安全隔离与信息交换读书笔记

1.  前言

最近由于工作的关系，对安全隔离与信息交换设备产生了兴趣，就找到了《下一代安全隔离与信息交换产品原理与应用》这本书来读。通过学习，对这类产品的原理与应用有了更深的了解。本着吸收理解而不是随学随忘的精神，写了本篇读书笔记，如有侵权，请联系我。

本文其实主要就两个部分，第三章是各种交换平台实现原理的框架图或结构图，而第五章就是一些对未来做项目有帮助的典型部署。

2.  概述

随着互联网技术的不断发展，网络黑客入侵、病毒攻击、网络泄密等安全事件的不断发生，网络安全问题越来越被重视起来。各国都在采取不同的措施来应对这一问题，比如美国军方就有规定——一些负责特殊作用的设备必须与互联网进行物理隔离。然而在现有安全技术标准和框架下，不同安全级别网络（安全域）间的数据交互需求日益强烈，安全隔离与信息交换技术正式在这种背景下应运而生。

由于安全隔离与信息交换技术采取了全新独特的架构，因此安全隔离与信息交换技术具备网络边界隔离、广播/攻击风暴抑制、安全访问控制、应用协议安全检查、内容过滤及抗攻击能力，很好的解决了防火墙、IDS等安全产品的不足。

3.  安全隔离与信息交换产品的实现

3.1.  产品发展历史

3.1.1.  FTP/SQL应用代理

基于FTP和SQL数据库相关协议/命令进行过滤的一种应用代理隔离技术。具体流程是应用服务器通过FPT/SQL将需要交换的数据推向FTP/SQL检查模块，模块完成检查后即与对应模块进行摆渡交换。这种交换模式的优点是对FTP/SQL提供了细粒度更细的访问控制。

 

图 1

3.1.2.  PULL&PUSH数据同步

通过管理员预先配置的数据同步交换任务完成摆渡交换。具体流程是数据库服务器/文件服务器将文件推送至相应模块，然后该模块执行管理员预设好的同步任务完成摆渡交换。这种方式的优点在于安全隔离与信息交换系统不对外开放任何服务端口。

图 2

3.1.3.  单向数据中继

某些特定的应用场合，内部往来需要确保不收外网的任何攻击，这个需求发展出了一种专用的安全隔离与单向数据中继系统。

该系统：

1.        采用物理单向传输器件——一般是光纤。

2.        多中数据冗余纠错机制，保证在单向无反馈传输中的数据完整性。

3.        统一采用文件方式完成数据的单向中继传输。

图 3

3.1.4.  安全交换平台

目前国内存在一部分安全交换平台，主要应用在对数据保密性要求高的一些政务的部门。这些部门内部网络按照保护数据的不同，划分等级并进行相应的安全保密系统建设。边界处部署安全交换平台，与外部网络进行数据交互。

安全交换平台整体架构图如下：

图 4

3.2.  安全隔离与信息交换系统数据交换方式

安全隔离与信息交换系统需要对结构化数据、非结构化数据、各类协议等均提供交换服务。基本框架如下：