物理隔离的网闸如何配置
Ⅰ 怎么实现内外网的完全隔离
可以安装物理安全隔离网闸设备进行内外网隔离。物理安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。
这个设备主要用来解决网络安全问题的,尤其是在那些需要绝对保证安全的保密网,专网和特种网络与互联网进行连接时,用来防止来自互联网的攻击和保证这些高安全性网络的保密性、安全性、完整性。
(1)物理隔离的网闸如何配置扩展阅读:
安全隔离网闸的原理
网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。
由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议"摆渡",且对固态存储介质只有"读"和"写"两个命令。
所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使"黑客"无法入侵、无法攻击、无法破坏,实现了真正的安全。
参考资料来源:网络--网闸
参考资料来源:网络--物理隔离
Ⅱ 物理隔离网闸的组成有
网闸的工作原理是什么?
解答:
网闸的基本原理是:切断网络之间的通用协议连接;将数据包进行分解或重组为静态数据;对静态数据进行安全审查,包括网络协议检查和代码扫描等;确认后的安全数据流入内部单元;内部用户通过严格的身份认证机制获取所需数据。
问题:
什么是网闸?
解答:
网闸是在两个不同安全域之间,通过协议转换的手段,以信息摆渡的方式实现数据交换,且只有被系统明确要求传输的信息才可以通过。其信息流一般为通用应用服务。注:网闸的“闸”字取自于船闸的意思,在信息摆渡的过程中内外网(上下游)从未发生物理连接,所以网闸产品必须要有至少两套主机和一个物理隔离部件才可完成物理隔离任务。现在市场上出现的的单主机网闸或单主机中有两个及多个处理引擎的过滤产品不是真正的网闸产品,不符合物理隔离标准。其只是一个包过滤的安全产品,类似防火墙。注:单主机网闸多以单向网闸来掩人耳目。
问题:
隔离网闸是什么设备?
解答:
隔离网闸是一种由专用硬件在电路上切断网络之间的链路层连接,能够在物理隔离的网络之间进行适度的安全数据交换的网络安全设备。
问题:
隔离网闸是硬件设备还是软件设备?
解答:
隔离网闸是由软件和硬件组成的设备。
问题:
隔离网闸硬件设备是由几部分组成?
解答:
隔离网闸的硬件设备由三部分组成:外部处理单元、内部处理单元、隔离硬件。
问题:
单向传输用单主机网闸可以吗?
解答:
隔离网闸的组成必须是由物理的三部分组成,所以单主机(包括多处理器)的安全产品并不是网闸产品,无法完成物理隔离任务。其所谓的单向传输只是基于数据包的过滤,类似防火墙产品,并不是物理隔离产品。
问题:
为什么说隔离网闸能够防止未知和已知木马攻击?
解答:
通常见到的木马大部分是基于TCP的,木马的客户端和服务器端需要建立连接,而隔离网闸从原理实现上就切断所有的TCP连接,包括UDP、ICMP等其他各种协议,使各种木马无法通过隔离网闸进行通讯。从而可以防止未知和已知的木马攻击。
问题:
隔离网闸与防火墙有何不同?
解答:
主要有以下几点不同:
A、隔离网闸采用双主机系统,内端机与需要保护的内部网络连接,外端机与外网连接。这种双系统模式彻底将内网保护起来,即使外网被黑客攻击,甚至瘫痪,也无法对内网造成伤害。防火墙是单主机系统。
B、隔离网闸采用自身定义的私有通讯协议,避免了通用协议存在的漏洞。防火墙采用通用通讯协议即TCP/IP协议。
C、隔离网闸采用专用硬件控制技术保证内外网之间没有实时连接。而防火墙必须保证实时连接。
D、隔离网闸对外网的任何响应都保证是内网合法用户发出的请求应答,即被动响应,而防火墙则不会对外网响应进行判断,也即主动响应。这样,网闸就避免了木马和黑客的攻击。
问题:
隔离网闸能取代防火墙吗?
解答:
无论从功能还是实现原理上讲,隔离网闸和防火墙是完全不同的两个产品,防火墙是保证网络层安全的边界安全工具(如通常的非军事化区),而隔离网闸重点是保护内部网络的安全。因此两种产品由于定位的不同,因此不能相互取代。
问题:
隔离网闸通常布置在什么位置?
解答:
隔离网闸通常布置在两个安全级别不同的两个网络之间,如信任网络和非信任网络,管理员可以从信任网络一方对安全隔离网闸进行管理。
问题:
隔离网闸是否可以在网络内部使用?
解答:
可以,网络内部安全级别不同的两个网络之间也可以安装隔离网闸进行隔离。
问题:
如果对应网络七层协议,隔离网闸是在哪一层断开?
解答:
如果针对网络七层协议,隔离网闸是在硬件链路层上断开。
问题:
有了防火墙和IDS,还需要隔离网闸吗?
解答:
防火墙是网络层边界检查工具,可以设置规则对内部网络进行安全防护,而IDS一般是对已知攻击行为进行检测,这两种产品的结合可以很好的保护用户的网络,但是从安全原理上来讲,无法对内部网络做更深入的安全防护。隔离网闸重点是保护内部网络,如果用户对内部网络的安全非常在意,那么防火墙和IDS再加上隔离网闸将会形成一个很好的防御体系。
问题:
隔离网闸适用于什么样的场合?
解答:
第1种场合:涉密网与非涉密网之间。
第2种场合:局域网与互联网之间。有些局域网络,特别是政府办公网络,涉及敏感信息,有时需要与互联网在物理上断开,用物理隔离网闸是一个常用的办法。
第3种场合:办公网与业务网之间
由于办公网络与业务网络的信息敏感程度不同,例如,银行的办公网络和银行业务网络就是很典型的信息敏感程度不同的两类网络。为了提高工作效率,办公网络有时需要与业务网络交换信息。为解决业务网络的安全,比较好的办法就是在办公网与业务网之间使用物理隔离网闸,实现两类网络的物理隔离。
第4种场合:电子政务的内网与专网之间
在电子政务系统建设中,要求政府内网与外网之间用逻辑隔离,在政府专网与内网之间用物理隔离。现常用的方法是用物理隔离网闸来实现。
第5种场合:业务网与互联网之间
电子商务网络一边连接着业务网络服务器,一边通过互联网连接着广大民众。为了保障业务网络服务器的安全,在业务网络与互联网之间应实现物理隔离。
Ⅲ 什么是物理隔离
物理隔离是指内部网不得直接或间接地连接公共网。物理隔离包含是SU-GAP隔离网闸技术 、物理隔离卡。
1、SU-GAP隔离网闸,它创建一个这样的环境,内、外网物理断开,但逻辑地相连。就是在这两个网络之间创建了一个物理隔断,这意味着网络数据包不能从一个网络流向另外一个网络,并且可信网络上的计算机和不可信网络上的计算机从不会有实际的连接。
2、所谓“物理隔离”是指内部网不得直接或间接地连接公共网。物理隔离的目的是保护路由器、工作站、各种网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。
3、在每台电脑中通过主板插槽安装物理隔离卡,把一台普通计算机分成两台虚拟计算机,实现真正的物理隔离。
也就是说,只有使内部网和公共网物理隔离,才能真正保证内部信息网络不受来自互联网的黑客攻击。此外,物理隔离也为内部网划定了明确的安全边界,使得网络的可控性增强,便于内部管理。
所谓“物理隔离”是指内部网不直接或间接地连接公共网。物理安全的目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。只有使内部网和公共网物理隔离,才能真正保证党政机关的内部信息网络不受来自互联网的黑客攻击。此外,物理隔离也为政府内部网划定了明确的安全边界,使得网络的可控性增强,便于内部管理。
Ⅳ 一个双网隔离方案的问题,学校想在不改变现有的网络布线情况下做出物理隔离内外网。想到的方案有1、网闸
办法是有的,最好给出你的网络拓扑图。
1、网闸 网闸在有具体应用的前提下来设定规规则,很好用,但如果没有具体的应用,设定起来比较麻烦。需要很好的沟通。 还要确定出网闸放置的位置。
2、单布线加隔离集线器这种方案也可以。不限制应用。即使新业务增加,也不会受到限制。
最好选择双硬盘的隔离卡,安装维护方便。交换机端要分为内网和外网的交换机,如果交换机是二层以上的,可以设置VLAN。
最重要的是看您的预算,两种方案都可以实现。如果台数很多,可以选第一种,如果机器台数少,可以选第二种。
Ⅳ 物理隔离网闸的定义
物理隔离网闸,是利用双主机形式,从物理上来隔离阻断潜在攻击的连接。其中包括一系列的阻断特征,如没有通信连接,没有命令,没有协议,没有TCP/IP连接,没有应用连接,没有包转发,只有文件“摆渡”,对固态介质只有读和写两个命令。其结果是无法攻击,无法入侵,无法破坏。
Ⅵ 物理隔离网闸的体系结构示意图
物理隔离网闸体系结构示意图:
Ⅶ 网闸,路由器和前置机之间怎么配置
路由器
只要完成路由学习,并按自己的路由表来转发数据的,这个数据可以是IP,也可以是IPX等。它主要转发我们常说的“数据包”。而且它有多种接口,可以连接不同的物理线路,比如以太网,ATM,E1,DDN,Frame relay等等。还可以拨号,做VPN。当然了,还支持很多的高级特性。
硬件防火墙
防火墙主要是保护网络安全的,可以对进入的数据包进行检查,来自己定义的规则来处理,比如那些接受并转发,那些丢掉。具体用的技术太多了。。。做ACL了,做inspection,做TCP代理等等。
网闸
主要功能有,切断网络之间的通用协议连接;将数据包进行分解或重组为静态数据;对静态数据进行安全审查,包括网络协议检查和代码扫描等;确认后的安全数据流入内部单元;内部用户通过严格的身份认证机制获取所需数据。
交换机
我们说的交换机一般指以太网交换机,主要是根据自己学习到的MAC地址表来转发数据帧的。
当然了,真是传统的2层交换机,三层交换机有很多路由器的功能,可以跑路由协议,转发IP数据包,做ACL等等。但是支持的介质很单一,一般以太网交换机只支持以太网。。。ATM交换机支持ATM等。
Ⅷ 隔离网闸有哪些功能
安全隔离网闸,又名“网闸”、“物理隔离网闸”,用以实现不同安全级别网络之间的安全隔离,并提供适度可控的数据交换的软硬件系统。
安全隔离网闸的组成:
安全隔离网闸是实现两个相互业务隔离的网络之间的数据交换,通用的网闸模型设计一般分三个基本部分:
a. 内网处理单元
b. 外网处理单元
c. 隔离与交换控制单元(隔离硬件)
其中,三个单元都要求其软件的操作系统是安全的,也就是采用非通用的操作系统,或改造后的专用操作系统。一般为Unix BSD或Linux的经安全精简版本,或者其他是嵌入式操作系统VxWorks等,但都要对底层不需要的协议、服务删除,使用的协议优化改造,增加安全特性,同时提高效率。
下面分别介绍三个基本部分的功能:
内网处理单元:包括内网接口单元与内网数据缓冲区。接口部分负责与内网的连接,并终止内网用户的网络连接,对数据进行病毒检测、防火墙、入侵防护等安全检测后剥离出“纯数据”,作好交换的准备,也完成来自内网对用户身份的确认,确保数据的安全通道;数据缓冲区是存放并调度剥离后的数据,负责与隔离交换单元的数据交换。
外网处理单元:与内网处理单元功能相同,但处理的是外网连接。
隔离与交换控制单元:是网闸隔离控制的摆渡控制,控制交换通道的开启与关闭。控制单元中包含一个数据交换区,就是数据交换中的摆渡船。对交换通道的控制的方式目前有两种技术,摆渡开关与通道控制。摆渡开关是电子倒换开关,让数据交换区与内外网在任意时刻的不同时连接,形成空间间隔GAP,实现物理隔离。通道方式是在内外网之间改变通讯模式,中断了内外网的直接连接,采用私密的通讯手段形成内外网的物理隔离。该单元中有一个数据交换区,作为交换数据的中转。
安全隔离网闸的两类模型:
在内外网处理单元中,接口处理与数据缓冲之间的通道,称内部通道1,缓冲区与交换区之间的通道,称内部通道2。对内部通道的开关控制,就可以形成内外网的隔离。模型中的用中间的数据交换区摆渡数据,称为三区模型;摆渡时,交换区的总线分别与内、外网缓冲区连接,也就是内部通道2的控制,完成数据交换。
还有一种方式是取消数据交换区,分别交互控制内部通道1与内部通道2,形成二区模型。
二区模型的数据摆渡分两次:先是连接内、外网数据缓冲区的内部通道2断开,内部通道1连接,内外网接口单元将要交换的数据接收过来,存在各自的缓冲区中,完成一次摆渡。然后内部通道1断开,内部通道2连接,内外网的数据缓冲区与各自的接口单元断开后,两个缓冲区连接,分别把要交换的数据交换到对方的缓冲区中,完成数据的二次摆渡。
内部通道一般也采用非通用网络的通讯连接,让来自两端的可能攻击终止于接口单元,从而增强网闸的隔离效果。安全隔离网闸设计的目的,是隔离内外网业务连接的前提下,实现安全的数据交换。也就是安全专家描述的:协议落地,数据交换。
功能
由于职能和业务的不同,用户的应用系统及其数据交换方式也多种多样:各种审批系统、各种数据查询系统需要在网络间传输和交换指定数据库记录;各种汇总系统、各种数据采集系统需要在网络间传输和交换指定文件;各种复杂的应用系统需要传输和交换定制数据;内外网之间的邮件互通和网页浏览需求要求网络之间能够进行邮件转发和网页转发。
故主流的安全隔离网闸一般具有如下功能模块:数据库模块、文件模块、消息模块、邮件模块和浏览模块。
Ⅸ 安全隔离网闸相关资料
2002年FBI/CSI调查报告显示,计算机攻击事件正以每年64%的速度增加。这种威胁对我国关键领域一直存在,特别是“金盾“、“金审”、“金财”、“金税”等政务工程的核心政务网(涉密网)、政务专网等核心系统,运行着很多重要涉密信息,网络与信息的安全性尤为重要。
目前国家明确规定政府的涉密网络应与互联网保持物理隔离,确保信息安全。这样确实有效避免了来自Internet 的网络威胁。然而涉密网络之间如行业内部上下级与不同行业部门之间是相互不信任的关系,当信息流通时就面临带来的安全问题;如公安内网中的敏感信息需要流通到检委内网,同时两个部门涉密网内部都具有高度的信息敏感资源,相互是不信任关系,再比如工商内网与税务内网、财政内网与海关内网之间的信息流通都面临涉密网的安全与互通问题。所以必须采取相应的安全措施来保障涉密内网的安全问题,目前常用以下两种方法。
用人工拷贝实现隔离下的信息交换
目前,涉密网络通常与外界实现物理隔离,当涉密网之间需要交换信息时,通常在中间区域设置双方数据服务器,通过可信人员通过人工拷贝来实现。通过人工拷贝的方式,的确避免了来自不信任网络的黑客攻击等威胁,然而也带来新的问题。首先,人工投入管理开销比较大,双方必须投入人员参与数据拷贝工作;其次,人工拷贝实时性较差,无法发挥网络信息技术带来的快速的通信便利等优点;最后,由于频繁使用软盘或其他存储介质,增加了病毒和木马程序传播的途径和几率,带来新的安全问题。所以该方式无法适应电子政务的发展趋势。
用防火墙等逻辑机制保护涉密内网的安全
除采用保证物理隔离条件下采用人工拷贝实现信息交换的方式外,另一些部门涉密内网之间采用了防火墙来实现与其他专网之间的逻辑隔离。但防火墙发展到现在仍存在以下弱点。
图1 单方不信任涉密内网之间安全隔离解决方案
首先防火墙无法抵御数据驱动式攻击,即大量合法的数据包导致网络阻塞而使正常通信瘫痪;其次,防火墙很难阻止由通用协议本身漏洞发起的入侵;再次,防火墙系统本身的缺陷也是影响内部网络安全的重要问题;另外,只有正确、合理配置防火墙才能起到本身的安全作用,而配置的复杂为网管人员带来烦琐工作量的同时,也增加了配置不当带来的隐患。由于目前能攻破防火墙的技术正不断发展,所以对于涉密网络中使用防火墙做屏障是不可靠的防御手段。
由上面分析可知,第一种解决方案虽实现了物理隔离,但缺乏信息实时机制,而且人员管理开销较大;第二种方案采用了安全防御机制不太严密的逻辑隔离技术来保护涉密网络的信息安全,无疑为数据泄秘和黑客破坏等提供了可能。故两者不能算完整的解决方案。而目前渐渐兴起的GAP技术可以为涉密网络提供可靠的保护,该技术利用专用硬件保证两个网络在物理链路层断开的前提下实现数据安全传输和资源共享,并能够显着提高内部用户网络的安全强度。
天行网安GAP技术让信息隔离并交换着
天行安全隔离网闸(Topwalk-GAP)是由天行网安信息技术有限公司与公安部通信局联合研制的新一代安全隔离产品,也是GAP技术在国内的代表产品之一。该产品采用自主产权的专用隔离硬件和多个处理单元紧密集成的独特设计,集成各种安全模块为一体,部署于信任网络与非信任网络之间,能够防止并抵御各种网络攻击及黑客病毒入侵,并给用户提供了文件传输与数据库交换、收发邮件和浏览网页等多种信息交换方式。它通常部署于信任与非信任网络之间的核心内部网络之间,采用GAP(安全隔离)技术、协议转换、安全操作系统内核技术、内核的入侵检测技术、病毒扫描技术以及安全P&P(Pull and Push)等安全技术,杜绝有害信息,组成网络之间数据交换的安全通道。该隔离网闸主要提供了以下功能模块以及根据用户特殊要求的定制模块。
单方信任涉密网络隔离解决方案
在同行业部门上下级涉密网常要面临信息流通的问题,在这种情况下通常具备下级信任上级、上级的信息敏感度比下级要高等特点,即不同信任级别的涉密网要进行信息交换,可以参考以下解决方案。
图2 涉密网络之间信息交换示意图
如图2所示,左边方框内表示信任部门的涉密内网,通常为中央、部委、省级机关等重要部门的核心内部网络,在涉密内网通常运行关系国家机密、政府和经济敏感信息等资源,所以对安全性要求很高。而这些部门内网需要通过专网同地方、下级相应部门的涉密内网进行信息共享与交换。在这种情况下,通常是上级安全性高于下级,中央政府高于地方政府的单方信任关系,可采用上述单方信任涉密网之间安全解决方案。该方案将隔离网闸设在可信任端,所有请求从信任端发起,确保了信任涉密网的安全性。同时隔离网闸为用户提供了多种功能模块,实现了灵活方便的如公文交换、邮件收发、数据库共享等功能,从而满足如部门上下级等不同涉密网络之间的信息共享需求。
双方不信任涉密网隔离解决方案
在电子政务的应用中,常常遇到不同行业的网络之间信息交换的问题。由于两个行业部门都有各自的信息管理系统和人员管理体制,所以仍应在保证双方涉密网的高度安全下实现适度信息交换。如图3所示,A部门涉密内网和B部门涉密内网都属于对安全高敏感区域,通常要求与外网安全隔离。由于涉密内网之间需要适度交换信息,所以应为双方设置数据中间区域。中间区域与两边涉密内网通过安全隔离网闸来实现隔离下的信息交换。
如此配置安全隔离网闸基于以下几点:安全隔离网闸采取了安全的数据P&P(Pull and Push)技术,所有请求由内网(即信任网络端)发起,外部处理单元不提供任何服务。所以建议设中间隔离区域提供文件、邮件和数据库的服务器,负责接受双方提交的数据,然后再由涉密网内部主动请求从中间隔离区域提取所需要的数据。这样保证用户提交数据或提取数据都由双方可信任方主动发起,在加上安全隔离网闸所采用的访问控制和身份验证机制,确保了双方交换数据信息时的安全性和可靠性,同时保证了信息流通的实时性和易操作性。
GAP技术信息交换有优势
上述两套方案通过采用天行安全隔离网闸(Topwalk-GAP)作为涉密网络之间的隔离屏障,该产品通过不同涉密网络之间物理链路层断开以得到高度安全,并满足了相互之间进行多种形式的信息交换。
与人工拷贝相比具备的优势具有以下优势:
交换方式灵活多样
GAP技术提供了文件交换、数据库交换以及邮件收发等多种安全数据交换手段。如果人工拷贝只能通过软盘或其他移动存储介质实现文件间的拷贝,当文件过多或过大时,难以满足需求,或者在大型关系数据库间表格或记录传递时无法实现。
信息交换及时
该产品硬件内部数据交换速率达到819.2Mbps,系统数据交换速率达到120Mbps,硬件切换时间只有5ms,最大并发连接数更是突破了目前国内最多1500个的限制,达到了5000以上,可保证内外网的信息交换在较短的时间完成,可以满足大部分政府办公对信息交换的需求,而人工拷贝则耗时较多。
具有病毒和关键字内容过滤功能
人工拷贝需要采用软盘等移动存储介质,往往成为病毒或木马程序传播的途径,同时也不易于集中管理控制。采用隔离网闸时,交换的文件或数据会被进行病毒或关键字内容检测,大大降低了由病毒或无意泄露信息带来的安全风险。
图3 双方不信任涉密内网之间安全隔离解决方案
GAP技术与防火墙等产品相比,该产品具备的需求以下的优势:
比防火墙安全强度更高和更可靠
防火墙采用在网络层上的逻辑隔离机制,即主要通过软件策略来实现,由于在网络层是相通的,所以很难终结有经验的黑客。基于GAP技术的天行安全隔离网闸实现了涉密网与外界基于链路层的安全隔离,使得黑客基于网络协议的攻击无效,这样不但消除了通用协议漏洞给涉密内网带来的威胁,同时也使内部的系统与软件后门与漏洞不会被外部利用。
有效阻止DOS网络攻击
由于防火墙通常建立在TCP/IP协议的通路上,需要提供对外服务,而拒绝服务攻击(DOS),就是利用TCP/IP协议的缺陷,对于隔离网闸外部处理单元不需要运行任何服务器程序,并保证了与内网不存在TCP/IP协议通路,不接受来自外部任何主机的发起连接(TCP SYN),这样外部主机对于因特网来说就像被隐藏了一样,有效保证了隔离网闸本身和内网的安全性。
防配置错误引起的网络隐患
我们知道,防火墙是由一系列的规则组成,使用该规则对于进出的网络包进行检查,通常情况下,防火墙都比较安全,但是也有可能出现配置错误,造成不安全通道打开,这样就有可能被黑客所利用。而隔离网闸仅允许定制的信息进行交换,即使出现错误,也至多是数据不再传输,而不会为黑客打开安全之门。
避免操作系统和软件的不断升级
通常防火墙只能防止网络层的攻击,对于操作系统和软件出现的安全问题并不能提供一个很好的防护方式,很多采用防火墙的用户仍然受到“Nimda”病毒困扰就是一个很好的例证,用户使用了防火墙仍然得不断地升级自己的操作系统和浏览器,以避免由于这些问题导致系统被攻击。而隔离网闸由于在链路层断开,禁止所有的直接网络连接,因此可以有效保证内部系统的安全,避免了用户繁杂的升级工作。
Ⅹ 物理隔离网闸的组成
物理隔离网闸(GAP)的硬件主要包括三部分:分别是专用安全隔离切换装置(数据暂存区)、内部处理单元和外部处理单元。系统中的专用安全隔离切换装置分别连接内部处理单元和外部处理单元。这种独特和巧妙的设计,保证了安全隔离切换装置中的数据暂存区在任一时刻仅连通内部或者外部处理单元,从而实现内外网的安全隔离。