修橋策略:業(yè)務(wù)協(xié)議直接通過�����,數(shù)據(jù)不重組,對速度影響小,安全性弱
◆防火墻FW:網(wǎng)絡(luò)層的過濾
◆多重安全網(wǎng)關(guān):從網(wǎng)絡(luò)層到應(yīng)用層的過濾���,多重關(guān)卡策略
渡船策略:業(yè)務(wù)協(xié)議不直接通過,數(shù)據(jù)要重組����,安全性好
◆網(wǎng)閘:協(xié)議落地,安全檢測依賴于現(xiàn)有的安全技術(shù)
◆交換網(wǎng)絡(luò):建立交換緩沖區(qū)����,采用防護(hù)、監(jiān)控與審計(jì)多方位的安全防護(hù)
人工策略:不做物理連接�,人工用移動介質(zhì)交換數(shù)據(jù),安全性最好�。
二、數(shù)據(jù)交換技術(shù)
1��、防火墻
防火墻是最常用的網(wǎng)絡(luò)隔離手段�,主要是通過網(wǎng)絡(luò)的路由控制,也就是訪問控制列表(ACL)技術(shù)�,網(wǎng)絡(luò)是一種包交換技術(shù),數(shù)據(jù)包是通過路由交換到達(dá)目的地的�,所以控制了路由,就能控制通訊的線路�����,控制了數(shù)據(jù)包的流向����,早期的網(wǎng)絡(luò)安全控制方面基本上是防火墻。國內(nèi)影響較大的廠商有天融信���、啟明星辰��、聯(lián)想網(wǎng)御等���。
但是����,防火墻有一個很顯著的缺點(diǎn):就是防火墻只能做網(wǎng)絡(luò)四層以下的控制���,對于應(yīng)用層內(nèi)的病毒���、蠕蟲都沒有辦法。對于安全要求初級的隔離是可以的��,但對于需要深層次的網(wǎng)絡(luò)隔離就顯得不足了�。
值得一提的是防火墻中的NAT技術(shù),地址翻譯可以隱藏內(nèi)網(wǎng)的IP地址�,很多人把它當(dāng)作一種安全的防護(hù),認(rèn)為沒有路由就是足夠安全的����。地址翻譯其實(shí)是代理服務(wù)器技術(shù)的一種,不讓業(yè)務(wù)訪問直接通過是在安全上前進(jìn)了一步����,但目前應(yīng)用層的繞過NAT技術(shù)很普遍,隱藏地址只是相對的。目前很多攻擊技術(shù)是針對防火墻的����,尤其防火墻對于應(yīng)用層沒有控制,方便了木馬的進(jìn)入��,進(jìn)入到內(nèi)網(wǎng)的木馬看到的是內(nèi)網(wǎng)地址���,直接報告給外網(wǎng)的攻擊者,NAT的安全作用就不大了��。
2����、多重安全網(wǎng)關(guān)(也稱新一代防火墻)
防火墻是在"橋"上架設(shè)的一道關(guān)卡,只能做到類似"護(hù)照"的檢查��,多重安全網(wǎng)關(guān)的方法就是架設(shè)多道關(guān)卡�����,有檢查行李的���、有檢查人的��。多重安全網(wǎng)關(guān)也有一個統(tǒng)一的名字:UTM(統(tǒng)一威脅管理)����。設(shè)計(jì)成一個設(shè)備,還是多個設(shè)備只是設(shè)備本身處理能力的不同�����,重要的是進(jìn)行從網(wǎng)絡(luò)層到應(yīng)用層的全面檢查���。國內(nèi)推出UTM的廠家很多��,如天融信���、啟明星辰等。
多重安全網(wǎng)關(guān)的檢查分幾個層次:
FW:網(wǎng)絡(luò)層的ACL
IPS:防入侵行為
AV:防病毒入侵
可擴(kuò)充功能:自身防DOS攻擊�、內(nèi)容過濾、流量整形…
防火墻與多重安全網(wǎng)關(guān)都是"架橋"的策略���,主要是采用安全檢查的方式��,對應(yīng)用的協(xié)議不做更改����,所以速度快,流量大�����,可以過"汽車"業(yè)務(wù)�,從客戶應(yīng)用上來看,沒有不同�。
3、網(wǎng)閘
網(wǎng)閘的設(shè)計(jì)是"代理+擺渡"����。不在河上架橋���,可以設(shè)擺渡船���,擺渡船不直接連接兩岸,安全性當(dāng)然要比橋好�����,即使是攻擊�,也不可能一下就進(jìn)入,在船上總要受到管理者的各種控制�����。另外,網(wǎng)閘的功能有代理�,這個代理不只是協(xié)議代理,而是數(shù)據(jù)的"拆卸"�����,把數(shù)據(jù)還原成原始的面貌��,拆除各種通訊協(xié)議添加的"包頭包尾"���,很多攻擊是通過對數(shù)據(jù)的拆裝來隱藏自己的�,沒有了這些"通訊外衣"�,攻擊者就很難藏身了。
網(wǎng)閘的安全理念是:
網(wǎng)絡(luò)隔離—"過河用船不用橋":用"擺渡方式"來隔離網(wǎng)絡(luò)
協(xié)議隔離—"禁止采用集裝箱運(yùn)輸":通訊協(xié)議落地����,用專用協(xié)議或存儲等方式阻斷通訊協(xié)議的連接,用代理方式支持上層業(yè)務(wù)
按國家安全要求是需要涉密網(wǎng)絡(luò)與非涉密網(wǎng)絡(luò)互聯(lián)的時候���,要采用網(wǎng)閘隔離���,若非涉密網(wǎng)絡(luò)與互聯(lián)網(wǎng)連通時�,采用單向網(wǎng)閘�����,若非涉密網(wǎng)絡(luò)與互聯(lián)網(wǎng)不連通時�,采用雙向網(wǎng)閘。
4��、交換網(wǎng)絡(luò)
交換網(wǎng)絡(luò)的模型來源于銀行系統(tǒng)的Clark-Wilson模型�����,主要是通過業(yè)務(wù)代理與雙人審計(jì)的思路保護(hù)數(shù)據(jù)的完整性�����。交換網(wǎng)絡(luò)是在兩個隔離的網(wǎng)絡(luò)之間建立一個數(shù)據(jù)交換區(qū)域�����,負(fù)責(zé)業(yè)務(wù)數(shù)據(jù)交換(單向或雙向)��。交換網(wǎng)絡(luò)的兩端可以采用多重網(wǎng)關(guān)���,也可以采用網(wǎng)閘�。在交換網(wǎng)絡(luò)內(nèi)部采用監(jiān)控���、審計(jì)等安全技術(shù)����,整體上形成一個立體的交換網(wǎng)安全防護(hù)體系����。
交換網(wǎng)絡(luò)的核心也是業(yè)務(wù)代理,客戶業(yè)務(wù)要經(jīng)過接入緩沖區(qū)的申請代理��,到業(yè)務(wù)緩沖區(qū)的業(yè)務(wù)代理����,才能進(jìn)入生產(chǎn)網(wǎng)絡(luò)。
網(wǎng)閘與交換網(wǎng)絡(luò)技術(shù)都是采用渡船策略�����,延長數(shù)據(jù)通訊"里程"��,增加安全保障措施���。
三��、數(shù)據(jù)交換技術(shù)的比較
不同的業(yè)務(wù)網(wǎng)絡(luò)根據(jù)自己的安全需求�,選擇不同的數(shù)據(jù)交換技術(shù),主要是看數(shù)據(jù)交換的量大小��、實(shí)時性要求��、業(yè)務(wù)服務(wù)方式的要求���。
