一、前言
隨著Internet的飛速發(fā)展以及我國政府信息化為代表的電子政務(wù)的蓬勃發(fā)展,寬帶網(wǎng)已經(jīng)得到普及。業(yè)界電子商務(wù)的開展,海量的網(wǎng)絡(luò)信息,[J趨豐富的網(wǎng)絡(luò)功能使得“網(wǎng)上辦公”條件已經(jīng)成熟。辦公信息化帶來了辦公效率質(zhì)的飛躍,但辦公信息化的安全,也極大地引起人們的關(guān)注和思考,相應(yīng)的網(wǎng)絡(luò)隔離技術(shù)與防火墻技術(shù)的應(yīng)用研究引起了人們的高度重視。
二、網(wǎng)絡(luò)隔離技術(shù)簡介
(一)網(wǎng)絡(luò)隔離技術(shù)的發(fā)展歷程
網(wǎng)絡(luò)隔離,英文名為Network Isolation,主要是指把兩個或兩個以上可路由的網(wǎng)絡(luò)(如:TCP/IP)通過不可路由的協(xié)議(如:IPX/SPX、NetBEUI等)進(jìn)行數(shù)據(jù)交換而達(dá)到隔離目的。由于其原理主要是采用了不同的協(xié)議,所以通常也叫協(xié)議隔離(ProtocolIsolation)。
(二)網(wǎng)絡(luò)隔離技術(shù)原理
網(wǎng)絡(luò)隔離產(chǎn)品采用了網(wǎng)絡(luò)隔離技術(shù),是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個獨立主機(jī)系統(tǒng)的信息安全設(shè)備。由于兩個獨立主機(jī)系統(tǒng)之問,不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議,不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā),只有數(shù)據(jù)文件的無協(xié)議“擺渡”,且對固態(tài)存儲介質(zhì)只有“讀”和“寫”兩個命令。所以,網(wǎng)絡(luò)隔離產(chǎn)品從物理上隔離,阻斷了具有潛在攻擊可能的一切連接,使“黑客”無法入侵、無法攻擊、無法破壞,實現(xiàn)了真正的安全。
(三)網(wǎng)絡(luò)隔離設(shè)備的實現(xiàn)機(jī)制
網(wǎng)絡(luò)隔離設(shè)備由內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元和專用隔離硬件組成。網(wǎng)絡(luò)隔離硬件包括一個獨立的固態(tài)存儲單元和一個獨立的調(diào)度和控制單元,內(nèi)網(wǎng)處理單元和外網(wǎng)處理單元在同一時刻最多只有一個同固態(tài)存儲單元建立非TCP/IP協(xié)議的數(shù)據(jù)連接,并通過私有協(xié)議進(jìn)行數(shù)據(jù)的交換。
三、防火墻的體系架構(gòu)介紹
目前的防火墻大都依靠于對數(shù)據(jù)包的信息進(jìn)行檢查,檢查的重點是網(wǎng)絡(luò)協(xié)議的信息。防火墻主要查看IP包中的IP包頭、TCP包頭、應(yīng)用層包頭以及數(shù)據(jù)加載的包頭,要了解防火墻的具體架構(gòu),就需要分析檢查它是哪一層協(xié)議的信息。根據(jù)OSI模型,防火墻架構(gòu)包含以下幾種:包過濾防火墻,電路網(wǎng)關(guān)防火墻,應(yīng)用網(wǎng)關(guān)防火墻,狀態(tài)檢測包過濾防火墻和切換代理防火墻。防火墻是建立在內(nèi)外網(wǎng)邊界上的過濾封鎖機(jī)制,內(nèi)部網(wǎng)絡(luò)被認(rèn)為是安全和可信賴的,而外部網(wǎng)絡(luò)被認(rèn)為是不安全和不可信賴的。防火墻的作用是防止不希望的、未經(jīng)授權(quán)的通信進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò)。防火墻對網(wǎng)絡(luò)安全的保護(hù)程度,很大程度上取決于防火墻的體系架構(gòu)。隨著網(wǎng)絡(luò)應(yīng)用的增加,對網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。一些防火墻制造商開發(fā)了基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度的角度看來,基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案,它需要在很大程度上依賴于軟件的性能,但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務(wù)的引擎,從而減輕了CPU的負(fù)擔(dān),該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。
四、防火墻存在的安全漏洞
防火墻設(shè)備側(cè)重丁二網(wǎng)絡(luò)層到應(yīng)用層的策略隔離,操作系統(tǒng)、內(nèi)部系統(tǒng)的漏洞、通用協(xié)議的缺陷等都成為不安哞:的潛在因素。首先由防火墻的體系架構(gòu)可知,防火墻可能會產(chǎn)生網(wǎng)絡(luò)層短路,從而導(dǎo)致偽造合法數(shù)據(jù)包帶來的危害:防火墻還難以抵御數(shù)據(jù)驅(qū)動式攻擊,即大量合法的數(shù)據(jù)包將導(dǎo)致網(wǎng)絡(luò)阻塞而使止常通信癱瘓。其次,防火墻很難阻止由通用協(xié)議本身漏洞發(fā)起的入侵。第三,防火墻系統(tǒng)本身的缺陷也是影響內(nèi)部網(wǎng)絡(luò)安全的重要因素,當(dāng)防火墻土機(jī)被控制后,內(nèi)部受保護(hù)網(wǎng)絡(luò)就會暴露無疑。第四,要使防火墻發(fā)揮有效的安全性,需要正確、合理地配置防火墻相關(guān)的安全策略,而配置的復(fù)雜程度不僅帶來繁瑣的工作量,同時也增加了配置不當(dāng)帶來的安全隱患。
五、安全性分析比較
(一)指導(dǎo)思想不同
1.防火墻的思路是在保障互聯(lián)互通的前提下,盡可能安全;
2.網(wǎng)絡(luò)隔離技術(shù)的思路是在保證必須安全的前提下,盡可能互聯(lián)互通。
(二)體系架構(gòu)不同
網(wǎng)絡(luò)隔離產(chǎn)品一般為雙機(jī)或三機(jī)系統(tǒng),而防火墻由一臺處理機(jī)組成,為單機(jī)系統(tǒng)。而網(wǎng)絡(luò)隔離設(shè)備實現(xiàn)了0SI模型七層的斷開和應(yīng)用層內(nèi)容的檢查機(jī)制,因而不會產(chǎn)生網(wǎng)絡(luò)層短路,消除了基于網(wǎng)絡(luò)協(xié)議的攻擊。
(三)安全規(guī)則配置的復(fù)雜程度不同
防火墻主要依據(jù)網(wǎng)絡(luò)治理工程師配置的規(guī)則進(jìn)行安全檢查,其安全性的高低與規(guī)則配置情況密切相關(guān)。規(guī)則配置十分復(fù)雜,規(guī)則最終所起的作用不僅與每條規(guī)則有關(guān),而且與每條規(guī)則的先后順序、規(guī)則之問的相關(guān)性都有很大關(guān)系。網(wǎng)絡(luò)治理工程師必須仔細(xì)檢查每條規(guī)則,以保證其結(jié)果是其預(yù)期的結(jié)果。從另一個方面講,防火墻的配置要求網(wǎng)絡(luò)治理上程師有較高的網(wǎng)絡(luò)知識和技術(shù)水平。防火墻只是一個被動的安全策略執(zhí)行設(shè)備,防火墻不能防止策略配置不當(dāng)或錯誤配置引起的安全威脅,規(guī)則配置錯誤將造成不安全通道打開。而網(wǎng)絡(luò)隔離設(shè)備無需進(jìn)行復(fù)雜的規(guī)則配置,只需設(shè)定一些內(nèi)外網(wǎng)訪問政策。網(wǎng)絡(luò)隔離設(shè)備儀答應(yīng)定制的信息進(jìn)行交換,即使出現(xiàn)錯誤,也至多足數(shù)據(jù)不再答應(yīng)傳輸,而不會造成重大安全事故。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:網(wǎng)絡(luò)隔離和防火墻技術(shù)的比較研究
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112152618.html