企业级安全隔离技术作者:孤独剑客日期:2003.12.22来自•隔离技术概述•隔离产品分类•桌面级隔离技术•企业级隔离技术•网闸与防火墙Copyright©孤独剑客2003来自•为什么隔离?–历史原因:受技术和成本制约而被动隔离–现实原因:互联后无法忍受侵害而主动隔离来自•怎么算隔离?–实体角度理解:在设备、线路、存储上是完全分离的–过程角度理解:网络间不存在任何形式的自动信息交换来自•有哪些隔离方法?–物理隔离:设备、线路、存储均独立–网络隔离(协议隔离):协议转换–安全隔离:仅交换应用数据来自•国外认识之一–1997年,安全专家MarkJosephEdwards来自•国外认识之二–2000年,数据处理咨询专家E.NYONI《TECHNICALOPTIONSOFCOMPUTERZEDWORLD》来自•国外认识之二–他还给出了防火墙的原理示意图:来自•国外认识之二–在书中他也详细阐述了协议隔离:来自•以色列的Whale公司–•ApplicationFiltering•Authentication•SSLEncryption/Decryption•NetworkIsolation来自•以色列的Spearhead公司–•Physicaldisconnection•Protocolinspection•Webapplicationprotection•Authentication•CentralPolicy,DistributedControl来自•网间安全威胁层次威胁类别风险等级典型攻击物理层次低超高电压、线路破坏等协议层次中地址伪装、碎片攻击等应用层次高恶意代码、垃圾邮件等来自•技术角度–物理隔离:线路、设备、存储–逻辑隔离:交换机、路由器、防火墙、网闸•应用角度–桌面级隔离:•部署位置:用户端•产品形式:双机隔离、硬盘隔离、线路隔离–企业级隔离:•部署位置:网关处•产品形式:交换机、路由器、防火墙、网闸来自-集线器来自•双机隔离•硬盘隔离•线路隔离来自我抗议…来自!太浪费了上外部网上内部网来自(双硬盘)Windows…Win98LinuxInternet外内来自(单硬盘)Windows…外区内区Internet外内Reboot…Win98…Reboot…Linux…来自!并不能达到物理隔离效果!!!来自•第一代空气开关型隔离网闸–GAP:AirGap•第二代专用交换通道型隔离网闸–PET:PrivateExchangeTunnel来自://www.3722.cn中国最大的资料库下载第一代空气开关型网闸暂存区C外网单元A内网单元BK切换控制电路不可信网络可信网络病毒扫描入侵检测身份认证日志审计内容过滤来自•数据交换方式:是利用单刀双掷开关使得内外处理单元分时存取共享存储设备完成数据交换,实现了在空气缝隙隔离(AirGap)情况下的数据交换。•安全功能原理:是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果。来自://www.3722.cn中国最大的资料库下载第二代专用交换通道型网闸•数据交换方式:利用专用高速通道、私有通信协议和加密签名机制实现了在网络隔离的情况下完成高速实时的数据交换。•安全功能原理:通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果。来自://www.3722.cn中国最大的资料库下载网闸的典型应用来自://www.3722.cn中国最大的资料库下载图例对比分析AABCABTCPUDPTCPTCPTCPTCPUDP防火墙空气开关网闸专用交换通道网闸不可信网络可信网络来自!Email:janker@janker.org