本文目录一览:
网闸、防火墙和防毒墙各有什么作用?为什么在同一个网络里使用呢?
楼上讲的全是软件,在企业网络环境中这些软件防火墙没什么意义。
首先,网闸、防火墙在企业网络中是以硬件形式的,防毒墙则大多是软件形式,当然也有比如蓝芯硬件防毒产品。
网闸:用于实现内外网隔离,在能够访问内网的情况下不能访问外网,在能够访问外网的情况下不能访问内网。通常用于对于保密安全级别比较高的环境,例如:政府、金融行业。
防火墙:通常放置在企业网络连接外网的位置,在硬件防火墙上可以做很多策略,来阻挡进出的网络流量。有些品牌的防火墙,可以集成入侵检测、入侵防御等功能。它和路由器交换机一样已经是企业网络最常见的设备。
防毒墙:传统的网络防火墙就像一扇门,只有打开和关闭两种状态,而无法实时对网络状况进行监测,它只能通过阻止IP来实现对病毒以及黑客的防御。防毒墙作用顾名思议,用来弥补防火墙的不足。
综合来看,三种设备作用各不相同,配合使用起到整体安全保护作用。
谁能详细的描述一下网闸的工作流程?
题:
网闸的工作原理是什么?
解答:
网闸的基本原理是:切断网络之间的通用协议连接;将数据包进行分解或重组为静态数据;对静态数据进行安全审查,包括网络协议检查和代码扫描等;确认后的安全数据流入内部单元;内部用户通过严格的身份认证机制获取所需数据。
问题:
什么是网闸?
解答:
网闸是在两个不同安全域之间,通过协议转换的手段,以信息摆渡的方式实现数据交换,且只有被系统明确要求传输的信息才可以通过。其信息流一般为通用应用服务。注:网闸的“闸”字取自于船闸的意思,在信息摆渡的过程中内外网(上下游)从未发生物理连接,所以网闸产品必须要有至少两套主机和一个物理隔离部件才可完成物理隔离任务。现在市场上出现的的单主机网闸或单主机中有两个及多个处理引擎的过滤产品不是真正的网闸产品,不符合物理隔离标准。其只是一个包过滤的安全产品,类似防火墙。注:单主机网闸多以单向网闸来掩人耳目。
问题:
隔离网闸是什么设备?
解答:
隔离网闸是一种由专用硬件在电路上切断网络之间的链路层连接,能够在物理隔离的网络之间进行适度的安全数据交换的网络安全设备。
问题:
隔离网闸是硬件设备还是软件设备?
解答:
隔离网闸是由软件和硬件组成的设备。
问题:
隔离网闸硬件设备是由几部分组成?
解答:
隔离网闸的硬件设备由三部分组成:外部处理单元、内部处理单元、隔离硬件。
问题:
单向传输用单主机网闸可以吗?
解答:
隔离网闸的组成必须是由物理的三部分组成,所以单主机(包括多处理器)的安全产品并不是网闸产品,无法完成物理隔离任务。其所谓的单向传输只是基于数据包的过滤,类似防火墙产品,并不是物理隔离产品。
问题:
为什么要使用隔离网闸?
解答:
当用户的网络需要保证高强度的安全,同时又与其它不信任网络进行信息交换的情况下,如果采用物理隔离卡,信息交换的需求将无法满足;如果采用防火墙,则无法防止内部信息泄漏和外部病毒、黑客程序的渗入,安全性无法保证。在这种情况下,隔离网闸能够同时满足这两个要求,又避免了物理隔离卡和防火墙的不足之处,是物理隔离网络之间数据交换的最佳选择。
问题:
政府机关上网计算机为什么必须内外网物理隔离?
解答:
在政府建立内部网的工程中,安全保密问题一直是工程建设的重点内容,这是因为内部网中的信息常常是涉密或内部信息。为此,国家明确规定涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行物理隔离,以确保国家秘密的安全。
问题:
为什么说隔离网闸能够防止未知和已知木马攻击?
解答:
通常见到的木马大部分是基于TCP的,木马的客户端和服务器端需要建立连接,而隔离网闸从原理实现上就切断所有的TCP连接,包括UDP、ICMP等其他各种协议,使各种木马无法通过隔离网闸进行通讯。从而可以防止未知和已知的木马攻击。
问题:
隔离网闸与防火墙有何不同?
解答:
主要有以下几点不同:
A、隔离网闸采用双主机系统,内端机与需要保护的内部网络连接,外端机与外网连接。这种双系统模式彻底将内网保护起来,即使外网被黑客攻击,甚至瘫痪,也无法对内网造成伤害。防火墙是单主机系统。
B、隔离网闸采用自身定义的私有通讯协议,避免了通用协议存在的漏洞。防火墙采用通用通讯协议即TCP/IP协议。
C、隔离网闸采用专用硬件控制技术保证内外网之间没有实时连接。而防火墙必须保证实时连接。
D、隔离网闸对外网的任何响应都保证是内网合法用户发出的请求应答,即被动响应,而防火墙则不会对外网响应进行判断,也即主动响应。这样,网闸就避免了木马和黑客的攻击。
问题:
隔离网闸能取代防火墙吗?
解答:
无论从功能还是实现原理上讲,隔离网闸和防火墙是完全不同的两个产品,防火墙是保证网络层安全的边界安全工具(如通常的非军事化区),而隔离网闸重点是保护内部网络的安全。因此两种产品由于定位的不同,因此不能相互取代。
问题:
隔离网闸通常布置在什么位置?
解答:
隔离网闸通常布置在两个安全级别不同的两个网络之间,如信任网络和非信任网络,管理员可以从信任网络一方对安全隔离网闸进行管理。
问题:
隔离网闸是否可以在网络内部使用?
解答:
可以,网络内部安全级别不同的两个网络之间也可以安装隔离网闸进行隔离。
问题:
如果对应网络七层协议,隔离网闸是在哪一层断开?
解答:
如果针对网络七层协议,隔离网闸是在硬件链路层上断开。
问题:
有了防火墙和IDS,还需要隔离网闸吗?
解答:
防火墙是网络层边界检查工具,可以设置规则对内部网络进行安全防护,而IDS一般是对已知攻击行为进行检测,这两种产品的结合可以很好的保护用户的网络,但是从安全原理上来讲,无法对内部网络做更深入的安全防护。隔离网闸重点是保护内部网络,如果用户对内部网络的安全非常在意,那么防火墙和IDS再加上隔离网闸将会形成一个很好的防御体系。
问题:
隔离网闸适用于什么样的场合?
解答:
第1种场合:涉密网与非涉密网之间。
第2种场合:局域网与互联网之间。有些局域网络,特别是政府办公网络,涉及敏感信息,有时需要与互联网在物理上断开,用物理隔离网闸是一个常用的办法。
第3种场合:办公网与业务网之间
由于办公网络与业务网络的信息敏感程度不同,例如,银行的办公网络和银行业务网络就是很典型的信息敏感程度不同的两类网络。为了提高工作效率,办公网络有时需要与业务网络交换信息。为解决业务网络的安全,比较好的办法就是在办公网与业务网之间使用物理隔离网闸,实现两类网络的物理隔离。
第4种场合:电子政务的内网与专网之间
在电子政务系统建设中,要求政府内网与外网之间用逻辑隔离,在政府专网与内网之间用物理隔离。现常用的方法是用物理隔离网闸来实现。
第5种场合:业务网与互联网之间
电子商务网络一边连接着业务网络服务器,一边通过互联网连接着广大民众。为了保障业务网络服务器的安全,在业务网络与互联网之间应实现物理隔离。
网闸的意义
为什么要使用安全隔离网闸呢?其意义是:
(一)当用户的网络需要保证高强度的安全,同时又与其它不信任网络进行信息交换的情况下,如果采用物理隔离卡,用户必须使用开关在内外网之间来回切换,不仅管理起来非常麻烦,使用起来也非常不方便,如果采用防火墙,由于防火墙自身的安全很难保证,所以防火墙也无法防止内部信息泄漏和外部病毒、黑客程序的渗入,安全性无法保证。在这种情况下,安全隔离网闸能够同时满足这两个要求,弥补了物理隔离卡和防火墙的不足之处,是最好的选择。
(二)对网络地隔离是通过网闸隔离硬件实现两个网络在链路层断开,但是为了交换数据,通过设计的隔离硬件在两个网络对应的上进行切换,通过对硬件上的存储芯片的读写,完成数据的交换。
(三)安装了相应的应用模块之后,安全隔离网闸可以在保证安全的前提下,使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据,并可以在网络之间交换定制的文件。 安全隔离网闸的主要性能指标有那些呢? 其性能指标包括:
系统数据交换速率:120Mbps
硬件切换时间:5ms 1.有哪些功能模块 :安全隔离闸门的功能模块有:
安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证
2.防止未知和已知木马攻击:
为什么说安全隔离网闸能够防止未知和已知木马攻击?
通常见到的木马大部分是基于TCP的,木马的客户端和服务器端需要建立连接,而安全隔离网闸由于使用了自定义的私有协议(不同于通用协议)。使得支持传统网络结构的所有协议均失效,从原理实现上就切断所有的TCP连接,包括UDP、ICMP等其他各种协议,使各种木马无法通过安全隔离网闸进行通讯。从而可以防止未知和已知的木马攻击。
3.具有防病毒措施:
安全隔离网闸具有防病毒措施吗?
作为提供数据交换的隔离设备,安全隔离网闸上内嵌病毒查杀的功能模块,可以对交换的数据进行病毒检查。
网闸的其它问题
(一)安全隔离网闸通常布置在什么位置?
安全隔离网闸通常布置在两个安全级别不同的两个网络之间,如信任网络和非信任网络,管理员可以从信任网络一方对安全隔离网闸进行管理。
(二)安全隔离网闸的部署是否需要对网络架构作调整?
采用透明方式的网闸只需要在两个网络各提供一个有效的IP地址即可。采用路由模式的网闸要求一定的改动。有的网闸支持两种连接方式。有的只支持一种。只支持路由模式的网闸就会要求对网络结构有改动。
(三)安全隔离网闸是否可以在网络内部使用?
可以,网络内部安全级别不同的两个网络之间也可以安装安全隔离网闸进行隔离。
(四)安全隔离网闸支持交互式访问吗?
鉴于安全隔离网闸保护的主要是内部网络,一旦支持交互式访问如支持建立会话,那么无法防止信息的泄漏以及内部系统遭受攻击,因此,安全隔离网闸不支持交互式访问.
(五)支持反向代理的安全隔离网闸安全吗?
支持反向代理意味着可以从非信任网络间接授权访问信任网络上的资源,一旦代理软件在安全检查或者软件实现上出现问题,那么很有可能会被黑客利用并非法存取内部资源。因此从安全性上讲,支持反向代理的安全隔离网闸不安全。
(六)如果对应网络七层协议,安全隔离网闸是在哪一层断开?
如果针对网络七层协议,安全隔离网闸是在硬件链路层上断开。
(七)安全隔离网闸支持百兆网络吗?千兆网络如何支持?
安全隔离网闸支持百兆网络,目前国内最快的可以达到120MBps。对于千兆网络,可以采用多台安全隔离网闸进行负载均衡。
(八)安全隔离网闸自身的安全性如何?
安全隔离网闸双处理单元上都采用了安全加固的操作系统,包括强制访问控制、基于内核的入侵检测等安全功能,并且该系统得到国家权威部门的认证。
(九)安全隔离网闸有身份认证机制吗?
有。安全隔离网闸在用于邮件转发和网页浏览的时候,对用户进行用户名/口令、证书认证等多种形式的身份认证。
(十)有了防火墙和IDS,还需要安全隔离网闸吗?
防火墙是网络层边界检查工具,可以设置规则对内部网络进行安全防护,而IDS一般是对已知攻击行为进行检测,这两种产品的结合可以很好的保护用户的网络,但是从安全原理上来讲,无法对内部网络做更深入的安全防护。安全隔离网闸重点是保护内部网络,如果用户对内部网络的安全非常在意,那么防火墙和IDS再加上安全隔离网闸将会形成一个很好的防御体系。
(十一)受安全隔离网闸保护的内部网络需要不断升级吗?
安全隔离网闸首先在链路层断开,彻底切断网络连接,并仅允许仅有的四种指定静态数据进行交换,对外不接受请求,并且在内部用户访问外部网络时采用静态页面返回(过滤ActiveX、Java、cookie等),并且木马无法通过安全隔离网闸进行通讯,因此内部网络针对外部的攻击根本无需升级。
(十二)为什么受防火墙保护的内部网络需要不断升级?
防火墙是在网络层对数据包作安全检查,并不切断网络连接,很多案例证明无论包过滤还是代理防火墙都很难防止木马病毒的入侵内部网络,Nimda绕过很多防火墙的检查并在全世界肆虐就是一个很好的例证,因此需要用户的内部网络不断升级自己的客户端如浏览器。
(十三)安全隔离网闸能否防止内部无意信息泄漏?
由于安全隔离网闸在数据交换时采用了证书机制,对所有的信息进行证书验证,因此对于那些病毒乱发邮件所造成的无意信息泄漏起到很好的防范作用。
(十四)使用安全隔离网闸时需要安装客户端吗?
有的网闸管理员使用通用的浏览器即可对其进行管理配置,使用安全隔离网闸时不需安装其他客户端。 但是这种方式具有极大的安全风险,因为远程连接会引入安全威胁,而这种对于控制口的攻击更为严重。所以安全性要求高的网闸,不允许通过远程进行配置,只允许通过专有的配置程序,也就是客户端通过串口进行配置。一些重要部门均不允许对网闸具有远程配置的功能。
(十五)安全隔离网闸接受外来请求吗?
不接受,安全隔离网闸上的数据交换全部由管理员来进行配置,其所有的请求都由安全隔离网闸主动发起,不接受外来请求,不提供任何系统服务。 如果接受远程配置,就会接受外来的请求,造成严重的安全问题。
(十六)安全隔离网闸是否支持所连接的两个网络的网段地址相同?
支持。
(十七)安全隔离网闸的主机系统是否经过安全加固?
由于从网络架构上来讲,安全隔离网闸是处在网关的位置,因此其自身安全性非常重要,两个处理单元 加固包括硬件加固、操作系统加固以及协议的加固。详情见扩展阅读3.
(十八)安全隔离网闸采用什么样的接口?有几个接口?
安全隔离网闸通常提供2个标准以太网百兆接口。
(十九)安全隔离网闸如何管理,支持远程管理吗?
安全性高的安全隔离网闸不支持远程管理。
(二十)安全隔离网闸适用于大规模的部署吗?
安全隔离网闸的安全部署不需对现有网络作调整,同时支持多台冗余
(二十一)安全隔离网闸适用于什么样的场合?
如果用户的网络上存储着重要的数据、运行着重要的应用,通过防火墙等措施不能提供足够高的安全性保护的情况下,可以考虑使用安全隔离网闸。
(二十二)安全隔离网闸直接转发IP包吗?
否。安全隔离网闸从不直接或者间接地转发IP包形式的数据。安全隔离网闸的安全性体现在链路层断开,直接处理应用层数据,对应用层数据进行内容检查和控制,在网络之间交换的数据都是应用层的数据。如果直接转发IP的话,由于单个IP包中一般不包含完整的应用数据,所以无法进行全面的内容检查和控制,也就无法保证应用层的安全。因此,如果直接转发IP包,则背离了安全隔离网闸的安全性要求,不能称为安全隔离网闸。