某PC機(jī)網(wǎng)絡(luò)隔離器初步設(shè)計(jì)

江嵐

摘 要 文章提出了一種具有雙通道實(shí)時(shí)網(wǎng)絡(luò)安全隔離器的初步設(shè)計(jì)，在PC主機(jī)在需要對(duì)網(wǎng)絡(luò)數(shù)據(jù)隔離驗(yàn)證環(huán)境下，安全傳輸數(shù)據(jù)到用戶桌面，該設(shè)計(jì)使得PC主機(jī)網(wǎng)絡(luò)隔離有更好的安全提升。通過(guò)該網(wǎng)絡(luò)隔離器能滿足實(shí)時(shí)數(shù)據(jù)的傳輸。同時(shí)對(duì)PC主機(jī)來(lái)說(shuō)，能在硬件防火墻和軟件防火墻間起到了第三道防線作用

關(guān)鍵詞 網(wǎng)絡(luò)隔離；ARM；傳輸

中圖分類號(hào) TP3 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1674-6708（2018）220-0078-02

1 PC主機(jī)網(wǎng)絡(luò)隔離技術(shù)的應(yīng)用

現(xiàn)階段，網(wǎng)絡(luò)通信安全的問(wèn)題日益突出，對(duì)于安全需求較高的組織和部門，更加需要獨(dú)立的主機(jī)網(wǎng)絡(luò)隔產(chǎn)品需要主動(dòng)解決面臨網(wǎng)絡(luò)空間安全問(wèn)題。目前業(yè)界現(xiàn)有網(wǎng)絡(luò)隔離技術(shù)應(yīng)用較多的網(wǎng)絡(luò)安全隔離措施是使用防火墻硬件或軟件，但是防火墻類軟硬件與軟件本身存在一定局限：一是防火墻隔離待通過(guò)數(shù)據(jù)包。過(guò)濾主要原理還是屏蔽IP原地址或者傳輸層端口來(lái)實(shí)現(xiàn)，TCP/IP協(xié)議應(yīng)用時(shí)間久，協(xié)議結(jié)構(gòu)自誕生至今尚無(wú)明顯改變，致使協(xié)議本身存在諸多的漏洞；二是防火墻是由各類操作系統(tǒng)端控制，OS系統(tǒng)和防火墻硬件、軟件在識(shí)別和驗(yàn)證方面有一定差異，因此并不能有效主動(dòng)發(fā)現(xiàn)PC機(jī)所面對(duì)網(wǎng)絡(luò)信息安全問(wèn)題。

網(wǎng)絡(luò)防護(hù)隔離是指內(nèi)部網(wǎng)絡(luò)接外部網(wǎng)絡(luò)即互聯(lián)網(wǎng)，能夠在發(fā)現(xiàn)異常時(shí)候屏蔽主機(jī)對(duì)話。網(wǎng)絡(luò)隔離技術(shù)通過(guò)隔離內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的通信來(lái)保證PC主機(jī)安全，在不基于網(wǎng)絡(luò)層協(xié)議運(yùn)行、不依賴于操作系控制的基礎(chǔ)上，能在一定程度上解決PC主機(jī)在使用網(wǎng)絡(luò)過(guò)程中出現(xiàn)攻擊征兆時(shí)，及時(shí)主動(dòng)防御，保護(hù)主機(jī)。防御由網(wǎng)絡(luò)漏洞所帶來(lái)的各種安全問(wèn)題，如惡意代碼、病毒、網(wǎng)絡(luò)入侵、木馬、DDos攻擊等威脅。網(wǎng)絡(luò)安全等級(jí)要求較高的主機(jī)，在安全性、機(jī)密性、完整性、可用性、可控性和可審查性的安全需求，同時(shí)又能保證享有高效、穩(wěn)定、共享的網(wǎng)絡(luò)資源。

2 PC網(wǎng)絡(luò)隔離器技術(shù)設(shè)想

目前，主機(jī)網(wǎng)絡(luò)物理隔離防護(hù)的技術(shù)有：?jiǎn)螜C(jī)隔離防護(hù)技術(shù)和雙物理防護(hù)隔離技術(shù)。單機(jī)隔離防護(hù)技術(shù)是采用主機(jī)物理防護(hù)隔離卡。這項(xiàng)技術(shù)主要是將PC主機(jī)的內(nèi)部與外部劃分為公共和安全兩個(gè)區(qū)域。在現(xiàn)實(shí)使用過(guò)程中，PC主機(jī)能工作在受保護(hù)私有狀態(tài)和對(duì)外公共狀態(tài)等不同的網(wǎng)絡(luò)環(huán)境下。滿足不同安全與互聯(lián)需求。這種技術(shù)缺陷是：一旦隔離，通常靠物理上認(rèn)為斷開路由器或者交換機(jī)的端口實(shí)現(xiàn)，或者只能基于防火墻的C/S模式進(jìn)行內(nèi)部與外網(wǎng)通信。而雙物理端口防護(hù)隔離技術(shù)則是：兩塊芯片之間通過(guò)一個(gè)Double通道端口的緩存處理進(jìn)行數(shù)據(jù)的傳輸，Double緩存端口能夠?qū)?shù)據(jù)通信劃分成兩個(gè)區(qū)域，一個(gè)區(qū)域是PC主機(jī)端向外網(wǎng)單向發(fā)送數(shù)據(jù)的端口。另一個(gè)區(qū)域則是外部網(wǎng)絡(luò)端口向內(nèi)部PC主機(jī)傳輸外部數(shù)據(jù)的端口。一般情況下PC主機(jī)與外網(wǎng)是被隔離的，Double端口單元芯片處于待命狀態(tài)。當(dāng)有數(shù)據(jù)要傳輸請(qǐng)求發(fā)生時(shí)，PC外部數(shù)據(jù)才通過(guò)Double端口識(shí)別受信任數(shù)據(jù)與PC主機(jī)進(jìn)行傳輸。

PC網(wǎng)絡(luò)防護(hù)隔離器的實(shí)時(shí)開關(guān)初步實(shí)現(xiàn)方式應(yīng)該主要基于SCSI（ Small Computer System Interface）防護(hù)隔離技術(shù)的隔離器和基于總線防護(hù)控制單元的網(wǎng)絡(luò)隔離器。應(yīng)用總線實(shí)時(shí)防護(hù)網(wǎng)絡(luò)隔離器采用Double端口存儲(chǔ)單元芯片，結(jié)合獨(dú)立的控制電路ARM的控制芯片，網(wǎng)絡(luò)Double端口通過(guò)各自的防護(hù)隔離開關(guān)與PC主機(jī)連接。使用獨(dú)立的控制電路ARM芯片能夠保證Double端口存儲(chǔ)器的兩個(gè)端口上都存在一個(gè)防護(hù)隔離控制電路單元，并且兩個(gè)電路控制單元不允許其同時(shí)打開、同時(shí)閉合（K1？K2=0）。而基于SCSI接口單元的PC防護(hù)網(wǎng)絡(luò)隔離器，則能把數(shù)據(jù)通道轉(zhuǎn)換到基于SCSI數(shù)據(jù)傳輸單元的端口模式連接。內(nèi)部的存儲(chǔ)單元?jiǎng)t使用的是基于SCSI接口的ARM芯片控制器。而用于控制數(shù)據(jù)傳輸單元，則使用獨(dú)立ARM芯片的來(lái)實(shí)現(xiàn)，不占用PC主機(jī)CPU資源。

通過(guò)隔離器的數(shù)據(jù)傳輸交換過(guò)程：以數(shù)據(jù)由外網(wǎng)到PC主機(jī)內(nèi)的傳遞順序?yàn)槔?，其步驟如下：

1）隔離器對(duì)外來(lái)數(shù)據(jù)進(jìn)行低層協(xié)議和高層應(yīng)用協(xié)議的篩選和分析，后將其還原為二進(jìn)制原始數(shù)據(jù)。

2）對(duì)由外部進(jìn)入內(nèi)部方向的數(shù)據(jù)進(jìn)行完整性、安全性的信息驗(yàn)證。

3）審查通過(guò)后，將被信任的數(shù)據(jù)傳遞給PC主機(jī)內(nèi)部，然后對(duì)內(nèi)接口的防護(hù)隔離器接口收到這一組數(shù)據(jù)。

4）對(duì)它們進(jìn)行低層協(xié)議和高層應(yīng)用協(xié)議的檢查和封裝。

5）把數(shù)據(jù)發(fā)送到主機(jī)數(shù)據(jù)接口。反之則將PC機(jī)內(nèi)部數(shù)據(jù)傳輸至外部網(wǎng)絡(luò)。如以PC主機(jī)接收外部進(jìn)入數(shù)據(jù)件為例，當(dāng)外網(wǎng)有數(shù)據(jù)需要傳入PC主機(jī)端時(shí)，對(duì)外的防護(hù)隔離器端口將立刻會(huì)對(duì)隔離器所認(rèn)為的受信的數(shù)據(jù)進(jìn)行數(shù)據(jù)連接，防護(hù)隔離器端將對(duì)來(lái)自外部網(wǎng)絡(luò)的數(shù)據(jù)包的相關(guān)協(xié)議包頭進(jìn)行解析，若被信任的數(shù)據(jù)包將會(huì)轉(zhuǎn)入對(duì)內(nèi)PC主機(jī)的接口。

根據(jù)與不同特征的匹配和分析，如果發(fā)現(xiàn)有風(fēng)險(xiǎn)特征出現(xiàn)，將對(duì)數(shù)據(jù)的真實(shí)性、完整性、安全性做進(jìn)一步進(jìn)行檢查，如若發(fā)現(xiàn)具有病毒特征或具有惡意代碼特征相匹配的數(shù)據(jù)時(shí)，將對(duì)此類數(shù)據(jù)傳輸進(jìn)行隔離阻斷。

3 PC網(wǎng)絡(luò)隔離器實(shí)現(xiàn)

數(shù)據(jù)傳輸?shù)倪^(guò)程是通過(guò)對(duì)隔離硬件上的存儲(chǔ)單元的讀寫來(lái)實(shí)施。存儲(chǔ)單元芯片作為內(nèi)部與外部的數(shù)據(jù)交換，及中間數(shù)據(jù)的存儲(chǔ)區(qū)域，其性能優(yōu)劣決定了PC網(wǎng)絡(luò)隔離器的數(shù)據(jù)交換的效率。因PC主機(jī)會(huì)有較高的數(shù)據(jù)傳輸速率要求。在此基礎(chǔ)上，考慮采用帶緩沖設(shè)計(jì)的Double端口，并能實(shí)時(shí)分析的防護(hù)隔離技術(shù)。

網(wǎng)絡(luò)防護(hù)隔離器的Double端口存儲(chǔ)器將數(shù)據(jù)交換處理區(qū)域劃分為兩個(gè)區(qū)域K1和K2。外部通過(guò)K1通道只能由外網(wǎng)向PC內(nèi)部發(fā)送數(shù)據(jù)，而內(nèi)部發(fā)至外部數(shù)據(jù)則通過(guò)K2，從內(nèi)部向外部傳輸數(shù)據(jù)，由此結(jié)構(gòu)數(shù)據(jù)區(qū)域?qū)⒂呻p向的（全雙工）數(shù)據(jù)通道變?yōu)榱藘蓚€(gè)的獨(dú)立的、單向的數(shù)據(jù)通道。

此設(shè)計(jì)使在原有的PC隔離器內(nèi)外部處理單元對(duì)隔離防護(hù)器處理單元上進(jìn)行讀和寫操作，以此提高數(shù)據(jù)通道數(shù)據(jù)傳輸?shù)奶幚砟芰?，PC主機(jī)和外部網(wǎng)絡(luò)之間，在數(shù)據(jù)傳輸速率上和傳輸?shù)姆€(wěn)定性上會(huì)有明顯提升；PC主機(jī)在開啟防護(hù)隔離模式后，實(shí)現(xiàn)了在PC防護(hù)隔離器內(nèi)部特征存儲(chǔ)單元和外網(wǎng)防護(hù)隔離處理單元之間，能同時(shí)實(shí)現(xiàn)穩(wěn)定、安全、可靠、高效、動(dòng)態(tài)實(shí)時(shí)監(jiān)控并可操控的數(shù)據(jù)傳輸。物理上由運(yùn)算單元、主機(jī)防護(hù)處理單元、數(shù)據(jù)轉(zhuǎn)發(fā)單元、PC外部處理單元、PC外部隔離單元、控制電路單元等部分組成的隔離防護(hù)器因?yàn)楠?dú)立于PC主機(jī)之外，不會(huì)占用主機(jī)運(yùn)算和內(nèi)存資源。

PC網(wǎng)絡(luò)隔離防護(hù)器實(shí)現(xiàn)了在物理上的網(wǎng)絡(luò)防護(hù)隔斷，能在物理上隔斷了PC主機(jī)與外部網(wǎng)絡(luò)，建立了有防護(hù)隔離的安全邊界。網(wǎng)絡(luò)防護(hù)隔離器被初步設(shè)計(jì)為基于物理層面上，內(nèi)部與外部的數(shù)據(jù)轉(zhuǎn)發(fā)由網(wǎng)絡(luò)隔離器則有控制電路來(lái)執(zhí)行，在某一特定時(shí)間節(jié)點(diǎn)，網(wǎng)絡(luò)防護(hù)隔離器只接受來(lái)自內(nèi)部處理數(shù)據(jù)請(qǐng)求，另一時(shí)段則會(huì)外部數(shù)據(jù)處理檢測(cè)轉(zhuǎn)發(fā)的請(qǐng)求，防護(hù)隔離控制單元主要負(fù)責(zé)控制PC主機(jī)數(shù)據(jù)區(qū)與外部網(wǎng)絡(luò)防護(hù)隔離區(qū)的通信請(qǐng)求，同時(shí)控制單元對(duì)PC主機(jī)區(qū)中的已檢驗(yàn)過(guò)的外部數(shù)據(jù)進(jìn)行權(quán)限開放，準(zhǔn)其進(jìn)入內(nèi)部。

一般情況下在通過(guò)PC網(wǎng)絡(luò)防護(hù)隔離器審核之后，在隔離器在檢查數(shù)據(jù)通行權(quán)限并與隔離器處理單元中的特征列表中的特征行為進(jìn)行進(jìn)項(xiàng)匹配分析后，通斷控制電路單元此時(shí)才會(huì)開放由外對(duì)內(nèi)的通信權(quán)限，打開數(shù)據(jù)通道，并按其數(shù)據(jù)由外向內(nèi)的方向進(jìn)行數(shù)據(jù)的傳輸。

4 結(jié)論

在此對(duì)PC主機(jī)的雙接口雙通道的網(wǎng)絡(luò)防護(hù)隔離器進(jìn)行了最初步設(shè)想，保留緩沖區(qū)的雙通道接口實(shí)時(shí)防護(hù)隔離功能，該設(shè)計(jì)能根據(jù)實(shí)際需求連接或隔離PC主機(jī)和外部網(wǎng)絡(luò)，將PC主機(jī)的雙向數(shù)據(jù)傳輸設(shè)置為兩個(gè)獨(dú)立的單元（雙半雙工）的數(shù)據(jù)傳輸，能夠明顯的提升由外到內(nèi)、由內(nèi)到外的數(shù)據(jù)傳輸效率；同時(shí)隔離單元模式下數(shù)據(jù)傳輸?shù)陌踩軌虻玫阶畲笙薅鹊谋ＷC。因而在外部數(shù)據(jù)到桌面環(huán)節(jié)上保證了真正的安全隔離，一定程度提高了信息安全級(jí)別。防御了一部分網(wǎng)絡(luò)安全威脅，對(duì)維護(hù)公用PC機(jī)控制系統(tǒng)信息安全與系統(tǒng)運(yùn)行安全起到了重要作用。

網(wǎng)絡(luò)隔離器的設(shè)計(jì)在考慮安全性同時(shí)也考慮到傳輸速度上的需求，PC網(wǎng)絡(luò)防護(hù)隔離器的隔離單元采用帶緩沖單元的Double通道實(shí)時(shí)關(guān)閉-合啟與技術(shù)，有效的提高了PC主機(jī)與外部數(shù)據(jù)傳輸效率，在保證PC主機(jī)與外部的安全防護(hù)隔離的前提下，對(duì)公共及企業(yè)用途PC機(jī)的信息系統(tǒng)安全維護(hù)及系統(tǒng)安全運(yùn)行提供了較為良好的安全保障。

參考資料

[1]胡林峰，須文波.基于ARM的網(wǎng)絡(luò)隔離器的設(shè)計(jì)[J].微計(jì)算機(jī)信息，2006，22（2）：132-133.

[2]俞建新，王健，宋健建，等.嵌入式系統(tǒng)基礎(chǔ)教程[M].北京：機(jī)械工業(yè)出版社，2015.