logo 华清信安枢密院丨浅谈网闸——网络隔离技术_北京华清信安科技有限公司

首页 > 枢密院社区 > 论坛区域 > 技术交流论坛
华清信安枢密院丨浅谈网闸——网络隔离技术

安全隔离网闸(GAP),又名“网闸”、“物理隔离网闸”,用以实现不同安全级别网络之间的安全隔离,并提供适度可控的数据交换的软硬件系统。

网闸是使用带有多种控制功能的固态开关读写介质,连接两个独立主机系统的信息安全设备。由于两个独立的主机系统通过网闸进行隔离,使系统间不存在通信的物理连接、逻辑连接及信息传输协议,不存在依据协议进行的信息交换,而只有以数据文件形式进行的无协议摆渡。因此,网闸从逻辑上隔离、阻断了对内网具有潜在攻击可能的一切网络连接,使外部攻击者无法直接入侵、攻击或破坏内网,保障了内部主机的安全。


网闸的特点

通常安全产品是在保障互联互通的前提下,尽可能安全。网闸则是在必须保障安全的前提下,尽可能互联互通,如果不安全则隔离断开。

在内外网数据交换过程中存在风险时,通过U盘拷贝传递数据虽然更可靠,但是U盘在转移的中间过程不可控。网闸实现了数据的交换,没有业务的链接,网络攻击就没有了载体,如同网络的“物理隔离”。


网闸的主要功能

  • 阻断网络的直接物理连接:物理隔离网闸在任何时刻都只能与非可信网络和可信网络上之一相连接,而不能同时与两个网络连接;

  • 阻断网络的逻辑连接:物理隔离网闸不依赖操作系统、不支持TCP/IP协议。两个网络之间的信息交换必须将TCP/IP协议剥离,将原始数据通过P2P的非TCP/IP连接方式,通过存储介质的“写入”与“读出”完成数据转发;

  • 安全审查:物理隔离网闸具有安全审查功能,即网络在将原始数据“写入”物理隔离网闸前,根据需要对原始数据的安全性进行检查,把可能的病毒代码、恶意攻击代码消灭干净等;

  • 原始数据无危害性:物理隔离网闸转发的原始数据,不具有攻击或对网络安全有害的特性。就像txt文本不会有病毒一样,也不会执行命令等。

  • 管理和控制功能:建立完善的日志系统。

  • 根据需要建立数据特征库:在应用初始化阶段,结合应用要求,提取应用数据的特征,形成用户特有的数据特征库,作为运行过程中数据校验的基础。当用户请求时,提取用户的应用数据,抽取数据特征和原始数据特征库比较,符合原始特征库的数据请求进入请求队列,不符合的返回用户,实现对数据的过滤。

  • 根据需要提供定制安全策略和传输策略的功能:用户可以自行设定数据的传输策略,如:传输单位(基于数据还是基于任务)、传输间隔、传输方向、传输时间、启动时间等。

  • 支持定时/实时文件交换;支持支持单向/双向文件交换;支持数字签名、内容过滤、病毒检查等功能。

网闸和防火墙的区别

防火墙是网络访问控制设备,是单主机架构,部署在网络边界。通过对防火墙的设置,可以有效阻止一些可疑的攻击行为。防火墙需要制定严格的访问控制策略对连接进行检查以抵御TCP/IP漏洞攻击,能对大部分已知TCP/IP攻击实施阻断。

网闸是网络隔离交换设备,是双主机2+1架构,部署在两个主机之间,两个主机系统相互独立。到达网闸的会话都会被中断原有的TCP/IP连接,隔离设备将所有的协议剥离,将原始的数据写入存储介质。因此,对于目前所有的如源地址欺骗、伪造TCP序列号、SYN攻击等TCP/IP漏洞攻击是完全阻断的。


网闸的应用场景

网闸的双主机之间是物理阻断无法连接的,因此当一个主机遭受网络攻击时,与其连接的另外网络也是安全的,无法被攻击者扫描。因此,在内网和外网之间发生链接时,网闸可以有效保护一些涉及敏感数据的内部网络。

1)涉密网与非涉密网之间。

2)局域网与互联网之间(内网与外网之间)。

3)办公网与业务网之间。

4)电子政务的内网与专网之间。

5)业务网与互联网之间。

网闸很好地解决了安全隔离下的信息可控交换等问题,在电子政务等敏感信息较多的领域得到了大量的应用。通过部署网闸可以有效解决电子政务内网与外网数据交换的安全问题,也可以结合防火墙、IDS、VPN等安全设备形成综合防护平台,提供更可靠的安全防御。


0条评论    浏览量:950
400-067-1560
  • 公司地址: 北京市朝阳区东大桥8号院SOHO尚都北塔B座10层、20层 (北京总部)
  • 联系电话:400-067-1560
  • Email:contact@hqsec.com
  • 离职员工背景调查(邮箱):hq-hr@hqsec.com
关注我们
Copyright © 北京华清信安科技有限公司 2023 京工信ICP备16018918号-1