❶ 内部网络使用网闸与公共网络隔离的方式是"物理隔离"的
网闸的安全思路来自于“不同时连接”。不同时连接两个网络,通过一个中间缓冲区来“摆渡”业务数据,业务实现了互通,“不连接”原则上入侵的可能性就小多了。网闸只是单纯地摆渡数据,近似于人工的“U盘摆渡”方式。网闸的安全性来自于它摆渡的是“纯数据”还是“灰数据”,通过的内容清晰可见,“水至清则无鱼”,入侵与病毒没有了藏身之地,网络就相对安全了。也就是说,城门只让一种人通过,比如送菜的,间谍可混入的概率就大大降低了。但是,网闸作为网络的互联边界,必然要支持各种业务的连通,也就是某些通讯协议的通过,所以网闸上大多开通了协议的代理服务,就象城墙上开了一些特殊的通道,网闸的安全性就打了折扣,在对这些通道的安全检查方面,网闸比多重安全网关的检查功效不见得高明。网闸的思想是先堵上,根据“城内”的需要再开一些小门,防火墙是先打开大门,对不希望的人再逐个禁止,两个思路刚好相反。在入侵的识别技术上差不多,所以采用多重网关增加对应用层的识别与防护对两者都是很好的补充。
后来网闸设计中出现了存储通道技术、单向通道技术等等,但都不能保证数据的“单纯性”,检查技术由于没有新的突破,所以网闸的安全性受到了专家们的质疑。但是网闸给我们带来了两点启示:1、建立业务互通的缓冲区,既然连接有不安全的可能,单独开辟一块地区,缩小不安全的范围也是好办法。2、协议代理,其实防火墙也采用了代理的思想,不让来人进入到成内,你要什么服务我安排自己的人给你提供服务,网络访问的最终目的是业务的申请,我替你完成了,不也达到目的了吗?黑客在网络的大门外边,不进来,威胁就小多啦。
所以,为什么说网闸不是物理隔离,是因为它不能保证数据的单纯性。
本文出自http://zhaisj.blog.51cto.com/219066/55741/
❷ 防火墙与网闸有区别吗
网闸(GAP)全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。安全隔离网闸是由软件和硬件组成。 安全隔离网闸的硬件设备由三部分组成:外部处理单元、内部处理单元、隔离安全数据交换单元。安全数据交换单元不同时与内外网处理单元连接,为2+1的主机架构。隔离网闸采用SU-Gap安全隔离技术,创建一个内、外网物理断开的环境。
防火墙只是在软件方面进行防御的,不涉及到物理的层面,这就是区别
❸ 哪位高人帮忙解释一下下安全隔离网闸和防火墙的区别是什么啊
2002年FBI/CSI调查报告显示,计算机攻击事件正以每年64%的速度增加。这种威胁对我国关键领域一直存在,特别是“金盾“、“金审”、“金财”、“金税”等政务工程的核心政务网(涉密网)、政务专网等核心系统,运行着很多重要涉密信息,网络与信息的安全性尤为重要。
目前国家明确规定政府的涉密网络应与互联网保持物理隔离,确保信息安全。这样确实有效避免了来自Internet 的网络威胁。然而涉密网络之间如行业内部上下级与不同行业部门之间是相互不信任的关系,当信息流通时就面临带来的安全问题;如公安内网中的敏感信息需要流通到检委内网,同时两个部门涉密网内部都具有高度的信息敏感资源,相互是不信任关系,再比如工商内网与税务内网、财政内网与海关内网之间的信息流通都面临涉密网的安全与互通问题。所以必须采取相应的安全措施来保障涉密内网的安全问题,目前常用以下两种方法。
用人工拷贝实现隔离下的信息交换
目前,涉密网络通常与外界实现物理隔离,当涉密网之间需要交换信息时,通常在中间区域设置双方数据服务器,通过可信人员通过人工拷贝来实现。通过人工拷贝的方式,的确避免了来自不信任网络的黑客攻击等威胁,然而也带来新的问题。首先,人工投入管理开销比较大,双方必须投入人员参与数据拷贝工作;其次,人工拷贝实时性较差,无法发挥网络信息技术带来的快速的通信便利等优点;最后,由于频繁使用软盘或其他存储介质,增加了病毒和木马程序传播的途径和几率,带来新的安全问题。所以该方式无法适应电子政务的发展趋势。
用防火墙等逻辑机制保护涉密内网的安全
除采用保证物理隔离条件下采用人工拷贝实现信息交换的方式外,另一些部门涉密内网之间采用了防火墙来实现与其他专网之间的逻辑隔离。但防火墙发展到现在仍存在以下弱点。
图1 单方不信任涉密内网之间安全隔离解决方案
首先防火墙无法抵御数据驱动式攻击,即大量合法的数据包导致网络阻塞而使正常通信瘫痪;其次,防火墙很难阻止由通用协议本身漏洞发起的入侵;再次,防火墙系统本身的缺陷也是影响内部网络安全的重要问题;另外,只有正确、合理配置防火墙才能起到本身的安全作用,而配置的复杂为网管人员带来烦琐工作量的同时,也增加了配置不当带来的隐患。由于目前能攻破防火墙的技术正不断发展,所以对于涉密网络中使用防火墙做屏障是不可靠的防御手段。
由上面分析可知,第一种解决方案虽实现了物理隔离,但缺乏信息实时机制,而且人员管理开销较大;第二种方案采用了安全防御机制不太严密的逻辑隔离技术来保护涉密网络的信息安全,无疑为数据泄秘和黑客破坏等提供了可能。故两者不能算完整的解决方案。而目前渐渐兴起的GAP技术可以为涉密网络提供可靠的保护,该技术利用专用硬件保证两个网络在物理链路层断开的前提下实现数据安全传输和资源共享,并能够显着提高内部用户网络的安全强度。
天行网安GAP技术让信息隔离并交换着
天行安全隔离网闸(Topwalk-GAP)是由天行网安信息技术有限公司与公安部通信局联合研制的新一代安全隔离产品,也是GAP技术在国内的代表产品之一。该产品采用自主产权的专用隔离硬件和多个处理单元紧密集成的独特设计,集成各种安全模块为一体,部署于信任网络与非信任网络之间,能够防止并抵御各种网络攻击及黑客病毒入侵,并给用户提供了文件传输与数据库交换、收发邮件和浏览网页等多种信息交换方式。它通常部署于信任与非信任网络之间的核心内部网络之间,采用GAP(安全隔离)技术、协议转换、安全操作系统内核技术、内核的入侵检测技术、病毒扫描技术以及安全P&P(Pull and Push)等安全技术,杜绝有害信息,组成网络之间数据交换的安全通道。该隔离网闸主要提供了以下功能模块以及根据用户特殊要求的定制模块。
单方信任涉密网络隔离解决方案
在同行业部门上下级涉密网常要面临信息流通的问题,在这种情况下通常具备下级信任上级、上级的信息敏感度比下级要高等特点,即不同信任级别的涉密网要进行信息交换,可以参考以下解决方案。
图2 涉密网络之间信息交换示意图
如图2所示,左边方框内表示信任部门的涉密内网,通常为中央、部委、省级机关等重要部门的核心内部网络,在涉密内网通常运行关系国家机密、政府和经济敏感信息等资源,所以对安全性要求很高。而这些部门内网需要通过专网同地方、下级相应部门的涉密内网进行信息共享与交换。在这种情况下,通常是上级安全性高于下级,中央政府高于地方政府的单方信任关系,可采用上述单方信任涉密网之间安全解决方案。该方案将隔离网闸设在可信任端,所有请求从信任端发起,确保了信任涉密网的安全性。同时隔离网闸为用户提供了多种功能模块,实现了灵活方便的如公文交换、邮件收发、数据库共享等功能,从而满足如部门上下级等不同涉密网络之间的信息共享需求。
双方不信任涉密网隔离解决方案
在电子政务的应用中,常常遇到不同行业的网络之间信息交换的问题。由于两个行业部门都有各自的信息管理系统和人员管理体制,所以仍应在保证双方涉密网的高度安全下实现适度信息交换。如图3所示,A部门涉密内网和B部门涉密内网都属于对安全高敏感区域,通常要求与外网安全隔离。由于涉密内网之间需要适度交换信息,所以应为双方设置数据中间区域。中间区域与两边涉密内网通过安全隔离网闸来实现隔离下的信息交换。
如此配置安全隔离网闸基于以下几点:安全隔离网闸采取了安全的数据P&P(Pull and Push)技术,所有请求由内网(即信任网络端)发起,外部处理单元不提供任何服务。所以建议设中间隔离区域提供文件、邮件和数据库的服务器,负责接受双方提交的数据,然后再由涉密网内部主动请求从中间隔离区域提取所需要的数据。这样保证用户提交数据或提取数据都由双方可信任方主动发起,在加上安全隔离网闸所采用的访问控制和身份验证机制,确保了双方交换数据信息时的安全性和可靠性,同时保证了信息流通的实时性和易操作性。
GAP技术信息交换有优势
上述两套方案通过采用天行安全隔离网闸(Topwalk-GAP)作为涉密网络之间的隔离屏障,该产品通过不同涉密网络之间物理链路层断开以得到高度安全,并满足了相互之间进行多种形式的信息交换。
与人工拷贝相比具备的优势具有以下优势:
交换方式灵活多样
GAP技术提供了文件交换、数据库交换以及邮件收发等多种安全数据交换手段。如果人工拷贝只能通过软盘或其他移动存储介质实现文件间的拷贝,当文件过多或过大时,难以满足需求,或者在大型关系数据库间表格或记录传递时无法实现。
信息交换及时
该产品硬件内部数据交换速率达到819.2Mbps,系统数据交换速率达到120Mbps,硬件切换时间只有5ms,最大并发连接数更是突破了目前国内最多1500个的限制,达到了5000以上,可保证内外网的信息交换在较短的时间完成,可以满足大部分政府办公对信息交换的需求,而人工拷贝则耗时较多。
具有病毒和关键字内容过滤功能
人工拷贝需要采用软盘等移动存储介质,往往成为病毒或木马程序传播的途径,同时也不易于集中管理控制。采用隔离网闸时,交换的文件或数据会被进行病毒或关键字内容检测,大大降低了由病毒或无意泄露信息带来的安全风险。
图3 双方不信任涉密内网之间安全隔离解决方案
GAP技术与防火墙等产品相比,该产品具备的需求以下的优势:
比防火墙安全强度更高和更可靠
防火墙采用在网络层上的逻辑隔离机制,即主要通过软件策略来实现,由于在网络层是相通的,所以很难终结有经验的黑客。基于GAP技术的天行安全隔离网闸实现了涉密网与外界基于链路层的安全隔离,使得黑客基于网络协议的攻击无效,这样不但消除了通用协议漏洞给涉密内网带来的威胁,同时也使内部的系统与软件后门与漏洞不会被外部利用。
有效阻止DOS网络攻击
由于防火墙通常建立在TCP/IP协议的通路上,需要提供对外服务,而拒绝服务攻击(DOS),就是利用TCP/IP协议的缺陷,对于隔离网闸外部处理单元不需要运行任何服务器程序,并保证了与内网不存在TCP/IP协议通路,不接受来自外部任何主机的发起连接(TCP SYN),这样外部主机对于因特网来说就像被隐藏了一样,有效保证了隔离网闸本身和内网的安全性。
防配置错误引起的网络隐患
我们知道,防火墙是由一系列的规则组成,使用该规则对于进出的网络包进行检查,通常情况下,防火墙都比较安全,但是也有可能出现配置错误,造成不安全通道打开,这样就有可能被黑客所利用。而隔离网闸仅允许定制的信息进行交换,即使出现错误,也至多是数据不再传输,而不会为黑客打开安全之门。
避免操作系统和软件的不断升级
通常防火墙只能防止网络层的攻击,对于操作系统和软件出现的安全问题并不能提供一个很好的防护方式,很多采用防火墙的用户仍然受到“Nimda”病毒困扰就是一个很好的例证,用户使用了防火墙仍然得不断地升级自己的操作系统和浏览器,以避免由于这些问题导致系统被攻击。而隔离网闸由于在链路层断开,禁止所有的直接网络连接,因此可以有效保证内部系统的安全,避免了用户繁杂的升级工作。
随着计算机网络的不断普及和发展,已经应用了十年左右的时间的传统的网络防御技术如防火墙、ids等技术,其安全效能正在下降,最新的病毒、黑客攻击已经使传统防御技术防不胜防,因为这些病毒和攻击技术正是针对防火墙、ids的弱点进行攻击和传播的。信息化建设迫切需要引入新的、更强有力的防御技术为其发展作保障。攻击技术的不断进化,催生了防御技术的革命,网闸因此而诞生。 网闸又叫安全隔离与信息交换系统。美国、以色列等国家规定高密级网络要采用物理隔离,从1999年开始,使用物理隔离卡。物理隔离卡保证了网络间的物理隔离,但是却无法实现信息交换。
随着网络应用及我国信息化建设和电子政务的发展,网络间在物理隔离基础上进行适度、可控和安全的数据交换的需求在我国逐渐显露。安全隔离网闸技术应运而生。 网闸技术在物理隔离技术基础上,实现了网络间物理层和网络协议断开的同时进行数据交换。是新一代高安全度的企业级信息安全防护设备,它依托安全隔离技术为信息网络提供了更高层次的安全防护能力,不仅使得信息网络的抗攻击能力大大增强,而且有效地防范了信息外泄事件的发生。
当前,国内网闸市场已经具备一定规模,进入市场成熟期。前期用户主要集中在政府、公安等对安全性要求很高的重要部门。随着网闸产品的更新换代,安全隔离网闸越来越趋向适用于包括政府、公安在内的其他行业,如:军队、银行、金融、证券、工商、航空、电力和电子商务等有高安全级别需求的网络。 就电子政务建设来说,目前,各政府行业面向全国的纵向网络建设已经基本完成,但是行业网络之间的横向数据交换由于安全缺乏保障的原因而发展滞后。网闸能够完美解决电子政务建设中不同网络之间、同一网络的不同安全域之间的数据安全交换、摆渡。使得原有各个政府部门之间相互独立的网络之间数据交换、各种跨部门跨行业的协同办公得以实现。 国内网闸技术的发展自2000年第一台网闸的诞生后,至今已有将近八年的历史,网闸产品的性能有了大规模的提升,功能也得到大规模的扩展,网闸市场出现一派繁荣景象。如代表我国的gap研发与服务水准的天行网安公司于今年新推出的“网闸家族”,其家族成员就是一系列按不同硬件性能进行划分、并针对不同的硬件平台进行软件系统优化、提供多种可选软件功能模块的网闸系列新品,用户可根据需求的不同,灵活选择软硬件组合,从而更进一步提高网闸的适用性使得各项性能均达到最优化,最大限度的发挥网闸的安全防护作用。 “网闸家族”的出现,预示着未来网闸技术将朝着更加深入应用的方向发展,以其作为核心的“综合接入平台”,更可以在多对多的网络之间实现集中统一管理的访问接入和数据交换,推动信息化建设的进一步发展。硬件实现的可信计算、深度内容检查等技术也越来越多地被融入到网闸产品当中,网闸对各种应用架构、应用系统的适应性将会得到更大程度的提高,为越来越多的应用提供强有力的安全保障。
❺ 防火墙和网闸的区别是什么
防火墙最终目的是为了内网的安全防护,防止外网对内网的攻击,同时对内网访问互联网的行为进行控制。
而网闸的工作原理是信息摆渡,也就是可以实现完全隔离的不同网段之间的有条件访问,这是防火墙实现不了的。
举个例子说,如果你有两个网段想互相访问,通过防火墙设置的话只是通过策略和路由实现,而通过网闸的话是用它自己的协议重新封装ip包再进行访问。网闸因为是用自己的协议重新封装ip包,所以处理数据多,速度慢。
❻ 单向隔离网闸和双向隔离网闸有何区别
一、应用层不同
1、单向网闸是指应用层是单向的,也就是数据只能从一个方向流,不能从另一个方向流。
2、双向网闸是双向可流动的。
二、标准不同
1、单向网闸是国家电监会和国家电网为保证国家电力系统不受攻击而要求所有的电力系统必须安装的设备,单向网闸的标准是由国家电力调度中心制定的。
2、双向网闸是并没有这个要求。
(6)网络安全网闸扩展阅读:
使用网闸的意义
1、当用户的网络需要保证高强度的安全,同时又与其它不信任网络进行信息交换的情况下,如果采用物理隔离卡,用户必须使用开关在内外网之间来回切换,不仅管理起来非常麻烦,使用起来也非常不方便。
如果采用防火墙,由于防火墙自身的安全很难保证,所以防火墙也无法防止内部信息泄漏和外部病毒、黑客程序的渗入,安全性无法保证。在这种情况下,安全隔离网闸能够同时满足这两个要求,弥补了物理隔离卡和防火墙的不足之处,是最好的选择。
2、对网络地隔离是通过网闸隔离硬件实现两个网络在链路层断开,但是为了交换数据,通过设计的隔离硬件在两个网络对应的上进行切换,通过对硬件上的存储芯片的读写,完成数据的交换。
3、安装了相应的应用模块之后,安全隔离网闸可以在保证安全的前提下,使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据,并可以在网络之间交换定制的文件。
❼ 网关和网闸、防火墙有什么区别
一、主体不同
1、网关:又称网间连接器、协议转换器。
2、网闸:是使用带有多种控制功能的固态开关读写介质,连接两个独立主机系统的信息安全设备。
3、防火墙:是通过有机结合各类用于安全管理与筛选的软件和硬件设备。
二、作用不同
1、网关:在网络层以上实现网络互连,是复杂的网络互连设备,仅用于两个高层协议不同的网络互连。
2、网闸:由于两个独立的主机系统通过网闸进行隔离,使系统间不存在通信的物理连接、逻辑连接及信息传输协议,不存在依据协议进行的信息交换,而只有以数据文件形式进行的无协议摆渡。
3、防火墙:帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
三、特点不同
1、网关:关既可以用于广域网互连,也可以用于局域网互连。 网关是一种充当转换重任的计算机系统或设备。
2、网闸:从逻辑上隔离、阻断了对内网具有潜在攻击可能的一切网络连接,使外部攻击者无法直接入侵、攻击或破坏内网,保障了内部主机的安全。
3、防火墙:主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性。
❽ 网闸和防火墙的区别
网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。
与防火墙的区别
防火墙一般在进行IP包转发的同时,通过对IP包的处理,实现对TCP会话的控制,但是对应用数据的内容不进行检查。这种工作方式无法防止泄密,也无法防止病毒和黑客程序的攻击。无论从功能还是实现原理上讲,安全隔离网闸和防火墙是完全不同的两个产品,防火墙是保证网络层安全的边界安全工具(如通常的非军事化区),而安全隔离网闸重点是保护内部网络的安全。因此两种产品由于定位的不同,因此不能相互取代
❾ 安全接入网闸
网闸的全称是安全隔离网闸,也叫信息交换与安全隔离系统.它是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。由软件和硬件(包括外部处理单元、内部处理单元、隔离硬件)组成。对网络地隔离是通过网闸隔离硬件实现两个网络在链路层断开,但是为了交换数据,通过设计的隔离硬件在两个网络对应的上进行切换,通过对硬件上的存储芯片的读写,完成数据的交换.安装了相应的应用模块之后,安全隔离网闸可以在保证安全的前提下,使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据,并可以在网络之间交换定制的文件。安全隔离网闸通常具备的安全功能有安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证。它能够防止未知和已知木马攻击。作为提供数据交换的隔离设备,安全隔离网闸上内嵌病毒查杀的功能模块,可以对交换的数据进行病毒检查。安全隔离网闸与物理隔离卡最主要的区别是,安全隔离网闸能够实现两个网络间的自动的安全适度的信息交换,而物理隔离卡只能提供一台计算机在两个网之间切换,并且需要手动操作,大部分的隔离卡还要求系统重新启动以便切换硬盘。安全隔离网闸在网路间进行的安全适度的信息交换是在网络之间不存在链路层连接的情况下进行的。安全隔离网闸通常布置在两个安全级别不同的两个网络之间,如信任网络和非信任网络,管理员可以从信任网络一方对安全隔离网闸进行管理。安全隔离网闸直接处理网络间的应用层数据,利用存储转发的方法进行应用数据的交换,在交换的同时,对应用数据进行的各种安全检查。路由器、交换机则保持链路层畅通,在链路层之上进行IP包等网络层数据的直接转发,没有考虑网络安全和数据安全的问题。安全隔离网闸的隔离硬件需要专用硬件,隔离硬件一般都由GAP厂商提供,其中对高速切换装置的切换频率要求非常高。使用专用隔离硬件的安全隔离网闸的安全隔离是在硬件上实现的,在隔离硬件上固化了模拟开关,无法通过软件编程方式进行改变;而通过1394或者串口连接两台或多台系统,其上的隔离切换实质上是通过软件来实现的,其安全性和用标准以太网卡相连的两台PC无异。由此可知1394或者串口实现的“软隔离”在安全性上和安全隔离网闸不具可比性,相差甚远。如果针对网络七层协议,安全隔离网闸是在硬件链路层上断开。使用时,如果用户的网络上存储着重要的数据、运行着重要的应用,通过防火墙等措施不能提供足够高的安全性保护的情况下,可以考虑使用安全隔离网闸。提到的“编辑接入平台”不太清楚到底具体指的是什么,结合上文可以明确网闸的概念,根据所谓的“编辑接入平台”具体情况看看吧
❿ 网关和网闸是一个概念吗如何更好的理解谢谢!
网关(Gateway)又称网间连接器、协议转换器。网关在网络层以上实现网络互连,是最复杂的网络互连设备,仅用于两个高层协议不同的网络互连。网关既可以用于广域网互连,也可以用于局域网互连。 网关是一种充当转换重任的计算机系统或设备。使用在不同的通信协议、数据格式或语言,甚至体系结构完全不同的两种系统之间,网关是一个翻译器。与网桥只是简单地传达信息不同,网关对收到的信息要重新打包,以适应目的系统的需求。同层--应用层。网闸(GAP)全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。北京数码星辰宇宙盾网闸很不错,我们公司用的就是这一款,防病毒能力特别强,据说是该网闸没有文件系统。我们公司的网闸用了8年了都没坏。