美章网 资料文库 网络安全隔离模式探微范文

网络安全隔离模式探微范文

本站小编为你精心准备了网络安全隔离模式探微参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。

网络安全隔离模式探微

1网间不同层次的安全威胁

不同的隔离技术产生了不同的隔离产品。根据OSI参考模型分析,网间的安全威胁主要来自三个层次,也即三个方面。

(1)物理层:主要是线路侦听、电气攻击和线路破坏等。

(2)网络层:主要是拒绝服务攻击、地址欺骗和碎片攻击等。

(3)应用层:主要是恶意代码和垃圾邮件等。

在目前的隔离产品中,从技术角度来分的话,可分为基于物理方面的隔离和基于逻辑方面的隔离两大类。基于物理的隔离是指线路、存储、设备之间的隔离;而基于逻辑的隔离并非从物理电气方面进行隔离,是一种逻辑上的非物理隔离,主要是通过一些网络设备来实现隔离的。如果从应用角度来划分的话,则可以分为“桌面级”和“企业级”两大类。桌面级隔离一般是在用户端进行部署,主要是为用户配备两套独立硬盘或两套计算机以及两套网线;而企业级隔离的部署位置通常是在企业网管处,所采用的产品形式通常为隔离交换机、路由器、防火墙和网闸。它们所隔离的内容根据OSI协议的七层参考模型来说是依次走高,交换机隔离的是物理层的MAC地址,路由器隔离的是网络层的IP地址,防火墙隔离的是传输层的端口,而网闸隔离的是应用层的应用数据。

2物理隔离原理

物理隔离技术不是要取代现有的网络安全防范办法,也不是一劳永逸的,相反它是对杀毒软件、网络防火墙等现有防范体系办法的有效补充与强化,主要是用来保护网络最重要的核心部分。物理隔离与防火墙的基本理念是有本质区别的,物理隔离的理念是首先要确保安全,在此基础上来实现网络的联通传输;而防火墙的理念恰恰相反,它是要求尽可能实现网络的联通传输,在此基础上确保网络安全。物理隔离技术尽管方式不同,但是原理是相通的,下面对物理隔离的原理简述如下:

a.在没有通信要求的情况下,内、外网设备与线路和隔离设备是无连接的,当然并不是无任何物理连接,设备之间的连接还是正常的。

b.外网打算通过隔离设备向内网传递数据,这时候隔离设备在控制电路的控制下,建立与外网的连接。此时隔离设备处理所接收的外网数据,将经过处理的数据保存到隔离设备中。

c.外网数据存储到隔离设备后,控制电路对隔离设备进行控制,要求隔离设备与外网断开连接。同时控制设备与内网的设备建立数据连接,然后将设备中的数据发送到内网的存储设备中。内网对接收到原始数据进行处理,处理完毕后交给应用系统。

d.而后将交换信号传给控制台,控制台确定信息交换完成后,控制电路对隔离设备进行控制,要求隔离设备与内网断开连接,回到内、外网没有连接的状态。这样就完成了一个完整的外网向内网发送数据的过程。

e.同样的,如果内网打算通过隔离设备向外网传递数据,控制电路对隔离设备进行控制,要求隔离设备与内网建立数据连接。此时设备对所接收的内网数据进行处理,将经过处理的数据存储到设备中。

f.隔离设备将内网数据存储后,在控制电路的要求下,切断与内网的连接,建立与外网的连接,然后将隔离设备中的数据发送到外网的存储设备中。外网对接收到原始数据进行处理,处理完毕后交给应用系统。

g.控制台确定信息交换完成后,控制电路对隔离设备进行控制,要求隔离设备与外网断开连接,回到内、外网没有连接的状态。这样也就完成了一个完整的内网向外网发送数据的过程。通过物理隔离后,内、外网永远不会彼此连接,它们都是通过与隔离设备建立数据连接来实现数据传输的,其数据传输机制是存储和转发。物理隔离的好处是明显的,即使在外网遭到最严重破坏的情况下,内网也会安然无恙,修复外网系统也非常容易。

3实际应用情况

我局在充分比较各种隔离技术方案,详细分析网络状况基础上,结合我局现有实际情况,已经实现了内外网物理隔离。我局采用的是完全的物理隔离方式,即采用双主机双网络的模式。此种模式实现了彻底的物理隔离,从根本上保证了网络不受侵袭、侦听与攻击。应该说网络隔离是一种很好的安全技术,但也不是万无一失的,在提高技术防护的基础上,也要进一步加强制度建设和对人员的安全培训,真正实现技防、物防、人防的有效结合,从而全面提高网络安全。

作者:张达旭单位:辽宁省高级公路建设局