01网闸-原理 - 360文档中心

合集下载

相关主题

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

网络隔离的技术原理
控制器
外网内网
存储介质
当外网需要有数据到达内网的时候，以电子邮件为例，外部的服务器《信息安全产品配置与应用》之网闸原理介绍立即发起对隔离设备的非TCP/IP协议的数据连接，隔离设备将所有的协议剥离，将原始的数据写入存储介质。
网络隔离的技术原理
控制器
外网内网
存储介质
网络隔离的技术原理
部署在非涉密网和涉密网之间
非涉密办公网
部署在涉密网子网之间
非涉密办公用机非涉密办公用机
涉密网络
网络隔离与信息交换系统涉密办公用机涉密办公用机涉密办公内网网络隔离与信息交换系统涉密办公用机涉密办公用机
文件服务器邮件服务器
涉密服务器区
数据库服务器 FTP服务器
《信息安全产品配置与应用》之网闸原理介绍
隔离网闸未来的发展方向
《信息安全产品配置与应用》之网闸原理介绍
本讲主要内容
网络隔离的概念
网络隔离技术的原理与发展历程隔离网闸的定义与技术原理
隔离网闸未来的发展方向
隔离网闸典型部署方式
Leabharlann Baidu
《信息安全产品配置与应用》之网闸原理介绍
涉密网络中的部署方式
非涉密web服务器非涉密办公用机非涉密办公用机
《信息安全产品配置与应用》之网闸原理介绍
物理隔离网闸所连接的两个独立主机系统之间不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。所以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使“黑客”无法入侵、无法攻击、无法破坏，实现了真正的安全。
一旦数据完全写入隔离设备的存储介质，隔离设备立即中断与外网的连接。《信息安全产品配置与应用》之网闸原理介绍转而发起对内网的非TCP/IP协议的数据连接。隔离设备将存储介质内的数据推向内网。内网收到数据后，立即进行TCP/IP的封装和应用协议的封装，并交给应用系统。
控制器
外网内网
存储介质
常规网络中的应用
对外信息发布办公内网1
其他分支机构
内外之间的安全隔离
对公外网和业务网之间
网络隔离和信息交换系统
不同业务部门之间
网络隔离和信息交换系统网络隔离和信息交换系统
边缘网与总部综合网之间
办公外网
办公室内网2
重要服务器
网络隔离和信息交换系统
《信息安全产品配置与应用》之网闸原理介绍
本讲主要内容
网络隔离的概念
网络隔离技术的原理与发展历程隔离网闸的定义与技术原理
隔离网闸未来的发展方向
隔离网闸典型部署方式
采用高性能的专用芯片增强网闸数据摆渡能力《信息安全产品配置与应用》之网闸原理介绍通过专用通信设备、专有安全协议和加密验证机制及应用层数据提取和鉴别认证技术，进行不同安全级别网络之间的数据交换，彻底阻断网络间的直接TCP/IP连接。对网间通信的双方、内容、过程施以严格的身份认证、内容过滤、安全审计等多种安全防护机制，从而保证了网间数据交换的安全、可控，杜绝了由于操作系统和网络协议自身漏洞带来的安全风险。
《信息安全产品配置与应用》之网闸原理介绍
本讲主要内容
网络隔离的概念
网络隔离技术的原理与发展历程隔离网闸的定义与技术原理
隔离网闸未来的发展方向
隔离网闸典型部署方式
下图表示没有连接时内外网的应用状况，从连接特征可以看出这样的《信息安全产品配置与应用》之网闸原理介绍结构从物理上完全分离。
隔离要求最早是由国家保密局提出的，并已严格在涉密网内执行中共中央办公厅2002年第17号文件明确强调：“政务内网和政务外网之间物理隔离，政务外网与互联网之间逻辑隔离”
《信息安全产品配置与应用》之网闸原理介绍
网络隔离的概念
网络隔离（Network Isolation），主要是指把两个或两个以上可路由的网络（如TCP/IP）通过不可路由的协议（如IPX/SPX、NetBEUI等）进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议，所以通常也叫协议隔离（Protocol Isolation）。第一代隔离技术——完全的隔离第二代隔离技术——硬件卡隔离第三代隔离技术——数据转播隔离第四代隔离技术——空气开关隔离第五代隔离技术——安全通道隔离
实现数据交换的安全
《信息安全产品配置与应用》之网闸原理介绍
本讲主要任务和学习目标
任务目标

任务1：学习网闸的基本技术原理与发展历史任务2：学习网闸的典型功能与部署方式
学习目标

了解网闸技术原理与发展历史掌握网闸典型应用与部署方法
《信息安全产品配置与应用》之网闸原理介绍
本讲主要内容
网络隔离的概念
网络隔离技术的原理与发展历程隔离网闸的定义与技术原理
隔离网闸未来的发展方向
隔离网闸典型部署方式
《信息安全产品配置与应用》之网闸原理介绍
隔离概念的提出
国外最早提出隔离概念，70年代美国、俄罗斯和以色列等国都存在此方面的技术应用和相关法规
国内
《信息安全产品配置与应用》之网闸篇 ——技术与原理
《信息安全产品配置与应用》之网闸原理介绍
本讲主要任务和学习目标
任务目标

任务1：学习网闸的基本技术原理与发展历史任务2：学习网闸的典型功能与部署方式
学习目标

了解网闸技术原理与发展历史掌握网闸典型应用与部署方法
《信息安全产品配置与应用》之网闸原理介绍
在控制台收到完整的交换信号之后，隔离设备立即切断隔离设备于内网的直接连接
《信息安全产品配置与应用》之网闸原理介绍
本讲主要内容
网络隔离的概念
网络隔离技术的原理与发展历程隔离网闸的定义与技术原理
隔离网闸未来的发展方向
隔离网闸典型部署方式
网闸是使用带有多种控制功能的固态开关、读写介质，连接两个独立主机系统的信息安全设备。
网闸的定义与功能
《信息安全产品配置与应用》之网闸原理介绍
网闸的技术原理
第一代网闸的技术原理是利用单刀双掷开关使得内外网的处理单元分时存取共享存储设备来完成数据交换的。安全原理是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果。目前网闸正是在吸取了第一代网闸优点的基础上，利用专用交换通道 PET（Private Exchange Tunnel）技术，在不降低安全性的前提下能够完成内外网之间高速的数据交换，有效地克服了第一代网闸的弊端。第二代网闸的安全数据交换过程是通过专用硬件通信卡、私有通信协议和加密签名机制来实现。网闸至少是三模块架构（内网处理单元、外网处理单元、隔离与交换控制单元）；应保证网闸的外部主机和内部主机在任何时候是完全断开的；完成应用协议的剥离（OSI 的 5 至 7 层）；代理完成TCP/IP协议的重建，实现内网与外网的数据交换。