安全隔离与信息交换系统与防火墙的区别
- 格式:doc
- 大小:26.00 KB
- 文档页数:1
文档推荐
-
TopRules安全隔离与信息交换系统(客户版)页数:25
-
产品名称安全隔离与信息交换系统页数:3
-
安全隔离与信息交换系统技术说明书页数:21
-
安全隔离与信息交换系统与防火墙的区别页数:1
下载文档原格式
合集下载
网络安全设备之间的区别
网闸、防火墙与堡垒机1. 网闸网闸是一个缩写,网闸的全称是安全隔离与信息交换系统,是用一种专用的隔离芯片在电路上切断内外网连接的一种设备,并能够在网络间进行安全适度的应用数据交换。
网闸的主要作用:安全隔离、信息交换工作原理:这网闸有两种主流架构一种是2主板+1专用芯片在一个2U的机箱里放着两块主板,分别运行着内外网两套系统,用专用的芯片进行摆渡交换。
另一种是3主板,顾名思义有3个主板,分别运行了3个操作系统。
举例说明:船要通过网闸时,并不能与内网直接连通,因为网络被网闸从电路上隔离了。
当摆渡芯片连接到外网单元,上游闸门打开数据写到芯片上。
数据写入摆渡芯片后关闭外网闸门。
此时摆渡芯片在连接到内网单元,重新封装数据包通过。
通过以上演示,您会发现内外网之间没有直接联通过,网闸就是通过这种方式实现隔离和交换的。
2. 防火墙防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
其主要功能是作为网络安全屏障、强化网络安全策略、进行监控审计和日志记录、防止内部信息外泄等。
关键技术:包过滤技术、加密技术、防病毒技术、代理服务器。
部署方式:1)桥模式:工作在桥模式下的防火墙没有IP地址,当对网络进行扩容时无需对网络地址进行重新规划,且牺牲了路由、VPN等功能。
2)网关模式:适用于内外网不在同一网段的情况,防火墙设置网关地址实现路由器的功能,为不同网段进行路由转发。
网关模式相比桥模式具备更高的安全性,在进行访问控制的同时实现了安全隔离,具备了一定的私密性。
3)NAT地址翻译技术由防火墙对内部网络的IP地址进行地址翻译,使用防火墙的IP地址替换内部网络的源地址向外部网络发送数据;当外部网络的响应数据流量返回到防火墙后,防火墙再将目的地址替换为内部网络的源地址。
NAT 模式能够实现外部网络不能直接看到内部网络的IP地址,进一步增强了对内部网络的安全防护。
金电网安网闸
其 他 分 支 机 构
对外信息发布
办公内网2
办公外网
办公内网1
重要服务器
谢谢!
共筑安全 成就你我
电话:(021)38953438 传真:(021)50807080 网址:
只对合法用户开放信息交换的受控通道 用户要使用受控通道时,需提交并验证自己的真实身份 支持多种身份验证方式
网闸隔离示意图
内部 网络
外部 网络
需要资源共享的服务器可以被内外网访问 保证其他非资源共享主机被安全隔离 使两网在安全隔离的前提下进行信息交换和信息共享
网络隔离现状
是国家保密局认定的一类专门的隔离产品 是在吸取了以前多种隔离技术的优点并解决了各自存在的问题的基础上开发的 采用多机系统结构,对内外部网络进行有效安全隔离,阻断网络直接连接,阻断通 用协议贯通
安全隔离与信息交换系统通常都采用基于用户的访问控制
隔离网闸需具备的安全要点
要具有高度的自身安全性 要确保网络之间是隔离的 要保证数据剥离到应用层才交换 要对网间的访问进行严格的控制和检查
与防火墙的主要区别
隔离网闸
政策归类 功能定位
硬件体系
防火墙
防火墙 通信第一,安全第二
单机系统
安全隔离与信息交换 安全第一,通信第二
FTP协议 --对文件访问同步 进行数据检查
提供审计日志
产品特点
强大的数据库访问和同步功能 专用的入侵检测引擎、杀毒引擎、安全协议通道等技术的使用, 可以 使设备发现、过滤并阻塞各种已知、未知的攻击,病毒和蠕虫等恶意代码, 有效保护内部网络系统的安全性 。
2+1架构与三机架构比较
对外信息发布
办公内网2
办公外网
办公内网1
重要服务器
谢谢!
共筑安全 成就你我
电话:(021)38953438 传真:(021)50807080 网址:
只对合法用户开放信息交换的受控通道 用户要使用受控通道时,需提交并验证自己的真实身份 支持多种身份验证方式
网闸隔离示意图
内部 网络
外部 网络
需要资源共享的服务器可以被内外网访问 保证其他非资源共享主机被安全隔离 使两网在安全隔离的前提下进行信息交换和信息共享
网络隔离现状
是国家保密局认定的一类专门的隔离产品 是在吸取了以前多种隔离技术的优点并解决了各自存在的问题的基础上开发的 采用多机系统结构,对内外部网络进行有效安全隔离,阻断网络直接连接,阻断通 用协议贯通
安全隔离与信息交换系统通常都采用基于用户的访问控制
隔离网闸需具备的安全要点
要具有高度的自身安全性 要确保网络之间是隔离的 要保证数据剥离到应用层才交换 要对网间的访问进行严格的控制和检查
与防火墙的主要区别
隔离网闸
政策归类 功能定位
硬件体系
防火墙
防火墙 通信第一,安全第二
单机系统
安全隔离与信息交换 安全第一,通信第二
FTP协议 --对文件访问同步 进行数据检查
提供审计日志
产品特点
强大的数据库访问和同步功能 专用的入侵检测引擎、杀毒引擎、安全协议通道等技术的使用, 可以 使设备发现、过滤并阻塞各种已知、未知的攻击,病毒和蠕虫等恶意代码, 有效保护内部网络系统的安全性 。
2+1架构与三机架构比较
安全隔离与信息交换系统-北京锐安科技有限公司
参数、内容等信息;
GUI方式管理; 安全的用户角色划分; 完善的日志记录及查询审计功能; 强大的扩展能力;
RUN-NetGap100安全隔离与信息交换系统 详细功能指标
类别
业务功 能
子类
技术指标
内外网间不建立TCP/IP 会话
安全隔离与信息交换系统采用双 主机构架,内外网主机间采用专 有安全通道进行纯数据传输,内 外网间无法建立通畅的TCP/IP会 话
RUN-NetGap100安全隔离与信息交换系统 详细功能指标
类别
FTP 控制
子类
技术指标
安全隔离与信息交换系统支持FTP 支持FTP应用 协议,允许用户通过安全隔离与
信息交换系统进行FTP访问。
FTP动态端口
安全隔离与信息交换系统支持主 被动FTP传输,支持动态端口
FTP命令控制
安全隔离与信息交换系统允许用 户控制FTP协议命令
3.1 GUI
4.1 URL过滤
4.2 HTTP过滤
4.3 邮件内容过 滤
4.4 邮件附件过 滤
4.5 病毒检查
4.6 文件类型过 滤
5.1 DDos
说明 人性化图形化管理界面 URL地址过滤 脚本、控件、关键字过滤 主题、 正文关键字过滤
禁止附件、附件内容过滤 支持第三方病毒服务器 过滤指定的文件类型 支持内外网抗DDOS攻击
安全隔离与信息交换系统的内部数据交换率达到 360Mbps,百兆带宽的网络出口的吞吐量为 86Mbps。
安全隔离与信息交换系统建立的最大TCP并发虚 拟连接数不少于15000。
安全隔离与信息交换系统正常情况下数据延迟小 于1毫秒。
工作温度:0 ~ 45 摄氏度 (32 ~ 113 华氏 度) 存储温度:-40 ~ 65 摄氏度 (-40 ~ 149华 氏度) 工作湿度:8 ~ 85 %, 非冷凝 存储湿度:5 ~ 95 %, 非冷凝
GUI方式管理; 安全的用户角色划分; 完善的日志记录及查询审计功能; 强大的扩展能力;
RUN-NetGap100安全隔离与信息交换系统 详细功能指标
类别
业务功 能
子类
技术指标
内外网间不建立TCP/IP 会话
安全隔离与信息交换系统采用双 主机构架,内外网主机间采用专 有安全通道进行纯数据传输,内 外网间无法建立通畅的TCP/IP会 话
RUN-NetGap100安全隔离与信息交换系统 详细功能指标
类别
FTP 控制
子类
技术指标
安全隔离与信息交换系统支持FTP 支持FTP应用 协议,允许用户通过安全隔离与
信息交换系统进行FTP访问。
FTP动态端口
安全隔离与信息交换系统支持主 被动FTP传输,支持动态端口
FTP命令控制
安全隔离与信息交换系统允许用 户控制FTP协议命令
3.1 GUI
4.1 URL过滤
4.2 HTTP过滤
4.3 邮件内容过 滤
4.4 邮件附件过 滤
4.5 病毒检查
4.6 文件类型过 滤
5.1 DDos
说明 人性化图形化管理界面 URL地址过滤 脚本、控件、关键字过滤 主题、 正文关键字过滤
禁止附件、附件内容过滤 支持第三方病毒服务器 过滤指定的文件类型 支持内外网抗DDOS攻击
安全隔离与信息交换系统的内部数据交换率达到 360Mbps,百兆带宽的网络出口的吞吐量为 86Mbps。
安全隔离与信息交换系统建立的最大TCP并发虚 拟连接数不少于15000。
安全隔离与信息交换系统正常情况下数据延迟小 于1毫秒。
工作温度:0 ~ 45 摄氏度 (32 ~ 113 华氏 度) 存储温度:-40 ~ 65 摄氏度 (-40 ~ 149华 氏度) 工作湿度:8 ~ 85 %, 非冷凝 存储湿度:5 ~ 95 %, 非冷凝
CopGap科博安全隔离与信息交换系统技术白皮书解读
科博安全隔离与信息交换系统(CopGap200)技术白皮书中铁信安(北京)信息安全技术有限公司2011年4月目录1.产品研制背景 (4)2.产品介绍 (5)2.1.概述 (5)2.2.体系结构 (5)2.3.功能性能指标 (6)2.3.1.功能指标 (6)2.3.2.性能指标 (7)3.产品功能描述 (9)3.1.信息交换功能 (9)3.1.1.文件交换功能 (9)3.1.2.Web交换功能 (9)3.1.3.数据库交换功能 (10)3.1.4.邮件交换功能 (10)3.1.5.定制应用数据交换 (11)3.2.安全控制功能 (11)3.2.1.访问控制功能 (11)3.2.2.数据内容审查功能 (12)3.2.3.病毒防护功能 (12)3.2.4.文件深度检查功能 (12)3.2.5.入侵检测与防御功能 (13)3.2.6.身份认证功能 (13)3.2.7.虚拟专网(VPN)功能 (13)3.2.8.流量控制功能 (14)3.3.系统监控与审计功能 (14)3.3.1.系统监控功能 (14)3.3.2.日志审计功能 (14)3.3.3.报表管理功能 (15)3.4.高可用性功能 (15)3.4.1.双机热备功能 (15)3.4.2.负载均衡功能 (16)4.产品使用方式 (16)4.1.部署方式 (16)4.2.管理方式 (17)5.产品应用范围 (18)5.1.核心数据库的访问 (18)5.2.核心服务器保护 (19)5.3.内外网络之间的数据同步 (20)1.产品研制背景传统的安全防御体系是以防火墙为核心的防御体系,通过纵深防御、系统联动达到协同保护网络安全的目的。
尽管防火墙在安全防御中作为一种核心的访问控制手段,起到了不可替代的作用,但以防火墙为核心的防御体系已经不能满足网络安全的真正需求。
分析防火墙的发展历程其实一直在追求安全性和系统性能的平衡点。
防火墙工作层次愈低,其性能愈高,安全性就愈差;工作层次愈高,其性能愈差,但安全性愈高。
安全隔离与信息交换系统产品点评
2004・7 计算机安全11Network&Computer Security国保金泰安全隔离与信息交换系统国保金泰安全隔离与信息交换系统是北京国保金泰信息安全技术有限公司送测的隔离产品。
该公司是从事信息系统安全技术产品研发、信息安全系统服务和信息安全系统集成的高新技术企业。
该产品在技术实现上,根据国家对网络管理的相关规定,提出了硬件映射隔离技术(HRITM),并将此技术运用于该隔离交换产品上。
该技术对处于内部网络的网关位置隔离系统,可以截获所有在网络上传输的数据包,并通过解析数据包头来判断信息的流向,进而将数据包头状态在本地保存,并将数据包中不包含连接信息的纯数据部分通过硬件映射隔离技术(HRITM),在内外网间进行纯数据交换,然后根据数据需要重新构造连接信息。
通过上述构造,国保金泰安全隔离与信息交换系统保证了系统之间的安全隔离与交换。
同时,基于HRITM技术的隔离交换卡是连接内端系统和外端系统的唯一数据通道。
在HRITM隔离交换卡上,它提出了芯片级信道控制技术,即通过芯片检测及芯片互锁机制在内端系统和外端系统之间建立起完全隔离的两条数据通道,一条数据通道仅传输内网到外网的数据,另一条数据通道仅传输外网到内网的数据,通过对数据流向的分离达到对信道的完全控制。
安全隔离与信息交换系统产品点评该产品在管理上,采用了专用管理平台,提供了专门的日志审计,审计日志可以基于自主加密、SysLog等方式输出。
同时,还提供了运行日志、告警日志、认证日志、审计日志、操作日志五大类日志信息,并可通过日志审计系统进行类别、用户账号、时间段、地址、告警级别等综合热点查询。
在功能实现上,该产品所具有的功能包括:通过内端系统的包过滤和应用代理及认证模块实现对内网用户请求的认证和管理,并支持合法内网用户进行网页浏览和邮件收发;通过内端系统内容过滤模块对由内网发往外网的邮件进行检查和过滤,防止内部信息非法泄露;通过与硬件卡配合的专用数据传输协议实现数据的交换;通过外端系统的入侵检测模块检查来自外网的攻击;通过外端系统的包过滤防火墙模块防止来自外网的非授权访问;通过防病毒模块检查和阻挡来自外网的病毒;通过日志管理模块动态显示当前数据交换的安全状态,并记录所有网络活动以备审计追踪;支持的通信协议包括:HTTP、HTTPS、FTP、SMTP、POP3、Oracle(TNS)、SQLServer、ODBC、DNS、LDAP以及基于自主协议的TCH专用通信API;同时还提供专用数据交换套件,包括数据库同步套件、邮件同步套件、文件同步套件等。
全省广播电视技术能手竞赛培训(网络安全理论知识)
在保证网络隔离的前提下进行有限 在保证网络通畅访问的同时,进
的信息交换。
行一些安全过滤(IP、端口)。
防火墙与网闸的安全功能区别
面临的威胁 网闸的处理及结果
防火墙的处理及结果
物 理 层 窃 听 、 物理通路的切断使之无法实施
发送信息的进程
7. 应用层
层间的逻辑通信
6. 表示层
每一层执 行功能并 将信息送
往下一层
5. 会话层 4. 传输层 3. 网络层
2. 数据链路层
1. 物理层
接收信息的进程
7. 应用层
6. 表示层
5. 会话层 4. 传输层 3. 网络层
每一层执 行功能并 将信息送
往上一层
2. 数据链路层
1. 物理层
数据流的物理传输
– 了解开放系统互联(OSI)模型的七层网络通信结构及 通信过程,了解每一层的功能
– 了解OSI安全架构的核心内容:基于8类安全机制提供5 类安全服务
ISO/OSI七层模型结构
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
应用层(高) 数据流层
第一层:物理层
• 作用
– 定义物理链路的电气、机械、通信规程 、功能要求等; • 电压,数据速率,最大传输距离, 物理连接器; • 线缆,物理介质;
应用层
传输层 网络互联层 网络接口层
TCP/IP协议
应用协议
应用协议
应用协议
应用协议
应用层
TCP
UDP
传输层
ICMP
IP
IGMP
网络互联层
ARP
硬件接口
RARP
网络接口层
网络接口层
• 主要协议
启明天清安全隔离与信息交换系统
数据库同步模块介绍
数据库同步功能演示
01010010001
PULL
SSL
DB
DB
Client
GAP6000
SSL
PUSH
DB
Client
DB
支持字段级的单向、双向同步
支持数据冲突、及容错处理;
支持完全异构,同构同步结构
支持一对多、多对一、多对多;
支持增量同步、条件同步等10多种同步策略; 支持客户端双机热备、报警功能;
内容
➢天清安全隔离网闸原理与介绍 ➢天清安全隔离网闸功能介绍 ➢GAP6000产品介绍 ➢GAP6000产品案例 ➢单向网闸介绍
13
天清安全隔离网闸原理与介绍
• “2+1”架构:外网主机系统+隔离交换部件+内网主机 系统
可 信 任 网 络
内网主机系统
隔离交换模块
不 可 信 任 网 络
外网主机系统
尽可能安全
互通
硬件结构总结单主:机 防火墙是进行“攻2击+访内1”网问结构控,避制免的一主网机提权后绕开
操作络系统边界单一安OS全工具,而网两来主的闸机隐系患通统过独立隔OS 离,尽来可能保避免OS带
护内网安全,并进行安全数据交换。 协议处理
采用在OSI协议栈的网络 主机系统终止所有协议,隔离模块采用
采用“2+1”架构设计,切断TCP/IP协议通讯,形成网络间的隔离。
14
天清安全隔离网闸原理与介绍
协议分析
内容检查
服务
内
Application
网 主
Presentation
机
Session
系
统
Transport
电力信息安全newPPT课件
.
6
电力监控系统的信息安全特征
(1)安全威胁的差异性。在信息安全分析过程中, 要求对威胁进行识别,电力信息安全需要面对客观 和主观两大类威胁,每种威胁的属性及发生频率都 存在差异。公网上常见的病毒和木马未必是影响电 力监控系统的主要威胁,而误操作、恶意破坏则可 能是需要面对的特有威胁。
.
7
电力监控系统的信息安全特征
第四级:结构化保护级。将前三级的安全保护 能力扩展到所有访问者和访问对象,支持形式 化的安全保护策略。其本身构造也是结构化的, 以使之具有相当的抗渗透能力。本级的安全保 护机制能够使信息系统实施一种系统化的安全 保护。
.
32
等级保护
第五级。访问验证保护级;具备第四级 的所有功能,还具有仲裁访问者能否访 问某些对象的能力。为此,本级的安全 保护机制不能被攻击、被篡改的,具有 极强的抗渗透能力。
7.4电力信息安全等级保护
信息安全等级保护从国家标准的高度强化各类 组织信息安全管理。
信息安全等级保护的实施,实现对重要信息系
统的重点安全保障,推进了信息安全保护工作
的规范化、法制化建设。体现“适度安全、保
护重点”的思想,出台了一系列信息安全管理
标准和技术标准,意义重大,国内的信息安全
工作有据可依,明确了信息安全工作的目标和
.
22
安全隔离与信息交换系统
要防止安全隔离与信息交换装置本身被攻击, 安全隔离与信息交换装置一定是双系统,内部 系统和外部系统是隔离无网络通路的。
外部系统可能被入侵,但是从外部系统不能通 过网络协议入侵到内部系统。
内、外系统交换的数据是无协议的纯文本数据 流。隔离,的含义体现在中断网络连接,同时 自身的安全体系也不会被攻破,就是说,要保 护的内网系统是不可能被传统的网络攻击手段 攻击和入侵的。
安全隔离网闸
安全隔离网闸1、网闸全称是什么?网闸的英文名称是什么?网闸的全称是安全隔离网闸。
网闸的英文名称是"GAP"。
2、安全隔离网闸是什么?安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。
3、安全隔离网闸是硬件设备还是软件设备?安全隔离网闸是由软件和硬件组成。
4、安全隔离网闸硬件设备是由几部分组成?安全隔离网闸的硬件设备由三部分组成:外部处理单元、内部处理单元、隔离硬件。
5、为什么要使用安全隔离网闸?当用户的网络需要保证高强度的安全,同时又与其它不信任网络进行信息交换的情况下,如果采用物理隔离卡,信息交换的需求将无法满足;如果采用防火墙,则无法防止内部信息泄漏和外部病毒、黑客程序的渗入,安全性无法保证。
在这种情况下,安全隔离网闸能够同时满足这两个要求,又避免了物理隔离卡和防火墙的不足之处,是最好的选择。
6、隔离了,怎么还可以交换数据?对网络的隔离是通过网闸隔离硬件实现两个网络在链路层断开,但是为了交换数据,通过设计的隔离硬件在两个网络对应的上进行切换,通过对硬件上的存储芯片的读写,完成数据的交换。
7、安全隔离网闸能够交换什么样的数据?安装了相应的应用模块之后,安全隔离网闸可以在保证安全的前提下,使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据,并可以在网络之间交换定制的文件。
8、安全隔离网闸的主要性能指标有那些?性能指标包括:系统数据交换速率:120Mbps硬件切换时间:5ms9、安全隔离网闸通常具备的安全功能模块有那些?安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证10、为什么说安全隔离网闸能够防止未知和已知木马攻击?通常见到的木马大部分是基于TCP的,木马的客户端和服务器端需要建立连接,而安全隔离网闸从原理实现上就切断所有的TCP连接,包括UDP、ICMP等其他各种协议,使各种木马无法通过安全隔离网闸进行通讯。
安全隔离与信息交换系统方案
安全隔离与信息交换系统方案随着互联网技术的发展和普及,信息交换的速度和规模都有了巨大的增长。
然而,在信息交换的过程中,也会面临一系列的安全风险和隐患。
为了保证信息的安全性,可以构建一个安全隔离与信息交换系统,以下是一个该系统的方案。
一、系统概述这个系统主要包括两大模块:安全隔离模块和信息交换模块。
其中,安全隔离模块用于隔离敏感信息或网络资源,防止非授权访问或恶意攻击;信息交换模块用于安全地传输信息。
二、安全隔离模块1.物理隔离:通过构建安全区域和非安全区域,将敏感信息或关键设备与外界隔离。
可以采用独立的网络、服务器等手段,确保敏感系统与非敏感系统完全隔离。
2.逻辑隔离:在网络上采用防火墙、ACL(访问控制列表)等手段,对不同的用户或不同的系统分配不同的权限,限制其访问和操作范围。
3.身份认证:对用户进行身份的验证和认证,使用强密码、双因素身份认证等手段来确保用户的真实身份。
4.访问控制:对不同的用户或用户组进行访问权限的控制和分配,确保只有经过授权的用户才能访问到特定的资源。
5.日志审计:对所有的访问记录进行日志记录和审计,及时发现异常行为和潜在威胁。
三、信息交换模块1.加密传输:在信息交换的过程中使用加密算法对信息进行加密,确保信息在传输过程中的安全性。
2.数据摘要:使用哈希算法对信息进行摘要,生成摘要值并将其发送给接收方,接收方验证信息的完整性。
3.数字签名:使用非对称加密算法对信息进行数字签名,确保信息在传输过程中的完整性和真实性,防止被篡改。
4.安全协议:在信息交换的过程中使用安全协议,如SSL/TLS协议、IPsec协议等,确保信息传输过程中的安全性。
5.安全传输通道:在互联网上建立一个安全隧道,使用VPN技术确保信息的安全传输。
四、系统运维与监控1.及时更新:定期对系统进行安全补丁的更新,及时修复已知的漏洞。
2.安全策略:制定合理的安全策略,包括防火墙策略、访问控制策略、加密策略等,确保系统的安全性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安全隔离与信息交换系统与防火墙系统是两个不同的概念,二者实现的技术路线不同,所能达到的安全强度和保密强度也不尽相同。
国家已把它们划入两个不同的产品类别。
简单来说,防火墙的宗旨是保证通信畅通时尽可能的安全,而安全隔离与信息交换系统则要保证安全前提下恰当的有限的信息交换。
安全隔离与信息交换系统和防火墙的具体区别如下:
•硬件体系不同:安全隔离产品一般是双机或三机(如北邮英科NetPorter )系统,而防火墙的硬件由一台处理机组成,属单机系统。
安全隔离系统的体系架构要比防火墙可靠得多。
•内部所支持的协议不同:防火墙内部的协议栈是标准的IP 协议栈,通常至少具备两个接口,即内网口和外网口,用以接受网络数据,在内外网口间是通过操作系统内建的标准IP 协议栈进行通信,完成包转发、路由等工作。
安全隔离系统的协议栈是非标准的安全协议栈,其工作原理与IP 协议栈完全不同,其安全机制完全可控。
安全隔离系统同样至少具备两个接口,内网口和外网口,用以接受网络数据,但在内外网之间的数据传递经过层层处理以确保数据的安全性和保密性,进而由专用协议进行交换,并非采用任何IP 协议,所以最大程度上减少了由标准协议所带来的安全漏洞。
•防范机理不同:传统防火墙通过对诸如IP 地址、端口等进行控制来达到逻辑隔离的目的。
在防火墙内部所有协议均已经支持,因此防火墙并不能防范未知的网络攻击,而且对于应用层攻击,即依赖于正常通信协议的攻击行为并不能阻拦。
安全隔离是通过对协议和通道的控制来达到安全隔离的目的。
在安全隔离系统的内端机和外端机之间并不存在通用网络协议,因此如果是隔离器不认识的协议将完全不能通过,利用网络进行攻击的黑客程序将不能生效。
安全强度不同:防火墙由于是单机系统,一旦其操作系统被恶意攻击从一端突破,整个受防火墙阻隔的网络的另一端就完全暴露在攻击之下了,可以说,受防火墙保护的网络的安全强度,很大程度上取决于防火墙自身的安全强度,但这种强度是很有限的。
安全隔离与信息交换系统,由于采用了可靠的三机系统结构,可以提供从硬件、链路、协议到内容的系列安全防护,使得内网系统可以和外网系统间进行安全的数据交换,因此安全隔离所能达到的安全强度高于仅能对IP 包进行控制的防火墙。