物理隔离的原理与应用实例
2010-04-24 15:13
393 查看
失败的文章,呵呵
一、为什么要物理隔离?
随着信息化的深入发展和计算机网络应用的不断普及,网络入侵和攻击越来越猖獗,为了防止重要信息的泄露,国家保密局《计算机信息系统国际联网保密管理规
定》第二章保密制度第六条明确规定,“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相连接,必须实行物理隔离”。
物理隔离一般应用在广电的编播网和互联网、电力的控制网与办公网、海关的运行网和报关查询网络、银行的业务网与网上银行网络这些行业中,还有一些军工产品
或者要要求安全保密非常严格的企业中。
但按目前的安全技术,无论防火墙、UTM等防护系统都不能保证攻击的一定阻断,入侵检测等监控系统也不能保证入侵行为完全捕获,所以最安全的方式就是物理
的分开,所以在公安部的技术要求中,要求保密系统的内、外网络之间“物理隔离”。没有连接,来自外网对内网的攻击就无从谈起。
为什么防火墙做不到绝对安全呢?因为:1.防火墙也就是一个系统,会有系统漏洞;2.TCP/IP协议的漏洞;3.防火墙、内网和DMZ同时直接连
接;4.应用协议的漏洞。而物理隔离和防火墙不同,防火墙是在保障连接互通的前提下,尽可能的安全;而物理隔离的是在保证安全的前提下,尽可能互通。
二、物理隔离技术原理
物理隔离技术产品可分为终端隔离产品、信道隔离产品和网络/网络隔离产品
1.终端隔离是指在一台计算机上采用两个系统,两个硬盘,按需要启动不同的系统,并连接不同的网络。主要产品是物理隔离卡,通过物理隔离卡实现又硬盘及双
系统分时访问内外网络。因为内外网硬盘分别安装独立的操作系统并独立引导,两个硬盘不会同时激活,这样一台PC可当作两台独立的PC使用,实现内外网络彻
底的物理隔离的目的,但是对于用户来说,有成本较高、效率较低、操作不方便等缺点。终端隔离方案如下图所示:
图一.jpg
2.信道隔离产品是在终端的传输线路上进行内外网的切换,主要应用在单网线布线的环境中。这样的产品通称它为网络切换器,外形象交换机。它的作用是将对内
外网的切换转移到远端隔离设备上进行,对终端而言只用一条网线就可连接到内外网上。信道隔离产品使用灵活、安全程度高、成本较低,更具实用性。信道隔离产
品方案如下图所示:
图二.jpg
信道隔离产品就是一个网络切换器,需要连接外网时,内网断开,连接内网时,外网断开。
3.网络/网络隔离产品是一种新型的网络安全产品,应用于重要服务器和关键子网的人口处,在保持内外网络物理隔离的同时,进行适度的、可控的内外网络数据
交换,提供比防火墙级别更高的安全保护,属于准物理隔离。这类产品的名称是安全隔离网闸(GAP)。
它是一种采用嵌入式安全操作系统,通过对系统内核的安全增强,实现了强制性访问控制。由带有多种控制功能的专用硬件在电路上切断网络之间的链路层连接,同
时能够在网络间进行安全适度的应用数据交换的网络安全设备。GAP通过专用隔离硬件在链路层断开,彻底切断网络连接,采用高速电子隔离固件和专有协议,确
保内外网在任意时刻物理链路完全断开。
采用信息摆渡机制,任何需要在内、外网之间传输的数据都必须转换成特定的“摆渡文件”,并通过安全检测后,才能复制到对端网络。GAP通常放置于信任网络
和非信任网络之间,管理员仅可以从信任网络一方对安全隔离网闸进行管理。
举个例子,比如说一批货物(数据)要从江的这边到江的那边(内网到外网),但没有桥(物理连接),此时把严格检查的货物放上渡船,从这边运到那边,就完成
一次“摆渡”,也就是一次数据交换。
三、物理隔离应用实例
安全要求:要求安全区(简称内网)要与公司内网(简称外网,但不是指因特网)物理隔离;但内网部分数据要定时传送到外网,外网数据不需要进入内网,也就是
说数据是单向的,外网攻击能进入内网的机率几乎为零。
根据安全要求,选择的是某隔离器做为隔离内外网的设备,如图:
图三.jpg
此隔离装置具有如下功能:
1) 实现两个安全区之间的非网络方式的安全的数据交换,并且保证安全隔离装置内外两个处理系统不同时连通;2) 表示层与应用层数据完全单向传输;3)
透明工作方式:虚拟主机IP地址、隐藏MAC地址;4) 基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制;5)
防止穿透性TCP联接:禁止两个应用网关之间直接建立TCP联接,将内外两个应用网关之间的TCP联接分解成内外两个应用网关分别到隔离装置内外两个网卡
的两个TCP虚拟联接。隔离装置内外两个网卡在装置内部是非网络连接,且只允许数据单向传输;6)
具有可定制的应用层解析功能,支持应用层特殊标记识别;
部署很简单,分别在内网和外网选择一台数据服务器做为传送端和接收端,内网连接隔离装置的输入口,外网连接隔离装置的输出口,在分别在两台服务器上安装传
送软件的内网端和外网端,如图:
图四.jpg(好象图太大,要调小点)
并配置好端口和IP、文件发送和接收目录、发送时间或频率等,就可以了。
当然,这只是设备上面的方案,要做到真正物理隔离,还要在安全策略、安全制度、安全管理和安全技术上也做出严格的规定。本文出自 “n3tl04d's Blog-技..” 博客,请务必保留此出处http://n3tl04d.blog.51cto.com/89255/304007
一、为什么要物理隔离?
随着信息化的深入发展和计算机网络应用的不断普及,网络入侵和攻击越来越猖獗,为了防止重要信息的泄露,国家保密局《计算机信息系统国际联网保密管理规
定》第二章保密制度第六条明确规定,“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相连接,必须实行物理隔离”。
物理隔离一般应用在广电的编播网和互联网、电力的控制网与办公网、海关的运行网和报关查询网络、银行的业务网与网上银行网络这些行业中,还有一些军工产品
或者要要求安全保密非常严格的企业中。
但按目前的安全技术,无论防火墙、UTM等防护系统都不能保证攻击的一定阻断,入侵检测等监控系统也不能保证入侵行为完全捕获,所以最安全的方式就是物理
的分开,所以在公安部的技术要求中,要求保密系统的内、外网络之间“物理隔离”。没有连接,来自外网对内网的攻击就无从谈起。
为什么防火墙做不到绝对安全呢?因为:1.防火墙也就是一个系统,会有系统漏洞;2.TCP/IP协议的漏洞;3.防火墙、内网和DMZ同时直接连
接;4.应用协议的漏洞。而物理隔离和防火墙不同,防火墙是在保障连接互通的前提下,尽可能的安全;而物理隔离的是在保证安全的前提下,尽可能互通。
二、物理隔离技术原理
物理隔离技术产品可分为终端隔离产品、信道隔离产品和网络/网络隔离产品
1.终端隔离是指在一台计算机上采用两个系统,两个硬盘,按需要启动不同的系统,并连接不同的网络。主要产品是物理隔离卡,通过物理隔离卡实现又硬盘及双
系统分时访问内外网络。因为内外网硬盘分别安装独立的操作系统并独立引导,两个硬盘不会同时激活,这样一台PC可当作两台独立的PC使用,实现内外网络彻
底的物理隔离的目的,但是对于用户来说,有成本较高、效率较低、操作不方便等缺点。终端隔离方案如下图所示:
图一.jpg
2.信道隔离产品是在终端的传输线路上进行内外网的切换,主要应用在单网线布线的环境中。这样的产品通称它为网络切换器,外形象交换机。它的作用是将对内
外网的切换转移到远端隔离设备上进行,对终端而言只用一条网线就可连接到内外网上。信道隔离产品使用灵活、安全程度高、成本较低,更具实用性。信道隔离产
品方案如下图所示:
图二.jpg
信道隔离产品就是一个网络切换器,需要连接外网时,内网断开,连接内网时,外网断开。
3.网络/网络隔离产品是一种新型的网络安全产品,应用于重要服务器和关键子网的人口处,在保持内外网络物理隔离的同时,进行适度的、可控的内外网络数据
交换,提供比防火墙级别更高的安全保护,属于准物理隔离。这类产品的名称是安全隔离网闸(GAP)。
它是一种采用嵌入式安全操作系统,通过对系统内核的安全增强,实现了强制性访问控制。由带有多种控制功能的专用硬件在电路上切断网络之间的链路层连接,同
时能够在网络间进行安全适度的应用数据交换的网络安全设备。GAP通过专用隔离硬件在链路层断开,彻底切断网络连接,采用高速电子隔离固件和专有协议,确
保内外网在任意时刻物理链路完全断开。
采用信息摆渡机制,任何需要在内、外网之间传输的数据都必须转换成特定的“摆渡文件”,并通过安全检测后,才能复制到对端网络。GAP通常放置于信任网络
和非信任网络之间,管理员仅可以从信任网络一方对安全隔离网闸进行管理。
举个例子,比如说一批货物(数据)要从江的这边到江的那边(内网到外网),但没有桥(物理连接),此时把严格检查的货物放上渡船,从这边运到那边,就完成
一次“摆渡”,也就是一次数据交换。
三、物理隔离应用实例
安全要求:要求安全区(简称内网)要与公司内网(简称外网,但不是指因特网)物理隔离;但内网部分数据要定时传送到外网,外网数据不需要进入内网,也就是
说数据是单向的,外网攻击能进入内网的机率几乎为零。
根据安全要求,选择的是某隔离器做为隔离内外网的设备,如图:
图三.jpg
此隔离装置具有如下功能:
1) 实现两个安全区之间的非网络方式的安全的数据交换,并且保证安全隔离装置内外两个处理系统不同时连通;2) 表示层与应用层数据完全单向传输;3)
透明工作方式:虚拟主机IP地址、隐藏MAC地址;4) 基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制;5)
防止穿透性TCP联接:禁止两个应用网关之间直接建立TCP联接,将内外两个应用网关之间的TCP联接分解成内外两个应用网关分别到隔离装置内外两个网卡
的两个TCP虚拟联接。隔离装置内外两个网卡在装置内部是非网络连接,且只允许数据单向传输;6)
具有可定制的应用层解析功能,支持应用层特殊标记识别;
部署很简单,分别在内网和外网选择一台数据服务器做为传送端和接收端,内网连接隔离装置的输入口,外网连接隔离装置的输出口,在分别在两台服务器上安装传
送软件的内网端和外网端,如图:
图四.jpg(好象图太大,要调小点)
并配置好端口和IP、文件发送和接收目录、发送时间或频率等,就可以了。
当然,这只是设备上面的方案,要做到真正物理隔离,还要在安全策略、安全制度、安全管理和安全技术上也做出严格的规定。本文出自 “n3tl04d's Blog-技..” 博客,请务必保留此出处http://n3tl04d.blog.51cto.com/89255/304007
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- CGroup 介绍、应用实例及原理描述
- 红外遥控原理及应用实例
- uCOS创建任务实例---code from《嵌入式实时操作系统uCos-II原理及应用》
- I2C总线原理及应用实例
- I2C总线原理及应用实例
- Spring JDBC原理与应用实例讲解
- .NET Remoting原理及应用实例:
- 【转】PF_NETLINK应用实例NETLINK_KOBJECT_UEVENT具体实现--udev实现原理
- PF_NETLINK应用实例NETLINK_KOBJECT_UEVENT具体实现--udev实现原理
- 【实例】仿购物车原理-高级Action应用一(普通传参方式)
- jQuery中的pushStack实现原理和应用实例
- jQuery中的pushStack实现原理和应用实例
- JPEG 原理详细实例分析及其在嵌入式 Linux 中的应用
- 灰色原理应用——(预测)模型之实例1
- I2C总线原理及应用实例
- 快速排序原理解析及实例应用
- JPEG 原理详细实例分析及其在嵌入式 Linux 中的应用
- JSONP的诞生、原理及应用实例
- JPEG 原理详细实例分析及其在嵌入式 Linux 中的应用
- DRP项目(七)----XML应用和XML的四种解析器(dom,sax,jdom和dom4j)原理及实例