融合应用:安全隔离网闸发展的必由之路

　　在保证安全的前提下，安全隔离网闸厂商也在尽力地满足着用户对安全隔离网闸支持更多网络应用的需求，且已经取得了显著的成效。当前，安全隔离网闸已由最初只支持文件交换功能（工作原理是模拟人工拷盘），发展到具有数据库同步、数据库访问、邮件访问、安全Web访问、FTP访问等多种功能，能对HTTP、FTP、SMTP、POP3等通用协议进行内容检查，但是目前绝大部分用户的应用采用的都是自定义格式的私有协议，如果没有对安全隔离网闸实施二次开发，就无法对交换的数据内容进行过滤。这是因为私有协议的数据格式、数据内容等都没有公开，导致安全隔离网闸厂商无法定义出相应的数据内容检查规则，也就无法实现高安全的隔离交换控制。 中国网管论坛bbs.bitsCN.com

　　为了应对通用安全隔离网闸无法对私有协议进行数据内容检查的问题，安全隔离网闸厂商、用户以及相关的主管部门都在积极寻找相应对策，目前，主要有以下两种技术路线。

　　其一，重点实现电路级数据单向传输，并强化用户认证功能。如通过国家电力调度通信中心的检测认证，在电力行业广泛应用的“单向横向安全隔离装置”，以及国家保密局正在认证，可以部署在电子政务中的“安全隔离与信息单向导入系统”等，但部署这些单向安全隔离网闸时，也需要将应用系统进行改造，另外，这些单向安全隔离网闸应用扩展能力差，只适合在特定行业内强制推行，无法应用于双向数据交换、应用复杂的网络环境。 网管bitscn_com

　　技术路线之二则是与用户的具体应用相结合，在双向数据交换的网络环境下实现对交换数据内容的检查，当前，由于绝大部分用户的应用都需要进行双向数据传输，因此第二种技术路线将是安全隔离网闸发展的必由之路，按照第一种技术路线发展的单向安全隔离网闸，则会发展成为一类独立的安全产品。 网管网www_bitscn_com

　　下面，我们就以联想网御在第二种技术路线方面的研发探索为例，通过联想网御对私有协议的数据内容检查解决方案，具体说明安全隔离网闸与用户的具体应用相结合是如何方便灵活地实现的。 网管bitscn_com

科学的体系架构

(a)科学的系统架构 网管u家u.bitsCN.com

　　联想网御安全隔离网闸的系统硬件平台由内网主机系统、外网主机系统、隔离交换矩阵三部分组成：内网/外网主机系统分别具有独立的运算单元和存储单元，并以联想网御自主知识产权的VSP （Versatile Security Platform，通用安全平台）作为操作系统；隔离交换矩阵基于LeadASIC专用芯片技术及相应的时分多路隔离交换逻辑电路，不受主机系统控制，能独立完成应用数据的封包、摆渡、拆包，从而实现内外网之间的数据隔离交换。主机系统对交换数据的检查流程如图一所示。安全隔离网闸在完成常规的IP地址、协议类型、协议分析等检查后，还能在数据通过隔离交换矩阵封包之前进行数据内容的检查。