网闸工作原理

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

物理隔离网闸简介

二零零四年三月

目录

1.物理隔离网闸的定位 (3)

2.物理隔离要解决的问题 (3)

3.TCP/IP的漏洞 (3)

4.防火墙的漏洞 (4)

5.物理隔离的技术原理 (4)

6.物理隔离网闸常见技术问题解答 (8)

6.1.物理隔离网闸一定要采用专用开关集成电路吗? (8)

6.2.物理隔离网闸是如何利用SCSI来实现开关技术的? (9)

6.3.物理隔离网闸可以采用USB,火线和以太来实现软开关吗? (9)

6.4.为什么SCSI可以,而USB、火线和以太就不行? (10)

6.5.物理隔离网闸的开关的速度很慢吗? (10)

6.6.物理隔离网闸工作在OSI模型的那一层? (10)

6.7.物理隔离网闸在OSI模型第5层是如何工作的? (11)

6.8.物理隔离网闸在OSI模型第七层是如何工作的? (12)

6.9.信息安全交换系统是如何工作的? (12)

6.10.安全隔离网闸在OSI模型里是如何工作? (13)

6.11.采用了协议转换,是物理隔离吗? (15)

6.12.基于协议转换的双主机结构有哪些类型和形式? (15)

6.13.物理隔离网闸的每一个应用都需要相应的代理? (17)

6.14.物理隔离网闸的应用代理是否符合相关的RFC规范? (17)

6.15.从外网已经PING不通内网,是物理隔离网闸吗? (17)

6.16.从外网无法扫描内网的主机,是物理隔离网闸吗? (18)

6.17.通过开关来实现了包转发,是物理隔离网闸吗? (18)

6.18.为什么说即使入侵了网闸的外部主机,也无法入侵内部主机? (18)

6.19.物理隔离网闸的外部主机有哪些防止入侵的办法? (18)

6.20.为什么物理隔离网闸能阻止未知的攻击? (19)

6.21.物理隔离网闸的安全性是最高的吗? (19)

1.物理隔离网闸的定位

物理隔离技术,不是要替代防火墙,入侵检测,漏洞扫描和防病毒系统,相反,它是用户“深度防御”的安全策略的另外一块基石,一般用来保护为了的“核心”。物理隔离技术,是绝对要解决互联网的安全问题,而不是什么其它的问题。

2.物理隔离要解决的问题

解决目前防火墙存在的根本问题:

●防火墙对操作系统的依赖,因为操作系统也有漏洞

●TCP/IP的协议漏洞:不用TCP/IP

●防火墙、内网和DMZ同时直接连接,

●应用协议的漏洞,因为命令和指令可能是非法的

●文件带有病毒和恶意代码:不支持MIME,只支持TXT,或杀病毒软件,或恶

意代码检查软件

物理隔离的指导思想与防火墙有很大的不同:防火墙的思路是在保障互联互通的前提下,尽可能安全,而物理隔离的思路是在保证必须安全的前提下,尽可能互联互通。

3.TCP/IP的漏洞

TCP/IP是冷战时期的产物,目标是要保证通达,保证传输的粗旷性。通过来回确认来保证数据的完整性,不确认则要重传。TCP/IP没有内在的控制机制,来支持源地址的鉴别,来证实IP从哪儿来。这就是TCP/IP漏洞的根本原因。黑客利用TCP/IP的这个漏洞,可以使用侦听的方式来截获数据,能对数据进行检

查,推测TCP的系列号,修改传输路由,修改鉴别过程,插入黑客的数据流。莫里斯病毒就是利用这一点,给互联网造成巨大的危害。

4.防火墙的漏洞

防火墙要保证服务,必须开放相应的端口。防火墙要准许HTTP服务,就必须开放80端口,要提供MAIL服务,就必须开放25端口等。对开放的端口进行攻击,防火墙不能防止。利用DOS或DDOS,对开放的端口进行攻击,防火墙无法禁止。利用开放服务流入的数据来攻击,防火墙无法防止。利用开放服务的数据隐蔽隧道进行攻击,防火墙无法防止。攻击开放服务的软件缺陷,防火墙无法防止。

防火墙不能防止对自己的攻击,只能强制对抗。防火墙本身是一种被动防卫机制,不是主动安全机制。防火墙不能干涉还没有到达防火墙的包,如果这个包是攻击防火墙的,只有已经发生了攻击,防火墙才可以对抗,根本不能防止。

目前还没有一种技术可以解决所有的安全问题,但是防御的深度愈深,网络愈安全。物理隔离网闸是目前唯一能解决上述问题的安全设备。

5.物理隔离的技术原理

物理隔离的技术架构在隔离上。以下的图组可以给我们一个清晰的概念,物理隔离是如何实现的。

图1,外网是安全性不高的互联网,内网是安全性很高的内部专用网络。正常情况下,隔离设备和外网,隔离设备和内网,外网和内网是完全断开的。保证网络之间是完全断开的。

隔离设备可以理解为纯粹的存储介质,和一个单纯的调度和控制电路。

当外网需要有数据到达内网的时候,以电子邮件为例,外部的服务器立即发起对隔离设备的非TCP/IP协议的数据连接,隔离设备将所有的协议剥离,将原始的数据写入存储介质。根据不同的应用,可能有必要对数据进行完整性和安全性检查,如防病毒和恶意代码等。见下图2。

一旦数据完全写入隔离设备的存储介质,隔离设备立即中断与外网的连接。转而发起对内网的非TCP/IP协议的数据连接。隔离设备将存储介质内的数据推向内网。内网收到数据后,立即进行TCP/IP的封装和应用协议的封装,并交给应用系统。

这个时候内网电子邮件系统就收到了外网的电子邮件系统通过隔离设备转发的电子邮件。见下图3。

在控制台收到完整的交换信号之后,隔离设备立即切断隔离设备于内网的直接连接。见下图4。

如果这时,内网有电子邮件要发出,隔离设备收到内网建立连接的请求之后,建立与内网之间的非TCP/IP协议的数据连接。隔离设备剥离所有的TCP/IP 协议和应用协议,得到原始的数据,将数据写入隔离设备的存储介质。必要的化,对其进行防病毒处理和防恶意代码检查。然后中断与内网的直接连接。见下图5。

相关文档
最新文档