《通信網(wǎng)絡(luò)安全與防護(hù)》課件5-1

第五章網(wǎng)絡(luò)防護(hù)技術(shù)5.1防火墻5.2入侵檢測(cè)系統(tǒng)5.3安全隔離技術(shù)5.4蜜罐與蜜網(wǎng)目錄安全的威脅

√

黑客入侵√

內(nèi)部攻擊√

病毒危害√信息泄露√

數(shù)據(jù)篡改引入防火墻的引入InternetHTTP/FTP/SMTPServerFileServerDataBaseProxyServerUserClient邊界點(diǎn)安全威脅防火墻一、防火墻概述5.1防火墻防火墻的概念：

在信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)之間，通過(guò)預(yù)定義的安全策略，對(duì)內(nèi)外網(wǎng)通信強(qiáng)制實(shí)施訪問(wèn)控制的安全應(yīng)用設(shè)備。導(dǎo)入防火墻的技術(shù)原理：

將不信任網(wǎng)絡(luò)對(duì)信任網(wǎng)絡(luò)的安全威脅強(qiáng)制到單一安全控制點(diǎn)。防火墻的原則：

一切未被允許的就是禁止的！一、防火墻概述5.1防火墻防火墻能做什么保障授權(quán)合法用戶的通信與訪問(wèn)禁止未經(jīng)授權(quán)的非法通信與訪問(wèn)記錄經(jīng)過(guò)防火墻的通信活動(dòng)防火墻不能做什么不能主動(dòng)防范新的安全威脅不能防范來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊不能控制不經(jīng)防火墻的通信與訪問(wèn)一、防火墻概述5.1防火墻防火墻軟件的發(fā)展包過(guò)濾防火墻狀態(tài)檢測(cè)包過(guò)濾防火墻應(yīng)用網(wǎng)關(guān)(應(yīng)用代理)防火墻二、防火墻的常用技術(shù)5.1防火墻基本的概念應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層防火墻檢測(cè)技術(shù)對(duì)特定應(yīng)用進(jìn)行更細(xì)粒度檢測(cè)容易暴露底層OS對(duì)更多應(yīng)用進(jìn)行粗粒度檢測(cè)效率更高二、防火墻的常用技術(shù)5.1防火墻防火墻：包過(guò)濾技術(shù)應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層客戶端防火墻服務(wù)器包過(guò)濾引擎二、防火墻的常用技術(shù)5.1防火墻防火墻：包過(guò)濾技術(shù)檢查項(xiàng)IP

包的源地址IP包的目的地址TCP/UDP端口IP包檢測(cè)包頭檢查路由安全策略：過(guò)濾規(guī)則路由表包過(guò)濾防火墻轉(zhuǎn)發(fā)符合不符合丟棄二、防火墻的常用技術(shù)5.1防火墻訪問(wèn)要求：

1）網(wǎng)絡(luò)/16不愿其他Internet主機(jī)訪問(wèn)其站點(diǎn)；

2）但它的一個(gè)子網(wǎng)/24和某大學(xué)/16有合作項(xiàng)目，因此允許該大學(xué)訪問(wèn)該子網(wǎng)；

3）然而/24是黑客天堂，需要禁止。防火墻規(guī)則制訂實(shí)例二、防火墻的常用技術(shù)5.1防火墻注意這些規(guī)則之間并不是互斥的，因此要考慮順序。123規(guī)則順序安排原則：先特殊，后普遍內(nèi)網(wǎng)大學(xué)進(jìn)來(lái)出去內(nèi)網(wǎng)黑客天堂進(jìn)來(lái)出去二、防火墻的常用技術(shù)5.1防火墻基于協(xié)議、端口的規(guī)則制定

HTTP是一個(gè)基于TCP的服務(wù)，一般使用端口80，也可使用其他非標(biāo)準(zhǔn)端口，客戶機(jī)使用任何大于1023的端口。如果防火墻允許WWW穿越網(wǎng)絡(luò)邊界，則可定義如下規(guī)則。

規(guī)則1、規(guī)則2允許外部主機(jī)訪問(wèn)本站點(diǎn)的WWW服務(wù)器，規(guī)則3、規(guī)則4允許內(nèi)部主機(jī)訪問(wèn)外部的WWW服務(wù)器。二、防火墻的常用技術(shù)5.1防火墻包過(guò)濾防火墻特點(diǎn)：對(duì)應(yīng)用完全透明；數(shù)據(jù)吞吐率高；實(shí)現(xiàn)容易（便宜），多用于接入路由器；隨著安全規(guī)則的增加，配置、維護(hù)規(guī)則比較困難；處于較低層，對(duì)會(huì)話內(nèi)容無(wú)法監(jiān)控，安全性能較低；二、防火墻的常用技術(shù)5.1防火墻防火墻：應(yīng)用網(wǎng)關(guān)應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層客戶端防火墻（代理網(wǎng)關(guān)）服務(wù)器二、防火墻的常用技術(shù)5.1防火墻某學(xué)校內(nèi)網(wǎng)代理服務(wù)器Internet步驟（1）（1）主機(jī)A發(fā)出訪問(wèn)Web站點(diǎn)的請(qǐng)求；步驟（2）（2）請(qǐng)求到達(dá)代理服務(wù)器，代理服務(wù)器檢查防火墻規(guī)則集，檢查數(shù)據(jù)包報(bào)頭信息和數(shù)據(jù)；主機(jī)AIP地址：8代理服務(wù)器IP地址：

IP地址：二、防火墻的常用技術(shù)5.1防火墻步驟（3）步驟（4）代理服務(wù)器Internet步驟（1）步驟（2）（3）如果不允許該請(qǐng)求發(fā)出，代理服務(wù)器拒絕請(qǐng)求，發(fā)送ICMP消息給源主機(jī)；（4）如果允許該請(qǐng)求發(fā)出，代理服務(wù)器修改源IP地址，創(chuàng)建數(shù)據(jù)包；主機(jī)AIP地址：8數(shù)據(jù)包源IP地址由8改成代理服務(wù)器IP地址：二、防火墻的常用技術(shù)5.1防火墻步驟（3）步驟（4）步驟（5）代理服務(wù)器Internet步驟（1）（5）代理服務(wù)器將數(shù)據(jù)包發(fā)給目的計(jì)算機(jī)，數(shù)據(jù)包顯示源IP地址來(lái)自代理服務(wù)器；步驟（2）（6）返回的數(shù)據(jù)包又被發(fā)送到代理服務(wù)器。服務(wù)器再次根據(jù)防火墻規(guī)則集檢查數(shù)據(jù)包報(bào)頭信息和數(shù)據(jù)；步驟（6）代理服務(wù)器IP地址：二、防火墻的常用技術(shù)5.1防火墻步驟（3）步驟（4）步驟（5）步驟（8）步驟（6）步驟（7）代理服務(wù)器Internet步驟（1）步驟（2）（7）如果不允許該數(shù)據(jù)包進(jìn)入內(nèi)部網(wǎng)，代理服務(wù)器丟棄該數(shù)據(jù)包，發(fā)送ICMP消息；（8）如果允許該數(shù)據(jù)包進(jìn)入內(nèi)部網(wǎng)，代理服務(wù)器將它發(fā)給最先發(fā)出請(qǐng)求的計(jì)算機(jī)；代理服務(wù)器IP地址：二、防火墻的常用技術(shù)5.1防火墻步驟（3）步驟（9）步驟（4）步驟（5）步驟（8）步驟（6）步驟（7）代理服務(wù)器Internet步驟（1）步驟（2）（9）數(shù)據(jù)包到達(dá)最先發(fā)出請(qǐng)求的計(jì)算機(jī)，此時(shí)數(shù)據(jù)包顯示來(lái)自外部主機(jī)而不是代理服務(wù)器。代理服務(wù)器IP地址：二、防火墻的常用技術(shù)5.1防火墻防火墻：應(yīng)用網(wǎng)關(guān)缺點(diǎn):必須對(duì)每個(gè)應(yīng)用程序創(chuàng)建過(guò)濾規(guī)則客戶端配置新的應(yīng)用和病毒速度慢二、防火墻的常用技術(shù)5.1防火墻防火墻：狀態(tài)檢測(cè)包過(guò)濾技術(shù)應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層客戶端防火墻服務(wù)器狀態(tài)檢測(cè)引擎會(huì)話連接狀態(tài)、上下文信息監(jiān)控二、防火墻的常用技術(shù)5.1防火墻防火墻：狀態(tài)檢測(cè)包過(guò)濾技術(shù)檢查項(xiàng)IP

包的源、目的地址、端口TCP會(huì)話的連接狀態(tài)上下文信息二、防火墻的常用技術(shù)5.1防火墻IP包檢測(cè)包頭下一步處理安全策略：過(guò)濾規(guī)則會(huì)話連接狀態(tài)緩存表狀態(tài)檢測(cè)包過(guò)濾防火墻符合不符合丟棄狀態(tài)檢測(cè)包過(guò)濾檢測(cè)流程符合二、防火墻的常用技術(shù)5.1防火墻狀態(tài)檢測(cè)包過(guò)濾防火墻特點(diǎn)對(duì)以上各層的通信進(jìn)行主動(dòng)、實(shí)時(shí)的監(jiān)控重組會(huì)話，對(duì)應(yīng)用進(jìn)行細(xì)粒度檢測(cè)數(shù)據(jù)吞吐率較高二、防火墻的常用技術(shù)5.1防火墻安全區(qū)劃分防火墻WebServerFTP/SMTPServer安全區(qū)1（內(nèi)網(wǎng)）安全區(qū)2（外網(wǎng)）安全區(qū)3（DMZ、SSN）三、防火墻的功能與性能分析5.1防火墻透明接入網(wǎng)絡(luò)A網(wǎng)絡(luò)B192.168.0.X/24192.168.0.X/24透明模式下，這里不用配置IP地址透明模式下，這里不用配置IP地址透明模式下，網(wǎng)絡(luò)A和網(wǎng)絡(luò)B不用做任何調(diào)整三、防火墻的功能與性能分析5.1防火墻路由、NAT接入網(wǎng)絡(luò)A192.168.0.X/24/24202.16.1.x/26202.16.1.y/26路由模式下，防火墻的內(nèi)外網(wǎng)接口必須配置不同的IP地址INTERNET三、防火墻的功能與性能分析5.1防火墻混合接入防火墻DMZ區(qū)內(nèi)網(wǎng)1內(nèi)網(wǎng)2網(wǎng)橋NATINTERNET三、防火墻的功能與性能分析5.1防火墻基于源IP地址基于目的IP地址基于源端口基于目的端口基于時(shí)間基于用戶基于流量基于文件基于網(wǎng)址基于MAC地址WebServerFTP/SMTPServer

源目的根據(jù)預(yù)定義的規(guī)則列表，進(jìn)行訪問(wèn)控制基本的訪問(wèn)控制三、防火墻的功能與性能分析5.1防火墻NAT隱藏內(nèi)部網(wǎng)絡(luò)的IP

地址及內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)節(jié)約有效的IP

地址空間2

發(fā)出請(qǐng)求應(yīng)答發(fā)給2

發(fā)出請(qǐng)求

發(fā)出請(qǐng)求應(yīng)答發(fā)給應(yīng)答發(fā)給NAT2?三、防火墻的功能與性能分析5.1防火墻服務(wù)器負(fù)載均衡INTERNETWeb服務(wù)器3Web服務(wù)器1Web服務(wù)器2三、防火墻的功能與性能分析5.1防火墻策略路由INTERNETCERNET網(wǎng)絡(luò)1/24網(wǎng)絡(luò)2/24網(wǎng)絡(luò)1-----INTERNET網(wǎng)絡(luò)2------CERNET三、防火墻的功能與性能分析5.1防火墻認(rèn)證技術(shù)

認(rèn)證是所有防火墻的基礎(chǔ)。認(rèn)證技術(shù)：

操作系統(tǒng)口令：Username/Password;S/Key；

RADIUS；第三方的插件；認(rèn)證模式：

用戶認(rèn)證客戶認(rèn)證會(huì)話認(rèn)證三、防火墻的功能與性能分析5.1防火墻防火墻：S/Key認(rèn)證技術(shù)S/Key是一次性口令挑戰(zhàn)認(rèn)證技術(shù)登陸：用戶名挑戰(zhàn)號(hào)計(jì)算口令1計(jì)算口令2口令1結(jié)果一致，認(rèn)證成功結(jié)果不一致，認(rèn)證失敗比較口令1、口令2是否一致？三、防火墻的功能與性能分析5.1防火墻代理服務(wù)：應(yīng)用代理是防火墻中一個(gè)重要的功能，啟用代理可以針對(duì)特定應(yīng)用進(jìn)行更細(xì)粒度的控制，包括內(nèi)容過(guò)濾等?？蛻舳朔?wù)器2：防火墻對(duì)客戶端的訪問(wèn)進(jìn)行控制1：客戶端訪問(wèn)服務(wù)器需先訪問(wèn)防火墻3：防火墻代替客戶端向服務(wù)器發(fā)送請(qǐng)求FTPHTTPSMTP三、防火墻的功能與性能分析5.1防火墻防火墻：高可用性技術(shù)

高可用性（HighAvailability）技術(shù)是為解決防火墻單點(diǎn)故障點(diǎn)，提供無(wú)縫的故障恢復(fù)，保障企業(yè)網(wǎng)絡(luò)的關(guān)鍵應(yīng)用。如：雙機(jī)熱備、集群（Cluster）技術(shù)等。Internet內(nèi)部網(wǎng)絡(luò)HABeatRouterSwitchSwitch三、防火墻的功能與性能分析5.1防火墻并發(fā)連接數(shù)定義：指穿越防火墻的主機(jī)之間或主機(jī)與防火墻之間能同時(shí)建立的最大連接數(shù)衡量標(biāo)準(zhǔn)：并發(fā)連接數(shù)的測(cè)試主要用來(lái)測(cè)試被測(cè)防火墻建立和維持TCP連接的性能，同時(shí)也能通過(guò)并發(fā)連接數(shù)的大小體現(xiàn)被測(cè)防火墻對(duì)來(lái)自于客戶端的TCP連接請(qǐng)求的響應(yīng)能力。CLIENTSERVER并發(fā)連接數(shù)可以用來(lái)衡量穿越防火墻的主機(jī)之間能同時(shí)建立的最大連接數(shù)三、防火墻的功能與性能分析5.1防火墻吞吐量定義：在不丟包的情況下能夠達(dá)到的最大速率衡量標(biāo)準(zhǔn)：吞吐量作為衡量防火墻性能的重要指標(biāo)之一，吞吐量小就會(huì)造成網(wǎng)絡(luò)的瓶頸，進(jìn)而影響網(wǎng)絡(luò)的性能。Smartbits6000B測(cè)試儀11010010100101010110！◎?！ィぃぃ＃ā痢宰畲笏俾拾l(fā)包直到出現(xiàn)丟包時(shí)的最大值100M60M防火墻吞吐率小就會(huì)造成網(wǎng)絡(luò)的瓶頸三、防火墻的功能與性能分析5.1防火墻時(shí)延定義：入口處輸入幀最后一個(gè)比特到達(dá)至出口處輸出幀的第一個(gè)比特輸出所用的時(shí)間間隔。衡量標(biāo)準(zhǔn)：防火墻的時(shí)延能夠體現(xiàn)它處理數(shù)據(jù)的速度Smartbits6000B測(cè)試儀11010010100101010110最后一個(gè)比特到達(dá)11010010100101010110第一個(gè)比特輸出時(shí)間間隔數(shù)據(jù)包排隊(duì)經(jīng)防火墻檢查后轉(zhuǎn)發(fā)，造成數(shù)據(jù)包延遲到達(dá)目的地。1101001010010101011011010010100101010110三、防火墻的功能與性能分析5.1防火墻背靠背定義：從空閑狀態(tài)開(kāi)始，以達(dá)到傳輸介質(zhì)最小合法間隔極限的傳輸速率發(fā)送相當(dāng)數(shù)量的固定長(zhǎng)度的幀，當(dāng)出現(xiàn)第一個(gè)幀丟失時(shí)，發(fā)送的幀數(shù)。衡量標(biāo)準(zhǔn)：背靠背的測(cè)試結(jié)果能體現(xiàn)出防火墻的緩沖容量，網(wǎng)絡(luò)上經(jīng)常有一些應(yīng)用會(huì)產(chǎn)生大量的突發(fā)數(shù)據(jù)包（如NFS、備份、路由更新等），而且這樣的數(shù)據(jù)包的丟失可能會(huì)產(chǎn)生更多的數(shù)據(jù)包，強(qiáng)大的緩沖能力可以減少這種突發(fā)對(duì)網(wǎng)絡(luò)造成的影響。Smartbits6000B測(cè)試儀少量包沒(méi)有數(shù)據(jù)包增多峰值包減少包數(shù)量（N)時(shí)間（T）背靠背指標(biāo)體現(xiàn)防火墻對(duì)突發(fā)數(shù)據(jù)的處理能力三、防火墻的功能與性能分析5.1防火墻丟包率Smartbits6000B測(cè)試儀11010010100101010110發(fā)送了100個(gè)包1101001010010101丟包率＝（100－80）/100＝20％定義：在連線負(fù)載的情況下，防火墻設(shè)備由于資源不足應(yīng)轉(zhuǎn)發(fā)但卻沒(méi)轉(zhuǎn)發(fā)的幀百分比。衡量標(biāo)準(zhǔn)：防火墻的丟包率對(duì)其穩(wěn)定性、可靠性有很大影響。轉(zhuǎn)發(fā)了80個(gè)包三、防火墻的功能與性能分析5.1防火墻知識(shí)點(diǎn)回顧：接入方式：透明、路由、混合實(shí)現(xiàn)技術(shù)：安全區(qū)劃分、NAT、策略路由、認(rèn)證技術(shù)、代理技術(shù)、高可用技術(shù)性能指標(biāo)：并發(fā)連接數(shù)、吞吐量、時(shí)延、背靠背、丟包率三、防火墻的功能與性能分析5.1防火墻如何在不同安全等級(jí)的網(wǎng)絡(luò)間進(jìn)行信息交換人工拷盤(pán)：由指定人員將需要轉(zhuǎn)移的數(shù)據(jù)拷貝到軟盤(pán)等移動(dòng)存儲(chǔ)介質(zhì)上，經(jīng)過(guò)查病毒、內(nèi)容檢查等安全處理后，再?gòu)?fù)制到目標(biāo)網(wǎng)絡(luò)中。5.3網(wǎng)絡(luò)隔離技術(shù)一、安全隔離的概念A(yù)網(wǎng)B網(wǎng)存儲(chǔ)介質(zhì)數(shù)據(jù)的交換通過(guò)人工來(lái)實(shí)現(xiàn)，工作效率低；安全性完全依賴(lài)于人的因素，可靠性無(wú)法保證；隨著電子政務(wù)的開(kāi)展，內(nèi)外網(wǎng)交換數(shù)據(jù)的數(shù)量和頻率呈幾何量級(jí)上升，這種解決方案已經(jīng)越來(lái)越無(wú)法滿足用戶的需要。5.3網(wǎng)絡(luò)隔離技術(shù)一、安全隔離的概念人工拷盤(pán)的缺點(diǎn)：上世紀(jì)90年代中期俄羅斯人RyJones首先提出“AirGap”隔離概念；以色列首先研制成功物理隔離卡，實(shí)現(xiàn)網(wǎng)絡(luò)之間的安全隔離；美國(guó)WhaleCommunications公司和以色列SpearHead公司先后推出了e-Gap和NetGap產(chǎn)品，利用專(zhuān)有硬件實(shí)現(xiàn)兩個(gè)網(wǎng)絡(luò)在不連通的情況下數(shù)據(jù)的安全交換和資源共享；安全隔離技術(shù)從單純實(shí)現(xiàn)“網(wǎng)絡(luò)隔離禁止交換”的安全隔離發(fā)展到“安全隔離和可靠交換”的安全隔離。美國(guó)軍方、重要政府部門(mén)均采用隔離技術(shù)保障信息安全。5.3網(wǎng)絡(luò)隔離技術(shù)一、安全隔離的概念網(wǎng)絡(luò)隔離（NetworkIsolation），主要是指把兩個(gè)或兩個(gè)以上可路由的網(wǎng)絡(luò)（如TCP/IP）通過(guò)不可路由的協(xié)議進(jìn)行數(shù)據(jù)交換而達(dá)到隔離目的。由于其原理主要是采用了不同的協(xié)議，所以通常也叫協(xié)議隔離（ProtocolIsolation）。5.3網(wǎng)絡(luò)隔離技術(shù)一、安全隔離的概念數(shù)據(jù)交換技術(shù)安全性適合場(chǎng)合人工方式安全性最好，物理隔離適合臨時(shí)的小數(shù)量的數(shù)據(jù)交換數(shù)據(jù)交換網(wǎng)物理上連接，采用完整安全保障體系的深層次防護(hù)(防護(hù)、監(jiān)控、審計(jì))，安全程度依賴(lài)當(dāng)前安全技術(shù)適合提供大數(shù)據(jù)服務(wù)或時(shí)時(shí)的網(wǎng)絡(luò)服務(wù)，支持多業(yè)務(wù)平臺(tái)建設(shè)網(wǎng)閘物理上不同時(shí)連接，對(duì)攻擊防護(hù)好，但協(xié)議的代理對(duì)病毒防護(hù)依賴(lài)當(dāng)前技術(shù)適合定期的批量數(shù)據(jù)交換，但不適合多應(yīng)用的穿透安全網(wǎng)關(guān)從網(wǎng)絡(luò)層到應(yīng)用層的防護(hù)不適合涉密網(wǎng)絡(luò)與非涉密網(wǎng)絡(luò)數(shù)據(jù)交換。適合辦公網(wǎng)絡(luò)與互聯(lián)網(wǎng)的隔離，也適合涉密網(wǎng)絡(luò)之間的隔離5.3網(wǎng)絡(luò)隔離技術(shù)一、安全隔離的概念常見(jiàn)的網(wǎng)絡(luò)安全隔離方式

安全隔離的工作原理是模擬人工在兩個(gè)隔離網(wǎng)絡(luò)之間的信息交換。其本質(zhì)在于：阻斷兩側(cè)網(wǎng)絡(luò)間直接協(xié)議連接，使之不能直接進(jìn)行網(wǎng)絡(luò)協(xié)議通訊，對(duì)傳遞的數(shù)據(jù)內(nèi)容進(jìn)行檢測(cè)，即實(shí)現(xiàn)“協(xié)議落地、內(nèi)容檢測(cè)”。5.3網(wǎng)絡(luò)隔離技術(shù)二、安全隔離的原理5.3網(wǎng)絡(luò)隔離技術(shù)二、安全隔離的原理1.安全隔離理論模型安全隔離的安全思路來(lái)自于“不同時(shí)連接”5.3網(wǎng)絡(luò)隔離技術(shù)安全隔離的設(shè)計(jì)是“代理+擺渡”。代理不只是協(xié)議代理，而是數(shù)據(jù)的“拆卸”，把數(shù)據(jù)還原成原始的部分，拆除各種通訊協(xié)議添加的包頭和包尾，通訊協(xié)議落地，用專(zhuān)用協(xié)議、單向通道技術(shù)、存儲(chǔ)等方式阻斷業(yè)務(wù)的連接，用代理方式支持上層業(yè)務(wù)。二、安全隔離的原理1.安全隔離理論模型5.3網(wǎng)絡(luò)隔離技術(shù)二、安全隔離的原理2.網(wǎng)閘的工作原理網(wǎng)閘是在兩個(gè)不同安全域之間，通過(guò)協(xié)議轉(zhuǎn)換的手段，以信息擺渡的方式實(shí)現(xiàn)數(shù)據(jù)交換，且只有被系統(tǒng)明確要求傳輸?shù)男畔⒉趴梢酝ㄟ^(guò)。其信息流一般為通用應(yīng)用服務(wù)。在信息擺渡的過(guò)程中內(nèi)外網(wǎng)（上下游）從不發(fā)生物理連接。5.3網(wǎng)絡(luò)隔離技術(shù)二、安全隔離的原理2.網(wǎng)閘的工作原理網(wǎng)閘內(nèi)部采用“2+1”模塊結(jié)構(gòu)設(shè)計(jì)，即包括外網(wǎng)主機(jī)模塊、內(nèi)網(wǎng)主機(jī)模塊和隔離交換模塊。內(nèi)、外網(wǎng)主機(jī)模塊具有獨(dú)立運(yùn)算單元和存儲(chǔ)單元，分別連接可信及不可信網(wǎng)絡(luò)，對(duì)訪問(wèn)請(qǐng)求進(jìn)行預(yù)處理，以實(shí)現(xiàn)安全應(yīng)用數(shù)據(jù)的剝離。隔離交換模塊采用專(zhuān)用的雙通道隔離交換卡實(shí)現(xiàn)，通過(guò)內(nèi)嵌的安全芯片完成內(nèi)外網(wǎng)主機(jī)模塊間安全的數(shù)據(jù)交換。網(wǎng)閘進(jìn)行數(shù)據(jù)交換的過(guò)程：1）切斷網(wǎng)絡(luò)之間的通用協(xié)議連接，當(dāng)外網(wǎng)需要有數(shù)據(jù)到達(dá)內(nèi)網(wǎng)的時(shí)候，外部處理單元發(fā)起對(duì)隔離設(shè)備的非TCP/IP協(xié)議的數(shù)據(jù)連接；2）隔離設(shè)備將所有的協(xié)議剝離，將數(shù)據(jù)包進(jìn)行分解或重組為靜態(tài)數(shù)據(jù)，寫(xiě)入存儲(chǔ)介質(zhì)。3）一旦數(shù)據(jù)完全寫(xiě)入隔離設(shè)備的存儲(chǔ)介質(zhì)，隔離設(shè)備立即中斷與外部處理單元的連接，對(duì)靜態(tài)數(shù)據(jù)進(jìn)行安全審查，包括網(wǎng)絡(luò)協(xié)議檢查和代碼掃描等；4）數(shù)據(jù)確認(rèn)安全后，隔離設(shè)備發(fā)起對(duì)內(nèi)部處理單元的非TCP/IP協(xié)議的數(shù)據(jù)連接，將存儲(chǔ)介質(zhì)內(nèi)的數(shù)據(jù)推向內(nèi)部處理單元。5）內(nèi)部處理單元收到數(shù)據(jù)后，立即進(jìn)行TCP/IP的封裝和應(yīng)用協(xié)議的封裝，并交給應(yīng)用系統(tǒng)。內(nèi)部用戶通過(guò)嚴(yán)格的身份認(rèn)證機(jī)制獲取所需數(shù)據(jù)。5.3網(wǎng)絡(luò)隔離技術(shù)二、安全隔離的原理2.網(wǎng)閘的工作原理5.3網(wǎng)絡(luò)隔離技術(shù)二、安全隔離的原理2.網(wǎng)閘的工作原理安全隔離網(wǎng)閘最初只支持文件交換功能（工作原理是模擬人工拷盤(pán)），目前已經(jīng)發(fā)展到具有數(shù)據(jù)庫(kù)同步、數(shù)據(jù)庫(kù)訪問(wèn)、郵件訪問(wèn)、安全Web訪問(wèn)、FTP訪問(wèn)等多種功能，能對(duì)HTTP、FTP、SMTP、POP3等通用協(xié)議進(jìn)行內(nèi)容檢查。安全隔離網(wǎng)閘存在無(wú)法對(duì)私有協(xié)議進(jìn)行數(shù)據(jù)內(nèi)容檢查的問(wèn)題，這是由于不少用戶應(yīng)用系統(tǒng)采用的都是自定義格式的私有協(xié)議，其數(shù)據(jù)格式、數(shù)據(jù)內(nèi)容等都沒(méi)有公開(kāi)，導(dǎo)致安全隔離網(wǎng)閘廠商無(wú)法定義出相應(yīng)的數(shù)據(jù)內(nèi)容檢查規(guī)則，也就無(wú)法實(shí)現(xiàn)高安全的隔離交換控制。文件同步：完成內(nèi)外網(wǎng)服務(wù)器（用戶）之間的文件交換（同步）5.3網(wǎng)絡(luò)隔離技術(shù)二、安全隔離的原理2.網(wǎng)閘的工作原理NFSSAMBAFTPNFSSAMBAFTP文件同步模塊文件同步模塊內(nèi)容病毒格式內(nèi)容病毒格式文件同步：完成內(nèi)外網(wǎng)服務(wù)器（用戶）之間的文件交換（同步）5.3網(wǎng)絡(luò)隔離技術(shù)二、安全隔離的原理2.網(wǎng)閘的工作原理數(shù)據(jù)庫(kù)同步5.3網(wǎng)絡(luò)隔離技術(shù)二、安全隔離的原理2.網(wǎng)閘的工作原理開(kāi)關(guān)模塊數(shù)據(jù)庫(kù)同步模塊數(shù)據(jù)庫(kù)同步模塊數(shù)據(jù)Select*frompubsJDBC數(shù)據(jù)