物理隔離

物理隔離產品是用來解決網絡安全問題的。尤其是在那些需要絕對保證安全的保密網，專網和特種網絡與互聯網進行連接時，為了防止來自互聯網的攻擊和保證這些高安全性網絡的保密性、安全性、完整性、防抵賴和高可用性，幾乎全部要求採用物理隔離技術。物理隔離技術一般包括：

1.靜態包過濾（Static Packet Filter）

2.動態包過濾（Dynamic or Stateful Packet Filter）

3.電路網關（Circuit Level Gateway）

4.應用網關（Application Level Gateway）

5.狀態檢測包過濾（Stateful Inspection Packet Filter）

6.切換代理（Cutoff Proxy）

7.物理隔離（Air Gap）

物理隔離包含隔離網閘技術 、物理隔離卡等。

1、SU-GAP隔離網閘，它創建一個這樣的環境，內、外網物理斷開，但邏輯地相連。就是在這兩個網絡之間創建了一個物理隔斷，這意味着網絡數據包不能從一個網絡流向另外一個網絡，並且可信網絡上的計算機和不可信網絡上的計算機從不會有實際的連接。

物理隔離網閘是使用帶有多種控制功能的固態開關讀寫介質連接兩個獨立主機系統的信息安全設備。由於物理隔離網閘所連接的兩個獨立主機系統之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協議，不存在依據協議的信息包轉發，只有數據文件的無協議“擺渡”，且對固態存儲介質只有“讀”和“寫”兩個命令。所以，物理隔離網閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使“黑客”無法入侵、無法攻擊、無法破壞，實現了真正的安全。

2、在每台電腦中通過主板插槽安裝物理隔離卡，把一台普通計算機分成兩台虛擬計算機，實現真正的物理隔離。

也就是説，只有使內部網和公共網物理隔離，才能真正保證內部信息網絡不受來自互聯網的黑客攻擊。此外，物理隔離也為內部網劃定了明確的安全邊界，使得網絡的可控性增強，便於內部管理。

物理隔離的功能表現為以下幾個方面：

1.阻斷網絡的直接連接，即沒有兩個網絡同時連在隔離設備上；

2.阻斷網絡的互聯網邏輯連接，即TCP/IP的協議必需被剝離，將原始數據通過P2P的非TCP/IP連接協議透過隔離設備傳遞；

3.隔離設備的傳輸機制具有不可編程的特性，因此不具有感染的特性；

4.任何數據都是通過兩級移動代理的方式來完成，兩級移動代理之間是物理隔離的；

5.隔離設備具有審查的功能；

6.隔離設備傳輸的原始數據，不具有攻擊或對網絡安全有害的特性。就像txt文本不會有病毒一樣，也不會執行命令等。

7.強大的管理和控制功能。 ^[3] 

最早在2000年的時候物理隔離領域出現的單硬盤隔離卡和雙硬盤隔離卡，就引發出了一個誰是物理隔離的爭議，由於單硬盤隔離卡，在安裝時只需要加一塊隔離卡，然後對原有的硬盤採用軟件技術上的處理。所以成本相對來講比較低一些。而雙硬盤隔離卡在安裝時除了需要加一塊隔離卡，還需要新加一塊硬盤。但是對於原來的硬盤不需要任何的處理，只需要在新裝的硬盤上安裝操作系統即可。在2000年北京國家保密會議上圖文明確提出了雙硬盤隔離是物理隔離，單硬盤隔離不是物理隔離是邏輯隔離卡的觀點。此觀點引起學術界的強烈反彈。隨着時間的推移，單硬盤隔離卡逐漸退出了市場，也證明了雙硬盤是物理隔離的觀點。

1、USB自動運行和固件攻擊

2、U盤用作射頻發射器

將普通正常U盤用作射頻(RF)發射器，在物理隔離的主機和攻擊者的接收器間傳遞數據，進而加載漏洞利用程序和其他工具，以及從目標主機滲漏數據。

3、CPU電磁信號

利用CPU泄露的電磁信號建立隱秘信道突破物理隔離。

4、突破法拉第籠的電磁信道

安全人員對電磁信道威脅的響應可能是將高度敏感的物理隔離系統置入法拉第籠中。但法拉第籠的電磁屏蔽並非總是有效。研究表明，法拉第籠也擋不住目標主機和移動設備接收電磁傳輸信號。

5、LED狀態指示燈

利用LED狀態指示燈從未聯網系統中傳輸信息到IP攝像頭的方法。

6、紅外遙控

7、無線電廣播和移動設備

利用手機中的FM接收器捕獲到了物理隔離主機上用户每次擊鍵時顯卡散發出的FM無線電信號。

8、超聲波通信

利用超聲波在多台物理隔離主機間創建通信信道。即便主機未接入標準麥克風或者禁用了麥克風，攻擊者都能將揚聲器和耳機變身為麥克風使用。這些音頻設備可用於通信，有效建立雙工傳輸模式。 ^[4]