1，網(wǎng)絡安全隔離設備的定義

網(wǎng)絡安全隔離設備是一種通過專用的硬件使兩個網(wǎng)絡在不連通的情況下進行網(wǎng)絡間的安全數(shù)據(jù)傳輸和資源共享的網(wǎng)絡設備。因此，它有廣闊的應用前景。在國外已被美國、以色列等國家的軍政、航天、金融等要害部門廣泛應用。作為國際上最新的網(wǎng)絡安全技術， 網(wǎng)絡安全隔離設備獨特的硬件設計使它能夠提供比防火墻更高的安全性能，可大大提高政府、金融、軍隊等高端用戶的整體網(wǎng)絡安全強度。

網(wǎng)絡安全隔離設備將可信任的內(nèi)網(wǎng)和不可信任的外網(wǎng)進行隔離，因此必須保證內(nèi)部網(wǎng)和外部網(wǎng)之間的通信均通過網(wǎng)絡安全隔離設備進行，同時還必須保證網(wǎng)絡安全隔離設備自身的安全性；網(wǎng)絡安全隔離設備是實施內(nèi)部網(wǎng)安全策略的一部分，保證了內(nèi)部網(wǎng)的正常運行而不受外部的干擾。

2， 網(wǎng)絡安全隔離設備在網(wǎng)絡中的位置

3，網(wǎng)絡安全隔離設備訪問控制策略

訪問控制策略是網(wǎng)絡安全隔離設備的基礎，它可以按如下兩種邏輯來制訂：

1、 默認禁止：訪問控制規(guī)則沒有明確允許的都禁止訪問；

2、 默認允許：訪問控制規(guī)則沒有明確禁止的都允許訪問。

可以看出，前一種邏輯限制性大，后一種邏輯則比較寬松。

基于安全性考慮， StoneWall-2000 網(wǎng)絡安全隔離設備(正向型)采用的是“默認禁止”訪問控制策略。

StoneWall-2000 網(wǎng)絡安全隔離設備(正向型)簡介 工作原理：StoneWall-2000 網(wǎng)絡安全隔離設備(正向型)采用軟、硬結合的安全措施，在硬件上使用雙機結構通過安全島裝置進行通信來實現(xiàn)物理上的隔離，及單向數(shù)據(jù)流向控制；在軟件上，采用綜合過濾、訪問控制、應用代理技術實現(xiàn)鏈路層、網(wǎng)絡層與應用層的隔離。在保證網(wǎng)絡透明性的同時，實現(xiàn)了對非法信息的隔離。

StoneWall-2000 網(wǎng)絡安全隔離設備(正向型)通過開關切換及數(shù)據(jù)緩沖設施來進行數(shù)據(jù)交換。開關的切換使得在任何時刻兩個網(wǎng)絡沒有直接連通，在某個時刻網(wǎng)絡安全隔離設備只能連接到一個網(wǎng)絡，而數(shù)據(jù)流經(jīng)網(wǎng)絡安全隔離設備時 TCP/IP 協(xié)議被終止，因此可以有效地防護利用網(wǎng)絡進行的外部攻擊。

StoneWall-2000 網(wǎng)絡安全隔離設備(正向型)作為代理從內(nèi)網(wǎng)的網(wǎng)絡訪問包中抽取出數(shù)據(jù)然后通過數(shù)據(jù)緩沖設施轉入外網(wǎng)，完成數(shù)據(jù)中轉。在中轉過程中，網(wǎng)絡安全隔離設備會對抽取的數(shù)據(jù)報文的 IP 地址、 MAC 地址、端口號、連接方向實施過濾控制；由于網(wǎng)絡安全隔離設備采用了獨特的開關切換機制，因此，在進行過濾檢查時網(wǎng)絡實際上處于斷開狀態(tài)；通過嚴格檢查只有符合安全策略的特定數(shù)據(jù)才能進入內(nèi)網(wǎng)，因此即使黑客強行攻擊了網(wǎng)絡安全隔離設備，由于攻擊發(fā)生時內(nèi)外網(wǎng)始終處于物理斷開狀態(tài)，黑客也無法進入內(nèi)網(wǎng)。

StoneWall-2000 網(wǎng)絡安全隔離設備(正向型)在實現(xiàn)物理隔斷的同時允許可信的內(nèi)部網(wǎng)絡和不可信的外部網(wǎng)絡之間的數(shù)據(jù)和信息進行安全交換。由于網(wǎng)絡安全隔離設備僅抽取特定的合法數(shù)據(jù)進入內(nèi)網(wǎng)，因此，內(nèi)網(wǎng)不會受到網(wǎng)絡層的攻擊，這就在物理隔離的同時實現(xiàn)了數(shù)據(jù)的安全交換。

功能和特性

StoneWall-2000 網(wǎng)絡安全隔離設備(正向型)具備以下功能和特性：

具有物理隔離能力的硬件結構：由兩個嵌入式計算機及輔助裝置形成安全島系統(tǒng)，并由安全半島調度引擎實現(xiàn)安全輪渡，保證了內(nèi)部網(wǎng)絡和外部網(wǎng)絡的物理隔離；

硬件數(shù)據(jù)流向控制：經(jīng)過安全隔離設備的數(shù)據(jù)流向控制是通過特定的硬件實現(xiàn)，極大地保證了內(nèi)部系統(tǒng)的安全；

連接方向的控制：可對 TCP 連接進行方向控制， TCP 連接只能由內(nèi)網(wǎng)主機建立連接，以保證內(nèi)網(wǎng)主機不向外網(wǎng)提供網(wǎng)絡服務；

多級過濾的立體訪問控制：多級過濾形成了立體的全面的訪問控制機制。它可以在鏈路層根據(jù)MAC地址進行分組過濾，在 IP 層提供基于狀態(tài)檢測的分組過濾，可以根據(jù)網(wǎng)絡地址、網(wǎng)絡協(xié)議以及 TCP、 UDP 端口進行過濾；在應用層通過應用代理提供對應用協(xié)議的命令、訪問路徑、內(nèi)容等的過濾；同時還提供用戶級的鑒別和過濾控制。保證了系統(tǒng)的安全性，提高了了防護能力，增強控制的靈活性；

更強的防御功能：采用非 INTEL 系列的 RISC 處理器，減少被病毒攻擊的概率，采用專門裁剪的 LINUX 內(nèi)核，取消所有系統(tǒng)網(wǎng)絡功能。這不但提高了安全性，而且保證了高性能；

支持實時報警

支持多種工作模式，包括無 IP 地址透明監(jiān)聽、網(wǎng)絡地址轉換、混合工作模式、雙向網(wǎng)絡地址轉換（NAT）：可以支持無 IP 地址透明監(jiān)聽、網(wǎng)絡地址轉換、混合工作模式。隔離設備沒有 IP 地址，非法用戶無法對隔離設備本身進行網(wǎng)絡攻擊。同時雙向 NAT，隱藏內(nèi)部網(wǎng)絡主機 IP 地址。不但便于實施，又提高了安全性能；

真正實現(xiàn)了透明接入：在接入網(wǎng)絡安全隔離設備后，不影響現(xiàn)有的網(wǎng)絡應用的數(shù)據(jù)傳輸，正常使用網(wǎng)絡的合法用戶來對本設備是不可感知的。

安全方便的維護管理：StoneWall-2000 網(wǎng)絡安全隔離設備(正向型)配置非常簡便，對它的操作及設置基本上只需使用規(guī)則配置管理工具就可以實現(xiàn)。StoneWall-2000 網(wǎng)絡安全隔離設備(正向型)提供了兩種不同的規(guī)則配置管理工具：GUI 管理工具、CLI 管理工具。

設定范例通過 HUB 連接的網(wǎng)絡結構拓撲圖

我公司致力于為電力物聯(lián)網(wǎng)、能源互聯(lián)網(wǎng)領域，提供二次安全防護產(chǎn)品和售后服務整體解決方案。

二次安防產(chǎn)品：網(wǎng)絡安全隔離、縱密、網(wǎng)安及其服務；

可控微機與周邊產(chǎn)品：可控計算機（工作站）、打印機

電力物聯(lián)網(wǎng)領域：在線監(jiān)測、信息安全互聯(lián)網(wǎng)安全領域：云計算、服務器、交換機、安防監(jiān)控

審核編輯：劉清