由于職能和業(yè)務(wù)的不同,用戶(hù)的應(yīng)用系統(tǒng)及其數(shù)據(jù)交換方式也多種多樣:各種審批系統(tǒng)、各種數(shù)據(jù)查詢(xún)系統(tǒng)需要在網(wǎng)絡(luò)間傳輸和交換指定數(shù)據(jù)庫(kù)記錄;各種匯總系統(tǒng)、各種數(shù)據(jù)采集系統(tǒng)需要在網(wǎng)絡(luò)間傳輸和交換指定文件;各種復(fù)雜的應(yīng)用系統(tǒng)需要傳輸和交換定制數(shù)據(jù);內(nèi)外網(wǎng)之間的郵件互通和網(wǎng)頁(yè)瀏覽需求要求網(wǎng)絡(luò)之間能夠進(jìn)行郵件轉(zhuǎn)發(fā)和網(wǎng)頁(yè)轉(zhuǎn)發(fā)。
故主流的安全隔離網(wǎng)閘一般具有如下功能模塊:數(shù)據(jù)庫(kù)模塊、文件模塊、消息模塊、郵件模塊和瀏覽模塊。
安全隔離網(wǎng)閘的組成:
安全隔離網(wǎng)閘是實(shí)現(xiàn)兩個(gè)相互業(yè)務(wù)隔離的網(wǎng)絡(luò)之間的數(shù)據(jù)交換,通用的網(wǎng)閘模型設(shè)計(jì)一般分三個(gè)基本部分:
a. 內(nèi)網(wǎng)處理單元
b. 外網(wǎng)處理單元
c. 隔離與交換控制單元(隔離硬件)
其中,三個(gè)單元都要求其軟件的操作系統(tǒng)是安全的,也就是采用非通用的操作系統(tǒng),或改造后的專(zhuān)用操作系統(tǒng)。一般為Unix BSD或Linux的經(jīng)安全精簡(jiǎn)版本,或者其他是嵌入式操作系統(tǒng)VxWorks等,但都要對(duì)底層不需要的協(xié)議、服務(wù)刪除,使用的協(xié)議優(yōu)化改造,增加安全特性,同時(shí)提高效率。
下面分別介紹三個(gè)基本部分的功能:
內(nèi)網(wǎng)處理單元:包括內(nèi)網(wǎng)接口單元與內(nèi)網(wǎng)數(shù)據(jù)緩沖區(qū)。接口部分負(fù)責(zé)與內(nèi)網(wǎng)的連接,并終止內(nèi)網(wǎng)用戶(hù)的網(wǎng)絡(luò)連接,對(duì)數(shù)據(jù)進(jìn)行病毒檢測(cè)、防火墻、入侵防護(hù)等安全檢測(cè)后剝離出“純數(shù)據(jù)”,作好交換的準(zhǔn)備,也完成來(lái)自?xún)?nèi)網(wǎng)對(duì)用戶(hù)身份的確認(rèn),確保數(shù)據(jù)的安全通道;數(shù)據(jù)緩沖區(qū)是存放并調(diào)度剝離后的數(shù)據(jù),負(fù)責(zé)與隔離交換單元的數(shù)據(jù)交換。
外網(wǎng)處理單元:與內(nèi)網(wǎng)處理單元功能相同,但處理的是外網(wǎng)連接。
隔離與交換控制單元:是網(wǎng)閘隔離控制的擺渡控制,控制交換通道的開(kāi)啟與關(guān)閉。控制單元中包含一個(gè)數(shù)據(jù)交換區(qū),就是數(shù)據(jù)交換中的擺渡船。對(duì)交換通道的控制的方式目前有兩種技術(shù),擺渡開(kāi)關(guān)與通道控制。擺渡開(kāi)關(guān)是電子倒換開(kāi)關(guān),讓數(shù)據(jù)交換區(qū)與內(nèi)外網(wǎng)在任意時(shí)刻的不同時(shí)連接,形成空間間隔GAP,實(shí)現(xiàn)物理隔離。通道方式是在內(nèi)外網(wǎng)之間改變通訊模式,中斷了內(nèi)外網(wǎng)的直接連接,采用私密的通訊手段形成內(nèi)外網(wǎng)的物理隔離。該單元中有一個(gè)數(shù)據(jù)交換區(qū),作為交換數(shù)據(jù)的中轉(zhuǎn)。
安全隔離網(wǎng)閘的兩類(lèi)模型:
在內(nèi)外網(wǎng)處理單元中,接口處理與數(shù)據(jù)緩沖之間的通道,稱(chēng)內(nèi)部通道1,緩沖區(qū)與交換區(qū)之間的通道,稱(chēng)內(nèi)部通道2。對(duì)內(nèi)部通道的開(kāi)關(guān)控制,就可以形成內(nèi)外網(wǎng)的隔離。模型中的用中間的數(shù)據(jù)交換區(qū)擺渡數(shù)據(jù),稱(chēng)為三區(qū)模型;擺渡時(shí),交換區(qū)的總線(xiàn)分別與內(nèi)、外網(wǎng)緩沖區(qū)連接,也就是內(nèi)部通道2的控制,完成數(shù)據(jù)交換。
還有一種方式是取消數(shù)據(jù)交換區(qū),分別交互控制內(nèi)部通道1與內(nèi)部通道2,形成二區(qū)模型。
二區(qū)模型的數(shù)據(jù)擺渡分兩次:先是連接內(nèi)、外網(wǎng)數(shù)據(jù)緩沖區(qū)的內(nèi)部通道2斷開(kāi),內(nèi)部通道1連接,內(nèi)外網(wǎng)接口單元將要交換的數(shù)據(jù)接收過(guò)來(lái),存在各自的緩沖區(qū)中,完成一次擺渡。然后內(nèi)部通道1斷開(kāi),內(nèi)部通道2連接,內(nèi)外網(wǎng)的數(shù)據(jù)緩沖區(qū)與各自的接口單元斷開(kāi)后,兩個(gè)緩沖區(qū)連接,分別把要交換的數(shù)據(jù)交換到對(duì)方的緩沖區(qū)中,完成數(shù)據(jù)的二次擺渡。
內(nèi)部通道一般也采用非通用網(wǎng)絡(luò)的通訊連接,讓來(lái)自?xún)啥说目赡芄艚K止于接口單元,從而增強(qiáng)網(wǎng)閘的隔離效果。安全隔離網(wǎng)閘設(shè)計(jì)的目的,是隔離內(nèi)外網(wǎng)業(yè)務(wù)連接的前提下,實(shí)現(xiàn)安全的數(shù)據(jù)交換。也就是安全專(zhuān)家描述的:協(xié)議落地,數(shù)據(jù)交換。
網(wǎng)閘的產(chǎn)生,最早是出現(xiàn)在美國(guó)、以色列等國(guó)的軍方,用以解決涉密網(wǎng)絡(luò)與公共網(wǎng)絡(luò)連接時(shí)的安全問(wèn)題。
隨著電子政務(wù)在我國(guó)的蓬勃發(fā)展,政府部門(mén)的高安全網(wǎng)絡(luò)和其他低安全網(wǎng)絡(luò)之間進(jìn)行數(shù)據(jù)交換的需求日益明顯,出于國(guó)家安全考慮,政府部門(mén)一般傾向于使用國(guó)內(nèi)安全廠商的安全產(chǎn)品,種種因素促使了網(wǎng)閘在我國(guó)的產(chǎn)生。
我國(guó)第一款安全隔離網(wǎng)閘產(chǎn)生于2000年,現(xiàn)已經(jīng)廣泛應(yīng)用于政府、金融、交通、能源等行業(yè)。
可以用玻璃 也可以用塑料板 最好自己做 買(mǎi)的不一定合適 孔雀的話(huà) 可以自己做個(gè) 用鐵絲做個(gè)框 蒙上紗布就行
廣泛應(yīng)用于車(chē)間倉(cāng)庫(kù)內(nèi)部或市場(chǎng)攤位之間的隔離,重要機(jī)械部件的隔離防護(hù)。采用熱加塑工藝,涂層均勻豐滿(mǎn),色澤柔和艷麗,具有良好的絕緣、耐候和耐用性、無(wú)需維護(hù)、具有極強(qiáng)的裝飾性和良好的防護(hù)性。
隔離體是地下連續(xù)防滲墻施工過(guò)程有的施工工序,是根據(jù)防滲材料的物理特征及地質(zhì)狀況,由土工布特制而成的,在袋內(nèi)注入防滲墻填充材料固化后起隔離作用。其特性:一是土工布由睛綸材料加工而成,柔軟性好,可適應(yīng)地下...
安全數(shù)據(jù)交換單元不同時(shí)與內(nèi)外網(wǎng)處理單元連接,為2 1的主機(jī)架構(gòu)。隔離網(wǎng)閘采用SU-Gap安全隔離技術(shù),創(chuàng)建一個(gè)內(nèi)、外網(wǎng)物理斷開(kāi)的環(huán)境。
安全隔離網(wǎng)閘和防火墻有著本質(zhì)的不同,以下表進(jìn)行簡(jiǎn)單的對(duì)比:
項(xiàng)目 |
安全隔離網(wǎng)閘 |
防火墻 |
訪(fǎng)問(wèn)控制特點(diǎn) |
基于物理隔離的白名單控制 |
基于連通網(wǎng)絡(luò)的黑名單控制 |
硬件特點(diǎn) |
多主機(jī)形成縱深防御,保證隔離效果 |
單主機(jī)多宿主 |
隔離類(lèi)型 |
專(zhuān)用隔離硬件 |
無(wú)專(zhuān)用數(shù)據(jù)交換硬件 |
軟件特點(diǎn) |
不允許TCP會(huì)話(huà) |
允許TCP會(huì)話(huà) |
訪(fǎng)問(wèn)類(lèi)型 |
不允許從外到內(nèi)的訪(fǎng)問(wèn) |
允許從外到內(nèi)的訪(fǎng)問(wèn) |
安全性特點(diǎn) |
可以最大程度防止未知攻擊 |
不能防止未知攻擊 |
性能與應(yīng)用特點(diǎn) |
確保安全性能所需的管理和維護(hù)工作量小 |
需要7x24監(jiān)控,確保安全性能 |
數(shù)據(jù)通過(guò)性 |
性能適中 |
高性能 |
隔離方式 | 需要與應(yīng)用系統(tǒng)結(jié)合 |
對(duì)應(yīng)用透明 |
格式:pdf
大小:44KB
頁(yè)數(shù): 2頁(yè)
評(píng)分: 4.7
隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展,網(wǎng)絡(luò)安全已成為各行業(yè)極為關(guān)注的重要問(wèn)題。文章分析了安全隔離網(wǎng)閘(GAP)技術(shù)的基本結(jié)構(gòu),對(duì)該技術(shù)在網(wǎng)絡(luò)安全管理系統(tǒng)中基本的工作原理進(jìn)行了探討,同時(shí)簡(jiǎn)單介紹了目前較為流行的兩種GAP技術(shù):動(dòng)態(tài)斷開(kāi)技術(shù)和固定斷開(kāi)技術(shù)。
格式:pdf
大小:44KB
頁(yè)數(shù): 3頁(yè)
評(píng)分: 4.4
隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)應(yīng)用的日益普及,各地政府部門(mén)都將如何構(gòu)建一個(gè)安全、高效的網(wǎng)絡(luò)系統(tǒng)作為政府信息化發(fā)展的目標(biāo)之一。作為政府行政機(jī)構(gòu),上世紀(jì)90年代公安系統(tǒng)就已經(jīng)開(kāi)始了網(wǎng)絡(luò)系統(tǒng)工程的建設(shè)。目前,在全國(guó)的公安系統(tǒng)中已經(jīng)通過(guò)租用運(yùn)營(yíng)商的網(wǎng)絡(luò)服務(wù),陸續(xù)建立起跨地市、跨省及全國(guó)性的廣域網(wǎng),用來(lái)承載公安系統(tǒng)運(yùn)作的各種數(shù)據(jù)信息。但是,隨著
基于IP網(wǎng)絡(luò)的視頻監(jiān)控已經(jīng)逐漸發(fā)展成為安防業(yè)的主流方案,成功應(yīng)用于平安工程、高速公路、公安網(wǎng)、園區(qū)等大型項(xiàng)目。IP的標(biāo)準(zhǔn)性和開(kāi)放性也使得各個(gè)網(wǎng)絡(luò)孤島的整合變得容易,使網(wǎng)絡(luò)規(guī)模的擴(kuò)展變得輕松。考慮到IPv4地址資源緊張和2012年2月前各區(qū)域網(wǎng)絡(luò)地址段相互重疊的現(xiàn)實(shí),以及各種網(wǎng)絡(luò)安全的需要,NAT、防火墻、安全隔離網(wǎng)閘等設(shè)備被大量的應(yīng)用于大型網(wǎng)絡(luò)中。這就使得基于IP的視頻監(jiān)控系統(tǒng)的信令和業(yè)務(wù)流程變得非常復(fù)雜,甚至導(dǎo)致某些業(yè)務(wù)在某些特定的組網(wǎng)中無(wú)法開(kāi)展。下面簡(jiǎn)單闡述下在視頻監(jiān)控網(wǎng)絡(luò)存在NAT、防火墻、安全隔離網(wǎng)閘時(shí),視頻監(jiān)控網(wǎng)絡(luò)通信變得復(fù)雜困難的緣由。
在存在NAT設(shè)備的時(shí)候,由于IP報(bào)文穿過(guò)NAT設(shè)備之后其源IP地址或目的IP地址會(huì)發(fā)生改變,而一個(gè)業(yè)務(wù)信令內(nèi)部通常也包含有源IP地址和目的IP地址,由此造成內(nèi)、外部地址的不統(tǒng)一,這在很多時(shí)候會(huì)對(duì)視頻監(jiān)控業(yè)務(wù)流程造成困擾。另外,如果NAT外網(wǎng)存在設(shè)備要首先發(fā)起通向內(nèi)網(wǎng)的TCP/UDP連接,就必須先在NAT設(shè)備上為內(nèi)網(wǎng)的那些設(shè)備分別配置內(nèi)部服務(wù)器的地址/端口映射,這樣顯然會(huì)浪費(fèi)大量公網(wǎng)地址,很多時(shí)候也是不允許的。當(dāng)然,在控制服務(wù)器可以判斷出交互的兩臺(tái)設(shè)備誰(shuí)處于NAT內(nèi)網(wǎng)誰(shuí)處于外網(wǎng)時(shí),可以通知內(nèi)網(wǎng)的設(shè)備主動(dòng)向外網(wǎng)設(shè)備發(fā)起連接。但是這要求每個(gè)會(huì)話(huà)連接都實(shí)現(xiàn)兩種或甚至兩種以上的處理流程,對(duì)于一個(gè)包含了多個(gè)會(huì)話(huà)行為的業(yè)務(wù)流程這種組合會(huì)變得非常復(fù)雜。況且某些標(biāo)準(zhǔn)業(yè)務(wù)也不允許交互的雙方顛倒C/S的角色。
在存在防火墻時(shí),需要防火墻開(kāi)放相當(dāng)數(shù)量的UDP/TCP端口以便防火墻外的終端,如視頻監(jiān)控客戶(hù)端,能主動(dòng)訪(fǎng)問(wèn)防火墻內(nèi)的服務(wù)器,如視頻管理服務(wù)器(VM)。這樣就給企業(yè)內(nèi)網(wǎng)帶來(lái)了安全隱患。
在存在安全隔離網(wǎng)閘時(shí),大量以IP代理方式實(shí)現(xiàn)的網(wǎng)閘(即來(lái)自外部的流量先發(fā)送到網(wǎng)閘的一個(gè)代理IP,網(wǎng)閘修改目的IP后再往內(nèi)網(wǎng)轉(zhuǎn)發(fā)),通常會(huì)要求網(wǎng)閘協(xié)助對(duì)業(yè)務(wù)信令的內(nèi)部信息做出相應(yīng)的修改,因?yàn)槠渲锌赡馨蠭P地址信息。于是監(jiān)控系統(tǒng)廠家每開(kāi)發(fā)一個(gè)新特性可能都會(huì)要求網(wǎng)閘公司配合做出相應(yīng)的特性開(kāi)發(fā)。
另外,一些特殊用戶(hù)還有特殊的視頻監(jiān)控網(wǎng)絡(luò)需求。比如說(shuō)公安網(wǎng)絡(luò)等安全性要求較高的網(wǎng)絡(luò)需要:所有的會(huì)話(huà)連接都要求由內(nèi)網(wǎng)發(fā)起,否則外部流量就進(jìn)入不了內(nèi)網(wǎng)。在一個(gè)典型的集中控制架構(gòu)中,終端,如編碼設(shè)備,首先得向服務(wù)器,如視頻管理服務(wù)器,發(fā)起注冊(cè)信令,點(diǎn)播業(yè)務(wù)也是點(diǎn)播主機(jī)先向服務(wù)器發(fā)起申請(qǐng),當(dāng)終端和主機(jī)處于外網(wǎng)而服務(wù)器處于內(nèi)網(wǎng)時(shí)業(yè)務(wù)就會(huì)遭遇困境。