物理隔離網閘系統設計淺析

趙小剛　王創科

摘 要：簡單分析、介紹了網閘，并簡單設計了物理隔離網閘（MPIS）系統結構；介紹了物理隔離網閘BIOS中的基本輸入、輸出模塊，并給出了解決問題的措施。基于MIPS網閘系統的高水平的計算機系統可以引導各種應用程序開發、相關軟件系統的研究和移植，這對提升計算機應用研究水平，提升我國產品的性能和競爭能力有很重要的現實意義。

關鍵詞：網閘；BIOS系統設計；SCSI技術；計算機

中圖分類號：TP393.08 文獻標識碼：A 文章編號：2095-6835（2014）18-0133-02

互聯網已經成為了人們交流和探索知識的重要工具之一，同時，它也是進行電子商務的全球性網絡。網絡的廣泛應用在很大程度上可以提高使用者的工作效率，但是，網絡安全問題卻日益嚴重。隨著越來越多的個人和單位加入互聯網絡，日益惡化的網絡安全問題成為了人們關注的焦點。要想解決網絡安全問題，就需要開發一個采用物理隔離網閘的專用系統平臺。該平臺使用國產CPU，并且要求電路高度集成、性能優異，這樣才可以提升整個系統的安全性，避免后門隱患出現，同時，還能為大力推廣我國的國產CPU，為供應商采用國產系統平臺，研發、搭配國產軟件起到應有的作用。

1 網閘的相關內容

1.1 網閘的概念

網閘又被稱為物理隔離網閘或安全隔離網閘。它是具有多種控制功能的網絡安全專用設備，能在電路中實現切斷網絡之間通訊數據鏈路層的連接，還能在網絡上進行較為安全的應用數據交換。

網閘可以實現內網與外網在網絡OSI七層模型中的物理隔離，它是針對TCP/IP協議等應用協議的進一步剝離和重建，使得內、外部主機可以在任意時間都能徹底斷開。網閘一般具備身份認證、訪問控制、安全隔離、內核防護、安全審計、協議轉換和病毒查殺等安全功能模塊，是由軟件和硬件一起構成的整體系統。它的硬件設備體系主要是由三大部分構成，即內部處理單元、隔離硬件和外部處理單元。

網閘安全交換過程的實現是通過提取網絡通訊數據包中的應用數據，經過網閘安全審查后才可以繼續完成數據交換的過程。網閘的使用原理是采取單刀雙擲開關的方式，讓內、外網的數據處理單元分開存取雙方共享在存儲設備上的數據信息，從而達到交換數據的目的，以此完成在物理上完全隔離情況下的數據交換任務。

網閘是對通訊數據包進行基于訪問控制、審查安全策略、通訊協議的剝離等審查，只有經過嚴格審查的通訊數據才可以流出外網或進入內網，這樣就可以有效制止泄露信息和入侵網絡的問題發生。它的安全原理是采用對應用層數據提取并進行安全審查，從而達到增強OSI模型應用層的安全性和避免基于OSI模型協議層遭受攻擊的目的。

1.2 網閘實現的技術原理

現在的網閘實現實時開關的模式基本有兩類，即基于總線技術的開關模式和基于SCSI技術的開關模式。

基于SCSI技術的開關模式應用的網閘，它采用的交換數據通道為SCSI模式的硬盤接口，存儲數據的介質也采用的是SCSI硬盤，整個過程是通過數據的剝離、還原、審查、封裝來實現的，而控制單元采用的是專制的電路硬件。網閘采用總線技術的開關模式時，一般使用雙端口的靜態存儲設備，再配合使用基于獨立的EPGA或CPLD模式控制電路。

2個端口通過各自獨立的開關連接1臺物理獨立的計算機。FPGA或CPLA作為獨立的控制電路系統，需要保證在2個端口上，對應的靜態存儲器要保證每個端口上都有1個開關，而且2個開關是不允許出現同時閉合情況的。

1.3 網閘的安全性分析

使用內、外網的物理隔離方式能夠有效阻擋借用計算機操

作系統的漏洞和網絡通訊協議的漏洞進行的網絡攻擊，還能夠有力地控制內部與外界網絡間的數據傳送。采用靈活、高效的可擴展安全機制，不僅可以提高系統的安全性，同時，系統還具有快速恢復的功能。

1.4 網閘系統與防火墻系統的功能對比

防火墻系統是在網絡處理IP數據包轉發時對IP包采取的特殊處置模式，以此實現對TCP會話的有效管理，但是，防火墻系統對應用數據的內容是不做任何檢查的。這樣的工作模式無法防止泄密情況發生，它不能確定許可通過的網絡數據流是否安全，也不能阻止黑客程序和網絡病毒的攻擊，所以，防火墻存在先天性設計缺陷。但是，物理隔離網閘可以避免這些問題。因為不論是從實現原理，還是從它的功能上來說，防火墻系統和安全隔離網閘系統是完全不一樣的，防火墻系統是屬于保證在OSI網絡層安全的邊界安全工具，而安全隔離網閘系統重點在于保護內部網絡的使用安全。

2 物理隔離（MPIS）網閘系統的設計要求

基于國內網閘研究、開發的現狀可以確定，MPIS網閘支持可用于批量生產的商業用芯片組，比如南橋、北橋、網卡等，具體的使用型號則是由MPIS網閘項目組根據實際情況決定的。系統要安裝在微型機箱中，使用雙端口的RAM用作內、外部網絡的交換通道，同時，它還可以提供標準的PS2鍵盤、鼠標接口，并使用標準的ATX2.0版本為系統供電。整個系統要有能夠擴展的兼容性，在不更改電路板的原則下更換部分兼容芯片能夠實現系統的擴展要求。該系統要求采用DDR3 SDRAM支持標準，提供了1個以上的PCI標準擴展槽，擁有2個以上的SATA接口，擁有足夠大容量的FlashROM的BIOS，能夠滿足必要軟件的升級要求。另外，內網與外網數據交換的速度可以實現千兆速率。

整個MPIS網閘系統必須由2塊構造相同的電路板N，W和2個端口的靜態存儲卡組成。電路板N，W由被稱為MPIS主板，分別對應MPIS網閘系統的內部處理單元和外部處理單元。連接2個MPIS主板的雙端口靜態存儲卡是作為MPIS網閘的隔離硬件存在的。

3 MPIS網閘的BIOS規劃

BIOS是計算機操作系統與硬件平臺之間聯系的樞紐，它的主要作用是對設備底層硬件進行基本的管理，并為操作系統供給可用的服務和資源等。BIOS的基本功能包括基本輸入輸出部分、開機加電系統自檢部分、系統啟動自動運行的程序部分和系統設置中的信息程序等，其核心為支持上層的操作系統。BIOS的工作任務主要有五方面：①當系統啟動時，它處理CPU內部寄存器的初始和中斷向量；②板級相關的初始化，包括對北橋、南橋和I/O功能的初始化；③配置系統PCI總線；④完成對外圍硬件設備的檢測；⑤載入操作系統內核，將系統控制權交給操作系統。因此，MPIS網閘硬件電路的設計指標可以采用龍芯CPU開發時所應用的BIOS解決方案里面的PMON架構，依據MPIS網閘的實際狀態進行移植和開發。PMON的核心在于保證程序所需基礎環境的運行，如圖1所示。PMON調用BIOS的系統啟動自運行、硬件初始化、運行開機自檢程序、記錄系統設置值，但是，PMON卻沒能為系統提供基本的輸入、輸出保證，這對調試是非常不便的。

BIOS的特點和功能是：擁有類似于LINUX的使用環境；具有TCP/IP協議棧，可以將環境變量保存在EEPROM中，并支持網絡或串口下載應用程序；擁有功能強大的匯編調試程序；能夠進行硬件初始化任務，包括南橋、北橋、存儲器、處理器、PCI設備等；擁有豐富的調試和檢測模塊，可以檢查和設置內存、寄存器、反匯編內存中的內容，并在內存中查找和復制指定的內容；能夠對程序進行單步執行或特殊斷點設置。

圖1 PMON運行的基礎環境

因為采用PMON中的BIOS解決設計中存在的問題，所以，就需要在設計硬件平臺時設計支持PMON運行的硬件，而在軟件設計上則需要針對硬件初始化進行相應的修改和完善，例如加入所需的基本輸入、輸出系統和設備驅動支持的修改。PMON的工作流程則為：①進行硬件檢測、寄存器初始化，包括CPU內部寄存器的初始化和中斷向量的處理；②對棧進行初始化，對南北橋芯片組、內存的初始化，待初始化完畢后進行代碼段復制——段初始化、加載異常處理程序、緩存初始化、外圍設備初始化、檢查客戶程序運行環境；③進入Shell狀態。

4 結束語

本文敘述了MPIS網閘系統需要達到的基本性能和指標要求，并進一步闡述了根據這些性能、指標設計的MPIS網閘系統結構，規劃了MPIS網閘硬件平臺的系統功能，描述了MPIS網閘的BIOS解決方案。研發基于MPIS架構的計算機平臺，不但可以帶動相關操作系統的研發，還可以帶動各種各樣應用程序的研發，這對于提高國產計算機的研究應用水平，提高國產產品性能和競爭力具有很重要的現實意義。

參考文獻

[1]王勇強.基于PCI總線的網閘數據交換系統的設計與實現[D].西安：西安電子科技大學，2012.

[2]顧斌杰，葉賓，潘豐，等.基于MIPS核的物理隔離網閘引導設計[J].微計算機信息，2009（06）.

[3]王珺，李立新，李福林.物理隔離和網閘的技術原理淺析[J].微計算機信息，2012（24）.

[4]Steinberg，Joseph.Introducing Air Gap Technology[M].USA：Price water house Coopers Cryptographic Centre of Excellence，2002.

作者簡介：趙小剛，陜西興平人，主要從事計算機教學和校園網方面的工作。王創科，陜西楊凌人，主要從事無線電和網絡安全方面的工作。

〔編輯：白潔〕

BIOS的特點和功能是：擁有類似于LINUX的使用環境；具有TCP/IP協議棧，可以將環境變量保存在EEPROM中，并支持網絡或串口下載應用程序；擁有功能強大的匯編調試程序；能夠進行硬件初始化任務，包括南橋、北橋、存儲器、處理器、PCI設備等；擁有豐富的調試和檢測模塊，可以檢查和設置內存、寄存器、反匯編內存中的內容，并在內存中查找和復制指定的內容；能夠對程序進行單步執行或特殊斷點設置。

圖1 PMON運行的基礎環境

因為采用PMON中的BIOS解決設計中存在的問題，所以，就需要在設計硬件平臺時設計支持PMON運行的硬件，而在軟件設計上則需要針對硬件初始化進行相應的修改和完善，例如加入所需的基本輸入、輸出系統和設備驅動支持的修改。PMON的工作流程則為：①進行硬件檢測、寄存器初始化，包括CPU內部寄存器的初始化和中斷向量的處理；②對棧進行初始化，對南北橋芯片組、內存的初始化，待初始化完畢后進行代碼段復制——段初始化、加載異常處理程序、緩存初始化、外圍設備初始化、檢查客戶程序運行環境；③進入Shell狀態。

4 結束語

本文敘述了MPIS網閘系統需要達到的基本性能和指標要求，并進一步闡述了根據這些性能、指標設計的MPIS網閘系統結構，規劃了MPIS網閘硬件平臺的系統功能，描述了MPIS網閘的BIOS解決方案。研發基于MPIS架構的計算機平臺，不但可以帶動相關操作系統的研發，還可以帶動各種各樣應用程序的研發，這對于提高國產計算機的研究應用水平，提高國產產品性能和競爭力具有很重要的現實意義。

參考文獻

[1]王勇強.基于PCI總線的網閘數據交換系統的設計與實現[D].西安：西安電子科技大學，2012.

[2]顧斌杰，葉賓，潘豐，等.基于MIPS核的物理隔離網閘引導設計[J].微計算機信息，2009（06）.

[3]王珺，李立新，李福林.物理隔離和網閘的技術原理淺析[J].微計算機信息，2012（24）.

[4]Steinberg，Joseph.Introducing Air Gap Technology[M].USA：Price water house Coopers Cryptographic Centre of Excellence，2002.

作者簡介：趙小剛，陜西興平人，主要從事計算機教學和校園網方面的工作。王創科，陜西楊凌人，主要從事無線電和網絡安全方面的工作。

〔編輯：白潔〕

BIOS的特點和功能是：擁有類似于LINUX的使用環境；具有TCP/IP協議棧，可以將環境變量保存在EEPROM中，并支持網絡或串口下載應用程序；擁有功能強大的匯編調試程序；能夠進行硬件初始化任務，包括南橋、北橋、存儲器、處理器、PCI設備等；擁有豐富的調試和檢測模塊，可以檢查和設置內存、寄存器、反匯編內存中的內容，并在內存中查找和復制指定的內容；能夠對程序進行單步執行或特殊斷點設置。

圖1 PMON運行的基礎環境

因為采用PMON中的BIOS解決設計中存在的問題，所以，就需要在設計硬件平臺時設計支持PMON運行的硬件，而在軟件設計上則需要針對硬件初始化進行相應的修改和完善，例如加入所需的基本輸入、輸出系統和設備驅動支持的修改。PMON的工作流程則為：①進行硬件檢測、寄存器初始化，包括CPU內部寄存器的初始化和中斷向量的處理；②對棧進行初始化，對南北橋芯片組、內存的初始化，待初始化完畢后進行代碼段復制——段初始化、加載異常處理程序、緩存初始化、外圍設備初始化、檢查客戶程序運行環境；③進入Shell狀態。

4 結束語

本文敘述了MPIS網閘系統需要達到的基本性能和指標要求，并進一步闡述了根據這些性能、指標設計的MPIS網閘系統結構，規劃了MPIS網閘硬件平臺的系統功能，描述了MPIS網閘的BIOS解決方案。研發基于MPIS架構的計算機平臺，不但可以帶動相關操作系統的研發，還可以帶動各種各樣應用程序的研發，這對于提高國產計算機的研究應用水平，提高國產產品性能和競爭力具有很重要的現實意義。

參考文獻

[1]王勇強.基于PCI總線的網閘數據交換系統的設計與實現[D].西安：西安電子科技大學，2012.

[2]顧斌杰，葉賓，潘豐，等.基于MIPS核的物理隔離網閘引導設計[J].微計算機信息，2009（06）.

[3]王珺，李立新，李福林.物理隔離和網閘的技術原理淺析[J].微計算機信息，2012（24）.

[4]Steinberg，Joseph.Introducing Air Gap Technology[M].USA：Price water house Coopers Cryptographic Centre of Excellence，2002.

作者簡介：趙小剛，陜西興平人，主要從事計算機教學和校園網方面的工作。王創科，陜西楊凌人，主要從事無線電和網絡安全方面的工作。

〔編輯：白潔〕