网络隔离的工作原理
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
重庆电子工程职业学院
《信息安全产品配置与应用》之网闸篇 ——技术与原理
本讲主要任务和学习目标
任务目标
任务1:学习网闸的基本技术原理与发展历史 任务2:学习网闸的典型功能与部署方式
学习目标
了解网闸技术原理与发展历史 掌握网闸典型应用与部署方法
本讲主要内容
网络隔离的概念 网络隔离技术的原理与发展历程 隔离网闸的定义与技术原理 隔离网闸未来的发展方向 隔离网闸典型部署方式
网闸的技术原理
第一代网闸的技术原理是利用单刀双掷开关使得内外网的处理单元分 时存取共享存储设备来完成数据交换的。安全原理是通过应用层数据 提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果。
目前网闸正是在吸取了第一代网闸优点的基础上,利用专用交换通道 PET(Private Exchange Tunnel)技术,在不降低安全性的前提下能够 完成内外网之间高速的数据交换,有效地克服了第一代网闸的弊端。 第二代网闸的安全数据交换过程是通过专用硬件通信卡、私有通信协 议和加密签名机制来实现。
网闸至少是三模块架构(内网处理单元、外网处理单元、隔离与交换 控制单元);应保证网闸的外部主机和内部主机在任何时候是完全断 开的;完成应用协议的剥离(OSI 的 5 至 7 层);代理完成TCP/IP协 议的重建,实现内网与外网的数据交换。
本讲主要内容
网络隔离的概念 网络隔离技术的原理与发展历程 隔离网闸的定义与技术原理 隔离网闸未来的发展方向 隔离网闸典型部署方式
不同 业务 部门 之间
网络隔离和信息 交换系统
办公室内网2
网络隔离和信息 交换系统
边缘 网与 总部 综合 网之 间
重要服务器
网络隔离和信息 交换系统
实现数据交 换的安全
本讲主要任务和学习目标
任务目标
任务1:学习网闸的基本技术原理与发展历史 任务2:学习网闸的典型功能与部署方式
学习目标
了解网闸技术原理与发展历史 掌握网闸典型应用与部署方法
隔离概念的提出
国外 ➢ 最早提出隔离概念,70年代美国、俄罗斯 和以色列等国都存在此方面的技术应用和相 关法规
国内 ➢ 隔离要求最早是由国家保密局提出的,并
网络隔离的概念
网络隔离(Network Isolation),主要是指把两个或两个以上可路由的 网络(如TCP/IP)通过不可路由的协议(如IPX/SPX、NetBEUI等) 进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议, 所以通常也叫协议隔离(Protocol Isolation)。
第一代隔离技术——完全的隔离 第二代隔离技术——硬件卡隔离 第三代隔离技术——数据转播隔离 第四代隔离技术——空气开关隔离 第五代隔离技术——安全通道隔离
本讲主要内容
网络隔离的概念 网络隔离技术的原理与发展历程 隔离网闸的定义与技术原理 隔离网闸未来的发展方向 隔离网闸典型部署方式
网络隔离的技术原理
本讲主要内容
网络隔离的概念 网络隔离技术的原理与发展历程 隔离网闸的定义与技术原理 隔离网闸未来的发展方向 隔离网闸典型部署方式
网闸的定义与功能
网闸是使用带有多种控制功能的固态开关、读写介质,连接两个 独立主机系统的信息安全设备。
物理隔离网闸所连接的两个独立主机系统之间不存在通信的物理 连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协 议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存 储介质只有“读”和“写”两个命令。所以,物理隔离网闸从物 理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”无 法入侵、无法攻击、无法破坏,实现了真正的安全。
网络隔离与信 息交换系统
涉密网络
涉密办公用机
文件服务器 邮件服务器
涉密办公用机 涉密办公内网
涉密服务器区
网络隔离与信 息交换系统
涉密办公用机 涉密办公用机
数据库服务器 FTP服务器
常规网络中的应用
内
外
之
间
的
安
全
隔
离
办公外网
对外信息发布
对公 外网 和业 务网 之间
办公内网1
其他 分支 机构
网络隔离和信息 交换系统
本讲主要内容
网络隔离的概念 网络隔离技术的原理与发展历程 隔离网闸的定义与技术原理 隔离网闸未来的发展方向 隔离网闸典型部署方式
涉密网络中的部署方式
部署在非涉密网 和涉密网之间
非涉密web服务器 非涉密办公用机
非涉密办公用机
非涉密办公网
部署在涉密网子 网之间
非涉密办公用机非涉密办公用机
外网
内网
存储介质
网络隔离的技术原理
Leabharlann Baidu
一旦数据完全写入隔离设备的存储介质,隔离设备立即中断与外 网的连接。转而发起对内网的非TCP/IP协议的数据连接。隔离设 备将存储介质内的数据推向内网。内网收到数据后,立即进行 TCP/IP的封装和应用协议的封装,并交给应用系统。
控制器
外网
内网
存储介质
在控制台收到完整的交换信号之后,隔离设备立即切断隔离设备于内网 的直接连接
下图表示没有连接时内外网的应用状况,从连接特征可以看出这 样的结构从物理上完全分离。
控制器
外网
内网
存储介质
网络隔离的技术原理
当外网需要有数据到达内网的时候,以电子邮件为例,外部的服 务器立即发起对隔离设备的非TCP/IP协议的数据连接,隔离设备 将所有的协议剥离,将原始的数据写入存储介质。
控制器
隔离网闸未来的发展方向
采用高性能的专用芯片增强网闸数据摆 渡能力
通过专用通信设备、专有安全协议和加 密验证机制及应用层数据提取和鉴别认 证技术,进行不同安全级别网络之间的 数据交换,彻底阻断网络间的直接 TCP/IP连接。
对网间通信的双方、内容、过程施以严 格的身份认证、内容过滤、安全审计等 多种安全防护机制,从而保证了网间数
《信息安全产品配置与应用》之网闸篇 ——技术与原理
本讲主要任务和学习目标
任务目标
任务1:学习网闸的基本技术原理与发展历史 任务2:学习网闸的典型功能与部署方式
学习目标
了解网闸技术原理与发展历史 掌握网闸典型应用与部署方法
本讲主要内容
网络隔离的概念 网络隔离技术的原理与发展历程 隔离网闸的定义与技术原理 隔离网闸未来的发展方向 隔离网闸典型部署方式
网闸的技术原理
第一代网闸的技术原理是利用单刀双掷开关使得内外网的处理单元分 时存取共享存储设备来完成数据交换的。安全原理是通过应用层数据 提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果。
目前网闸正是在吸取了第一代网闸优点的基础上,利用专用交换通道 PET(Private Exchange Tunnel)技术,在不降低安全性的前提下能够 完成内外网之间高速的数据交换,有效地克服了第一代网闸的弊端。 第二代网闸的安全数据交换过程是通过专用硬件通信卡、私有通信协 议和加密签名机制来实现。
网闸至少是三模块架构(内网处理单元、外网处理单元、隔离与交换 控制单元);应保证网闸的外部主机和内部主机在任何时候是完全断 开的;完成应用协议的剥离(OSI 的 5 至 7 层);代理完成TCP/IP协 议的重建,实现内网与外网的数据交换。
本讲主要内容
网络隔离的概念 网络隔离技术的原理与发展历程 隔离网闸的定义与技术原理 隔离网闸未来的发展方向 隔离网闸典型部署方式
不同 业务 部门 之间
网络隔离和信息 交换系统
办公室内网2
网络隔离和信息 交换系统
边缘 网与 总部 综合 网之 间
重要服务器
网络隔离和信息 交换系统
实现数据交 换的安全
本讲主要任务和学习目标
任务目标
任务1:学习网闸的基本技术原理与发展历史 任务2:学习网闸的典型功能与部署方式
学习目标
了解网闸技术原理与发展历史 掌握网闸典型应用与部署方法
隔离概念的提出
国外 ➢ 最早提出隔离概念,70年代美国、俄罗斯 和以色列等国都存在此方面的技术应用和相 关法规
国内 ➢ 隔离要求最早是由国家保密局提出的,并
网络隔离的概念
网络隔离(Network Isolation),主要是指把两个或两个以上可路由的 网络(如TCP/IP)通过不可路由的协议(如IPX/SPX、NetBEUI等) 进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议, 所以通常也叫协议隔离(Protocol Isolation)。
第一代隔离技术——完全的隔离 第二代隔离技术——硬件卡隔离 第三代隔离技术——数据转播隔离 第四代隔离技术——空气开关隔离 第五代隔离技术——安全通道隔离
本讲主要内容
网络隔离的概念 网络隔离技术的原理与发展历程 隔离网闸的定义与技术原理 隔离网闸未来的发展方向 隔离网闸典型部署方式
网络隔离的技术原理
本讲主要内容
网络隔离的概念 网络隔离技术的原理与发展历程 隔离网闸的定义与技术原理 隔离网闸未来的发展方向 隔离网闸典型部署方式
网闸的定义与功能
网闸是使用带有多种控制功能的固态开关、读写介质,连接两个 独立主机系统的信息安全设备。
物理隔离网闸所连接的两个独立主机系统之间不存在通信的物理 连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协 议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存 储介质只有“读”和“写”两个命令。所以,物理隔离网闸从物 理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”无 法入侵、无法攻击、无法破坏,实现了真正的安全。
网络隔离与信 息交换系统
涉密网络
涉密办公用机
文件服务器 邮件服务器
涉密办公用机 涉密办公内网
涉密服务器区
网络隔离与信 息交换系统
涉密办公用机 涉密办公用机
数据库服务器 FTP服务器
常规网络中的应用
内
外
之
间
的
安
全
隔
离
办公外网
对外信息发布
对公 外网 和业 务网 之间
办公内网1
其他 分支 机构
网络隔离和信息 交换系统
本讲主要内容
网络隔离的概念 网络隔离技术的原理与发展历程 隔离网闸的定义与技术原理 隔离网闸未来的发展方向 隔离网闸典型部署方式
涉密网络中的部署方式
部署在非涉密网 和涉密网之间
非涉密web服务器 非涉密办公用机
非涉密办公用机
非涉密办公网
部署在涉密网子 网之间
非涉密办公用机非涉密办公用机
外网
内网
存储介质
网络隔离的技术原理
Leabharlann Baidu
一旦数据完全写入隔离设备的存储介质,隔离设备立即中断与外 网的连接。转而发起对内网的非TCP/IP协议的数据连接。隔离设 备将存储介质内的数据推向内网。内网收到数据后,立即进行 TCP/IP的封装和应用协议的封装,并交给应用系统。
控制器
外网
内网
存储介质
在控制台收到完整的交换信号之后,隔离设备立即切断隔离设备于内网 的直接连接
下图表示没有连接时内外网的应用状况,从连接特征可以看出这 样的结构从物理上完全分离。
控制器
外网
内网
存储介质
网络隔离的技术原理
当外网需要有数据到达内网的时候,以电子邮件为例,外部的服 务器立即发起对隔离设备的非TCP/IP协议的数据连接,隔离设备 将所有的协议剥离,将原始的数据写入存储介质。
控制器
隔离网闸未来的发展方向
采用高性能的专用芯片增强网闸数据摆 渡能力
通过专用通信设备、专有安全协议和加 密验证机制及应用层数据提取和鉴别认 证技术,进行不同安全级别网络之间的 数据交换,彻底阻断网络间的直接 TCP/IP连接。
对网间通信的双方、内容、过程施以严 格的身份认证、内容过滤、安全审计等 多种安全防护机制,从而保证了网间数