文章

网络隔离产品-隔离部件的确认

如何确定网络隔离产品中隔离部件是满足标准要求的

发表于 更新于
作者 李旋
10 分钟阅读

标准GB/T 20279-2015以及该标准的修订前2006版本和即将要发布的新版标准对网络隔离产品(网闸)均提到产品内部的隔离部件(隔离卡)不能使用TCP/IP协议进行通信(基本级,如图1)以及要以“数据摆渡”的方式(增强级多出,如图2)进行数据交换。但是长期以来关于该检测项目的确认工作一直难以形成一个较为统一的确认方法。究其原因,首先隔离部件的测评工作与硬件有关联,需要一定的硬件基础;其次隔离部件每家厂商不尽相同,硬件芯片、技术原理、实现方法也都不一样,无法形成一个标准的测试机制;最后也没有相关的技术和硬件检测工具深入到产品的物理层探究底层的协议到底是不是属于TCP/IP协议栈。但是办法总比困难多,根据我们以往的测试经验以及已经掌握和具备的检测能力,本文形成了一个相对较为完整的检测手段。
图1

图2

确认过程

  1. 检查产品内外端机的物理网口和产品内部操作系统读到的逻辑网络接口进行数量比对,如出现不一致的情况,如图1所示,逻辑网络接口比物理网口多(物理口6个,逻辑口7个),则应判断多余的逻辑网络接口是否用于内外端机的数据传输;
    图1

    注:设备硬件面板提供6个网络接口,但是设备内部存在多余的kge0-0口。
  2. 判断方法为,在产品上配置数据传输任务,进行内外网数据传输时,在内外网数据传输口和多余的逻辑网口上分别同时抓包,查看数据报文是否一致或协议一致或数据内容一致,如图2所示;
    图2

    注:使用tcpdump指令在kge0-0口进行抓包,抓取的通信协议和数据与在设备外部通信接口抓取到的数据一致。
  3. 出现上述情况,可出具修改意见给送检厂商,待送检厂商反馈原因,若厂商无法给出合理解释,或者认同不符合该条功能条款,则认为该产品未进行协议的剥离和转换,需要厂商进行整改,此时确认到此结束;
  4. 若厂商反馈抓取到的数据报文是内外网两个主机之间的通信报文,并非隔离部件之间的通信,并且能够提供形如图5、6所示的这种无链路层之上的报文或者操作系统打印的无法用wireshark等工具读出的数据报文,可作为证据进行下述步骤继续判断; 图5

    图6
  5. 请厂商提供私有协议数据报文的格式说明文档、隔离部件说明文档和隔离部件芯片的datasheet(说明书),查看抓取到的数据报文与提供的私有协议数据报文说明文档是否一致,查看隔离部件以及隔离部件芯片是否能够提供私有协议的通信功能(这里是比较难确认的,首先要看隔离部件说明文档,怎样进行的协议转换,然后看芯片说明书是否能够提供文档中说明的功能,最后看格式说明文档和抓取的数据包是否一致,这里如果不容易确认,可以请厂商支持,查看关键的协议头等信息),如图7所示,格式说明和抓到的数据或者厂商打印出来的数据对照着看;
    图7
  6. 对于外部物理网口和内部逻辑网口一致,没有任何异常(不一致)的情况,通过步骤7和步骤8,再重复步骤4和5;
  7. 外部物理网口和内部逻辑网口一致,目前只能通过检查隔离部件的方式进行确认,隔离部件上一般不能有网卡芯片,网卡长相如图8、9,如果隔离部件上含有网卡芯片则可以判断不满足标准要求,该条为不符合;如果隔离部件上除了网卡芯片,还有其他大块(个头比较大的)芯片,如FPGA、ACIS等等其他可编程逻辑器件,问厂商网卡芯片的作用,如果厂商回答网卡芯片用于接收主板上的数据,供隔离部件使用,则要求厂商或自己尝试抓取该部分的报文,用于证明与主板通信;如果厂商无法回答,但是能够去掉网卡芯片,则进行正常判断;如果厂商无法回答,由不能去掉网卡芯片,则该类产品要特别注意,检测员自行或要求厂商远程或者现场打印隔离部件间的通信报文。 图8、9
  8. 步骤7中提及检测员自行,是针对如图10所示的隔离部件,可以在两块隔离部件之间的光口串联交换机进行抓包,有些直接可以抓到数据包,有些抓不到,抓不到也没有关系,在证明交换机镜像等功能完好的前提下,侧面也证明了产品内部使用的大概率不是TCP/IP协议(因为交换机正常但是抓不到包),如果隔离部件之间使用总线或者其他无法串接交换机等等可以抓包的接口,则请厂商提供抓取的数据包(目前这块的能力正在建立,难度较大,需要一些时间和运气);
    图10
  9. 说到这里其实只说明了协议怎么确认,对于增强要求数据摆渡还没有说,对于数据摆渡可要求厂商提供摆渡模块的部分代码(一定要强调部分代码,不全要),通过查看说明文档和代码的方式来确认,因为现在的隔离部件早已经没有继电器,绝大多数也不会采用高阻态电路挂起这些比较传统的通过看电路就可以判断的技术了,都是可编程逻辑器件(高度集成化通过编程语言来写一个电路)。
  10. 最后也是最重要的一步,请厂商提供一份盖章的隔离部件协议转换、数据摆渡(增强级)说明文档,文档内容看一眼,如果里面没有涉及TCP/IP协议转换成私有协议的则需要重新提供;
  11. 关于单向导入,基本上做过一次的都知道标准要求以及检查方法,比隔离部件要简单(注意一下光模块单纤双向的问题即可),如果不知道可以问组内其他同事、带教老师;
  12. 工控隔离与上述要求应该一样的。单向导入产品通常不会做协议剥离,无法满足工控隔离国标要求。
检测方法, 网络隔离
网络隔离 网闸 隔离部件
本文版权归作者所有,未经许可不得转载。