网闸(百度百科)

闸门的组成

  安全隔离网闸是由软件和硬件组成。 安全隔离网闸的硬件设备由三部分组成:外部处

  


理单元、内部处理单元、隔离硬件。

 
使用闸门的意义

  为什么要使用安全隔离网闸呢?其意义是:   

(一)当用户的网络需要保证高强度的安全,同时又与其它不信任网络进行信息交换的情况下,如果采用物理隔离卡,用户必须使用开关在内外网之间来回切换,不仅管理起来非常麻烦,使用起来也非常不方便,如果采用防火墙,由于防火墙自身的安全很难保证,所以防火墙也无法防止内部信息泄漏和外部病毒、黑客程序的渗入,安全性无法保证。在这种情况下,安全隔离网闸能够同时满足这两个要求,弥补了物理隔离卡和防火墙的不足之处,是最好的选择。   

(二)对网络地隔离是通过网闸隔离硬件实现两个网络在链路层断开,但是为了交换数据,通过设计的隔离硬件在两个网络对应的上进行切换,通过对硬件上的存储芯片的读写,完成数据的交换。   

(三)安装了相应的应用模块之后,安全隔离网闸可以在保证安全的前提下,使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据,并可以在网络之间交换定制的文件。

性能指标

  安全隔离网闸的主要性能指标有那些呢? 其性能指标包括:   

       系统数据交换速率:120Mbps   硬件切换时间:5ms

主要功能

  1。有哪些功能模块 :安全隔离闸门的功能模块有:安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证。

  2。防止未知和已知木马攻击: 为什么说安全隔离网闸能够防止未知和已知木马攻击?   通常见到的木马大 部分是基于TCP的,木马的客户端和服务器端需要建立连接,而安全隔离网闸由于使用了自定义的私有协议(不同于通用协议)。使得支持传统网络结构的所有协 议均失效,从原理实现上就切断所有的TCP连接,包括UDP、ICMP等其他各种协议,使各种木马无法通过安全隔离网闸进行通讯。从而可以防止未知和已知 的木马攻击。   

        3。具有防病毒措施:   安全隔离网闸具有防病毒措施吗?   作为提供数据交换的隔离设备,安全隔离网闸上内嵌病毒查杀的功能模块,可以对交换的数据进行病毒检查。

与物理隔离卡的区别

  安全隔离网闸与物理隔离卡最主要的区别是,安全隔离网闸能够实现两个网络间的自动的安全适度的信息交换,而物理隔离卡只能提供一台计算机在两个网之间切换,并且需要手动操作,大部分的隔离卡还要求系统重新启动以便切换硬盘。

与路由器、交换机在网络之间交换信息的区别

   安全隔离网闸在网路间进行的安全适度的信息交换是在网络之间不存在链路层连接的情况下进行的。安全隔离网闸直接处理网络间的应用层数据,利用存储转发的 方法进行应用数据的交换,在交换的同时,对应用数据进行的各种安全检查。路由器、交换机则保持链路层畅通,在链路层之上进行IP包等网络层数据的直接转 发,没有考虑网络安全和数据安全的问题。

与防火墙的区别

  防火墙一般在进行IP包转发的同时,通过对IP包的处理,实现对TCP会话的控制,但是对应用数据的内容不进行检查。这种工作方式无法防止泄密,也无法防止病毒和黑客程序的攻击。

能取代防火墙吗?

  无论从功能还是实现原理上讲,安全隔离网闸和防火墙是完全不同的两个产品,防火墙是保证网络层安全的边界安全工具(如通常的非军事化区),而安全隔离网闸重点是保护内部网络的安全。因此两种产品由于定位的不同,因此不能相互取代。

单系统的设备是安全隔离网闸吗?

  单系统的设备如(信息流转器)不是安全隔离网闸设备。类似的单系统一旦系统遭受到攻击,攻击者完全有可能在单系统的两张网卡之间建立起路由,从而内部网络会完全暴露。

隔离硬件需要专用硬件吗?

  需要,隔离硬件一般都由GAP厂商提供,其中对高速切换装置的切换频率要求非常高。

与用1394设备连接的网闸的区别

   使用专用隔离硬件的安全隔离网闸的安全隔离是在硬件上实现的,在隔离硬件上固化了模拟开关,无法通过软件编程方式进行改变;而通过1394或者串口连接 两台或多台系统,其上的隔离切换实质上是通过软件来实现的,其安全性和用标准以太网卡相连的两台PC无异。由此可知1394或者串口实现的“软隔离”在安 全性上和安全隔离网闸不具可比性,相差甚远。

  (一)安全隔离网闸通常布置在什么位置?   安全隔离网闸通常布置在两个安全级别不同的两个网络之间,如信任网络和非信任网络,管理员可以从信任网络一方对安全隔离网闸进行管理。  

 (二)安全隔离网闸的部署是否需要对网络架构作调整?   采用透明方式的网闸只需要在两个网络各提供一个有效的IP地址即可。采用路由模式的网闸要求一定的改动。有的网闸支持两种连接方式。有的只支持一种。只支持路由模式的网闸就会要求对网络结构的改动。

(三)安全隔离网闸是否可以在网络内部使用?   可以,网络内部安全级别不同的两个网络之间也可以安装安全隔离网闸进行隔离。   

(四)安全隔离网闸支持交互式访问吗?   鉴于安全隔离网闸保护的主要是内部网络,一旦支持交互式访问如支持建立会话,那么无法防止信息的泄漏以及内部系统遭受攻击,因此,安全隔离网闸不支持交互式访问.   

(五)支持反向代理的安全隔离网闸安全吗?   支持反向代理意味着可以从非信任网络间接授权访问信任网络上的资源,一旦代理软件在安全检查或者软件实现上出现问题,那么很有可能会被黑客利用并非法存取内部资源。因此从安全性上讲,支持反向代理的安全隔离网闸不安全。   

(六)如果对应网络七层协议,安全隔离网闸是在哪一层断开?   如果针对网络七层协议,安全隔离网闸是在硬件链路层上断开。   

(七)安全隔离网闸支持百兆网络吗?千兆网络如何支持?   安全隔离网闸支持百兆网络,目前国内最快的可以达到120MBps。对于千兆网络,可以采用多台安全隔离网闸进行负载均衡。   

(八)安全隔离网闸自身的安全性如何?   安全隔离网闸双处理单元上都采用了安全加固的操作系统,包括强制访问控制、基于内核的入侵检测等安全功能,并且该系统得到国家权威部门的认证。   

(九)安全隔离网闸有身份认证机制吗?   有。安全隔离网闸在用于邮件转发和网页浏览的时候,对用户进行用户名/口令、证书认证等多种形式的身份认证。   

(十)有了防火墙和IDS,还需要安全隔离网闸吗?   防火墙是网络层边界检查工具,可以设置规则对内部网络进行安全防护,而IDS一般是对已知攻击 行为进行检测,这两种产品的结合可以很好的保护用户的网络,但是从安全原理上来讲,无法对内部网络做更深入的安全防护。安全隔离网闸重点是保护内部网络, 如果用户对内部网络的安全非常在意,那么防火墙和IDS再加上安全隔离网闸将会形成一个很好的防御体系。   

(十一)受安全隔离网闸保护的内部网络需要不断升级吗?   安全隔离网闸首先在链路层断开,彻底切断网络连接,并仅允许仅有的四种指定静态数据进行交换, 对外不接受请求,并且在内部用户访问外部网络时采用静态页面返回(过滤ActiveX、Java、cookie等),并且木马无法通过安全隔离网闸进行通 讯,因此内部网络针对外部的攻击根本无需升级。   

(十二)为什么受防火墙保护的内部网络需要不断升级?   防火墙是在网络层对数据包作安全检查,并不切断网络连接,很多案例证明无论包过滤还是代理防火墙都很难防止木马病毒的入侵内部网络,Nimda绕过很多防火墙的检查并在全世界肆虐就是一个很好的例证,因此需要用户的内部网络不断升级自己的客户端如浏览器。   

(十三)安全隔离网闸能否防止内部无意信息泄漏?   由于安全隔离网闸在数据交换时采用了证书机制,对所有的信息进行证书验证,因此对于那些病毒乱发邮件所造成的无意信息泄漏起到很好的防范作用。   

(十四)使用安全隔离网闸时需要安装客户端吗?   有的网闸管理员使用通用的浏览器即可对其进行管理配置,使用安全隔离网闸时不需安装其他客户 端。 但是这种方式具有极大的安全风险,因为远程连接会引入安全威胁,而这种对于控制口的攻击更为严重。所以安全性要求高的网闸,不允许通过远程进行配置,只允 许通过专有的配置程序,也就是客户端通过串口进行配置。一些重要部门均不允许对网闸具有远程配置的功能。   

(十五)安全隔离网闸接受外来请求吗?   不接受,安全隔离网闸上的数据交换全部由管理员来进行配置,其所有的请求都由安全隔离网闸主动发起,不接受外来请求,不提供任何系统服务。 如果接受远程配置,就会接受外来的请求,造成严重的安全问题。   

(十六)安全隔离网闸是否支持所连接的两个网络的网段地址相同?  支持。   

(十七)安全隔离网闸的主机系统是否经过安全加固?   由于从网络架构上来讲,安全隔离网闸是处在网关的位置,因此其自身安全性非常重要,两个处理单元 加固包括硬件加固、操作系统加固以及协议的加固。

(十八)安全隔离网闸采用什么样的接口?有几个接口?   安全隔离网闸通常提供2个标准以太网百兆接口。  

(十九)安全隔离网闸如何管理,支持远程管理吗?   安全性高的安全隔离网闸不支持远程管理。   

(二十)安全隔离网闸适用于大规模的部署吗?   安全隔离网闸的安全部署不需对现有网络作调整,同时支持多台冗余   

(二十一)安全隔离网闸适用于什么样的场合?   如果用户的网络上存储着重要的数据、运行着重要的应用,通过防火墙等措施不能提供足够高的安全性保护的情况下,可以考虑使用安全隔离网闸。   

(二十二)安全隔离网闸直接转发IP包吗?   否。安全隔离网闸从不直接或者间接地转发IP包形式的数据。安全隔离网闸的安全性体现在链路层 断开,直接处理应用层数据,对应用层数据进行内容检查和控制,在网络之间交换的数据都是应用层的数据。如果直接转发IP的话,由于单个IP包中一般不包含 完整的应用数据,所以无法进行全面的内容检查和控制,也就无法保证应用层的安全。因此,如果直接转发IP包,则背离了安全隔离网闸的安全性要求,不能称为 安全隔离网闸。

你可能感兴趣的:(职场,休闲,网闸)