网络安全技术10.ppt

第10章网络隔离与网闸,10.1网络隔离技术10.2网闸10.3典型的网闸产品,10.1网络隔离技术,网络隔离将两个或两个以上的网络物理断开，不相连，不相通，相互断开。概念来源人工拷贝通过手动、非网络的方式交换数据。Sneakernet（人力网）计算机、移动存储介质、人共同构成Sneakenet。轮渡摆渡。发展历史一代完全隔离二代硬件卡隔离三代数据转播，利用转播系统分时复制文件四代空气开关隔离，采用单刀双掷开关五代安全通道隔离，采用专用通信硬件和专有安全协议,10.1网络隔离技术（1）,要解决的问题网络隔离技术是要在保证安全的前提下，尽可能互连互通。要能够抵抗操作系统、网络协议、链路连接、安全策略等漏洞带来的安全问题。原理采用断开的方法抵御攻击。物理层断开不能在物理层上建立数据链路。数据链路断开消除建立通信链路的控制信号，或使数据传输前后不相关。网络层断开剥离IP协议会话层断开消除交互式的应用对话表示层断开消除跨平台支持应用层断开剥离应用协议要求断开所有的层，才能达到安全的目标。技术路线网络开关两个虚拟系统和一个数据系统，虚拟系统通过数据系统交换数据，适合简单的文件交换。实时交换两个系统间共用一个交换系统，交换系统先连接到一个系统获取数据，然后连接到另一个系统。单向连接数据只能单向移动。,10.1网络隔离技术（2）,基于网络隔离的数据交换原理,10.1网络隔离技术（3）,技术要点高度的自身安全性确保网络之间是隔离的保证网络间交换的只是应用数据要对网络间的访问进行严格的控制和检查在隔离前提下保证网络通畅和应用透明发展方向采用专用通信设备、专有安全协议、加密验证、应用层数据提取和鉴别等安全机制，在彻底阻断TCP/IP通信的情况下实现网络安全的隔离与信息交换。,10.2网闸,定义网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的设备。存储介质能对数据文件进行摆渡，而主机只能对存储介质进行读和写。技术发展第1代使用单刀双掷开关实现隔离与分时存储共享，也称为空气缝隙（AirGap）技术；第2代采用专用交换通道（PrivateExchangeTunnel，TET）技术,,,10.2网闸（1）,工作原理切断内外网连接，对数据包进行重组并检查，确认后的数据进入内部网络。,10.2网闸（2）,实现技术物理层和数据链路层断开技术开关技术单向传输技术TCP/IP连接和应用连接的断开技术一个连接断开为网闸隔离的两个，并保证两个连接不能共享主机。,网闸,内部主机,外部主机,,,TCP/IP,TCP/IP,,,,TCP/IP,A,B,10.3典型的网闸产品,受理与处理分离,10.3典型的网闸产品（1）,服务隔离,10.3典型的网闸产品（2）,数据库数据交换,10.3典型的网闸产品（3）,邮件与文件交换,思考与讨论,物理隔离、网闸、防火墙在防止网络安全问题的蔓延和信息泄漏防护（DataLeakagePrevention，DLP）方面各有什么优势分别适合什么样的应用环境,