关于网闸的一些基础知识，你了解吗？

2022年10月8日14:07:55评论337 views字数 2633阅读8分46秒阅读模式

前言

网闸是使用带有多种控制功能的固态开关读写介质，连接两个独立主机系统的信息安全设备。由于两个独立的主机系统通过网闸进行隔离，使系统间不存在通信的物理连接、逻辑连接及信息传输协议，不存在依据协议进行的信息交换，而只有以数据文件形式进行的无协议摆渡。因此，网闸从物理上隔离、阻断了对内网具有潜在攻击可能的一切网络连接，使外部攻击者无法直接入侵、攻击或破坏内网，保障了内部主机的安全。

信息安全的要求

按照信息保密的技术要求，涉密网络不能与互联网直接连通；涉密网络与非涉密网络连接时，若非涉密网络与互联网物理隔离，则采用双向网闸隔离涉密网络与非涉密网络；若非涉密网络与互联网是逻辑隔离的，则采用单向网闸隔离涉密网络与非涉密网络，保证涉密数据不从高密级网络流向低密级网络。

网闸的作用

网闸的隔离作用是基于定向地“摆渡”数据，网闸的原理是模拟人工的数据“拷贝”，不建立两个网络的“物理通路”，所以网闸的一般形式是把应用的数据“剥离”，摆渡到另外一方后，再通过正常的通讯方式送到目的地，因此从安全的角度，网闸摆渡的数据中格式信息越少越好，当然是没有任何格式的原始数据就更好了，因为没有格式信息的文本就没有办法隐藏其他的非数据的东西，减少了携带“病毒”的载体。

网闸是切断了上层业务的通讯协议，看到了原始的数据，为了达到“隔离”的效果，采用私有通讯协议，或采用存储协议，都是为了表明要彻底剥离所有的协议附加信息，让摆渡的数据是最“干净”的。但为了方便地“摆渡业务”，在网闸的两边建立了业务的代理服务器，从逻辑上把业务连通。

网闸虽然传递的是实际的数据，但代理协议建议后，每次摆渡的可能不再是一个完整数据内容，为安全检查带来的困难，攻击者可以把一个“蠕虫”分成若干的片段分别传递，甚至小到单个的命令，不恢复原状就很难知道它是什么；若传递“可执行代码”的二进制文件，网闸就很难区分数据与攻击。

网闸对陌生的业务是采用关闭策略，只开通自己认为需要的、可控的业务服务，所以网闸在不同密级网络之间的隔离作用还是有一定效果的。

在涉密信息的保密要求中，要求高密级网络中的高密级数据不能流向低密级网络，但低密级数据可以流向高密级网络(数据机密性要求)，这就提出了数据的单向流动的要求，若我们只保留单向的数据流，就可以实现数据保密性要求，这种情况下产生了单向网闸的需求。

单向网闸

单向网闸就是只允许单向的数据流动，具体的实现技术有下面几种：

1、数据泵技术(Data Pump)：

1993年为实现低级向高级数据库的可靠数据拷贝，由Myong H.Kang等提出Pump技术，称为“安全存储转发技术”。其方法是通过反向的确认来限制由内向外的数据传输，实现从外向内的单向数据流。

数据泵技术是在基于通讯的基础上，只允许单方向地传送数据，反方向只有控制信息的可以通过，比如数据的收到确认、差错控制、流量控制等等。也就是通讯协议中只让一个方向的数据通过。因此，数据泵技术实现起来相对简单，可以采用目前成熟的通讯协议。

数据泵技术中虽然数据是单方向的，但协议控制星系是双方向传递的，若协议本身存在漏洞，则有可能利用协议的漏洞达到反向发送数据的可能。

2、数据二极管技术(Data Diode)：

若连反向的控制协议也取消，采用“盲发”的方式，也就是一方只管发送，另一方只管接收，至于数据是否有错误，是否完整都不去管它，反向没有数据通道也没有控制通道，完全处于盲状态。也可以理解为在传统的全双工通讯中只选择一个方向的线路，所以也称为信息流的单向技术。

数据二极管技术中的关键技术：

由于是单向的“盲发”，没有交互的控制协议，数据的容错控制就是一个大问题，因为发送方不知道对方收到没有，接收方也不清楚收到的数据是否是对的，知道错了，也没有办法让发送方重新发送，所以一般采用一些策略控制可能的出错：

1、收方及时向“上层”汇报：

接收方接收到数据，按事先约定的格式恢复数据，若发现不能恢复，或部分数据有错误，都直接报告给上层，也就是数据的接收人，让人通过其他方式通知发送方重新发送。

2、发送方增加冗余校验

发送方为了保证数据的正确，在降低效率的前提下，增加数据的冗余度：

定间隔地把一份数据重复地再发送两次，接收方比较收到的三个副本，取其两个是相同的。“三取二”是重要系统中常用的控制方式，还可以采用五取三等方式。

在数据中增加块校验码。如CRC校验等。

直接重复数据，如发送1234时，改为11223344，减少出错的概率。

3、为了经常检测系统的准确性，定期插入固定检测码，若接收方发现检测码序列异常，则立即报警，或放弃该检测码之前的区间内收到的数据。

单向网闸产品发展与应用

数据二极管技术的产品化，国外已经趋于成熟，比较出名的有美国Owl公司，荷兰Fox-IT公司，澳大利亚Tenix公司，美国HP公司。国内的单向网闸产品还处于起步阶段，有产品推出的有中铁信安公司与国保金泰公司。

单向网闸可以定向传递数据，在目前很多的政府内、外网之间传递数据是很有用途的。

文件传递：由于政府内网的涉密网络，与外网(与互联网连通)是“物理隔离”的，但是外网上的很多政务文件，希望在内网中使用，靠人工拷贝的方式工作量很大，采用单向网闸可以把外网的文件传送到内网，由符合数据保密性的要求。

信息收集：外网与互联网连通，是政府对外的服务窗口，并且互联网本身就是个信息宝库，但大量的信息不能及时地传递到内网的有关系统上，对信息的汇总与统计带来困难。若在外网上建立一个服务器，收集互联网的相关信息，通过单向网闸送给内网，就可以保证信息的及时性了。

邮件转发：政府人员经常要查收内、外网两个邮箱，非常不方便。在外网建立一个邮件的代理服务器，把接收到的邮件及时转给内网的邮件服务器，工作人员就不必到外网去收邮件了。由于单向网闸没有反向的数据通道，所以对抑制黑客的入侵有一定的效果，黑客攻击必然是要取得相关的信息，若通信是单向的，就掐断了黑客的控制方式，没有“利益”，攻击就没有意义了。