文档介绍:中网物理隔离产品白皮书总论物理隔离产品是用来解决网络安全问题的。尤其是在那些需要绝对保证安全的保密网,专网和特种网络与互联网进行连接时,为了防止来自互联网的攻击和保证这些高安全性网络的保密性、安全性、完整性、防抵赖和高可用性,几乎全部要求采用物理隔离技术。学术界一般认为,最早提出物理隔离技术的,应该是以色列和美国的军方。但是到目前为止,并没有完整的关于物理隔离技术的定义和标准。从不同时期的用词也可以看出,物理隔离技术一直在演变和发展。较早的用词为 Physical Disconnection , Disconnection 有使断开,切断,不连接的意思,直译为物理断开。这种情况是完全可以理解,保密网与互联网连接后,出现很多问题,在没有解决安全问题或没有解决问题的技术手段之前,先断开再说。后来有 Physical Separation , Separation 有分开,分离,间隔和距离的意思, 直译为物理分开。后期发现完全断开也不是办法,互联网总还是要用的,采取的策略多为该连的连,不该连的不连。这样的该连的部分与不该连的部分要分开。也有 Physical Isolation , Isolation 有孤立,隔离,封闭,绝缘的意思,直译为物理封闭。事实上,没有与互联网相连的系统不多,互联网的用途还是很大,因此,希望能将一部分高安全性的网络隔离封闭起来。再后来多使用 Physical Gap , Gap 有豁口,裂口,缺口和差异的意思,直译为物理隔离,意为通过制造物理的豁口,来达到隔离的目的。到这个时候, Physica l 这个词显得非常僵硬,于是有人用 Air Gap 来代替 Physical Gap 。 Air Gap 意为空气豁口,很明显在物理上是隔开的。但有人不同意,理由是空气豁口就"物理隔离"了吗?没有,电磁辐射,无线网络,卫星等都是空气豁口,却没有物理隔离,甚至连逻辑上都没有隔离。于是, E-Gap , Netgap , I-Gap 等都出来了。现在, 一般称 Gap Technology ,意为物理隔离,成为互联网上一个专用名词。对物理隔离的理解表现为以下几个方面: 1,阻断网络的直接连接,即没有两个网络同时连在隔离设备上; 2,阻断网络的互联网逻辑连接,即 TCP/IP 的协议必需被剥离,将原始数据通过 P2P 的非 TCP/IP 连接协议透过隔离设备传递; 3,隔离设备的传输机制具有不可编程的特性,因此不具有感染的特性; 4,任何数据都是通过两级移动代理的方式来完成,两级移动代理之间是物理隔离的; 5,隔离设备具有审查的功能; 6,隔离设备传输的原始数据,不具有攻击或对网络安全有害的特性。就像 txt文本不会有病毒一样,也不会执行命令等。 7,强大的管理和控制功能。网络安全的体系架构的演变要对物理隔离技术有一个深入的了解,必须对网络安全体系架构有深入的研究。要了解网络安全的架构体系,从目前网络安全市场的构成就可以初见端倪。防火墙,防病毒, VPN 和入侵检测( IDS ),是市场的主流产品。安全体系以防火墙为核心,向联动的方向发展。因此,要了解网络安全的架构体系的演变,必须防火墙进行深入的了解。现状目前,市场上销售量第一和第二的防火墙都使用一种被称为状态检测包隔离的技术, Stateful Inspection Packet Filtering (SIPF) 。状态检测有两大优势,一是速度快,二是具有很大的灵活性。这也是 SIPF 为什么受欢迎的原因。有人会注意到我们甚至没有提到安全性,尽管人们要买防火墙,听起来是要解决安全问题, 但安全性不是人们选择防火墙的第一理由。人们选择防火墙的第一理由是易于安装和使用,尽可能的减少麻烦和对网络结构的变动,以及对业务的影响。有"防火墙之父"之称的马尔科斯( Marcus Ranum )也注意到这一点,防火墙客户有一次投票,结果前三位重要特性是透明特性,性能和方便性,而不是安全性,没有人对这个结果感到惊讶。仅有防火墙的安全架构是远远不够的目前网络安全市场上,最流行的安全架构是以防火墙为核心的安全体系架构。通过防火墙来实现网络的安全保障体系。然而,以防火墙为核心的安全防御体系未能有效地防止目前频频发生网络攻击。仅有防火墙的安全架构是远远不够的。以致于很多人都在怀疑,防火墙是不是过时了。连具?quot; 防火墙之父"马尔科斯都宣称,他再也不相信防火墙。这么说防火墙,似乎有一点过。主要的原因是前一个时期,防火墙已经成为安全的代名词,言必谈防火墙。导致很多厂商把根本不属于防火墙的东西全部推到防火墙上,如防火墙上的路由功能,甚至过分到把应用服务也搬到防火墙上,造成防火墙万能的局面,以致于"期望越高,失望越大"。虽说防火墙不是万能的,但没有防火墙却是万万不能的。防火墙至今为止还是最重要的