IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置: 首頁系統(tǒng)集成網(wǎng)絡(luò)管理 → 網(wǎng)絡(luò)隔離下的幾種數(shù)據(jù)交換技術(shù)比較

網(wǎng)絡(luò)隔離下的幾種數(shù)據(jù)交換技術(shù)比較

時(shí)間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評(píng)論(0)

?? 一、背景

?? 網(wǎng)絡(luò)隔離是很多專用網(wǎng)絡(luò)的沒有辦法的辦法,網(wǎng)絡(luò)上承載專用的業(yè)務(wù),其安全性一定要得到保障,然而網(wǎng)絡(luò)的建設(shè)就是為了互通的,沒有數(shù)據(jù)的共享,網(wǎng)絡(luò)的作用也縮水了不少,因此網(wǎng)絡(luò)隔離與數(shù)據(jù)共享交換本身就是天生的一對矛盾,如何解決好網(wǎng)絡(luò)的安全,又方便地實(shí)現(xiàn)數(shù)據(jù)的交換是很多網(wǎng)絡(luò)安全技術(shù)人員在一直探索的。

?? 網(wǎng)絡(luò)要隔離的原因很多,通常說的有下面兩點(diǎn):

?? 1、涉密的網(wǎng)絡(luò)與低密級(jí)的網(wǎng)絡(luò)互聯(lián)是不安全的,尤其來自不可控制網(wǎng)絡(luò)上的入侵與攻擊是無法定位管理的?;ヂ?lián)網(wǎng)是世界級(jí)的網(wǎng)絡(luò),也是安全上難以控制的網(wǎng)絡(luò),又要連通提供公共業(yè)務(wù)服務(wù),又要防護(hù)各種攻擊與病毒。要有隔離,還要數(shù)據(jù)交換是各企業(yè)、政府等網(wǎng)絡(luò)建設(shè)的首先面對的問題。

?? 2、安全防護(hù)技術(shù)永遠(yuǎn)落后于攻擊技術(shù),先有了矛,可以刺傷敵人,才有了盾,可以防護(hù)被敵人刺傷。攻擊技術(shù)不斷變化升級(jí),門檻降低、漏洞出現(xiàn)周期變短、病毒傳播技術(shù)成了木馬的運(yùn)載工具…而防護(hù)技術(shù)好象總是打不完的補(bǔ)丁,目前互聯(lián)網(wǎng)上的"黑客"已經(jīng)產(chǎn)業(yè)化,有些象網(wǎng)絡(luò)上的"黑社會(huì)",雖然有時(shí)也做些殺富濟(jì)貧的"義舉",但為了生存,不斷專研新型攻擊技術(shù)也是必然的。在一種新型的攻擊出現(xiàn)后,防護(hù)技術(shù)要遲后一段時(shí)間才有應(yīng)對的辦法,這也是網(wǎng)絡(luò)安全界的目前現(xiàn)狀。

?? 因此網(wǎng)絡(luò)隔離就是先把網(wǎng)絡(luò)與非安全區(qū)域劃開,當(dāng)然最好的方式就是在城市周圍挖的護(hù)城河,然后再建幾個(gè)可以控制的"吊橋",保持與城外的互通。數(shù)據(jù)交換技術(shù)的發(fā)展就是研究"橋"上的防護(hù)技術(shù)。

?? 關(guān)于隔離與數(shù)據(jù)交換,啟明星辰公司有比較的安全策略研究,總結(jié)起來有下面幾種安全策略:
?? 修橋策略:業(yè)務(wù)協(xié)議直接通過,數(shù)據(jù)不重組,對速度影響小,安全性弱
?? ◆防火墻FW:網(wǎng)絡(luò)層的過濾
?? ◆多重安全網(wǎng)關(guān):從網(wǎng)絡(luò)層到應(yīng)用層的過濾,多重關(guān)卡策略

?? 渡船策略:業(yè)務(wù)協(xié)議不直接通過,數(shù)據(jù)要重組,安全性好
?? ◆網(wǎng)閘:協(xié)議落地,安全檢測依賴于現(xiàn)有的安全技術(shù)
?? ◆交換網(wǎng)絡(luò):建立交換緩沖區(qū),采用防護(hù)、監(jiān)控與審計(jì)多方位的安全防護(hù)

?? 人工策略:不做物理連接,人工用移動(dòng)介質(zhì)交換數(shù)據(jù),安全性最好。

?? 二、數(shù)據(jù)交換技術(shù)

?? 1、防火墻

?? 防火墻是最常用的網(wǎng)絡(luò)隔離手段,主要是通過網(wǎng)絡(luò)的路由控制,也就是訪問控制列表(ACL)技術(shù),網(wǎng)絡(luò)是一種包交換技術(shù),數(shù)據(jù)包是通過路由交換到達(dá)目的地的,所以控制了路由,就能控制通訊的線路,控制了數(shù)據(jù)包的流向,早期的網(wǎng)絡(luò)安全控制方面基本上是防火墻。國內(nèi)影響較大的廠商有天融信、啟明星辰、聯(lián)想網(wǎng)御等。

?? 但是,防火墻有一個(gè)很顯著的缺點(diǎn):就是防火墻只能做網(wǎng)絡(luò)四層以下的控制,對于應(yīng)用層內(nèi)的病毒、蠕蟲都沒有辦法。對于安全要求初級(jí)的隔離是可以的,但對于需要深層次的網(wǎng)絡(luò)隔離就顯得不足了。

?? 值得一提的是防火墻中的NAT技術(shù),地址翻譯可以隱藏內(nèi)網(wǎng)的IP地址,很多人把它當(dāng)作一種安全的防護(hù),認(rèn)為沒有路由就是足夠安全的。地址翻譯其實(shí)是代理服務(wù)器技術(shù)的一種,不讓業(yè)務(wù)訪問直接通過是在安全上前進(jìn)了一步,但目前應(yīng)用層的繞過NAT技術(shù)很普遍,隱藏地址只是相對的。目前很多攻擊技術(shù)是針對防火墻的,尤其防火墻對于應(yīng)用層沒有控制,方便了木馬的進(jìn)入,進(jìn)入到內(nèi)網(wǎng)的木馬看到的是內(nèi)網(wǎng)地址,直接報(bào)告給外網(wǎng)的攻擊者,NAT的安全作用就不大了。

?? 2、多重安全網(wǎng)關(guān)(也稱新一代防火墻)

?? 防火墻是在"橋"上架設(shè)的一道關(guān)卡,只能做到類似"護(hù)照"的檢查,多重安全網(wǎng)關(guān)的方法就是架設(shè)多道關(guān)卡,有檢查行李的、有檢查人的。多重安全網(wǎng)關(guān)也有一個(gè)統(tǒng)一的名字:UTM(統(tǒng)一威脅管理)。設(shè)計(jì)成一個(gè)設(shè)備,還是多個(gè)設(shè)備只是設(shè)備本身處理能力的不同,重要的是進(jìn)行從網(wǎng)絡(luò)層到應(yīng)用層的全面檢查。國內(nèi)推出UTM的廠家很多,如天融信、啟明星辰等。

?

?? 多重安全網(wǎng)關(guān)的檢查分幾個(gè)層次:

?? FW:網(wǎng)絡(luò)層的ACL
?? IPS:防入侵行為
?? AV:防病毒入侵
?? 可擴(kuò)充功能:自身防DOS攻擊、內(nèi)容過濾、流量整形…

?? 防火墻與多重安全網(wǎng)關(guān)都是"架橋"的策略,主要是采用安全檢查的方式,對應(yīng)用的協(xié)議不做更改,所以速度快,流量大,可以過"汽車"業(yè)務(wù),從客戶應(yīng)用上來看,沒有不同。

?? 3、網(wǎng)閘

?? 網(wǎng)閘的設(shè)計(jì)是"代理+擺渡"。不在河上架橋,可以設(shè)擺渡船,擺渡船不直接連接兩岸,安全性當(dāng)然要比橋好,即使是攻擊,也不可能一下就進(jìn)入,在船上總要受到管理者的各種控制。另外,網(wǎng)閘的功能有代理,這個(gè)代理不只是協(xié)議代理,而是數(shù)據(jù)的"拆卸",把數(shù)據(jù)還原成原始的面貌,拆除各種通訊協(xié)議添加的"包頭包尾",很多攻擊是通過對數(shù)據(jù)的拆裝來隱藏自己的,沒有了這些"通訊外衣",攻擊者就很難藏身了。

?

?? 網(wǎng)閘的安全理念是:

?? 網(wǎng)絡(luò)隔離---"過河用船不用橋":用"擺渡方式"來隔離網(wǎng)絡(luò)

?? 協(xié)議隔離---"禁止采用集裝箱運(yùn)輸":通訊協(xié)議落地,用專用協(xié)議或存儲(chǔ)等方式阻斷通訊協(xié)議的連接,用代理方式支持上層業(yè)務(wù)

?? 按國家安全要求是需要涉密網(wǎng)絡(luò)與非涉密網(wǎng)絡(luò)互聯(lián)的時(shí)候,要采用網(wǎng)閘隔離,若非涉密網(wǎng)絡(luò)與互聯(lián)網(wǎng)連通時(shí),采用單向網(wǎng)閘,若非涉密網(wǎng)絡(luò)與互聯(lián)網(wǎng)不連通時(shí),采用雙向網(wǎng)閘。

?? 4、交換網(wǎng)絡(luò)

?? 交換網(wǎng)絡(luò)的模型來源于銀行系統(tǒng)的Clark-Wilson模型,主要是通過業(yè)務(wù)代理與雙人審計(jì)的思路保護(hù)數(shù)據(jù)的完整性。交換網(wǎng)絡(luò)是在兩個(gè)隔離的網(wǎng)絡(luò)之間建立一個(gè)數(shù)據(jù)交換區(qū)域,負(fù)責(zé)業(yè)務(wù)數(shù)據(jù)交換(單向或雙向)。交換網(wǎng)絡(luò)的兩端可以采用多重網(wǎng)關(guān),也可以采用網(wǎng)閘。在交換網(wǎng)絡(luò)內(nèi)部采用監(jiān)控、審計(jì)等安全技術(shù),整體上形成一個(gè)立體的交換網(wǎng)安全防護(hù)體系。

?

?? 交換網(wǎng)絡(luò)的核心也是業(yè)務(wù)代理,客戶業(yè)務(wù)要經(jīng)過接入緩沖區(qū)的申請代理,到業(yè)務(wù)緩沖區(qū)的業(yè)務(wù)代理,才能進(jìn)入生產(chǎn)網(wǎng)絡(luò)。

?? 網(wǎng)閘與交換網(wǎng)絡(luò)技術(shù)都是采用渡船策略,延長數(shù)據(jù)通訊"里程",增加安全保障措施。

?? 三、數(shù)據(jù)交換技術(shù)的比較

?? 不同的業(yè)務(wù)網(wǎng)絡(luò)根據(jù)自己的安全需求,選擇不同的數(shù)據(jù)交換技術(shù),主要是看數(shù)據(jù)交換的量大小、實(shí)時(shí)性要求、業(yè)務(wù)服務(wù)方式的要求。

相關(guān)閱讀

文章評(píng)論
發(fā)表評(píng)論

熱門文章 路由器地址大全-各品牌路由設(shè)置地址 路由器地址大全-各品牌路由設(shè)置地址 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號(hào)、密碼 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號(hào)、密碼 Nslookup命令詳解-域名DNS診斷 Nslookup命令詳解-域名DNS診斷 站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件 站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件

相關(guān)下載

    人氣排行 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號(hào)、密碼 路由器地址大全-各品牌路由設(shè)置地址 騰達(dá)路由器怎么設(shè)置?騰達(dá)路由器設(shè)置教程 ADSL雙線負(fù)載均衡設(shè)置詳細(xì)圖文教程 路由表說明(詳解route print) Nslookup命令詳解-域名DNS診斷 網(wǎng)管員實(shí)際工作的一天 網(wǎng)管必會(huì)!了解交換機(jī)控制端口流量

  • <thead id="z868x"></thead>
  • <samp id="z868x"></samp>