物理隔離設(shè)備網(wǎng)閘隔離控制技術(shù)--單通道技術(shù)

單向信道技術(shù)是近年來出現(xiàn)的一種新技術(shù)。無論網(wǎng)絡(luò)門使用什么交換技術(shù)，實(shí)際上都是交換物理連接。它在內(nèi)部和外部網(wǎng)絡(luò)（如終端處的渡輪）之間提供了一個(gè)安全、功能隔離的交換區(qū)域，以傳輸我們認(rèn)為真實(shí)的數(shù)據(jù)。但是通信協(xié)議的設(shè)計(jì)是分層的。我們想要交換的純數(shù)據(jù)仍然需要通過網(wǎng)關(guān)的各種技術(shù)手段通過網(wǎng)關(guān)，因此一些攻擊可能隱藏在攻擊程序中通過網(wǎng)關(guān)后可以恢復(fù)的“純數(shù)據(jù)”中。即使具有定義的安全原則的網(wǎng)關(guān)僅提供文件交換功能，它也應(yīng)為兩個(gè)客戶端提供部分服務(wù)接口。否則，用戶將無法提供數(shù)據(jù)。如果忽略所有安全檢測(cè)技術(shù)，服務(wù)可能成為攻擊的媒介。像一個(gè)包一樣，我們交付給客戶，但包中隱藏著客戶不知道的病毒（或者可能是主觀隱藏的），它們也被重定向到另一邊。

首先，分析攻擊過程：

1、隱藏攻擊者攻擊信息；

2、偽裝信息以通過網(wǎng)關(guān)保留正常數(shù)據(jù)；

3、收集信息，向自己恢復(fù)攻擊信息，并以相同方式向攻擊者報(bào)告；

4、根據(jù)獲得的權(quán)限，攻擊將繼續(xù)到下一步。

在這個(gè)過程中，我們可以看到攻擊是一個(gè)交互過程，即通信是雙向的。攻擊者希望通過訪問內(nèi)聯(lián)網(wǎng)上的代理來實(shí)現(xiàn)他的計(jì)劃。

雙向通信為攻擊者提供了通道，因此產(chǎn)生了單向通道技術(shù)。所謂的單向連接意味著通信的接收和發(fā)送鏈路完全分離。如果不在信道上進(jìn)行通信反饋，攻擊將成為半開放連接，無法發(fā)揮作用。發(fā)送方只發(fā)送數(shù)據(jù)，數(shù)據(jù)只接收數(shù)據(jù)。

或者，對(duì)于具有更高安全性的網(wǎng)絡(luò)，只有信息在一個(gè)方向上流動(dòng)，但為了確保網(wǎng)絡(luò)安全，通道不能流出。

如果只有一個(gè)方向，數(shù)據(jù)的完整性將受到很大影響。例如，在傳輸過程中，如果數(shù)據(jù)被損壞，則接收器不通知發(fā)送器前向傳輸是可能的，而是丟棄它。無論發(fā)送方是否發(fā)送數(shù)據(jù)，發(fā)送方都不知道另一方是否已收到或可以使用數(shù)據(jù)。然而，由于數(shù)據(jù)完整性的部分損壞，信道技術(shù)提供了安全性。

隨著單向通道技術(shù)的改進(jìn)，擴(kuò)展了硬件控制信號(hào)線，增加了簡(jiǎn)單的控制信號(hào)，實(shí)現(xiàn)了數(shù)據(jù)的誤差反饋，但沒有增加返回?cái)?shù)據(jù)通道，因此也保證了數(shù)據(jù)的單向通道模型。

該模型表明，攻擊者無法通過單向開關(guān)進(jìn)行攻擊。如果攻擊者控制發(fā)送者的主機(jī)單元并將攻擊信息發(fā)送給發(fā)送者，但由于是單向通道交換機(jī)，被控制的主機(jī)單元無法檢索返回的信息，也不知道內(nèi)部情況，因此無法實(shí)施下一個(gè)攻擊計(jì)劃。如果攻擊者控制接收主機(jī)單元，則由于單向通道，他無法將攻擊工具發(fā)送給另一方。當(dāng)然，他不能發(fā)動(dòng)攻擊。

由于單向通道技術(shù)沒有故障反饋機(jī)制，服務(wù)數(shù)據(jù)交換代理無法在單向通道技術(shù)交換機(jī)上實(shí)現(xiàn)。為了實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)的自動(dòng)交換，網(wǎng)絡(luò)中可以使用兩個(gè)相對(duì)的單通道交換機(jī)分別提供兩個(gè)數(shù)據(jù)通道。雙向數(shù)據(jù)交換。

物理隔離設(shè)備網(wǎng)閘隔離控制技術(shù)--總結(jié)

在總線技術(shù)方面，內(nèi)存總線將交換區(qū)視為內(nèi)存磁盤，這是模擬手動(dòng)輪詢最合理的技術(shù)。阻止應(yīng)用程序日志是最徹底的。在安全性方面，單通道技術(shù)在網(wǎng)絡(luò)安全性方面相對(duì)較高，但它為自動(dòng)交換服務(wù)提供了最差的支持。

隔離和交換是相互矛盾的要求。最好根據(jù)兩個(gè)客戶網(wǎng)絡(luò)的具體安全要求選擇合適的交換機(jī)進(jìn)行數(shù)據(jù)交換。建議采用以下方法：

1、對(duì)于安全性要求高的網(wǎng)絡(luò)，采用單通道技術(shù)，確保高安全網(wǎng)絡(luò)的信息不流動(dòng)；

2、考慮到網(wǎng)絡(luò)斷開后的服務(wù)安全性，建議將總線模式存儲(chǔ)在網(wǎng)絡(luò)門上。在此模式下，數(shù)據(jù)可以交換，服務(wù)連接完全斷開。

3、為防止外部攻擊，建議在網(wǎng)絡(luò)中斷時(shí)使用通信總線或存儲(chǔ)總線網(wǎng)關(guān)交換業(yè)務(wù)代理數(shù)據(jù)，與企業(yè)交換代理數(shù)據(jù)，提高數(shù)據(jù)交換能力，切斷攻擊者的載體。