網閘不同於防火牆,也不同於堡壘機,是因為網閘從物理上保證內外網的不互通,其中隔離控制部分是實現這個物理隔離的關鍵。這裡重點分析目前流行的幾種技術:
<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />
在內外網處理單元內都有自己的緩衝空間,用來儲存需要交換的資料檔案,在隔離與交換控制單元也有乙個用於資料交換區。當電子開關c點與
a點連通,交換區與內網連通,此時與外網斷開,內網中需要交換的資料寫入資料交換區,同時讀出資料交換區中從外網來的資料,完成一次擺渡。但電子開關c點與
b點連通,交換區與外網連通,此時與內網斷開,外網中需要交換的資料寫入資料交換區,同時讀出資料交換區中從內網來的資料,完成二次擺渡。
很多廠家實現了多個網路的資料交換的網閘,則把電子開關換成交換矩陣。資料的交換方式有些類似資料交換機的方式,但每個網路處理單元只與資料緩衝區中的乙個連線。因為每個網路單元同時只與乙個資料交換區連線,每個資料交換區也同時只與乙個網路單元連線,所以各個網路沒有個乙個時刻是相互連通。網路處理單元從緩衝區讀資料時,只從自己的對應緩衝區讀取,寫資料時寫入目標網路對應的緩衝區。
2上做文章
這裡總結了幾種實現的方式: ø
基於常用通訊匯流排的方式
內外介面採用工控主機方式,主機把要交換的資料通過
pci匯流排寫入
pci插卡,在
pci插卡有資料緩衝區域,電子開關是
cpld
實現的控制電路,控制內部通道1與
2的開閉。內部通道
2可以選擇不同是通訊匯流排連線,比如
pci、
usb、串列埠通訊等,也可以選擇網路方式,在圖中表示為資料傳輸專用協議。圖中顯示的是二區模型示例。
緩衝區資料緩衝儲存可以選擇
雙埠的靜態儲存器(
dual port sram
),這樣只要在儲存器的兩個埠上控制就可以了,但兩個開關不能同時閉合。 ø
基於儲存匯流排方式
儲存方式的把交換區看成本地可讀寫的硬碟,主機單元通過擴充套件卡把
scsi
儲存擴充套件,在加上控制訊號組成專用的擴充套件匯流排連線到隔離交換控制主機上。利用電子開關控制內外網的主機單元分別讀寫資料交換區域的儲存空間。
在資料交換區定義好內網或外網讀寫的固定區域:內網寫
/外網讀區域、內網讀
/外網寫區域。對交換區的讀寫採取塊方式,不能採用檔案方式,資料的校驗、檔案的還原都在主機單元中進行。
這裡採用的是
scsi
儲存方式,也可以採用
ide方式,從設計的方便上還可以選擇序列的儲存方式,如
sata
,sas
方式。也可以採用
usb盤方式,
usb的匯流排控制要簡單的多,目前
usb的空間足夠大,但速度上還有差距。
(也可能主觀隱藏的
)的病毒,被同樣擺渡到對岸。
先來分析一下***的過程: ø
***者偽裝***資訊 ø
偽裝資訊搭載正常資料通過網閘 ø
***資訊還原成自己,收集資訊,並同樣手段向***者報告 ø
***根據已經取得的許可權,進行下一步動作
從過程中我們可以看出,***是乙個雙向互動的過程,也就是說,通訊是雙向的。***者要通過進入內網的**者實行他的計畫。
既然通訊的雙向性提供了***者的通道,單向通道技術就誕生了。所謂單向,就是把通訊的收、發兩個鏈路完全分開,在乙個通道中不能完成通訊的反饋,***行為就成了半開的連線,不能發揮效果。傳送方只管傳送資料,資料方只管接收資料。
或者針對安全級別較高的網路,只允許資訊單向地流入,而沒有流出的通道,保證該網路的安全性。
資料是在通訊中交換,若只有單方向,對資料的完整性是有很大影響的。比如,資料在傳輸過程中損壞,接收方沒有通知傳送方重傳的可能,只有丟棄。對於傳送方來說,只管把資料發出,對方是否收到,資料是否可用都不知道。但通道技術在對資料完整性有一定損害的基礎上保證了安全性。
作為將單向通道技術進行改進,擴充套件了硬體的控制訊號線,加上簡單的控制訊號,實現資料的差錯重發,但沒有增加回向資料通道,所以也保證資料的單向通道方式。
從模型中可以看出:***者是無法越過單向通道網閘進行***。若***者控制了傳送方的主機單元,把***資訊傳送過去,但由於是單向通道網閘,被控制的主機單元得不到返回的資訊,不了解內部情況,所以無法實施下一步***計畫。若***者控制了接收的主機單元,由於單向通道,他無法把***工具送到另一方,當然也就無法發起***了。
單向通道技術沒有差錯重傳機制,在單向通道技術的網閘上無法實現業務資料交換**的,所以要實現業務資料的自動交換,可以在網路中使用兩個相互反向的單通道網閘,分別提供兩個資料通道,實現兩個方向的資料交換。
從匯流排技術來講,儲存匯流排把交換區看成儲存硬碟,是模擬人工擺渡的最合理技術,應用協議的阻斷是最「徹底的」,從安全性來講,單通道技術是網路安全保證性比較高的,但對業務的自動交換支援也是最差的。
要隔離,也要交換,這本身就是一對矛盾的需求,最佳的方式就是根據客戶兩個網路的具體安全需求,選擇合適的網閘實現資料的交換。我們建議採用下面的方式: ø
對於網路的保密性要求高的,採用單通道技術的網閘,保證高密級網路的資訊絕對不外流。 ø
對於從業務安全考慮的網路分離,建議採用儲存匯流排方式網閘,資料可以交換,業務連線徹底中斷。 ø
廣域網中的資料交換技術
廣域網中的資料交換技術可分為 線路交換 circuit exchanging 儲存 store and forward exchanging 交換 而儲存 交換技術又可分為 報文儲存 交換 message exchanging 報文分組儲存 交換 packet exchanging 線路交換 cir...
資料交換 分組交換與報文交換的比較
1.這兩種資料交換方式的異同點是什麼?相同點 均採用了儲存 store and forward 的交換方式。不同點 分組交換以較小的資料分組 資料報 的形式儲存 相當於並行交換資料 報文交換以完整的報文進行儲存 2.這兩種資料交換方式中哪一種傳輸速率更快呢?在不考慮分組交換中資料的拆裝時間 增加頭部...
matlab與Excel檔案的資料交換
1.呼叫xlsfinfo函式獲取檔案資訊 在讀取excel目標檔案前,可以通過xlsfinfo函式獲取該檔案的相關資訊,為後續操作獲得有效資訊 例如檔案型別 檔案內部結構 相關的軟體版本等 typ,desc,fmt xlsfinfo filename filename 用來指定目標檔案的檔名和檔案路...