1,網(wǎng)絡(luò)安全隔離設(shè)備的定義
網(wǎng)絡(luò)安全隔離設(shè)備是一種通過(guò)專用的硬件使兩個(gè)網(wǎng)絡(luò)在不連通的情況下進(jìn)行網(wǎng)絡(luò)間的安全數(shù)據(jù)傳輸和資源共享的網(wǎng)絡(luò)設(shè)備。因此,它有廣闊的應(yīng)用前景。在國(guó)外已被美國(guó)、以色列等國(guó)家的軍政、航天、金融等要害部門廣泛應(yīng)用。作為國(guó)際上最新的網(wǎng)絡(luò)安全技術(shù), 網(wǎng)絡(luò)安全隔離設(shè)備獨(dú)特的硬件設(shè)計(jì)使它能夠提供比防火墻更高的安全性能,可大大提高政府、金融、軍隊(duì)等高端用戶的整體網(wǎng)絡(luò)安全強(qiáng)度。
網(wǎng)絡(luò)安全隔離設(shè)備將可信任的內(nèi)網(wǎng)和不可信任的外網(wǎng)進(jìn)行隔離,因此必須保證內(nèi)部網(wǎng)和外部網(wǎng)之間的通信均通過(guò)網(wǎng)絡(luò)安全隔離設(shè)備進(jìn)行,同時(shí)還必須保證網(wǎng)絡(luò)安全隔離設(shè)備自身的安全性;網(wǎng)絡(luò)安全隔離設(shè)備是實(shí)施內(nèi)部網(wǎng)安全策略的一部分,保證了內(nèi)部網(wǎng)的正常運(yùn)行而不受外部的干擾。
2, 網(wǎng)絡(luò)安全隔離設(shè)備在網(wǎng)絡(luò)中的位置
3,網(wǎng)絡(luò)安全隔離設(shè)備訪問(wèn)控制策略
訪問(wèn)控制策略是網(wǎng)絡(luò)安全隔離設(shè)備的基礎(chǔ),它可以按如下兩種邏輯來(lái)制訂:
1、 默認(rèn)禁止:訪問(wèn)控制規(guī)則沒(méi)有明確允許的都禁止訪問(wèn);
2、 默認(rèn)允許:訪問(wèn)控制規(guī)則沒(méi)有明確禁止的都允許訪問(wèn)。
可以看出,前一種邏輯限制性大,后一種邏輯則比較寬松。
基于安全性考慮, StoneWall-2000 網(wǎng)絡(luò)安全隔離設(shè)備(正向型)采用的是“默認(rèn)禁止”訪問(wèn)控制策略。
StoneWall-2000 網(wǎng)絡(luò)安全隔離設(shè)備(正向型)簡(jiǎn)介 工作原理:StoneWall-2000 網(wǎng)絡(luò)安全隔離設(shè)備(正向型)采用軟、硬結(jié)合的安全措施,在硬件上使用雙機(jī)結(jié)構(gòu)通過(guò)安全島裝置進(jìn)行通信來(lái)實(shí)現(xiàn)物理上的隔離,及單向數(shù)據(jù)流向控制;在軟件上,采用綜合過(guò)濾、訪問(wèn)控制、應(yīng)用代理技術(shù)實(shí)現(xiàn)鏈路層、網(wǎng)絡(luò)層與應(yīng)用層的隔離。在保證網(wǎng)絡(luò)透明性的同時(shí),實(shí)現(xiàn)了對(duì)非法信息的隔離。
StoneWall-2000 網(wǎng)絡(luò)安全隔離設(shè)備(正向型)通過(guò)開(kāi)關(guān)切換及數(shù)據(jù)緩沖設(shè)施來(lái)進(jìn)行數(shù)據(jù)交換。開(kāi)關(guān)的切換使得在任何時(shí)刻兩個(gè)網(wǎng)絡(luò)沒(méi)有直接連通,在某個(gè)時(shí)刻網(wǎng)絡(luò)安全隔離設(shè)備只能連接到一個(gè)網(wǎng)絡(luò),而數(shù)據(jù)流經(jīng)網(wǎng)絡(luò)安全隔離設(shè)備時(shí) TCP/IP 協(xié)議被終止,因此可以有效地防護(hù)利用網(wǎng)絡(luò)進(jìn)行的外部攻擊。
StoneWall-2000 網(wǎng)絡(luò)安全隔離設(shè)備(正向型)作為代理從內(nèi)網(wǎng)的網(wǎng)絡(luò)訪問(wèn)包中抽取出數(shù)據(jù)然后通過(guò)數(shù)據(jù)緩沖設(shè)施轉(zhuǎn)入外網(wǎng),完成數(shù)據(jù)中轉(zhuǎn)。在中轉(zhuǎn)過(guò)程中,網(wǎng)絡(luò)安全隔離設(shè)備會(huì)對(duì)抽取的數(shù)據(jù)報(bào)文的 IP 地址、 MAC 地址、端口號(hào)、連接方向?qū)嵤┻^(guò)濾控制;由于網(wǎng)絡(luò)安全隔離設(shè)備采用了獨(dú)特的開(kāi)關(guān)切換機(jī)制,因此,在進(jìn)行過(guò)濾檢查時(shí)網(wǎng)絡(luò)實(shí)際上處于斷開(kāi)狀態(tài);通過(guò)嚴(yán)格檢查只有符合安全策略的特定數(shù)據(jù)才能進(jìn)入內(nèi)網(wǎng),因此即使黑客強(qiáng)行攻擊了網(wǎng)絡(luò)安全隔離設(shè)備,由于攻擊發(fā)生時(shí)內(nèi)外網(wǎng)始終處于物理斷開(kāi)狀態(tài),黑客也無(wú)法進(jìn)入內(nèi)網(wǎng)。
StoneWall-2000 網(wǎng)絡(luò)安全隔離設(shè)備(正向型)在實(shí)現(xiàn)物理隔斷的同時(shí)允許可信的內(nèi)部網(wǎng)絡(luò)和不可信的外部網(wǎng)絡(luò)之間的數(shù)據(jù)和信息進(jìn)行安全交換。由于網(wǎng)絡(luò)安全隔離設(shè)備僅抽取特定的合法數(shù)據(jù)進(jìn)入內(nèi)網(wǎng),因此,內(nèi)網(wǎng)不會(huì)受到網(wǎng)絡(luò)層的攻擊,這就在物理隔離的同時(shí)實(shí)現(xiàn)了數(shù)據(jù)的安全交換。
功能和特性
StoneWall-2000 網(wǎng)絡(luò)安全隔離設(shè)備(正向型)具備以下功能和特性:
具有物理隔離能力的硬件結(jié)構(gòu):由兩個(gè)嵌入式計(jì)算機(jī)及輔助裝置形成安全島系統(tǒng),并由安全半島調(diào)度引擎實(shí)現(xiàn)安全輪渡,保證了內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的物理隔離;
硬件數(shù)據(jù)流向控制:經(jīng)過(guò)安全隔離設(shè)備的數(shù)據(jù)流向控制是通過(guò)特定的硬件實(shí)現(xiàn),極大地保證了內(nèi)部系統(tǒng)的安全;
連接方向的控制:可對(duì) TCP 連接進(jìn)行方向控制, TCP 連接只能由內(nèi)網(wǎng)主機(jī)建立連接,以保證內(nèi)網(wǎng)主機(jī)不向外網(wǎng)提供網(wǎng)絡(luò)服務(wù);
多級(jí)過(guò)濾的立體訪問(wèn)控制:多級(jí)過(guò)濾形成了立體的全面的訪問(wèn)控制機(jī)制。它可以在鏈路層根據(jù)MAC地址進(jìn)行分組過(guò)濾,在 IP 層提供基于狀態(tài)檢測(cè)的分組過(guò)濾,可以根據(jù)網(wǎng)絡(luò)地址、網(wǎng)絡(luò)協(xié)議以及 TCP、 UDP 端口進(jìn)行過(guò)濾;在應(yīng)用層通過(guò)應(yīng)用代理提供對(duì)應(yīng)用協(xié)議的命令、訪問(wèn)路徑、內(nèi)容等的過(guò)濾;同時(shí)還提供用戶級(jí)的鑒別和過(guò)濾控制。保證了系統(tǒng)的安全性,提高了了防護(hù)能力,增強(qiáng)控制的靈活性;
更強(qiáng)的防御功能:采用非 INTEL 系列的 RISC 處理器,減少被病毒攻擊的概率,采用專門裁剪的 LINUX 內(nèi)核,取消所有系統(tǒng)網(wǎng)絡(luò)功能。這不但提高了安全性,而且保證了高性能;
支持實(shí)時(shí)報(bào)警
支持多種工作模式,包括無(wú) IP 地址透明監(jiān)聽(tīng)、網(wǎng)絡(luò)地址轉(zhuǎn)換、混合工作模式、雙向網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT):可以支持無(wú) IP 地址透明監(jiān)聽(tīng)、網(wǎng)絡(luò)地址轉(zhuǎn)換、混合工作模式。隔離設(shè)備沒(méi)有 IP 地址,非法用戶無(wú)法對(duì)隔離設(shè)備本身進(jìn)行網(wǎng)絡(luò)攻擊。同時(shí)雙向 NAT,隱藏內(nèi)部網(wǎng)絡(luò)主機(jī) IP 地址。不但便于實(shí)施,又提高了安全性能;
真正實(shí)現(xiàn)了透明接入:在接入網(wǎng)絡(luò)安全隔離設(shè)備后,不影響現(xiàn)有的網(wǎng)絡(luò)應(yīng)用的數(shù)據(jù)傳輸,正常使用網(wǎng)絡(luò)的合法用戶來(lái)對(duì)本設(shè)備是不可感知的。
安全方便的維護(hù)管理:StoneWall-2000 網(wǎng)絡(luò)安全隔離設(shè)備(正向型)配置非常簡(jiǎn)便,對(duì)它的操作及設(shè)置基本上只需使用規(guī)則配置管理工具就可以實(shí)現(xiàn)。StoneWall-2000 網(wǎng)絡(luò)安全隔離設(shè)備(正向型)提供了兩種不同的規(guī)則配置管理工具:GUI 管理工具、CLI 管理工具。
設(shè)定范例通過(guò) HUB 連接的網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D
我公司致力于為電力物聯(lián)網(wǎng)、能源互聯(lián)網(wǎng)領(lǐng)域,提供二次安全防護(hù)產(chǎn)品和售后服務(wù)整體解決方案。
二次安防產(chǎn)品:網(wǎng)絡(luò)安全隔離、縱密、網(wǎng)安及其服務(wù);
可控微機(jī)與周邊產(chǎn)品:可控計(jì)算機(jī)(工作站)、打印機(jī)
電力物聯(lián)網(wǎng)領(lǐng)域:在線監(jiān)測(cè)、信息安全互聯(lián)網(wǎng)安全領(lǐng)域:云計(jì)算、服務(wù)器、交換機(jī)、安防監(jiān)控
審核編輯:劉清
-
處理器
+關(guān)注
關(guān)注
68文章
19259瀏覽量
229652 -
數(shù)據(jù)傳輸
+關(guān)注
關(guān)注
9文章
1880瀏覽量
64557 -
TCPIP協(xié)議
+關(guān)注
關(guān)注
0文章
35瀏覽量
11930 -
LINUX內(nèi)核
+關(guān)注
關(guān)注
1文章
316瀏覽量
21644 -
UDP通信
+關(guān)注
關(guān)注
0文章
21瀏覽量
1901
原文標(biāo)題:網(wǎng)絡(luò)安全隔離設(shè)備StoneWall-2000 原理及應(yīng)用
文章出處:【微信號(hào):dldzjsyyy,微信公眾號(hào):電力電子技術(shù)與應(yīng)用】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論