内的数据推向内网。内网收到数据后,立即进行TCP/IP的封装和 应用协议的封装,并交给应用系统。
控制器
外网
内网
存储介质
在控制台收到完整的交换信号之后,隔离设备立即切断隔离设备于内网 的直接连接
网络隔离(Network Isolation),主要是指把两个或两个以上可路由 的网络(如TCP/IP)通过不可路由的协议(如IPX/SPX、NetBEUI等) 进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议, 所以通常也叫协议隔离(Protocol Isolation)。
第一代隔离技术——完全的隔离 第二代隔离技术——硬件卡隔离 第三代隔离技术——数据转播隔离 第四代隔离技术——空气开关隔离 第五代隔离技术——安全通道隔离
.
隔离概念的提出
国外
➢ 最早提出隔离概念,70年代美国、俄罗斯和以色列等国都存在此 方面的技术应用和相关法规
国内
➢ 隔离要求最早是由国家保密局提出的,并已严格在涉密网内执行 ➢ 中共中央办公厅2002年第17号文件明确强调:“政务内网和政务 外网之间物理隔离,政务外网与互联网之间逻辑隔离”
.
网络隔离的概念
.
隔离网闸未来的发展方向
采用高性能的专用芯片增强网闸数据摆渡能力 通过专用通信设备、专有安全协议和加密验证机制及
应用层数据提取和鉴别认证技术,进行不同安全级别 网络之间的数据交换,彻底阻断网络间的直接TCP/IP 连接。 对网间通信的双方、内容、过程施以严格的身份认证、 内容过滤、安全审计等多种安全防护机制,从而保证 了网间数据交换的安全、可控,杜绝了由于操作系统 和网络协议自身漏洞带来的安全风险。
网闸至少是三模块架构(内网处理单元、外网处理单元、隔离与交换 控制单元);应保证网闸的外部主机和内部主机在任何时候是完全断 开的;完成应用协议的剥离(OSI 的 5 至 7 层);代理完成TCP/IP协 议的重建,实现内网与外网的数据交换。
.
本讲主要内容
网络隔离的概念 网络隔离技术的原理与发展历程 隔离网闸的定义与技术原理 隔离网闸未来的发展方向 隔离网闸典型部署方式
学习目标
了解网闸技术原理与发展历史 掌握网闸典型应用与部署方法
.
谢谢!
.
Leabharlann Baidu
不同 业务 部门 之间
网络隔离和信息 交换系统
网络隔离和信息 交换系统
办公室内网2
网络隔离和信息 交换系统
边缘 网与 总部 综合 网之
间
重要服务器
网络隔离和信息 交换系统
实现数据交 换的安全
.
本讲主要任务和学习目标
任务目标
任务1:学习网闸的基本技术原理与发展历史 任务2:学习网闸的典型功能与部署方式
网络隔离与信 息交换系统
涉密网络
涉密办公用机
文件服务器 邮件服务器
涉密办公用机 涉密办公内网
涉密服务器区
网络隔离与信 息交换系统
涉密办公用机 涉密办公用机
数据库服务器 FTP服务器
.
常规网络中的应用
内 外 之 间 的 安 全 隔 离
办公外网
对外信息发布
对公 外网 和业 务网 之间
办公内网1
其他 分支 机构
.
本讲主要内容
网络隔离的概念 网络隔离技术的原理与发展历程 隔离网闸的定义与技术原理 隔离网闸未来的发展方向 隔离网闸典型部署方式
.
涉密网络中的部署方式
部署在非涉密网 和涉密网之间
非涉密web服务器 非涉密办公用机
非涉密办公用机
非涉密办公网
部署在涉密网子 网之间
非涉密办公用机非涉密办公用机
.
本讲主要内容
网络隔离的概念 网络隔离技术的原理与发展历程 隔离网闸的定义与技术原理 隔离网闸未来的发展方向 隔离网闸典型部署方式
.
网闸的定义与功能
网闸是使用带有多种控制功能的固态开关、读写介质,连接两个独立 主机系统的信息安全设备。
物理隔离网闸所连接的两个独立主机系统之间不存在通信的物理连接、 逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包 转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读” 和“写”两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有 潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破 坏,实现了真正的安全。
《信息安全产品配置与应用》之网闸篇 ——技术与原理
.
本讲主要任务和学习目标
任务目标
任务1:学习网闸的基本技术原理与发展历史 任务2:学习网闸的典型功能与部署方式
学习目标
了解网闸技术原理与发展历史 掌握网闸典型应用与部署方法
.
本讲主要内容
网络隔离的概念 网络隔离技术的原理与发展历程 隔离网闸的定义与技术原理 隔离网闸未来的发展方向 隔离网闸典型部署方式
.
网闸的技术原理
第一代网闸的技术原理是利用单刀双掷开关使得内外网的处理单元分 时存取共享存储设备来完成数据交换的。安全原理是通过应用层数据 提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果。
目前网闸正是在吸取了第一代网闸优点的基础上,利用专用交换通道 PET(Private Exchange Tunnel)技术,在不降低安全性的前提下能够 完成内外网之间高速的数据交换,有效地克服了第一代网闸的弊端。 第二代网闸的安全数据交换过程是通过专用硬件通信卡、私有通信协 议和加密签名机制来实现。
.
本讲主要内容
网络隔离的概念 网络隔离技术的原理与发展历程 隔离网闸的定义与技术原理 隔离网闸未来的发展方向 隔离网闸典型部署方式
.
网络隔离的技术原理
下图表示没有连接时内外网的应用状况,从连接特征可以看出这样的 结构从物理上完全分离。
控制器
外网
内网
存储介质
.
网络隔离的技术原理
当外网需要有数据到达内网的时候,以电子邮件为例,外部的服务器 立即发起对隔离设备的非TCP/IP协议的数据连接,隔离设备将所有的 协议剥离,将原始的数据写入存储介质。
控制器
外网
内网
存储介质
.
网络隔离的技术原理
一旦数据完全写入隔离设备的存储介质,隔离设备立即中断与外网的 连接。转而发起对内网的非TCP/IP协议的数据连接。隔离设备将存储 介质内的数据推向内网。内网收到数据后,立即进行TCP/IP的封装和 应用协议的封装,并交给应用系统。
控制器
外网
内网
存储介质
在控制台收到完整的交换信号之后,隔离设备立即切断隔离设备于内网 的直接连接
网络隔离(Network Isolation),主要是指把两个或两个以上可路由 的网络(如TCP/IP)通过不可路由的协议(如IPX/SPX、NetBEUI等) 进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议, 所以通常也叫协议隔离(Protocol Isolation)。
第一代隔离技术——完全的隔离 第二代隔离技术——硬件卡隔离 第三代隔离技术——数据转播隔离 第四代隔离技术——空气开关隔离 第五代隔离技术——安全通道隔离
.
隔离概念的提出
国外
➢ 最早提出隔离概念,70年代美国、俄罗斯和以色列等国都存在此 方面的技术应用和相关法规
国内
➢ 隔离要求最早是由国家保密局提出的,并已严格在涉密网内执行 ➢ 中共中央办公厅2002年第17号文件明确强调:“政务内网和政务 外网之间物理隔离,政务外网与互联网之间逻辑隔离”
.
网络隔离的概念
.
隔离网闸未来的发展方向
采用高性能的专用芯片增强网闸数据摆渡能力 通过专用通信设备、专有安全协议和加密验证机制及
应用层数据提取和鉴别认证技术,进行不同安全级别 网络之间的数据交换,彻底阻断网络间的直接TCP/IP 连接。 对网间通信的双方、内容、过程施以严格的身份认证、 内容过滤、安全审计等多种安全防护机制,从而保证 了网间数据交换的安全、可控,杜绝了由于操作系统 和网络协议自身漏洞带来的安全风险。
网闸至少是三模块架构(内网处理单元、外网处理单元、隔离与交换 控制单元);应保证网闸的外部主机和内部主机在任何时候是完全断 开的;完成应用协议的剥离(OSI 的 5 至 7 层);代理完成TCP/IP协 议的重建,实现内网与外网的数据交换。
.
本讲主要内容
网络隔离的概念 网络隔离技术的原理与发展历程 隔离网闸的定义与技术原理 隔离网闸未来的发展方向 隔离网闸典型部署方式
学习目标
了解网闸技术原理与发展历史 掌握网闸典型应用与部署方法
.
谢谢!
.
Leabharlann Baidu
不同 业务 部门 之间
网络隔离和信息 交换系统
网络隔离和信息 交换系统
办公室内网2
网络隔离和信息 交换系统
边缘 网与 总部 综合 网之
间
重要服务器
网络隔离和信息 交换系统
实现数据交 换的安全
.
本讲主要任务和学习目标
任务目标
任务1:学习网闸的基本技术原理与发展历史 任务2:学习网闸的典型功能与部署方式
网络隔离与信 息交换系统
涉密网络
涉密办公用机
文件服务器 邮件服务器
涉密办公用机 涉密办公内网
涉密服务器区
网络隔离与信 息交换系统
涉密办公用机 涉密办公用机
数据库服务器 FTP服务器
.
常规网络中的应用
内 外 之 间 的 安 全 隔 离
办公外网
对外信息发布
对公 外网 和业 务网 之间
办公内网1
其他 分支 机构
.
本讲主要内容
网络隔离的概念 网络隔离技术的原理与发展历程 隔离网闸的定义与技术原理 隔离网闸未来的发展方向 隔离网闸典型部署方式
.
涉密网络中的部署方式
部署在非涉密网 和涉密网之间
非涉密web服务器 非涉密办公用机
非涉密办公用机
非涉密办公网
部署在涉密网子 网之间
非涉密办公用机非涉密办公用机
.
本讲主要内容
网络隔离的概念 网络隔离技术的原理与发展历程 隔离网闸的定义与技术原理 隔离网闸未来的发展方向 隔离网闸典型部署方式
.
网闸的定义与功能
网闸是使用带有多种控制功能的固态开关、读写介质,连接两个独立 主机系统的信息安全设备。
物理隔离网闸所连接的两个独立主机系统之间不存在通信的物理连接、 逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包 转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读” 和“写”两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有 潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破 坏,实现了真正的安全。