許曉明

（中冶交通建設(shè)集團(tuán)有限公司 北京 100011）

1 引言

不同安全級(jí)別的網(wǎng)絡(luò)之間的安全防護(hù)措施通常是物理隔離［1］。但是這種防護(hù)措施的靈活性不夠，難以實(shí)現(xiàn)被隔離網(wǎng)絡(luò)之間的信息實(shí)時(shí)交換。因此基于可信數(shù)據(jù)過濾的網(wǎng)絡(luò)隔離技術(shù)逐漸受到重視，并成為研究熱點(diǎn)［2～3］。

基于可信數(shù)據(jù)過濾的網(wǎng)絡(luò)隔離是網(wǎng)絡(luò)安全防護(hù)的一種新思路，部署在內(nèi)外網(wǎng)之間的網(wǎng)絡(luò)安全設(shè)備，將內(nèi)外網(wǎng)內(nèi)外的安全等級(jí)劃分為不同的信任域，形成不同安全等級(jí)的網(wǎng)絡(luò)通信系統(tǒng)，在實(shí)現(xiàn)網(wǎng)絡(luò)隔離的基礎(chǔ)上達(dá)到可信信息實(shí)時(shí)交換的目的［4～6］。

目前基于雙網(wǎng)隔離的網(wǎng)絡(luò)安全技術(shù)還處于發(fā)展過程中，在架構(gòu)和功能上并無行業(yè)統(tǒng)一的規(guī)范，這也使得市場上此類網(wǎng)絡(luò)安全設(shè)備的架構(gòu)和功能上差別較大［7～8］。目前網(wǎng)絡(luò)隔離技術(shù)主要有物理通道隔離，通過專用的通信硬件和專有的安全協(xié)議隔離，采用加密認(rèn)證機(jī)制和認(rèn)證技術(shù)等［9～10］。文獻(xiàn)［11］提出一種基于智能卡的硬件隔離技術(shù)。該技術(shù)通過設(shè)計(jì)嵌入式安全模塊為終端系統(tǒng)提供數(shù)據(jù)加密和解密的安全服務(wù)。文獻(xiàn)［12］提出一種基于數(shù)據(jù)轉(zhuǎn)發(fā)的網(wǎng)絡(luò)隔離技術(shù)。該技術(shù)基于DES算法構(gòu)建數(shù)據(jù)加密通信系統(tǒng)，實(shí)現(xiàn)隔離網(wǎng)絡(luò)的動(dòng)態(tài)、實(shí)時(shí)的數(shù)據(jù)安全轉(zhuǎn)發(fā)。

通過對(duì)上述研究成果的分析，基于雙網(wǎng)有效隔離情況下實(shí)現(xiàn)可信數(shù)據(jù)安全交換的考慮，本文設(shè)計(jì)開發(fā)了一種基于硬件隔離的網(wǎng)絡(luò)安全設(shè)備。該設(shè)備采用基于硬件隔離技術(shù)和數(shù)據(jù)報(bào)文處理技術(shù)，通過信息內(nèi)容過濾技術(shù)實(shí)現(xiàn)外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)之間的安全通信。

2 總體設(shè)計(jì)

基于安全隔離和信息交換的網(wǎng)絡(luò)安全設(shè)備主要由硬件隔離單元、內(nèi)聯(lián)網(wǎng)信息處理單元、外聯(lián)網(wǎng)信息處理單元和邏輯控制單元組成。硬件隔離單元主要提供數(shù)據(jù)包分組過濾以及基于交換分區(qū)的硬件隔離功能。內(nèi)聯(lián)網(wǎng)信息處理單元和外聯(lián)網(wǎng)信息處理單元主要是對(duì)網(wǎng)絡(luò)中的三層數(shù)據(jù)包中負(fù)載數(shù)據(jù)進(jìn)行還原，對(duì)數(shù)據(jù)包中的上層協(xié)議進(jìn)行解析，并進(jìn)行相關(guān)的安全審計(jì)和將審計(jì)數(shù)據(jù)傳送給邏輯控制單元。網(wǎng)絡(luò)連接的請求方所在的安全區(qū)域的信息處理單元負(fù)責(zé)相應(yīng)的數(shù)據(jù)包處理。設(shè)備功能配置信息、審計(jì)服務(wù)主要由邏輯控制單元提供。邏輯控制單元還對(duì)設(shè)備各個(gè)單元數(shù)據(jù)流提供重定向服務(wù)。硬件隔離、內(nèi)外網(wǎng)數(shù)據(jù)的高層協(xié)議轉(zhuǎn)換以及重定向處理功能都是通過網(wǎng)絡(luò)安全設(shè)備的不同控制接口實(shí)現(xiàn)的。網(wǎng)絡(luò)安全設(shè)備還提供外部審計(jì)控制接口，外部終端可通過審計(jì)接口接入系統(tǒng)獲取審計(jì)數(shù)據(jù)并進(jìn)行相關(guān)配置。

網(wǎng)絡(luò)安全設(shè)備的網(wǎng)絡(luò)隔離的控制邏輯FPGA芯片實(shí)現(xiàn)。系統(tǒng)設(shè)計(jì)框架如圖1所示。

圖1 系統(tǒng)架構(gòu)

本文所設(shè)計(jì)的網(wǎng)絡(luò)安全設(shè)備具有如下優(yōu)點(diǎn)。首先可以從網(wǎng)絡(luò)外的多個(gè)硬件安全，硬件預(yù)處理與隔離單元的相互隔離一方面可以配置分區(qū)，不允許區(qū)域間交換；另一方面，可以記錄數(shù)據(jù)包的來源。如果預(yù)先配置的過濾器被觸發(fā)，將導(dǎo)致數(shù)據(jù)包被拒絕轉(zhuǎn)發(fā)。其次該網(wǎng)絡(luò)安全設(shè)備從硬件和軟件兩方面確保內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間數(shù)據(jù)交換的安全性，設(shè)備內(nèi)部單元之間采用私有協(xié)議通信，使得內(nèi)部通信的安全性得到可靠保證。此外，信息處理單元沒有采用通用的協(xié)議棧路徑，基于自主捕獲和發(fā)送數(shù)據(jù)的路徑，大大降低了數(shù)據(jù)在發(fā)送過程被劫持和控制的可能。最后基于模塊化的設(shè)計(jì)保證了良好的系統(tǒng)可擴(kuò)展性，為設(shè)備升級(jí)提供了空間［13］。

3 硬件隔離單元

基于硬件的信息隔離與交換的主要邏輯操作有消息過濾、網(wǎng)絡(luò)隔離、訪問控制和協(xié)議轉(zhuǎn)換。其邏輯流程如圖2所示。

圖2 硬件隔離邏輯流程

圖2中網(wǎng)絡(luò)隔離是實(shí)現(xiàn)基于硬件的信息隔離與交換的主要邏輯操作，它由分布在不同信任域網(wǎng)絡(luò)中的多個(gè)端口組成了網(wǎng)絡(luò)之間數(shù)據(jù)緩存和信息交換的單獨(dú)網(wǎng)絡(luò)。數(shù)據(jù)緩存指的是對(duì)應(yīng)發(fā)起網(wǎng)絡(luò)通信方的隔離端口對(duì)所接受的數(shù)據(jù)進(jìn)行阻塞和存儲(chǔ)。外聯(lián)網(wǎng)絡(luò)和外聯(lián)網(wǎng)絡(luò)對(duì)應(yīng)不同的交換端口，端口之間數(shù)據(jù)依據(jù)信任域之間的訪問控制和數(shù)據(jù)包過濾規(guī)則進(jìn)行交換。在硬件隔離單元中，端口的按照功能分為兩類。第一類端口是內(nèi)網(wǎng)與外網(wǎng)交換端口，此類端口的數(shù)據(jù)通信由包過濾模塊控制，只有符合過濾規(guī)則的數(shù)據(jù)包才能在端口之間交換。第二類端口是控制模塊和內(nèi)外網(wǎng)端口之間的端口。這類端口傳輸?shù)臄?shù)據(jù)主要是數(shù)據(jù)交換的日志數(shù)據(jù)包，業(yè)務(wù)數(shù)據(jù)是不能在此類端口上進(jìn)行交換的。隔離網(wǎng)絡(luò)支持對(duì)所連接的內(nèi)外網(wǎng)進(jìn)行優(yōu)先級(jí)配置，優(yōu)先級(jí)低的網(wǎng)絡(luò)在過濾規(guī)則中默認(rèn)拒絕。

報(bào)文安全過濾處理是對(duì)于不同安全域之間的數(shù)據(jù)包，依據(jù)數(shù)據(jù)通信源接口的不同，進(jìn)行過濾處理，包括依據(jù)基于ACL的轉(zhuǎn)發(fā)策略、狀態(tài)檢測、關(guān)鍵字過濾，并決定是否進(jìn)行轉(zhuǎn)發(fā)［14～15］。數(shù)據(jù)報(bào)文的過濾處理邏輯主要有四個(gè)。首先是地址轉(zhuǎn)換（NAT）邏輯。根據(jù)NAT規(guī)則進(jìn)行對(duì)應(yīng)的地址以及端口轉(zhuǎn)換。其次是對(duì)連接狀態(tài)進(jìn)行檢測，判斷當(dāng)前連接是否是處于正常協(xié)議狀態(tài)，并依據(jù)狀態(tài)檢測的結(jié)果決定其包過濾與轉(zhuǎn)發(fā)決策邏輯。如果判定當(dāng)前連接狀態(tài)異常則進(jìn)行規(guī)則處理，并創(chuàng)建異常狀態(tài)表項(xiàng)。隨后是對(duì)數(shù)據(jù)報(bào)文進(jìn)行規(guī)則處理?；诰W(wǎng)絡(luò)層數(shù)據(jù)分組的控制字節(jié)信息，與配置的ACL進(jìn)行匹配，并安裝匹配結(jié)果對(duì)數(shù)據(jù)分組進(jìn)行相應(yīng)處理。最后是包過濾與轉(zhuǎn)發(fā)決策。前述邏輯處理對(duì)三層數(shù)據(jù)報(bào)文的處理結(jié)果有兩個(gè)：非法報(bào)文則直接丟棄；要進(jìn)行隔離交換的數(shù)據(jù)報(bào)文，則首先檢測流量統(tǒng)計(jì)信息，如果超過配置流量則丟棄，如未超，則確定進(jìn)行下一步轉(zhuǎn)發(fā)處理。對(duì)確定轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)文首先進(jìn)行內(nèi)部格式封裝后發(fā)送至隔離交換單元，如果與隔離交換單元中接口配置有沖突，則丟棄，并將同時(shí)形成對(duì)應(yīng)的審計(jì)日志。

4 基于網(wǎng)絡(luò)層數(shù)據(jù)報(bào)文的信息處理

內(nèi)聯(lián)網(wǎng)信息處理單元和外聯(lián)網(wǎng)信息處理單元都是基于網(wǎng)絡(luò)層數(shù)據(jù)報(bào)文包壓縮和私有協(xié)議封裝處理機(jī)制的安全性，兩個(gè)處理單元的數(shù)據(jù)處理邏輯都基于信息處理軟件實(shí)現(xiàn)。信息處理軟件由控制模塊、安全策略模塊，數(shù)據(jù)報(bào)文壓縮和訪問控制模模塊，數(shù)據(jù)預(yù)處理和隔離交換接口模塊以及網(wǎng)絡(luò)協(xié)議棧和驅(qū)動(dòng)模塊組成，如圖3所示。

圖3 信息處理軟件

控制模塊提供對(duì)信息處理功能模塊進(jìn)行配置的服務(wù)，并將其配置信息寫入對(duì)應(yīng)的策略庫。控制單元的配置信息包括管理初始化審計(jì)配置信息、數(shù)據(jù)包過濾規(guī)則配置信息以及安全審計(jì)策略等。安全策略模塊的主要功能是接收控制模塊發(fā)送的安全策略配置命令，對(duì)安全策略進(jìn)行插入、刪除、修改、查詢等操作。日志管理模塊接收控制模塊發(fā)送的審計(jì)信息以及日志數(shù)據(jù)，并對(duì)日志數(shù)據(jù)進(jìn)行調(diào)用、插入、刪除操作。

基于數(shù)據(jù)包還原的ACL以及數(shù)據(jù)包處理模塊、數(shù)據(jù)預(yù)處理和隔離交換接口模塊模塊以及協(xié)議棧和驅(qū)動(dòng)模塊完成數(shù)據(jù)處理邏輯流程上最重要功能。其中，單元之間共享信息和通信支持庫支持兩個(gè)內(nèi)外網(wǎng)信息處理單元之間的通信，提供共享信息私有協(xié)議封裝、解封裝以及通信握手的需要。網(wǎng)絡(luò)層數(shù)據(jù)包處理模塊對(duì)接受的數(shù)據(jù)包進(jìn)行IP層和TCP/UDP層的解析，剔除數(shù)據(jù)包的頭部信息，取得業(yè)務(wù)層數(shù)據(jù)。根據(jù)訪問控制規(guī)則和內(nèi)容過濾策略對(duì)業(yè)務(wù)層數(shù)據(jù)進(jìn)行檢測，形成審計(jì)日志發(fā)送對(duì)應(yīng)的處理模塊。審計(jì)日志處理模塊為每個(gè)檢測線程保留數(shù)據(jù)緩存區(qū)。私有協(xié)議處理和檢查在網(wǎng)絡(luò)層數(shù)據(jù)包處理流程中實(shí)現(xiàn)，對(duì)可能存在承載業(yè)務(wù)層數(shù)據(jù)的私有協(xié)議進(jìn)行檢查，不同的協(xié)議對(duì)應(yīng)不同的處理流程，并維護(hù)不同的數(shù)據(jù)緩沖區(qū)。對(duì)緩沖區(qū)分段的數(shù)據(jù)包，信息處理單元可判定數(shù)據(jù)段序列的最后一個(gè)數(shù)據(jù)段，如果非最后一個(gè)分段數(shù)據(jù)，則進(jìn)行硬件隔離交換，否則對(duì)完整數(shù)據(jù)包進(jìn)行安全檢查，通過檢查則進(jìn)行對(duì)應(yīng)的交換操作［16～17］。

5 邏輯控制單元

管理控制單元的主要功能由控制模塊和審計(jì)模塊實(shí)現(xiàn)，其中控制模塊實(shí)現(xiàn)對(duì)設(shè)備各單元的數(shù)據(jù)同步和操作控制，為數(shù)據(jù)的隔離交換提供協(xié)調(diào)控制，對(duì)硬件隔離交換單元的數(shù)據(jù)流提供重定向服務(wù)，對(duì)硬件隔離交換單元內(nèi)部的各種路由表、ACL、關(guān)鍵字過濾表等進(jìn)行維護(hù)。邏輯控制單元的組成模塊如圖4所示。

圖4 邏輯控制單元的模型組成

邏輯控制單元各個(gè)模塊的的主要功能為命令處理模塊對(duì)本地輸入命令進(jìn)行定義和解析；接口管理模塊對(duì)以太網(wǎng)接口的工作模式進(jìn)行管理和配置；配置管理模塊對(duì)歷史輸入操作命令進(jìn)行緩存，以供查詢和快捷執(zhí)行；規(guī)則管理模塊對(duì)數(shù)據(jù)流規(guī)則匹配過程的策略進(jìn)行配置管理；控制命令模塊對(duì)接受到配置命令進(jìn)行解碼并將控制命令分配給對(duì)應(yīng)的對(duì)象；本地預(yù)處理模塊將不同的配置信息分別發(fā)送內(nèi)外網(wǎng)信息處理單元，各個(gè)單元將處理結(jié)果返回給配置用戶；私有協(xié)議處理模塊對(duì)私有協(xié)議封裝的數(shù)據(jù)包進(jìn)行解包，對(duì)特殊協(xié)議進(jìn)行協(xié)議轉(zhuǎn)換處理；硬件表管理模塊對(duì)硬件隔離交換單元相關(guān)的路由表、ACL、關(guān)鍵字過濾表等進(jìn)行動(dòng)態(tài)維護(hù)，并通過API向外部提供管理接口，為實(shí)現(xiàn)防火墻、IDS聯(lián)動(dòng)安全控制提供擴(kuò)展空間［18～19］。

審計(jì)模塊對(duì)審計(jì)網(wǎng)絡(luò)安全設(shè)備的數(shù)據(jù)通信進(jìn)行監(jiān)控、配置管理，并對(duì)數(shù)據(jù)操作和系統(tǒng)維護(hù)進(jìn)行日志級(jí)別的審計(jì)。審計(jì)模塊提供C/S服務(wù)界面，其軟件架構(gòu)由用戶端、服務(wù)器端和管理端組成。瀏覽器端給終端用戶提供設(shè)備遠(yuǎn)程配置、實(shí)時(shí)管理和相關(guān)審計(jì)的服務(wù)。服務(wù)器端基于Liunx系統(tǒng)開發(fā)，對(duì)用戶端的操作動(dòng)作進(jìn)行響應(yīng)，提供相關(guān)的設(shè)備配置、數(shù)據(jù)控制的命令，實(shí)現(xiàn)用戶的配置、管理和審計(jì)等功能。管理端通過管理接口通訊，對(duì)設(shè)備的物理接口、遠(yuǎn)程接入配置、日志信息、狀態(tài)信息以及數(shù)據(jù)表等進(jìn)行配置，使得設(shè)備能夠處于最符合網(wǎng)絡(luò)環(huán)境和用戶需求的工作狀態(tài)。

6 仿真測試

使用vhdl語言完成實(shí)現(xiàn)雙網(wǎng)隔離的網(wǎng)絡(luò)安全設(shè)備的設(shè)計(jì)。實(shí)現(xiàn)和設(shè)計(jì)測試在Altera的Quartus 8.1網(wǎng)絡(luò)版環(huán)境中完成。另外，在Altera開發(fā)板DE2上進(jìn)行了設(shè)計(jì)硬件驗(yàn)證，該開發(fā)板DE2包含F(xiàn)PGA芯片Cyclone II EP2C35F672C6，這是一種低成本的FPGA芯片。在硬件測試期間使用SDRAM 8MB內(nèi)存作為緩沖區(qū)。

仿真功能測試分為兩個(gè)部分。首先是對(duì)設(shè)備的數(shù)據(jù)交換能力進(jìn)行測試。由于雙網(wǎng)隔離的網(wǎng)絡(luò)安全設(shè)備的數(shù)據(jù)交換建立在網(wǎng)絡(luò)層數(shù)據(jù)包解析和重組的基礎(chǔ)上，因此對(duì)數(shù)據(jù)包解析和重組功能進(jìn)行仿真測試能夠直接反映設(shè)備數(shù)據(jù)交換的效率。

在FPGA芯片中創(chuàng)建了簡單的IP包生成器。它是通過使用FPGA芯片的內(nèi)部ROM存儲(chǔ)器實(shí)現(xiàn)的，其內(nèi)容填充了向分段塊發(fā)送的幾個(gè)有效IP數(shù)據(jù)包的值。單元本身被放置在SDRAM內(nèi)存中的適當(dāng)位置。通過檢查SDRAM位置的內(nèi)容，并通過觀察邏輯分析儀上的信號(hào)，驗(yàn)證硬件隔離單元的數(shù)據(jù)包解析的正確工作。測試數(shù)據(jù)如表1所示。

以類似的方式對(duì)數(shù)據(jù)包重組功能進(jìn)行測試。在SDRAM存儲(chǔ)器中寫入了幾個(gè)IP分組，并且重組塊被認(rèn)為是讀取每個(gè)分組的單元并重構(gòu)原始IP分組內(nèi)容。將重建的內(nèi)容與放置在FPGA芯片的內(nèi)部ROM存儲(chǔ)器中的期望值進(jìn)行比較。這樣我們驗(yàn)證了硬件隔離單元重組功能的正確工作。測試數(shù)據(jù)如表2所示。

表1 解析測試的數(shù)據(jù)

表2 重組測試的數(shù)據(jù)

由表1和表2可以看出，數(shù)據(jù)包分組長度有3個(gè)值：256、512和1024。從表1和表2可以看出，隨著單元更小，所使用的FPGA工作頻率更好。但是，分組越小，每個(gè)IP數(shù)據(jù)包傳輸?shù)念^部字節(jié)就越多，因此有效負(fù)載的使用量越來越小，會(huì)導(dǎo)致網(wǎng)絡(luò)安全設(shè)備的性能下降。在決定網(wǎng)絡(luò)安全設(shè)備的通信速度時(shí)，應(yīng)該考慮這兩個(gè)對(duì)立的要求之間的妥協(xié)。

其次是利用網(wǎng)絡(luò)壓力測試軟件對(duì)網(wǎng)絡(luò)安全設(shè)備的安全性能進(jìn)行仿真測試。測試環(huán)境如圖5所示。

圖5 測試環(huán)境

利用外網(wǎng)的攻擊終端對(duì)內(nèi)網(wǎng)的被攻擊主機(jī)發(fā)起網(wǎng)絡(luò)壓力測試軟件模擬的網(wǎng)絡(luò)攻擊，檢測網(wǎng)絡(luò)安全設(shè)備的完全隔離能力。

安裝在攻擊終端上的網(wǎng)絡(luò)壓力測試軟件配置為對(duì)被攻擊終端進(jìn)行基于TCP的半連接攻擊，詳細(xì)配置參數(shù)如圖6所示。

啟動(dòng)攻擊線程后，在被攻擊終端上運(yùn)行數(shù)據(jù)包抓取程序。程序的抓包結(jié)果如圖7所示。

圖6 網(wǎng)絡(luò)壓力測試軟件的配置

由圖7可以看出，攻擊終端所發(fā)送的數(shù)據(jù)包被網(wǎng)絡(luò)安全設(shè)備全部過濾了，被攻擊終端上沒有抓取到任何攻擊數(shù)據(jù)。

7 結(jié)語

本文設(shè)計(jì)了一種基于雙網(wǎng)隔離的網(wǎng)絡(luò)安全設(shè)備。該設(shè)計(jì)基于硬件隔離和基于網(wǎng)絡(luò)層數(shù)據(jù)包過濾的信息過濾技術(shù)，實(shí)現(xiàn)了內(nèi)聯(lián)網(wǎng)絡(luò)和外聯(lián)網(wǎng)絡(luò)之間的安全通信。該設(shè)備的設(shè)計(jì)對(duì)相關(guān)的網(wǎng)絡(luò)安全設(shè)備設(shè)計(jì)和開發(fā)具有借鑒價(jià)值。

參考文獻(xiàn)

［1］王濤，陳鴻昶，程國振.軟件定義網(wǎng)絡(luò)及安全防御技術(shù)研究［J］.通信學(xué)報(bào)，2017（11）：133-160.

［2］王鵬，馬錫坤，吳艷君.基于防火墻的網(wǎng)絡(luò)安全技術(shù)在醫(yī)院網(wǎng)絡(luò)中的應(yīng)用［J］.電子設(shè)計(jì)工程，2017，25（21）：189-193.

［3］海小娟.計(jì)算機(jī)網(wǎng)絡(luò)安全入侵檢測系統(tǒng)的設(shè)計(jì)與應(yīng)用研究［J］.自動(dòng)化與儀器儀表，2017（10）：142-143.

［4］賀曉春.CERNET網(wǎng)絡(luò)安全管理成熟度模型的研究與構(gòu)建［J］.計(jì)算機(jī)系統(tǒng)應(yīng)用，2017，26（07）：24-29.

［5］陳瀅生.計(jì)算機(jī)網(wǎng)絡(luò)訪問隔離控制方法研究［J］.微電子學(xué)與計(jì)算機(jī)，2017，34（06）：141-144.

［6］陶靜，沈文，陳磊，鄧輝.基于雙PON口的光網(wǎng)絡(luò)單元業(yè)務(wù)隔離設(shè)計(jì)［J］.電子設(shè)計(jì)工程，2017，25（07）：75-77，82.

［7］紀(jì)元，婁征.基于安全代理的數(shù)據(jù)交換在電力系統(tǒng)中的研究與應(yīng)用［J］.通信技術(shù)，2017，50（02）：365-369.

［8］嚴(yán)立宇，祖立軍，葉家煒，周雍愷，吳承榮.云計(jì)算網(wǎng)絡(luò)中多租戶虛擬網(wǎng)絡(luò)隔離的分布式實(shí)現(xiàn)研究［J］.計(jì)算機(jī)應(yīng)用與軟件，2016，33（11）：93-98.

［9］鄭顯義，史崗，孟丹.系統(tǒng)安全隔離技術(shù)研究綜述［J］.計(jì)算機(jī)學(xué)報(bào)，2017，40（05）：1057-1079.

［10］張凱，裘曉峰，朱新寧.基于SDN的網(wǎng)絡(luò)虛擬化平臺(tái)及其隔離性研究［J］.電信科學(xué)，2016，32（09）：125-131.

［11］何寧，石磊，王長周，晉世仲.發(fā)電企業(yè)內(nèi)外網(wǎng)隔離技術(shù)研究與應(yīng)用［J］.電力信息與通信技術(shù)，2016，14（09）：33-37.

［12］吳歡，詹靜，趙勇，陶政，楊靜.一種高效虛擬化多級(jí)網(wǎng)絡(luò)安全互聯(lián)機(jī)制［J］.山東大學(xué)學(xué)報(bào)（理學(xué)版），2016，51（03）：98-103，110.

［13］孫偉峰，張琳，林少鋒，楊燕，陶波.一種增強(qiáng)型VPN安全隔離網(wǎng)關(guān)設(shè)計(jì)與實(shí)現(xiàn)［J］.中國電子科學(xué)研究院學(xué)報(bào)，2015，10（06）：628-631，651.

［14］汪強(qiáng)，徐小蘭，張劍.一種新的智能變電站通信業(yè)務(wù)安全隔離技術(shù)的研究［J］.電力系統(tǒng)保護(hù)與控制，2015，43（17）：139-144.

［15］林蘇蓉，黃秋岑，林靖穎.新型電力內(nèi)外網(wǎng)視頻安全隔離技術(shù)的研究［J］.電力信息與通信技術(shù)，2014，12（10）：120-123.

［16］趙釗.基于VPN技術(shù)的校園網(wǎng)絡(luò)安全體系構(gòu)建［J］.自動(dòng)化與儀器儀表，2014（01）：158-160.

［17］宋慶帥，薛麗敏，陳濤.一種基于雙單向傳輸通道的網(wǎng)絡(luò)隔離方案［J］.信息網(wǎng)絡(luò)安全，2014（01）：34-37.

［18］孫慶和，劉道群.網(wǎng)絡(luò)隔離技術(shù)在3G移動(dòng)辦公中的應(yīng)用探討［J］.計(jì)算機(jī)科學(xué)，2013，40（S1）：381-383.

［19］趙毅.終端設(shè)備物理隔離技術(shù)策略研究［J］.計(jì)算機(jī)與現(xiàn)代化，2013（01）：149-152，157.