基于网络开关的网络隔离技术分析
时间:2022-05-13 01:14:27
本文对目前互联网通信上存在的一些安全隐患进行了说明;阐述了网络隔离技术的目标,并在此基础上对基于网络开关的网络隔离(即网闸设备)实现过程进行了分析与说明;最后对网络隔离技术的未来做了展望。
【关键词】网络隔离 文件传输 网闸设备
现如今,现代化办公基于高程度的信息化而有效开展。然而,互联网上各种黑客及病毒丛生,对个人乃至国家的信息安全构成严重威胁。然而,新时期网络攻击手段呈现多样化、新型化发展,对此网络安全要求更为严格。防火墙已经难以满足现如今网络安全的需要,安全性方面存在缺陷。在这样的背景之下,人们开始探索与研究新型的关于网络安全的技术手段,由此网络隔离技术应运而生。总体来讲,该项基础通过将有害攻击进行隔离防护,从而有效保证信息安全不外泄。相对于防火墙而言,其需要具备更高的安全级别,不论是从理论上来讲还是从实践上,具备两套及以上主机系统,既需要对计算机操作系统的加固优化,又需要将外网与内网接口进行有效分离。与此同时,主机系统之间可以基于不同的设定协议来进行数据传输与交换。
1 网络隔离技术要解决的问题
隔离是网络隔离技术构架的重点所在,能否实现有效地隔离则是问题的关键。以下图为例,从图中我们可以看出这套网络结构当中其外网存在较大的安全隐患,安全性较差,内网安全性则较高。一般情况下,内部主机与内网相连,外部主机与外网相连,其中内外网之间是断开的,二者之间存在着一个存储介质,这个固态存储介质即为隔离设备,其同时也是一个单纯的调度控制电路。如图1所示。
接下来,在具体的数据传输过程当中,如外网需要将数据传输给内网的时候,此时外网主机接受数据,随后发起对固态存储介质的非TCP/IP协议的数据连接,此时所有协议通过外部主机被剥离并将原始数据写入存储介质当中。当全部数据传输完毕并写入存储介质当中恢复上图状态。随后存储介质会将数据传输给内部主机,在其受到数据后进行TCP/IP封装并发给内网。
2 网络隔离的技术路线
网络开关、单向连接以及实时交换是现阶段网络隔离技术的三种较为常见的技术形式。具体来讲,首先就网络开关而言,其是三种当中最为简单也最容易被理解的一种。通过两套虚拟体系统和一个数据系统,在数据传输过程当中,可以将其先写入一个虚拟系统当中,随后将之交换到数据系统,完后再交换到虚拟系统(另一个)当中。这样的数据传输形式缺乏复杂的应用,所以其只适用于简单的文件交换过程。
再者,就单向连接来讲,其适用于数据的单向传输过程,具体通过物理断开的方式将两个网络进行连接。其可以实现对数据传输方向的控制,反方向数据通路不会存在,这样就可以对数据进行更为有效地保密。
最后,就实时交换来讲,作为一个网关处设备,在连接两个网络过程中主要通过物理断开的方式从而将网络间协议终止,实现应用层数据的交换。
3 基于网络开关的网闸设备数据交换原理
网络隔离的方法有很多,本文主要针对使用网络开关方式实施网络隔离的网闸设备技术原理进行详细分析。
如图2所示,外网是安全性不高的互联网,内网是安全性很高的内部网络。正常情况下,网闸设备的外部主机和外网相连,网闸设备的内部主机和内网相连,外网和内网是完全断开的。网闸设备是一个独立的固态存储介质和一个单纯的调度控制电路。
当外网需要有数据送达内网的时候,以电子邮件为例,外部主机先接收数据,并发起对固态存储介质的非TCP/IP协议的数据连接,外部主机将所有的协议剥离,将原始的数据写入固态存储介质。如图3所示。根据不同的应用,可能有必要对数据进行完整性和安全性检查,如防病毒和恶意代码等。
4 总结
网络隔离技术能够在保证可信网络内部信息不外泄的前提下,完成网间数据的安全交换。鉴于网络隔离技术的优点,对于安全性要求较高的用户来说,用网闸设备来连接不同安全级别网络,并实现数据的安全、可控交换将会成为一种趋势。未来如网闸产品进一步优化其性能和可管理性,并尝试与其它安全产品联动,将获得更广泛的应用。作为一个虚拟的空间,网络技术以其方便、快捷等优点为我们生活及生产带来便利创造条件的同时,在信息传输交换过程当中也存在着较大的安全隐患。对网络隔离技术的探索,有利于推动网络技术的进一步普及,对于保障信息安全和社会稳定具有重要作用。
参考文献
[1]W.Richard Stevens. TCP/IP Illustrated Volume 1:The Protocols[M].北京:机械工业出版社,2000.
[2]朱承,张骏,张世永. TCP/IP网络中的若干安全问题[J].计算机工程,1999,25(12).
[3]王浩.基于TCP/IP协议的网络安全分析[J].湖北电力,2002,26(6).
[4]万平国.网络隔离与网闸[M].北京:机械工业出版社,2004.
[5]苏智睿,李云雪,王晓斌.网络安全隔离与信息交换技术分析[J].信息安全与通信保密,2004.
[6]林晓霞,杨晓东.网络隔离技术原理与实现[J].网络安全技术与应用,2005.
作者单位
中央人民广播电台技术管理中心 北京市 100866
