通过两个开关的不能同时闭合来保证OSI模型物理层的断开课件

10.1网络隔离技术

面对新型网络攻击手段的出现和高安全度网络对安全的特殊需求，全新安全防护防范理念的网络安全技术——“网络隔离技术”应运而生。

网络隔离技术的目标是确保把有害的攻击隔离，在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网间数据的安全交换。网络隔离技术是在原有安全技术的基础上发展起来的，它弥补了原有安全技术的不足，突出了自己的优势。网络隔离，英文名为NetworkIsolation，主要是指把两个或两个以上可路由的网络（如：TCP/IP）通过不可路由的协议（如：IPX/SPX、NetBEUI等）进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议，所以通常也叫协议隔离（ProtocolIsolation）。

10.1.1网络隔离技术的概念来源1.网络隔离技术的概念来源网络隔离的概念源于人工烤盘、Sneakernet和轮渡。（1）人工烤盘人工拷盘是已知的最早的网络隔离技术。最早的计算机是单机的，不同的计算机还没有联网。没有联网的两个计算机之间要交换数据，最简单的办法是人工拷盘。要特别强调，在人工拷盘的任何时刻，两个计算机之间是完全断开的，没有联网的。在拷盘的时候，当计算机操作人员在一台计算机里拷盘时，与另外一台计算机是完全断开的；当计算机操作人员把磁盘拿出的时候，与两台计算机都是完全断开的；当计算机操作人员把文件数据复制到目的计算机时，与原来的计算机是完全断开的。在任何时候，两台交换文件数据的计算机，总是断开的。

（2）Sneakernet（人力网）

人工拷盘利用软件来实现文件数据交换，但并不是只有软盘才能交换文件数据。除软盘外、移动硬盘、可擦写光盘以及U盘都可以实现文件数据交换。人在两台计算机或两个网络之间使用软盘、移动硬盘等可以移动的存储介质来交换文件或数据，这样两个隔离的计算机或网络与人一起便构成了一个逻辑上的虚拟网络（3）轮渡

网络隔离有多种方式，其中最重要的一种方式是网闸。网闸的概念主要是源于轮渡。对轮渡的工作机理的借鉴，大大地推动了网络隔离的研究发展，直接导致网闸技术的出现。“下车改乘轮船”的现象启发人们研究协议的剥离技术，“下船改成汽车”的现象启发人们研究协议的重建技术，“轮船载人渡河”启发人们研究文件“摆渡”，最后实现了在两网断开的情况下可以进行数据交换。从两台主机在断开的情况下可以实现数据交换，到两个网络之间在断开的情况下也可以实现数据交换。2.网络隔离技术的发展历史

隔离概念是在为了保护高安全度网络环境的情况下产生的；隔离产品的大量出现，也是经历了五代隔离技术不断的实践和理论相结合后得来的。第一代隔离技术—完全的隔离。此方法使得网络处于信息孤岛状态，做到了完全的物理隔离，需要至少两套网络和系统，更重要的是信息交流的不便和成本的提高，这样给维护和使用带来了极大的不便。

第二代隔离技术—硬件卡隔离。在客户端增加一块硬件卡，客户端硬盘或其他存储设备首先连接到该卡，然后再转接到主板上，通过该卡能控制客户端硬盘或其他存储设备。而在选择不同的硬盘时，同时选择了该卡上不同的网络接口，连接到不同的网络。但是，这种隔离产品有的仍然需要网络布线为双网线结构，产品存在着较大的安全隐患。

第三代隔离技术—数据转播隔离。利用转播系统分时复制文件的途径来实现隔离，切换时间非常之久，甚至需要手工完成，不仅明显地减缓了访问速度，更不支持常见的网络应用，失去了网络存在的意义。第四代隔离技术—空气开关隔离。它是通过使用单刀双掷开关，使得内外部网络分时访问临时缓存器来完成数据交换的，但在安全和性能上存在有许多问题。第五代隔离技术—安全通道隔离。此技术通过专用通信硬件和专有安全协议等安全机制，来实现内外部网络的隔离和数据交换，不仅解决了以前隔离技术存在的问题，并有效地把内外部网络隔离开来，而且高效地实现了内外网数据的安全交换，透明支持多种网络应用，成为当前隔离技术的发展方向。10.1.2网络隔离技术的原理1.网络隔离要解决的问题网络隔离的指导思想与防火墙有很大的不同，体现在防火墙的思路是在保障互联互通的前提下，尽可能安全，而网络隔离的思路是在必须保证安全的前提下，尽可能互联互通，如果不安全则断开。网络隔离技术就是要解决目前网络安全存在的最根本问题，包括对操作系统的依赖，因为操作系统有漏洞；也包括对TCP/IP协议的依赖，而TCP/IP协议同样有漏洞。解决通信连接的问题，当内网和外网直接连接时，存在基于通信的攻击和应用协议的漏洞，因为命令和指令可能是非法的。2.网络隔离的技术原理互联网是基于TCP/IP来实现的，而所有的攻击都可以归纳为基于对TCP/IP的OSI数据通信模型的某一层或多层的攻击，因此第一个最直接的想法就是断开TCP/IP的OSI数据模型的所有层，就可以消除目前TCP/IP网络存在的攻击.这就是网络隔离的技术原理。一、网络物理层的断开物理层是可以被攻击的。尤其物理层的逻辑表示是可以被攻击的。一个物理层上的断开，应该是“不能基于一个物理层的连接，来完成一个OSI模型中的数据链路的建立”。二、网络数据链路层的断开

数据链路是在物理层上建立一个可以进行数据通信的数据链路，是一个通信协议的概念。只要存在通信协议就可以被攻击。数据链路是可以被攻击的。数据链路的断开意味着什么？首先，必须消除所有建立通信链路的控制信号，因为这些信号是可以被攻击的。其次，每一次的数据传输，是否能够到达或正确性方面是没有保证的。再次，不能建立一个会话机制。因此，用技术术语来定义，数据链路的断开是指上一次数据传输与下一次数据传输的相关性的概率为零。

三、网络层的断开

网络层的断开，就是剥离所有的IP协议。因为剥离了IP，就不会基于IP包来暴露内部的网络结构，就没有真假IP地址之说，也没有IP碎片，就消除了所有基于IP协议的攻击。

四、网络传输层的断开

传输层的断开，就是剥离TCP或UDP协议。因此，消除了基于TCP或UDP的攻击。

五、网络会话层的断开

会话层的断开实际上是断开一个应用会话的连接，消除了交互式的应用会话。

六、网络表现层的断开

表现层是用于保证网络的跨平台应用。剥离了表现层就消除了跨平台的应用。七、网络应用层的断开应用层的断开，就是消除或剥离了所有的应用协议。网络隔离就是指全部七层的断开。每一层的断开，尽管降低了其他层被攻击的概率，但并没有从理论上排除其他层的攻击。有一些例子表明，断开了某一层，照样存在对其他层的攻击。隔离网闸必须对OSI模型的各层全面进行断开，在断开的基础上，实现文件或数据的“拷盘”。3.网络隔离的技术路线目前实施网络隔离的技术路线由三种：网络开关、实时交换和单向连接。（1）网络开关是比较容易理解的一种。在一个系统里安装两套虚拟系统和一个数据系统，数据被写入到一个虚拟系统，然后交换到数据系统，在交换到另一个虚拟系统。这种系统只适合于简单的文件交换，没有复杂的应用。（2）实时交换相当于在两个系统之间，共用一个交换设备，交换设备连接到网络A，得到数据，然后交换到网络B。这种系统适合于实时应用系统。（3）单向连接，早期指数据向一个方向移动，一般指从安全性高的网络向安全性低的网络移动。这种系统只适合于数据单向迁移。4.基于网络隔离的数据交换原理

网络隔离的技术架构重点在隔离上，实现隔离是关键。以下的组图可以给我们一个清晰的概念，在数据交换时网络隔离是如何实现的。

图1，外网是安全性不高的互联网，内网是安全性很高的内部网络。正常情况下，隔离设备的外部主机和外网相连，隔离设备的内部主机和内网相连，外网和内网是完全断开的。隔离设备是一个独立的固态存储介质和一个单纯的调度控制电路。

当外网需要有数据送达内网的时候，以电子邮件为例，外部主机先接受数据，并发起对固态存储介质的非TCP/IP协议的数据连接，外部主机将所有的协议剥离，将原始的数据写入固态存储介质。如图2所示。根据不同的应用，可能有必要对数据进行完整性和安全性检查，如防病毒和恶意代码等。

一旦数据全部写入存储介质，立即中断与外部主机的连接。恢复到图1的状态。转而发起对内部主机的非TCP/IP协议的数据连接。固态存储介质将数据发送给内部主机。内部主机收到数据后，立即进行TCP/IP的封装和应用协议的封装，并发送给内网。见图3所示。这个时候内网电子邮件系统就收到了外网的电子邮件系统通过网络隔离设备转发的电子邮件。

在控制台收到完成数据交换任务的信号之后，立即切断与内部主机的直接连接。恢复到网络断开的初始状态。即图1。

如果这时，内网有电子邮件要发出，内部主机先接受内部的数据后，并建立与固态存储介质之间的非TCP/IP协议的数据连接。内部主机剥离所有的TCP/IP协议和应用协议，得到原始的数据，将数据写入存储介质。见图4所示。对其进行防病毒处理、防泄密和防恶意代码检查。然后中断与内部主机的直接连接。

一旦数据全部写入存储介质，立即中断与内部主机的连接。恢复到图1的状态。转而发起对外部主机的非TCP/IP协议的数据连接。网络隔离将存储介质内的数据发送给外部主机。见图5。外部主机收到数据后，立即进行TCP/IP的封装和应用协议的封装，并发送给外网。控制台收到处理完毕的信息后，立即中断隔离设备与外网的连接，恢复到完全隔离状态。见图1所示。

每一次数据交换，隔离设备经历了数据的接收，存储和转发三个过程。由于这些规则都是在内存和内核里完成的，因此速度上有保证，可以达到100%的总线处理能力。网络隔离的一个特征，就是内网与外网永不连接。内部主机和外部主机在同一时间最多只有一个同固态存储介质建立非TCP/IP协议的数据连接。其数据传输机制是存储和转发。网络隔离的好处是明显的，即使外网在最坏的情况下，内网不会有任何破坏。修复外网系统也非常容易。以上这种基于两个单边主机（内部主机和外部主机）之间的数据交换的网络隔离技术，被称作网闸。10.1.3网络隔离技术要点与发展方向1.网络隔离技术需具有的安全要点（1）要具有高度的自身安全性。隔离产品要保证自身具有高度的安全性，至少在理论和实践上要比防火墙高一个安全级别。从技术实现上，除了和防火墙一样对操作系统进行加固优化或采用安全操作系统外，关键在于要把外网接口和内网接口从一套操作系统中分离出来。也就是说至少要由两套主机系统组成，一套控制外网接口，另一套控制内网接口，然后在两套主机系统之间通过不可路由的协议进行数据交换。（2）要确保网络之间是隔离的。保证网间隔离的关键是网络包不可路由到对方网络，无论中间采用了什么转换方法，只要最终使得一方的网络包能够进入到对方的网络中，都无法称之为隔离，即达不到隔离的效果。（3）要保证网间交换的只是应用数据。既然要达到网络隔离，就必须做到彻底防范基于网络协议的攻击，即不能够让网络层的攻击包到达要保护的网络中，所以就必须进行协议分析，完成应用层数据的提取，然后进行数据交换，这样就把诸如TearDrop、Land、Smurf和SYNFlood等网络攻击包，彻底地阻挡在了可信网络之外，从而明显地增强了可信网络的安全性。（4）要对网间的访问进行严格的控制和检查。作为一套适用于高安全度网络的安全设备，要确保每次数据交换都是可信的和可控制的，严格防止非法通道的出现，以确保信息数据的安全和访问的可审计性。可采用基于会话的认证技术和内容分析与控制引擎等技术来实现。（5）要在坚持隔离的前提下保证网络畅通和应用透明。隔离产品会部署在多种多样的复杂网络环境中，并且往往是数据交换的关键点，因此，产品要具有很高的处理性能。2.网络隔离技术未来的发展方向

第五代隔离技术的出现，是在对市场上网络隔离产品和高安全度网需求的详细分析情况下产生的，它不仅很好地解决了第三代和第四代很难解决的速度瓶颈问题，并且先进的安全理念和设计思路，明显地提升了产品的安全功能，是一种创新的隔离防护手段。

第五代隔离技术的实现原理是通过专用通信设备、专有安全协议和加密验证机制及应用层数据提取和鉴别认证技术，进行不同安全级别网络之间的数据交换，彻底阻断了网络间的直接TCP/IP连接，同时对网间通信的双方、内容、过程施以严格的身份认证、内容过滤、安全审计等多种安全防护机制，从而保证了网间数据交换的安全、可控，杜绝了由于操作系统和网络协议自身漏洞带来的安全风险。10.2网闸

网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。网闸是一种网络隔离技术，它所连接的两个独立主机系统之间不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。所以网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，是“黑客”无法入侵、无法攻击、无法破坏、实现真正的安全。10.2.1网闸技术的发展

网闸，又称安全隔离与信息交换系统，是新一代高安全度的企业级信息安全防护设备，不仅使得信息网络的抗攻击能力大大增强，而且有效地防范了信息外泄事件的发生。第一代网闸的技术原理是利用单刀双掷开关，使得内外网的处理单元分时存取共享存储设备来完成数据交换。第二代网闸是在吸收了第一代网闸的优点的基础上，创造性地利用全新理念的专用交换通道（PET）技术，在不降低安全性的前提下，能够完成内外网之间高速的数据交换。10.2.2网闸工作原理

网闸技术的基本原理是：切断网络之间的通用协议连接；将数据包进行分解或重组为静态数据；对静态数据进行安全审查，包括网络协议检查和代码扫描等；确认后的安全数据流如内部单元；内部用户通过严格的身份验证机制获取所需数据（如下图）。网闸一般由三部分构成：内网处理单元、外网处理单元和专用隔离硬件交换单元。网闸技术可以广泛应用于银行、政府等部门的内部网络访问外网，也可用于内部网的不同信任域间的信息交互。病毒过滤内核防护访问控制协议转换安全审计身份验证病毒过滤内核防护协议转换内部网专用隔离硬件外部网内网处理单元外网处理单元10.2.3网闸技术的实现1.物理层和数据链路层的断开技术目前国际上网络隔离的断开技术有两大类：一是动态断开技术，如基于SCSI的开关技术和基于内存总线的开关技术。动态断开技术主要是通过开关技术来实现的。一般由两个开关和一个固态存储介质组成。既然是开关，那么什么时候开或什么时候关，都由独立的控制逻辑控制。另一类是固定断开技术，如单向传输技术。值得向用户强调的是，采用以太网线直接连接两个主机，无论其原理多么像隔离，都不是隔离，因为以太协议本身是可以被攻击的。动态断开技术不可信外网可信内网存储介质外网机内网机K1K2逻辑条件：K1=K2*K3通过两个开关的不能同时闭合来保证OSI模型物理层的断开，可能的三种情况是：K1接通，K2断开；K1断开，K2接通；K1断开，K2断开。网络隔离的断开原理

网闸OSI模型数据链路层的断开，是网闸最模糊却是最重要的环节。从目前的情况来看，市场出现的网闸有很多未能实现对OSI的第二层即数据链路层的断开。要断开OSI模型数据链路层，必须消除所有的通信协议。那些所谓的私有协议、协议转换和专用协议等措施，都没有断开数据链路层，只是将通信协议转换成了私有通信协议，或称为安全通信协议，但不是数据链路的断开。（1）基于SCSI的网闸技术

基于SCSI的网闸技术是目前最主流的网闸技术。SCSI是一个外设读写协议，而不是一个通信协议。外设协议是一个主从的单向协议，外设设备仅仅是一个介质目标，不具备任何逻辑执行能力，主机写入数据，但并不知道是否正确。需要读出写入的数据，通过比较来确认写入的数据是否正确。因此，SCSI本身已经断开了OSI模型中的数据链路，没有通信协议。但SCSI本身有一套外设读写机制，这些读写机制保证读写数据的正确性和可靠性。（2）基于总线的网闸技术基于总线的网闸技术也是目前成