关于网络隔离技术与网闸的理解
一.网络隔离的概念
两个或两个以上的计算机或网络,不相连,不相通,相互断开,同时在需要的时候能够做到两者间的信息交换。
概念来源:人工烤盘、轮渡、Sneakernet
二.常见的网络攻击类型
1.入侵
2.拒绝服务攻击(Dos)
——让本该提供的服务不能正常工作。
拒绝服务的供给方法有:
a>消耗用户的资源,包括网络宽带、服务器连接数、内存、硬盘、CPU等。
b>使服务器等机理失效,包括重定向攻击、拦截攻击等
3.信息盗窃和泄密
4.乱用网络
5.病毒和恶意代码
三、网络隔离技术在OSI模型以及TCP/IP中的关联
1.防火墙在网络层次中的位置
图1 防火墙对应的 OSI 模型和 TCP/IP 模型
2.ICMP(网间控制消息协议)的功能
2.1 流控制:当数据包到达的速度太快而无法处理时,目的主机或中间网关就会发送一个“ICMP 源站抑制消息”(ICMPSource Quench Message)块给发送者,以通知源站暂时停止发送.
2.2 检测不可达的目地:当目的地不可到达时,检测到该问题的系统就发送一个 “目的地不可达消息”(Destination Unreachable Message)给数据包的源站。如果不可达的目的地是一个网络或主机,就由中间网关发送该消息;如果是一个不可达的端口,则由目的地主机发送该消息。
2.3 重定向路由:网关发送“ICMP 重定向消息”(ICMP Redirect Message)通知主机使用另一个网关,这大概是因为另一个网关更合适。只有当源主机 与这二个网关都在同一个网络上时才能使用这一消息。
2.4 检查远程主机:一台主机可以发送“ ICMP 回送消息 ”( ICMP Echo Message)以了解远程系统的网间协议是否正在工作。当系统接收到该回送消息时,便将同样的分组消息发送回源主机。UNIX的ping 命令就使用这一消息。
3.网络攻击在TCP/IP和OSI模型的定位
3.1 物理层
伪造用户以太卡的 MAC 地址,从而攻击物 理层的逻辑表示,达到拒绝服务的目的。
3.1 数据链路层
数据链路是一个通信协议的概念。确保在物理层上建立一个可以进行数据通信的数据链路。数据链路与物理层是高度捆绑在一起的。每一种物理硬件都存在 自己特有的通信协议,支持特有的数据链路方式。数据链路是可以被攻击的。只要存在通信协议就可以被攻击。
3.3 网络层(IP层)
对 IP 协议的攻击,是目前互联网最主要的攻击。
IP 协议存在的主要缺陷包括IP通信不需用进行身份认证,IP 数据传输没有加密,IP 的分组和重组机制不完善,IP 地址的表示不需要真实并确认真假等。 像我们熟知的 IP 碎片攻击,源路由攻击,IP 欺骗,IP 伪造,Ping Flooding,Ping of Death 等大量的攻击,都是利用 IP 协议的缺陷对 IP 协议进行攻击的。
3.4 传输层
TCP 协议被攻击,主要是利用 TCP的三次握手机制。像目前流行的 SYNFlooding 攻击,ACK Flooding 攻击等都是利用TCP的三次握手机制。
对 UDP 协议的攻击,主要进行流量攻击,强化 UDP 通信的不可靠性,以达到拒绝服务的目的。
3.5 会话层
是一种典型的应用攻击。攻击者通过窃取合法用户的会话信息,然后冒充该用户,以达到非授权访问的目的,或窃取合法用户的权限和信息。
基于会话攻击最典型的案例是攻击Cookies 或 Token。
3.6 表现层
OSI 的表现层是通过格式翻译,数据的压缩与解压缩,数据的加密与解密,来提供标准的应用接口,保证不同的系统可以进行正常的应用通信。实际上是解决开放平台的问题,即多平台的计算机如何通过相同的开放网络来实现应用通信。
对表现层的攻击,就是针对格式翻译和数据处理来进行攻击的。典型的案例是 Unicode
攻击,以及计算溢出攻击。
3.7 应用层
对应用层的攻击是目前最为严重的攻击。对应用层的攻击包括的面非常宽,如对应用协议漏洞的攻击,对应用数据的攻击,对应用操作系统平台的攻击等。
四、安全点五要素
机密性 完整性 可用性 可控性 可审查性
五、目前流行的安全技术手段
防火墙、抗攻击网关、入侵检测(IDS)、入侵防御(IPS)、身份认证、VPN、防病毒、安全审计、安全管理
包过滤防火墙工作在网络层.
防火墙不知道什么地址是真实的,什么地址是假的。因为 TCP/IP 的包头的地址是可以改 写的.
源地址欺骗,源地址假冒等这类攻击对包过滤防火墙非常有效.
六、网络隔离技术
到目前为止,网闸是实现网络隔离而又安全的交 换数据的最为成熟的技术和产品。
1.网络隔离的技术原理
对网络隔离技术原理的通俗理解:全面断开TCP/IP和OSI数据模型的所有七层,以消除TCP/IP网络存在的攻击。
1.1 物理层的断开
物理层的逻辑表示是可以被攻击的,主要是欺骗和伪造。可通过IP和MAC绑定的办法进行认证和鉴别,以防止欺骗和伪造。
物理层的断开,并不能保证不被攻击,因为TCP协议的重连机制,可能存在断开一段时间再重连后,对内网造成对危害。FTP的断点续传是一个例子。
1.2 数据链路层的断开
数据链路是在物理层上建立一个可以进行数据通信的数据链路,是一个通信协议的概念。只要存在通信协议就可以被攻击。数据链路是可以被攻击的。
数据链路层的断开,首先必须消除所有建立通信链路的控制信号,因为这些信号是可以被攻击的。其次,每一次的数据传输,是否能够到达或正确性方面是没有保证的。再次,不能建立一个会话机制。因此,用技术术语来 定义,数据链路的断开是指上一次数据传输与下一次数据传输的相关性的概率为零。
1.3 网络层的断开
剥离所有的IP协议
1.4 传输层的断开
剥离所有的IP协议
1.5 会话层的断开
断开一个应用会话的连接,消除交互式的应用会话。
1.6 表现层的断开
表现层是用于保证网络的跨平台的应用。剥离了表现层就消除了跨平台的应用。
1.7 应用层的断开
消除或剥离所有的应用协议。
网络隔离要求对OSI模型的七层全面进行断开。
2.网络隔离的技术路线
目前网络隔离的技术路线有三种:网络开关(Network Switcher),实时交换(Real-time Switch)和单向连接(One Way Link)。
2.1 网络隔离示意
图2-1 无数据交换的网络隔离断开图
图2-2 外部主机与固态存储介质交换数据示意图
图2-3 固态存储介质与内部主机数据交换示意图
图2-4内部主机与固态存储介质数据交换示意图
图2-5 固态存储介质与外部主机的数据交换示意图
每一次数据交换,隔离设备都经历了数据对接收、存储和转发三个过程。
基于两个单边主机(内部主机和外部主机)之间的网络隔离的数据交换技术,被称作网闸。
2.2网闸的技术特征
三模块架构(2+1):两个是主机,一个是基于独立的控制电路控制的固态存储介质。
七、网闸技术的实现
动态断开技术,包括基于SCSI的开关技术和基于内存总线的开关技术。
固定断开技术:单向传输技术。
网闸必须从OSI模型的物理层上进行断开,也必须从OSI模型的数据链路上进行断开。
动态断开技术主要是通过开关技术来实现的。一般由两个开关和一个固态存储介质组成。什么时候开或什么时候关,有独立的控制逻辑来控制。
关于网络隔离技术与网闸的理解相关推荐
- 【云安全系列】云原生场景下的容器网络隔离技术
一.研究背景 随着云计算时代的到来,尤其是容器化技术的飞速发展,云原生作为云计算的未来阶段,其安全势必成为云安全的主要战场.从目前的云原生环境来看,云原生网络安全问题层出不穷,威胁程度逐渐上升,从业人 ...
- 网闸的理解-python脚本模拟网闸实现
文章目录 一.网闸初识 1)主要作用 2)硬件架构 二.图解网闸的实现原理 三.python脚本模拟网闸 一.网闸初识 网闸,又叫安全隔离与信息交换系统,使用一种专用的隔离芯片在电路上切断内外网连接的 ...
- 中国人民公安大学 网络对抗技术 15网安六区 杨益 201521460031
虚拟机的安装 安装windows和linux(kali)两个虚拟机. windows linux windows系统 ping命令 dir显示目录 cd进入目录 arp缓存 net share 查看计 ...
- “单向网闸”技术介绍-网络隔离的新型产品
一.信息安全的要求 按照信息保密的技术要求,涉密网络不能与互联网直接连通:涉密网络与非涉密网络连接时,若非涉密网络与互联网物理隔离,则采用双向网闸隔离涉密网络与非涉密网络:若非涉密网络与互联网是逻辑隔 ...
- “单向网闸”技术介绍
"单向网闸"技术介绍 Jack zhai 一.信息安全的要求 按照信息保密的技术要求,涉密网络不能与互联网直接连通:涉密网络与非涉密网络连接时,若非涉密网络与互联网物理隔离,则采用 ...
- 计算机网络安全隔离之网闸、光闸
目录 1.网闸.光闸的产生 2.网闸和光闸的定义 1.网闸-GAP 2.光闸-FGAP 1.网闸.光闸的产生 目前的市场上的安全隔离类产品主要有3类:网络隔离产品就是俗称的网闸,网络单向导入产品就是俗 ...
- 物理隔离与数据交换-网闸的设计原理
一.什么是网闸 网闸技术的需求来自内网与外网数据互通的要求,比如政府的电子政务是对公众服务,与互联网连通,而内网的政府办公网络,由于保密的要求,内网若与网连通,则面临来自公网的各种威胁.安全专家给出的 ...
- 物理隔离与数据交换-网闸的设计原理与误区
一.什么是网闸 网闸技术的需求来自内网与外网数据互通的要求,比如政府的电子政务是对公众服务,与互联网连通,而内网的政府办公网络,由于保密的要求,内网若与网连通,则面临来自公网的各种威胁.安全专家给出的 ...
- 物理隔离与数据交换-网闸中的核心技术
网闸中隔离控制技术的几个发展方向 网闸不同于防火墙,也不同于堡垒机,是因为网闸从物理上保证内外网的不互通,其中隔离控制部分是实现这个物理隔离的关键.这里重点分析目前流行的几种技术: 1.摆渡交换技术 ...
最新文章
- 深度学习核心技术精讲100篇(一)-数据分析中有哪些分析指标?
- ntfs 格式在linux下挂载
- 【Python】青少年蓝桥杯_每日一题_3.19_约分
- CF-346 D. Robot Control(反向建图spfa)
- 大学生python实验心得体会_大学生实验心得体会精选例文【三篇】
- 数码相机控制点的自动定位检校
- mysql1241 错误,[Err] 1241 - Operand should contain 1 column(s)错误解析
- prompt不生效之解决
- Spring MVC学习笔记——SiteMesh的使用(转)
- 分布式共识算法 (Consensus Algorithm)
- 0 full gc时cpu idle_结合GC日志讲讲CMS垃圾收集器
- 知网获取论文参考文献
- java 代码混淆原理
- 为什么MES系统等数字化管理系统,在印刷行业应用发展得如此迅速
- 为什么员工辞职时,领导都要象征性挽留一下?
- 语义分割代码实现流程
- GO语言数据结构之队列
- 这些旅游类短视频账号在快手涨粉的总结
- React的项目创建
- Codeforces 780G Andryusha and Nervous Barriers
热门文章
- 解决笔记本 无线网卡失效问题 intel wifi6 ax201 160mhz无法启动 usb根集线器失效问题
- i7运行linux虚拟机会卡吗,i7 7200 linux 虚拟机
- python 主力资金_邢不行 | 量化投资中如何计算机构、主力、散户资金流数据【视频】...
- JqGrid知识总结
- JS获取特殊字符前面的字符串
- 使用GeoServer发布WMS动态地图服务,使用openlayers访问wms服务浏览地图数据
- 北航c语言程序设计大一期末题库,北航2016C语言|程序设计题七
- 优秀课程案例:使用Scratch制作坦克大战增强版!
- Quantopian自学笔记04
- 程序猿职业规划-分析篇