网络隔离的策略主要有三种,一是修桥策略,业务协议直接通过,数据不重组,对速度影响小,安全性弱,比如防火墙、多重安全网关。二是渡船策略,业务协议不直接通过,数据要重组,安全性比较好,比如网闸。三是人工策略,人工用移动介质交换数据,安全性较好。
在实际工程,子网划分是最常用的网络隔离方法,主要在网络层采用路由器实现子网互连和隔离。在二层网络,可以采用VLAN隔离,形成不同的广播域。同时,三层交换机支持三层VLAN,实现交换、路由功能,灵活性大大提高。
网络隔离技术按照连接方式,可以分为物理隔离和逻辑隔离。物理隔离是指内部网不直接或间接地连接公共网,目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受网络威胁。
逻辑隔离主要通过逻辑隔离器实现,逻辑隔离器是一种不同网络间的隔离部件,被隔离的两端仍然存在物理上数据通道连线,但通过技术手段保证被隔离的两端没有数据通道。
逻辑隔离主要采用防火墙、多重网关和交换网络。防火墙在网络层通过访问控制策略来实现对内部网络的防护,多重网关则可以实现从网络层到应用层的完全性安全保护,因此也称为统一威胁管理UTM。多重网关检查包括网络层的ACL、IPS防入侵、防病毒入侵、防Dos攻击、内容过滤等。防火墙和多重网关都是采用修桥策略,因为不修改协议,多有速度快、流量大。
交换网络采用的是渡船策略,主要是通过业务代理和双人审计的思路保护数据完整性。在两个隔离网络之间建立一个网络交换区域,交换网络两端可以采用多重网关或网闸,内部采用监控、审计等安全技术。
目前物理隔离广泛采用的是双硬盘隔离和网闸技术。双硬盘隔离技术即在原有机器上增加一块硬盘和一张隔离卡来实现物理隔离,两块硬盘分别对应内网、外网。早期的隔离卡切换需要重启系统,随着技术的发展,隔离卡已经实现了在线切换,在政务专网等应用较为广泛。
网闸的硬件原理是利用单刀双掷开关使得内外处理单元分时存取共享存储设备完成数据交换,实现在空气缝隙隔离情况下的数据交换(GAP技术)。数据传输的机制是存储转发,综合利用过滤、认证等硬件,保证两个网络在数据链路层断开的前提下,实现数据安全传输和资源共享。
第二代网闸采用专用交换通道PET技术,通过专用硬件通信卡、私有通信协议和加密签名机制来实现的,处理能力大大加强。
网闸的设计原理基于代理+渡船策略,通过专用协议、单向通道技术和存储方式阻断业务的连接,用代理方式支持上层业务。网闸的代理不仅包括协议代理,还包括数据的拆卸,把数据还原成原始部分,拆除各种协议添加的包头包尾。很多网络攻击通过数据的拆装来隐藏自己,在进入内网之前,拆除这些包头包尾,进行安全分析后,再将数据还原至交换至内网,这样就阻断了网络攻击的威胁。整个过程,相对于是一个协议转换的过程,内外网之间没有直接的TCP/IP连接,杜绝了网络攻击的可能性。
网闸可以针对HTTP、FTP、POP3、SMTP等协议进行深度解析及过滤,具有防病毒模块、文件交换模块、FTP访问模块、安全浏览模块、邮件访问模块等,很好地解决了安全隔离下的信息可控交换等问题,突破电子政务外网与内网之间数据交换的瓶颈,并消除政府部门之间因安全造成的信息孤岛效应,从而推动电子政务走向应用时代。
在网闸的基础上,又发展出基于光的单向性的单向隔离光闸。主要解决政府部门、大型企事业单位等不同级别网络间的安全隔离与数据单向传输。单向光闸主要有两大应用场景,一是从互联网单向采集信息或向互联网单向发布信息,二是从非涉密网向涉密网单向采集信息。
END
作者:知乎子不语(知乎、头条)。 记得城中日月,蝉鸣后又初雪。屋檐细雨,停在初见季节。
联系客服