2021电力二次系统安全防护设备技术

ACCESSCONTROL ADDRESSRESOLUTION APPLICATIONSPECIFICINTEGRATED ASYNCHRONOUSTRANSFERMODE BRIDGEPROTOCOLDATAUNIT CERTIFICATIONAUTHORITY CYCLICALREDUNDANCY CARRIERSENSEMULTIPLEACCESS/COLLISION DYNAMICHOSTCONFIGURATION DIGITALSIGNATURE 签名算 EXTERNALBORDERGATEWAYPROTOCOL ELLIPTICCURVECRYPTOSYSTEMS FIBER-DISTRIBUTEDDATAINTERFACE FILETRANSFERPROTOCOL HYPERTEXTTRANSPORT INTERIORBORDERGATEWAY INTERNETCONTROLMESSAGE INTERNETWORKOPERATING INTERNET IP INTERNETWORKPACKETEXCHANGE CISCOINTER-SWITCHLINK INTERNATIONALORGANIZATIONFOR INTERNETSERVICE INTERNATIONALTELECOMMUNICATIONS LOCALAREA LOGICALLINKCONTROL MEDIUMACCESSCONTROL METROPOLITANAREANETWORK MESSAGE-DIGESTALGORITHM NETWORKADDRESS NON-VOLATILERANDOMACCESS OPENSYSTEM OPENSHORTESTPATHFIRST PERSONALCOMPUTER QUALITYOFSERVICE REQUESTFORCOMMENTS ROUTINGINFORMATION RIVESTSHAMIRH SMALLCOMPUTERSYSTEM SECURESOCKETSLAYER SPANNINGTREEALGORITHM SPANNINGTREEPROTOCOL TRANSMISSIONCONTROLPROTOCOL USERDATAGRAMPROTOCOL VIRTUALLOCALAREANETWORK VIRTUALPRIVATE VLANTRUNKING WIDEAREA 目录TOC\o"1-3"\h\u1658 230682第一章交换机技术 511646第一节交换机概述 531227 527709 728278第二节交换机基础 831800 830557 813217 1025839第三节生成树协议 124389 1213517二、STP 1222251 1530591第四节虚拟局域网 1613928一、VLAN 1614192二、VLAN 1823550三、VLAN 205266第二章路由器技术 2524712第一节路由器概述 258769 256200 2616672第二节路由技术 2612659 2615622 2827543 2830521第三节路由协议解析 3511459一、OSPF 3526499二、OSPF 3514112三、OSPF路由器 3621218四、OSPF 36319五、OSPF 3819693六、OSPF 404737七、OSPF 43287八、OSPF 442981第四节路由器新技术 4527553 451269 459553 4530375 4517686第三章硬件防火墙技术 4717768第一节防火墙概述 4710434 477219 4718960第二节防火墙的分类 4917884 4910367 513063 5222295第三节防火墙的主要技术 523595 5230054 5623333 6321800第四节防火墙新技术 6510573一、专用集成电路（ASIC） 6523167 668563 6621162第四章横向隔离装置技术 6811197第一节网络边界安全概述 687568 6818279 6810403 694759 6928139第二节网络隔离概述 702513 7044 70997第三节网络隔离技术原理与实现 7213707 7322169 7419491 7712635第四节电力专用横向隔离装置概述 8495 8426298 842847 8525215第五章纵向加密认证装置技术 8728134第一节纵向加密认证装置概述 8714735 8726025 8727149第二节密码学及网络安全知识 8824828 8821838 8831913 912713 9325076 9728882六、IPSec 10031774第三节 1043702 10426342 10427293 10517938四、IP 1065847 10730282 108第一章交换机技术第一节交换机概述 机、汇聚层（DistributionLayer）交换机和接入层（AccessLayer）交换机（复杂的网络根据交换机工作协议的不同，交换机可以分为二层交换机、三层交换机和四层交换机等。目前使用最为普遍的是二层交换机，它可以在不同的端口之间完成目的C目的地址路由寻址，实现对数据包的可靠转发，主要用于大型局域网中之间的数直通交换（）。直通交换方式是指在输入端口一旦接收到数据帧，错误的数据帧转发，导致网络资源的浪费，并且由于不同速率的数据帧在输入输出端口不易直接接通，因此数据包容易被丢弃。存储转发（）。存储转发是网络中交换机最为广泛的工作模个完整的数据帧，再进行校验（循环冗余码校验），确认数据帧无误后，转发到相据处理速度较慢。此方式可以支持异种网络的互联，如k、I第二节交换机基础局域网（LocalAreaNetwork，LAN）是指在一区域内部由许多计算机和网络设备等在参考模型中，主要用到了物理层和数据链路层，其作用主要体现在数据链路层的两个子层上，即介质访问控制（）子层和逻辑链路控制（）子层。C子层具有介质访问控制功能，能够探测到共享信道的状态；支持载波监听多路访问冲突检测（）、令牌环、等介质控制方法；能对接收到的帧进行检测，若帧无误，便将其提供给子层。子层是局域网通信体系结构的最高层，负责实现连接服务，采用特定的方法使在访问介质发生变化时不影响高层的协议。以太网是在世纪年代研制开发的一种基带局域网技术，是当今通信中一个重要的网络协议，主要用来描述物理层和数据链路层的子层的实现方法，特别适合构建企业内部网络。以太网使用同轴电缆、双绞线等作为网络传输介质，采用载波多路访问/冲突检测（）机制，并以平滑升级、结构简单、管理方便、造价低廉等特点，以太网和以交换机为核心的现代交换式以太网。（）进行半双工通信。处于接入方式的网络中的两台主机在同时发送信息时可能会产生冲突。由于集线器是网络第一层（物理层）简单的复制，不具备第二层（数据链路层）层（网络层）中极易产生广播风暴，导致网络阻塞，如图所示。图1-1图1-2介质访问控制（MediaAccessControl，MAC）地址即物理地址，是网卡的标识，长图1-3MAC交换机启动时，其内部的地址表为空。交换机启动后开始检查各端口的连接情况。当向发送数据时，交换机首先将源地址和端口的映射关系存放在地址表中；其次，交换机查找目的地址和端口的映射关系，由于此时交换机没有该映射关系，其会将此数据帧向除端口外的所有端口转发。发现该数据包的目的地址是自己，则向交换机回一个数据包（和则丢弃该包），包，则会记录端口和目的地址的映射关系。这就是地址和端口的建立映射过程。没有被查找时，该映射项将会被释放。这种机制保证了地址表得以及时更新，获取精确的映射信息。第三节生成树协议成树协议（SpanningTreeProtocol，STP），它能使一条线路在逻辑上处于断开以避免STP由Sun微系统公司著名工程师拉迪亚·珀尔曼博士（RadiaPerlman）发明。随后IEEE802委员会对其进行了修改，将其定义在IEEE802.1D（SpanningTreeProtocol，二、STPSTP通过交换网桥协议数据单元（BridgeProtocolDataUnit，BPDU）消息来构建无STP中有三种基本类型的端口，即根端口（RootPort）、指定端口（DesignatedPort）和非指定端口（NonDesignatedPort）。网桥路径开销 表1-1图1-4STP802.1D规定，交换机默认的优先级是32768，其取值范围是0～65536，优先级值越小则图1-5S2的BID24568∶112233445566比S3的BID32768∶223344556677要小，所以S2的端第四节虚拟局域网一、VLANVLAN（VirtualLocalAreaNetwork）即虚拟局域网，是以太网交换技术中一种将局 802.1Q（VirtualBridgedLocalAreaNetworksProtocol，虚拟桥接局域网协议）。图显示了某企业内部的设计，虽然财务部门、技术部门、销售部门处于不同的中，但不同内的计算机犹如处于同一局域网一样。之间必须通过路由器或高层交换机才可以实现通信。图1-6某企业内部VLAN二、VLAN跨交换机的内部的端口需要通信就必须建立一条物理链路，但若一个网络有几十或者上百个，逐一建立物理链路就显得极不合适，因此引入了中继技术。中继作为交换机之间（或者交换机和路由器之间）载多个的流量，且能够标识数据流所属的，方便跨交换机的数据传输。接入链路（ccss k）是指连接终端设备和交换机之间的链路。接入链路中的口只能属于所配置的，且不能与其他通信，一般接入链路传输的都是未标识的帧。中继链路（TrunkLink）是指交换机之间或者交换机和路由器之间的一条点对点的物 图1-7图1-8换机S1将来自VLAN10中PC1的数据帧加上标签10，通过IEEE802.1Q或者ISL将其封装地址和VLAN标识（VLANID）等内容，再查找VLAN所对应的MAC地址表来确定转发数个域的网络中配置一台VTPServer和多个VTPClient，VTPServer和VTPClient通过中继链路相连。配置好中继链路后，各VTPClient会自动学习VTPServer中对有关VLAN信息的配置，实现VTPServer对全局网络的统一管理和各交换机之间同步VLAN的配置信息。VTP域。VTP域又称VLAN管理域（VLANmanagementdomain），是VTP中一VTP，就必须为网络中的VTPServer和VTPClient指定相同的VTP域名，不同VTP域之间图1-9VTPVTP修剪（VTP中的VTPServer上进行配置。具有修剪资格的VLANID范围是2～1000。由于VLAN1主要VTP域内的VTPServer开启了VTP修剪功能，该域内所有的交换机都会启用该功能。图为启用了修剪功能的交换网络，该网络有台交换机，台主机，其中仅有的、的的端口属于，在服务器上配置修剪后，来自的发送的广播数据流，将不会通过中继链路广播到，仅会传输到，这样使数据流仅在、间的中继链路中传输，有利于中数据的快速交互，而又不影响其他网络设备。由此可见，合理的配置数据流，提高链路带宽利用率。三、VLAN图1-10VTP路由器端口和一一对应。这种方式是传统N间的通信方式，通过路由器的不同物理端口与交换机上的每个分别连接来实现。此方式要求交换机端口和路由器之间必须使用接入链路，各端口配置不同的。来自于N的数据流，通过接应的链路发送到目的地址。路由器端口和一一对应如图所示。图1-11路由器端口和VLAN图1-12第三层交换技术。使用路由器实现间的通信不但受到端口数的限制，而的快速转发，突破了传统路由器端口速率受限的瓶颈，大幅提高了处理数据帧的能力。图1-13三层交换机实现VLAN图1-14单臂路由VLAN第二章路由器技术第一节路由器概述路由器能将不同网络或网段之间的数据信息进行翻译，以使它们能够相互读懂对网段的设备，而是应用于不同网段或不同网络之间，连接中各局域网和广域网的是指导数据包发送的路径信息，路由协议就是在路由指导数据包发送过程中事先约定路径，路由器通过路由协议创建路由表，描述网络拓扑结构，常见的路由协议有、、等。图2-1第二节路由技术 路由表的原理出自于AlexZinin的著作《CiscoIPRouting》，这些原理对于理解、配图2-2在一个支持DDR（Dial-on-DemandRouting）的网络中，拨号链路只在需要时才拨占用一部分路由器资源，包括时间和网络链路带宽等。尽管动态路由有诸多好处，静态路由。通常，中等复杂程度的网络会同时使用这两种路由方式。 很早就被用在上，是最简单的路由协议。它是路由信息协议（enc）的简写，主要传递路由信息，通过每隔s广播一次路由表，维护相邻路由器的位置关系，同时根据收到的路由表信息计算自己的路由表信息。是一个距离矢量路由协议，最大跳数为跳，超过跳的网络则认为目标网络不可达。此协议通常用在网络架构较为简单的小型网络环境中，现在分为v和v两个版本，后者支持技术以及一系列技术上的改进。的收敛速度较慢。协议是内部网关路由协议（rygc）的缩写，由sc于二十世纪八十年代独立开发，属于sc私有协议。和一样，同属距离矢量路由协议，因此在许多方面有着相似点，如也是周期性的广播路由表，也存在最大跳数（默认为跳，达到或超过跳则认为目标网络不可达）。最大的特点是使用了混合度量值，同时考虑了链路的带宽、延迟、负载、、可靠性五个方面来计算路由的度量值，而不像其他协议单纯的考虑某一个方面来计算度量值。目前IOS（InternetworkOperatingSystem）已经不支持该协议，现在已经罕有运行IGRP协议协议是开放式最短路径优先（nsths）的缩写，属于链路状态路由协议。提出了区域（）的概念，每个区域中所有路由器维护着一个相同的链路状态数据库（）。区域又分为骨干区域（骨干区域的编号必须为）和非骨干区域（非编号区域），如果一个运行的网络只存在单一区域，则该区域可以有非骨干区域必须和骨干区域直接相连。利用所维护的链路状态数据库，通过最短生成树（）算法计算得到路由表。的收敛速度较快。由于其特有的开放性以及良好的扩展性，目前协议在各种网络中广泛部署。协议是eysmoeys（中间系统到中间系统）的缩写，属于链路状态路由协议。标准协议是由国际标准化组织制定的C：所定义的，标准协议不适合用于网络，因此制定了适用于网络的集成化协议（d）。和相同，也使用了区域的概念，同样也维护着一份链路状态数据库，通过最短生成树（）算法计算出最佳路径。-网关协议（BorderGatewayProtocol）的缩写，处理各ISP之间的路由传递。但是BGP运图2-3IGP与EGP度来评估路由协议，收敛速度越快，路由协议的性能就越好。通常，和收敛速度较慢，而和收敛速度较快。使用showiproute命令查看其路由表内容，如图2-5所示。在最后一个路由条目中，方括图2-4图2-5路由器R1的“120”表示RIP的管理距离是120。也可以使用showipprotocols命令来查看AD值，此命表2-1第三节路由协议解析一、OSPF二、OSPF图2-6OSPF数据包报头和Hello三、OSPF路由器 将其包括在OSPFnetwork命令中，然而，该接口必须活动，即它必须处于工作状态。四、OSPF量。但并未指定使用哪些值来确定开销，以sc的路由器为例，使用从路由表2-2各种接口的默认OSPF图2-7计算OSPF000000作为参考带宽会导致带宽值等于或大于100Mbps的接口具有相同的OSPF开销值五、OSPF在多路访问网络中，会选举出一个指定路由器（）负责收集和分发。还会选举出一个备用指定路由器（），以防指定路由器发生故障，其他所有路由器变为R 。R 仅与网络中的和建立完全的相邻关系。这意味着R无须向网络中的所有路由器泛洪，只需使用组播地址将其发送给和R即可。图2-8器ID来选举DR和BDR。如图2-8所示，RouterC成为DR；RouterB具有第二高的路由器ID，因此成为BDR；因为RouterA未被选举为DR或BDR，所以成为DROther。DROther仅与DR和BDR建立完全的相邻关系，但也会与该网络中的其他DROthers建立相邻关系。这意味着多路访问网络中的所有DROther路由器仍然会收到其他所有DROther路查看showipospfneighbor命令输出，如图2-9所示，显示了该多路访问网络中各台 192.168.31.33；BDR是RouterB，路由器ID是192.168.31.22。图2-9showipospfneighbor如果在选出和R后有新路由器加入网络，即使新路由器的接口优先级或路由器比当前或高，也不会成为或。如果当前或发生故障，则新路由器可被选举为。如果当前发生故障，则将成为，新路由器可被选为新的；当新路由器成为R后，如果发生故障，则该新路由器将成为如果BDR发生故障，则会在DROther之间选出新的BDR。关闭所有路由器上的接口，然后在DR上执行noshutdown命令，再在BDR上执此外，还可以通过更改优先级来更好地控制选举。由于成为的集散中心，所以它必须具有足够的和存储性能才能担此重责。与其依赖路由器D来确定和结果，不如使用psfy接口命令来控制选举。充当DR，同时在另一个网络中充当DROther。六、OSPF图2-10如图所示，将数据包送出其链路（接口）来确定是否有邻居，、3和因为配置有相同的链路状态路由协议，所以使用自身的数据包应答该数据包。s接口上没有邻居，因为未从此接口收到数据包，因此不会在s链路上继续执行链路状态路由进程。图2-11路由器R1向其邻居发送Hello些小型数据包持续在两个相邻的邻居之间互换，以此实现“保持生存功能来监控邻居的状态。如果路由器不再收到某邻居的数据包，则认为该邻居已无法到达，该相邻关系破裂。表2-3路由器R1表2-4路由器R1七、OSPF的链路状态信息的数量，并且链路状态路由协议设计旨在尽量降低对内存、和带宽的影响。可仅将发送给所需的路由器，例如，当拓扑发生变化时，仅处于受影响区域的那些路由器会收到并运行算法，这有助于将不稳定的链路隔离在路由域中的特定区域内。如图所示，有三个独立的路由域，即区域、区域和区域，如果区域内的一个网络发生故障，包含此故障链路的相关信息的路由器，仅区域内的路由器需要更新其链路状态数据库，重新运行算法，创建新的树，并更新其路由表。其他区域内的路由器也会获悉此路由器发生了故障，但通过运行算法，即可直接更新其路由表。图2-12八、OSPF第四节路由器新技术路由器是网络中最主要的联网设备，其技术体系的发展和演进经历了单总线单、单总线双U、单总线对称式多、多总线多、共享内存式、交叉开关模和带宽的增长推动路由器性能、容量的持续提升；另一方面，随着网络和业务的迅猛和发展方向将趋向于高性能、智能化、高可靠性和高安全性四个方面。第三章硬件防火墙技术第一节防火墙概述图3-1网络地址转换。防火墙采用地址转换技术可以很好地屏蔽内部网络的网络地址将现有私有网络连接到互联网的问题。在互联网上，私有地址只能作为内部网络的数据发送到外部网络之前将数据包的源地址转换成为能够在互联网上使用的地址。当的内部网络的主机地址，并将数据包发送给该主机。第二节防火墙的分类图3-2包过滤防火墙在ISO/OSI自适应代理防火墙。自适应代理防火墙由公司最先推出，主要由自适应代略自适应防火墙的安全级别。第三节防火墙的主要技术对最为常见的协议来说，包过滤技术主要是对数据包的报头字段进行检查过滤，包括源地址、目的地址、数据载荷协议类型、源端口、目的端口、选项以及为判断标准，来确定是否允许数据包通过。图3-3包过滤防火墙和ISO/OSI图3-4表3-1TCP/IP图3-5的泛洪和欺骗等，包过滤防火墙既不能检测又不能阻止这些类型的攻击。如果包过滤防火墙允许访问内部服务器的数据流量，则它不会关心这是什么类型的流量，攻击者可能会利用这一点，用泛洪攻击服务器的端口，表面想要获取服务器上的资源，实际上是耗尽其资源。又例如，包过滤防火墙不能检测所有类型的欺骗攻击，只能检测数据包的源和目的地址，而不能确定这个地址是不是数据包的真正的络实施拒绝服务攻击。包过滤防火墙不支持用户的连接认证。包过滤防火墙只能检测网络层和传输层的数据，不能对用户进行身份认证。像法就可以轻松防御，但包过滤防火墙无法处理认证信息，因为认证处理是由应用层完成的。代理防火墙过滤参考模型的网络层、传输层、会话层和应用层的信息，如图所示，图左边为七层参考模型，图右边为概念层和对应的网络协议。火墙只支持有限数量的应用，或者只支持一个应用。图3-6ISO/OSI参考模型和TCP/IP图3-7PC1如图所示，应用层代理起到了内部网络向外部网络申请服务时的中间转接作用。应用层代理虚拟了两个代理服务，即客户代理和服务代理。服务进程是一个服务器守护进程，用来侦听服务请求。当一个连接到来后，它首先要进行相应的用户身份认正的服务器发送服务请求，并转发给内部网络主机客户所请求的数据。对外部网络发的。图3-8的数据。例如，存在不安全代码的脚本程序、ActiveX控件以及电子邮件附件等。图3-9图3-10图3-11网络地址转换实现TCP图3-12SOCKS图3-13节省成本。企业可以使用成本低的将远程站点和远程用户连接到公司的内专用网降低了连接成本，但增加了远程连接的带宽。第四节防火墙新技术火墙更高的要求，高速防火墙采用了专用集成电路（）技术、集群技术和分布式技术。一、专用集成电路（ASIC）利用硬件的逻辑电路实现预先设计的软件功能。采用专用集成电路可以把一些原先由完成的经常性和反复性的处理工作用专门的硬件来实现，从而使网络设备在性能上路作为框架的防火墙越来越多。传统的防火墙一般使用通用的架构，使用基于架构的服务器或者工控机。通审查、过滤等操作。基于架构的防火墙的优点是灵活性高，能够利用指令集合软件完成各种各样的工作。基于架构的防火墙可以利用其高主频的优势去完成某一项任务（如单策略、单会话状态下的地址转换），但是在典型的宽带应用环境中，几万甚至几十万的并发连接不但为通用架构的防火墙带来更多的中断，而且使其处理能力急剧下降。与基于架构的防火墙相比，基于架构的防火墙具有更大的优点。以单一功能的集成电路来完成进程处理，具有高可靠性和强大的处理能力，属于专用硬件处理。采用架构的防火墙采用芯片和多总线、并行处理方式，使原来需要成千上口上有数据传输时防火墙内部仍然可以同时进行高效数据处理，不再像基于架构的防火墙那样受到中断处理的限制。在芯片内部的电路集成了有特殊功能的防火墙专用软件，使防火墙的运行速度得到了很大的提高，甚至可以达到线速转发。通过合理的系统设计来解决，比如可以将一些基本的任务分配给来处理，而那些特性，方便系统的升级，增强应对新的网络攻击的能力。随着科技的不断发展，技术将通过增加芯片的可编程性，使其与软件更好地配合，从而同时满足对灵活性和处理性能的要求。火墙使用相同的内部IP地址、一个外部地址和一个DMZIP地址，这样对内部网络的主机集群技术可以提高系统的可伸缩性。在防火墙系统的处理能力需要增加的时候，除通过增加集群中每个防火墙节点的单独处理能力（如升级、增加内存大小等手段）外，还可以通过增加集群节点数，即通过向集群添加新的防火墙设备，使集群的计算能力随着节点数的增加而伸缩，从而增大整个防火墙系统的吞吐量，完成防火墙系统的扩容。第四章横向隔离装置技术第一节网络边界安全概述为了解决计算机信息共享的问题，人们设计了基于模型的网络体系结构，它家甚至将网络安全建设上升到国家战略来部署。 （FalseNegative），所以管理员不能认为部署了IDS（IntrusionProtectionSystem，IPS）沿袭了IDS的优势，在检测到网络异常行为的同第二节网络隔离概述既需要信息交换，又需要实现网络隔离，这似乎十分矛盾。这里首先要明确一个概在常用的移动存储设备（如闪存、移动硬盘）展的过程中，存在两个重要的网络体系架构参考模型，即参考模型和参考模型。强大的通信有效性和良好的扩展性是网络通信飞速发展的基础，目前广泛应用的互联网就是基于参考模型发展起来的。然而也因为其具有广泛的连通性，所以缺乏安全性考虑，为网络安全留下了许多隐患。随着网络技术的发展，有一种被称为黑客的技术高手，专门研究网络入侵和攻击，且其中一部分是为了获利而进行的。在巨大的利益驱使下，传统的网络在黑客面前显得十分脆弱。网络安全防御技术也就成为专家和学者们的研究热点。而网络隔离技术正是众多网络安全防御技术中的一种，它具有不同于其他技术的特点。军方，著名的公司和d公司都起源于以色列。俄罗斯后来进行网络隔离技术的研究，并开发出基于技术的网络隔离装置，一举跃进网络隔离技术的先进行列。我国由于网络发展相对滞后，在世纪年代后期才由国家保密局提出物理隔离的物理隔离的要求。随后实施的《计算机信息系统国际联网保密管理规定》明确规定：凡连接，必须实行物理隔离。这样，我国的网络隔离技术开始探索前进。第三节网络隔离技术原理与实现协议设计的初衷是为了尽可能地保障网络的可用性，而并未为网络安全提供保障。协议没有设计完善的机制来对源地址进行检验，也就是说数据包的接收端无法判断该数据包的真实如gf、攻击、攻击等。目前，很多网络应用都采用的架构，即客户端和服务器架构。服务器要向客户端提供网络服务（可以是电子邮件、网络新闻和网络视频等），就要对外开放固定的端口号，比如服务的端口，服务的端口，的端口等。这些应用在设计之初都是为了实现提供服务的功能，而并未预计到遭到如应用层的这样的恶性攻击。传统的防火墙很难对应用层的输层信息与正常的数据包没有任何区别。表4-1网络隔离的原理。网络隔离设备的第一任务是实现网络隔离。基于开放的协议实现的互联网正受到各种攻击，黑客们大多利用协议中的漏洞，对模型中的某一层或多层进行攻击。防火墙通过设计规则来阻止攻击的发生，然而还是有可能绕过这些障碍，完成对内部网络的攻击。网络隔离技术的思想就是断开模隔离的，就需要对其架构有清楚的认识。网络隔离设备主要包括外部处理机、内部处理机、基于独立控制电路的固态存储介质三个部分，如图所示。这种＋结构模式的设备，通常被称为网闸。网闸的目的是实现各层的断开。图4-1应用层协议剥离和重组。为了防止应用层协议（第五层至第七层）的漏洞被能。应用层协议剥离的过程如图所示。图4-2基于网络隔离的数据交换原理。实现网络模型七层的断开并不困难，但是首先介绍基于网闸的网络隔离技术的架构，然后介绍数据交换如何实现。当内网有数据要发送到外网时（正向），写入调度。当取得写入权限时，内部处理机向存储介质写入原始数据，如图所示。一传输状态。然后，控制器向外部处理机发起非的连接请求，通知外部处理机从存存储介质的连接，恢复到无数据传输状态。外部处理机获得数据后，立即进行封装和应用协议封装，并发送给外网对应的目的主机，如图所示。图4-3图4-4外网向内网发送数据（反向）备的外部处理机先接收外网发来的网络数据包，对其进行协议和应用协议的剥离写入权限后，外部处理机将原始数据写入存储介质，如图所示。一旦写入完成，控制态。内部处理机获得原始数据后，对其进行封装和应用协议封装，并发送到内网对应的目的主机，如图所示。图4-5图4-6常的通信。每一次数据交换都经历接收、存储和转发，这个过程剥离了协程不使用转发，不需要建立的连接，没有应用层的命令，大大降低了受攻击的会产生任何影响。两大类：一类是动态断开技术，也称为动态开关技术，基于的开关技术和基于内存总线的开关技术最为常用；另一类是固定断开技术，实现单向传输。图4-7基于的网闸技术。基于的网闸技术属于动态断开技术的一种。基于的网闸技术由俄罗斯人yJs发明，是目前最为流行的网闸技术。是一种计算机外设的读写技术，它并不是为了网络通信而设计的。是一种具有结构（即主从结构）的单向控制传输协议，通常用于计算机主机与硬盘之间的数据交换。主机在协议中处于主地位，它对硬盘进行读写操作，而硬盘处于从地位，只能被动地接收入的数据是否正确，更不会向主设备发送确认。因此，主设备要通过先写入再读出的机物理地址（如以太网的地址）进行寻址，这种机制常常遭到地址欺骗攻击（如P欺骗）。由于这种单向控制传输协议不需要采用任何寻址机制，所以其安全性更（DualPortSDRAM）芯片的应用技术。双端口静态存储器具有两个完全独立的端口，图4-8网闸，它只允许单向的数据流动。其具体的实现技术包括数据泵技术（DataPump）和数据二极管技术（DataDiode）。 图4-9图4-10虚拟IP与双NAT当内网主机要向外网发起连接，如内网主机（）向外部网处理机虚拟（）的端口发起连接时，请求报文的源地址为，目的地址为。经过隔离网闸的转换后，到达外网的请求报文的源地址为隔离网闸内部处理机的虚拟地址，目的地址是外网内网主机→网闸内部处理机→外网主机→网闸外部处理机→从上述两个连接可以看到，网闸的内部处理机和外部处理机分别具有一个虚拟地址，即和。连接被分割成内网主机与网闸内部处理机之间的连接，和网闸外部处理机与外网主机之间的连接。两个连接完全独立，即使攻击者控制了外部连接，它也只能控制网闸外部处理机和外网之间的操作，而网闸内部处理机和内网不会因此而暴露和被操纵。个应用连接，即内网主机→应用代理服务器和应用代理服务器→接共享一台主机，也会面临连接中的问题，即外网的攻击者有可能通过控制外部开成两个连接，但两个连接并不共享一台主机。这里可以看到网闸采用的＋架构对网络边界安全的防御所起的重要作用。连接和应用连接的断开，使网闸失去网络通信的能力，数据通过网闸的过程是一个“摆渡的过程，摆渡的数据不带任何应用层信息。然而，不论是从内网还是从外网一种应用，就必须单独增加对该应用的安全交换模块。这是一种“白名单工作机制，只有不利。 collector运行syslogd进程来监听UDPPort514，并且根据syslog.conf文件中的配置来处第四节电力专用横向隔离装置概述图4-11横向隔离装置的硬件结构（正向型确的响应措施。横向隔离装置能够最大限度地削减安全风险，然而网络安全“三分技术，七分管理”仍然是不变的定律。第五章纵向加密认证装置技术第一节纵向加密认证装置概述认证的相关技术早已得到较为深入的研究，故在年市场上已出现了多种纵向加密认致相同的。第二节密码学及网络安全知识图5-1加（解）图5-2对称密钥算法的加（解）图5-3ml-1