物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全。
网闸是在两个不同安全域之间,通过协议转换的手段,以信息摆渡的方式实现数据交换,且只有被系统明确要求传输的信息才可以通过。其信息流一般为通用应用服务。
注:网闸的“闸”字取自于船闸的意思,在信息摆渡的过程中内外网(上下游)从未发生物理连接,所以网闸产品必须要有至少两套主机和一个物理隔离部件才可完成物理隔离任务。
隔离网闸的一个基本特征,就是内网与外网永远不连接,内网和外网在同一时间最多只有一个同隔离设备建立数据连接(可以是两个都不连接,但不能两个都连接)。
目前网络威胁中相当大的一部分来自与浏览器威胁,网闸对这种威胁有用吗?以前不久的图片文件漏洞来说,网闸是不会对这种应用层数据进行过滤的,那么,威胁依然存在。而对于提供对外服务的网络,对其中应用进行攻击的例子大多是构造一些正常(看起来)的数据包,这些漏洞,都是针对应用层的,网闸束手无策。所以,“真正的安全”是不可能的,没有绝对的安全!
网闸的结构一般都采用2+1:内机+外机+不可编程硬件。早期网闸的交换模块以电子开关的形式实现物理上的隔离,而电子开关由于切换速率问题,无法满足实时数据交换需求,已经被逻辑开关取而代之。 从严格意义上说,逻辑开关只是实现逻辑上的隔离,而不是物理上的。
私有协议就是交换模块传输数据的硬件读写协议,不同厂家的接口不同,如SCSI,1394等
1.工作模式
网闸的数据交换都是基于代理实现的。。
网闸按工作方式可以分为主动模式和被动模式。在主动模式下,网闸作为客户端,往网络中的服务器上读写数据;在被动模式下,网闸充当服务器的角色,在本地打开监听端口,,接收外界的数据。从安全上来说,主动模式远大于被动模式,但应用和性能较差。
2.数据交换流程
以下是被动工作模式大概的一个数据交换过程:
外网接收数据包-〉检查包头信息-〉拆除包头信息-〉提取并检查应用层数据-〉按私有协议封装数据-〉传输到内网-〉封装成网络协议包-〉传输到内网接收端
保证数据传输手段主要有以下两种:
协议阻断:网闸在传输接收到的数据包时,需拆除协议包头信息,然后将应用层数据按私有协议重新封装分片,这样能保证所有网络攻击只能到达外网。
专有协议检测模块:网闸的数据传输都是基于应用层代理,对于支持的应用层协议,都有相应的传输模块。每个模块只处理对应的应用层数据请求,且根据协议的特性对数据本身进行内容检测、过滤等操作,保证数据的安全性。
从网闸的系统架构以及工作模式可看出,它的性能是比不上防火墙的,包括吞吐,延时,尤其是并发数。如果有哪个厂家宣称自己的产品能达到线速,那简直就是告诉别人他家做的不是网闸。
---------------------
作者:huyangg
来源:CSDN
原文:https://blog.csdn.net/huyangg/article/details/6407858
版权声明:本文为博主原创文章,转载请附上博文链接!