主要功能
1、阻断网络的直接物理连接:物理隔离网闸在任何时刻都只能与非可信网络和可信网络上之一相连接,而不能同时与两个网络连接;
2、阻断网络的逻辑连接:物理隔离网闸不依赖操作系统、不支持TCP/IP协议 。两个网络之间的信息交换必须将TCP/IP协议剥离,将原始数据通过P2P的非TCP/IP连接方式,通过存储介质的“写入”与“读出”完成数据转发;
3、安全审查:物理隔离网闸具有安全审查功能,即网络在将原始数据“写入”物理隔离网闸前,根据需要对原始数据的安全性进行检查,把可能的病毒代码、恶意攻击代码消灭干净等;
4、原始数据无危害性:物理隔离网闸转发的原始数据,不具有攻击或对网络安全有害的特性 。就像txt文本不会有病毒一样,也不会执行命令等 。
5、管理和控制功能:建立完善的日志系统 。
6、根据需要建立数据特征库:在应用初始化阶段,结合应用要求,提取应用数据的特征,形成用户特有的数据特征库,作为运行过程中数据校验的基础 。当用户请求时,提取用户的应用数据,抽取数据特征和原始数据特征库比较,符合原始特征库的数据请求进入请求队列,不符合的返回用户,实现对数据的过滤 。
7、根据需要提供定制安全策略和传输策略的功能:用户可以自行设定数据的传输策略,如:传输单位(基于数据还是基于任务)、传输间隔、传输方向、传输时间、启动时间等 。
8、支持定时/实时文件交换;支持支持单向/双向文件交换;支持数字签名、内容过滤、病毒检查等功能 。
工作原理
安全隔离网闸的组成:
安全隔离网闸是实现两个相互业务隔离的网络之间的数据交换,通用的网闸模型设计一般分三个基本部分:
1、 内网处理单元:包括内网接口单元与内网数据缓冲区 。接口部分负责与内网的连接,并终止内网用户的网络连接,对数据进行病毒检测、防火墙、入侵防护等安全检测后剥离出“纯数据”,作好交换的准备,也完成来自内网对用户身份的确认,确保数据的安全通道;数据缓冲区是存放并调度剥离后的数据,负责与隔离交换单元的数据交换 。
2、 外网处理单元:与内网处理单元功能相同,但处理的是外网连接 。
3、 隔离与交换控制单元(隔离硬件):是网闸隔离控制的摆渡控制,控制交换通道的开启与关闭 。控制单元中包含一个数据交换区,就是数据交换中的摆渡船 。对交换通道的控制的方式目前有两种技术,摆渡开关与通道控制 。摆渡开关是电子倒换开关,让数据交换区与内外网在任意时刻的不同时连接,形成空间间隔GAP,实现物理隔离 。通道方式是在内外网之间改变通讯模式,中断了内外网的直接连接,采用私密的通讯手段形成内外网的物理隔离 。该单元中有一个数据交换区,作为交换数据的中转 。
其中,三个单元都要求其软件的操作系统是安全的,也就是采用非通用的操作系统,或改造后的专用操作系统 。一般为Unix BSD或Linux的经安全精简版本,或者其他是嵌入式操作系统等,但都要对底层不需要的协议、服务删除,使用的协议优化改造,增加安全特性,同时提高效率 。
如果针对网络七层协议,安全隔离网闸是在硬件链路层上断开 。
区别比较
1、与物理隔离卡的区别
安全隔离网闸与物理隔离卡最主要的区别是,安全隔离网闸能够实现两个网络间的自动的安全适度的信息交换,而物理隔离卡只能提供一台计算机在两个网之间切换,并且需要手动操作,大部分的隔离卡还要求系统重新启动以便切换硬盘 。
推荐阅读
- 邯郸市教育考试院网站登录入口_河北邯郸市教育考试院
- 安定的近义词和反义词,安定的近义词是什么 标准答案
- 2022世界最美女人 世界最美女人 第一名
- 秋葵吃了会腹泻呕吐吗
- 五险一金指什么有退休金吗 五险一金指什么和社保有什么区别吗
- 龙舌兰酒价格表_龙舌兰酒价格一览
- 英语趣味故事小短文英语趣味故事思维导图
- 生产技术部工作职责和内容生产技术部部长岗位职责
- 头条的诸位大神,有什么好的音乐播放器推荐一下?