物理隔離介紹
物理隔離產(chǎn)品是用來解決網(wǎng)絡安全問題的。尤其是在那些需要絕對保證安全的保密網(wǎng),專網(wǎng)和特種網(wǎng)絡與互聯(lián)網(wǎng)進行連接時,為了防止來自互聯(lián)網(wǎng)的攻擊和保證這些高安全性網(wǎng)絡的保密性、安全性、完整性、防抵賴和高可用性,幾乎全部要求采用物理隔離技術。物理隔離技術一般包括:
①靜態(tài)包過濾(Static Packet Filter)
②動態(tài)包過濾(Dynamic or Stateful Packet Filter)
③電路網(wǎng)關(Circuit Level Gateway)
④應用網(wǎng)關(Application Level Gateway)
⑤狀態(tài)檢測包過濾(Stateful Inspection Packet Filter)
⑥切換代理(Cutoff Proxy)
⑦物理隔離(Air Gap)
物理隔離包含隔離網(wǎng)閘技術 、物理隔離卡等。
1、SU-GAP隔離網(wǎng)閘,它創(chuàng)建一個這樣的環(huán)境,內、外網(wǎng)物理斷開,但邏輯地相連。就是在這兩個網(wǎng)絡之間創(chuàng)建了一個物理隔斷,這意味著網(wǎng)絡數(shù)據(jù)包不能從一個網(wǎng)絡流向另外一個網(wǎng)絡,并且可信網(wǎng)絡上的計算機和不可信網(wǎng)絡上的計算機從不會有實際的連接。
物理隔離網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關讀寫介質連接兩個獨立主機系統(tǒng)的信息安全設備。由于物理隔離網(wǎng)閘所連接的兩個獨立主機系統(tǒng)之間,不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議,不存在依據(jù)協(xié)議的信息包轉發(fā),只有數(shù)據(jù)文件的無協(xié)議“擺渡”,且對固態(tài)存儲介質只有“讀”和“寫”兩個命令。所以,物理隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接,使“黑客”無法入侵、無法攻擊、無法破壞,實現(xiàn)了真正的安全。
2、在每臺電腦中通過主板插槽安裝物理隔離卡,把一臺普通計算機分成兩臺虛擬計算機,實現(xiàn)真正的物理隔離。
也就是說,只有使內部網(wǎng)和公共網(wǎng)物理隔離,才能真正保證內部信息網(wǎng)絡不受來自互聯(lián)網(wǎng)的黑客攻擊。此外,物理隔離也為內部網(wǎng)劃定了明確的安全邊界,使得網(wǎng)絡的可控性增強,便于內部管理。
物理隔離的功能表現(xiàn)為以下幾個方面:
①阻斷網(wǎng)絡的直接連接,即沒有兩個網(wǎng)絡同時連在隔離設備上;
②阻斷網(wǎng)絡的互聯(lián)網(wǎng)邏輯連接,即TCP/IP的協(xié)議必需被剝離,將原始數(shù)據(jù)通過P2P的非TCP/IP連接協(xié)議透過隔離設備傳遞;
③隔離設備的傳輸機制具有不可編程的特性,因此不具有感染的特性;
④任何數(shù)據(jù)都是通過兩級移動代理的方式來完成,兩級移動代理之間是物理隔離的;
⑤隔離設備具有審查的功能;
⑥隔離設備傳輸?shù)脑紨?shù)據(jù),不具有攻擊或對網(wǎng)絡安全有害的特性。就像txt文本不會有病毒一樣,也不會執(zhí)行命令等。
⑦強大的管理和控制功能。
