网络隔离技术课件.ppt

1、第第 9 9 章章 隔离技术隔离技术 本章学习目标：本章学习目标：了解网络隔离发展历程了解网络隔离发展历程掌握网络隔离的技术原理掌握网络隔离的技术原理了解网络隔离的技术分类及发展方向了解网络隔离的技术分类及发展方向掌握网闸的基本原理掌握网闸的基本原理 29.1 9.1 隔离技术概述隔离技术概述 安全域是以信息涉密程度划分的网络空间安全域是以信息涉密程度划分的网络空间。涉密域涉密域就是就是涉及国家秘密的网络空间。涉及国家秘密的网络空间。非涉密域非涉密域就是不涉及国家的秘密，就是不涉及国家的秘密，但是涉及本单位，本部门或者本系统的工作秘密的网络空间。但是涉及本单位，本部门或者本系统的工作秘密的网络

2、空间。公共服务域公共服务域是指既不涉及国家秘密也不涉及工作秘密，是一是指既不涉及国家秘密也不涉及工作秘密，是一个向因特网络完全开放的公共信息交换空间。个向因特网络完全开放的公共信息交换空间。 9.1.1 9.1.1 隔离的概念隔离的概念 1 1、安全域、安全域 电子政务的内网和外网要实行严格的物理隔离。政务的外电子政务的内网和外网要实行严格的物理隔离。政务的外网和因特网络要实行逻辑隔离，按照安全域的划分，政府的内网和因特网络要实行逻辑隔离，按照安全域的划分，政府的内网就是涉密域，政府的外网就是非涉密域，因特网就是公共服网就是涉密域，政府的外网就是非涉密域，因特网就是公共服务域。务域。 39.1

3、 9.1 隔离技术概述隔离技术概述 网络隔离（网络隔离（Network IsolationNetwork Isolation），主要是指把两个或），主要是指把两个或两个以上可路由的网络（如两个以上可路由的网络（如TCP/IPTCP/IP）通过不可路由的协议）通过不可路由的协议（如（如IPX/SPXIPX/SPX、NetBEUINetBEUI等）进行数据交换而达到隔离目的。等）进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议，所以通常也叫协议隔由于其原理主要是采用了不同的协议，所以通常也叫协议隔离（离（Protocol IsolationProtocol Isolation）。）。

4、9.1.1 9.1.1 隔离的概念隔离的概念 2 2、网络隔离网络隔离 第一代隔离技术第一代隔离技术完全的隔离完全的隔离第二代隔离技术第二代隔离技术硬件卡隔离硬件卡隔离 第三代隔离技术第三代隔离技术数据转播隔离数据转播隔离 第四代隔离技术第四代隔离技术空气开关隔离空气开关隔离 第五代隔离技术第五代隔离技术安全通道隔离安全通道隔离 49.1 9.1 隔离技术概述隔离技术概述 9.1.2 9.1.2 网络隔离的技术原理网络隔离的技术原理 右图右图表示没有连接时表示没有连接时内外网的应用状况，从连内外网的应用状况，从连接特征可以看出这样的结接特征可以看出这样的结构从物理上完全分离。构从物理上完全分离

5、。 59.1 9.1 隔离技术概述隔离技术概述 9.1.2 9.1.2 网络隔离的技术原理网络隔离的技术原理 当外网需要有数据到当外网需要有数据到达内网的时候达内网的时候，以电子邮，以电子邮件为例，外部的服务器立件为例，外部的服务器立即发起对隔离设备的非即发起对隔离设备的非TCP/IPTCP/IP协议的数据连接，协议的数据连接，隔离设备将所有的协议剥隔离设备将所有的协议剥离，将原始的数据写入存离，将原始的数据写入存储介质储介质。69.1 9.1 隔离技术概述隔离技术概述 9.1.2 9.1.2 网络隔离的技术原理网络隔离的技术原理 一旦数据完全写入隔一旦数据完全写入隔离设备的存储介质，隔离离设

6、备的存储介质，隔离设备立即中断与外网的连设备立即中断与外网的连接。转而发起对内网的非接。转而发起对内网的非TCP/IPTCP/IP协议的数据连接。协议的数据连接。隔离设备将存储介质内的隔离设备将存储介质内的数据推向内网。内网收到数据推向内网。内网收到数据后，立即进行数据后，立即进行TCP/IPTCP/IP的封装和应用协议的封装，的封装和应用协议的封装，并交给应用系统。并交给应用系统。 在控制台收到完整的交换信号之后，隔离设备立即切断在控制台收到完整的交换信号之后，隔离设备立即切断隔离设备于内网的直接连接隔离设备于内网的直接连接 79.1 9.1 隔离技术概述隔离技术概述 9.1.2 9.1.2

7、 网络隔离的技术原理网络隔离的技术原理 内网有电子邮件要发内网有电子邮件要发出，隔离设备收到内网建出，隔离设备收到内网建立连接的请求之后，建立立连接的请求之后，建立与内网之间的非与内网之间的非TCP/IPTCP/IP协协议的数据连接。隔离设备议的数据连接。隔离设备剥离所有的剥离所有的TCP/IPTCP/IP协议和协议和应用协议，得到原始的数应用协议，得到原始的数据，将数据写入隔离设备据，将数据写入隔离设备的存储介质。的存储介质。 89.1 9.1 隔离技术概述隔离技术概述 9.1.2 9.1.2 网络隔离的技术原理网络隔离的技术原理 一旦数据完全写入隔一旦数据完全写入隔离设备的存储介质，隔离离

8、设备的存储介质，隔离设备立即中断与内网的连设备立即中断与内网的连接。转而发起对外网的非接。转而发起对外网的非TCP/IPTCP/IP协议的数据连接。协议的数据连接。隔离设备将存储介质内的隔离设备将存储介质内的数据推向外网。外网收到数据推向外网。外网收到数据后，立即进行数据后，立即进行TCP/IPTCP/IP的封装和应用协议的封装，的封装和应用协议的封装，并交给系统并交给系统 99.1 9.1 隔离技术概述隔离技术概述 9.1.2 9.1.2 网络隔离的技术原理网络隔离的技术原理 每一次数据交换，隔离设备经历了数据的每一次数据交换，隔离设备经历了数据的接受接受、存储存储和和转发转发三个过程。由于

9、这些规则都是在内存和内核中完成的，因此速度三个过程。由于这些规则都是在内存和内核中完成的，因此速度上有保证，可以达到上有保证，可以达到100%100%的总线处理能力。的总线处理能力。物理隔离的一个特征，物理隔离的一个特征，就是内网与外网永不连接，内网和外网在同一时间最多只有一个就是内网与外网永不连接，内网和外网在同一时间最多只有一个同隔离设备建立非同隔离设备建立非TCP/IPTCP/IP协议的数据连接。协议的数据连接。其数据传输机制是存其数据传输机制是存储和转发。物理隔离的好处是明显的，即使外网在处在最坏的情储和转发。物理隔离的好处是明显的，即使外网在处在最坏的情况下，内网也不会有任何破坏，修

10、复外网系统也非常容易。况下，内网也不会有任何破坏，修复外网系统也非常容易。109.1 9.1 隔离技术概述隔离技术概述 9.1.3 9.1.3 网络隔离技术分类网络隔离技术分类 1 1基于代码、内容等隔离的反病毒和内容过滤技术基于代码、内容等隔离的反病毒和内容过滤技术 2 2基于网络层隔离的防火墙技术基于网络层隔离的防火墙技术 3 3基于物理链路层的物理隔离技术基于物理链路层的物理隔离技术 119.1 9.1 隔离技术概述隔离技术概述 9.1.4 网络隔离技术要点与发展方向网络隔离技术要点与发展方向 1 1网络隔离技术需要具有的安全要点网络隔离技术需要具有的安全要点2 2网络隔离的关键点网络隔

11、离的关键点 隔离的关键点就成了要尽量提高网间数据交换的速度，并且对应用能隔离的关键点就成了要尽量提高网间数据交换的速度，并且对应用能够透明支持，以适应复杂和高带宽需求的网间数据交换。够透明支持，以适应复杂和高带宽需求的网间数据交换。 要具有高度的自身安全性要具有高度的自身安全性要确保网络之间是隔离的要确保网络之间是隔离的 要保证网间交换的只是应用数据要保证网间交换的只是应用数据 要对网间的访问进行严格的控制和检查要对网间的访问进行严格的控制和检查 要在坚持隔离的前提下保证网络畅通和应用透明要在坚持隔离的前提下保证网络畅通和应用透明 129.1 9.1 隔离技术概述隔离技术概述 9.1.4 网络

12、隔离技术要点与发展方向网络隔离技术要点与发展方向 3 3隔离技术的未来发展方向隔离技术的未来发展方向 通过专用通信设备、专有安全协议和加密验证机制及应通过专用通信设备、专有安全协议和加密验证机制及应用层数据提取和鉴别认证技术，进行不同安全级别网络之间用层数据提取和鉴别认证技术，进行不同安全级别网络之间的数据交换，彻底阻断网络间的直接的数据交换，彻底阻断网络间的直接TCP/IPTCP/IP连接，同时对网连接，同时对网间通信的双方、内容、过程施以严格的身份认证、内容过滤、间通信的双方、内容、过程施以严格的身份认证、内容过滤、安全审计等多种安全防护机制，从而保证了网间数据交换的安全审计等多种安全防护

13、机制，从而保证了网间数据交换的安全、可控，杜绝了由于操作系统和网络协议自身漏洞带来安全、可控，杜绝了由于操作系统和网络协议自身漏洞带来的安全风险。的安全风险。139.2 9.2 隔离网闸隔离网闸 网闸是使用带有多种控制功能的固态开关读写介质连接网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。两个独立主机系统的信息安全设备。 物理隔离网闸所连接的两个独立主机系统之间不存在通物理隔离网闸所连接的两个独立主机系统之间不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的

14、无协议不存在依据协议的信息包转发，只有数据文件的无协议“摆摆渡渡”，且对固态存储介质只有，且对固态存储介质只有“读读”和和“写写”两个命令。所两个命令。所以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使的一切连接，使“黑客黑客”无法入侵、无法攻击、无法破坏，无法入侵、无法攻击、无法破坏，实现了真正的安全。实现了真正的安全。 149.2 9.2 隔离网闸隔离网闸 9.2.1 9.2.1 网闸的发展阶段网闸的发展阶段 网闸，又称安全隔离与信息交换系统，是新一代高安全度的企网闸，又称安全隔离与信息交换系统，是新一代高安全度的企业级

15、信息安全防护设备，它依托安全隔离技术为信息网络提供了更业级信息安全防护设备，它依托安全隔离技术为信息网络提供了更高层次的安全防护能力，不仅使得信息网络的抗攻击能力大大增强，高层次的安全防护能力，不仅使得信息网络的抗攻击能力大大增强，而且有效地防范了信息外泄事件的发生。而且有效地防范了信息外泄事件的发生。 第一代网闸的技术原理是利用单刀双掷开关使得内外网的处理单元第一代网闸的技术原理是利用单刀双掷开关使得内外网的处理单元分时分时存取存取共享存储设备来完成数据交换的。安全原理是通过应用层数据提取与安全审查达共享存储设备来完成数据交换的。安全原理是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击

16、和增强应用层安全的效果。到杜绝基于协议层的攻击和增强应用层安全的效果。 第二代网闸正是在吸取了第一代网闸优点的基础上，利用专用交换通道第二代网闸正是在吸取了第一代网闸优点的基础上，利用专用交换通道PETPET（Private Exchange TunnelPrivate Exchange Tunnel）技术，在不降低安全性的前提下能够完成内外网）技术，在不降低安全性的前提下能够完成内外网之间高速的数据交换，有效地克服了第一代网闸的弊端。第二代网闸的安全数据之间高速的数据交换，有效地克服了第一代网闸的弊端。第二代网闸的安全数据交换过程是通过专用硬件通信卡、私有通信协议和加密签名机制来实现。交换过

17、程是通过专用硬件通信卡、私有通信协议和加密签名机制来实现。159.2 9.2 隔离网闸隔离网闸 9.2.2 9.2.2 网闸工作原理网闸工作原理 隔离网闸（安全隔离与信息交换隔离网闸（安全隔离与信息交换, ,GAPGAP），是在保证两个网络安），是在保证两个网络安全隔离的基础上实现安全信息交换和资源共享的技术。全隔离的基础上实现安全信息交换和资源共享的技术。169.2 9.2 隔离网闸隔离网闸 9.2.3 9.2.3 隔离网闸要点隔离网闸要点 1 1）专用硬件设计保证了物理隔离下的信息交流。）专用硬件设计保证了物理隔离下的信息交流。GAPGAP均采用专用隔离硬件均采用专用隔离硬件的设计完成隔离

18、功能，硬件设计保证在任意时刻网络间的链路层断开，阻断的设计完成隔离功能，硬件设计保证在任意时刻网络间的链路层断开，阻断TCP/IPTCP/IP协议以及其他网络协议；同时该硬件不提供编程软接口，不受系统控制，协议以及其他网络协议；同时该硬件不提供编程软接口，不受系统控制，仅提供物理上的控制开关。这样黑客无法从远程获得硬件的控制权。仅提供物理上的控制开关。这样黑客无法从远程获得硬件的控制权。 2 2）集合多种安全技术消除数据交换中的安全隐患。在专用硬件基础上，紧）集合多种安全技术消除数据交换中的安全隐患。在专用硬件基础上，紧密集成了内核防护、协议转化、病毒查杀、身份验证、访问控制、安全审计等模密集

19、成了内核防护、协议转化、病毒查杀、身份验证、访问控制、安全审计等模块。这些模块可以与隔离硬件结合形成整体的防御体系。块。这些模块可以与隔离硬件结合形成整体的防御体系。 3 3）网闸以安全隔离为基础，并集成多种防护技术，其软硬一体设计形成整）网闸以安全隔离为基础，并集成多种防护技术，其软硬一体设计形成整体多层面的安全防护。体多层面的安全防护。 4 4）灵活高效数据交换形式确保应用需求。）灵活高效数据交换形式确保应用需求。GAPGAP产品都提供了多种数据交换产品都提供了多种数据交换方式以满足业务应用。如公安部信息通信局与天行网安公司联合研制的天行安全方式以满足业务应用。如公安部信息通信局与天行网安

20、公司联合研制的天行安全隔离网闸（隔离网闸（TopwalkTopwalk-GAP-GAP）提供了文件交换、邮件交换、数据库交换和提供）提供了文件交换、邮件交换、数据库交换和提供APIAPI应应用接口的消息模块，同时具有较高的传输速率和低延迟性。用接口的消息模块，同时具有较高的传输速率和低延迟性。 179.3 9.3 典型产品介绍典型产品介绍 天御天御60006000网络物理隔离系统网络物理隔离系统 189.3 9.3 典型产品介绍典型产品介绍 天御天御60006000系列网络物理隔离系统是由北京和信网安科技有系列网络物理隔离系统是由北京和信网安科技有限公司与中国科学院中力机电新技术有限公司联合开

21、发的网络限公司与中国科学院中力机电新技术有限公司联合开发的网络安全产品。在保证内外网物理隔离的情况下，实现安全高效的安全产品。在保证内外网物理隔离的情况下，实现安全高效的数据交换，为解决内网的安全问题提供了全新的解决方案。数据交换，为解决内网的安全问题提供了全新的解决方案。在在保证必须安全的前提下，尽可能互联互通。保证必须安全的前提下，尽可能互联互通。 9.3.1 9.3.1 产品概况产品概况 9.3.2 9.3.2 安全策略安全策略 外网服务器的外网服务器的TCP/IPTCP/IP协议栈关闭，内外网服务器之间采用纯数据进行传输协议栈关闭，内外网服务器之间采用纯数据进行传输内网和外网之间采用专

22、有的通讯协议，有效防止黑客从外网攻入内网内网和外网之间采用专有的通讯协议，有效防止黑客从外网攻入内网内网向外发起的连接需经过内网服务器的身份认证内网向外发起的连接需经过内网服务器的身份认证外网主动发起的连接无法建立，只有内网请求的回应数据可以进入内网外网主动发起的连接无法建立，只有内网请求的回应数据可以进入内网 199.3 9.3 典型产品介绍典型产品介绍 产品的安装部署产品的安装部署 20本章小结本章小结 本章主要介绍了隔离技术的发展、现状及工作原理，本章主要介绍了隔离技术的发展、现状及工作原理，重点应掌握重点应掌握安全隔离网闸安全隔离网闸（GAPGAP）的工作原理：）的工作原理：协议控制、协议控制、数据转换、安全审查、身份认证等。同时应数据转换、安全审查、身份认证等。同时应将将安全隔离网安全隔离网闸闸与传统防火墙对比地学习，理解它们间的异同，特别是与传统防火墙对比地学习，理解它们间的异同，特别是在安全机制、硬件设计、网络协议处理、遭攻击后果等方在安全机制、硬件设计、网络协议处理、遭攻击后果等方面的区别。面的区别。21作作 业业 P 202P 202 1 1、2 2、3 3