1、第 9 章 隔离技术 本章学习目标:了解网 络 隔离 发 展 历 程掌握网 络 隔离的技 术 原理了解网 络 隔离的技 术 分 类 及 发 展方向掌握网 闸 的基本原理 29.1 隔离技 术 概述 安全域是以信息涉密程度划分的网络空间 。 涉密域 就是涉及国家秘密的网络空间。 非涉密域 就是不涉及国家的秘密,但是涉及本单位,本部门或者本系统的工作秘密的网络空间。 公共服务域 是指既不涉及国家秘密也不涉及工作秘密,是一个向因特网络完全开放的公共信息交换空间。 9.1.1 隔离的概念 1、安全域电子政务的内网和外网要实行严格的物理隔离。政务的外网和因特网络要实行逻辑隔离,按照安全域的划分,政府的内
2、网就是涉密域,政府的外网就是非涉密域,因特网就是公共服务域。 39.1 隔离技 术 概述 网络隔离( Network Isolation), 主要是指把两个或两个以上可路由的网络(如 TCP/IP) 通过不可路由的协议(如 IPX/SPX、 NetBEUI等)进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议,所以通常也叫协议隔离( Protocol Isolation)。 9.1.1 隔离的概念 2、 网 络 隔离 第一代隔离技 术 完全的隔离第二代隔离技 术 硬件卡隔离 第三代隔离技 术 数据 转 播隔离 第四代隔离技 术 空气开关隔离 第五代隔离技 术 安全通道隔离 49.1
3、隔离技 术 概述 9.1.2 网 络 隔离的技 术 原理 右图 表示没有 连 接 时内外网的 应 用状况,从 连接特征可以看出 这样 的结 构从物理上完全分离。 59.1 隔离技 术 概述 9.1.2 网 络 隔离的技 术 原理 当外网需要有数据到达内网的 时 候 ,以 电 子邮 件 为 例,外部的服 务器立即 发 起 对 隔离 设备的非 TCP/IP协议 的数据连 接,隔离 设备 将所有的 协议 剥离,将原始的数据写入存 储 介 质 。69.1 隔离技 术 概述 9.1.2 网 络 隔离的技 术 原理 一旦数据完全写入隔离 设备 的存 储 介 质 ,隔离 设备 立即中断与外网的连 接。 转
4、而 发 起 对 内网的非 TCP/IP协议 的数据连 接。隔离 设备 将存 储介 质 内的数据推向内网。内网收到数据后,立即 进行 TCP/IP的封装和 应 用 协议 的封装,并交 给应 用系 统 。 在控制台收到完整的交换信号之后,隔离设备立即切断隔离设备于内网的直接连接 79.1 隔离技 术 概述 9.1.2 网 络 隔离的技 术 原理 内网有 电 子 邮 件要发 出,隔离 设备 收到内网建立 连 接的 请 求之后,建立与内网之 间 的非TCP/IP协议 的数据 连 接。隔离 设备 剥离所有的TCP/IP协议 和 应 用 协议,得到原始的数据,将数据写入隔离 设备 的存 储介 质 。 89
5、.1 隔离技 术 概述 9.1.2 网 络 隔离的技 术 原理 一旦数据完全写入隔离 设备 的存 储 介 质 ,隔离 设备 立即中断与内网的连 接。 转 而 发 起 对 外网的非 TCP/IP协议 的数据连 接。隔离 设备 将存 储介 质 内的数据推向外网。外网收到数据后,立即 进行 TCP/IP的封装和 应 用 协议 的封装,并交 给 系 统 99.1 隔离技 术 概述 9.1.2 网 络 隔离的技 术 原理 每一次数据交 换 ,隔离 设备经历 了数据的 接受 、 存 储 和 转发 三个 过 程。由于 这 些 规则 都是在内存和内核中完成的,因此速度上有保 证 ,可以达到 100%的 总线处 理能力。 物理隔离的一个特征,就是内网与外网永不 连 接,内网和外网在同一 时间 最多只有一个同隔离 设备 建立非 TCP/IP协议 的数据 连 接。 其数据传输 机制是存 储 和 转发 。物理隔离的好 处 是明 显 的,即使外网在 处 在最坏的情况下,内网也不会有任何破坏,修复外网系 统也非常容易。109.1 隔离技 术 概述 9.1.3 网 络 隔离技 术 分 类 1基于代 码 、内容等隔离的反病毒和内容 过滤 技 术 2基于网 络层 隔离的防火 墙 技 术 3基于物理 链 路 层 的物理隔离技 术
