下载文档原格式
网络边界安全防护在如今信息高度互联的时代,网络安全已经成为企业和个人日常生活中不可忽视的问题。
特别是对于企业来说,网络边界安全防护显得尤为重要。
本文将介绍网络边界安全防护的重要性以及一些常见的防护措施。
一、网络边界安全防护的重要性随着互联网的普及和发展,网络攻击的威胁越来越大。
黑客、病毒、木马、僵尸网络等各种网络安全威胁层出不穷,给企业的信息资产和重要数据造成了巨大的威胁。
因此,加强网络边界安全防护显得至关重要。
首先,网络边界安全防护可以保护企业的核心业务系统和重要数据。
对于一些重要数据,如客户资料、财务信息等,一旦泄露或被篡改,将给企业带来极大的经济损失和声誉风险。
通过建立网络边界安全防护体系,可以有效地保护这些重要数据的安全。
其次,网络边界安全防护可以减少网络攻击带来的损失。
网络攻击可能导致企业的网络瘫痪、业务中断、数据丢失等问题,对企业的正常运营造成巨大影响。
通过采取有效的边界安全防护措施,可以及时发现和阻止网络攻击,减少损失。
最后,网络边界安全防护是企业遵守法律法规的重要手段。
根据我国相关法律法规的规定,企业需要采取合理的安全措施保护自身及客户的个人信息。
网络边界安全防护体系的建立,可以有效地满足合规要求,避免法律风险。
二、网络边界安全防护的常见措施1. 防火墙防火墙是网络边界安全防护的基础设施,它可以监控和控制进出企业网络的数据流量,以保护内部网络免受未经授权的访问或恶意攻击。
防火墙可以做到以下几点:(1)过滤网络流量:防火墙可以根据预设规则过滤和拦截一些危险的流量,例如来自恶意网站或非法入侵尝试的流量,以阻止攻击。
(2)隔离内外网络:防火墙可以将企业内部网络与外部网络(如互联网)隔离开来,防止非法用户访问内部资源。
(3)提供访问控制:防火墙可以设置访问控制列表(ACL),根据需求限制来自外部网络的访问,只允许合法用户进行访问。
2. 入侵检测与防御系统入侵检测与防御系统(IDS/IPS)是另一个重要的网络边界安全防护工具。
网络安全边界域
网络安全边界域是指在网络架构中划定的不同安全级别的边界线,用来保护网络系统和数据不受未经授权的访问和攻击。
网络安全边界域的划分通常根据不同的功能和安全需求来确定不同的边界线。
首先,在网络中,通常会划分出外部边界、内部边界和信任域边界。
外部边界是与公共网络相连的边界线,用来与外部世界进行通信。
为了保护内部网络环境,通常会在外部边界上设置防火墙、入侵检测系统等安全设备来阻挡潜在的攻击。
其次,内部边界是将内部网络划分成不同的安全域,用来限制访问权限和隔离网络流量。
内部边界通常会根据不同的业务需求和安全级别来设置,比如将办公网络和生产网络分开,或者将研发网络和销售网络分开。
在内部边界上,可以使用虚拟局域网(VLAN)或安全域隔离技术来实现网络的隔离和访问控制。
信任域边界是指存在信任关系的网络之间的边界线,允许较高安全级别的网络访问较低安全级别的网络。
在信任域边界上,通常会使用安全网关、反向代理等技术来实现安全访问和身份验证。
此外,还可以采用虚拟专用网络(VPN)技术来建立
安全的远程访问连接。
除了以上的边界域,还可以根据具体的网络安全需求划分其他的边界域,比如安全子网、安全区域等。
在这些边界域中,可以通过安全策略、网络隔离、访问控制等措施来保护网络安全。
综上所述,网络安全边界域的划分是为了提高网络安全性,并根据不同的安全级别和功能需求来设置相应的安全边界线。
通过合理划分和配置边界域,可以有效地防止网络攻击和未经授权的访问,保护网络系统和数据的安全。
网络安全边界基础概念网络安全边界是指对网络进行安全控制的边界,用来保护企业网络免受外部网络的攻击和非法访问。
在网络安全边界内,组织可以实施多种安全措施来保护其网络和数据免受威胁。
以下是网络安全边界的一些基础概念和主要组成部分。
1. 防火墙:防火墙(Firewall)是一种网络安全设备,用于监控和控制网络流量,过滤通过网络边界的数据包,以保护内部网络不受未经授权的访问和攻击。
防火墙可以根据事先设定的规则来允许或拒绝特定类型的数据包通过。
2. 入侵检测系统(IDS):入侵检测系统是一种安全设备,用于监视网络流量和系统活动,检测可能的入侵行为。
IDS可以根据已知的攻击模式和异常行为等进行威胁检测,并给出警报或采取相应的响应措施。
3. 虚拟专用网络(VPN):虚拟专用网络是一种通过公共网络建立加密通道的安全通信方式。
VPN可以使用户在互联网上建立一个私密的可靠连接,通过加密和隧道技术保护通信的机密性和完整性,防止敏感数据被截获或篡改。
4. 身份认证和访问控制:身份认证是通过验证用户的身份来确定其是否有权访问网络资源的过程。
常见的身份认证方式包括用户名和密码、指纹、智能卡等。
访问控制是指根据用户的身份和权限,对网络资源进行限制和控制,确保只有合法用户可以访问敏感信息和系统。
5. 安全策略和策略执行:安全策略是指为保护网络和数据制定的一系列规则和准则。
安全策略应考虑到组织的需求和风险,制定适合的安全措施和控制措施。
策略执行是指将安全策略实施到网络和系统中,包括配置设备、制定操作规范、监控安全事件等。
6. 安全审计和日志管理:安全审计是对网络和系统进行安全评估和检查,以发现潜在的安全威胁和漏洞。
安全审计可以通过网络扫描、漏洞评估等方法进行。
日志管理是指记录和管理网络和系统的日志信息,包括用户登录、网络流量、安全事件等。
日志可以作为安全事件调查和故障排除的重要依据。
7. 业务连续性和灾难恢复:业务连续性是指在发生安全事故或灾难时,保持组织重要业务的连续运行能力。
一、网络边界1.网络边界基本概念网络边界是一个网络的重要组成部分,负责对网络流量进行最初及最后的过滤,对一些公共服务器区进行保护,因此边界安全的有效部署对整网安全意义重大。
网络边界通常理解就是企业网络与其他网络的分界线。
事实上,我们应该把具有不同安全级别的网络之间的分界线都可以定义为网络边界。
2.划分边界的依据防止来自网络外界的入侵就要在网络边界上建立可靠的安全防御措施。
对边界进行安全防护,首先必须明确哪些网络边界需要防护,这可以通过安全分区设计来确定。
安全区域是由一组具有相同安全保护需求、并相互信任的系统组成的逻辑区域。
同一安全域的系统共享相同的安全策略,安全域划分的目的是把一个大规模复杂系统的安全问题,化解为更小区域的安全保护问题,是实现大规模复杂信息系统安全等级保护的有效方法。
定义安全分区的原则就是首先需要根据业务和信息敏感度定义安全资产,其次对安全资产定义安全策略和安全级别,对于安全策略和级别相同的安全资产,就可以认为属于同一安全区域。
归纳起来划分网络边界主要有三步:1)确定安全资产2)定义安全策略和安全级别3)划分不同的安全区域通常一个企业网络可划分为:互联网连接区、广域网连接区、外联数据区、数据中心区、内网办公区、网络管理区等。
3.边界安全防护机制和措施在GB/T 20271-2006 《信息安全技术信息系统通用安全技术要求》中提到:根据对信息系统运行安全的不同要求,信息系统边界安全防护采用的安全机制和措施分为:1)基本安全防护:采用常规的边界防护机制,如基本的登录/连接控制等,实现基本的信息系统边界安全防护;2)较严格安全防护:采用较严格的安全防护机制,如较严格的登录/连接控制,普通功能的防火墙、防病毒网关、入侵防范、信息过滤、边界完整性检查等。
3)严格安全防护:根据当前信息安全对抗技术的发展,采用严格的安全防护机制,如严格的登录/连接机制,高安全功能的防火墙、防病毒网关、入侵防范、信息过滤、边界完整性检查等。
网络安全边界网络安全边界指的是在网络环境中,企业或个人需要建立起来的一道防线,用来保护自己的网络和系统资源不受恶意攻击和未经授权的访问。
网络安全边界通过限制网络流量和访问范围,识别和阻止潜在的威胁,从而确保网络的安全性和可用性。
网络安全边界的建立可以通过以下几方面进行实施:1. 防火墙:防火墙是网络安全的第一道防线,通过规则设置可以过滤和检测入侵、恶意软件和网络攻击。
防火墙可以限制网络流量,只允许授权的通信流量通过,同时阻止来自未授权源的网络连接。
企业可以在内部网络和外部网络之间建立防火墙,以保护内部网络免受来自外部网络的攻击。
2. 入侵检测系统(IDS)和入侵防御系统(IPS):IDS和IPS可以通过监控网络流量和系统日志,检测和阻止潜在的入侵行为。
IDS可以识别已知的攻击模式和异常行为,及时发出警报;而IPS不仅可以检测到入侵行为,还能自动对入侵者进行阻止和响应。
3. VPN(Virtual Private Network):VPN可以通过建立加密的隧道,使远程用户和移动设备可以安全地访问内部网络。
VPN可以确保通信过程中的数据机密性和完整性,防止数据被窃取或篡改。
4. 身份认证和访问控制:通过实施强制身份认证和访问控制策略,可以确保只有授权用户能够登录和访问内部网络资源。
常用的身份认证手段包括密码、生物特征识别和双因素认证等。
访问控制可以根据用户身份和权限级别,限制用户对网络资源的访问权限。
5. 安全域分隔:通过将网络划分为不同的安全域,可以限制网络流量和资源的访问范围。
不同的安全域可以根据安全需求设置不同的防御措施,提高整个网络的安全性。
6. 安全策略和漏洞管理:企业应该制定严格的安全策略,包括密码策略、应用程序更新策略、访问控制策略等,以确保网络和系统的安全。
同时,进行漏洞管理,及时修复已知的漏洞,防止黑客利用漏洞进行攻击。
总之,网络安全边界是网络安全工作的重要组成部分,通过建立合理的网络边界和采取多重防御手段,可以有效保护网络和系统资源的安全,减少未授权访问和恶意攻击的风险。
网络边界管理制度一、总则为了规范和管理网络边界,确保网络安全和信息安全,保护国家利益和社会秩序,维护公民合法权益,根据国家相关法律法规,制定本管理制度。
二、网络边界管理范围网络边界管理包括内部网络和外部网络之间的边界管理。
内部网络指本单位内部构建的、用于工作、生产、教学、科研等用途的网络。
外部网络包括公共互联网、其他单位网络等。
网络边界管理范围包括网络接入、数据流管理、信息安全管理等。
三、网络接入管理1. 网络接入申请所有单位内部网络需要接入外部网络时,必须提出网络接入申请。
申请需要包括接入目的、接入内容、接入方式等相关信息,并由单位负责人签字确认。
2. 网络接入审核申请网络接入的单位必须向网络管理部门提交申请材料,并支付相应费用。
网络管理部门将对申请材料进行审核,审核通过后方可进行接入。
3. 网络接入管理接入外部网络的单位必须按照网络管理部门的要求进行接入设置,并定期进行检查和维护。
接入设置包括防火墙、入侵检测系统、网络访问控制等。
接入单位必须配备专职网络管理员,负责接入设置和日常管理工作。
四、数据流管理1. 数据流监控网络管理部门对单位内部和外部网络的数据流进行监控,保障数据安全和信息安全。
监控内容包括数据传输速度、数据流量、数据来源、数据去向等。
2. 数据流审核网络管理部门对数据流进行定期审核,对异常数据流进行分析和处理。
审核内容包括网络攻击、恶意代码、数据泄露等。
3. 数据流处理对于异常数据流,网络管理部门需及时进行处理,包括隔离网络、清理恶意代码、停止攻击等。
五、信息安全管理1. 网络安全培训对接入外部网络的单位进行网络安全培训,包括网络安全知识、网络攻击防范措施等。
2. 信息安全保密对单位内部网络和外部网络传输的信息进行加密,保障信息安全和保密。
3. 安全漏洞管理定期对网络安全漏洞进行检查和修复,确保网络安全。
4. 网络攻击应对网络管理部门需制定网络攻击应对预案,对网络攻击进行及时回应和处理。
网络安全边界设备
网络安全边界设备是网络安全的重要组成部分,用于保护企业网络免受恶意攻击和未经授权的访问。
这些设备以不同的形式和功能存在,并且通常作为网络的前沿,监控、过滤和阻止潜在的威胁。
其中一种常见的网络安全边界设备是防火墙。
防火墙是位于网络边界的一道防线,通过检测并过滤进出网络的数据包,以保护网络免受恶意攻击和未经授权的访问。
防火墙可以根据预先设定的安全策略对数据包进行过滤和阻断,从而确保网络的安全性。
另一种常见的网络安全边界设备是入侵检测系统(IDS)和入
侵防御系统(IPS)。
IDS用于监视网络流量,检测潜在的入
侵行为,并向管理员发出警报。
IPS则不仅能够检测入侵行为,还可以主动阻止这些行为,从而提供更加主动的保护。
除了防火墙、IDS和IPS外,还有其他许多网络安全边界设备,如反病毒网关、安全路由器、VPN网关等。
这些设备在网络
边界层起到了重要的保护作用,能够检测和阻止恶意软件、病毒、僵尸网络等网络威胁,同时提供安全的外部访问通道。
总之,网络安全边界设备是企业网络中不可或缺的一部分,可以帮助企业建立安全的网络环境,保护关键数据和业务免受威胁。
这些设备通过过滤和阻断潜在威胁,提供了网络安全边界的第一道防线。
企业应该合理配置和使用这些设备,并定期更新其安全策略和软件,以确保网络的安全性和稳定性。
网络安全边界域网络安全边界域是指网络中的一道边界线,用于界定网络的内部与外部,通过设立边界域可以限制外部对内部网络的访问和攻击,保护内部网络的安全。
网络安全边界域包括网络外部边界、网络内部边界和网络中心边界。
网络外部边界是网络安全边界域中最外层的边界,用于隔离内部网络与外部网络,阻止未经授权的外部访问和攻击,保护内部网络的安全。
网络外部边界通常由防火墙、入侵检测系统、反病毒系统等安全设备组成,用于监控和防御从外部网络发起的攻击,例如DDoS攻击、端口扫描等。
此外,网络外部边界还可以通过访问控制策略限制外部用户对内部资源的访问权限,保护内部信息的机密性。
网络内部边界是网络安全边界域中的中间层,主要用于隔离和保护内部网络的不同安全等级的资源。
网络内部边界通常由防火墙、入侵防御系统等安全设备组成,用于监控和防御内部网络的安全威胁。
此外,网络内部边界还可以通过访问控制、身份验证等手段限制内部用户对敏感信息的访问权限,防止内部非授权用户的恶意行为。
网络中心边界是网络安全边界域中的最内层,用于隔离和保护网络中心的关键资源和系统。
网络中心边界通常由防火墙、入侵防御系统、安全审计系统等安全设备组成,用于监控和防御针对网络中心的攻击。
此外,网络中心边界还可以通过访问控制、强制访问控制等安全机制保护关键资源的完整性和可用性。
网络安全边界域的建立和维护对于保护网络安全至关重要。
通过设立边界域,可以将网络安全问题局限在一定的范围内,降低网络安全风险的扩散和波及范围。
同时,边界域内的安全设备和安全机制可以协同工作,形成多层次的防御体系,提高网络的安全防护能力。
此外,网络边界域也可以通过监控和日志记录等手段实现安全审计和溯源,便于对网络安全事件的调查和追踪。
综上所述,网络安全边界域是网络中的重要概念,通过设立边界域可以限制外部对内部网络的访问和攻击,保护内部网络的安全。
网络安全边界域包括网络外部边界、网络内部边界和网络中心边界,分别用于隔离内外网络、内部资源和关键资源,形成多层次的安全防御体系。
如何解决网络边界安全问题 -电脑资料人们为了解决资源的共享而建立了网络,然而全世界的计算机真的联成了网络,安全却成了问题,如何解决网络边界安全问题。
因为在网络上,你不清楚对方在哪里,泄密、攻击、病毒等等,越来越多的不安全因素让网络管理者难以安宁,所以把有安全需求的网络与不安全的网络分开,是没有办法的选择。
分离形成了网络的孤岛,没有了连接,安全问题自然消失了。
然而因噎废食不是个办法,没有连接,业务也无法互通,网络孤岛的资源在重复建设、浪费严重,并且随着信息一、网络边界上需要什么把不同安全级别的网络相连接,就产生了网络边界。
防止来自网络外界的入侵就要在网络边界上建立可靠的安全防御措施。
下面我们来看看网络边界上的安全问题都有哪些:非安全网络互联带来的安全问题与网络内部的安全问题是截然不同的,主要的原因是攻击者不可控,攻击是不可溯源的,也没有办法去封杀,一般来说网络边界上的安全问题主要有下面几个方面:1、信息泄密:网络上的资源是可以共享的,但没有授权的人得到了他不该得到的资源,信息就泄露了。
一般信息泄密有两种方式:◆攻击者(非授权人员)进入了网络,获取了信息,这是从网络内部的泄密◆合法使用者在进行正常业务往来时,信息被外人获得,这是从网络外部的泄密2、入侵者的攻击:互联网是世界级的大众网络,网络上有各种势力与团体。
入侵就是有人通过互联网进入你的网络(或其他渠道),篡改数据,或实施破坏行为,造成你网络业务的瘫痪,这种攻击是主动的、有目的、甚至是有组织的行为。
3、网络病毒:与非安全网络的业务互联,难免在通讯中带来病毒,一旦在你的网络中发作,业务将受到巨大冲击,病毒的传播与发作一般有不确定的随机特性。
这是无对手、无意识的攻击行为。
4、木马入侵:木马的发展是一种新型的攻击行为,他在传播时象病毒一样自由扩散,没有主动的迹象,但进入你的网络后,便主动与他的主子联络,从而让主子来控制你的机器,既可以盗用你的网络信息,也可以利用你的系统资源为他工作,比较典型的就是僵尸网络。
网络安全边界域网络安全边界是指网络的一种特殊区域,通过该区域的设置,可以对网络进行有效的安全控制和保护。
网络安全边界是保护网络系统免受外界攻击的重要手段,它不仅可以隔离内外部网络环境,还可以检测和阻止非法的网络流量,提高网络的安全性。
网络安全边界的设置可以根据需求和实际情况来设计,一般包括网络防火墙、入侵防御系统、访问控制列表等技术手段。
网络防火墙是网络安全边界中最重要的组成部分,它可以通过过滤和控制网络数据流的方式来保护网络系统免受攻击。
入侵防御系统可以监控网络流量,检测并阻止潜在的攻击行为。
访问控制列表用于限制用户对网络资源的访问权限,避免未经授权的用户进入网络。
网络安全边界的设置需要根据实际情况来制定合理的策略。
首先,需要确定网络的边界位置,即内部网络和外部网络的分界线。
一般来说,内部网络包括公司内部的局域网和互联网之间的连接;外部网络则包括互联网、第三方网络等。
在确定边界位置后,需要对边界处的网络流量进行检测和过滤。
可以使用网络防火墙来实现对网络流量的过滤和控制,通过设置防火墙规则,可以允许合法的流量进入内部网络,同时阻止非法的流量进入。
为了提高网络的安全性,还可以在网络安全边界中设置入侵防御系统和访问控制列表。
入侵防御系统可以检测网络中的异常流量,及时发现并阻止潜在的攻击行为。
访问控制列表可以限制用户对网络资源的访问权限,确保只有经过授权的用户才能访问内部网络资源。
除了技术手段外,还需要制定相应的策略和规则来管理网络安全边界。
例如,可以规定内部网络和外部网络之间的数据传输必须进行加密,以保护数据的机密性;可以要求用户使用强密码来登录网络系统,以防止密码破解等。
此外,还需要对网络安全边界进行定期的检测和维护,及时发现并修复潜在的安全漏洞,保障网络的安全运行。
网络安全边界的设置对于企业和组织的信息安全至关重要。
通过合理的网络安全边界设计,可以有效地保护网络系统免受外界攻击和数据泄漏的风险。
一、网络边界
1.网络边界基本概念
网络边界是一个网络的重要组成部分,负责对网络流量进行最初及最后的过滤,对一些公共服务器区进行保护,因此边界安全的有效部署对整网安全意义重大。
网络边界通常理解就是企业网络与其他网络的分界线。
事实上,我们应该把具有不同安全级别的网络之间的分界线都可以定义为网络边界。
2.划分边界的依据
防止来自网络外界的入侵就要在网络边界上建立可靠的安全防御措施。
对边界进行安全防护,首先必须明确哪些网络边界需要防护,这可以通过安全分区设计来确定。
安全区域是由一组具有相同安全保护需求、并相互信任的系统组成的逻辑区域。
同一安全域的系统共享相同的安全策略,安全域划分的目的是把一个大规模复杂系统的安全问题,化解为更小区域的安全保护问题,是实现大规模复杂信息系统安全等级保护的有效方法。
定义安全分区的原则就是首先需要根据业务和信息敏感度定义安全资产,其次对安全资产定义安全策略和安全级别,对于安全策略和级别相同的安全资产,就可以认为属于同一安全区域。
归纳起来划分网络边界主要有三步:
1)确定安全资产
2)定义安全策略和安全级别
3)划分不同的安全区域
通常一个企业网络可划分为:互联网连接区、广域网连接区、外联数据区、数据中心区、内网办公区、网络管理区等。
3.边界安全防护机制和措施
在GB/T 20271-2006 《信息安全技术信息系统通用安全技术要求》中提到:根据对信息系统运行安全的不同要求,信息系统边界安全防护采用的安全机制和措施分为:
1)基本安全防护:采用常规的边界防护机制,如基本的登录/连接控制等,实现基本的信息系
统边界安全防护;
2)较严格安全防护:采用较严格的安全防护机制,如较严格的登录/连接控制,普通功能的防
火墙、防病毒网关、入侵防范、信息过滤、边界完整性检查等。
3)严格安全防护:根据当前信息安全对抗技术的发展,采用严格的安全防护机制,如严格的
登录/连接机制,高安全功能的防火墙、防病毒网关、入侵防范、信息过滤、边界完整性检查等。
4)特别安全防护:采用当前最先进的边界防护技术,必要时可以采用物理隔离安全机制,实
现特别安全要求的边界安全防护。
二、防火墙技术
网络隔离最初的形式是网段的隔离,因为不同的网段之间的通讯是通过路由器连通的,要限制某些网段之间不互通,或有条件地互通,就出现了访问控制技术,也就出现了防火墙,防火墙是不同网络互联时最初的安全网关。
图1 防火墙
防火墙的安全设计原理来自于包过滤与应用代理技术,两边是连接不同网络的接口,中间是访问控制列表ACL,数据流要经过ACL的过滤才能通过。
因为ACL控制的是网络的三层与四层,对于应用层是无法识别的。
后来的防火墙增加了NAT/PAT技术,可以隐藏内网设备的IP地址,给内部网络蒙上面纱,成为外部“看不到”的灰盒子,给入侵增加了一定的难度。
但是木马技术可以让内网的机器主动与外界建立联系,从而“穿透”NAT的“防护”,P2P应用也采用这种方式“攻破”了防火墙。
防火墙的作用就是建起了网络的“城门”,把住了进入网络的必经通道,所以在网络的边界安全设计中,防火墙成为不可缺的一部分。
防火墙的缺点是:不能对应用层识别,面对隐藏在应用中的病毒、木马都毫无办法。
所以作为安全级别差异较大的网络互联,防火墙的安全性就远远不够了。
三、多重安全网关技术
随着时间的演进,信息安全威胁开始逐步呈现出网络化和复杂化的态势。
无论是从数量还是从形式方面,从前的安全威胁和恶意行为与现在采用的技术和方法不可同日而语。
安全厂商忙于升级产品的检测数据库,系统厂商忙于修补产品漏洞,而用户也需要检查自己的主机中到底还有多少破绽暴露在攻击者的面前。
那么,既然一道防火墙不能解决各个层面的安全防护,就多上几道安全网关,如用于应用层入侵的IPS、用于对付病毒的防病毒产品、用于对付DDoS攻击的专用防火墙技术……此时UTM(Unified Threat Management)安全网关设备就诞生了。
设计在一起是UTM,分开就是各种不同类型的安全网关。
多重安全网关的安全性显然比防火墙要好些,对各种常见的入侵与病毒都可以抵御。
但是大多
的多重安全网关都是通过特征识别来确认入侵的,这种方式速度快,不会带来明显的网络延迟,但也有它本身的固有缺陷,首先,应用特征的更新一般较快,目前最长也以周计算,所以网关要及时地“特征库升级”;其次,很多黑客的攻击利用“正常”的通讯,分散迂回进入,没有明显的特征,安全网关对于这类攻击能力很有限;最后,安全网关再多,也只是若干个检查站,一旦“混入”,进入到大门内部,网关就没有作用了。
四、网闸技术
网闸的安全思路来自于“不同时连接”。
不同时连接两个网络,通过一个中间缓冲区来“摆渡”业务数据,业务实现了互通,“不连接”原则上入侵的可能性就小多了。
网闸只是单纯地摆渡数据,近似于人工的“U盘摆渡”方式。
网闸的安全性来自于它摆渡的是“纯数据”还是“灰数据”,通过的内容清晰可见,“水至清则无鱼”,入侵与病毒没有了藏身之地,网络就相对安全了。
但是,网闸作为网络的互联边界,必然要支持各种业务的连通,也就是某些通讯协议的通过,所以网闸上大多开通了协议的代理服务,就象城墙上开了一些特殊的通道,网闸的安全性就打了折扣,在对这些通道的安全检查方面,网闸比多重安全网关的检查功效不见得高明。
网闸的思想是先堵上,根据“城内”的需要再开一些小门,防火墙是先打开大门,对不希望的人再逐个禁止,两个思路刚好相反。
在入侵的识别技术上差不多,所以采用多重网关增加对应用层的识别与防护对两者都是很好的补充。
图2 网闸
后来网闸设计中出现了存储通道技术、单向通道技术等等,但都不能保证数据的“单纯性”。
五、数据交换网技术
从防火墙到网闸,都是采用的关卡方式,“检查”的技术各有不同,但对黑客的最新攻击技术都不太好用,也没有监控的手段,对付“人”的攻击行为来说,只有人才是最好的对手。
数据交换网技术是基于缓冲区隔离的思想,把城门处修建了一个“数据交易市场”,形成两个
缓冲区的隔离。
在防止内部网络数据泄密的同时,保证数据的完整性,即没有授权的人不能修改数据,防止授权用户错误的修改,以及内外数据的一致性。
图3 数据交换网
数据交换网技术给出了边界防护的一种新思路,用网络的方式实现数据交换。
在两个网络间建立一个缓冲地,让“数据往来”处于可控的范围之内。
数据交换网技术比其他边界安全技术有显著的优势:
1)综合了使用多重安全网关与网闸,采用多层次的安全“关卡”。
2)有了缓冲空间,可以增加安全监控与审计,用专家来对付黑客的入侵,边界处于可控制的
范围内,任何蛛丝马迹、风吹草动都逃不过监控者的眼睛。
3)业务的代理保证数据的完整性,业务代理也让外来的访问者止步于网络的交换区,所有的
需求由服务人员提供,就象是来访的人只能在固定的接待区洽谈业务,不能进入到内部的办公区。
数据交换网技术针对的是大数据互通的网络互联,一般来说适合于下面的场合:
1)频繁业务互通的要求要互通的业务数据量大,或有一定的实时性要求,人工方式肯定不
够用,网关方式的保护性又显不足,比如银行的银联系统、海关的报关系统、社保的管理系统、公安的出入境管理系统、大型企业的内部网络(运行ERP)与Internet之间、公众图书馆系统等等。
这些系统的突出特点都是其数据中心的重要性是不言而喻,但又与广大百姓与企业息息相关,业务要求提供互联网的访问,在安全性与业务适应性的要求下,业务互联需要用完整的安全技术来保障,选择数据交换网方式是适合的。
2)高密级网络的对外互联高密级网络一般涉及国家机密,信息不能泄密是第一要素,也就
是绝对不允许非授权人员的入侵。
然而出于对公众信息的需求,或对大众网络与信息的监管,必须与非安全网络互联,若是监管之类的业务,业务流量也很大,并且实时性要求也高,在网络互联上选择数据交换网技术是适合的。
