物理隔離網(wǎng)閘主要由內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元、安全隔離與信息交換處理單元三部分組成。外網(wǎng)處理單元與外網(wǎng)(如Internet)相連,內(nèi)網(wǎng)處理單元與內(nèi)網(wǎng)(如軍隊(duì)網(wǎng))相連;安全隔離與信息交換處理單元通過(guò)專用硬件斷開(kāi)內(nèi)、外網(wǎng)的物理連接,并在任何時(shí)刻只與其中一個(gè)網(wǎng)絡(luò)連接,讀取等待發(fā)送的數(shù)據(jù),然后"推送"到另一個(gè)網(wǎng)絡(luò)上。在切換速度非常快的情況下,可以實(shí)現(xiàn)信息的實(shí)時(shí)交換。
物理隔離卡是物理隔離的低級(jí)實(shí)現(xiàn)形式,一個(gè)物理隔離卡只能管一臺(tái)個(gè)人計(jì)算機(jī),甚至只可能在Windows環(huán)境下工作,每次切換都需要開(kāi)關(guān)機(jī)一次。物理隔離網(wǎng)閘是物理隔離的高級(jí)實(shí)現(xiàn)形式,網(wǎng)閘可以管理整個(gè)網(wǎng)絡(luò),不需要開(kāi)關(guān)機(jī)。網(wǎng)閘實(shí)現(xiàn)后,原則上不再需要物理隔離卡。安全隔離是一種邏輯隔離,防火墻就是一種邏輯隔離,因此防火墻也是一種安全隔離。有些廠商對(duì)安全隔離增加了一些特點(diǎn),如采用了雙主機(jī)結(jié)構(gòu),但雙主機(jī)之間卻是通過(guò)包來(lái)轉(zhuǎn)發(fā)的。
無(wú)論雙主機(jī)之間采用了多么嚴(yán)格的安全檢查,但只要是包轉(zhuǎn)發(fā),就存在基于包的安全漏洞,存在對(duì)包的攻擊。這在本質(zhì)上同兩個(gè)防火墻串聯(lián)并無(wú)本質(zhì)的差別。
從目前已經(jīng)存在的安全隔離網(wǎng)閘,包括以下類型:通過(guò)串口或并口來(lái)實(shí)現(xiàn)雙主機(jī)之間的包轉(zhuǎn)發(fā),通過(guò)USB或1394或firewire(火線)等方式來(lái)實(shí)現(xiàn)雙主機(jī)之間的包轉(zhuǎn)發(fā),甚至是直接通過(guò)以太線來(lái)實(shí)現(xiàn)雙主機(jī)之間的包轉(zhuǎn)發(fā),以及其他任何形式的通信方式來(lái)實(shí)現(xiàn)雙主機(jī)之間的包轉(zhuǎn)發(fā)如專用ASIC開(kāi)關(guān)電路,ATM,Myrinet卡等,都是安全隔離網(wǎng)閘,但都不是物理隔離網(wǎng)閘。
[轉(zhuǎn)載] 金融界
