关于网络隔离技术与网闸的理解

一.网络隔离的概念

两个或两个以上的计算机或网络，不相连，不相通，相互断开，同时在需要的时候能够做到两者间的信息交换。

概念来源：人工烤盘、轮渡、Sneakernet

二.常见的网络攻击类型

1.入侵

2.拒绝服务攻击（Dos）

——让本该提供的服务不能正常工作。

拒绝服务的供给方法有：

a>消耗用户的资源，包括网络宽带、服务器连接数、内存、硬盘、CPU等。

b>使服务器等机理失效，包括重定向攻击、拦截攻击等

3.信息盗窃和泄密

4.乱用网络

5.病毒和恶意代码

三、网络隔离技术在OSI模型以及TCP/IP中的关联

1.防火墙在网络层次中的位置

图1 防火墙对应的 OSI 模型和 TCP/IP 模型

2.ICMP（网间控制消息协议）的功能

2.1 流控制：当数据包到达的速度太快而无法处理时，目的主机或中间网关就会发送一个“ICMP 源站抑制消息”（ICMPSource Quench Message)块给发送者，以通知源站暂时停止发送.

2.2 检测不可达的目地：当目的地不可到达时，检测到该问题的系统就发送一个 “目的地不可达消息”（Destination Unreachable Message）给数据包的源站。如果不可达的目的地是一个网络或主机，就由中间网关发送该消息；如果是一个不可达的端口，则由目的地主机发送该消息。

2.3 重定向路由：网关发送“ICMP 重定向消息”（ICMP Redirect Message）通知主机使用另一个网关，这大概是因为另一个网关更合适。只有当源主机 与这二个网关都在同一个网络上时才能使用这一消息。

2.4 检查远程主机：一台主机可以发送“ ICMP 回送消息 ”（ ICMP Echo Message）以了解远程系统的网间协议是否正在工作。当系统接收到该回送消息时，便将同样的分组消息发送回源主机。UNIX的ping 命令就使用这一消息。

3.网络攻击在TCP/IP和OSI模型的定位

3.1 物理层

伪造用户以太卡的 MAC 地址，从而攻击物 理层的逻辑表示，达到拒绝服务的目的。

3.1 数据链路层

数据链路是一个通信协议的概念。确保在物理层上建立一个可以进行数据通信的数据链路。数据链路与物理层是高度捆绑在一起的。每一种物理硬件都存在 自己特有的通信协议，支持特有的数据链路方式。数据链路是可以被攻击的。只要存在通信协议就可以被攻击。

3.3 网络层（IP层）

对 IP 协议的攻击，是目前互联网最主要的攻击。

IP 协议存在的主要缺陷包括IP通信不需用进行身份认证，IP 数据传输没有加密，IP 的分组和重组机制不完善，IP 地址的表示不需要真实并确认真假等。像我们熟知的 IP 碎片攻击，源路由攻击，IP 欺骗，IP 伪造，Ping Flooding，Ping of Death 等大量的攻击，都是利用 IP 协议的缺陷对 IP 协议进行攻击的。

3.4 传输层

TCP 协议被攻击，主要是利用 TCP的三次握手机制。像目前流行的 SYNFlooding 攻击，ACK Flooding 攻击等都是利用TCP的三次握手机制。

对 UDP 协议的攻击，主要进行流量攻击，强化 UDP 通信的不可靠性，以达到拒绝服务的目的。

3.5 会话层

是一种典型的应用攻击。攻击者通过窃取合法用户的会话信息，然后冒充该用户，以达到非授权访问的目的，或窃取合法用户的权限和信息。

基于会话攻击最典型的案例是攻击Cookies 或 Token。

3.6 表现层

OSI 的表现层是通过格式翻译，数据的压缩与解压缩，数据的加密与解密，来提供标准的应用接口，保证不同的系统可以进行正常的应用通信。实际上是解决开放平台的问题，即多平台的计算机如何通过相同的开放网络来实现应用通信。

对表现层的攻击，就是针对格式翻译和数据处理来进行攻击的。典型的案例是 Unicode
攻击，以及计算溢出攻击。

3.7 应用层

对应用层的攻击是目前最为严重的攻击。对应用层的攻击包括的面非常宽，如对应用协议漏洞的攻击，对应用数据的攻击，对应用操作系统平台的攻击等。

四、安全点五要素

机密性完整性可用性可控性可审查性

五、目前流行的安全技术手段

防火墙、抗攻击网关、入侵检测（IDS）、入侵防御（IPS）、身份认证、VPN、防病毒、安全审计、安全管理

包过滤防火墙工作在网络层.

防火墙不知道什么地址是真实的，什么地址是假的。因为 TCP/IP 的包头的地址是可以改写的.

源地址欺骗，源地址假冒等这类攻击对包过滤防火墙非常有效.

六、网络隔离技术

到目前为止，网闸是实现网络隔离而又安全的交换数据的最为成熟的技术和产品。

1.网络隔离的技术原理

对网络隔离技术原理的通俗理解：全面断开TCP/IP和OSI数据模型的所有七层，以消除TCP/IP网络存在的攻击。

1.1 物理层的断开

物理层的逻辑表示是可以被攻击的，主要是欺骗和伪造。可通过IP和MAC绑定的办法进行认证和鉴别，以防止欺骗和伪造。

物理层的断开，并不能保证不被攻击，因为TCP协议的重连机制，可能存在断开一段时间再重连后，对内网造成对危害。FTP的断点续传是一个例子。

1.2 数据链路层的断开

数据链路是在物理层上建立一个可以进行数据通信的数据链路，是一个通信协议的概念。只要存在通信协议就可以被攻击。数据链路是可以被攻击的。

数据链路层的断开，首先必须消除所有建立通信链路的控制信号，因为这些信号是可以被攻击的。其次，每一次的数据传输，是否能够到达或正确性方面是没有保证的。再次，不能建立一个会话机制。因此，用技术术语来定义，数据链路的断开是指上一次数据传输与下一次数据传输的相关性的概率为零。

1.3 网络层的断开

剥离所有的IP协议

1.4 传输层的断开

剥离所有的IP协议

1.5 会话层的断开

断开一个应用会话的连接，消除交互式的应用会话。

1.6 表现层的断开

表现层是用于保证网络的跨平台的应用。剥离了表现层就消除了跨平台的应用。

1.7 应用层的断开

消除或剥离所有的应用协议。

网络隔离要求对OSI模型的七层全面进行断开。

2.网络隔离的技术路线

目前网络隔离的技术路线有三种：网络开关（Network Switcher），实时交换（Real-time Switch）和单向连接（One Way Link）。

2.1 网络隔离示意

图2-1 无数据交换的网络隔离断开图

图2-2 外部主机与固态存储介质交换数据示意图

图2-3 固态存储介质与内部主机数据交换示意图

图2-4内部主机与固态存储介质数据交换示意图

图2-5 固态存储介质与外部主机的数据交换示意图

每一次数据交换，隔离设备都经历了数据对接收、存储和转发三个过程。

基于两个单边主机（内部主机和外部主机）之间的网络隔离的数据交换技术，被称作网闸。

2.2网闸的技术特征

三模块架构（2+1）：两个是主机，一个是基于独立的控制电路控制的固态存储介质。

七、网闸技术的实现

动态断开技术，包括基于SCSI的开关技术和基于内存总线的开关技术。

固定断开技术：单向传输技术。

网闸必须从OSI模型的物理层上进行断开，也必须从OSI模型的数据链路上进行断开。

动态断开技术主要是通过开关技术来实现的。一般由两个开关和一个固态存储介质组成。什么时候开或什么时候关，有独立的控制逻辑来控制。