南瑞正向隔离装置

询价采购电话: 18351955025
询价采购电话:18351955025

行业动态

隔离网闸技术概述

  如今,网络隔离技术已经得到越来越多用户的重视。重要的网络和部门均开始采用隔离网闸产品来保护内部网络和关键点的基础设施。目前世界上主要有三类隔离网闸(物理隔离交换/SGAP)技术,即SCSI技术,双端口RAM技术和物理单向传输技术。SCSI是典型的拷盘交换技术,双端口RAM也是模拟拷盘技术,物理单向传输技术则是二极管单向技术。

   SCSI技术是目前最主流的隔离网闸技术。SCSI是一个外设读写协议,而不是一个通信协议。外设协议是一个主从的单向协议,外设设备仅仅是一个介质目标,不具备任何逻辑执行能力,主机写入数据,但并不知道是否正确。需要读出写入的数据,通过比较来确认写入的数据是否正确。因此,SCSI本身已经断开了OSI模型中的数据链路,没有通信协议。但SCSI本身有一套外设读写机制,这些读写机制保证读写数据的正确性和可靠性。

   双端口RAM技术采用一种叫双端口的静态存储器(DualPortSRAM),配合基于独立的CPLD的控制电路,以实现在两个端口上的开关,双端口各自通过开关连接到独立的计算机主机上。CPLD作为独立的控制电路,确保双端口静态存储器的每一个端口上存在一个开关,两个开关不能同时闭合。当交换的内容是文件数据时,它确实给出了一种隔离断开的实现。当交换的内容是IP包,则不是,因为双端口RAM可以进行IP包的存储和转发,这是一种结构缺陷。采用这种技术的产品,应该严格检查是否实现了TCP/IP协议的剥离,是否实现了应用协议的剥离,确保是应用输出或输入的文件数据被转发,而不是IP包。除此之外,还必须有机制来保证双端口RAM不会被黑客用来转发IP包。如果设计不当,TCP/IP协议没有剥离,IP包会直接被写入内存存储介质,并且被转发。在这种情况下,尽管OSI模型的物理层是断开的,链路层也是断开的,由于TCP/IP协议的3层和4层没有断开,也不是网络隔离。

   物理单向传输技术采用的是单向传输,不需要开关。是相对于通讯的双向而言的。隔离网闸中无论采用那种开关技术,实际就是物理链路的倒换,在内外网之间提供一个安全的、功能视同隔离的交换区,象码头的摆渡一样,把我们认为是真实的数据摆渡过去。但是通讯协议的设计是分层次的,要交换的纯数据本身在隔离网闸的种种技术手段中还是要穿越网闸,那么某种攻击的行为就可能掩藏于“纯数据”之中,通过网闸后再还原成攻击程序。即使定义了安全原则的网闸只提供文件交换的功能,也还是要为两端的客户提供一定的服务接口,否则用户没有办法把数据交给你,若抛开所有的安全检测技术不谈,服务就有可能成为攻击行为的承载列车。
留言与评论(共有 0 条评论)
   
验证码: