前言:本站為你精心整理了安全網(wǎng)閘范文,希望能為你的創(chuàng)作提供參考價值,我們的客服老師可以幫助你提供個性化的參考范文,歡迎咨詢。
一、網(wǎng)閘與網(wǎng)閘技術(shù)
網(wǎng)閘是在兩個不同安全域之間,通過協(xié)議轉(zhuǎn)換的手段,以信息擺渡的方式實現(xiàn)數(shù)據(jù)交換,且只有被系統(tǒng)明確要求傳輸?shù)男畔⒉趴梢酝ㄟ^。其信息流一般為通用應(yīng)用服務(wù)。注:網(wǎng)閘的“閘”字取自于船閘的意思,在信息擺渡的過程中內(nèi)外網(wǎng)(上下游)從未發(fā)生物理連接,所以網(wǎng)閘產(chǎn)品必須要有至少兩套主機和一個物理隔離部件才可完成物理隔離任務(wù)?,F(xiàn)在市場上出現(xiàn)的的單主機網(wǎng)閘或單主機中有兩個及多個處理引擎的過濾產(chǎn)品不是真正的網(wǎng)閘產(chǎn)品,不符合物理隔離標(biāo)準(zhǔn)。其只是一個包過濾的安全產(chǎn)品,類似防火墻。注:單主機網(wǎng)閘多以單向網(wǎng)閘來掩人耳目。
網(wǎng)閘的基本原理是:切斷網(wǎng)絡(luò)之間的通用協(xié)議連接;將數(shù)據(jù)包進行分解或重組為靜態(tài)數(shù)據(jù);對靜態(tài)數(shù)據(jù)進行安全審查,包括網(wǎng)絡(luò)協(xié)議檢查和代碼掃描等;確認后的安全數(shù)據(jù)流入內(nèi)部單元;內(nèi)部用戶通過嚴格的身份認證機制獲取所需數(shù)據(jù)。
安全隔離網(wǎng)閘是一種由帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接,并能夠在網(wǎng)絡(luò)間進行安全適度的應(yīng)用數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備。
安全隔離網(wǎng)閘是由軟件和硬件組成。其硬件設(shè)備由三部分組成:外部處理單元、內(nèi)部處理單元、隔離硬件。
當(dāng)用戶的網(wǎng)絡(luò)需要保證高強度的安全,同時又與其它不信任網(wǎng)絡(luò)進行信息交換的情況下,如果采用物理隔離卡,信息交換的需求將無法滿足;如果采用防火墻,則無法防止內(nèi)部信息泄漏和外部病毒、黑客程序的滲入,安全性無法保證。在本文章共2頁,當(dāng)前在第1頁[1][2]下一頁本文章共2頁,當(dāng)前在第2頁上一頁[1][2]這種情況下,安全隔離網(wǎng)閘能夠同時滿足這兩個要求,又避免了物理隔離卡和防火墻的不足之處,是最好的選擇。
對網(wǎng)絡(luò)地隔離是通過網(wǎng)閘隔離硬件實現(xiàn)兩個網(wǎng)絡(luò)在鏈路層斷開,但是為了交換數(shù)據(jù),通過設(shè)計的隔離硬件在兩個網(wǎng)絡(luò)對應(yīng)的上進行切換,通過對硬件上的存儲芯片的讀寫,完成數(shù)據(jù)的交換。
安裝了相應(yīng)的應(yīng)用模塊之后,安全隔離
網(wǎng)閘可以在保證安全的前提下,使用戶可以瀏覽網(wǎng)頁、收發(fā)電子郵件、在不同網(wǎng)絡(luò)上的數(shù)據(jù)庫之間交換數(shù)據(jù),并可以在網(wǎng)絡(luò)之間交換定制的文件。但安全隔離網(wǎng)閘從不直接或者間接地轉(zhuǎn)發(fā)ip包形式的數(shù)據(jù)。安全隔離網(wǎng)閘的安全性體現(xiàn)在鏈路層斷開,直接處理應(yīng)用層數(shù)據(jù),對應(yīng)用層數(shù)據(jù)進行內(nèi)容檢查和控制,在網(wǎng)絡(luò)之間交換的數(shù)據(jù)都是應(yīng)用層的數(shù)據(jù)。如果直接轉(zhuǎn)發(fā)ip的話,由于單個ip包中一般不包含完整的應(yīng)用數(shù)據(jù),所以無法進行全面的內(nèi)容檢查和控制,也就無法保證應(yīng)用層的安全。因此,如果直接轉(zhuǎn)發(fā)ip包,則背離了安全隔離網(wǎng)閘的安全性要求,不能稱為安全隔離網(wǎng)閘。
鑒于安全隔離網(wǎng)閘保護的主要是內(nèi)部網(wǎng)絡(luò),一旦支持交互式訪問如支持建立會話,那么無法防止信息的泄漏以及內(nèi)部系統(tǒng)遭受攻擊,因此,安全隔離網(wǎng)閘不支持交互式訪問。安全隔離網(wǎng)閘的主要性能指標(biāo)性能指標(biāo)包括:系統(tǒng)數(shù)據(jù)交換速率:120mbps硬件切換時間:5ms
安全隔離網(wǎng)閘通常具備的安全功能模塊:安全隔離、內(nèi)核防護、協(xié)議轉(zhuǎn)換、病毒查殺、訪問控制、安全審計、身份認證。
二、網(wǎng)閘技術(shù)發(fā)展史
2000年1月,為滿足國內(nèi)信息化建設(shè)及電子政務(wù)的需求,國內(nèi)專業(yè)從事網(wǎng)絡(luò)與信息安全研究開發(fā)、技術(shù)支持、產(chǎn)品銷售和安全服務(wù)的北京天行網(wǎng)安信息技術(shù)有限責(zé)任公司率先提出從物理隔離技術(shù)發(fā)展出gap概念,并且與公安部信息通信局聯(lián)合研制完成國內(nèi)第一款gap產(chǎn)品——天行安全隔離與信息交換系統(tǒng),與此同時獲得了國內(nèi)網(wǎng)閘行業(yè)第一個銷售許可證,標(biāo)志著完全由我國自主研發(fā)的國內(nèi)第一臺網(wǎng)閘誕生。當(dāng)時網(wǎng)閘的性能比較低,支持的應(yīng)用非常有限。網(wǎng)閘在國內(nèi)的第一個用戶是外經(jīng)貿(mào)部(現(xiàn)商務(wù)部),時間是2000年11月。
2001-2002年,國內(nèi)由天行網(wǎng)安公司生產(chǎn)的第一批網(wǎng)閘產(chǎn)品“天行安全隔離網(wǎng)閘”開始被小規(guī)模應(yīng)用到公安、稅務(wù)、政府機關(guān),如北京市電子政務(wù)第一期建設(shè)。當(dāng)時的產(chǎn)品相比較最初的原型設(shè)備,性能上有了大的跨越——吞吐量達到80mbps,應(yīng)用及適應(yīng)性得到提升,具備了在實際應(yīng)用場合更多的使用價值。同時,該產(chǎn)品在業(yè)界首次擴展了新的應(yīng)用功能支持,從最初的靜態(tài)網(wǎng)頁瀏覽功能發(fā)展到郵件和文件同步、數(shù)據(jù)庫同步功能,產(chǎn)品更加符合市場需求。但當(dāng)時國內(nèi)絕大多數(shù)用戶對網(wǎng)閘技術(shù)不了解,也無法接受其安全隔離的技術(shù)理念,網(wǎng)閘尚處于市場萌芽期。
2003年,隨著網(wǎng)閘市場的逐步發(fā)展及需求的增大,國內(nèi)眾多安全廠商如中網(wǎng)、偉思等開始紛紛加入網(wǎng)閘生產(chǎn)商行列,共同推進了網(wǎng)閘市場的發(fā)展,網(wǎng)閘開始進入市場的平穩(wěn)發(fā)展期。
2005年,千兆網(wǎng)閘產(chǎn)品出現(xiàn),功能更趨完善、更強大,各項性能上均有所突破,國內(nèi)各行業(yè)開始大范圍使用。
三、安全隔離網(wǎng)閘與路由器、交換機在網(wǎng)絡(luò)之間交換信息的差異
安全隔離網(wǎng)閘在網(wǎng)路間進行的安全適度的信息交換是在網(wǎng)絡(luò)之間不存在鏈路層連接的情況下進行的。安全隔離網(wǎng)閘直接處理網(wǎng)絡(luò)間的應(yīng)用層數(shù)據(jù),利用存儲轉(zhuǎn)發(fā)的方法進行應(yīng)用數(shù)據(jù)的交換,在交換的同時,對應(yīng)用數(shù)據(jù)進行的各種安全檢查。路由器、交換機則保持鏈路層暢通,在鏈路層之上進行ip包等網(wǎng)絡(luò)層數(shù)據(jù)的直接轉(zhuǎn)發(fā),沒有考慮網(wǎng)絡(luò)安全和數(shù)據(jù)安全的問題。
它由三個組件構(gòu)成:a網(wǎng)處理機、b網(wǎng)處理機和gap開關(guān)設(shè)備。我們可以很清楚地看到連接兩個網(wǎng)絡(luò)的gap設(shè)備不能同時連接到相互獨立的a網(wǎng)和b網(wǎng)中,即gap在某一時刻只與其中某個網(wǎng)絡(luò)相連。gap設(shè)備連接a網(wǎng)時,它是與b網(wǎng)斷開的,a網(wǎng)處理機把數(shù)據(jù)放入gap中;gap在接收完數(shù)據(jù)后自動切換到b網(wǎng),同時,gap與a網(wǎng)斷開;b網(wǎng)處理機從gap中取出數(shù)據(jù),并根據(jù)合法數(shù)據(jù)的規(guī)則進行嚴格的檢查,判斷這些數(shù)據(jù)是否合法,若為非法數(shù)據(jù),則刪除它們。同理,b網(wǎng)也以同樣的方式通過gap將數(shù)據(jù)安全地交換到a網(wǎng)中。從a網(wǎng)處理機往gap放入數(shù)據(jù)開始,到b網(wǎng)處理機從gap中取出數(shù)據(jù)并檢查結(jié)束,就完成了一次數(shù)據(jù)交換。gap就這樣在a網(wǎng)處理機與b網(wǎng)處理機之間來回往復(fù)地進行實時數(shù)據(jù)交換。在通過gap交換數(shù)據(jù)的同時,a網(wǎng)和b網(wǎng)依然是隔離的。
安全網(wǎng)閘是如何來保證在兩個網(wǎng)絡(luò)之間的安全性呢?首先,這兩個網(wǎng)絡(luò)一直是隔離的,在兩個網(wǎng)絡(luò)之間只能通過gap來交換數(shù)據(jù),當(dāng)兩個網(wǎng)絡(luò)的處理機或gap三者中的任何一個設(shè)備出現(xiàn)問題時,都無法通過gap進入另一個網(wǎng)絡(luò),因為它們之間沒有物理連接;第二,gap只交換數(shù)據(jù),不直接傳輸tcp/ip,這樣避免了tcp/ip的漏洞;第三,任何一方接收到數(shù)據(jù),都要對數(shù)據(jù)進行嚴格的內(nèi)容檢測和病毒掃描,嚴格控制非法數(shù)據(jù)的交流。gap的安全性高低關(guān)鍵在于其對數(shù)據(jù)內(nèi)容檢測的強弱。若不做任何檢測,雖然是隔離的兩個網(wǎng)絡(luò),也能傳輸非法數(shù)據(jù)、病毒、木馬,甚至利用應(yīng)用協(xié)議漏洞通過gap設(shè)備從一個網(wǎng)絡(luò)直接進入另一個網(wǎng)絡(luò)。那么gap的作用將大打折扣。
盡管作為物理安全設(shè)備,安全網(wǎng)閘提供的高安全性是顯而易見的,但是由于其工作原理上的特性,不可避免地決定了安全網(wǎng)閘存在一些缺陷:
a.只支持靜態(tài)數(shù)據(jù)交換,不支持交互式訪問
這是安全網(wǎng)閘最明顯得一個缺陷。類似于拷盤在兩臺主機間交換數(shù)據(jù),安全網(wǎng)閘的數(shù)據(jù)是以存儲轉(zhuǎn)發(fā)模式工作的,在數(shù)據(jù)鏈路層其網(wǎng)段的兩邊始終是中斷的,在其三個組件的任何一個節(jié)點上交換的都必須是完整的應(yīng)用層數(shù)據(jù)。因此,它不支持諸如動態(tài)web頁面技術(shù)中的activex、java甚至是客戶端的cookie技術(shù),目前安全網(wǎng)閘一般只支持靜態(tài)web頁,郵件文件等靜態(tài)數(shù)據(jù)的交換。
b.適用范圍窄,必須根據(jù)具體應(yīng)用開發(fā)專用的交換模塊
由于數(shù)據(jù)鏈路層被忽略,安全網(wǎng)閘無法實現(xiàn)一個完整的iso/osi七層連接過程,所以安全網(wǎng)閘對所有交換的數(shù)據(jù)必須根據(jù)其特性開發(fā)專用的交換模塊,而不是采用is0/osi七層模型提供的傳統(tǒng)的層次封裝的開放式編程接口。所以客戶所能實現(xiàn)的數(shù)據(jù)交換類型均取決于產(chǎn)品提供商到底能提供多少種應(yīng)用模塊,甚至于要根據(jù)客戶的要求臨時開發(fā)各種應(yīng)用模塊,靈活性差,適用范圍十分狹窄;
c.系統(tǒng)配置復(fù)雜,安全性很大程度上取決于網(wǎng)管員的技術(shù)水平
安全網(wǎng)閘采用由其主動發(fā)起數(shù)據(jù)請求的方式進行工作,它不會接受和響應(yīng)其它主機主動發(fā)起的數(shù)據(jù)請求,也不對外提供任何服務(wù)。對于取到的數(shù)據(jù)還要進行一些病毒、木馬過濾和安全性檢查等一系列功能,這都需要網(wǎng)管員根據(jù)網(wǎng)絡(luò)應(yīng)用的具體情況加以判斷和設(shè)置。如果設(shè)置不當(dāng),比如對內(nèi)部人員向外部提交的數(shù)據(jù)不進行過濾而導(dǎo)致信息外泄等,都可能造成安全網(wǎng)閘的安全功能大打折扣。
d.結(jié)構(gòu)復(fù)雜,實施費用較高
安全網(wǎng)閘的三個組件都必須為大容量存儲設(shè)備,特別在支持多種應(yīng)用的情況下,存儲轉(zhuǎn)發(fā)決定了必須采用較大的存儲器來存儲和緩存大量的交換數(shù)據(jù)。另外,安全網(wǎng)閘由于處在兩個網(wǎng)段的結(jié)合部,具有網(wǎng)關(guān)的地位,一旦當(dāng)機就會使兩邊數(shù)據(jù)無法交換,所以往往需要配置多臺網(wǎng)閘設(shè)備作為冗余,使購置和實施費用不可避免地上升了;
e.技術(shù)不成熟,沒有形成體系化
安全網(wǎng)閘技術(shù)是一項新興的網(wǎng)絡(luò)安全技術(shù),尚無專門的國際性研究組織對其進行系統(tǒng)的研究和從事相關(guān)體系化標(biāo)準(zhǔn)的制定工作。對其工作原理的界定也很模糊,在國外,一些應(yīng)用的比較多的安全網(wǎng)閘產(chǎn)品,比如國外的e-gap(whale公司)和airgapag系列(spearhead公司),本質(zhì)上它們是一種內(nèi)容過濾型防火墻,由于支持交互式會話,嚴格意義上已經(jīng)不屬于物理隔離產(chǎn)品。國內(nèi)的安全網(wǎng)閘成熟產(chǎn)品少,由于諸多原因,也并未得到充分推廣;
f.可能造成其他安全產(chǎn)品不能正常工作,并帶來瓶頸問題
安全性和易用性始終是一對矛盾,在已有的防火墻,vpn,aaa認證設(shè)備等安全設(shè)施的多重構(gòu)架環(huán)境中,安全網(wǎng)閘產(chǎn)品的加入,使網(wǎng)絡(luò)日趨復(fù)雜化,正常的訪問連接越來越多的被各種不可見和不易見因素所干擾和影響,已經(jīng)配置好的各種網(wǎng)絡(luò)產(chǎn)品和安全產(chǎn)品,可能由于安全網(wǎng)閘的配置不當(dāng)而受到影響。由于多重過濾的安全設(shè)施結(jié)構(gòu),安全網(wǎng)閘的加入使瓶頸問題更加突出。因為電子開關(guān)切換速率的固有特性和安全過濾內(nèi)容功能的復(fù)雜化,目前安全網(wǎng)閘的交換速率已接近該技術(shù)的理論速率極限,可以預(yù)見在不久的將來,隨著高速網(wǎng)絡(luò)技術(shù)的發(fā)展,安全網(wǎng)閘在交換速率上的問題將會成為阻礙網(wǎng)絡(luò)數(shù)據(jù)交換的重要因素。
四、物理隔離網(wǎng)閘與防火墻的對比
在設(shè)計理念方面,防火墻是以應(yīng)用為主的安全為輔的,也就是說在支持盡可能多的應(yīng)用的前提下,來保證使用的安全。防火墻的這一設(shè)計理念使得它可以廣泛地用于盡可能多的領(lǐng)域,擁有更加廣泛的市場。而網(wǎng)閘則是以安全為主,在保證安全的前提下,支持盡可能多地應(yīng)用。網(wǎng)閘主要用于安全性要求極高的領(lǐng)域,例如對政府網(wǎng)絡(luò),工業(yè)控制系統(tǒng)的保護等等。顯然,由于把安全性放在首位,這樣就會有更加嚴格的安全規(guī)則和更多地限制,因此可以應(yīng)用的范圍也較防火墻少一些,主要用那些對安全性要求較高的環(huán)境下。相反防火墻可以應(yīng)用于非常廣泛的應(yīng)用領(lǐng)域,甚至包括個人電腦都可以使用,但是它的安全性往往就差強人意。人們常常發(fā)現(xiàn)被防火墻防護的網(wǎng)絡(luò)依然常常被黑客和病毒攻擊。現(xiàn)在有很多網(wǎng)絡(luò)攻擊都是發(fā)生在有防火墻的情況下,根據(jù)美國財經(jīng)雜志統(tǒng)計資料表明,30%的入侵發(fā)生在有防火墻的情況下。由于這種設(shè)計理念的區(qū)別,因此可以有軟件防火墻,但是卻不會有軟件網(wǎng)閘。
設(shè)計理念的不同也導(dǎo)致系統(tǒng)的整體設(shè)計也完全不同。硬件防火墻雖然可以有多種設(shè)計方式,但是一般來說,它都是單一的計算機系統(tǒng)由一個操作系統(tǒng)來控制構(gòu)的,用戶的內(nèi)網(wǎng)和外網(wǎng)都連接在這同一個系統(tǒng)上。然而安全隔離網(wǎng)閘卻完全不同,它自少由三部分組成,內(nèi)網(wǎng)處理單元,外網(wǎng)處理單元和一個隔離島。一般來說,內(nèi)外網(wǎng)處理單元是兩個完全獨立計算機的系統(tǒng)構(gòu),擁有各自獨立的操作系統(tǒng)。內(nèi)網(wǎng)處理單元與用戶的內(nèi)網(wǎng)相連,外網(wǎng)處理單元與外部網(wǎng)絡(luò)相連,內(nèi)外網(wǎng)處理系統(tǒng)之間通過隔離島進行非協(xié)議的信息交換??梢钥吹贸鰜恚W(wǎng)閘的結(jié)構(gòu)較防火墻要復(fù)雜的多,顯然有兩個獨立的系統(tǒng)分別連接內(nèi)外網(wǎng),中間再由隔離島隔離,要比防火墻的設(shè)計要安全得多,當(dāng)然設(shè)計的難度也要高得多。當(dāng)然區(qū)別不僅僅如此,由于設(shè)計理念以及硬件結(jié)構(gòu)的完全不同,在軟件設(shè)計上也有很大的區(qū)別,很很高的難度,這里就不再細說。
無論從功能還是實現(xiàn)原理上講,安全隔離網(wǎng)閘和防火墻是完全不同的兩個產(chǎn)品,防火墻是保證網(wǎng)絡(luò)層安全的邊界安全工具(如通常的非軍事化區(qū)),而安全隔離網(wǎng)閘重點是保護內(nèi)部網(wǎng)絡(luò)的安全。因此兩種產(chǎn)品由于定位的不同,因此不能相互取代。
防火墻是網(wǎng)絡(luò)層邊界檢查工具,可以設(shè)置規(guī)則對內(nèi)部網(wǎng)絡(luò)進行安全防護,而ids一般是對已知攻擊行為進行檢測,這兩種產(chǎn)品的結(jié)合可以很好的保護用戶的網(wǎng)絡(luò),但是從安全原理上來講,無法對內(nèi)部網(wǎng)絡(luò)做更深入的安全防護。安全隔離網(wǎng)閘重點是保護內(nèi)部網(wǎng)絡(luò),如果用戶對內(nèi)部網(wǎng)絡(luò)的安全非常在意,那么防火墻和ids再加上安全隔離網(wǎng)閘將會形成一個很好的防御體系。
五、網(wǎng)閘在中國信息化建設(shè)中的應(yīng)用
當(dāng)前,國內(nèi)網(wǎng)閘市場已經(jīng)具備一定規(guī)模,進入市場成熟期。前期用戶主要集中在政府、公安等對安全性要求很高的重要部門。隨著網(wǎng)閘產(chǎn)品的更新?lián)Q代,安全隔離網(wǎng)閘越來越趨向適用于包括政府、公安在內(nèi)的其他行業(yè),如:軍隊、銀行、金融、證券、工商、航空、電力和電子商務(wù)等有高安全級別需求的網(wǎng)絡(luò)。
就電子政務(wù)建設(shè)來說,目前,各政府行業(yè)面向全國的縱向網(wǎng)絡(luò)建設(shè)已經(jīng)基本完成,但是行業(yè)網(wǎng)絡(luò)之間的橫向數(shù)據(jù)交換由于安全缺乏保障的原因而發(fā)展滯后。網(wǎng)閘能夠完美解決電子政務(wù)建設(shè)中不同網(wǎng)絡(luò)之間、同一網(wǎng)絡(luò)的不同安全域之間的數(shù)據(jù)安全交換、擺渡。使得原有各個政府部門之間相互獨立的網(wǎng)絡(luò)之間數(shù)據(jù)交換、各種跨部門跨行業(yè)的協(xié)同辦公得以實現(xiàn)。
國內(nèi)網(wǎng)閘技術(shù)的發(fā)展自2000年第一臺網(wǎng)閘的誕生后,至今已有將近八年的歷史,網(wǎng)閘產(chǎn)品的性能有了大規(guī)模的提升,功能也得到大規(guī)模的擴展,網(wǎng)閘市場出現(xiàn)一派繁榮景象。如代表我國的gap研發(fā)與服務(wù)水準(zhǔn)的天行網(wǎng)安公司于今年新推出的“網(wǎng)閘家族”,其家族成員就是一系列按不同硬件性能進行劃分、并針對不同的硬件平臺進行軟件系統(tǒng)優(yōu)化、提供多種可選軟件功能模塊的網(wǎng)閘系列新品,用戶可根據(jù)需求的不同,靈活選擇軟硬件組合,從而更進一步提高網(wǎng)閘的適用性使得各項性能均達到最優(yōu)化,最大限度的發(fā)揮網(wǎng)閘的安全防護作用。
“網(wǎng)閘家族”的出現(xiàn),預(yù)示著未來網(wǎng)閘技術(shù)將朝著更加深入應(yīng)用的方向發(fā)展,以其作為核心的“綜合接入平臺”,更可以在多對多的網(wǎng)絡(luò)之間實現(xiàn)集中統(tǒng)一管理的訪問接入和數(shù)據(jù)交換,推動信息化建設(shè)的進一步發(fā)展。硬件實現(xiàn)的可信計算、深度內(nèi)容檢查等技術(shù)也越來越多地被融入到網(wǎng)閘產(chǎn)品當(dāng)中,網(wǎng)閘對各種應(yīng)用架構(gòu)、應(yīng)用系統(tǒng)的適應(yīng)性將會得到更大程度的提高,為越來越多的應(yīng)用提供強有力的安全保障。
摘要:文章主要從安全隔離網(wǎng)閘技術(shù)誕生和發(fā)展過程開始,較詳細地對安全隔離網(wǎng)閘技術(shù)的原理、結(jié)構(gòu)、特點進行了分析,并對照傳統(tǒng)的網(wǎng)絡(luò)防御技術(shù)如防火墻、ids等技術(shù),論述了安全隔離網(wǎng)閘技術(shù)在大型計算機網(wǎng)路應(yīng)用中優(yōu)越性、安全性、可靠性。
關(guān)鍵詞:安全隔離網(wǎng)閘防火墻gap信
息數(shù)據(jù)安全
隨著計算機網(wǎng)絡(luò)的不斷普及和發(fā)展,已經(jīng)應(yīng)用了十年左右的時間的傳統(tǒng)的網(wǎng)絡(luò)防御技術(shù)如防火墻、ids等技術(shù),其安全效能正在下降,最新的病毒、黑客攻擊已經(jīng)使傳統(tǒng)防御技術(shù)防不勝防,因為這些病毒和攻擊技術(shù)正是針對防火墻、ids的弱點進行攻擊和傳播的。信息化建設(shè)迫切需要引入新的、更強有力的防御技術(shù)為其發(fā)展作保障。攻擊技術(shù)的不斷進化,催生了防御技術(shù)的革命,網(wǎng)閘因此而誕生。
網(wǎng)閘又叫安全隔離與信息交換系統(tǒng)。美國、以色列等國家規(guī)定高密級網(wǎng)絡(luò)要采用物理隔離,從1999年開始,使用物理隔離卡。物理隔離卡保證了網(wǎng)絡(luò)間的物理隔離,但是卻無法實現(xiàn)信息交換。
隨著網(wǎng)絡(luò)應(yīng)用及我國信息化建設(shè)和電子政務(wù)的發(fā)展,網(wǎng)絡(luò)間在物理隔離基礎(chǔ)上進行適度、可控和安全的數(shù)據(jù)交換的需求在我國逐漸顯露。安全隔離網(wǎng)閘技術(shù)應(yīng)運而生。
網(wǎng)閘技術(shù)在物理隔離技術(shù)基礎(chǔ)上,實現(xiàn)了網(wǎng)絡(luò)間物理層和網(wǎng)絡(luò)協(xié)議斷開的同時進行數(shù)據(jù)交換。是新一代高安全度的企業(yè)級信息安全防護設(shè)備,它依托安全隔離技術(shù)為信息網(wǎng)絡(luò)提供了更高層次的安全防護能力,不僅使得信息網(wǎng)絡(luò)的抗攻擊能力大大增強,而且有效地防范了信息外泄事件的發(fā)生。