网络隔离技术浅谈

摘　要：网络隔离技术是当今网络安全领域迅速发展的关键技术，由于采取了独特的技术思路，从而获得了比传统网络安全技术更为理想的安全性能，简要介绍网络隔离技术的产生及其发展历程。分析了当前隔离产品的组成以及隔离技术的原理，探讨了今后的发展方向。

关键词：网络隔离；网络安全；物理隔离
　　1．引 言
　　随着互联网上病毒泛滥、信息恐怖、计算机犯罪等威胁日益严重，防火墙的攻击率不断上升，在政府、军队、电力等领域，由于核心部门的信息安全关系着国家安全、社会稳定，因此迫切需要比传统产品更为可靠的技术防护措施。面对新型网络攻击手段的出现和高安全度网络对安全的特殊需求，全新安全防范理念的网络安全技术----“网络隔离技术”应用而生。
　　网络隔离技术的目标是确保把有害的攻击隔离，在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网络之间数据的交换。网络隔离是重要的网络安全措施，其目的是禁止网络之间的资源共享，防止一个网络的信息泄漏到另一个网络之上去。隔离是多层次和多级别的，包括泄密与非密信息的隔离，不同密级信息间的隔离，相同密级信息但属于不同拥有者之间的隔离；也包括信息存储隔离，信息传输隔离；还包括在不对高密级网络产生负面影响的前提下允许低密级网络的信息向高密级网络的流动。
　　2．网络隔离技术
　　有多种形式的网络隔离，如物理隔离、协议隔离、VPN隔离等。无论什么样式的网络隔离，最终一定要落实到数据或信息的隔离上。隔离概念是在为了保护高安全度网络环境的情况下产生的；隔离产品的大量出现，也是经历了五代隔离技术不断的实践和理论相结合后得来的。
　　第一代隔离技术——完全的隔离。此方法使得网络处于信息孤岛状态，做到了完全的物理隔离，需要至少两套网络和系统，更重要的是信息交流的不便和成本的提高，这样给维护和使用带来了极大的不便。
　　第二代隔离技术——硬件卡隔离。在客户端增加一块硬件卡，客户端硬盘或其他存储设备首先连接到该卡，然后在转接到主板上，通过该卡能控制客户端硬盘或其他存储设备。而在选择不同的硬盘时，同时选择了该卡上不同的网络接口，连接到不同的网络。但是，这种隔离产品有的仍然需要网络布线为双网线结构，产品存在着较大的安全隐患。
　　第三代隔离技术——数据转播隔离。利用转播系统分时复制文件的途径来实现隔离，切换时间非常之久，甚至需要手工完成，不仅明显的减缓了访问速度，更不支持常见的网络应用，失去了网络存在的意义。
　　第四代隔离技术——空气开关隔离。它是通过使用单刀双掷开关，使得内外部网络分时访问临时缓冲器来完成数据交换的，但在安全和性能上存在有许多问题。
　　第五代隔离技术——安全通道隔离。此技术通过专用通信硬件和专有安全协议等安全机制，来实现内外部网络的隔离和数据交换，不仅解决了以前隔离技术存在的问题，并有效地把内外部网络隔离开来，而且高效地实现了内外网数据的安全交换，透明支持多种网络应用，成为当前隔离技术的发展方向。
　　　　 第五代隔离技术的实现原理是通过专有通信设备、专有安全协议和加密验证机制及应用层数据提取和鉴别认证技术、进行不同安全级别网络之间的数据交换，彻底阻断了网络间的直接TCP/IP连接，同时对网间通信的双方、内容、过程施以严格的身份认证，内容过滤、安全审计等多种安全防护机制、从而保证了网间数据交换的安全、可控、杜绝了由于操作系统和网络协议自身漏洞带来的安全风险。
　　3．网络隔离关键技术
　　网络隔离的关键是在于系统对通信数据的控制，即通过不可路由的协议来完成网间的数据交换。隔离的关键点就是要尽量提高网间数据交换的速度，并且对应用能够透明支持，以适应复杂和高带宽需求的网间数据交换。
　　4．第五代隔离技术的原理
　　目前的网络隔离系统通常由三部分组成，即内网处理单元、外网处理单元和隔离与交换控制单元。内网处理单元和外网处理单元之间的数据交换是通过不可路由的私有协议完成。原理如图1所示。
　　






　　　　　　　　
图 1
　　外网是安全性不高的互联网，内网是安全性很高的内部专用网。正常情况下，隔离设备和外网、隔离设备和内网、外网和内网是完全断开的。保证网络之间是完全断开的。隔离和交换控制单元可以理解为纯粹的存储介质，一个单纯的调度和控制电路。
　　  当外网需要有数据到达内网的时候，以电子邮件为例，外部的服务器立即发起对隔离设备的非TCP/IP协议的数据连接，隔离设备将所有的协议剥离或重组，将原始的数据写入存储介质。根据不同的应用，可能需要对数据进行完整性和安全性检查。一旦数据完全写入隔离设备的存储介质，隔离设备立即中断与外网的连接，恢复到完全隔离状态。转而发起对内网的非TCP/IP协议的数据连接。隔离设备将存储介质内的数据通过专用隔离硬件交换到内网处理单元。内网收到数据后，立即进行TCP/IP的封装和应用协议的封装，并交给应用系统。在控制台收到完整的交换信号之后，隔离设备立即切断隔离设备与内网的直接连接。
　　每一次的数据交换，隔离设备经历了数据的接受、存储和转发三个过程。由于这些规则都是内存和内核中完成的，因此速度上有保证，可以达到100%的总线处理能力。
　　物理隔离的一个特征，就是内网和外网永不连接，内网和外网在同一时间最多只有一个同隔离设备建立非TCP/IP协议的数据连接。其数据传输机制是存储和转发。物理隔离的好处是明显的，即使外网破坏情况下，内网不会有任何破坏，修复外网系统也非常容易。
　　5．结束语
　　目前正处于第五代网络隔离设备的研发阶段。网络隔离技术正向易用性、应用融合化等方向发展、网络隔离技术在负载均衡、冗余备份、硬件密码加速，易集成管理等方面还需要进一步改进，同时更好地集成入侵防御和加密通道、数字证书等技术，将成为新一代网络隔离产品发展的趋势。为了更好的满足我国提出的内网、外网和公网的网络体系结构，从成本和易管理方面出发，三网或多网的网络隔离设备也将成为网络隔离的一个发展方向。
参考文献：
[1]陈强，付强等.浅谈网络隔离技术[J].北京交通,2010(4).
[2]王莹.网络隔离技术[J].微计算机应用,2003(5).
[3]胡林峰.网络隔离器的设计与实现[D].江南大学,2006(6).
[4]张继永.网络隔离技术与信息安全[J].中国信息界,2010(9).