网络隔离与防火墙技术的比较与研究

admin管理员组

文章数量:1532044

2024年5月21日发(作者：)

科技信息　计算机与网络　

网络隔离与防火墙技术昀比较与研究　

中国矿业大学（徐州）信电学院　徐州Ｉ建筑职业技术学院　王莉　

［摘要］本文通过对网络隔离技术和防火墙技术的原理介绍以及从两者的安全性、发展趋势的分析比较，从而得出网络隔离是用户　

信息安全数据交换　

５）要在坚持隔离的前提下保证网络畅通和应用透明　

３、防火墙的体系架构介绍　

目前的防火墙大都依靠于对数据包的信息进行检查，检查的重点　

解决网络安全问题的最佳选择。　

［关键词］网络隔离技术　防火墙技术

１、前言　

随着Ｉｎｔｅｒｎｅｔ的飞速发展以及我国政府信息化为代表的电子政务　

的蓬勃发展，宽带网已经得到普及。业界电子商务的开展，海量的网络　

信息，日趋丰富的网络功能使得“网上办公”条件已经成熟。办公信息化　

带来了办公效率质的飞跃，但办公信息化的安全，非但是内部办公网络　

的安全问题，也极大地引起人们的关注和思考。信息安全性要求和政府　

办公效率问题一度使人们陷入两难境地。２０００年１月１日起正式实施　

的《计算机信息系统国际联网保密治理规定》中更是明确规定：“凡涉及　

国家秘密的计算机信息系统，不得直接或间接地与国际互联网或者其　

他公共信息网络相连接，必须实行物理隔离”　

２、网络隔离技术简介　

２．１网络隔离技术的发展历程　

网络隔离，英文名为Ｎｅｔｗｏｒｋ　Ｉｓｏｌａｔｉｏｎ，主要是指把两个或两个以上　

可路由的网络（如：ＴＣＰ九Ｐ）通过不可路由的协议（如：ＩＰＸ／ＳＰＸ、ＮｅｔＢＥＵＩ　

等）进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协　

议，所以通常也叫协议隔离（Ｐｒｏｔｏｃｏｌ　Ｉｓｏｌａｔｉｏｎ）。１９９７年，信息安全专家　

Ｍａｒｋ　Ｊｏｓｅｐｈ　Ｅｄｗａｒｄｓ在他编写的（＜Ｕｎｄｅｒｓｔａｎｄｉｎｇ　Ｎｅｔｗｏｒｋ　Ｓｅｃｕｒｉｔｙ＞＞－－书　

中，就对协议隔离进行了归类。在书中他明确地指出了协议隔离和防火　

墙不属于同类产品。而网络隔离技术的目标是，确保把有害的攻击隔离　

在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网间　

数据的安全交换。网络隔离技术的发展到目前为止经历了以下五个发　

展阶段：　

１）完全的物理隔离。内部网络与外部网络为两套网络，它们之间完　

全的物理隔离。　

２）硬件隔离卡隔离。在客户端增加一块硬件卡，客户端硬盘或其他　

存储设备首先连接到该卡，然后再转接到主板上，通过该卡能控制客户　

端硬盘或其他存储设备。　

３）数据转移隔离。利用转播系统分时复制文件的途径来实现隔离，　

切换时间非常之久，甚至需要手工完成，不仅明显地减缓了访问速度，　

更不支持常见的网络应用，失去了网络存在的意义。　

４）空气开关隔离。通过使用单刀双掷开关，使得内外部网络分时访　

问临时缓存器来完成数据交换的。　

５）安全通道隔离。通过专用通信硬件和私有不可路由协议等安全　

机制来实现内外部网络的隔离和数据交换，不仅解决了以前隔离技术　

存在的问题，并有效地把内外部网络隔离开来，而且高效地实现了内外　

网数据的安全交换，透明支持多种网络应用，成为当前隔离技术的发展　

方向。　

２．２网络隔离技术原理　

网络隔离产品采用了网络隔离技术，是使用带有多种控制功能的　

固态开关读写介质连接两个独立主机系统的信息安全设备　由于两个　

独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、　

信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议　

“摆渡”，且对固态存储介质只有“读”和“写”两个命令。所以，网络隔离　

产品从物理上隔离、阻断了具有潜在攻击可能的一切连接，使“黑客”无　

法入侵、无法攻击、无法破坏，实现了真正的安全。　

２－３网络隔离设备的实现机制　

网络隔离设备由内网处理单元、外网处理单元和专用隔离硬件组　

成。网络隔离硬件包括一个独立的固态存储单元和一个独立的调度和　

控制单元，内网处理单元和外网处理单元在同一时刻最多只有一个同　

固态存储单元建立非ＴＣＰ／ＩＰ协议的数据连接，并通过私有协议进行数据　

的交换。下面提到的外网指不可信网络，内网指高安全性的内部专用网　

通常情况下，网络隔离系统的外网处理单元与外网相连，内网处理　

单元与内网相连，外网和内网是完全断开的。　

２．４隔离技术需具备的安全要点　

１）要具有高度的自身安全性　

２）要确保网络之间是隔离的　

３）要保证网问交换的只是应用数据　

４１要对网间的访问进行严格的控制和检查　

．－－——

２５６．－－——　

是网络协议的信息。防火墙主要查看ＩＰ包中的ＩＰ包头、ＴＣＰ包头、应用　

层包头以及数据加载的包头，要了解防火墙的具体架构，就需要分析检　

查它是哪一层协议的信息。根据ＯＳＩ模型，防火墙架构包含以下几种：　

包过滤防火墙，电路网关防火墙，应用网关防火墙，状态检测包过滤防　

火墙和切换代理防火墙。　

防火墙是建立在内外网边界上的过滤封锁机制，内部网络被认为　

是安全和可信赖的，而外部网络被认为是不安全和不可信赖的。防火墙　

的作用是防止不希望的、未经授权的通信进出被保护的内部网络。防火　

墙对网络安全的保护程度，很大程度上取决于防火墙的体系架构。　

随着网络应用的增加，对网络带宽提出了更高的要求。这意味着防　

火墙要能够以非常高的速率处理数据。另外，在以后几年里，多媒体应　

用将会越来越普遍，它要求数据穿过防火墙所带来的延迟要足够小。为　

了满足这种需要，．一些防火墙制造商开发了基于ＡＳＩＣ的防火墙和基于　

网络处理器的防火墙。从执行速度的角度看来，基于网络处理器的防火　

墙也是基于软件的解决方案，它需要在很大程度上依赖于软件的性能，　

但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎，从　

而减轻了ＣＰＵ的负担，该类防火墙的性能要比传统防火墙的性能好许　

多。　

４、防火墙存在的安全漏洞　

防火墙设备侧重予网络层到应用层的策略隔离，操作系统、内部系　

统的漏洞、通用协｝义的缺陷等都成为不安全的潜在因素。首先由防火墙　

的体系架构可知，防火墙可能会产生网络层短路，从而导致伪造合法数　

据包带来的危害；防火墙还难以抵御数据驱动式攻击，即大量合法的数　

据包将导致网络阻塞而使正常通信瘫痪。其次，防火墙很难阻止由通用　

协议本身漏洞发起的入侵。第三，防火墙系统本身的缺陷也是影响内部　

网络安全的重要因素，当防火墙主机被控制后，内部受保护网络就会暴　

露无疑。第四，要使防火墙发挥有效的安全性，需要正确、合理地配置防　

火墙相关的安全策略，而配置的复杂程度不仅带来繁琐的工作量，同时　

也增加了配置不当带来的安全隐患。　

５、安全性分析比较　

５．１指导思想不同　

１）防火墙的思路是在保障互联互通的前提下，尽可能安全；　

２）网络隔离技术的思路是在保证必须安全的前提下，尽可能互联　

互通。　

５．２体系架构不同　

网络隔离产品一般为双机或三机系统，而防火墙由一台处理机组　

成，为单机系统。而网络隔离设备实现了ＯＳＩ模型七层的断开和应用层　

内容的检查机制，因而不会产生网络层短路，消除了基于网络协议的攻　

击。　

５＿３设备本身的安全性不同　

防火墙为单机系统，无法彻底消除操作系统的漏洞的威胁。一旦其　

操作系统被恶意攻击，防火墙完全处于被黑客控制之中，那么受防火墙　

保护的另一端网络就完全暴露在攻击之下。受保护网络的安全程度，很　

大程度上取决于防火墙自身的安全强度。而网络隔离产品由于采用了　

可靠的双机系统结构，可以提供从硬件、协议到内容的全方位安全保　

护。即使外部主机系统被曝光，也无法对内部主机系统进行攻击，因为　

内部主机系统和外部主机系统是物理隔离的。　

５．４安全规则配置的复杂程度不同　

防火墙主要依据网络治理工程师配置的规则进行安全检查，其安　

全眭的高低与规则配置情况密切相关。规则配置十分复杂，规则最终所　

起的作用不仅与每条规则有关，而且与每条规则的先后顺序、规则之间　

的相关性都有很大关系。网络治理工程师必须仔细检查每条规则，以保　

证其结果是其预期的结果。从另一个方面讲，防火墙的配置要求网络治　

理工程师有较高的网络知识和技术水平。防火墙只是一个被动的安全　

策略执行设备，防火墙不能防止策略配置不当或　（下转第２５８页）　

科技信息　计算机与网络　

师生对校园网的不够重视和使用水平有限，师生对校园网的重视程度　

和应用能力亟待加强。　

首先，校园网作用的发挥，离不开使用网络的广大教师。使用的人　

越多、浏览量越大，校园网的作用发挥就越大，也更能带动网络新闻采　

编人员的积极性。而教师对校园网的使用频率，一方面则是由其的重视　

程度来决定，另一方面要看其运用校园网的技术水平和能力。重视程度　

影响着教师的应用水平，而应用水平又决定着其对校园网的重视程度，　

应向教师传授校园网的使用技能。如果教师积极参与，不仅参与使用，　

还参与网络资源的充实、网络新闻信息的提供，那么，校园网的作用就　

能得到最大限度的发挥。　

其次，作为学习主体的高职院校学生也起着重要的作用。一是他们　

人数众多，是校园网校内使用的主要力量。二是他们作为学习的主体，　

是教育信息资源的主要受众。但在现阶段，学生对校园网的重视程度和　

应用程度不高，也应向学生传授校园网的使用技能，引导他们在网络中　

搜寻新闻信息、学习资源的能力，努力提高他们对校园网络资源的应用　

水平。　

综上所述，高职院校校园网作为学校的窗口，对内对外都起着重要　

的作用，而其所具备的超大新闻信息传播量、多媒体呈现方式、超链接　

等特点，使得校园网络不是一个单独的机构，而是一个复杂的、信息内　

容庞大的系统。如何提高校园网的网络新闻信息质量，真正发挥校园网　

的作用，对学校领导阶层的重视程度、通讯员队伍的建设、网络新闻编　

辑人员的素质、教师和学生的重视程度和应用等方面提出了较高的要　

求。　

注释　

辑发布工作，这就导致网络新闻编辑员不能潜心做新闻，新闻敏感有时　

会打折扣。另外，网络新闻编辑有自己的本职工作，就不能及时地跟采　

写者进行沟通和互动，稿件遇到问题时只能放下，会耽误时间，从而大　

大降低了高校网络新闻的时效性。更有甚者，有的二级网站的网络新闻　

编辑自己对新闻专业知识也不甚了解，兼职这个职位只是领导的安排，　

把关把不好，使得网络新闻内容质量不高。由此，网络新闻编辑人员的　

专业素质的提升尤为重要。　

（一）专业素养的提高　

网络新闻编辑是一种复合型人才，作为一个合格的校园网络新闻　

编辑除了具备传统媒体编辑所应具备的基本新闻编辑技能，如组稿、选　

稿、改稿、制作标题、排版等以外，还应具备现代化的技术，如计算机网　

络技术的应用、相关软件，如Ｐｈｏｔｏｓｈｏｐ、Ｄｒｅａｍｗｅａｖｅｒ等软件的熟练使　

用，掌握网络媒体传播手段；具有驾驭网络交互性的能力等，是融新闻　

知识与网络技术于一体的高素质人才。作为高校网络新闻采编人员，应　

加强这两个方面的培训和提高，不能忽略某一方，要树立正确的专业意　

识。　

（二）要有特色意识和创新精神　

高职院校网络新闻要以特色求生存和发展，以特色来树立形象。首　

先，作为校园网络新闻编审者，应该积极思考学校在办学、教育、科研上　

的特色，充分认识到高校网络新闻在高校信息发布、学校形象塑造以及　

学校文化传播上的功能，将学校特色融入到网络新闻中来，进一步创立　

属于本校网络新闻的特色，宣传学校形象，扩大学校知名度，提高学校　

美誉度。其次，创新是新闻报道生机和活力的源泉。创新应该在采编工　

作的各个环节上展开，从采访形式，选题角度到页面细节，都应该摆脱　

思维定势，不断地进行探索，以更好地适应网络传播的特点，以特色、新　

鲜的面貌吸引读者　。　

（三）要有奉献精神　

高职院校网络新闻编辑人员具有多重身份，首先，作为编辑，他们　

负责组稿、选稿、改稿、整合、发稿等网络新闻编辑的基本工作。其次，他　

们是学校记者和通讯员的组织者、联络者和培训者，肩负着自身素质的　

提高和学校新闻队伍建设的双重任务。再次，网络新闻编辑是“为他人　

做嫁衣”的工作。编辑工作本身就是默默无闻的，读者看到的是稿件作　

者的名字，看不到网络新闻编辑人员辛勤的劳动过程和他们的名字。此　

外。如前文所说，许多高校并没有设立这一方面的专职人员，他们大部　

分是兼职，且没有报酬的。所以，对高校网络新闻采编人员来讲，需要具　

有强烈的责任感和奉献精神，要合理调节工作时间，确保网络新闻质量　

的同时，保证稿件上网时间及时、快速。　

四、师生的重视和应用能力的提高　

高职院校校园网的主要受众群可以分为两大类，一类是校内，即广　

大的师生员工；一类是校外，主要是广大的考生及家长。但是目前在受　

众方面的最大问题在于，校内的师生很少浏览自己学校的网站，除非有　

重要通知或下载相关文件，校园网得不到充分的应用。究其原因，还是　

（上接第２５６页）　错误配置引起的安全威胁，规则配置错误将造成不　

安全通道打开。而网络隔离设备无需进行复杂的规则配置，只需设定一　

些内外网访问政策。网络隔离设备仅答应定制的信息进行交换，即使出　

现错误，也至多是数据不再答应传输，而不会造成重大安全事故。　

６、发展趋势的分析比较　

针对目前防火墙存在的安全缺陷，防火墙技术会向具有入侵防御　

功能的智能化方向发展，同时网络架构的不断升级要求防火墙处理能　

力的不断提高。目前网络安全市场上，以防火墙为核心的安全体系架构　

实现的安全保障体系未能有效地防止频频发生的网络攻击以及防火墙　

集成的ＩＤＳ造成的漏误，这些都要求未来的防火墙具有更高的安全性，　

集成ＩＰＳ的防火墙将逐步取代集成ＩＤＳ的防火墙。通过集成多种功能　

设计，例如包括ＶＰＮ、ＡＡＡ、ＰＫＩ、ＩＰＳｅｅ等多种附加功能，提高防火墙的　

可治理和可控能力，不断增强防火墙的抗ＤＯＳ攻击能力，同时利用统　

计、记忆、概率和决策的智能方法对数据进行识别来达到访问控制的目　

的。具备集中的网络治理平台，支持双机热备份、负载均衡和多出口路　

由以及ＩＰｖ６等将是未来防火墙的发展重点。　

网络隔离技术经过几个阶段的发展，目前正处于第五代网络隔离　

设备的研发阶段。网络隔离技术正向易用性、应用融合化等方向发展，　

网络隔离技术在负载均衡、冗余备份、硬件密码加速、易集成治理等方　

面还需要进一步的改进，同时更好地集成入侵防御和加密通道、数字证　

书等技术，将成为新一代网络隔离产品发展的趋势。为了更好地满足我　

国提出的内网、外网和公网的网络体系结构，从成本和易治理方面出发，　

三网或多网的网络隔离设备也将成为网络隔离技术的一个发展方向。　

７、结束语　

①ＣＮＮＩＣ发布《第２６次中国互联网络发展状况统计报告》．中国互联　

网络信息中一心网站．ｈｔｔｐ：／／ｒｅｓｅａｒｃｈ．ｃｎｎｉｃ．ｃｎ／ｈｔｍｌ／１２７９１７３７３０ｄ２３５０．ｈｔｍ１．　

②谢惠芳，高山，吴晓明．高校网络新闻的特点及采编策略［Ｊ］．高等　

教育研究学报，２０００年６月．第２３卷第２期．　

③唐英，何华萍，何穗妍．发挥采、编功能，着力提高高校网络新闻质　

量［Ｔ］．科教文汇，２００８年Ｏ７月下旬刊．　

④李香云．高校网络新闻通讯员队伍建设浅议［Ｊ］．科技咨询导报，　

２００７年．第３０期．　

参考文献　

［１］彭兰＿网络传播学［Ｍ］冲国人民大学出版社，２００９年３月版．　

［２］曹雷．高校网络新闻工作探析［Ｊ］．安徽农业大学学报（社会科学　

版），２００８年１１月．第１７卷第６期　．　

［３］王海英．校园网作用发挥的探究［Ｊ］．素质教育论坛，２００９年０８　

月（总第１１２期）．　

［４］朱玉尊．提升高校网络新闻宣传影响力的路径选择［Ｊ］．新闻知　

识．２００８年６月．　

网络隔离是一项网络安全技术，网络隔离可能对防泄密治理有很　

大的帮助，但这不意味着网络隔离是一项完全的防泄密技术。将网络隔　

离技术完全等同于防泄密技术是一种错误的理解。实际上即使是网络　

隔离，也没有解决类似于电磁辐射所导致的泄密，只有防电磁辐射泄密　

技术如１１ＥＭＰＥｓＴ才能解决这类问题。　

网络隔离是目前最好的网络安全技术，它消除了基于网络和基于协　

议的安全威胁，但网络隔离技术也存在局限性，对非网络的威胁如内容　

安全，就无法从理论上彻底排除，就像人工拷盘一样，交换的数据本身　

可能带有病毒，即使查杀病毒也不一定可以查杀干净。但它不是网络安　

全问题，不存在攻击和入侵之类的威胁。假如用户确定交换的内容是完　

全可信和可控的，那么网络隔离是用户解决网络安全问题的最佳选择。　

参考文献　

［１］蔡杰．网络隔离与安全信息交换技术研究．科技资讯，２００９年第　

１２期．２９—２９　

［２］姚家呜，陈丽霞，苟双全．网络隔离技术浅析．商丘职业技术学院　

学报，２００９年８卷２期２８－３１　

『３］金宝壮关于网络安全新技术研究．电脑知识与技术，２００８年３　

卷１１期．８５７—８５９　

［４］何小虎．浅析防火墙的现状和发展．科技信息，２００９年卷２８期　

『５］周安娜应用防火墙应用与研究．科技广场，２００９年７期．１０６—　

１０７　

［６］陈静，陈红梅，高寒分布式防火墙的若干问题研究．计算机安全　

２００９年１０期３９—４０　

本文标签： 网络隔离防火墙技术网络新闻