硬件知识汇总
1.防火墙设备
(多网络边界安全防护)
防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
1、入侵检测功能
网络防火墙技术的主要功能之一就是入侵检测功能,主要有反端口扫描、检测拒绝服务工具、检测CGI/IIS服务器入侵、检测木马或者网络蠕虫攻击、检测缓冲区溢出攻击等功能,可以极大程度上减少网络威胁因素的入侵,有效阻挡大多数网络安全攻击。 [3]
2、网络地址转换功能
利用防火墙技术可以有效实现内部网络或者外部网络的IP地址转换,可以分为源地址转换和目的地址转换,即SNAT和NAT。SNAT主要用于隐藏内部网络结构,避免受到来自外部网络的非法访问和恶意攻击,有效缓解地址空间的短缺问题,而DNAT主要用于外网主机访问内网主机,以此避免内部网络被攻击。
3、网络操作的审计监控功能
通过此功能可以有效对系统管理的所有操作以及安全信息进行记录,提供有关网络使用情况的统计数据,方便计算机网络管理以进行信息追踪。
4、强化网络安全服务
防火墙技术管理可以实现集中化的安全管理,将安全系统装配在防火墙上,在信息访问的途径中就可以实现对网络信息安全的监管。
2.前置机
(跨系统的进行数据交换管理)
前置机是指用于现场的中间设备。
交易设备
1.综合前置机是一种以报文交换为基础的中间交易设备
综合前置机处理的所有交易都以金融交易报文为基础。利用报文可以很容易将金融交易的各项要求表述清楚。只要将报文格式定义明确,任何金融交易的细节都可以包含在报文之中。交易报文的制定可以参照ISO 8583国际标准。交易报文的种类有通知类和请求/响应类两种。如果金融交易只涉及系统/网络管理,可简单地采用通知类报文;如果金融交易涉及帐务处理,可采用请求/响应类报文。
跨系统通信
2. 综合前置机解决跨系统的通信问题
综合前置机是一种跨系统的金融交易中间设备。前置机设立的目的之一是解决系统间的通信问题。由于各主机系统间的通信协议差别较大,网络结构复杂,所以异型主机之间通常不能通过网络相互识别。通过综合前置机作为中介,可以很容易地将各主机系统连接起来,实现跨系统主机间的数据交换。
格式转换
3. 综合前置机实现交易数据格式的转换
各主机系统都定义了系统内的数据交易格式,这些数据格式在系统主机之间的表述往往是不同的。利用综合前置机可方便地对这些不同的格式进行转换,满足金融交易的需要。此外,由于主机系统间的字符编码不同,综合前置机亦可实现主机间的字符编码转换。
预处理
4. 综合前置机实现对金融交易的预处理
金融交易的请求在进入综合前置机后,综合前置机可对交易的合法性、实效性、交易范围等进行预先处理,剔除不合法的交易、取消超时的交易、拒绝超出范围的交易。这样,可以降低主机的负荷,减少主机处理帐务所需的开销。
认证转换
5. 综合前置机实现对交易报文的认证和个人密码PIN的变换
交易报文在网络传输时容易被第三方窃取、盗用和仿制。为了避免这种情况出现,综合前置机需对交易报文做认证处理:验证所有收到的报文密押,认证所有发出系统的报文。
通过这种机制,可有效地避免假冒交易报文的出现而对系统造成的金融风险。同样,由于网络传输的交易报文可被窃取,所以个人密码PIN不能以明码的方式在网络上存在,综合前置机要对进出主机系统的个人密码进行加/解密处理,这样可保证交易人的资金安全。
数据统计
6. 综合前置机实现交易监控、流水记录和数据统计
综合前置机传递的是一种跨系统的金融交易报文,这些交易报文有可能在网络传输中出现损坏和缺失,综合前置机可记录交易流水和显示交易完成情况,这些都有助于分析和解决系统间潜在和已出现的问题。此外,综合前置机的流水记录和数据统计功能还可为系统间的对帐和资金清算提供依据。
账务处理
7. 综合前置机不具有帐务处理功能
综合前置机是一种中间交易设备,为保证交易资金的安全,交易资金不应存在于中间交易设备之上。这样做不仅保证了资金安全,同时,也避免了综合前置机可能出现的金融风险,系统设计也大为简化。脱离了帐务处理,综合前置机的运行也更加简洁可靠,系统的维护工作也变得轻松自如。
3.网闸
(实现多网络之间安全的进行网络切换和数据传输)
网闸(GAP)全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。
网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议"摆渡",且对固态存储介质只有"读"和"写"两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使"黑客"无法入侵、无法攻击、无法破坏,实现了真正的安全。
为什么要使用安全隔离网闸呢?其意义是:
(一)当用户的网络需要保证高强度的安全,同时又与其它不信任网络进行信息交换的情况下,如果采用物理隔离卡,用户必须使用开关在内外网之间来回切换,不仅管理起来非常麻烦,使用起来也非常不方便,如果采用防火墙,由于防火墙自身的安全很难保证,所以防火墙也无法防止内部信息泄漏和外部病毒、黑客程序的渗入,安全性无法保证。在这种情况下,安全隔离网闸能够同时满足这两个要求,弥补了物理隔离卡和防火墙的不足之处,是最好的选择。
(二)对网络地隔离是通过网闸隔离硬件实现两个网络在链路层断开,但是为了交换数据,通过设计的隔离硬件在两个网络对应的上进行切换,通过对硬件上的存储芯片的读写,完成数据的交换。
(三)安装了相应的应用模块之后,安全隔离网闸可以在保证安全的前提下,使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据,并可以在网络之间交换定制的文件。
性能指标
安全隔离网闸的主要性能指标有那些呢? 其性能指标包括:
系统数据交换速率:120Mbps
硬件切换时间:5ms
与物理隔离卡的区别
安全隔离网闸与物理隔离卡最主要的区别是,安全隔离网闸能够实现两个网络间的自动的安全适度的信息交换,而物理隔离卡只能提供一台计算机在两个网之间切换,并且需要手动操作,大部分的隔离卡还要求系统重新启动以便切换硬盘。
网络交换信息的区别
安全隔离网闸在网路间进行的安全适度的信息交换是在网络之间不存在链路层连接的情况下进行的。安全隔离网闸直接处理网络间的应用层数据,利用存储转发的方法进行应用数据的交换,在交换的同时,对应用数据进行的各种安全检查。路由器、交换机则保持链路层畅通,在链路层之上进行IP包等网络层数据的直接转发,没有考虑网络安全和数据安全的问题。
与防火墙的区别
防火墙一般在进行IP包转发的同时,通过对IP包的处理,实现对TCP会话的控制,但是对应用数据的内容不进行检查。这种工作方式无法防止泄密,也无法防止病毒和黑客程序的攻击。
4.单导
单向导入系统
单向导入系统由导入前置机、单向隔离光闸、导入服务器,三部分组成。采用物理单向传输、全文审计、格式检查、病毒查杀、关键字黑白名单过滤、后缀过滤等技术,实现安全高效的数据单向传输。可广泛应用于政府、军队和企业等行业用户。
数据完整性
文件传输过程中经过所有设备时均进行文件编号检查、MD5值检查、数据包顺序检测,验证文件完整性;传输的文件数据包彼此冗余,部分数据包传输丢失时,可由其他数据包校对恢复,保证传输数据的完整性。
冗余部署
系统支持冗余部署,即同时部署两套单向导入系统,可根据数据传输情况实现负载均衡。
高效传输
系统支持对文件类型、大小、后缀名同时过滤,关键字并行匹配,提高文件处理效率;同一数据同时发送多份,通过去重算法还原有效数据,有效降低丢包概率;通过文件压缩技术,将多个小文件压缩为一个大文件传输,在接收端进行解压缩,避免批量小文件传输时频繁分配系统资源造成的效率过低问题,有效提高系统数据传输效率。
文件全文审计
全文审计功能支持传输数据在导入前置机、导入服务器的分别备份,当目的端接收到的数据出现异常时,可与备份数据进行内容比对,实现异常的快速定位。
数据单向传输
单向光闸分光器将数据从源端单向传输到目的端,利用光的不可逆特性,完成数据单向导入。
安全单向导入系统设计符合以下政策、规范文件,可用于单向公网信息采集(互联网信息采集),单向传输保证内网安全:
5.交换机
交换机(Switch)意为“开关”是一种用于电(光)信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路。最常见的交换机是以太网交换机。其他常见的还有电话语音交换机、光纤交换机等。
交换机工作于OSI参考模型的第二层,即数据链路层。交换机内部的CPU会在每个端口成功连接时,通过将MAC地址和端口对应,形成一张MAC表。在今后的通讯中,发往该MAC地址的数据包将仅送往其对应的端口,而不是所有的端口。因此,交换机可用于划分数据链路层广播,即冲突域;但它不能划分网络层广播,即广播域。
端口
交换机在同一时刻可进行多个端口对之间的数据传输。每一端口都可视为独立的物理网段(注:非IP网段),连接在其上的网络设备独自享有全部的带宽,无须同其他设备竞争使用。当节点A向节点D发送数据时,节点B可同时向节点C发送数据,而且这两个传输都享有网络的全部带宽,都有着自己的虚拟连接。假使这里使用的是10Mbps的以太网交换机,那么该交换机这时的总流通量就等于2×10Mbps=20Mbps,而使用10Mbps的共享式HUB时,一个HUB的总流通量也不会超出10Mbps。
传输
交换机的传输模式有全双工,半双工,全双工/半双工自适应
交换机的全双工是指交换机在发送数据的同时也能够接收数据,两者同步进行,这好像我们平时打电话一样,说话的同时也能够听到对方的声音。交换机都支持全双工。全双工的好处在于迟延小,速度快。
汇聚层交换机
汇聚层交换机是多台接入层交换机的汇聚点,作用是将接入节点统一出口,同样也做转发及选路。它必须能够处理来自接入层设备的所有通信量,并提供到核心层的上行链路,因此汇聚层交换机与接入层交换机比较,汇聚层交换机需要具备高转发性能,通常也是三层交换机。