网络隔离的技术架构重点在隔离上,实现隔离是关键。以下的组图可以告诉我们,在数据交换时,网络隔离是如何实现的。
图1的外网是安全性不高的互联网,内网是安全性很高的内部网络。正常情况下,隔离设备的外部主机和外网相连,隔离设备的内部主机和内网相连,外网和内网是完全断开的。隔离设备是一个独立的固态存储介质和一个单纯的调度控制电路。
当外网需要有数据送达内网的时候,以电子邮件为例,外部主机先接受数据,并发起对固态存储介质的非TCP/IP协议的数据连接,外部主机将所有的协议剥离,将原始的数据写入固态存储介质,如图2所示。根据不同的应用,可能有必要对数据进行完整性和安全性检查,如防病毒和恶意代码等。
一旦数据全部写入存储介质,立即中断与外部主机的连接。恢复到图1的状态,转而发起对内部主机的非TCP/IP协议的数据连接。固态存储介质将数据发送给内部主机,内部主机收到数据后,立即进行TCP/IP的封装和应用协议的封装,并发送给内网,如图3所示。这个时候,内网电子邮件系统就收到了外网的电子邮件系统通过网络隔离设备转发的电子邮件。
在控制台收到完成数据交换任务的信号之后,立即切断与内部主机的直接连接,恢复到网络断开的初始状态,如图1所示。
如果这时内网有电子邮件要发出,内部主机先接受内部的数据,建立与固态存储介质之间的非TCP/IP协议的数据连接。内部主机剥离所有的TCP/IP协议和应用协议,得到原始的数据,将数据写入存储介质,如图4所示,对其进行防病毒处理、防泄密和防恶意代码检查。然后中断与内部主机的直接连接。
一旦数据全部写入存储介质,立即中断与内部主机的连接,恢复到图1的状态。转而发起对外部主机的非TCP/IP协议的数据连接。网络隔离将存储介质内的数据发送给外部主机,如图5所示。外部主机收到数据后,立即进行TCP/IP的封装和应用协议的封装,并发送给外网。控制台收到处理完毕的信息后,立即中断隔离设备与外网的连接,恢复到完全隔离状态,如图1所示。
每一次数据交换,隔离设备经历了数据的接收、存储和转发三个过程。由于这些规则都是在内存和内核里完成的,因此速度上有保证,可以达到100%的总线处理能力。
网络隔离的一个特征,就是内网与外网永不连接,内部主机和外部主机在同一时间最多只有一个同固态存储介质建立非TCP/IP协议的数据连接。其数据传输机制是存储和转发。
网络隔离的好处是明显的,即使外网在最坏的情况下,内网也不会有任何破坏,修复外网系统也非常容易。
以上这种基于两个单边主机(内部主机和外部主机)之间的数据交换的网络隔离技术,被称做网闸。