物理隔離技術(shù)--信息擺渡
這是一種信息交換模式,其中物理傳輸線僅在信息傳輸時存在,并在傳輸結(jié)束時消失。
1、確保內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)連接未同時運行。
2、當(dāng)需要數(shù)據(jù)交換時,數(shù)據(jù)從受保護的內(nèi)部網(wǎng)絡(luò)區(qū)域的一端傳輸?shù)街虚g緩存區(qū)域,從而阻塞物理連接到內(nèi)部網(wǎng)絡(luò)安全區(qū)域的中間緩存區(qū)域。
3、如果需要數(shù)據(jù),網(wǎng)閘將緩存中間區(qū)域和傳輸路徑連接到外部網(wǎng)絡(luò)的安全區(qū)域,連接到外部網(wǎng)絡(luò),并獲取與對話框相關(guān)的數(shù)據(jù)。
4、使用后,將數(shù)據(jù)傳輸?shù)骄彺娴闹虚g區(qū)域,并確認(rèn)外部鏈路已禁用,中間存儲區(qū)域無法訪問網(wǎng)絡(luò)。
5、當(dāng)需要交換新數(shù)據(jù)時,連接到內(nèi)部網(wǎng)絡(luò)并在中間緩存區(qū)域中獲取相關(guān)數(shù)據(jù)。
網(wǎng)閘通過管理網(wǎng)絡(luò)連接和數(shù)據(jù)存儲實現(xiàn)網(wǎng)絡(luò)隔離,中間緩沖區(qū)在任何時候只能連接到一個安全域。
通過網(wǎng)閘訪問的數(shù)據(jù)
1、網(wǎng)閘只能通過中間緩存區(qū)向內(nèi)部網(wǎng)絡(luò)輸入數(shù)據(jù)。根據(jù)數(shù)據(jù)包的特點,設(shè)計了允許或拒絕相關(guān)數(shù)據(jù)包的內(nèi)部網(wǎng)絡(luò)訪問的訪問控制策略。
2、網(wǎng)閘可以根據(jù)組的源IP、IP目標(biāo)、源端口順序、目標(biāo)端口號、應(yīng)用層協(xié)議和it應(yīng)用層關(guān)鍵字制定安全策略。提供其他明確的訪問保證和拒絕訪問的可能性
網(wǎng)閘工作流程
1、管理員設(shè)置網(wǎng)閘安全設(shè)置以向用戶提供對外部HTTP服務(wù)的訪問。
2、當(dāng)用戶試圖通過網(wǎng)閘訪問外部HTTP服務(wù)時,網(wǎng)閘將判斷他們是否具有訪問權(quán)限。否則,他們將拒絕。
3、如果用戶具有外部HTTP訪問權(quán)限,網(wǎng)閘將關(guān)閉專用網(wǎng)閘協(xié)議數(shù)據(jù)的自定義HTTP協(xié)議,并將其發(fā)送到緩存的中間區(qū)域。
4、網(wǎng)閘與內(nèi)部網(wǎng)絡(luò)斷開連接,從中間數(shù)據(jù)緩存中提取,根據(jù)預(yù)設(shè)的特殊協(xié)議斷開連接,并獲取HTTP數(shù)據(jù)。
5、將網(wǎng)閘連接到外部網(wǎng)絡(luò),并通過外部網(wǎng)絡(luò)獲取相關(guān)數(shù)據(jù)。
6、根據(jù)安全規(guī)則檢查數(shù)據(jù)的安全性,并將其存儲在中間緩存區(qū)域。
7、斷開網(wǎng)閘與外部網(wǎng)絡(luò)的連接,用戶從臨時存儲緩沖區(qū)提取特殊協(xié)議數(shù)據(jù),并通過協(xié)議將數(shù)據(jù)與普通HTTP協(xié)議分離。