某PC機網絡隔離器初步設計

江嵐

摘 要 文章提出了一種具有雙通道實時網絡安全隔離器的初步設計，在PC主機在需要對網絡數據隔離驗證環境下，安全傳輸數據到用戶桌面，該設計使得PC主機網絡隔離有更好的安全提升。通過該網絡隔離器能滿足實時數據的傳輸。同時對PC主機來說，能在硬件防火墻和軟件防火墻間起到了第三道防線作用

關鍵詞 網絡隔離；ARM；傳輸

中圖分類號 TP3 文獻標識碼 A 文章編號 1674-6708（2018）220-0078-02

1 PC主機網絡隔離技術的應用

現階段，網絡通信安全的問題日益突出，對于安全需求較高的組織和部門，更加需要獨立的主機網絡隔產品需要主動解決面臨網絡空間安全問題。目前業界現有網絡隔離技術應用較多的網絡安全隔離措施是使用防火墻硬件或軟件，但是防火墻類軟硬件與軟件本身存在一定局限：一是防火墻隔離待通過數據包。過濾主要原理還是屏蔽IP原地址或者傳輸層端口來實現，TCP/IP協議應用時間久，協議結構自誕生至今尚無明顯改變，致使協議本身存在諸多的漏洞；二是防火墻是由各類操作系統端控制，OS系統和防火墻硬件、軟件在識別和驗證方面有一定差異，因此并不能有效主動發現PC機所面對網絡信息安全問題。

網絡防護隔離是指內部網絡接外部網絡即互聯網，能夠在發現異常時候屏蔽主機對話。網絡隔離技術通過隔離內部網絡與外部網絡的通信來保證PC主機安全，在不基于網絡層協議運行、不依賴于操作系控制的基礎上，能在一定程度上解決PC主機在使用網絡過程中出現攻擊征兆時，及時主動防御，保護主機。防御由網絡漏洞所帶來的各種安全問題，如惡意代碼、病毒、網絡入侵、木馬、DDos攻擊等威脅。網絡安全等級要求較高的主機，在安全性、機密性、完整性、可用性、可控性和可審查性的安全需求，同時又能保證享有高效、穩定、共享的網絡資源。

2 PC網絡隔離器技術設想

目前，主機網絡物理隔離防護的技術有：單機隔離防護技術和雙物理防護隔離技術。單機隔離防護技術是采用主機物理防護隔離卡。這項技術主要是將PC主機的內部與外部劃分為公共和安全兩個區域。在現實使用過程中，PC主機能工作在受保護私有狀態和對外公共狀態等不同的網絡環境下。滿足不同安全與互聯需求。這種技術缺陷是：一旦隔離，通常靠物理上認為斷開路由器或者交換機的端口實現，或者只能基于防火墻的C/S模式進行內部與外網通信。而雙物理端口防護隔離技術則是：兩塊芯片之間通過一個Double通道端口的緩存處理進行數據的傳輸，Double緩存端口能夠將數據通信劃分成兩個區域，一個區域是PC主機端向外網單向發送數據的端口。另一個區域則是外部網絡端口向內部PC主機傳輸外部數據的端口。一般情況下PC主機與外網是被隔離的，Double端口單元芯片處于待命狀態。當有數據要傳輸請求發生時，PC外部數據才通過Double端口識別受信任數據與PC主機進行傳輸。

PC網絡防護隔離器的實時開關初步實現方式應該主要基于SCSI（ Small Computer System Interface）防護隔離技術的隔離器和基于總線防護控制單元的網絡隔離器。應用總線實時防護網絡隔離器采用Double端口存儲單元芯片，結合獨立的控制電路ARM的控制芯片，網絡Double端口通過各自的防護隔離開關與PC主機連接。使用獨立的控制電路ARM芯片能夠保證Double端口存儲器的兩個端口上都存在一個防護隔離控制電路單元，并且兩個電路控制單元不允許其同時打開、同時閉合（K1？K2=0）。而基于SCSI接口單元的PC防護網絡隔離器，則能把數據通道轉換到基于SCSI數據傳輸單元的端口模式連接。內部的存儲單元則使用的是基于SCSI接口的ARM芯片控制器。而用于控制數據傳輸單元，則使用獨立ARM芯片的來實現，不占用PC主機CPU資源。

通過隔離器的數據傳輸交換過程：以數據由外網到PC主機內的傳遞順序為例，其步驟如下：

1）隔離器對外來數據進行低層協議和高層應用協議的篩選和分析，后將其還原為二進制原始數據。

2）對由外部進入內部方向的數據進行完整性、安全性的信息驗證。

3）審查通過后，將被信任的數據傳遞給PC主機內部，然后對內接口的防護隔離器接口收到這一組數據。

4）對它們進行低層協議和高層應用協議的檢查和封裝。

5）把數據發送到主機數據接口。反之則將PC機內部數據傳輸至外部網絡。如以PC主機接收外部進入數據件為例，當外網有數據需要傳入PC主機端時，對外的防護隔離器端口將立刻會對隔離器所認為的受信的數據進行數據連接，防護隔離器端將對來自外部網絡的數據包的相關協議包頭進行解析，若被信任的數據包將會轉入對內PC主機的接口。

根據與不同特征的匹配和分析，如果發現有風險特征出現，將對數據的真實性、完整性、安全性做進一步進行檢查，如若發現具有病毒特征或具有惡意代碼特征相匹配的數據時，將對此類數據傳輸進行隔離阻斷。

3 PC網絡隔離器實現

數據傳輸的過程是通過對隔離硬件上的存儲單元的讀寫來實施。存儲單元芯片作為內部與外部的數據交換，及中間數據的存儲區域，其性能優劣決定了PC網絡隔離器的數據交換的效率。因PC主機會有較高的數據傳輸速率要求。在此基礎上，考慮采用帶緩沖設計的Double端口，并能實時分析的防護隔離技術。

網絡防護隔離器的Double端口存儲器將數據交換處理區域劃分為兩個區域K1和K2。外部通過K1通道只能由外網向PC內部發送數據，而內部發至外部數據則通過K2，從內部向外部傳輸數據，由此結構數據區域將由雙向的（全雙工）數據通道變為了兩個的獨立的、單向的數據通道。

此設計使在原有的PC隔離器內外部處理單元對隔離防護器處理單元上進行讀和寫操作，以此提高數據通道數據傳輸的處理能力，PC主機和外部網絡之間，在數據傳輸速率上和傳輸的穩定性上會有明顯提升；PC主機在開啟防護隔離模式后，實現了在PC防護隔離器內部特征存儲單元和外網防護隔離處理單元之間，能同時實現穩定、安全、可靠、高效、動態實時監控并可操控的數據傳輸。物理上由運算單元、主機防護處理單元、數據轉發單元、PC外部處理單元、PC外部隔離單元、控制電路單元等部分組成的隔離防護器因為獨立于PC主機之外，不會占用主機運算和內存資源。

PC網絡隔離防護器實現了在物理上的網絡防護隔斷，能在物理上隔斷了PC主機與外部網絡，建立了有防護隔離的安全邊界。網絡防護隔離器被初步設計為基于物理層面上，內部與外部的數據轉發由網絡隔離器則有控制電路來執行，在某一特定時間節點，網絡防護隔離器只接受來自內部處理數據請求，另一時段則會外部數據處理檢測轉發的請求，防護隔離控制單元主要負責控制PC主機數據區與外部網絡防護隔離區的通信請求，同時控制單元對PC主機區中的已檢驗過的外部數據進行權限開放，準其進入內部。

一般情況下在通過PC網絡防護隔離器審核之后，在隔離器在檢查數據通行權限并與隔離器處理單元中的特征列表中的特征行為進行進項匹配分析后，通斷控制電路單元此時才會開放由外對內的通信權限，打開數據通道，并按其數據由外向內的方向進行數據的傳輸。

4 結論

在此對PC主機的雙接口雙通道的網絡防護隔離器進行了最初步設想，保留緩沖區的雙通道接口實時防護隔離功能，該設計能根據實際需求連接或隔離PC主機和外部網絡，將PC主機的雙向數據傳輸設置為兩個獨立的單元（雙半雙工）的數據傳輸，能夠明顯的提升由外到內、由內到外的數據傳輸效率；同時隔離單元模式下數據傳輸的安全能夠得到最大限度的保證。因而在外部數據到桌面環節上保證了真正的安全隔離，一定程度提高了信息安全級別。防御了一部分網絡安全威脅，對維護公用PC機控制系統信息安全與系統運行安全起到了重要作用。

網絡隔離器的設計在考慮安全性同時也考慮到傳輸速度上的需求，PC網絡防護隔離器的隔離單元采用帶緩沖單元的Double通道實時關閉-合啟與技術，有效的提高了PC主機與外部數據傳輸效率，在保證PC主機與外部的安全防護隔離的前提下，對公共及企業用途PC機的信息系統安全維護及系統安全運行提供了較為良好的安全保障。

參考資料

[1]胡林峰，須文波.基于ARM的網絡隔離器的設計[J].微計算機信息，2006，22（2）：132-133.

[2]俞建新，王健，宋健建，等.嵌入式系統基礎教程[M].北京：機械工業出版社，2015.