网闸技术原理详细说明-标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
网闸技术原理
摘要:
关键词:
1.引言
计算机网络的迅速反展,已经涉及到了人们生活的各个方面,成为实现信息收集处理、加强交流、提高工作生活效率和质量的重要手段。作为一计算机网络最具代表性的表现形式,nIetmet实际上是由世界范围内众多计算机网络联结而成的一个逻辑网络。它并非一个具有独立形态的网络,而是由计算机网络汇合成的一个网络集合体。因此Iniemet比其它形式的计算机网络更具开放性和自由性。并且由于其所具有的国际性,使诸如电子商务、电子现金、数字货币、网络银行等新业务可以通过它得以实现。
同时,信息网络的普及和网络中各种潜在的漏洞给我们带来了新的安全威胁,如黑客侵袭、病毒骚扰和系统内部泄密等,频繁出现的攻击事件严重威胁着
网络中的数据安全。而重要信息一旦泄漏,必将造成重大的损失。
针对这个问题,国家保密局早在1998年发布的《涉及国家秘密的通信、办
公自动化和计算机信息系统审批暂行办法》]ll中就提出了“物理隔离”要求,文中明确规定:涉密系统不得直接或间接与国际联网,必须实行物理隔离。2000年,国家保密局正式颁布的《计算机信息系统国际联网保密管理规定》121中也明确规定:“凡涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相联接,必须实行物理隔离。”
防火墙防病毒漏洞扫描和系统风险评估以至人侵检测这些技术都可在一定程度上提供安全保护但目前所有的安全手段,无论使用一种或将所有方法综合使用,都无法做到对网络和信息资源的完美保护,因为这些边界安全防护措施都是在保持内外网络联通的前提下对内网进行安全防护,访问策略配置的失误、防火墙设备本身可能存在的漏洞等问题都可能导致内网的边界被从外部突破,无法从根本上保证内网的安全。针对这个问题,参考国内外一些成熟技术,网络安全隔离网闸逐渐开始应用起来,它是从物理链路上断开内网与外网不可信任的直接网络连接,同时还保持在安全可控的条件下进行适度的数据交换。
网闸在国内的叫法很多,有的叫安全隔离网闸、物理隔离网闸、安全隔离与信息交换系统,但都是为了实现同一个安全目标而设计的,那就是确保安全的
前提下实现有限的数据交流。
网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。网闸是一种网络隔离技术,它所连接的两个独立主机系统之间不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,是“黑客”无法入侵、无法攻击、无法破坏、实现真正的安全。
2.工作原理
2.1. 结构
物理隔离网闸的体系结构主要由三部分组成:外网处理单元、内网处理单元、
隔离与交换控制单元。
内网处理单元:包括内网接口单元与内网数据缓冲区。接口部分负责与内网的连接,并终止内网用户的网络连接,对数据进行病毒检测、防火墙、入侵防护等安全检测后剥离出“纯数据”,作好交换的准备,也完成来自内网对用户身份的确认,确保数据的安全通道;数据缓冲区是存放并调度剥离后的数据,负责与隔离交换单元的数据交换。
外网处理单元:与内网处理单元功能相同,但处理的是外网连接。
隔离与交换控制单元:是网闸隔离控制的摆渡控制,控制交换通道的开启与关闭。控制单元中包含一个数据交换区,就是数据交换中的摆渡船。对交换通道的控制的方式目前有两种技术,摆渡开关与通道控制。摆渡开关是电子倒换开关,让数据交换区与内外网在任意时刻的不同时连接,形成空间间隔GAP,实现物理隔离。通道方式是在内外网之间改变通讯模式,中断了内外网的直接连接,采用私密的通讯手段形成内外网的物理隔离。该单元中有一个数据交换区,作为交换数据的中转。
2.2. 数据传输过程
第一步,当数据包从外部网流入时,外网处理单元对数据包进行安全检查,如包过滤,内容扫描,认证审查等,若通过安全检查,则去掉数据包各种包头信息,只保留应用层数据,也就是原始数据,然后用自定义的协议封装该数据。
第二步,控制逻辑会主动去探测内网处理单元和外网处理单元,若有数据传输,则进行相应方向的数据传输。在此,内外网处理单元的数据传输的两个通道只有一个通道工作。假设控制逻辑允许外网处理单元的数据,经自定义协议封装好的原始数据流入隔离交换单元的存储区,在此,隔离交换单元的存储区和内网处理单元的存储区之间的传输通道是禁用的。假设外网处理单元和隔离硬件交换单元的传输通道有开关K1控制,内网处理单元和隔离硬件交换单元的传输通道有开关K2控制,K1、K2不能同时为开。
第三步,隔离交换单元通过第二步的类似方式将数据传入内网处理单元存储区。
第四步,内网处理单元将数据包的自定义协议包头去除,得到原始数据,然后用某种通用协议封装数据,将该数据包传送给内网相应主机。
以上为数据从外网传输到内网的过程。内外网的处理单元所使用的安全控制多种多样,可以根据需求具体设计。内外网处理单元通过隔离交换单元的数据协议格式也是自定义,防范了某些协议攻击。
3.数据交换方式
数据交换方式是物理隔离网闸最关键的技术之一,目前常见的数据交换方式主要有三类:摆渡交换、缓冲区通讯和单向通道。
3.1. 摆渡交换技术
摆渡开关是网闸最常用的倒换方式。为了保持内外网的物理隔离,所以在与内网连接的时候,一定与外网断开,但与外网连接的时候,一定与内网断开。所谓断开是只物理通讯的“高阻”状态或物理的停电,没有进行通讯的可能。
在内外网处理单元内都有自己的缓冲空间,用来存储需要交换的数据文件,在隔离与交换控制单元也有一个用于数据交换区。当电子开关C点与A点连通,交换区与内网连通,此时与外网断开,内网中需要交换的数据写入数据交换区,同时读出数据交换区中从外网来的数据,完成一次摆渡。但电子开关C 点与B点连通,交换区与外网连通,此时与内网断开,外网中需要交换的数据写入数据交换区,同时读出数据交换区中从内网来的数据,完成二次摆渡。
很多厂家实现了多个网络的数据交换的网闸,则把电子开关换成交换矩阵。数据的交换方式有些类似数据交换机的方式,但每个网络处理单元只与数据缓