網絡安全隔離設備StoneWall-2000原理是什么？有哪些應用？

1，網絡安全隔離設備的定義

網絡安全隔離設備是一種通過專用的硬件使兩個網絡在不連通的情況下進行網絡間的安全數據傳輸和資源共享的網絡設備。因此，它有廣闊的應用前景。在國外已被美國、以色列等國家的軍政、航天、金融等要害部門廣泛應用。作為國際上最新的網絡安全技術， 網絡安全隔離設備獨特的硬件設計使它能夠提供比防火墻更高的安全性能，可大大提高政府、金融、軍隊等高端用戶的整體網絡安全強度。

網絡安全隔離設備將可信任的內網和不可信任的外網進行隔離，因此必須保證內部網和外部網之間的通信均通過網絡安全隔離設備進行，同時還必須保證網絡安全隔離設備自身的安全性；網絡安全隔離設備是實施內部網安全策略的一部分，保證了內部網的正常運行而不受外部的干擾。

2， 網絡安全隔離設備在網絡中的位置

3，網絡安全隔離設備訪問控制策略

訪問控制策略是網絡安全隔離設備的基礎，它可以按如下兩種邏輯來制訂：

1、 默認禁止：訪問控制規則沒有明確允許的都禁止訪問；

2、 默認允許：訪問控制規則沒有明確禁止的都允許訪問。

可以看出，前一種邏輯限制性大，后一種邏輯則比較寬松。

基于安全性考慮， StoneWall-2000 網絡安全隔離設備(正向型)采用的是“默認禁止”訪問控制策略。

StoneWall-2000 網絡安全隔離設備(正向型)簡介 工作原理：StoneWall-2000 網絡安全隔離設備(正向型)采用軟、硬結合的安全措施，在硬件上使用雙機結構通過安全島裝置進行通信來實現物理上的隔離，及單向數據流向控制；在軟件上，采用綜合過濾、訪問控制、應用代理技術實現鏈路層、網絡層與應用層的隔離。在保證網絡透明性的同時，實現了對非法信息的隔離。

StoneWall-2000 網絡安全隔離設備(正向型)通過開關切換及數據緩沖設施來進行數據交換。開關的切換使得在任何時刻兩個網絡沒有直接連通，在某個時刻網絡安全隔離設備只能連接到一個網絡，而數據流經網絡安全隔離設備時 TCP/IP 協議被終止，因此可以有效地防護利用網絡進行的外部攻擊。

StoneWall-2000 網絡安全隔離設備(正向型)作為代理從內網的網絡訪問包中抽取出數據然后通過數據緩沖設施轉入外網，完成數據中轉。在中轉過程中，網絡安全隔離設備會對抽取的數據報文的 IP 地址、 MAC 地址、端口號、連接方向實施過濾控制；由于網絡安全隔離設備采用了獨特的開關切換機制，因此，在進行過濾檢查時網絡實際上處于斷開狀態；通過嚴格檢查只有符合安全策略的特定數據才能進入內網，因此即使黑客強行攻擊了網絡安全隔離設備，由于攻擊發生時內外網始終處于物理斷開狀態，黑客也無法進入內網。

StoneWall-2000 網絡安全隔離設備(正向型)在實現物理隔斷的同時允許可信的內部網絡和不可信的外部網絡之間的數據和信息進行安全交換。由于網絡安全隔離設備僅抽取特定的合法數據進入內網，因此，內網不會受到網絡層的攻擊，這就在物理隔離的同時實現了數據的安全交換。

功能和特性

StoneWall-2000 網絡安全隔離設備(正向型)具備以下功能和特性：

具有物理隔離能力的硬件結構：由兩個嵌入式計算機及輔助裝置形成安全島系統，并由安全半島調度引擎實現安全輪渡，保證了內部網絡和外部網絡的物理隔離；

硬件數據流向控制：經過安全隔離設備的數據流向控制是通過特定的硬件實現，極大地保證了內部系統的安全；

連接方向的控制：可對 TCP 連接進行方向控制， TCP 連接只能由內網主機建立連接，以保證內網主機不向外網提供網絡服務；

多級過濾的立體訪問控制：多級過濾形成了立體的全面的訪問控制機制。它可以在鏈路層根據MAC地址進行分組過濾，在 IP 層提供基于狀態檢測的分組過濾，可以根據網絡地址、網絡協議以及 TCP、 UDP 端口進行過濾；在應用層通過應用代理提供對應用協議的命令、訪問路徑、內容等的過濾；同時還提供用戶級的鑒別和過濾控制。保證了系統的安全性，提高了了防護能力，增強控制的靈活性；

更強的防御功能：采用非 INTEL 系列的 RISC 處理器，減少被病毒攻擊的概率，采用專門裁剪的 LINUX 內核，取消所有系統網絡功能。這不但提高了安全性，而且保證了高性能；

支持實時報警

支持多種工作模式，包括無 IP 地址透明監聽、網絡地址轉換、混合工作模式、雙向網絡地址轉換（NAT）：可以支持無 IP 地址透明監聽、網絡地址轉換、混合工作模式。隔離設備沒有 IP 地址，非法用戶無法對隔離設備本身進行網絡攻擊。同時雙向 NAT，隱藏內部網絡主機 IP 地址。不但便于實施，又提高了安全性能；

真正實現了透明接入：在接入網絡安全隔離設備后，不影響現有的網絡應用的數據傳輸，正常使用網絡的合法用戶來對本設備是不可感知的。

安全方便的維護管理：StoneWall-2000 網絡安全隔離設備(正向型)配置非常簡便，對它的操作及設置基本上只需使用規則配置管理工具就可以實現。StoneWall-2000 網絡安全隔離設備(正向型)提供了兩種不同的規則配置管理工具：GUI 管理工具、CLI 管理工具。

設定范例通過 HUB 連接的網絡結構拓撲圖

我公司致力于為電力物聯網、能源互聯網領域，提供二次安全防護產品和售后服務整體解決方案。

二次安防產品：網絡安全隔離、縱密、網安及其服務；

可控微機與周邊產品：可控計算機（工作站）、打印機

電力物聯網領域：在線監測、信息安全互聯網安全領域：云計算、服務器、交換機、安防監控

審核編輯：劉清