1，網(wǎng)絡(luò)安全隔離設(shè)備的定義

網(wǎng)絡(luò)安全隔離設(shè)備是一種通過專用的硬件使兩個(gè)網(wǎng)絡(luò)在不連通的情況下進(jìn)行網(wǎng)絡(luò)間的安全數(shù)據(jù)傳輸和資源共享的網(wǎng)絡(luò)設(shè)備。因此，它有廣闊的應(yīng)用前景。在國外已被美國、以色列等國家的軍政、航天、金融等要害部門廣泛應(yīng)用。作為國際上最新的網(wǎng)絡(luò)安全技術(shù)， 網(wǎng)絡(luò)安全隔離設(shè)備獨(dú)特的硬件設(shè)計(jì)使它能夠提供比防火墻更高的安全性能，可大大提高政府、金融、軍隊(duì)等高端用戶的整體網(wǎng)絡(luò)安全強(qiáng)度。

網(wǎng)絡(luò)安全隔離設(shè)備將可信任的內(nèi)網(wǎng)和不可信任的外網(wǎng)進(jìn)行隔離，因此必須保證內(nèi)部網(wǎng)和外部網(wǎng)之間的通信均通過網(wǎng)絡(luò)安全隔離設(shè)備進(jìn)行，同時(shí)還必須保證網(wǎng)絡(luò)安全隔離設(shè)備自身的安全性；網(wǎng)絡(luò)安全隔離設(shè)備是實(shí)施內(nèi)部網(wǎng)安全策略的一部分，保證了內(nèi)部網(wǎng)的正常運(yùn)行而不受外部的干擾。

2， 網(wǎng)絡(luò)安全隔離設(shè)備在網(wǎng)絡(luò)中的位置

3，網(wǎng)絡(luò)安全隔離設(shè)備訪問控制策略

訪問控制策略是網(wǎng)絡(luò)安全隔離設(shè)備的基礎(chǔ)，它可以按如下兩種邏輯來制訂：

1、 默認(rèn)禁止：訪問控制規(guī)則沒有明確允許的都禁止訪問；

2、 默認(rèn)允許：訪問控制規(guī)則沒有明確禁止的都允許訪問。

可以看出，前一種邏輯限制性大，后一種邏輯則比較寬松。

基于安全性考慮， StoneWall-2000 網(wǎng)絡(luò)安全隔離設(shè)備(正向型)采用的是“默認(rèn)禁止”訪問控制策略。

StoneWall-2000 網(wǎng)絡(luò)安全隔離設(shè)備(正向型)簡介 工作原理：StoneWall-2000 網(wǎng)絡(luò)安全隔離設(shè)備(正向型)采用軟、硬結(jié)合的安全措施，在硬件上使用雙機(jī)結(jié)構(gòu)通過安全島裝置進(jìn)行通信來實(shí)現(xiàn)物理上的隔離，及單向數(shù)據(jù)流向控制；在軟件上，采用綜合過濾、訪問控制、應(yīng)用代理技術(shù)實(shí)現(xiàn)鏈路層、網(wǎng)絡(luò)層與應(yīng)用層的隔離。在保證網(wǎng)絡(luò)透明性的同時(shí)，實(shí)現(xiàn)了對(duì)非法信息的隔離。

StoneWall-2000 網(wǎng)絡(luò)安全隔離設(shè)備(正向型)通過開關(guān)切換及數(shù)據(jù)緩沖設(shè)施來進(jìn)行數(shù)據(jù)交換。開關(guān)的切換使得在任何時(shí)刻兩個(gè)網(wǎng)絡(luò)沒有直接連通，在某個(gè)時(shí)刻網(wǎng)絡(luò)安全隔離設(shè)備只能連接到一個(gè)網(wǎng)絡(luò)，而數(shù)據(jù)流經(jīng)網(wǎng)絡(luò)安全隔離設(shè)備時(shí) TCP/IP 協(xié)議被終止，因此可以有效地防護(hù)利用網(wǎng)絡(luò)進(jìn)行的外部攻擊。

StoneWall-2000 網(wǎng)絡(luò)安全隔離設(shè)備(正向型)作為代理從內(nèi)網(wǎng)的網(wǎng)絡(luò)訪問包中抽取出數(shù)據(jù)然后通過數(shù)據(jù)緩沖設(shè)施轉(zhuǎn)入外網(wǎng)，完成數(shù)據(jù)中轉(zhuǎn)。在中轉(zhuǎn)過程中，網(wǎng)絡(luò)安全隔離設(shè)備會(huì)對(duì)抽取的數(shù)據(jù)報(bào)文的 IP 地址、 MAC 地址、端口號(hào)、連接方向?qū)嵤┻^濾控制；由于網(wǎng)絡(luò)安全隔離設(shè)備采用了獨(dú)特的開關(guān)切換機(jī)制，因此，在進(jìn)行過濾檢查時(shí)網(wǎng)絡(luò)實(shí)際上處于斷開狀態(tài)；通過嚴(yán)格檢查只有符合安全策略的特定數(shù)據(jù)才能進(jìn)入內(nèi)網(wǎng)，因此即使黑客強(qiáng)行攻擊了網(wǎng)絡(luò)安全隔離設(shè)備，由于攻擊發(fā)生時(shí)內(nèi)外網(wǎng)始終處于物理斷開狀態(tài)，黑客也無法進(jìn)入內(nèi)網(wǎng)。

StoneWall-2000 網(wǎng)絡(luò)安全隔離設(shè)備(正向型)在實(shí)現(xiàn)物理隔斷的同時(shí)允許可信的內(nèi)部網(wǎng)絡(luò)和不可信的外部網(wǎng)絡(luò)之間的數(shù)據(jù)和信息進(jìn)行安全交換。由于網(wǎng)絡(luò)安全隔離設(shè)備僅抽取特定的合法數(shù)據(jù)進(jìn)入內(nèi)網(wǎng)，因此，內(nèi)網(wǎng)不會(huì)受到網(wǎng)絡(luò)層的攻擊，這就在物理隔離的同時(shí)實(shí)現(xiàn)了數(shù)據(jù)的安全交換。

功能和特性

StoneWall-2000 網(wǎng)絡(luò)安全隔離設(shè)備(正向型)具備以下功能和特性：

具有物理隔離能力的硬件結(jié)構(gòu)：由兩個(gè)嵌入式計(jì)算機(jī)及輔助裝置形成安全島系統(tǒng)，并由安全半島調(diào)度引擎實(shí)現(xiàn)安全輪渡，保證了內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的物理隔離；

硬件數(shù)據(jù)流向控制：經(jīng)過安全隔離設(shè)備的數(shù)據(jù)流向控制是通過特定的硬件實(shí)現(xiàn)，極大地保證了內(nèi)部系統(tǒng)的安全；

連接方向的控制：可對(duì) TCP 連接進(jìn)行方向控制， TCP 連接只能由內(nèi)網(wǎng)主機(jī)建立連接，以保證內(nèi)網(wǎng)主機(jī)不向外網(wǎng)提供網(wǎng)絡(luò)服務(wù)；

多級(jí)過濾的立體訪問控制：多級(jí)過濾形成了立體的全面的訪問控制機(jī)制。它可以在鏈路層根據(jù)MAC地址進(jìn)行分組過濾，在 IP 層提供基于狀態(tài)檢測(cè)的分組過濾，可以根據(jù)網(wǎng)絡(luò)地址、網(wǎng)絡(luò)協(xié)議以及 TCP、 UDP 端口進(jìn)行過濾；在應(yīng)用層通過應(yīng)用代理提供對(duì)應(yīng)用協(xié)議的命令、訪問路徑、內(nèi)容等的過濾；同時(shí)還提供用戶級(jí)的鑒別和過濾控制。保證了系統(tǒng)的安全性，提高了了防護(hù)能力，增強(qiáng)控制的靈活性；

更強(qiáng)的防御功能：采用非 INTEL 系列的 RISC 處理器，減少被病毒攻擊的概率，采用專門裁剪的 LINUX 內(nèi)核，取消所有系統(tǒng)網(wǎng)絡(luò)功能。這不但提高了安全性，而且保證了高性能；

支持實(shí)時(shí)報(bào)警

支持多種工作模式，包括無 IP 地址透明監(jiān)聽、網(wǎng)絡(luò)地址轉(zhuǎn)換、混合工作模式、雙向網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）：可以支持無 IP 地址透明監(jiān)聽、網(wǎng)絡(luò)地址轉(zhuǎn)換、混合工作模式。隔離設(shè)備沒有 IP 地址，非法用戶無法對(duì)隔離設(shè)備本身進(jìn)行網(wǎng)絡(luò)攻擊。同時(shí)雙向 NAT，隱藏內(nèi)部網(wǎng)絡(luò)主機(jī) IP 地址。不但便于實(shí)施，又提高了安全性能；

真正實(shí)現(xiàn)了透明接入：在接入網(wǎng)絡(luò)安全隔離設(shè)備后，不影響現(xiàn)有的網(wǎng)絡(luò)應(yīng)用的數(shù)據(jù)傳輸，正常使用網(wǎng)絡(luò)的合法用戶來對(duì)本設(shè)備是不可感知的。

安全方便的維護(hù)管理：StoneWall-2000 網(wǎng)絡(luò)安全隔離設(shè)備(正向型)配置非常簡便，對(duì)它的操作及設(shè)置基本上只需使用規(guī)則配置管理工具就可以實(shí)現(xiàn)。StoneWall-2000 網(wǎng)絡(luò)安全隔離設(shè)備(正向型)提供了兩種不同的規(guī)則配置管理工具：GUI 管理工具、CLI 管理工具。

設(shè)定范例通過 HUB 連接的網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D

我公司致力于為電力物聯(lián)網(wǎng)、能源互聯(lián)網(wǎng)領(lǐng)域，提供二次安全防護(hù)產(chǎn)品和售后服務(wù)整體解決方案。

二次安防產(chǎn)品：網(wǎng)絡(luò)安全隔離、縱密、網(wǎng)安及其服務(wù)；

可控微機(jī)與周邊產(chǎn)品：可控計(jì)算機(jī)（工作站）、打印機(jī)

電力物聯(lián)網(wǎng)領(lǐng)域：在線監(jiān)測(cè)、信息安全互聯(lián)網(wǎng)安全領(lǐng)域：云計(jì)算、服務(wù)器、交換機(jī)、安防監(jiān)控

審核編輯：劉清