网闸技术白皮书
1产品概述
随着网络技术的不断应用和完善,Internet正在越来越多地渗透到社会的各个方面。一方面,企业上网、电子商务、远程教育、远程医疗等一系列网络应用蓬勃发展,人们的日常生活与网络的关系日益密切;另一方面,网络用户组成越来越多样化,出于各种目的的网络入侵和攻击越来越频繁。人们在享受互联网所带来的丰富、便捷的信息同时,也日益感受到频繁的网络攻击、病毒泛滥、非授权访问、信息泄密等问题所带来的困扰。
传统的安全产品可以以不同的方式满足我们保护数据和网络安全的需要,但不可能完全解决网络间信息的安全交换问题,因为各种安全技术都有其局限性。为保护重要内部系统的安全,2000年1月,国家保密局发布实施《计算机信息系统国际互联网保密管理规定》,明确要求:“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连,必须实行物理隔离。” 中共中央办公厅2002年第17号文件《国家信息化领导小组关于我国电子政务建设指导意见》也明确强调:“政务内网和政务外网之间物理隔离,政务外网与互联网之间逻辑隔离。”
在不同安全等级的网络及系统之间实施安全隔离是一个行之有效的安全保密措施,可切断信息泄漏的途径。最初的解决方案很简单,即通过人工的操作来实现。如下图所示:
在不同安全等级的网络中进行信息交换的时候,由指定人员将需要转移的数据拷贝到软盘等移动存储介质上,经过查病毒、内容检查等安全处理后,再复制到目标网络中。这种解决方案可实现网络的安全隔离,但数据的交换通过人来实现,工作效率低;安全性完全依赖于人的因素,可靠性无法保证。在数据量不大,交换不频繁的情况下,通过人工交换数据的确简单可行。然而,随着电子政务的开展,内外网交换数据的数量和频率呈几何量级上升,这种解决方案已经越来越无法满足用户的需要。如何保证信息在不同安全等级的网络间安全交换成为制约电子政务发展的瓶颈。
网神SecSIS 3600安全隔离与信息交换系统(简称:“网闸”)是新一代网络安全隔离产品。该产品采用专用硬件和模块化的工作组件设计,集成安全隔离、实时信息交换、协议分析、内容检测、访问控制、安全决策等多种安全功能为一体,适合部署于不同安全等级的网络间,在实现多个网络安全隔离的同时,实现高速的、安全的数据交换,提供可靠的信息交换服务。
网闸可广泛应用于各级政府机关、军队、公安、科研院校及民航、电力、石油、金融、证券、交通等网络环境,实现信息的安全交换。尤其适合于电子政务、网上工商、网上报税、网上报关、电子审批、政府信息系统管理等需要
严格内外网隔离的应用环境。
2产品原理
网闸的工作基于人工信息交换的操作模式,即由内外网主机模块分别负责接收来自所连接网络的访问请求,两模块间没有直接的物理连接,形成一个物理隔断,从而保证可信网和非可信网之间没有数据包的交换,没有网络连接的建立。在此前提下,通过专有硬件实现网络间信息的实时交换。这种交换并不是数据包的转发,而是应用层数据的静态读写操作,因此可信网的用户可以通过安全隔离与信息交换系统放心的访问非可信网的资源,而不必担心可信网的安全受到影响。
信息通过网闸传递需经过多个安全模块的检查,以验证被交换信息的合法性。当访问请求到达内外网主机模块时,首先由网闸实现TCP连接的终结,确保TCP/IP协议不会直接或通过代理方式穿透网闸;然后,内外网主机模块会依据安全策略对访问请求进行预处理,判断是否符合访问控制策略,并依据RFC 或定制策略对数据包进行应用层协议检查和内容过滤,检验其有效载荷的合法性和安全性。一旦数据包通过了安全检查,内外网主机模块会对数据包进行格式化,将每个合法数据包的传输信息和传输数据分别转换成专有格式数据,存放在缓冲区等待被隔离交换模块处理。这种“静态”的数据形态不可执行,不依赖于任何通用协议,只能被网闸的内部处理机制识别及处理,因此可避免遭受利用各种已知或未知网络层漏洞的威胁。如下图所示:
网闸通过专有的隔离交换卡实现内外网主机模块的缓冲区内存映射功能,将指定区域的数据复制到对端相应的区域,完成数据的交换。隔离交换卡内嵌安全芯片,采用高速全双工流水线设计,内部吞吐速率达5Gbps,完全可以满足高速数据交换的需要。
隔离交换模块固化控制逻辑,与内外网模块间只存在内存缓冲区的读写操作,没有任何网络协议和数据包的转发。隔离交换子系统采用互斥机制,在读写一端主机模块的数据前先中止对另一端的操作,确保隔离交换系统不会同时对内外网主机模块的数据进行处理,以保证在任意时刻可信网与非可信网间不存在链路层通路,实现网络的安全隔离。
当内外网主机模块通过隔离交换模块接收到来自另一端的格式化数据,可根据本端的安全策略进行进一步的应用层安全检查。经检验合格,则进行逆向转换,将格式化数据转换成符合RFC标准的TCP/IP数据包,将数据包发送到目的计算机,完成数据的安全交换。
3产品功能说明
3.1丰富的应用模块
网闸采用模块化的系统结构设计,根据不同的应用环境,量身定制多个功能模块,以满足用户的不同需求,主要包括:
●文件交换模块:实现不同安全等级网络间文件的安全交换。
●数据库同步模块:通过灵活的同步机制,保证安全等级不同的网络中的
数据库系统实现数据同步更新。
●邮件交换模块:保证在内外网隔离的环境下实现安全的邮件收发。
●安全浏览模块:保证在内外网隔离的环境下,内网用户安全浏览外网资
源。
●通用模块:保证内外网隔离的同时实现FTP、DNS、TNS等协议及其他通
用TCP/IP协议的定制交换。
●其它定制用户专有应用模块。
3.2访问控制
系统支持强大的访问控制策略,支持通过源地址、目的地址、端口、协议等多种元素对允许通过网闸传输的数据进行过滤,判断是否符合组织安全策略。
3.3地址绑定
提供IP与MAC地址绑定功能,可对指定接口所连接的网络中的主机的IP 和MAC 地址进行绑定,防止内部用户盗用IP和内网地址资源分配的混乱,方
广电网络EPON产品--技术白皮书
广电网络EPON产品应用 技术白皮书
目录 1、前言 (3) 2、EPON技术简介 (4) 3、ACE公司EPON产品简介 (15) 3.1 ACE公司EPON产品 (15) 3.2 ACE公司EPON产品功能表 (23) 4、 EPON方式双向改选的业务能力分析 (25) 5、 ACE公司EPON产品与EOC技术的无缝对接 (26) 6、附件1:HFC双向改造成本核算与方案选择 (35)
1、前言 广电网络行业主要负责有线广播电视网络建设、开发、经营和管理及有线电视节目的收转和传送。 近年来广电行业的迅猛发展,建设投入的增加,其业务也逐渐扩大,逐渐形成了现有的以光纤为主的有线电视光纤、电缆混合网络。有线电视用户可通过有线广播电视光缆网收看到多套稳定、清晰的电视节目和收听多套广播电台高保真立体广播。 随着用户对新业务需求的增加,使得广电网络迫切的需求在开展广播电视基本业务的同时,利用有线广播电视网的宽带网络优势,开发广播电视网络的增值业务,例如宽带IP、数字电视、广播系统等。由于EPON系统在光纤网络传输方面的天然优势,使得它在广电网络应用中存在非常大的潜力。
2. 无源光纤网络(PON)技术简介 2.1 PON的演化与分类 业界多年来一直认为,PON是接入网未来的方向,它在解决宽频接入问题上普遍被看好,无论在设备或维运网管方面,它的成本相对便宜,提供的频宽足以应付未来的各种宽频业务需求。 PON自从在20世纪80年代被采用至今为止已经历经几个发展阶段,电信运营商和设备制造商开发了多种协议和技术以便使PON解决方案能更好的满足接入网市场要求。 最初PON标准是基于ATM的,即APON。APON是由FSAN/ITU定义了相应G..983建议,以ATM协议为载体,下行以155.52Mb/s或622.08Mb/s的速率发送连续的ATM信元,同时将物理层OAM信元插入数据流中。上行以突发的ATM的信元方式发送数据流,并在每个53字节长的ATM信元头增加3字节的物理层开销,用以支持突发发射和接收。 目前则有两个颇为引人注目的新的PON标准
网闸穿透原理与安全-wwi
1、引言 随着公司一些局端应用系统的在各地的部署、上线,大家越来越多听说或者接触到网闸的概念,也基本都知道网闸能进行物理隔离的原理,大致就是相当于三台机器,在两个网络之间进行高速切换,以安全、高效的摆渡数据,其原理大致如下: 硬件结构原理图 Copyright Reserved by 天行网安2000-2002 但是,随着一些业务系统对实时性要求的提高,传统网闸的文件搬运已经无法满足大多数应用的需要,所以越来越多的出现所谓的“穿透性的网闸”,简单说就是对于内外网的应用来说,网闸基本可以看做是透明的,从某种角度看,和防火墙差不多,简单描绘如下: 因此局端系统的设计,也经常需要考虑网闸的这种穿透的特性,讨论应用程序针对性设计,那么在讨论过程中,就发现很多人有疑惑:这种穿透性网闸和防火墙在原理上到底有没有区别?能达到一定的安全性吗?否则为什么客户要花钱买这种设备呢? 注:本文重点不在于描述网闸的物理隔离、摆渡、搬运等内部的原理,这方面读者有兴趣的话,自行找资料深入研究即可; 另注:由于各品牌网闸的穿透原理不尽相同,而且各品牌在对外宣传上都不会突出“穿透”字眼,毕竟没有摆渡方式安全,所以我们接触过的相关网闸技术资料中,即使有穿透,也都是描述如何配置、如何操作的层面,没有相关原理的描述,所以本文的描述是基于我们
某位很有钻研精神的同事在陕西部署系统之际,通过与某品牌网闸工程师的沟通,我们自己汇总出来的,也许与实际并不相符,但这种描述,理论上貌似是可行的,谨供参考。 2、网闸穿透原理 2.1支持几种协议穿透 如上文所述,穿透性网闸,支持好多种网络协议,比如http、ftp等,下面以ftp协议的穿透为例,描述一下其具体的原理: 从图中可以明显看出,网闸对FTP协议的穿透,关键就在于两点:一是利用FTP协议的规范性,就可以模拟FTP服务器端,接受并解析请求,然后再一层层转发该请求直到真实的服务器端;二是通过这种转发,其内部实现可以利用自己的固有的安全协议,对数据进行分片、传递和重组; 2.2支持数据库同步 另外穿透性网闸,一般也都支持数据库同步,其实质并不是真的数据库穿透,也就是说网闸一边的系统,是肯定不能直接访问到另一边的数据库,其同步的原理,大致就是通过相关设置,使得数据库中某张表的数据一旦变更(增、删、改),就能够被网闸检测到,并能将其按一定规则组织成数据包交换到网闸的另一侧,同时网闸另一侧能够根据相关设置,主动去更新目标数据库中对应表的数据,具体示意图如下:
网络视频监控内外网互通与安全隔离解决方案备课讲稿
近年来,随着网络视频监控在各个行业的广泛部署,如何保证整个系统在网络层面的安全性越来越成为大家关注的重点。尤其是在面临专网视频监控系统(内部)与公网视频监控系统(外部)进行互通时,这个问题显得尤为突出。 平安城市就是一个很典型的例子。在平安城市的建设中,需要构建一个能够覆盖城市重要单位、重点场所、主要路口、主要出入通道、治安卡口、学校、居民小区等各个层面的社会面治安监控系统,整个系统的控制和管理基本上都归口到当地公安部门。而上面提到的这些监控部位,有些是属于公安专网的,比如治安卡口、重点场所,有些是属于外部网络的,比如学校、居民小区、网吧等。为了实现这些监控资源的统一调用和灵活共享,公安专网的视频监控系统与外部的视频监控系统必须要进行网络化互联,而根据保密要求,公安专网与外部网络又必须要进行物理隔离,这样就存在一个无法回避的矛盾。 而且,随着中国电信、中国网通分别通过“全球眼”和“宽视界”两大运营级网络视频监控系统对平安城市建设的介入,将会有越来越多的社会面监控资源承载在公网平台上,安全隔离将成为公安部门通过其专网视频监控系统进行社会面监控资源调用时的主要障碍。 为此,科达将目前在公安、政府、军队等涉密专网中广泛使用的网闸技术应用到了运营级和ViewShot两大网络视频监控产品中,推出了基于网闸的网络视频监控安全隔离解决方案,可以在保证系统物理隔离的情况下,实现内、外网监控资源的灵活调用,从而有效解决上面提到的问题。 网闸原理与应用 网闸(或物理隔离网闸)是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于网闸所连接的两个独立主机系统之间,不存在通信的物理连接与逻辑连接,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,所以,网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,可以实现真正的安全。 网闸在网络环境中的位置:
工业以太网与现场总线的优缺点 整理
工业以太网与现场总线的优缺点 1 引言 用于办公室和商业的以太网伴随着现场总线大战硝烟已悄悄地进入了控制领域,近年来以太网更是走向前台,发展迅速,颇引人注目。究其原因,主要由于工业自动化系统正向分布化、智能化的实时控制方面发展,其中通信已成为关键,用户对统一的通信协议和网络的要求日益迫切。另一方面,Intranet/Internet等信息技术的飞速发展,要求企业从现场控制层到管理层能实现全面的无缝信息集成,并提供一个开放的基础构架,而目前的现场总线尚不能满足这些要求。 现场总线的出现确实给工业自动化带来一场深层次的革命,但多种现场总线互不兼容,不同公司的控制器之间不能实现高速的实时数据传输,信息网络存在协议上的鸿沟,导致“自动化孤岛”现象的出现,促使人们开始寻求新的出路并关注到以太网。同时现场总线的传输速率也远远不如工业以太网传输速率快。 2 以太网与工业以太网 2.1 什么是以太网与工业以太网 以太网是当今现有局域网采用的最通用的通信协议标准。该标准定义了在局域网(LAN)中采用的电缆类型和信号处理方法。以太网在互联设备之间以10~100Mbps的速率传送信息包,双绞线电缆型号为10 Base T。以太网由于其低成本、高可靠性以及10Mbps的速率而成为应用最为广泛的以太网技术。直扩的无线以太网可达11Mbps,许多制造供应商提供的产品都能采用通用的软件协议进行通信,开放性好。 普通以太网应用到工业控制系统,这种网络叫工业以太网。 2.2 以太网具有的优点 (1)具有相当高的数据传输速率(目前已达到100Mbps),能提供足够的带宽; (2)由于具有相同的通信协议,Ethernet和TCP/IP很容易集成到IT(信息技术)世界; (3)能在同一总线上运行不同的传输协议,从而能建立企业的公共网络平台或基础构架;
网闸工作原理
网闸工作原理 安全隔离网闸是一组具有多种控制功能的软硬件组成的网络安全设备,它在电路上切断了网络之间的链路层连接,并能够在网络间进行安全的应用数据交换。第二代网闸通过专用交换通道、高速硬件通信卡、私有通信协议和加密签名机制来实现高速、安全的内外网数据交换,使得处理能力较一代大大提高,能够适应复杂网络对隔离应用的需求;私有通信协议和加密签名机制保证了内外处理单元之间数据交换的机密性、完整性和可信性。 与同类产品比较,网闸具有更高的安全性和可靠性,作为目前业界公认的较为成熟可靠的网络隔离解决方案,在政府部门信息化建设中逐渐受到青睐。网闸通过内部控制系统连接两个独立网络,利用内嵌软件完成切换操作,并且增加了安全审查程序。作为数据传递“中介”,网闸在保证重要网络与其他网络隔离的同时进行数据安全交换。 由于互联网是基于TCP/IP协议实现连接,因此入侵攻击都依赖于OSI七层数据通信模型的一层或多层。理论上讲,如果断开OSI数据模型的所有层,就可以消除来自网络的潜在攻击。网闸正是依照此原理实现了信息安全传递,它不依靠网络协议的数据包转发,只有数据的无协议“摆渡”,阻断了基于OSI协议的潜在攻击,从而保证了系统安全。 网闸工作的原理在于:中断两侧网络的直接相连,剥离网络协议并将其还原成原始数据,用特殊的内部协议封装后传输到对端网络。同时,网闸可通过附加检测模块对数据进行扫描,从而防止恶意代码和病毒,甚至可以设置特殊的数据属性结构实现通过限制。网闸不依赖于TCP/IP和操作系统,而由内嵌仲裁系统对OSI的七层协议进行全面分析,在异构介质上重组所有的数据,实现了“协议落地、内容检测”。因此,网闸真正实现了网络隔离,在阻断各种网络攻击的前提下,为用户提供安全的网络操作、邮件访问以及基于文件和数据库的数据交换。 1.网闸与防火墙的对比分析 防火墙与网闸同属网络安全产品类别,但它与网闸是截然不同的。防火墙是基于访问控制技术,即通过限制或开放网络中某种协议或端口的访问来保证系统安全,主要包括静态包过滤、网络地址转换、状态检测包过滤、电路代理、应用代理等方法来进行安全控制,通过对IP包的处理,实现对TCP会话的控制,并
H3C以太环网解决方案技术白皮书
以太环网解决方案技术白皮书 关键词:RRPP 摘要:以太环网解决方案主要以RRPP为核心的成本低高可靠性的解决方案。 缩略语清单: 1介绍 在数据通信的二层网络中,一般采用生成树(STP)协议来对网络的拓扑进行保护。STP协议族是由IEEE实现了标准化,主要包括STP、RSTP和MSTP等几种协议。STP最初发明的是目的是为了避免网络中形成环路,出现广播风暴而导致网络不可用,并没有对网络出现拓扑变化时候的业务收敛时间做出很高的要求。实践经验表明,采用STP协议作为拓扑保护的网络,业务收敛时间在几十秒的数量级;后来的RSTP对STP机制进行了改进,业务收敛时间在理想情况下可以控制在秒级左右;MSTP主要是RSTP的多实例化,网络收敛时间与RSTP基本相同。 近几年,随着以太网技术在企业LAN网络里面得到广泛应用的同时,以太网技术开始在运营商城域网络发展;特别是在数据,语音,视频等业务向IP融合的趋势下,增强以太网本身的可靠性,缩短网络的故障收敛时间,对语音业务,视频等业务提供满意的用户体验,无论对运营商客户,还是对于广大的企业用户,都是一个根本的需求。 为了缩短网络故障收敛时间,H3C推出了革新性的以太环网技术——RRPP(Rapid Ring Protection Protocol,快速环网保护协议)。RRPP技术是一种专门应用于以太网环的链路层协议,它在以太网环中能够防止数据环路引起的广播风暴,当以太网环上链路或设备故障时,能迅速切换到备份链路,保证业务快速恢复。与STP协议相比,RRPP协议具有算法简单、拓扑收敛速度快和收敛时间与环网上节点数无关等显著优势。 H3C基于RRPP的以太环网解决方案可对数据,语音,视频等业务做出快速的保护倒换,协同高中低端交换机推出整体的环网解决方案,为不同的应用场景提供不同的解决方案。 2技术应用背景 当前多数现有网络中采用星形或双归属组网模型,多会存在缺乏有效保护和浪费网络资源等诸多问题,如下图所示:
网闸典型应用方案
网御SIS-3000安全隔离网闸典型案例“网上营业厅”的安全解决方案
目录
1.前言 Internet作为覆盖面最广、集聚人员最多的虚拟空间,形成了一个巨大的市场。中国互联网络信息中心(CNNIC)在2002年7月的“中国互联网络发展状况统计报告”中指出,目前我国上网用户总数已经达到4580万人,而且一直呈现稳定、快速上升趋势。面对如此众多的上网用户,为商家提供了无限商机。同时,若通过Internet中进行传统业务,将大大节约运行成本。据统计,网上银行一次资金交割的成本只有柜台交割的13%。 面对Internet如此巨大的市场,以及大大降低运行成本的诱惑,各行各业迫切需要利用Internet这种新的运作方式,以适应面临的剧烈竞争。为了迎接WTO的挑战,实现“以客户为中心”的经营理念,各行各业最直接的应用就是建立“网上营业厅”。 但是作为基于Internet的业务,如何防止黑客的攻击和病毒的破坏,如何保障自身的业务网运行的安全就迫在眉睫了。对于一般的防火墙、入侵检测、病毒扫描等等网络安全技术的安全性,在人们心中还有很多疑虑,因为很多网络安全技术都是事后技术,即只有在遭受到黑客攻击或发生了病毒感染之后才作出相应的反应。防火墙技术虽然是一种主动防护的网络安全技术,它的作用是在用户的局域网和不可信的互联网之间提供一道保护屏障,但它自身却常常被黑客攻破,
成为直接威胁用户局域网的跳板。造成这种现象的主要原因是传统的网络安全设备只是基于逻辑的安全检测,不提供基于硬件隔离的安全手段。 所谓“道高一尺,魔高一丈”,面对病毒的泛滥,黑客的横行,我们必须采用更先进的办法来解决这些问题。目前,出现了一种新的网络安全产品——联想安全隔离网闸,该系统的主要功能是在两个独立的网络之间,在物理层的隔离状态下,以应用层的安全检测为保障,提供高安全的信息交流服务。
工业以太网的意义和应用分析
以太网技术在工业控制领域的应用及意义 随着计算机和网络技术的飞速发展,在企业网络不同层次间传送的数据信息己变得越来越复杂,工业网络在开放性、互连性、带宽等方面提出了更高的要求。现场总线技术适应了工业网络的发展趋势,用数字通信代替传统的模拟信号传输,大量地减少了仪表之间的连接电缆、接线端口等,降低了系统的硬件成本,被誉为自动化领域的计算机局域网。 现场总线的出现,对于实现面向设备的自动化系统起到了巨大的推动作用,但现场总线这类专用实时通信网络具有成本高、速度低和支持应用有限等缺陷,以及总线通信协议的多样性使得不同总线产品不能直接互连、互用和互可操作等,无法达到全开放的要求,因此现场总线在工业网络中的进一步发展受到了限制。 随着Internet技术的不断发展,以太网己成为事实上的工业标准,TCP/IP 的简单实用已为广大用户所接受,基于TCP/IP协议的以太网可以满足工业网络各个层次的需求。目前不仅在办公自动化领域,而且在各个企业的上层网络也都广泛使用以太网技术。由于它技术成熟,连接电缆和接口设备价格较低,带宽也在飞速增加,特别是快速Ethernet与交换式Ethernet的出现,使人们转向希望以物美价廉的以太网设备取代工业网络中相对昂贵的专用总线设备。 Ethernet通信机制 Ethernet是IEEE802. 3所支持的局域网标准,最早由Xerox开发,后经数字仪器公司、Intel公司和Xerox联合扩展,成为Ethernet标准。Ethernet采用星形或总线形结构,传输速率为10Mb/s,100 Mb/s,1000 Mb/s或是更高,传输介质可采用双绞线、光纤、同轴电缆等,网络机制从早期的共享式发展到目前盛行的交换式,工作方式从单工发展到全双工。 在OSI/ISO 7层协议中,Ethernet本身只定义了物理层和数据链路层,作为一个完整的通信系统,它需要高层协议的支持。自从APARNET将TCP/IP和Ethernet捆绑在一起之后,Ethernet便采用TCP/IP作为其高层协议,TCP用来保证传输的可靠性,IP则用来确定信息传递路线。 Ethernet的介质访问控制层协议采用CSMA/CD,其工作原理如下:某节点要
单向网闸技术介绍
“单向网闸”技术介绍 一、信息安全的要求 按照信息保密的技术要求,涉密网络不能与互联网直接连通;涉密网络与非涉密网络连接时,若非涉密网络与互联网物理隔离,则采用双向网闸隔离涉密网络与非涉密网络;若非涉密网络与互联网是逻辑隔离的,则采用单向网闸隔离涉密网络与非涉密网络,保证涉密数据不从高密级网络流向低密级网络。 二、网闸的作用 网闸的隔离作用是基于定向地“摆渡”数据,网闸的原理是模拟人工的数据“拷贝”,不建立两个网络的“物理通路”,所以网闸的一般形式是把应用的数据“剥离”,摆渡到另外一方后,再通过正常的通讯方式送到目的地,因此从安全的角度,网闸摆渡的数据中格式信息越少越好,当然是没有任何格式的原始数据就更好了,因为没有格式信息的文本就没有办法隐藏其他的非数据的东西,减少了携带“病毒”的载体。 网闸是切断了上层业务的通讯协议,看到了原始的数据,为了达到“隔离”的效果,采用私有通讯协议,或采用存储协议,都是为了表明要彻底剥离所有的协议附加信息,让摆渡的数据是最“干净”的。但为了方便地“摆渡业务”,在网闸的两边建立了业务的代理服务器,从逻辑上把业务连通。 网闸虽然传递的是实际的数据,但代理协议建议后,每次摆渡的可能不再是一个完整数据内容,为安全检查带来困难,攻击者可以把一个“蠕虫”分成若干的片段分别传递,甚至小到单个的命令,不恢复原状就很难知道它是什么;若传递“可执行代码”的二进制文件,网闸就很难区分数据与攻击。 网闸对陌生的业务是采用关闭策略,只开通自己认为需要的、可控的业务服务,所以网闸在不同密级网络之间的隔离作用还是有一定效果的。 在涉密信息的保密要求中,要求高密级网络中的高密级数据不能流向低密级网络,但低密级数据可以流向高密级网络(数据机密性要求),这就提出了数据的单向流动的要求,若我们只保留单向的数据流,就可以实现数据保密性要求,这种情况下产生了单向网闸的需求。
华为-VLAN技术白皮书
VLAN技术白皮书 华为技术有限公司 北京市上地信息产业基地信息中路3号华为大厦 100085 二OO三年三月
摘要 本文基于华为技术有限公司Quidway 系列以太网交换产品详细介绍了目前以太网平台上的主流VLAN技术以及华为公司在VLAN技术方面的扩展,其中包括基于端口的VLAN划分、PVLAN,动态VLAN注册协议,如GVRP和VTP等等。本文全面地总结了当前的VLAN技术发展,并逐步探讨了Quidway 系列以太网交换产品在VLAN技术方面的通用特性和部分独有特性,并结合每个主题,简要的介绍了系列VLAN技术在实际组网中的应用方式。 关键词 VLAN,PVLAN, GVRP,VTP
1 VLAN概述 VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。 VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。 VLAN在交换机上的实现方法,可以大致划分为4类: 1、基于端口划分的VLAN 这种划分VLAN的方法是根据以太网交换机的端口来划分,比如Quidway S3526的1~4端口为VLAN 10,5~17为VLAN 20,18~24为VLAN 30,当然,这些属于同一VLAN的端口可以不连续,如何配置,由管理员决定,如果有多个交换机,例如,可以指定交换机 1 的1~6端口和交换机 2 的1~4端口为同一VLAN,即同一VLAN可以跨越数个以太网交换机,根据端口划分是目前定义VLAN的最广泛的方法,IEEE 802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。 这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都指定义一下就可以了。它的缺点是如果VLAN A的用户离开了原来的端口,到了一个新的交换机的某个端口,那么就必须重新定义。 2、基于MAC地址划分VLAN 这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置他属于哪个组。这种划分VLAN的方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。尤其是用户的MAC地址用变换的时候就要重新配置。基于MAC地址划分VLAN所付出的管理成本比较高。 3、基于网络层划分VLAN
工业以太网的特色技术及其应用选择
工业以太网的特色技术及其应用选择 发布时间:2007-05-15 浏览次数:105 | 我要说几句 | ?? 用户解决方案2012优秀论文合订本 ?? NIDays2012产品演示资料套件 ?? 《提高测量精度的七大技巧》资源包 ?? LabVIEW 2012评估版软件 关键词:工业以太网实时特色技术 编者按:工业以太网成为自动化领域业界的技术热点已有时日,其技术本身尚在发展之中,还没有走向成熟,还存在许多有待解决的问题。究竟什么是工业以太网,它有哪些特色技术,如何应用与选择适合自己需求的工业以太网技术与产品,依然是今天人们所关心的问题。 一什么是工业以太网 工业以太网技术,是以太网或者说是互联网系列技术延伸到工业应用环境的产物。前者源于后者又不同于后者。以太网技术原本不是为工业应用环境准备的。经过对工业应用环境适应性的改造,通信实时性改进,并添加了一些控制应用功能后,形成了工业以太网的技术主体。因此,工业以太网是一系列技术的综称。 二工业以太网涉及企业网络的各个层次
企业网络系统按其功能划分,一般称为以下三个层次:企业资源规划层(Enterprise Resource Plan NI ng, ERP)、制造执行层(Manufacturing Excurtion System, MES)和现场控制层(Field Control System,FCS)。通过各层之间的网络连接与信息交换,构成完整的企业信息系统。( 见图1) 图中的ERP与MES功能层属于采用以太网技术构成信息网络。这个层次的工业以太网,其核心技术依然是信息网络中原本的以太网以及互联网系列技术。工业以太网在该层次的特色技术是对其实行的工业环境适应性改造。而现场控制层FCS中,基于普通以太网技术的控制网络、实时以太网则属于该层次中工业以太网的特色技术范畴。可以把工业以太网在该层的特色技术看作是一种现场总线技术。除了工业环境适应性改造的内容之外,通信实时性、时间发布与同步、控制应用的功能与规范,则成为工业以太网在该层次的技术核心。
网闸与防火墙的区别(原理篇)
我们先说说下一代防火墙的原理 网络拓扑: 说明:这是一个典型的防火墙组网,防火墙一般常用的功能有:ACL、VPN、IPS、防病毒、DDoS防护等等。 基本处理流程: 数据包从Internet进入防火墙,防火墙经过以下动作: (1)首先匹配ACL进行包过滤,检查是否符合ACL设置的允许规则。 (2)进行严格的状态化监测,主要是TCP/UDP/ICMP协议。 (3)利用已有的IPS规则对数据包内容进行匹配,检查数据包是否合法。 (4)其他略。 产品定位: 部署位置:网络边界 作用:可以防止一些已知威胁,不能保证绝对的安全。 我们再来看看网闸的原理 网络拓扑:
说明:这是一个典型的网闸使用拓扑,在办公网和业务网之间使用网闸进行隔离交换。 基本处理流程: 数据包在办公网和业务网之间交换,以办公网传送数据到业务网为例 (1)办公网的数据首先到达网闸的外网处理单元,被剥离了IP头部只保留原始数据。(2)通过防病毒、入侵检测模块对原始数据进行检查。 (3)通过预订设置的白名单、过滤规则(文件字、文件名等)等安全策略进行检查。(4)通过摆渡芯片(类似U盘的过程),把原始数据传输到内网,由内网处理单元重新封包发给客户端。 产品定位: 部署位置:网络边界(涉密与非涉密、高安全与低安全区域) 作用:防止泄密,按预设的规则进行摆渡数据交换。
总结: 通过以上原理说明和对比,不难发现两个产品的定位是不同的,不存在网闸和防火墙区别是什么的问题,因为两种产品本身就是不同东西,他们为解决客户不同的问题而生,不存在替代性关系,一个机构的安全既需要防火墙也需要网闸,只有系统性的设计规划网络,才能保
华为FTTH技术白皮书V2
华为技术有限公司 FTTH技术白皮书 1 FTTH技术简介 1.1 光纤接入网(OAN)的发展 接入网作为连接电信网和用户网络的部分,主要提供将电信网络的多种业务传送到用户的接入手段。接入网是整个电信网的重要组成部分,作为电信网的"最后一公里",是整个电信网中技术种类最多、最为复杂的部分。电信业务发展的目标是实现各种业务的综合接入能力,接入网也必须向着宽带化、数字化、智能化和综合化的方向发展。 由于传统语音业务逐渐被移动、VOIP蚕食,宽带业务成为给固网运营商带来收入的主攻方向,运营商希望通过提供丰富多彩的业务体验来吸引用户。业务的发展尤其是视频类业务的逐渐推广,使用户对网络带宽和稳定性要求越来越高。随着光纤成本的下降,网络的光纤化成为发展趋势,原来主要用于长途网和城域网的光纤也开始逐步引入到接入网馈线段、配线段和引入线,向最终用户不断推进。 通常的OAN是指采用光纤传输技术的接入网,泛指端局或远端模块与用户之间采用光纤或部分采用光纤做为传输媒体的系统,采用基带数字传输技术传输双向交互式业务。它由一个光线路终端OLT(optical line terminal)、至少一个光配线网ODN(optical distribution network)、至少一个光网络单元ONU(optical network unit)组成。如图1所示。
图1. 光接入网参考配置 OLT的作用是为光接入网提供网络侧接口并经一个或多个ODN与用户侧的ONU通信,OLT 与ONU的关系为主从通信关系。 ODN为OLT与ONU之间提供光传输手段,其主要功能是完成光信号功率的分配任务。ODN 是由无源光元件(诸如光纤光缆、光连接器和光分路器等)组成的纯无源的光配线网。 ONU的作用是为光接入网提供远端的用户侧接口,处于ODN的用户侧。 1.2 光接入网的几种应用类型 光纤接入网(OAN)是采用光纤传输技术的接入网,即本地交换局和用户之间全部或部分采用光纤传输的通信系统。光纤接入网又可划分为无源光网络(PON)和有源光网络(AON),相比这两种光网络,从成本上看,无源光网络发展将会更快些。按照ONU在光接入网中所处的具体位置不同,可以将OAN划分为几种基本不同的应用类型:FTTCab,FTTCub,FTTB,FTTH和FTTO。 (1)光纤到交接箱(FTTCab) 光纤到交接箱(fiber to the cabinet,FTTCab)是宽带光接入网的典型应用类型之一,其特征是以光纤替换传统馈线电缆,光网络单元(ONU)部署在交接箱(FP)处,ONU下采用其他介质接入到用户。例如采用现有的铜缆或者无线,每个ONU支持数百到1 000左右用户数。 国内外与FTTCab概念相当的其他术语有:光纤到节点或光纤到邻里(fiber to the node 或neighborhood,FTTN),光纤到小区(fiber to the zone,FTTZ)。 (2)光纤到路边(FTTCub)
通过网闸技术实现内外网隔离
网闸技术构建内外网一体化门户 一、序言 近年来,随着我国信息化建设步伐的加快,“电子政务”应运而生,并以前所未有的速度发展。电子政务体现在社会生活的各个方面:工商注册申报、网上报税、网上报关、基金项目申报等等。电子政务与国家和个人的利益密切相关,在我国电子政务系统建设中,外部网络连接着广大民众,内部网络连接着政府公务员桌面办公系统,专网连接着各级政府的信息系统,在外网、内网、专网之间交换信息是基本要求。如何在保证内网和专网资源安全的前提下,实现从民众到政府的网络畅通、资源共享、方便快捷是电子政务系统建设中必须解决的技术问题。一般采取的方法是在内网与外网之间实行防火墙的逻辑隔离,在内网与专网之间实行物理隔离。本文将介绍大汉网络公司基于网闸技术构建内外网一体化门户的案例。 二、网闸的概述 1、网闸的定义 物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客“无法入侵、无法攻击、无法破坏,实现了真正的安全。 2、网闸的组成 网闸模型设计一般分三个基本部分组成: ·内网处理单元:包括内网接口单元与内网数据缓冲区。 ·外网处理单元:与内网处理单元功能相同,但处理的是外网连接。 ·隔离与交换控制控制单元:是网闸隔离控制的摆渡控制,控制交换通道的开启与关闭。 3、网闸的主要功能 ?·阻断网络的直接物理连接和逻辑连接 ?·数据传输机制的不可编程性 ?·安全审查
华为802.1X技术白皮书
华为 802.1X 技术白皮书
华为802.1X技术 白皮书
华为 802.1X 技术白皮书
目录
1 2 概述...........................................................................................................................................1 802.1X 的基本原理..................................................................................................................1 2.1 体系结构...........................................................................................................................1 2.1.1 端口 PAE...................................................................................................................2 2.1.2 受控端口 ...................................................................................................................2 2.1.3 受控方向 ...................................................................................................................2 2.2 工作机制...........................................................................................................................2 2.3 认证流程...........................................................................................................................3 3 华为 802.1X 的特点.................................................................................................................3 3.1 基于 MAC 的用户特征识别............................................................................................3 3.2 用户特征绑定...................................................................................................................4 3.3 认证触发方式...................................................................................................................4 3.3.1 标准 EAP 触发方式 .................................................................................................4 3.3.2 DHCP 触发方式 .......................................................................................................4 3.3.3 华为专有触发方式 ...................................................................................................4 3.4 TRUNK 端口认证 ..............................................................................................................4 3.5 用户业务下发...................................................................................................................5 3.5.1 VLAN 业务 ................................................................................................................5 3.5.2 CAR 业务 ..................................................................................................................5 3.6 PROXY 检测 ......................................................................................................................5 3.6.1 Proxy 典型应用方式 ................................................................................................5 3.6.2 Proxy 检测机制 ........................................................................................................5 3.6.3 Proxy 检测结果处理 ................................................................................................6 3.7 IP 地址管理 ......................................................................................................................6 3.7.1 IP 获取 ......................................................................................................................6 3.7.2 IP 释放 ......................................................................................................................6 3.7.3 IP 上传 ......................................................................................................................7 3.8 基于端口的用户容量限制...............................................................................................7 3.9 支持多种认证方法...........................................................................................................7 3.9.1 PAP 方法 ...................................................................................................................7 3.9.2 CHAP 方法 ...............................................................................................................8 3.9.3 EAP 方法 ..................................................................................................................8 3.10 独特的握手机制...............................................................................................................8 3.11 对认证服务器的兼容.......................................................................................................8 3.11.1 EAP 终结方式 ..........................................................................................................8 3.11.2 EAP 中继方式 ..........................................................................................................9 3.12 内置认证服务器...............................................................................................................9 3.13 基于 802.1X 的受控组播.................................................................................................9 3.14 完善的整体解决方案.....................................................................................................10 4 典型组网.................................................................................................................................10
1
网闸典型应用方案范文
网御SIS-3000 安全隔离网闸典型案例网上营业厅”的安全解决方案
目录 1.前言错误!未定义书签。 2. 需求分析...................................... 错误!未定义书签。 3 网络安全方案设计错误!未定义书签。
1.前言 Internet 作为覆盖面最广、集聚人员最多的虚拟空间,形成了一个巨大的市场。中国互联网络信息中心(CNNIC)在2002年7月的“中国互联网络发展状况统计报告”中指出,目前我国上网用户总数已经达到4580 万人,而且一直呈现稳定、快速上升趋势。面对如此众多的上网用户,为商家提供了无限商机。同时,若通过Internet 中进行传统业务,将大大节约运行成本。据统计,网上银行一次资金交割的成本只有柜台交割的13%。 面对Internet 如此巨大的市场,以及大大降低运行成本的诱惑,各行各业迫切需要利用Internet 这种新的运作方式,以适应面临的剧烈竞争。为了迎接WTO的挑战,实现“以客户为中心”的经营理念,各行各业最直接的应用就是建立“网上营业厅”。 但是作为基于Internet 的业务,如何防止黑客的攻击和病毒的破坏,如何保障自身的业务网运行的安全就迫在眉睫了。对于一般的防火墙、入侵检测、病毒扫描等等网络安全技术的安全性,在人们心中还有很多疑虑,因为很多网络安全技术都是事后技术,即只有在遭受到黑客攻击或发生了病毒感染之后才作出相应的反应。防火墙技术虽然是一种主动防护的网络安全技术,它的作用是在用户的局域网和不可信的互联网之间提供一道保护屏障,但它自身却常常被黑客攻破,成为直接威胁用户局域网的跳板。造成这种现象的主要原因是传统的网络安全设备只是基于逻辑的安全检测,不提供基于硬件隔离的安全手段。 所谓“道高一尺,魔高一丈”,面对病毒的泛滥,黑客的横行,我们必须采用更先进的办法来解决这些问题。目前,出现了一种新的网络安全产品——联想安全隔离网闸,该系统的主要功能是在两个独立的网络之间,在物理层的隔离状态下,以应用层的安全检测为保障,提供高安全的信息交流服务。