趙小剛　王創(chuàng)科

摘 要：簡單分析、介紹了網(wǎng)閘，并簡單設計了物理隔離網(wǎng)閘（MPIS）系統(tǒng)結構；介紹了物理隔離網(wǎng)閘BIOS中的基本輸入、輸出模塊，并給出了解決問題的措施?；贛IPS網(wǎng)閘系統(tǒng)的高水平的計算機系統(tǒng)可以引導各種應用程序開發(fā)、相關軟件系統(tǒng)的研究和移植，這對提升計算機應用研究水平，提升我國產品的性能和競爭能力有很重要的現(xiàn)實意義。

關鍵詞：網(wǎng)閘；BIOS系統(tǒng)設計；SCSI技術；計算機

中圖分類號：TP393.08 文獻標識碼：A 文章編號：2095-6835（2014）18-0133-02

互聯(lián)網(wǎng)已經(jīng)成為了人們交流和探索知識的重要工具之一，同時，它也是進行電子商務的全球性網(wǎng)絡。網(wǎng)絡的廣泛應用在很大程度上可以提高使用者的工作效率，但是，網(wǎng)絡安全問題卻日益嚴重。隨著越來越多的個人和單位加入互聯(lián)網(wǎng)絡，日益惡化的網(wǎng)絡安全問題成為了人們關注的焦點。要想解決網(wǎng)絡安全問題，就需要開發(fā)一個采用物理隔離網(wǎng)閘的專用系統(tǒng)平臺。該平臺使用國產CPU，并且要求電路高度集成、性能優(yōu)異，這樣才可以提升整個系統(tǒng)的安全性，避免后門隱患出現(xiàn)，同時，還能為大力推廣我國的國產CPU，為供應商采用國產系統(tǒng)平臺，研發(fā)、搭配國產軟件起到應有的作用。

1 網(wǎng)閘的相關內容

1.1 網(wǎng)閘的概念

網(wǎng)閘又被稱為物理隔離網(wǎng)閘或安全隔離網(wǎng)閘。它是具有多種控制功能的網(wǎng)絡安全專用設備，能在電路中實現(xiàn)切斷網(wǎng)絡之間通訊數(shù)據(jù)鏈路層的連接，還能在網(wǎng)絡上進行較為安全的應用數(shù)據(jù)交換。

網(wǎng)閘可以實現(xiàn)內網(wǎng)與外網(wǎng)在網(wǎng)絡OSI七層模型中的物理隔離，它是針對TCP/IP協(xié)議等應用協(xié)議的進一步剝離和重建，使得內、外部主機可以在任意時間都能徹底斷開。網(wǎng)閘一般具備身份認證、訪問控制、安全隔離、內核防護、安全審計、協(xié)議轉換和病毒查殺等安全功能模塊，是由軟件和硬件一起構成的整體系統(tǒng)。它的硬件設備體系主要是由三大部分構成，即內部處理單元、隔離硬件和外部處理單元。

網(wǎng)閘安全交換過程的實現(xiàn)是通過提取網(wǎng)絡通訊數(shù)據(jù)包中的應用數(shù)據(jù)，經(jīng)過網(wǎng)閘安全審查后才可以繼續(xù)完成數(shù)據(jù)交換的過程。網(wǎng)閘的使用原理是采取單刀雙擲開關的方式，讓內、外網(wǎng)的數(shù)據(jù)處理單元分開存取雙方共享在存儲設備上的數(shù)據(jù)信息，從而達到交換數(shù)據(jù)的目的，以此完成在物理上完全隔離情況下的數(shù)據(jù)交換任務。

網(wǎng)閘是對通訊數(shù)據(jù)包進行基于訪問控制、審查安全策略、通訊協(xié)議的剝離等審查，只有經(jīng)過嚴格審查的通訊數(shù)據(jù)才可以流出外網(wǎng)或進入內網(wǎng)，這樣就可以有效制止泄露信息和入侵網(wǎng)絡的問題發(fā)生。它的安全原理是采用對應用層數(shù)據(jù)提取并進行安全審查，從而達到增強OSI模型應用層的安全性和避免基于OSI模型協(xié)議層遭受攻擊的目的。

1.2 網(wǎng)閘實現(xiàn)的技術原理

現(xiàn)在的網(wǎng)閘實現(xiàn)實時開關的模式基本有兩類，即基于總線技術的開關模式和基于SCSI技術的開關模式。

基于SCSI技術的開關模式應用的網(wǎng)閘，它采用的交換數(shù)據(jù)通道為SCSI模式的硬盤接口，存儲數(shù)據(jù)的介質也采用的是SCSI硬盤，整個過程是通過數(shù)據(jù)的剝離、還原、審查、封裝來實現(xiàn)的，而控制單元采用的是專制的電路硬件。網(wǎng)閘采用總線技術的開關模式時，一般使用雙端口的靜態(tài)存儲設備，再配合使用基于獨立的EPGA或CPLD模式控制電路。

2個端口通過各自獨立的開關連接1臺物理獨立的計算機。FPGA或CPLA作為獨立的控制電路系統(tǒng)，需要保證在2個端口上，對應的靜態(tài)存儲器要保證每個端口上都有1個開關，而且2個開關是不允許出現(xiàn)同時閉合情況的。

1.3 網(wǎng)閘的安全性分析

使用內、外網(wǎng)的物理隔離方式能夠有效阻擋借用計算機操

作系統(tǒng)的漏洞和網(wǎng)絡通訊協(xié)議的漏洞進行的網(wǎng)絡攻擊，還能夠有力地控制內部與外界網(wǎng)絡間的數(shù)據(jù)傳送。采用靈活、高效的可擴展安全機制，不僅可以提高系統(tǒng)的安全性，同時，系統(tǒng)還具有快速恢復的功能。

1.4 網(wǎng)閘系統(tǒng)與防火墻系統(tǒng)的功能對比

防火墻系統(tǒng)是在網(wǎng)絡處理IP數(shù)據(jù)包轉發(fā)時對IP包采取的特殊處置模式，以此實現(xiàn)對TCP會話的有效管理，但是，防火墻系統(tǒng)對應用數(shù)據(jù)的內容是不做任何檢查的。這樣的工作模式無法防止泄密情況發(fā)生，它不能確定許可通過的網(wǎng)絡數(shù)據(jù)流是否安全，也不能阻止黑客程序和網(wǎng)絡病毒的攻擊，所以，防火墻存在先天性設計缺陷。但是，物理隔離網(wǎng)閘可以避免這些問題。因為不論是從實現(xiàn)原理，還是從它的功能上來說，防火墻系統(tǒng)和安全隔離網(wǎng)閘系統(tǒng)是完全不一樣的，防火墻系統(tǒng)是屬于保證在OSI網(wǎng)絡層安全的邊界安全工具，而安全隔離網(wǎng)閘系統(tǒng)重點在于保護內部網(wǎng)絡的使用安全。

2 物理隔離（MPIS）網(wǎng)閘系統(tǒng)的設計要求

基于國內網(wǎng)閘研究、開發(fā)的現(xiàn)狀可以確定，MPIS網(wǎng)閘支持可用于批量生產的商業(yè)用芯片組，比如南橋、北橋、網(wǎng)卡等，具體的使用型號則是由MPIS網(wǎng)閘項目組根據(jù)實際情況決定的。系統(tǒng)要安裝在微型機箱中，使用雙端口的RAM用作內、外部網(wǎng)絡的交換通道，同時，它還可以提供標準的PS2鍵盤、鼠標接口，并使用標準的ATX2.0版本為系統(tǒng)供電。整個系統(tǒng)要有能夠擴展的兼容性，在不更改電路板的原則下更換部分兼容芯片能夠實現(xiàn)系統(tǒng)的擴展要求。該系統(tǒng)要求采用DDR3 SDRAM支持標準，提供了1個以上的PCI標準擴展槽，擁有2個以上的SATA接口，擁有足夠大容量的FlashROM的BIOS，能夠滿足必要軟件的升級要求。另外，內網(wǎng)與外網(wǎng)數(shù)據(jù)交換的速度可以實現(xiàn)千兆速率。

整個MPIS網(wǎng)閘系統(tǒng)必須由2塊構造相同的電路板N，W和2個端口的靜態(tài)存儲卡組成。電路板N，W由被稱為MPIS主板，分別對應MPIS網(wǎng)閘系統(tǒng)的內部處理單元和外部處理單元。連接2個MPIS主板的雙端口靜態(tài)存儲卡是作為MPIS網(wǎng)閘的隔離硬件存在的。

3 MPIS網(wǎng)閘的BIOS規(guī)劃

BIOS是計算機操作系統(tǒng)與硬件平臺之間聯(lián)系的樞紐，它的主要作用是對設備底層硬件進行基本的管理，并為操作系統(tǒng)供給可用的服務和資源等。BIOS的基本功能包括基本輸入輸出部分、開機加電系統(tǒng)自檢部分、系統(tǒng)啟動自動運行的程序部分和系統(tǒng)設置中的信息程序等，其核心為支持上層的操作系統(tǒng)。BIOS的工作任務主要有五方面：①當系統(tǒng)啟動時，它處理CPU內部寄存器的初始和中斷向量；②板級相關的初始化，包括對北橋、南橋和I/O功能的初始化；③配置系統(tǒng)PCI總線；④完成對外圍硬件設備的檢測；⑤載入操作系統(tǒng)內核，將系統(tǒng)控制權交給操作系統(tǒng)。因此，MPIS網(wǎng)閘硬件電路的設計指標可以采用龍芯CPU開發(fā)時所應用的BIOS解決方案里面的PMON架構，依據(jù)MPIS網(wǎng)閘的實際狀態(tài)進行移植和開發(fā)。PMON的核心在于保證程序所需基礎環(huán)境的運行，如圖1所示。PMON調用BIOS的系統(tǒng)啟動自運行、硬件初始化、運行開機自檢程序、記錄系統(tǒng)設置值，但是，PMON卻沒能為系統(tǒng)提供基本的輸入、輸出保證，這對調試是非常不便的。

BIOS的特點和功能是：擁有類似于LINUX的使用環(huán)境；具有TCP/IP協(xié)議棧，可以將環(huán)境變量保存在EEPROM中，并支持網(wǎng)絡或串口下載應用程序；擁有功能強大的匯編調試程序；能夠進行硬件初始化任務，包括南橋、北橋、存儲器、處理器、PCI設備等；擁有豐富的調試和檢測模塊，可以檢查和設置內存、寄存器、反匯編內存中的內容，并在內存中查找和復制指定的內容；能夠對程序進行單步執(zhí)行或特殊斷點設置。

圖1 PMON運行的基礎環(huán)境

因為采用PMON中的BIOS解決設計中存在的問題，所以，就需要在設計硬件平臺時設計支持PMON運行的硬件，而在軟件設計上則需要針對硬件初始化進行相應的修改和完善，例如加入所需的基本輸入、輸出系統(tǒng)和設備驅動支持的修改。PMON的工作流程則為：①進行硬件檢測、寄存器初始化，包括CPU內部寄存器的初始化和中斷向量的處理；②對棧進行初始化，對南北橋芯片組、內存的初始化，待初始化完畢后進行代碼段復制——段初始化、加載異常處理程序、緩存初始化、外圍設備初始化、檢查客戶程序運行環(huán)境；③進入Shell狀態(tài)。

4 結束語

本文敘述了MPIS網(wǎng)閘系統(tǒng)需要達到的基本性能和指標要求，并進一步闡述了根據(jù)這些性能、指標設計的MPIS網(wǎng)閘系統(tǒng)結構，規(guī)劃了MPIS網(wǎng)閘硬件平臺的系統(tǒng)功能，描述了MPIS網(wǎng)閘的BIOS解決方案。研發(fā)基于MPIS架構的計算機平臺，不但可以帶動相關操作系統(tǒng)的研發(fā)，還可以帶動各種各樣應用程序的研發(fā)，這對于提高國產計算機的研究應用水平，提高國產產品性能和競爭力具有很重要的現(xiàn)實意義。

參考文獻

[1]王勇強.基于PCI總線的網(wǎng)閘數(shù)據(jù)交換系統(tǒng)的設計與實現(xiàn)[D].西安：西安電子科技大學，2012.

[2]顧斌杰，葉賓，潘豐，等.基于MIPS核的物理隔離網(wǎng)閘引導設計[J].微計算機信息，2009（06）.

[3]王珺，李立新，李福林.物理隔離和網(wǎng)閘的技術原理淺析[J].微計算機信息，2012（24）.

[4]Steinberg，Joseph.Introducing Air Gap Technology[M].USA：Price water house Coopers Cryptographic Centre of Excellence，2002.

作者簡介：趙小剛，陜西興平人，主要從事計算機教學和校園網(wǎng)方面的工作。王創(chuàng)科，陜西楊凌人，主要從事無線電和網(wǎng)絡安全方面的工作。

〔編輯：白潔〕

BIOS的特點和功能是：擁有類似于LINUX的使用環(huán)境；具有TCP/IP協(xié)議棧，可以將環(huán)境變量保存在EEPROM中，并支持網(wǎng)絡或串口下載應用程序；擁有功能強大的匯編調試程序；能夠進行硬件初始化任務，包括南橋、北橋、存儲器、處理器、PCI設備等；擁有豐富的調試和檢測模塊，可以檢查和設置內存、寄存器、反匯編內存中的內容，并在內存中查找和復制指定的內容；能夠對程序進行單步執(zhí)行或特殊斷點設置。

圖1 PMON運行的基礎環(huán)境

因為采用PMON中的BIOS解決設計中存在的問題，所以，就需要在設計硬件平臺時設計支持PMON運行的硬件，而在軟件設計上則需要針對硬件初始化進行相應的修改和完善，例如加入所需的基本輸入、輸出系統(tǒng)和設備驅動支持的修改。PMON的工作流程則為：①進行硬件檢測、寄存器初始化，包括CPU內部寄存器的初始化和中斷向量的處理；②對棧進行初始化，對南北橋芯片組、內存的初始化，待初始化完畢后進行代碼段復制——段初始化、加載異常處理程序、緩存初始化、外圍設備初始化、檢查客戶程序運行環(huán)境；③進入Shell狀態(tài)。

4 結束語

本文敘述了MPIS網(wǎng)閘系統(tǒng)需要達到的基本性能和指標要求，并進一步闡述了根據(jù)這些性能、指標設計的MPIS網(wǎng)閘系統(tǒng)結構，規(guī)劃了MPIS網(wǎng)閘硬件平臺的系統(tǒng)功能，描述了MPIS網(wǎng)閘的BIOS解決方案。研發(fā)基于MPIS架構的計算機平臺，不但可以帶動相關操作系統(tǒng)的研發(fā)，還可以帶動各種各樣應用程序的研發(fā)，這對于提高國產計算機的研究應用水平，提高國產產品性能和競爭力具有很重要的現(xiàn)實意義。

參考文獻

[1]王勇強.基于PCI總線的網(wǎng)閘數(shù)據(jù)交換系統(tǒng)的設計與實現(xiàn)[D].西安：西安電子科技大學，2012.

[2]顧斌杰，葉賓，潘豐，等.基于MIPS核的物理隔離網(wǎng)閘引導設計[J].微計算機信息，2009（06）.

[3]王珺，李立新，李福林.物理隔離和網(wǎng)閘的技術原理淺析[J].微計算機信息，2012（24）.

[4]Steinberg，Joseph.Introducing Air Gap Technology[M].USA：Price water house Coopers Cryptographic Centre of Excellence，2002.

作者簡介：趙小剛，陜西興平人，主要從事計算機教學和校園網(wǎng)方面的工作。王創(chuàng)科，陜西楊凌人，主要從事無線電和網(wǎng)絡安全方面的工作。

〔編輯：白潔〕

BIOS的特點和功能是：擁有類似于LINUX的使用環(huán)境；具有TCP/IP協(xié)議棧，可以將環(huán)境變量保存在EEPROM中，并支持網(wǎng)絡或串口下載應用程序；擁有功能強大的匯編調試程序；能夠進行硬件初始化任務，包括南橋、北橋、存儲器、處理器、PCI設備等；擁有豐富的調試和檢測模塊，可以檢查和設置內存、寄存器、反匯編內存中的內容，并在內存中查找和復制指定的內容；能夠對程序進行單步執(zhí)行或特殊斷點設置。

圖1 PMON運行的基礎環(huán)境

因為采用PMON中的BIOS解決設計中存在的問題，所以，就需要在設計硬件平臺時設計支持PMON運行的硬件，而在軟件設計上則需要針對硬件初始化進行相應的修改和完善，例如加入所需的基本輸入、輸出系統(tǒng)和設備驅動支持的修改。PMON的工作流程則為：①進行硬件檢測、寄存器初始化，包括CPU內部寄存器的初始化和中斷向量的處理；②對棧進行初始化，對南北橋芯片組、內存的初始化，待初始化完畢后進行代碼段復制——段初始化、加載異常處理程序、緩存初始化、外圍設備初始化、檢查客戶程序運行環(huán)境；③進入Shell狀態(tài)。

4 結束語

本文敘述了MPIS網(wǎng)閘系統(tǒng)需要達到的基本性能和指標要求，并進一步闡述了根據(jù)這些性能、指標設計的MPIS網(wǎng)閘系統(tǒng)結構，規(guī)劃了MPIS網(wǎng)閘硬件平臺的系統(tǒng)功能，描述了MPIS網(wǎng)閘的BIOS解決方案。研發(fā)基于MPIS架構的計算機平臺，不但可以帶動相關操作系統(tǒng)的研發(fā)，還可以帶動各種各樣應用程序的研發(fā)，這對于提高國產計算機的研究應用水平，提高國產產品性能和競爭力具有很重要的現(xiàn)實意義。

參考文獻

[1]王勇強.基于PCI總線的網(wǎng)閘數(shù)據(jù)交換系統(tǒng)的設計與實現(xiàn)[D].西安：西安電子科技大學，2012.

[2]顧斌杰，葉賓，潘豐，等.基于MIPS核的物理隔離網(wǎng)閘引導設計[J].微計算機信息，2009（06）.

[3]王珺，李立新，李福林.物理隔離和網(wǎng)閘的技術原理淺析[J].微計算機信息，2012（24）.

[4]Steinberg，Joseph.Introducing Air Gap Technology[M].USA：Price water house Coopers Cryptographic Centre of Excellence，2002.

作者簡介：趙小剛，陜西興平人，主要從事計算機教學和校園網(wǎng)方面的工作。王創(chuàng)科，陜西楊凌人，主要從事無線電和網(wǎng)絡安全方面的工作。

〔編輯：白潔〕