?

網閘中隔離控制技術的幾個發展方向

網閘不同于防火墻，也不同于堡壘機，是因為網閘從物理上保證內外網的不互通，其中隔離控制部分是實現這個物理隔離的關鍵。這里重點分析目前流行的幾種技術：

1、擺渡交換技術

擺渡開關是網閘最常用的倒換方式。為了保持內外網的物理隔離，所以在與內網連接的時候，一定與外網斷開，但與外網連接的時候，一定與內網斷開。所謂斷開是只物理通訊的“高阻”狀態或物理的停電，沒有進行通訊的可能。 在內外網處理單元內都有自己的緩沖空間，用來存儲需要交換的數據文件，在隔離與交換控制單元也有一個用于數據交換區。當電子開關C點與A點連通，交換區與內網連通，此時與外網斷開，內網中需要交換的數據寫入數據交換區，同時讀出數據交換區中從外網來的數據，完成一次擺渡。但電子開關C點與B點連通，交換區與外網連通，此時與內網斷開，外網中需要交換的數據寫入數據交換區，同時讀出數據交換區中從內網來的數據，完成二次擺渡。 很 多廠家實現了多個網絡的數據交換的網閘，則把電子開關換成交換矩陣。數據的交換方式有些類似數據交換機的方式，但每個網絡處理單元只與數據緩沖區中的一個 連接。因為每個網絡單元同時只與一個數據交換區連接，每個數據交換區也同時只與一個網絡單元連接，所以各個網絡沒有個一個時刻是相互連通。網絡處理單元從 緩沖區讀數據時，只從自己的對應緩沖區讀取，寫數據時寫入目標網絡對應的緩沖區。

2、緩沖區通訊技術的選擇

內 部通道與網閘外部接口選擇不同通訊技術，可以既形象又完全地中斷應用連接，對阻斷***是較好的選擇。網閘內部有三個數據區域、兩種內部通道，合理地選擇通 訊技術，可以大大減少被***的可能性。網閘廠家一般不公開自己的實現方式，私密性有助于網閘的安全性。但大多數是在內部通道2上做文章 這里總結了幾種實現的方式： ??????????基于常用通訊總線的方式 內外接口采用工控主機方式，主機把要交換的數據通過PCI總線寫入PCI插卡，在PCI插卡有數據緩沖區域，電子開關是CPLD實現的控制電路，控制內部通道1與2的開閉。內部通道2可以選擇不同是通訊總線連接，比如PCI、USB、串口通訊等，也可以選擇網絡方式，在圖中表示為數據傳輸專用協議。圖中顯示的是二區模型示例。

緩沖區

數據緩沖存儲可以選擇雙端口的靜態存儲器（Dual Port SRAM），這樣只要在存儲器的兩個端口上控制就可以了，但兩個開關不能同時閉合。 ??????????基于存儲總線方式 存儲方式的把交換區看成本地可讀寫的硬盤，主機單元通過擴展卡把SCSI存儲擴展，在加上控制信號組成專用的擴展總線連接到隔離交換控制主機上。利用電子開關控制內外網的主機單元分別讀寫數據交換區域的存儲空間。 在數據交換區定義好內網或外網讀寫的固定區域：內網寫/外網讀區域、內網讀/外網寫區域。對交換區的讀寫采取塊方式，不能采用文件方式，數據的校驗、文件的還原都在主機單元中進行。 該方式的困難在于主機掛接盤需要識別，若倒換頻繁對系統影響很大，所以在擴展卡上通過總線的控制信號對主機系統進行屏蔽，讓主機始終認為磁盤在線，但讀寫的控制聽從隔離交換控制主機的調度。 ????這里采用的是SCSI存儲方式，也可以采用IDE方式，從設計的方便上還可以選擇串行的存儲方式，如SATA，SAS方式。也可以采用USB盤方式，USB的總線控制要簡單的多，目前USB的空間足夠大，但速度上還有差距。

3、單向通道技術

單 向通道技術是近年興起的新技術，單向是相對于通訊的雙向而言的。網閘中無論采用那種開關技術，實際就是物理鏈路的倒換，在內外網之間提供一個安全的、功能 視同隔離的交換區，象碼頭的擺渡一樣，把我們認為是真實的數據擺渡過去。但是通訊協議的設計是分層次的，我們要交換的純數據本身在網閘的種種技術手段中還 是要穿越網閘，那么某種***的行為就可能掩藏于“純數據”之中，通過網閘后再還原成***程序。即使定義了安全原則的網閘只提供文件交換的功能，也還是要為 兩端的客戶提供一定的服務接口，否則用戶沒有辦法把數據交給你，若拋開所有的安全檢測技術不談，服務就有可能成為***行為的承載列車。就象我們擺渡客戶的 包裹，但包裹里面藏有客戶也不知道(也可能主觀隱藏的)的病毒，被同樣擺渡到對岸。 先來分析一下***的過程： ??????????***者偽裝***信息 ??????????偽裝信息搭載正常數據通過網閘 ??????????***信息還原成自己，收集信息，并同樣手段向***者報告 ??????????***根據已經取得的權限，進行下一步動作 從過程中我們可以看出，***是一個雙向互動的過程，也就是說，通訊是雙向的。***者要通過進入內網的代理者實行他的計劃。 既然通訊的雙向性提供了***者的通道，單向通道技術就誕生了。所謂單向，就是把通訊的收、發兩個鏈路完全分開，在一個通道中不能完成通訊的反饋，***行為就成了半開的連接，不能發揮效果。發送方只管發送數據，數據方只管接收數據。 或者針對安全級別較高的網絡，只允許信息單向地流入，而沒有流出的通道，保證該網絡的安全性。 數 據是在通訊中交換，若只有單方向，對數據的完整性是有很大影響的。比如，數據在傳輸過程中損壞，接收方沒有通知發送方重傳的可能，只有丟棄。對于發送方來 說，只管把數據發出，對方是否收到，數據是否可用都不知道。但通道技術在對數據完整性有一定損害的基礎上保證了安全性。 作為將單向通道技術進行改進，擴展了硬件的控制信號線，加上簡單的控制信號，實現數據的差錯重發，但沒有增加回向數據通道，所以也保證數據的單向通道方式。 從 模型中可以看出：***者是無法越過單向通道網閘進行***。若***者控制了發送方的主機單元，把***信息發送過去，但由于是單向通道網閘，被控制的主機單元 得不到返回的信息，不了解內部情況，所以無法實施下一步***計劃。若***者控制了接收的主機單元，由于單向通道，他無法把***工具送到另一方，當然也就無 法發起***了。 單向通道技術沒有差錯重傳機制，在單向通道技術的網閘上無法實現業務數據交換代理的，所以要實現業務數據的自動交換，可以在網絡中使用兩個相互反向的單通道網閘，分別提供兩個數據通道，實現兩個方向的數據交換。

4、小結

從總線技術來講，存儲總線把交換區看成存儲硬盤，是模擬人工擺渡的最合理技術，應用協議的阻斷是最“徹底的”，從安全性來講，單通道技術是網絡安全保證性比較高的，但對業務的自動交換支持也是最差的。 要隔離，也要交換，這本身就是一對矛盾的需求，最佳的方式就是根據客戶兩個網絡的具體安全需求，選擇合適的網閘實現數據的交換。我們建議采用下面的方式： ??????????對于網絡的保密性要求高的，采用單通道技術的網閘，保證高密級網絡的信息絕對不外流。 ??????????對于從業務安全考慮的網絡分離，建議采用存儲總線方式網閘，數據可以交換，業務連接徹底中斷。 ??????????對于防止外部***的網絡分離，建議采用業務代理數據交換的通訊總線或存儲總線網閘，針對業務進行代理數據交換，提高數據交換的能力的同時，阻斷***的載體。

轉載于:https://blog.51cto.com/yuxin/584387

總結

以上是生活随笔為你收集整理的网闸中的核心技术的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。