隔离技术及其应用

隔离技术及其应用

!"#$%&’#()*+,(’-.*%(/011$’+%&’#(

王换文

段富

2

太原理工大学太原

3433567

8

摘要9分析了当前的防火墙:物理隔离:串并口隔离:双网卡隔离:包过滤等几种隔离技术;最后给出了一个设计好的串并口隔离技术在证券交易系统中的应用实例<8

关键词9隔离技术;物理隔离;防火墙;串并口隔离;包过滤;网络地址转换;隔离卡

0=>)?0@)A B C B D E F G H D D B I J K L M F E J K M IJ B G N I K O H B L ;L H G NE LP K D B Q E F F ;R N S L K G E F K L M F E J K M I ;L B D K E F E I TR E D E F F B F R M D J LK L M F E J K M I ;J Q MI B J U Q M D VG E D TK L M F E J K M I ;R E G V E W BP K F J B D ;B J G X E D BE I E F S Y B T X Z R D E J K G E F B [E \R F B ;T B L K W I B TQ K J NL B D K E F E I TR E D E F F B F R M D J L K L M F E J K M IJ B G N I K O H B

E I TH L B TK IJ N B L J M G VB [G N E I W B J D E I L E G J K M I L ]K L W K C B I X ^_‘ab ?c >K L M

F E J K M IJ B

G N I K O

H B ;R N S L K G E F K L M F E J K M

I ;P K D B Q E F F ;L B D K E F E I T R E D E F F B F R M D

J

K

L

M F E J K M I ;R E G V E W B K L M F E J K M I ;I B J Q M D VE T T D B L L

G M I C B D L K M I ;K L M F E J K M IG E D T

d 网络的安全问题

随着政府上网:海关上网:电子商务等一系列网络应用的蓬勃发展;e I J B D I B J 正在逐渐融入到社会的各个方面<一方面;网络用户成分越来越多样化;出于各种目的的网络入侵和攻击越来越频繁f 另一方面;网络应用越来越深地渗透到金融:商务:国防:证券等关键领域<因此e I J B D I B J 网的安全日益成为与国家:政府:企业:个人的利益休戚相关的大事情<一般各机构内部网络上有着大量高度机密的数据和信息;

网络安全是放在首位的<如果网络安全得不到保证;那么将会给国家:社会及网络用户带来严重威胁;可能造成政治:经济等各方面的巨大损失<

g 基于防火墙的隔离技术

防火墙是一种将内部网和公众网如e I J B D I B J

分开的方法<它能限制被保护的网络与互联网络之间;或者与其他网络之间进行的信息存取:传递操作<防火墙可以作为不同网络或网络安全域之间信息的出入口;能根据企业的安全策略控制出入网络的信息流;且本身具有较强的抗攻击能力<在逻辑上;防火墙是一个隔离器;一个限制器;也是一个分析器;它有效地监控了内部网和e I J B D I B J 之间的任何活动;保证了内部网络的安全<防火墙的安全技术包括包过滤技术:网络地址转换h Z i 技术:代理服务技术等

包过滤技术2j E G V B J k K F J B D 7是防火墙为系统提供安全保障的主要技术;

是基于路由器的技术;包过滤型防火墙处于i l j m e j 协议层的e j 层;

即网络层;用来对通过网络层的数据包进行选择和过滤;去掉那些非法的数据包<用户可以设定一系列的规则;指定允许哪些类型的数据包可以流入或流出内部网络;例如n 只接收来自某些指定的e j 地址的数据包;或者内部网络的数据包只可以流向某些指定的端口;以及哪些类型数据包的传输应该被拦截<包过滤规则以e j 包信息为基础;对e j 包的源地址:e j 包的目的地址:

封装协议2i l j m o p j m e l qj m e ji H I I B F 7:端口号等进行筛选<防火墙的e j 包过滤;

主要根据一个有固定排序的规则链过滤;其中的每个规则都包含e j 地址:端口:传输方向:分包:协议等多项内容<可以有静态规则;即防火墙的包过滤的过滤规则;它在启动时即配置好;只有系统管理员才可以修改;是静态存在的<还有动态过滤;即用基于连接状态的检查;将属于同一连接的所有包作为一个整体的数据流看待;通过规则表与连接状态表的共同配合进行检查;

很大程度上降低了黑客攻击的成功率;从而大大提高了系统的性能和安全性

7网络地址转换2h B J Q M D VZ T T D B L Li D E I L F E J K M I h Z i 7是一种用于把内部e j 地址转换成临时的:外部的:注册的e j 地址的标准<它允许具有私有e j 地址的内部网络访问因特网<它还意味着用户不需要为其网络中每台机器取得注册的e j 地址<

s 533t t 3t 5收到;53353555改回

ss

王换文;女;t u v w 年生;

在读硕士;研究方向n 计算机安全;网络技术

总5t 67隔离技术及其应用

5335年

防火墙提供了!内部网到外部网"#!外部网到内部网"的双向$%&功能#并支持两种方式的网络地址转换’一种为静态地址映射#即外部地址和内部地址一对一的映射#使内部地址的主机既可以访问外部网络#也可以接受外部网络提供的服务(另一种是要灵活的方式#可以支持多对一的映射#即内部的多个机器可以通过一个外部有效地址访问外部网络)让多个内部*+地址共享一个外部*+地址#就必须转换端口地址#这样内部不同*+地址的数据包就能转换为同一个*+地址而端口地址不同#通过这些端口对外部提供服务)利用$%&转换功能可使系统管理员自行设置内部的地址而不必对外公开#隐藏了内部网络的真实地址#从而使外来的黑客无法探知内部网络的结构#提高整体的安全性)

,-.代理服务技术/012345

代理服务器/+6789:;6<;65是代理内部网络用户

与外部网络服务器进行信息交换的程序)这种技术在应用层上实现)当外部网络上的用户要与内部网络进行通讯时#它发出的请求先要通过防火墙#防火墙上的代理程序对它进行安全性或合法性检查#根据检查结果来与目的客户建立连接或拒绝该请求)它将内部用户的请求确认后送达外部服务器#同时将外部服务器的响应再回送给用户)

防火墙中对=&+#&>?$>&#@&&+#:A&+和

+B+C等应用实现了代理服务)这些代理服务对用户是透明的/&6D E F G D6;E H5#即用户意识不到防火墙的存在#便可完成内外网络的通讯)防火墙使用透明代理技术#使防火墙的服务端口无法探测到#也就无法对防火墙进行攻击#大大提高了防火墙的抗攻击性能)

.物理隔离技术

如果不存在与网络的物理连接#网络安全威胁便受到了真正的限制)国家保密局I J J J年K月K日起颁布实施的L计算机信息系统国际联网保密管理规定M第二章保密制度第六条的规定#!涉及国家秘密的计算机信息系统#不得直接或间接地与国际互联网或其它公共信息网络相连接#必须实行物理隔离")于是#相关的物理隔离的安全技术产品应运而生)物理隔离技术目前有如下技术)

.-N单主板安全隔离计算机

其核心技术是双硬盘技术#将内外网络转换功能做入O*B:中#并将插槽也分为内网和外网#使用更方便#也更安全#价格介于双主机和隔离卡之间)单主板安全隔离计算机是实现内外网物理隔离的个人电脑#这种安全电脑的成本仅仅增加了I P Q左右#并且由于这种安全电脑是在较低层的O*B:上开发的#处理器R主板R外设的升级不会给电脑带来什么!不兼容"的影响#它很好地解决了接入网络后局域网络信息安全R系统安全R操作安全和环境安全等问题#彻底实现了网络物理隔离)

.-,隔离卡技术

其核心技术是双硬盘技术#启动外网时关闭内网硬盘#启动内网时关闭外网硬盘#使两个网络和硬盘物理隔离#它不仅用于两个网络物理隔离的情况#也可用于个人资料要保密又要上互联网的个人计算机的情况)其优点是价格低#但使用稍麻烦#因为转换内外网要关机和重新开机)

网络安全隔离卡的功能是以物理方式将一台+S 虚拟为两部电脑#实现工作站的双重状态#既可在安全状态#又可在公共状态#两种状态是完全隔离的#从而使一部工作站可在完全安全状态下连接内外网)网络安全隔离卡实际是被设置在+S中最低的物理层上#通过卡上一边的*T=总线连接主板#另一边连接*T>硬盘#内R外网的连接均须通过网络安全隔离卡#+S机硬盘被物理分隔成为两个区域#在*T>总线物理层上#在固件中控制磁盘通道#在任何时候#数据只能通往一个分区)

在安全状态时#主机只能使用硬盘的安全区与内部网连接#而此时外部网/如*E H;6E;H5连接是断开的#且硬盘的公共区的通道是封闭的(在公共状态时#主机只能使用硬盘的公共区与外部网连接#而此时与内部网是断开的#且硬盘安全也是被封闭的)

.-.双网卡隔离技术

其核心技术是在一个机器上安装两块网卡)一个与外网连#一个与内网同一个*+段)两块网卡间的通讯采用专用控制程序完成#不采用通用协议传递数据(具有与串口隔离相同的功能#但通讯速率远远高于串口(具有包过滤防火墙功能(具有特定数据包合法性/特征码5检查功能#能过滤非法数据包(具有数据包转发功能#能将数据包转发到不同的目标地址)

U串R并口隔离技术

防火墙技术是一种基于&S+V*+协议的安全技术#它主要是对通过的*+包进行合法性检查#利用公共协议进行通讯的)串并口隔离技术是由用户自己定义协议#它使用专门的协议#而不是通过的&S+V*+协议#用户自己定义消息包格式#只有特定的格式的数据包才可以通过#而攻击者一般无法获取特定协议#因而无从攻击内部数据)下面是交易中的一个实例’在证券交易系统中#为了防止共网用户对证券总部R

W

P

W

第K P卷第P期电脑开发与应用/总I K P5