资源描述
,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,重庆电子工程职业学院,信息安全产品配置与应用,之网闸篇,技术与原理,重庆电子工程职业学院信息安全产品配置与应用之网闸篇,任务目标,任务,1,:学习网闸的基本技术原理与发展历史,任务,2,:学习网闸的典型功能与部署方式,学习目标,了解网闸技术原理与发展历史,掌握网闸典型应用与部署方法,本讲主要任务和学习目标,任务目标本讲主要任务和学习目标,本讲主要内容,网络隔离的概念,网络隔离技术的原理与发展历程,隔离网闸的定义与技术原理,隔离网闸未来的发展方向,隔离网闸典型部署方式,本讲主要内容 网络隔离的概念,隔离概念的提出,国外,最早提出隔离概念,,70,年代美国、俄罗斯和以色列等国都存在此方面的技术应用和相关法规,国内,隔离要求最早是由国家保密局提出的,并已严格在涉密网内执行,中共中央办公厅,2002,年第,17,号文件明确强调:,“,政务内网和政务外网之间物理隔离,政务外网与互联网之间逻辑隔离,”,隔离概念的提出 国外,网络隔离的概念,网络隔离(,Network Isolation,),主要是指把两个或两个以上可路由的网络(如,TCP/IP,)通过不可路由的协议(如,IPX/SPX,、,NetBEUI,等)进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议,所以通常也叫协议隔离(,Protocol Isolation,)。,第一代隔离技术,完全的隔离,第二代隔离技术,硬件卡隔离,第三代隔离技术,数据转播隔离,第四代隔离技术,空气开关隔离,第五代隔离技术,安全通道隔离,网络隔离的概念网络隔离(Network Isolation),本讲主要内容,网络隔离的概念,网络隔离技术的原理与发展历程,隔离网闸的定义与技术原理,隔离网闸未来的发展方向,隔离网闸典型部署方式,本讲主要内容 网络隔离的概念,网络隔离的技术原理,下图表示没有连接时内外网的应用状况,从连接特征可以看出这样的结构从物理上完全分离。,网络隔离的技术原理 下图表示没有连接时内外网的应用状况,从连,网络隔离的技术原理,当外网需要有数据到达内网的时候,,以电子邮件为例,外部的服务器立即发起对隔离设备的非,TCP/IP,协议的数据连接,隔离设备将所有的协议剥离,将原始的数据写入存储介质。,网络隔离的技术原理 当外网需要有数据到达内网的时候,以电子邮,网络隔离的技术原理,一旦数据完全写入隔离设备的存储介质,隔离设备立即中断与外网的连接。转而发起对内网的非,TCP/IP,协议的数据连接。隔离设备将存储介质内的数据推向内网。内网收到数据后,立即进行,TCP/IP,的封装和应用协议的封装,并交给应用系统。,在控制台收到完整的交换信号之后,隔离设备立即切断隔离设备于内网的直接连接,网络隔离的技术原理 一旦数据完全写入隔离设备的存储介质,隔离,本讲主要内容,网络隔离的概念,网络隔离技术的原理与发展历程,隔离网闸的定义与技术原理,隔离网闸未来的发展方向,隔离网闸典型部署方式,本讲主要内容 网络隔离的概念,网闸的定义与功能,网闸是使用带有多种控制功能的固态开关、读写介质,连接两个独立主机系统的信息安全设备。,物理隔离网闸所连接的两个独立主机系统之间不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全。,网闸的定义与功能网闸是使用带有多种控制功能的固态开关、读写介,网闸的技术原理,第一代网闸的技术原理是利用单刀双掷开关使得内外网的处理单元分时存取共享存储设备来完成数据交换的。安全原理是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果。,目前网闸正是在吸取了第一代网闸优点的基础上,利用专用交换通道,PET,(,Private Exchange Tunnel,)技术,在不降低安全性的前提下能够完成内外网之间高速的数据交换,有效地克服了第一代网闸的弊端。第二代网闸的安全数据交换过程是通过专用硬件通信卡、私有通信协议和加密签名机制来实现。,网闸至少是三模块架构(内网处理单元、外网处理单元、隔离与交换控制单元);应保证网闸的外部主机和内部主机在任何时候是完全断开的;完成应用协议的剥离(,OSI,的,5,至,7,层);代理完成,TCP/IP,协议的重建,实现内网与外网的数据交换。,网闸的技术原理第一代网闸的技术原理是利用单刀双掷开关使得内外,本讲主要内容,网络隔离的概念,网络隔离技术的原理与发展历程,隔离网闸的定义与技术原理,隔离网闸未来的发展方向,隔离网闸典型部署方式,本讲主要内容 网络隔离的概念,隔离网闸未来的发展方向,采用高性能的专用芯片增强网闸数据摆渡能力,通过专用通信设备、专有安全协议和加密验证机制及应用层数据提取和鉴别认证技术,进行不同安全级别网络之间的数据交换,彻底阻断网络间的直接,TCP/IP,连接。,对网间通信的双方、内容、过程施以严格的身份认证、内容过滤、安全审计等多种安全防护机制,从而保证了网间数据交换的安全、可控,杜绝了由于操作系统和网络协议自身漏洞带来的安全风险。,隔离网闸未来的发展方向采用高性能的专用芯片增强网闸数据摆渡能,本讲主要内容,网络隔离的概念,网络隔离技术的原理与发展历程,隔离网闸的定义与技术原理,隔离网闸未来的发展方向,隔离网闸典型部署方式,本讲主要内容 网络隔离的概念,涉密网络中的部署方式,部署在非涉密网和涉密网之间,部署在涉密网子网之间,涉密网络中的部署方式部署在非涉密网和涉密网之间部署在涉密网子,常规网络中的应用,内外之间的安全隔离,对公外网和业务网之间,不同业务部门之间,边缘网与总部综合网之间,实现数据交换的安全,常规网络中的应用内外之间的安全隔离对公外网和业务网之间不同业,任务目标,任务,1,:学习网闸的基本技术原理与发展历史,任务,2,:学习网闸的典型功能与部署方式,学习目标,了解网闸技术原理与发展历史,掌握网闸典型应用与部署方法,本讲主要任务和学习目标,任务目标本讲主要任务和学习目标,谢谢!,谢谢!,
展开阅读全文