本文为作者学习文章,按作者习惯写成,如有错误或需要追加内容请留言(不喜勿喷)
本文为追加文章,后期慢慢追加
by 2023年10月
网络物理隔离概述
网络物理隔离是指通过物理隔离来划分网络区域,使得这些区域在网络上相互隔离,不能相互访问。这通常涉及到使用特殊的硬件设备,如防火墙、安全网关、虚拟专用网络(VPN)等,以保护网络中的重要资源和数据免受未经授权的访问和攻击。
网络物理隔离可以帮助组织更好地保护其网络安全,防止黑客攻击和数据泄露。通过将网络分割为不同的区域,并限制这些区域之间的交互,可以减少攻击面,提高安全性能,同时确保网络资源的高可用性。
总之,网络物理隔离是网络安全的一个重要组成部分,它可以保护组织的关键资产和数据,防止潜在的安全漏洞和威胁。
其基本原理是避免两台计算机之间直接的信息交换以及物理上的连通,以阻断两台计算机之间的直接在线网络I击。隔离的目的是阻断直接网络攻击活动,避免敏感数据向外部泄露,保障不同网络安全域之间进行信息及数交换。
采用网络物理隔离安全保护措施的网络仍然面临的风险
- (1)网络非法外联
- (2)U盘摆渡攻击
- (3)网络物理隔离产品安全隐患
- (4)针对物理隔离的攻击新方法
网络物理隔离系统
网络物理隔离系统是指通过物理隔离技术,在不同的网络安全区域间建立一个能够实现物理隔离信息交换和可信控制的系统,以满足不同安全域的信息或数据交换。
网络物理隔类型
- 按照隔离的对象来分,网络物理隔离系统一般可以分为单点隔离系统和区域隔离系统
- 按照网络物理隔离的信息传递方向,可分为双向网络物理隔离系统与单向网络物理隔离系统
物理隔离机制
物理隔离机制的实现技术,主要包括专用计算机上网、多PC 、外网代理服务、内外网线路切换器、单硬盘内外分区、双硬盘、网闸、协议隔离、单向传输、信息摆渡、物理断开等技术
- 专用计算机上网:在内部网络中指定一台计算机,这台计算机只与外部网相连,不与内部网相连。用户必须到指定的计算机才能上网,并要求用户离开自己的工作环境。
- 多PC:内部网络中,在上外网的用户桌面上安放两台PC,分别连接两个分离的物理网络台用于连接外部网络,另一台用于连接内部网络。
- 外网代理服务:在内部网指定一台或多台计算机充当服务器,负责专门搜集外部网的指定信息,然后把外网信息手工导入内部网,供内部用户使用,从而实现内部用户”上网”,又切断内网与外网的物理连接,避免内网的计算机受到来自外网的攻击。
- 内外网线路切换器:在内部网中,上外网的计算机上连接一个物理线路A/B 交换盒,通过交换盒的开关设置控制计算机的网络物理连接。
- 单硬盘内外分区:把单一硬盘分隔成不同的区域,在IDE 总线物理层上,通过一块IDE 总线信号控制卡截取IDE总线信号,控制磁盘通道的访问,在任一时间内,仅允许操作系统访问指定的分区。
- 双硬盘:在一台机器上安装两个硬盘,通过硬盘控制卡对硬盘进行切换控制,用户在连接外网时,挂接外网硬盘,而当用内网办公时,重新启动系统,挂接内部网办公硬盘。
网闸通过利用一种GAP 技术(源于英文的Air Gap),使两个或者两个以上的网络在不连通的情况下,实现它们之间的安全数据交换和共享。
协议隔离技术:处于不同安全域的网络在物理上是有连线的,通过协议转换的手段保证受保护信息在逻辑上是隔离的,只有被系统要求传输的、内容受限的信息可以通过。其中,协议转换的定义是协议的剥离和重建。把基于网络的公共协议中的应用数据剥离出来,封装为系统专用协议传递至所属其他安全域的隔离产品另一端再将专用协议剥离,并封装成需要的格式。
单向传输部件:一对具有物理上单向传输特性的传输部件,该传输部件由一对独立的发送和接收部件构成,发送和接收部件只能以单工方式工作,发送部件仅具有单一的发送功能,接收部件仅具有单一的接收功能,两者构成可信的单向信道,该信道无任何反馈信息。
信息摆渡技术:信息传输时,信息先由信息源所在安全域一端传输至中间缓存区域,同时物理断开中间缓存区域与信息自的所在安全域的连接,随后接通中间缓存区域与信息目的所在安全域的传输信道,将信息传输至信息目的所在安全域,同时在信道上物理新开信息源所在安全域与中间缓存区域的连接。在任何时刻,中间缓在区域只与一端安全域相连。
物理新开技术:处于不同安全域的网络之间不能以直接或间接的方式相连接。在一个物理网络环境中,实施不同安全域的网络物理断开,在技术上应确保信息在物理传导、物理存储上的断开。物理断开通常由电子开关来实现。