物理隔离网闸，你的企业是否需要？

文章作者 100test 发表时间 2007:05:02 13:51:00
来源 100Test.Com百考试题网

对安全要求比较高的企业，一般会采用物理隔离网闸来实现企业的网络管理，而物理隔离网闸一般会应用在哪些方面呢？它同物理隔离卡、安全隔离网闸又是如何关联的呢？

物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。所以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使“黑客”无法入侵、无法攻击、无法破坏；物理隔离网闸可以解决以下威胁：操作系统漏洞，入侵，基于TCP/IP漏洞的攻击，基于协议漏洞的攻击，木马，基于隧道的攻击，基于文件的攻击等。这些是互联网目前存在的绝大部分主要威胁，物理隔离网闸在理论上是完全实现了真正的安全。
　　
　　物理隔离网闸最早出现在美国、以色列、俄罗斯等国家的军方，用以解决涉密网络与公共网络连接时的安全。俄罗斯的Ry Jones，以色列的Buky Carmeli，Elad Baron，Daniel Steiner等人都是该领域的先驱，后者现在美国开公司。目前最大的物理隔离公司当属美国的Whale communications公司，Spearhead公司也不小。随着我国电子政务快速发展，外部网络连接着广大民众，内部网络连接着政府公务员桌面办公系统，专网连接着各级政府的信息系统，在外网、内网、专网之间交换信息是基本要求。如何在保证内网和专网资源安全的前提下，实现从民众到政府的网络畅通、资源共享、方便快捷是电子政务系统建设中必须解决的技术问题。一般采取的方法是在内网与外网之间实行防火墙的逻辑隔离，在内网与专网之间实行物理隔离。出于对重要信息、文件保护的目的，物理隔离网闸开始被人们接受，物理隔离网闸成为电子政务信息系统必须配置的设备。

与物理隔离卡、安全隔离网闸的区别

　　物理隔离网闸主要由内网处理单元、外网处理单元、安全隔离与信息交换处理单元三部分组成。外网处理单元与外网（如Internet）相连，内网处理单元与内网（如军队网）相连；安全隔离与信息交换处理单元通过专用硬件断开内、外网的物理连接，并在任何时刻只与其中一个网络连接，读取等待发送的数据，然后“推送”到另一个网络上。在切换速度非常快的情况下，可以实现信息的实时交换。

　　物理隔离卡是物理隔离的低级实现形式，一个物理隔离卡只能管一台个人计算机，甚至只可能在Windows环境下工作，每次切换都需要开关机一次。物理隔离网闸是物理隔离的高级实现形式，网闸可以管理整个网络，不需要开关机。网闸实现后，原则上不再需要物理隔离卡。安全隔离是一种逻辑隔离，防火墙就是一种逻辑隔离，因此防火墙也是一种安全隔离。有些厂商对安全隔离增加了一些特点，如采用了双主机结构，但双主机之间却是通过包来转发的。

无论双主机之间采用了多么严格的安全检查，但只要是包转发，就存在基于包的安全漏洞，存在对包的攻击。这在本质上同两个防火墙串联并无本质的差别。从目前已经存在的安全隔离网闸，包括以下类型：通过串口或并口来实现双主机之间的包转发，通过USB或1394或firewire（火线）等方式来实现双主机之间的包转发，甚至是直接通过以太线来实现双主机之间的包转发，以及其他任何形式的通信方式来实现双主机之间的包转发如专用ASIC开关电路，ATM，Myrinet卡等，都是安全隔离网闸，但都不是物理隔离网闸。