中文名
网络隔离技术
属 于网络隔离技术的内容与发展
面 对新型网络攻击手段的出现
弥 补原有安全技术的不足
网络隔离技术
面对新型网络攻击手段的出现和高安全度网络对安全的特殊需求,全新安全防护防范理念的网络安全技术――“网络隔离技术”应运而生。网络隔离技术的目标是确保隔离有害的攻击,在 可信网络之外和保证可信网络内部信息不外泄的前提下,完成网间数据的安全交换。网络隔离技术是在原有安全技术的基础上发展起来的,它弥补了原有安全技术的不足,突出了自己的优势。
网络隔离技术的内容与发展
所谓网络隔离技术是指两个或两个以上的计算机或网络在断开连接的基础上,实现信息交换和资源共享,也就是说,通过网络隔离技术既可以使两个网络实现物理上的隔离,又能在安全的网络环境下进行数据交换。网络隔离技术的主要目标是将有害的网络安全威胁隔离开,以保障数据信息在可信网络内在进行安全交互。目前,一般的网络隔离技术都是以访问控制思想为策略,物理隔离为基础,并定义相关约束和规则来保障网络的安全强度。
隔离技术的发展历程
网络隔离,英文名为Network Isolation,主要是指把两个或两个以上可 路由的网络(如:TCP/IP)通过不可路由的协议(如:IPX/SPX、NetBEUI等)进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议所以通常也叫协议隔离(Protocol Isolation).1997年, 信息安全专家Mark Joseph Edwards在他编写的一书中,就对协议隔离进行了归类。在书中他明确地指出了协议隔离和 防火墙不属于同类产品。隔离概念是在为了保护高安全度网络环境的情况下产生的;隔离产品的大量出现,也是经历了五代隔离技术不断的实践和理论相结合后得来的。
第一代隔离技术——完全的隔离。此方法使得网络处于信息孤岛状态,做到了完全的 物理隔离,需要至少两套网络和系统,更重要的是信息交流的不便和成本的提高,这样给维护和使用带来了极大的不便。
第二代隔离技术——硬件卡隔离。在 客户端增加一块硬件卡,客户端硬盘或其他存储设备首先连接到该卡,然后再转接到主板上,通过该卡能控制客户端硬盘或其他存储设备。而在选择不同的硬盘时,同时选择了该卡上不同的网络接口,连接到不同的网络。但是,这种隔离产品有的仍然需要网络布线为双网线结构,产品存在着较大的安全隐患。
第三代隔离技术—数据转播隔离。利用转播系统分时复制文件的途径来实现隔离,切换时间非常之久,甚至需要手工完成,不仅明显地减缓了访问速度,更不支持常见的网络应用,失去了网络存在的意义。
第四代隔离技术—空气开关隔离。它是通过使用单刀双掷开关,使得内外部网络分时访问临时缓存器来完成数据交换的,但在安全和性能上存在有许多问题。
第五代隔离技术—安全通道隔离。此技术通过专用通信硬件和专有安全协议等安全机制,来实现内外部网络的隔离和数据交换,不仅解决了以前隔离技术存在的问题,并有效地把内外部网络隔离开来,而且高效地实现了内外网数据的安全交换,透明支持多种网络应用,成为当前隔离技术的发展方向。
网络隔离技术原理与关键点
网络隔离技术的核心是物理隔离,并通过专用硬件和安全协议来确保两个链路层断开的网络能够实现数据信息在可信网络环境中进行交互、共享。一般情况下,网络隔离技术主要包括内网处理单元、外网处理单元和专用隔离交换单元三部分内容,其中,内网处理单元和外网处理单元都具备一个独立的网络接口和网络地址来分别对应连接内网和外网,而专用隔离交换单元则是通过硬件电路控制高速切换连接内网或外网。网络隔离技术的基本原理通过专用物理硬件和安全协议在内网和外网的之间架构起安全隔离网墙,使两个系统在空间上物理隔离,同时又能过滤数据交换过程中的病毒、恶意代码等信息,以保证数据信息在可信的网络环境中进行交换、共享,同时还要通过严格的身份认证机制来确保用户获取所需数据信息。 网络隔离技术的关键点是如何有效控制网络通信中的数据信息,即通过专用硬件和安全协议来完成内外网间的数据交换,以及利用访问控制、身份认证、加密签名等安全机制来实现交换数据的机密性、完整性、可用性、可控性,所以如何尽量提高不同网络间数据交换速度,以及能够透明支持交互数据的安全性将是未来网络隔离技术发展的趋势。
隔离技术需具备的安全要点
要具有高度的自身安全性 隔离产品要保证自身具有高度的安全性,至少在理论和实践上要比 防火墙高一个安全级别。从技术实现上,除了和防火墙一样对操作系统进行加固优化或采用 安全操作系统外,关键在于要把外网接口和内网接口从一套操作系统中分离出来。也就是说至少要由两套 主机系统组成,一套控制外网接口,另一套控制内网接口,然后在两套主机系统之间通过不可 路由的协议进行数据交换,如此,既便黑客攻破了外网系统,仍然无法控制内网系统,就达到了更高的安全级别。
要确保网络之间是隔离的 保证网间隔离的关键是网络包不可路由到对方网络,无论中间采用了什么转换方法,只要最终使得一方的网络包能够进入到对方的网络中,都无法称之为隔离,即达不到隔离的效果。显然,只是对网间的包进行转发,并且允许建立端到端连接的防火墙,是没有任何隔离效果的。此外,那些只是把网络包转换为 文本,交换到对方网络后,再把文本转换为网络包的产品也是没有做到隔离的。
要保证网间交换的只是应用数据 既然要达到网络隔离,就必须做到彻底防范基于 网络协议的攻击,即不能够让 网络层的攻击包到达要保护的网络中,所以就必须进行 协议分析,完成 应用层数据的提取,然后进行数据交换,这样就把诸如TearDrop、Land、Smurf和SYN Flood等 网络攻击包,彻底地阻挡在了 可信网络之外,从而明显地增强了可信网络的安全性。
要对网间的访问进行严格的控制和检查 作为一套适用于高安全度网络的安全设备,要确保每次数据交换都是可信的和可控制的,严格防止非法通道的出现,以确保信息数据的安全和访问的可审计性。所以必须施加以一定的技术,保证每一次数据交换过程都是可信的,并且内容是可控制的,可采用基于会话的认证技术和内容分析与控制引擎等技术来实现。
要在坚持隔离的前提下保证网络畅通和应用透明 隔离产品会部署在多种多样的复杂网络环境中,并且往往是数据交换的关键点,因此,产品要具有很高的处理性能,不能够成为 网络交换的瓶颈,要有很好的稳定性;不能够出现时断时续的情况,要有很强的适应性,能够透明接入网络,并且透明支持多种应用。
网络隔离的关键点
网络隔离的关键是在于系统对通信数据的控制,即通过不可 路由的协议来完成网间的数据交换。由于通信硬件设备工作在网络七层的最下层,并不能感知到交换数据的机密性、完整性、可用性、可控性、抗抵赖等安全要素,所以这要通过 访问控制、 身份认证、加密签名等安全机制来实现,而这些机制的实现都是通过软件来实现的。
因此,隔离的关键点就成了要尽量提高网间数据交换的速度,并且对应用能够透明支持,以适应复杂和高带宽需求的网间数据交换。而由于设计原理问题使得第三代和第四代隔离产品在这方面很难突破,既便有所改进也必须付出巨大的成本,和“适度安全”理念相悖。
主要的网络隔离技术方案综述
下是已有隔离技术主要由如下几种类型: (1)双机双网。双机双网隔离技术方案是指通过配置两台计算机来分别联接内网和外网环境,再利用移动存储设备来完成数据交互操作,然而这种技术方案会给后期系统维护带来诸多不便,同时还存在成本上升、占用资源等缺点,而且通常效率也无法达到用户的要求。 (2)双硬盘隔离。双硬盘隔离技术方案的基本思想是通过在原有客户机上添加一块硬盘和隔离卡来实现内网和外网的物理隔离,并通过选择启动内网硬盘或外网硬盘来连接内网或外网网络。由于这种隔离技术方案需要多添加一块硬盘,所以对那些配置要求高的网络而言,就造成了成本浪费,同时频繁的关闭、启动硬盘容易造成硬盘的损坏。 (3)单硬盘隔离。单硬盘隔离技术方案的实现原理是从物理层上将客户端的单个硬盘分割为公共和安全分区,并分别安装两套系统来实现内网和外网的隔离,这样就可具有较好的可扩展性,但是也存在数据是否安全界定困难、不能同时访问内外两个网络等缺陷。 (4)集线器级隔离。集线器级隔离技术方案的一个主要特征在客户端只需使用一条网络线就可以部署内网和外网,然后通过远端切换器来选择连接内外双网,避免了客户端要用两条网络线来连接内外网络。 (5)服务器端隔离。服务器端隔离技术方案的关键内容是在物理上没有数据连通的内外网络下,如何快速分时地处理和传递数据信息,该方案主要是通过采用复杂的软硬件技术手段来在服务器端实现数据信息过滤和传输任务,以达到隔离内外网的目的。
隔离技术的未来发展方向
第五代隔离技术的出现,是在对市场上网络隔离产品和高安全度网需求的详细分析情况下产生的,它不仅很好地解决了第三代和第四代很难解决的速度瓶颈问题,并且先进的安全理念和设计思路,明显地提升了产品的安全功能,是一种创新的隔离防护手段。
隔离原理 第五代隔离技术的实现原理是通过专用通信设备、专有安全协议和加密验证机制及 应用层数据提取和鉴别认证技术,进行不同安全级别网络之间的数据交换,彻底阻断了网络间的直接TCP/IP连接,同时对网间通信的双方、内容、过程施以严格的 身份认证、 内容过滤、 安全审计等多种安全防护机制,从而保证了网间数据交换的安全、可控,杜绝了由于操作系统和网络协议自身 漏洞带来的安全风险。
相关推荐
最新文章