A. 網路隔離下的幾種數據交換技術比較
一、背景 網路的物理隔離是很多網路設計者都不願意的選擇,網路上要承載專用的業務,其安全性一定要得到保障。然而網路的建設就是為了互通的,沒有數據的共享,網路的作用也縮水了不少,因此網路隔離與數據交換是天生的一對矛盾,如何解決好網路的安全,又方便地實 現數據的交換是很多網路安全技術人員在一直探索的。 網路要隔離的原因很多,通常說的有下面兩點: 1、 涉密的網路與低密級的網路互聯是不安全的,尤其來自不可控制網路上的入侵與攻擊是無法定位管理的。互聯網是世界級的網路,也是安全上難以控制的網路,又要連通提供公共業務服務,又要防護各種攻擊與病毒。要有隔離,還要數據交換是各企業、政府等網路建設的首先面對的問題。
2 安全防護技術永遠落後於攻擊技術,先有了矛,可以刺傷敵人,才有了盾,可以防護被敵人刺傷。攻擊技術不斷變化升級,門檻降低、漏洞出現周期變短、病毒傳播技術成了木馬的運載工具…而防護技術好象總是打不完的補丁,目前互聯網上的「黑客」已經產業化,有些象網路上的「黑社會」,雖然有時也做些殺富濟貧的「義舉」,但為了生存,不斷專研新型攻擊技術也是必然的。在一種新型的攻擊出現後,防護技術要遲後一段時間才有應對的辦法,這也是網路安全界的目前現狀。 因此網路隔離就是先把網路與非安全區域劃開,當然最好的方式就是在城市周圍挖的護城河,然後再建幾個可以控制的「吊橋」,保持與城外的互通。數據交換技術的發展就是研究「橋」上的防護技術。 目前數據交換有幾種技術: 修橋策略:業務協議直接通過,數據不重組,對速度影響小,安全性弱
防火牆FW:網路層的過濾
多重安全網關:從網路層到應用層的過濾,多重關卡策略
渡船策略:業務協議不直接通過,數據要重組,安全性好
網閘:協議落地,安全檢測依賴於現有安全技術
交換網路:建立交換緩沖區,立體化安全監控與防護
人工策略:不做物理連接,人工用移動介質交換數據,安全性做好。二、數據交換技術 1、防火牆 防火牆是最常用的網路隔離手段,主要是通過網路的路由控制,也就是訪問控制列表(ACL)技術,網路是一種包交換技術,數據包是通過路由交換到達目的地的,所以控制了路由,就能控制通訊的線路,控制了數據包的流向,所以早期的網路安全控制方面基本上是使用防火牆。很多互聯網服務網站的「標准設計」都是採用三區模式的防火牆。 但是,防火牆有一個很顯著的缺點:就是防火牆只能做網路四層以下的控制,對於應用層內的病毒、蠕蟲都沒有辦法。對於訪問互聯網的小網路隔離是可以的,但對於需要雙向訪問的業務網路隔離就顯得不足了。 另外值得一提的是防火牆中的NAT技術,地址翻譯可以隱藏內網的IP地址,很多人把它當作一種安全的防護,認為沒有路由就是足夠安全的。地址翻譯其實是代理伺服器技術的一種,不讓業務訪問直接通過是比防火牆的安全前進了一步,但代理服務本身沒有很好的安全防護與控制,主要是靠操作系統級的安全策略,對於目前的網路攻擊技術顯然是脆弱的。目前很多攻擊技術是針對NAT的,尤其防火牆對於應用層沒有控制,方便了木馬的進入,進入到內網的木馬看到的是內網地址,直接報告給外網的攻擊者,地址隱藏的作用就不大了。 2、多重安全網關 防火牆是在「橋」上架設的一道關卡,只能做到類似「護照」的檢查,多重安全網關的方法就是架設多道關卡,有檢查行李的、有檢查人的。多重安全網關也有一個統一的名字:UTM(統一威脅管理)。實現為一個設備,還是多個設備只是設備本身處理能力的不同,重要的是進行從網路層到應用層的全面檢查。^流量整形 |內容過濾 |防攻擊 |防病毒AV |防入侵IPS |防火牆FW |
防火牆與多重安全網關都是「架橋」的策略,主要是採用安全檢查的方式,對應用的協議不做更改,所以速度快,流量大,可以過「汽車」業務,從客戶應用上來看,沒有不同。3、網閘 網閘的設計是「代理+擺渡」。不在河上架橋,可以設擺渡船,擺渡船不直接連接兩岸,安全性當然要比橋好,即使是攻擊,也不可能一下就進入,在船上總要受到管理者的各種控制。另外,網閘的功能有代理,這個代理不只是協議代理,而是數據的「拆卸」,把數據還原成原始的部分,拆除各種通訊協議添加的「包頭包尾」,很多攻擊是通過對數據的拆裝來隱藏自己的,沒有了這些「通訊管理」,攻擊的入侵就很難進入。
網閘的安全理念是: 網路隔離---「過河用船不用橋」:用「擺渡方式」來隔離網路
協議隔離---「禁止採用集裝箱運輸」:通訊協議落地,用專用協議、單向通道技術、存儲等方式阻斷業務的連接,用代理方式支持上層業務 網閘是很多安全網路隔離的選擇,但網閘代理業務的方式不同,協議隔離的概念不斷變化,所以在在選擇網閘的時候要注意網閘的具體實現方式。 4、交換網路 交換網路的模型來源於銀行系統的Clark-Wilson模型,主要是通過業務代理與雙人審計的思路保護數據的完整性。交換網路是在兩個隔離的網路之間建立一個網路交換區域,負責數據的交換。交換網路的兩端可以採用多重網關,也可以採用網閘。在交換網路內部採用監控、審計等安全技術,整體上形成一個立體的交換網安全防護體系。
B. 網路隔離技術的網路隔離技術分類
網路隔離技術有很多種,包括:
物理網路隔離:在兩個DMZ之間配置一個網路,讓其中的通信只能經由一個安全裝置實現。在這個安全裝置裡面,防火牆及IDS/IPS規則會監控信息包來確認是否接收或拒絕它進入內網。這種技術是最安全但也最昂貴的,因為它需要許多物理設備來將網路分隔成多個區塊。
邏輯網路隔離:這個技術藉由虛擬/邏輯設備,而不是物理的設備來隔離不同網段的通信。
虛擬區域網(VLAN):VLAN工作在第二層,與一個廣播區域中擁有相同VLAN標簽的介面交互,而一個交換機上的所有介面都默認在同一個廣播區域。支持VLAN的交換機可以藉由使用VLAN標簽的方式將預定義的埠保留在各自的廣播區域中,從而建立多重的邏輯分隔網路。
虛擬路由和轉發:這個技術工作在第三層,允許多個路由表同時共存在同一個路由器上,用一台設備實現網路的分區。
多協議標簽交換(MPLS):MPLS工作在第三層,使用標簽而不是保存在路由表裡的網路地址來轉發數據包。標簽是用來辨認數據包將被轉發到的某個遠程節點。
虛擬交換機:虛擬交換機可以用來將一個網路與另一個網路分隔開來。它類似於物理交換機,都是用來轉發數據包,但是用軟體來實現,所以不需要額外的硬體。
C. 什麼是網路的物理隔離
所謂「物理隔離」是指內部網不直接或間接地連接公共網。
物理隔離的目的是保護路由器、工作站、網路伺服器等硬體實體和通信鏈路免受自然災害、人為破壞和搭線竊聽攻擊。
只有使內部網和公共網物理隔離,才能真正保證內部信息網路不受來自互聯網的黑客攻擊。此外,物理隔離也為內部網劃定了明確的安全邊界,使得網路的可控性增強,便於內部管理。
網路隔離技術目前有如下兩種技術:
1、單主板安全隔離計算機:其核心技術是雙硬碟技術,將內外網路轉換功能做入BIOS中,並將插槽也分為內網和外網,使用更方便,也更安全,價格界乎於雙主機和隔離卡之間。
2、隔離卡技術:其核心技術是雙硬碟技術,啟動外網時關閉內網硬碟,啟動內網時關閉外網硬碟,使兩個網路和硬碟物理隔離,它不僅用於兩個網路物理隔離的情況,也可用於個人資料要保密又要上互聯網的個人計算機的情況。其優點是價格低,但使用稍麻煩,因為轉換內外網要關機和重新開機。
D. 內部網路使用網閘與公共網路隔離的方式是"物理隔離"的
網閘的安全思路來自於「不同時連接」。不同時連接兩個網路,通過一個中間緩沖區來「擺渡」業務數據,業務實現了互通,「不連接」原則上入侵的可能性就小多了。網閘只是單純地擺渡數據,近似於人工的「U盤擺渡」方式。網閘的安全性來自於它擺渡的是「純數據」還是「灰數據」,通過的內容清晰可見,「水至清則無魚」,入侵與病毒沒有了藏身之地,網路就相對安全了。也就是說,城門只讓一種人通過,比如送菜的,間諜可混入的概率就大大降低了。但是,網閘作為網路的互聯邊界,必然要支持各種業務的連通,也就是某些通訊協議的通過,所以網閘上大多開通了協議的代理服務,就象城牆上開了一些特殊的通道,網閘的安全性就打了折扣,在對這些通道的安全檢查方面,網閘比多重安全網關的檢查功效不見得高明。網閘的思想是先堵上,根據「城內」的需要再開一些小門,防火牆是先打開大門,對不希望的人再逐個禁止,兩個思路剛好相反。在入侵的識別技術上差不多,所以採用多重網關增加對應用層的識別與防護對兩者都是很好的補充。
後來網閘設計中出現了存儲通道技術、單向通道技術等等,但都不能保證數據的「單純性」,檢查技術由於沒有新的突破,所以網閘的安全性受到了專家們的質疑。但是網閘給我們帶來了兩點啟示:1、建立業務互通的緩沖區,既然連接有不安全的可能,單獨開辟一塊地區,縮小不安全的范圍也是好辦法。2、協議代理,其實防火牆也採用了代理的思想,不讓來人進入到成內,你要什麼服務我安排自己的人給你提供服務,網路訪問的最終目的是業務的申請,我替你完成了,不也達到目的了嗎?黑客在網路的大門外邊,不進來,威脅就小多啦。
所以,為什麼說網閘不是物理隔離,是因為它不能保證數據的單純性。
本文出自http://zhaisj.blog.51cto.com/219066/55741/
E. 以下哪個不屬於常見的網路連接設備 選項: a、數據機 b、網路適配器 c、路由器 d、域名伺服器
不屬於常見網路連接設備的是:域名伺服器。
DNS(Domain Name Server,域名伺服器)是進行域名(domain name)和與之相對應的IP地址 (IP address)轉換的伺服器。DNS中保存了一張域名(domain name)和與之相對應的IP地址 (IP address)的表,以解析消息的域名。 域名是Internet上某一台計算機或計算機組的名稱,用於在數據傳輸時標識計算機的電子方位(有時也指地理位置)。
(5)哪個不屬於網路隔離方式擴展閱讀:
一個域名解析到某一台伺服器上,並且把網頁文件放到這台伺服器上,用戶的電腦才知道去哪一台伺服器獲取這個域名的網頁信息。這是通過域名伺服器來實現的。
域名伺服器DNS是英文Domain Name Server的縮寫。每一個域名都至少要有兩個DNS伺服器,這樣如果其中一個DNS伺服器出現問題,另外一個也可以返回關於這個域名的數據。DNS伺服器也可以有兩個以上,但所有這些DNS伺服器上的DNS記錄都應該是相同的。
F. 怎麼查看是否設立必要的網路隔離
隔離有兩種形式,軟體隔離和物理隔離。軟體隔離是通過軟體技術將網路劃分為不同的區域,現在常用的技術是VLAN(虛擬區域網),即可以將原來的網路按照我們的意圖劃分為不同的VLAN即可,處於不同VLAN中的計算機如同處於不同的網路中;物理隔離就要用到硬體了,如三層交換機。網路拓撲當然是遵從應用的劃分來進行,關鍵還在業務。
G. 隔離卡分為哪幾種隔離方式
1 現在想知道我們公司裡面 隔離卡的原理
你們公司的隔離卡是雙硬碟隔離卡。原理是通過插在PCI槽上的隔離卡的控制,使得每次使用的時候,只有一個硬碟起作用。目前有兩種方法控制硬碟的使用,控制數據線和控制電源線。簡單的講,當你在外網的時候,內網的硬碟處於物理斷開的情況(繼電器和晶元都可以斷開硬碟)
在斷開硬碟的同時,也將和硬碟配對的網路斷開,這就是說,每次使用的時候,只有一根網線是起作用的。在隔離卡的設計中,外網線永遠和外網硬碟連接,內網線永遠和內網硬碟連接。你使用哪一個硬碟,就會同時連接上哪一個網路。
2 朋友公司裡面的電腦只需要軟體就可以實現內外切換的方式
你朋友公司的應該不是物理隔離卡,而是一種虛擬系統,或者是只修改IP地址的方法,但不是物理隔離的,不符合國家政策的對頂。
目前市場上絕大部分隔離卡都是用軟體來切換內外網的。軟體的原理就是首先通知硬體要切換到哪個網路,同時通過軟體關閉當前的操作系統和硬碟,當關閉完成之後,就會重啟,此時隔離卡硬體已經將硬碟切換到另外一個,系統按照正常開機的操作進行啟動,相當於進入了另外一個系統。
3 還有什麼方式可以切換沒
隔離卡市場上還有一些方式是使用硬體開關,但是也要重啟。批處理也是一種方法,原理上也是先關機再切換。
目前不使用系統重啟的隔離卡只有方正的快速切換雙網機(5秒左右),有些隔離卡在修改部分原理的情況下可以實現休眠方式的切換(30秒)左右,一般的重啟的隔離卡需要40秒到1分鍾左右的時間。
如果不想用隔離卡來實現切換,可以考慮使用虛擬操作系統,當然也不是物理隔離,同樣有安全隱患。
H. 下列哪個不屬於計算機網路拓撲結構() (A)星型(B)點到點式(C)環型(D)匯流排型
點到點式不屬於計算機網路拓撲結構。計算機網路的拓撲結構,指網上計算機或設備與傳輸媒介形成的結點與線的物理構成模式。
網路的結點有兩類:一類是轉換和交換信息的轉接結點,包括結點交換機、集線器和終端控制器等;另一類是訪問結點,包括計算機主機和終端等。線則代表各種傳輸媒介,包括有形的和無形的。
(8)哪個不屬於網路隔離方式擴展閱讀
拓撲結構的選擇往往與傳輸媒體的選擇及媒體訪問控制方法的確定緊密相關。在選擇網路拓撲結構時,應該考慮的主要因素有下列幾點:
(1)可靠性。盡可能提高可靠性,以保證所有數據流能准確接收;還要考慮系統的可維護性,使故障檢測和故障隔離較為方便。
(2)費用。建網時需考慮適合特定應用的信道費用和安裝費用。
(3)靈活性。需要考慮系統在今後擴展或改動時,能容易地重新配置網路拓撲結構,能方便地處理原有站點的刪除和新站點的加入。
(4)響應時間和吞吐量。要為用戶提供盡可能短的響應時間和最大的吞吐量。
I. 下面哪個不屬於互聯網的接入方式A.PSTN.BADSL.C.光纖.D.ABD
光纖埠是網路連接,不是互聯網接入點,開頭的一個才是互聯網接入方式。
J. 以下哪些連接方式是"物理隔離
物理隔離包含四個方面內容:VIGAP隔離網閘技術 、水線 、物理隔離 、 物理隔離卡 。 1、ViGap隔離網閘,它創建一個這樣的環境,內、外網物理斷開,但邏輯地相連。對於有連接的PC,黑客可以使用各種方法,通過網路連接來對它進行控制,然而物理隔斷卻能杜絕這種情況發生。ViGap就是在這兩個網路之間創建了一個物理隔斷,這意味著網路數據包不能從一個網路流向另外一個網路,並且可信網路上的計算機和不可信網路上的計算機從不會有實際的連接。
2、所謂「物理隔離」是指內部網不得直接或間接地連接公共網。物理安全的目的是保護路由器、工作站、各種網路伺服器等硬體實體和通信鏈路免受自然災害、人為破壞和搭線竊聽攻擊。
3、在每台電腦中通過主板插槽安裝物理隔離卡,把一台普通計算機分成兩台虛擬計算機,實現真正的物理隔離。
4、在單相電源系統中,水線的功能為傳導回饋的電流,與插座端與接地分配在同一個區域。而在台灣地區,只有水線與火線之分。 也就是說,只有使內部網和公共網物理隔離,才能真正保證內部信息網路不受來自互聯網的黑客攻擊。此外,物理隔離也為內部網劃定了明確的安全邊界,使得網路的可控性增強,便於內部管理。