1，網(wǎng)絡(luò)安全隔離設(shè)備的定義

網(wǎng)絡(luò)安全隔離設(shè)備是一種通過專用的硬件使兩個網(wǎng)絡(luò)在不連通的情況下進行網(wǎng)絡(luò)間的安全數(shù)據(jù)傳輸和資源共享的網(wǎng)絡(luò)設(shè)備。因此，它有廣闊的應(yīng)用前景。在國外已被美國、以色列等國家的軍政、航天、金融等要害部門廣泛應(yīng)用。作為國際上最新的網(wǎng)絡(luò)安全技術(shù)， 網(wǎng)絡(luò)安全隔離設(shè)備獨特的硬件設(shè)計使它能夠提供比防火墻更高的安全性能，可大大提高政府、金融、軍隊等高端用戶的整體網(wǎng)絡(luò)安全強度。

網(wǎng)絡(luò)安全隔離設(shè)備將可信任的內(nèi)網(wǎng)和不可信任的外網(wǎng)進行隔離，因此必須保證內(nèi)部網(wǎng)和外部網(wǎng)之間的通信均通過網(wǎng)絡(luò)安全隔離設(shè)備進行，同時還必須保證網(wǎng)絡(luò)安全隔離設(shè)備自身的安全性；網(wǎng)絡(luò)安全隔離設(shè)備是實施內(nèi)部網(wǎng)安全策略的一部分，保證了內(nèi)部網(wǎng)的正常運行而不受外部的干擾。

2， 網(wǎng)絡(luò)安全隔離設(shè)備在網(wǎng)絡(luò)中的位置

3，網(wǎng)絡(luò)安全隔離設(shè)備訪問控制策略

訪問控制策略是網(wǎng)絡(luò)安全隔離設(shè)備的基礎(chǔ)，它可以按如下兩種邏輯來制訂：

1、 默認禁止：訪問控制規(guī)則沒有明確允許的都禁止訪問；

2、 默認允許：訪問控制規(guī)則沒有明確禁止的都允許訪問。

可以看出，前一種邏輯限制性大，后一種邏輯則比較寬松。

基于安全性考慮， StoneWall-2000 網(wǎng)絡(luò)安全隔離設(shè)備(正向型)采用的是“默認禁止”訪問控制策略。

StoneWall-2000 網(wǎng)絡(luò)安全隔離設(shè)備(正向型)簡介 工作原理：StoneWall-2000 網(wǎng)絡(luò)安全隔離設(shè)備(正向型)采用軟、硬結(jié)合的安全措施，在硬件上使用雙機結(jié)構(gòu)通過安全島裝置進行通信來實現(xiàn)物理上的隔離，及單向數(shù)據(jù)流向控制；在軟件上，采用綜合過濾、訪問控制、應(yīng)用代理技術(shù)實現(xiàn)鏈路層、網(wǎng)絡(luò)層與應(yīng)用層的隔離。在保證網(wǎng)絡(luò)透明性的同時，實現(xiàn)了對非法信息的隔離。

StoneWall-2000 網(wǎng)絡(luò)安全隔離設(shè)備(正向型)通過開關(guān)切換及數(shù)據(jù)緩沖設(shè)施來進行數(shù)據(jù)交換。開關(guān)的切換使得在任何時刻兩個網(wǎng)絡(luò)沒有直接連通，在某個時刻網(wǎng)絡(luò)安全隔離設(shè)備只能連接到一個網(wǎng)絡(luò)，而數(shù)據(jù)流經(jīng)網(wǎng)絡(luò)安全隔離設(shè)備時 TCP/IP 協(xié)議被終止，因此可以有效地防護利用網(wǎng)絡(luò)進行的外部攻擊。

StoneWall-2000 網(wǎng)絡(luò)安全隔離設(shè)備(正向型)作為代理從內(nèi)網(wǎng)的網(wǎng)絡(luò)訪問包中抽取出數(shù)據(jù)然后通過數(shù)據(jù)緩沖設(shè)施轉(zhuǎn)入外網(wǎng)，完成數(shù)據(jù)中轉(zhuǎn)。在中轉(zhuǎn)過程中，網(wǎng)絡(luò)安全隔離設(shè)備會對抽取的數(shù)據(jù)報文的 IP 地址、 MAC 地址、端口號、連接方向?qū)嵤┻^濾控制；由于網(wǎng)絡(luò)安全隔離設(shè)備采用了獨特的開關(guān)切換機制，因此，在進行過濾檢查時網(wǎng)絡(luò)實際上處于斷開狀態(tài)；通過嚴(yán)格檢查只有符合安全策略的特定數(shù)據(jù)才能進入內(nèi)網(wǎng)，因此即使黑客強行攻擊了網(wǎng)絡(luò)安全隔離設(shè)備，由于攻擊發(fā)生時內(nèi)外網(wǎng)始終處于物理斷開狀態(tài)，黑客也無法進入內(nèi)網(wǎng)。

StoneWall-2000 網(wǎng)絡(luò)安全隔離設(shè)備(正向型)在實現(xiàn)物理隔斷的同時允許可信的內(nèi)部網(wǎng)絡(luò)和不可信的外部網(wǎng)絡(luò)之間的數(shù)據(jù)和信息進行安全交換。由于網(wǎng)絡(luò)安全隔離設(shè)備僅抽取特定的合法數(shù)據(jù)進入內(nèi)網(wǎng)，因此，內(nèi)網(wǎng)不會受到網(wǎng)絡(luò)層的攻擊，這就在物理隔離的同時實現(xiàn)了數(shù)據(jù)的安全交換。

功能和特性

StoneWall-2000 網(wǎng)絡(luò)安全隔離設(shè)備(正向型)具備以下功能和特性：

具有物理隔離能力的硬件結(jié)構(gòu)：由兩個嵌入式計算機及輔助裝置形成安全島系統(tǒng)，并由安全半島調(diào)度引擎實現(xiàn)安全輪渡，保證了內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的物理隔離；

硬件數(shù)據(jù)流向控制：經(jīng)過安全隔離設(shè)備的數(shù)據(jù)流向控制是通過特定的硬件實現(xiàn)，極大地保證了內(nèi)部系統(tǒng)的安全；

連接方向的控制：可對 TCP 連接進行方向控制， TCP 連接只能由內(nèi)網(wǎng)主機建立連接，以保證內(nèi)網(wǎng)主機不向外網(wǎng)提供網(wǎng)絡(luò)服務(wù)；

多級過濾的立體訪問控制：多級過濾形成了立體的全面的訪問控制機制。它可以在鏈路層根據(jù)MAC地址進行分組過濾，在 IP 層提供基于狀態(tài)檢測的分組過濾，可以根據(jù)網(wǎng)絡(luò)地址、網(wǎng)絡(luò)協(xié)議以及 TCP、 UDP 端口進行過濾；在應(yīng)用層通過應(yīng)用代理提供對應(yīng)用協(xié)議的命令、訪問路徑、內(nèi)容等的過濾；同時還提供用戶級的鑒別和過濾控制。保證了系統(tǒng)的安全性，提高了了防護能力，增強控制的靈活性；

更強的防御功能：采用非 INTEL 系列的 RISC 處理器，減少被病毒攻擊的概率，采用專門裁剪的 LINUX 內(nèi)核，取消所有系統(tǒng)網(wǎng)絡(luò)功能。這不但提高了安全性，而且保證了高性能；

支持實時報警

支持多種工作模式，包括無 IP 地址透明監(jiān)聽、網(wǎng)絡(luò)地址轉(zhuǎn)換、混合工作模式、雙向網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）：可以支持無 IP 地址透明監(jiān)聽、網(wǎng)絡(luò)地址轉(zhuǎn)換、混合工作模式。隔離設(shè)備沒有 IP 地址，非法用戶無法對隔離設(shè)備本身進行網(wǎng)絡(luò)攻擊。同時雙向 NAT，隱藏內(nèi)部網(wǎng)絡(luò)主機 IP 地址。不但便于實施，又提高了安全性能；

真正實現(xiàn)了透明接入：在接入網(wǎng)絡(luò)安全隔離設(shè)備后，不影響現(xiàn)有的網(wǎng)絡(luò)應(yīng)用的數(shù)據(jù)傳輸，正常使用網(wǎng)絡(luò)的合法用戶來對本設(shè)備是不可感知的。

安全方便的維護管理：StoneWall-2000 網(wǎng)絡(luò)安全隔離設(shè)備(正向型)配置非常簡便，對它的操作及設(shè)置基本上只需使用規(guī)則配置管理工具就可以實現(xiàn)。StoneWall-2000 網(wǎng)絡(luò)安全隔離設(shè)備(正向型)提供了兩種不同的規(guī)則配置管理工具：GUI 管理工具、CLI 管理工具。

設(shè)定范例通過 HUB 連接的網(wǎng)絡(luò)結(jié)構(gòu)拓撲圖

我公司致力于為電力物聯(lián)網(wǎng)、能源互聯(lián)網(wǎng)領(lǐng)域，提供二次安全防護產(chǎn)品和售后服務(wù)整體解決方案。

二次安防產(chǎn)品：網(wǎng)絡(luò)安全隔離、縱密、網(wǎng)安及其服務(wù)；

可控微機與周邊產(chǎn)品：可控計算機（工作站）、打印機

電力物聯(lián)網(wǎng)領(lǐng)域：在線監(jiān)測、信息安全互聯(lián)網(wǎng)安全領(lǐng)域：云計算、服務(wù)器、交換機、安防監(jiān)控

審核編輯：劉清