❶ 內部網路使用網閘與公共網路隔離的方式是"物理隔離"的
網閘的安全思路來自於「不同時連接」。不同時連接兩個網路,通過一個中間緩沖區來「擺渡」業務數據,業務實現了互通,「不連接」原則上入侵的可能性就小多了。網閘只是單純地擺渡數據,近似於人工的「U盤擺渡」方式。網閘的安全性來自於它擺渡的是「純數據」還是「灰數據」,通過的內容清晰可見,「水至清則無魚」,入侵與病毒沒有了藏身之地,網路就相對安全了。也就是說,城門只讓一種人通過,比如送菜的,間諜可混入的概率就大大降低了。但是,網閘作為網路的互聯邊界,必然要支持各種業務的連通,也就是某些通訊協議的通過,所以網閘上大多開通了協議的代理服務,就象城牆上開了一些特殊的通道,網閘的安全性就打了折扣,在對這些通道的安全檢查方面,網閘比多重安全網關的檢查功效不見得高明。網閘的思想是先堵上,根據「城內」的需要再開一些小門,防火牆是先打開大門,對不希望的人再逐個禁止,兩個思路剛好相反。在入侵的識別技術上差不多,所以採用多重網關增加對應用層的識別與防護對兩者都是很好的補充。
後來網閘設計中出現了存儲通道技術、單向通道技術等等,但都不能保證數據的「單純性」,檢查技術由於沒有新的突破,所以網閘的安全性受到了專家們的質疑。但是網閘給我們帶來了兩點啟示:1、建立業務互通的緩沖區,既然連接有不安全的可能,單獨開辟一塊地區,縮小不安全的范圍也是好辦法。2、協議代理,其實防火牆也採用了代理的思想,不讓來人進入到成內,你要什麼服務我安排自己的人給你提供服務,網路訪問的最終目的是業務的申請,我替你完成了,不也達到目的了嗎?黑客在網路的大門外邊,不進來,威脅就小多啦。
所以,為什麼說網閘不是物理隔離,是因為它不能保證數據的單純性。
本文出自http://zhaisj.blog.51cto.com/219066/55741/
❷ 防火牆與網閘有區別嗎
網閘(GAP)全稱安全隔離網閘。安全隔離網閘是一種由帶有多種控制功能專用硬體在電路上切斷網路之間的鏈路層連接,並能夠在網路間進行安全適度的應用數據交換的網路安全設備。安全隔離網閘是由軟體和硬體組成。 安全隔離網閘的硬體設備由三部分組成:外部處理單元、內部處理單元、隔離安全數據交換單元。安全數據交換單元不同時與內外網處理單元連接,為2+1的主機架構。隔離網閘採用SU-Gap安全隔離技術,創建一個內、外網物理斷開的環境。
防火牆只是在軟體方面進行防禦的,不涉及到物理的層面,這就是區別
❸ 哪位高人幫忙解釋一下下安全隔離網閘和防火牆的區別是什麼啊
2002年FBI/CSI調查報告顯示,計算機攻擊事件正以每年64%的速度增加。這種威脅對我國關鍵領域一直存在,特別是「金盾「、「金審」、「金財」、「金稅」等政務工程的核心政務網(涉密網)、政務專網等核心系統,運行著很多重要涉密信息,網路與信息的安全性尤為重要。
目前國家明確規定政府的涉密網路應與互聯網保持物理隔離,確保信息安全。這樣確實有效避免了來自Internet 的網路威脅。然而涉密網路之間如行業內部上下級與不同行業部門之間是相互不信任的關系,當信息流通時就面臨帶來的安全問題;如公安內網中的敏感信息需要流通到檢委內網,同時兩個部門涉密網內部都具有高度的信息敏感資源,相互是不信任關系,再比如工商內網與稅務內網、財政內網與海關內網之間的信息流通都面臨涉密網的安全與互通問題。所以必須採取相應的安全措施來保障涉密內網的安全問題,目前常用以下兩種方法。
用人工拷貝實現隔離下的信息交換
目前,涉密網路通常與外界實現物理隔離,當涉密網之間需要交換信息時,通常在中間區域設置雙方數據伺服器,通過可信人員通過人工拷貝來實現。通過人工拷貝的方式,的確避免了來自不信任網路的黑客攻擊等威脅,然而也帶來新的問題。首先,人工投入管理開銷比較大,雙方必須投入人員參與數據拷貝工作;其次,人工拷貝實時性較差,無法發揮網路信息技術帶來的快速的通信便利等優點;最後,由於頻繁使用軟盤或其他存儲介質,增加了病毒和木馬程序傳播的途徑和幾率,帶來新的安全問題。所以該方式無法適應電子政務的發展趨勢。
用防火牆等邏輯機制保護涉密內網的安全
除採用保證物理隔離條件下採用人工拷貝實現信息交換的方式外,另一些部門涉密內網之間採用了防火牆來實現與其他專網之間的邏輯隔離。但防火牆發展到現在仍存在以下弱點。
圖1 單方不信任涉密內網之間安全隔離解決方案
首先防火牆無法抵禦數據驅動式攻擊,即大量合法的數據包導致網路阻塞而使正常通信癱瘓;其次,防火牆很難阻止由通用協議本身漏洞發起的入侵;再次,防火牆系統本身的缺陷也是影響內部網路安全的重要問題;另外,只有正確、合理配置防火牆才能起到本身的安全作用,而配置的復雜為網管人員帶來煩瑣工作量的同時,也增加了配置不當帶來的隱患。由於目前能攻破防火牆的技術正不斷發展,所以對於涉密網路中使用防火牆做屏障是不可靠的防禦手段。
由上面分析可知,第一種解決方案雖實現了物理隔離,但缺乏信息實時機制,而且人員管理開銷較大;第二種方案採用了安全防禦機制不太嚴密的邏輯隔離技術來保護涉密網路的信息安全,無疑為數據泄秘和黑客破壞等提供了可能。故兩者不能算完整的解決方案。而目前漸漸興起的GAP技術可以為涉密網路提供可靠的保護,該技術利用專用硬體保證兩個網路在物理鏈路層斷開的前提下實現數據安全傳輸和資源共享,並能夠顯著提高內部用戶網路的安全強度。
天行網安GAP技術讓信息隔離並交換著
天行安全隔離網閘(Topwalk-GAP)是由天行網安信息技術有限公司與公安部通信局聯合研製的新一代安全隔離產品,也是GAP技術在國內的代表產品之一。該產品採用自主產權的專用隔離硬體和多個處理單元緊密集成的獨特設計,集成各種安全模塊為一體,部署於信任網路與非信任網路之間,能夠防止並抵禦各種網路攻擊及黑客病毒入侵,並給用戶提供了文件傳輸與資料庫交換、收發郵件和瀏覽網頁等多種信息交換方式。它通常部署於信任與非信任網路之間的核心內部網路之間,採用GAP(安全隔離)技術、協議轉換、安全操作系統內核技術、內核的入侵檢測技術、病毒掃描技術以及安全P&P(Pull and Push)等安全技術,杜絕有害信息,組成網路之間數據交換的安全通道。該隔離網閘主要提供了以下功能模塊以及根據用戶特殊要求的定製模塊。
單方信任涉密網路隔離解決方案
在同行業部門上下級涉密網常要面臨信息流通的問題,在這種情況下通常具備下級信任上級、上級的信息敏感度比下級要高等特點,即不同信任級別的涉密網要進行信息交換,可以參考以下解決方案。
圖2 涉密網路之間信息交換示意圖
如圖2所示,左邊方框內表示信任部門的涉密內網,通常為中央、部委、省級機關等重要部門的核心內部網路,在涉密內網通常運行關系國家機密、政府和經濟敏感信息等資源,所以對安全性要求很高。而這些部門內網需要通過專網同地方、下級相應部門的涉密內網進行信息共享與交換。在這種情況下,通常是上級安全性高於下級,中央政府高於地方政府的單方信任關系,可採用上述單方信任涉密網之間安全解決方案。該方案將隔離網閘設在可信任端,所有請求從信任端發起,確保了信任涉密網的安全性。同時隔離網閘為用戶提供了多種功能模塊,實現了靈活方便的如公文交換、郵件收發、資料庫共享等功能,從而滿足如部門上下級等不同涉密網路之間的信息共享需求。
雙方不信任涉密網隔離解決方案
在電子政務的應用中,常常遇到不同行業的網路之間信息交換的問題。由於兩個行業部門都有各自的信息管理系統和人員管理體制,所以仍應在保證雙方涉密網的高度安全下實現適度信息交換。如圖3所示,A部門涉密內網和B部門涉密內網都屬於對安全高敏感區域,通常要求與外網安全隔離。由於涉密內網之間需要適度交換信息,所以應為雙方設置數據中間區域。中間區域與兩邊涉密內網通過安全隔離網閘來實現隔離下的信息交換。
如此配置安全隔離網閘基於以下幾點:安全隔離網閘採取了安全的數據P&P(Pull and Push)技術,所有請求由內網(即信任網路端)發起,外部處理單元不提供任何服務。所以建議設中間隔離區域提供文件、郵件和資料庫的伺服器,負責接受雙方提交的數據,然後再由涉密網內部主動請求從中間隔離區域提取所需要的數據。這樣保證用戶提交數據或提取數據都由雙方可信任方主動發起,在加上安全隔離網閘所採用的訪問控制和身份驗證機制,確保了雙方交換數據信息時的安全性和可靠性,同時保證了信息流通的實時性和易操作性。
GAP技術信息交換有優勢
上述兩套方案通過採用天行安全隔離網閘(Topwalk-GAP)作為涉密網路之間的隔離屏障,該產品通過不同涉密網路之間物理鏈路層斷開以得到高度安全,並滿足了相互之間進行多種形式的信息交換。
與人工拷貝相比具備的優勢具有以下優勢:
交換方式靈活多樣
GAP技術提供了文件交換、資料庫交換以及郵件收發等多種安全數據交換手段。如果人工拷貝只能通過軟盤或其他移動存儲介質實現文件間的拷貝,當文件過多或過大時,難以滿足需求,或者在大型關系資料庫間表格或記錄傳遞時無法實現。
信息交換及時
該產品硬體內部數據交換速率達到819.2Mbps,系統數據交換速率達到120Mbps,硬體切換時間只有5ms,最大並發連接數更是突破了目前國內最多1500個的限制,達到了5000以上,可保證內外網的信息交換在較短的時間完成,可以滿足大部分政府辦公對信息交換的需求,而人工拷貝則耗時較多。
具有病毒和關鍵字內容過濾功能
人工拷貝需要採用軟盤等移動存儲介質,往往成為病毒或木馬程序傳播的途徑,同時也不易於集中管理控制。採用隔離網閘時,交換的文件或數據會被進行病毒或關鍵字內容檢測,大大降低了由病毒或無意泄露信息帶來的安全風險。
圖3 雙方不信任涉密內網之間安全隔離解決方案
GAP技術與防火牆等產品相比,該產品具備的需求以下的優勢:
比防火牆安全強度更高和更可靠
防火牆採用在網路層上的邏輯隔離機制,即主要通過軟體策略來實現,由於在網路層是相通的,所以很難終結有經驗的黑客。基於GAP技術的天行安全隔離網閘實現了涉密網與外界基於鏈路層的安全隔離,使得黑客基於網路協議的攻擊無效,這樣不但消除了通用協議漏洞給涉密內網帶來的威脅,同時也使內部的系統與軟體後門與漏洞不會被外部利用。
有效阻止DOS網路攻擊
由於防火牆通常建立在TCP/IP協議的通路上,需要提供對外服務,而拒絕服務攻擊(DOS),就是利用TCP/IP協議的缺陷,對於隔離網閘外部處理單元不需要運行任何伺服器程序,並保證了與內網不存在TCP/IP協議通路,不接受來自外部任何主機的發起連接(TCP SYN),這樣外部主機對於網際網路來說就像被隱藏了一樣,有效保證了隔離網閘本身和內網的安全性。
防配置錯誤引起的網路隱患
我們知道,防火牆是由一系列的規則組成,使用該規則對於進出的網路包進行檢查,通常情況下,防火牆都比較安全,但是也有可能出現配置錯誤,造成不安全通道打開,這樣就有可能被黑客所利用。而隔離網閘僅允許定製的信息進行交換,即使出現錯誤,也至多是數據不再傳輸,而不會為黑客打開安全之門。
避免操作系統和軟體的不斷升級
通常防火牆只能防止網路層的攻擊,對於操作系統和軟體出現的安全問題並不能提供一個很好的防護方式,很多採用防火牆的用戶仍然受到「Nimda」病毒困擾就是一個很好的例證,用戶使用了防火牆仍然得不斷地升級自己的操作系統和瀏覽器,以避免由於這些問題導致系統被攻擊。而隔離網閘由於在鏈路層斷開,禁止所有的直接網路連接,因此可以有效保證內部系統的安全,避免了用戶繁雜的升級工作。
隨著計算機網路的不斷普及和發展,已經應用了十年左右的時間的傳統的網路防禦技術如防火牆、ids等技術,其安全效能正在下降,最新的病毒、黑客攻擊已經使傳統防禦技術防不勝防,因為這些病毒和攻擊技術正是針對防火牆、ids的弱點進行攻擊和傳播的。信息化建設迫切需要引入新的、更強有力的防禦技術為其發展作保障。攻擊技術的不斷進化,催生了防禦技術的革命,網閘因此而誕生。 網閘又叫安全隔離與信息交換系統。美國、以色列等國家規定高密級網路要採用物理隔離,從1999年開始,使用物理隔離卡。物理隔離卡保證了網路間的物理隔離,但是卻無法實現信息交換。
隨著網路應用及我國信息化建設和電子政務的發展,網路間在物理隔離基礎上進行適度、可控和安全的數據交換的需求在我國逐漸顯露。安全隔離網閘技術應運而生。 網閘技術在物理隔離技術基礎上,實現了網路間物理層和網路協議斷開的同時進行數據交換。是新一代高安全度的企業級信息安全防護設備,它依託安全隔離技術為信息網路提供了更高層次的安全防護能力,不僅使得信息網路的抗攻擊能力大大增強,而且有效地防範了信息外泄事件的發生。
當前,國內網閘市場已經具備一定規模,進入市場成熟期。前期用戶主要集中在政府、公安等對安全性要求很高的重要部門。隨著網閘產品的更新換代,安全隔離網閘越來越趨向適用於包括政府、公安在內的其他行業,如:軍隊、銀行、金融、證券、工商、航空、電力和電子商務等有高安全級別需求的網路。 就電子政務建設來說,目前,各政府行業面向全國的縱向網路建設已經基本完成,但是行業網路之間的橫向數據交換由於安全缺乏保障的原因而發展滯後。網閘能夠完美解決電子政務建設中不同網路之間、同一網路的不同安全域之間的數據安全交換、擺渡。使得原有各個政府部門之間相互獨立的網路之間數據交換、各種跨部門跨行業的協同辦公得以實現。 國內網閘技術的發展自2000年第一台網閘的誕生後,至今已有將近八年的歷史,網閘產品的性能有了大規模的提升,功能也得到大規模的擴展,網閘市場出現一派繁榮景象。如代表我國的gap研發與服務水準的天行網安公司於今年新推出的「網閘家族」,其家族成員就是一系列按不同硬體性能進行劃分、並針對不同的硬體平台進行軟體系統優化、提供多種可選軟體功能模塊的網閘系列新品,用戶可根據需求的不同,靈活選擇軟硬體組合,從而更進一步提高網閘的適用性使得各項性能均達到最優化,最大限度的發揮網閘的安全防護作用。 「網閘家族」的出現,預示著未來網閘技術將朝著更加深入應用的方向發展,以其作為核心的「綜合接入平台」,更可以在多對多的網路之間實現集中統一管理的訪問接入和數據交換,推動信息化建設的進一步發展。硬體實現的可信計算、深度內容檢查等技術也越來越多地被融入到網閘產品當中,網閘對各種應用架構、應用系統的適應性將會得到更大程度的提高,為越來越多的應用提供強有力的安全保障。
❺ 防火牆和網閘的區別是什麼
防火牆最終目的是為了內網的安全防護,防止外網對內網的攻擊,同時對內網訪問互聯網的行為進行控制。
而網閘的工作原理是信息擺渡,也就是可以實現完全隔離的不同網段之間的有條件訪問,這是防火牆實現不了的。
舉個例子說,如果你有兩個網段想互相訪問,通過防火牆設置的話只是通過策略和路由實現,而通過網閘的話是用它自己的協議重新封裝ip包再進行訪問。網閘因為是用自己的協議重新封裝ip包,所以處理數據多,速度慢。
❻ 單向隔離網閘和雙向隔離網閘有何區別
一、應用層不同
1、單向網閘是指應用層是單向的,也就是數據只能從一個方向流,不能從另一個方向流。
2、雙向網閘是雙向可流動的。
二、標准不同
1、單向網閘是國家電監會和國家電網為保證國家電力系統不受攻擊而要求所有的電力系統必須安裝的設備,單向網閘的標準是由國家電力調度中心制定的。
2、雙向網閘是並沒有這個要求。
(6)網路安全網閘擴展閱讀:
使用網閘的意義
1、當用戶的網路需要保證高強度的安全,同時又與其它不信任網路進行信息交換的情況下,如果採用物理隔離卡,用戶必須使用開關在內外網之間來回切換,不僅管理起來非常麻煩,使用起來也非常不方便。
如果採用防火牆,由於防火牆自身的安全很難保證,所以防火牆也無法防止內部信息泄漏和外部病毒、黑客程序的滲入,安全性無法保證。在這種情況下,安全隔離網閘能夠同時滿足這兩個要求,彌補了物理隔離卡和防火牆的不足之處,是最好的選擇。
2、對網路地隔離是通過網閘隔離硬體實現兩個網路在鏈路層斷開,但是為了交換數據,通過設計的隔離硬體在兩個網路對應的上進行切換,通過對硬體上的存儲晶元的讀寫,完成數據的交換。
3、安裝了相應的應用模塊之後,安全隔離網閘可以在保證安全的前提下,使用戶可以瀏覽網頁、收發電子郵件、在不同網路上的資料庫之間交換數據,並可以在網路之間交換定製的文件。
❼ 網關和網閘、防火牆有什麼區別
一、主體不同
1、網關:又稱網間連接器、協議轉換器。
2、網閘:是使用帶有多種控制功能的固態開關讀寫介質,連接兩個獨立主機系統的信息安全設備。
3、防火牆:是通過有機結合各類用於安全管理與篩選的軟體和硬體設備。
二、作用不同
1、網關:在網路層以上實現網路互連,是復雜的網路互連設備,僅用於兩個高層協議不同的網路互連。
2、網閘:由於兩個獨立的主機系統通過網閘進行隔離,使系統間不存在通信的物理連接、邏輯連接及信息傳輸協議,不存在依據協議進行的信息交換,而只有以數據文件形式進行的無協議擺渡。
3、防火牆:幫助計算機網路於其內、外網之間構建一道相對隔絕的保護屏障,以保護用戶資料與信息安全性的一種技術。
三、特點不同
1、網關:關既可以用於廣域網互連,也可以用於區域網互連。 網關是一種充當轉換重任的計算機系統或設備。
2、網閘:從邏輯上隔離、阻斷了對內網具有潛在攻擊可能的一切網路連接,使外部攻擊者無法直接入侵、攻擊或破壞內網,保障了內部主機的安全。
3、防火牆:主要在於及時發現並處理計算機網路運行時可能存在的安全風險、數據傳輸等問題,其中處理措施包括隔離與保護,同時可對計算機網路安全當中的各項操作實施記錄與檢測,以確保計算機網路運行的安全性。
❽ 網閘和防火牆的區別
網閘是一種由帶有多種控制功能專用硬體在電路上切斷網路之間的鏈路層連接,並能夠在網路間進行安全適度的應用數據交換的網路安全設備。
與防火牆的區別
防火牆一般在進行IP包轉發的同時,通過對IP包的處理,實現對TCP會話的控制,但是對應用數據的內容不進行檢查。這種工作方式無法防止泄密,也無法防止病毒和黑客程序的攻擊。無論從功能還是實現原理上講,安全隔離網閘和防火牆是完全不同的兩個產品,防火牆是保證網路層安全的邊界安全工具(如通常的非軍事化區),而安全隔離網閘重點是保護內部網路的安全。因此兩種產品由於定位的不同,因此不能相互取代
❾ 安全接入網閘
網閘的全稱是安全隔離網閘,也叫信息交換與安全隔離系統.它是一種由帶有多種控制功能專用硬體在電路上切斷網路之間的鏈路層連接,並能夠在網路間進行安全適度的應用數據交換的網路安全設備。由軟體和硬體(包括外部處理單元、內部處理單元、隔離硬體)組成。對網路地隔離是通過網閘隔離硬體實現兩個網路在鏈路層斷開,但是為了交換數據,通過設計的隔離硬體在兩個網路對應的上進行切換,通過對硬體上的存儲晶元的讀寫,完成數據的交換.安裝了相應的應用模塊之後,安全隔離網閘可以在保證安全的前提下,使用戶可以瀏覽網頁、收發電子郵件、在不同網路上的資料庫之間交換數據,並可以在網路之間交換定製的文件。安全隔離網閘通常具備的安全功能有安全隔離、內核防護、協議轉換、病毒查殺、訪問控制、安全審計、身份認證。它能夠防止未知和已知木馬攻擊。作為提供數據交換的隔離設備,安全隔離網閘上內嵌病毒查殺的功能模塊,可以對交換的數據進行病毒檢查。安全隔離網閘與物理隔離卡最主要的區別是,安全隔離網閘能夠實現兩個網路間的自動的安全適度的信息交換,而物理隔離卡只能提供一台計算機在兩個網之間切換,並且需要手動操作,大部分的隔離卡還要求系統重新啟動以便切換硬碟。安全隔離網閘在網路間進行的安全適度的信息交換是在網路之間不存在鏈路層連接的情況下進行的。安全隔離網閘通常布置在兩個安全級別不同的兩個網路之間,如信任網路和非信任網路,管理員可以從信任網路一方對安全隔離網閘進行管理。安全隔離網閘直接處理網路間的應用層數據,利用存儲轉發的方法進行應用數據的交換,在交換的同時,對應用數據進行的各種安全檢查。路由器、交換機則保持鏈路層暢通,在鏈路層之上進行IP包等網路層數據的直接轉發,沒有考慮網路安全和數據安全的問題。安全隔離網閘的隔離硬體需要專用硬體,隔離硬體一般都由GAP廠商提供,其中對高速切換裝置的切換頻率要求非常高。使用專用隔離硬體的安全隔離網閘的安全隔離是在硬體上實現的,在隔離硬體上固化了模擬開關,無法通過軟體編程方式進行改變;而通過1394或者串口連接兩台或多台系統,其上的隔離切換實質上是通過軟體來實現的,其安全性和用標准乙太網卡相連的兩台PC無異。由此可知1394或者串口實現的「軟隔離」在安全性上和安全隔離網閘不具可比性,相差甚遠。如果針對網路七層協議,安全隔離網閘是在硬體鏈路層上斷開。使用時,如果用戶的網路上存儲著重要的數據、運行著重要的應用,通過防火牆等措施不能提供足夠高的安全性保護的情況下,可以考慮使用安全隔離網閘。提到的「編輯接入平台」不太清楚到底具體指的是什麼,結合上文可以明確網閘的概念,根據所謂的「編輯接入平台」具體情況看看吧
❿ 網關和網閘是一個概念嗎如何更好的理解謝謝!
網關(Gateway)又稱網間連接器、協議轉換器。網關在網路層以上實現網路互連,是最復雜的網路互連設備,僅用於兩個高層協議不同的網路互連。網關既可以用於廣域網互連,也可以用於區域網互連。 網關是一種充當轉換重任的計算機系統或設備。使用在不同的通信協議、數據格式或語言,甚至體系結構完全不同的兩種系統之間,網關是一個翻譯器。與網橋只是簡單地傳達信息不同,網關對收到的信息要重新打包,以適應目的系統的需求。同層--應用層。網閘(GAP)全稱安全隔離網閘。安全隔離網閘是一種由帶有多種控制功能專用硬體在電路上切斷網路之間的鏈路層連接,並能夠在網路間進行安全適度的應用數據交換的網路安全設備。北京數碼星辰宇宙盾網閘很不錯,我們公司用的就是這一款,防病毒能力特別強,據說是該網閘沒有文件系統。我們公司的網閘用了8年了都沒壞。