1、防火墻
防火墻是最常用的網(wǎng)�(luò)隔離手段���,主要是通過�(wǎng)�(luò)的路由控�����,也就是訪問控制列表(ACL)技�(shù)��,網(wǎng)�(luò)是一種包交換技�(shù)����,數(shù)�(jù)包是通過路由交換到達(dá)目的地的,所以控制了路由�,就能控制通訊的線路,控制了數(shù)�(jù)包的流向����,早期的�(wǎng)�(luò)安全控制方面基本上是防火墻。國�(nèi)影響較大的廠商有天融���、啟明星���、聯(lián)想網(wǎng)御等�
但是�,防火墻有一個很顯著的缺�(diǎn):就是防火墻只能做網(wǎng)�(luò)四層以下的控制,對于�(yīng)用層�(nèi)�*���、蠕蟲都沒有辦法��。對于安全要求初級的隔離是可以的����,但對于需要深層次的網(wǎng)�(luò)隔離就顯得不足了���
值得一提的是防火墻中的NAT技�(shù)�����,地址翻譯可以隱藏�(nèi)�(wǎng)的IP地址�,很多人把它�(dāng)作一種安全的防護(hù)����,認(rèn)為沒有路由就是足夠安全的。地址翻譯其實(shí)是代理服�(wù)器技�(shù)的一������,不讓業(yè)�(wù)訪問直接通過是在安全上前�(jìn)了一步,但目前應(yīng)用層的繞過NAT技�(shù)很普��,隱藏地址只是相對的。目前很多攻擊技�(shù)是針對防火墻��,尤其防火墻對于�(yīng)用層沒有控制,方便了木馬的�(jìn)����,�(jìn)入到�(nèi)�(wǎng)的木馬看到的是內(nèi)�(wǎng)地址���,直接報告給外網(wǎng)的攻擊者,NAT的安全作用就不大����
2����、多重安全網(wǎng)�(guān)(也稱新一代防火墻)
防火墻是�"�"上架�(shè)的一道關(guān)卡,只能做到類似"�(hù)�"的檢�����,多重安全網(wǎng)�(guān)的方法就是架�(shè)多道�(guān)卡,有檢查行李的��、有檢查人的����。多重安全網(wǎng)�(guān)也有一個統(tǒng)一的名字:UTM(�(tǒng)一威脅管理)�����。設(shè)計成一個設(shè)���,還是多個設(shè)備只是設(shè)備本身處理能力的不同��,重要的是�(jìn)行從�(wǎng)�(luò)層到�(yīng)用層的全面檢�����。國�(nèi)推出UTM的廠家很����,如天融��、啟明星辰等���
多重安全�(wǎng)�(guān)的檢查分幾個層次:
FW:網(wǎng)�(luò)層的ACL
IPS:防入侵行為
AV:防*入侵
可擴(kuò)充功能:自身防DOS攻擊��、內(nèi)容過���、流量整�...
防火墻與多重安全�(wǎng)�(guān)都是"架橋"的策���,主要是采用安全檢查的方�����,對�(yīng)用的�(xié)議不做更改,所以速度���,流量大�,可以過"汽車"�(yè)�(wù),從客戶�(yīng)用上來看����,沒有不同�
3��、網(wǎng)�
�(wǎng)閘的�(shè)計是"代理+擺渡"����。不在河上架橋,可以�(shè)擺渡���,擺渡船不直接連接兩岸����,安全性當(dāng)然要比橋好,即使是攻�����,也不可能一下就�(jìn)入,在船上總要受到管理者的各種控制��。另外,�(wǎng)閘的功能有代������,這個代理不只是�(xié)議代���,而是�(shù)�(jù)�"拆卸"����,把�(shù)�(jù)還原成原始的面貌,拆除各種通訊�(xié)議添加的"包頭包尾"���,很多攻擊是通過對數(shù)�(jù)的拆裝來隱藏自己��,沒有了這些"通訊外衣"���,攻擊者就很難藏身������
�(wǎng)閘的安全理念是:
�(wǎng)�(luò)隔離---"過河用船不用�":用"擺渡方式"來隔離網(wǎng)�(luò)
�(xié)議隔�---"禁止采用集裝箱運(yùn)�":通訊�(xié)議落��,用專用�(xié)議或存儲等方式阻斷通訊�(xié)議的連接����,用代理方式支持上層�(yè)�(wù)
按國家安全要求是需要涉密網(wǎng)�(luò)與非涉密�(wǎng)�(luò)互聯(lián)的時�����,要采用�(wǎng)閘隔�����,若非涉密網(wǎng)�(luò)與互�(lián)�(wǎng)連通時,采用單向網(wǎng)������,若非涉密網(wǎng)�(luò)與互�(lián)�(wǎng)不連通時����,采用雙向網(wǎng)閘�
4���、交換網(wǎng)�(luò)
交換�(wǎng)�(luò)的模型來源于銀行系�(tǒng)的Clark-WilsON模型�,主要是通過�(yè)�(wù)代理與雙人審計的思路保護(hù)�(shù)�(jù)的完整�����。交換網(wǎng)�(luò)是在兩個隔離的�(wǎng)�(luò)之間建立一個數(shù)�(jù)交換區(qū)域,�(fù)�(zé)�(yè)�(wù)�(shù)�(jù)交換(單向或雙�)��。交換網(wǎng)�(luò)的兩端可以采用多重網(wǎng)�(guān)����,也可以采用�(wǎng)��。在交換�(wǎng)�(luò)�(nèi)部采用監(jiān)����、審計等安全技�(shù)�,整體上形成一個立體的交換�(wǎng)安全防護(hù)體系����
交換�(wǎng)�(luò)的核心也是業(yè)�(wù)代理�,客戶業(yè)�(wù)要經(jīng)過接入緩沖區(qū)的申請代�����,到�(yè)�(wù)緩沖區(qū)的業(yè)�(wù)代理,才能�(jìn)入生�(chǎn)�(wǎng)�(luò)����
�(wǎng)閘與交換�(wǎng)�(luò)技�(shù)都是采用渡船策略���,延長數(shù)�(jù)通訊"里程",增加安全保障措����
