網(wǎng)絡(luò)安全隔離模式探微范文

本站小編為你精心準(zhǔn)備了網(wǎng)絡(luò)安全隔離模式探微參考范文，愿這些范文能點(diǎn)燃您思維的火花，激發(fā)您的寫(xiě)作靈感。歡迎深入閱讀并收藏。

1網(wǎng)間不同層次的安全威脅

不同的隔離技術(shù)產(chǎn)生了不同的隔離產(chǎn)品。根據(jù)OSI參考模型分析，網(wǎng)間的安全威脅主要來(lái)自三個(gè)層次，也即三個(gè)方面。

（1）物理層：主要是線路偵聽(tīng)、電氣攻擊和線路破壞等。

（2）網(wǎng)絡(luò)層：主要是拒絕服務(wù)攻擊、地址欺騙和碎片攻擊等。

（3）應(yīng)用層：主要是惡意代碼和垃圾郵件等。

在目前的隔離產(chǎn)品中，從技術(shù)角度來(lái)分的話(huà)，可分為基于物理方面的隔離和基于邏輯方面的隔離兩大類(lèi)。基于物理的隔離是指線路、存儲(chǔ)、設(shè)備之間的隔離；而基于邏輯的隔離并非從物理電氣方面進(jìn)行隔離，是一種邏輯上的非物理隔離，主要是通過(guò)一些網(wǎng)絡(luò)設(shè)備來(lái)實(shí)現(xiàn)隔離的。如果從應(yīng)用角度來(lái)劃分的話(huà)，則可以分為“桌面級(jí)”和“企業(yè)級(jí)”兩大類(lèi)。桌面級(jí)隔離一般是在用戶(hù)端進(jìn)行部署，主要是為用戶(hù)配備兩套獨(dú)立硬盤(pán)或兩套計(jì)算機(jī)以及兩套網(wǎng)線；而企業(yè)級(jí)隔離的部署位置通常是在企業(yè)網(wǎng)管處，所采用的產(chǎn)品形式通常為隔離交換機(jī)、路由器、防火墻和網(wǎng)閘。它們所隔離的內(nèi)容根據(jù)OSI協(xié)議的七層參考模型來(lái)說(shuō)是依次走高，交換機(jī)隔離的是物理層的MAC地址，路由器隔離的是網(wǎng)絡(luò)層的IP地址，防火墻隔離的是傳輸層的端口，而網(wǎng)閘隔離的是應(yīng)用層的應(yīng)用數(shù)據(jù)。

2物理隔離原理

物理隔離技術(shù)不是要取代現(xiàn)有的網(wǎng)絡(luò)安全防范辦法，也不是一勞永逸的，相反它是對(duì)殺毒軟件、網(wǎng)絡(luò)防火墻等現(xiàn)有防范體系辦法的有效補(bǔ)充與強(qiáng)化，主要是用來(lái)保護(hù)網(wǎng)絡(luò)最重要的核心部分。物理隔離與防火墻的基本理念是有本質(zhì)區(qū)別的，物理隔離的理念是首先要確保安全，在此基礎(chǔ)上來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的聯(lián)通傳輸；而防火墻的理念恰恰相反，它是要求盡可能實(shí)現(xiàn)網(wǎng)絡(luò)的聯(lián)通傳輸，在此基礎(chǔ)上確保網(wǎng)絡(luò)安全。物理隔離技術(shù)盡管方式不同，但是原理是相通的，下面對(duì)物理隔離的原理簡(jiǎn)述如下：

a.在沒(méi)有通信要求的情況下，內(nèi)、外網(wǎng)設(shè)備與線路和隔離設(shè)備是無(wú)連接的,當(dāng)然并不是無(wú)任何物理連接，設(shè)備之間的連接還是正常的。

b.外網(wǎng)打算通過(guò)隔離設(shè)備向內(nèi)網(wǎng)傳遞數(shù)據(jù)，這時(shí)候隔離設(shè)備在控制電路的控制下，建立與外網(wǎng)的連接。此時(shí)隔離設(shè)備處理所接收的外網(wǎng)數(shù)據(jù)，將經(jīng)過(guò)處理的數(shù)據(jù)保存到隔離設(shè)備中。

c.外網(wǎng)數(shù)據(jù)存儲(chǔ)到隔離設(shè)備后，控制電路對(duì)隔離設(shè)備進(jìn)行控制，要求隔離設(shè)備與外網(wǎng)斷開(kāi)連接。同時(shí)控制設(shè)備與內(nèi)網(wǎng)的設(shè)備建立數(shù)據(jù)連接，然后將設(shè)備中的數(shù)據(jù)發(fā)送到內(nèi)網(wǎng)的存儲(chǔ)設(shè)備中。內(nèi)網(wǎng)對(duì)接收到原始數(shù)據(jù)進(jìn)行處理，處理完畢后交給應(yīng)用系統(tǒng)。

d.而后將交換信號(hào)傳給控制臺(tái)，控制臺(tái)確定信息交換完成后，控制電路對(duì)隔離設(shè)備進(jìn)行控制，要求隔離設(shè)備與內(nèi)網(wǎng)斷開(kāi)連接，回到內(nèi)、外網(wǎng)沒(méi)有連接的狀態(tài)。這樣就完成了一個(gè)完整的外網(wǎng)向內(nèi)網(wǎng)發(fā)送數(shù)據(jù)的過(guò)程。

e.同樣的，如果內(nèi)網(wǎng)打算通過(guò)隔離設(shè)備向外網(wǎng)傳遞數(shù)據(jù)，控制電路對(duì)隔離設(shè)備進(jìn)行控制，要求隔離設(shè)備與內(nèi)網(wǎng)建立數(shù)據(jù)連接。此時(shí)設(shè)備對(duì)所接收的內(nèi)網(wǎng)數(shù)據(jù)進(jìn)行處理，將經(jīng)過(guò)處理的數(shù)據(jù)存儲(chǔ)到設(shè)備中。

f.隔離設(shè)備將內(nèi)網(wǎng)數(shù)據(jù)存儲(chǔ)后，在控制電路的要求下，切斷與內(nèi)網(wǎng)的連接，建立與外網(wǎng)的連接，然后將隔離設(shè)備中的數(shù)據(jù)發(fā)送到外網(wǎng)的存儲(chǔ)設(shè)備中。外網(wǎng)對(duì)接收到原始數(shù)據(jù)進(jìn)行處理，處理完畢后交給應(yīng)用系統(tǒng)。

g.控制臺(tái)確定信息交換完成后，控制電路對(duì)隔離設(shè)備進(jìn)行控制，要求隔離設(shè)備與外網(wǎng)斷開(kāi)連接，回到內(nèi)、外網(wǎng)沒(méi)有連接的狀態(tài)。這樣也就完成了一個(gè)完整的內(nèi)網(wǎng)向外網(wǎng)發(fā)送數(shù)據(jù)的過(guò)程。通過(guò)物理隔離后，內(nèi)、外網(wǎng)永遠(yuǎn)不會(huì)彼此連接，它們都是通過(guò)與隔離設(shè)備建立數(shù)據(jù)連接來(lái)實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)模鋽?shù)據(jù)傳輸機(jī)制是存儲(chǔ)和轉(zhuǎn)發(fā)。物理隔離的好處是明顯的，即使在外網(wǎng)遭到最嚴(yán)重破壞的情況下，內(nèi)網(wǎng)也會(huì)安然無(wú)恙，修復(fù)外網(wǎng)系統(tǒng)也非常容易。

3實(shí)際應(yīng)用情況

我局在充分比較各種隔離技術(shù)方案，詳細(xì)分析網(wǎng)絡(luò)狀況基礎(chǔ)上，結(jié)合我局現(xiàn)有實(shí)際情況，已經(jīng)實(shí)現(xiàn)了內(nèi)外網(wǎng)物理隔離。我局采用的是完全的物理隔離方式，即采用雙主機(jī)雙網(wǎng)絡(luò)的模式。此種模式實(shí)現(xiàn)了徹底的物理隔離，從根本上保證了網(wǎng)絡(luò)不受侵襲、偵聽(tīng)與攻擊。應(yīng)該說(shuō)網(wǎng)絡(luò)隔離是一種很好的安全技術(shù)，但也不是萬(wàn)無(wú)一失的，在提高技術(shù)防護(hù)的基礎(chǔ)上，也要進(jìn)一步加強(qiáng)制度建設(shè)和對(duì)人員的安全培訓(xùn)，真正實(shí)現(xiàn)技防、物防、人防的有效結(jié)合，從而全面提高網(wǎng)絡(luò)安全。

作者：張達(dá)旭單位：遼寧省高級(jí)公路建設(shè)局