物理交換機是使用固態(tài)讀/寫開關連接到兩個獨立系統(tǒng)的信息安全設備,具有多個控制功能。由于兩個獨立管理系統(tǒng)之間的網(wǎng)關在物理上是分離的,因此沒有物理通信連接、邏輯通信、信息傳輸命令和信息傳輸協(xié)議,沒有協(xié)議包傳輸,沒有數(shù)據(jù)文件傳輸協(xié)議,嵌入式存儲介質只有兩個命令。因此,物理隔離網(wǎng)閘可以防止與潛在攻擊相關的所有通信,并防止黑客在不進行破解、攻擊和破壞的情況下提供真正的安全性。本文就網(wǎng)閘結構、網(wǎng)閘工作原理進行一一分析。
網(wǎng)閘結構、網(wǎng)閘工作原理
網(wǎng)閘是在兩個不同安全域之間交換數(shù)據(jù)的一種手段,通過數(shù)據(jù)轉換協(xié)議交換信息,可以根據(jù)系統(tǒng)的明確請求傳輸信息,通常,普通應用程序使用該信息流。術語網(wǎng)閘至少有兩個節(jié)點和一個物理隔離塊來完成網(wǎng)關產(chǎn)品的物理隔離任務,因為內部網(wǎng)絡和外部網(wǎng)絡(上層和下層流)之間的信息交換期間沒有物理連接。隔離網(wǎng)關的主要特征之一是內部網(wǎng)絡和外部網(wǎng)絡不連接,內部和外部網(wǎng)絡同時連接到最大隔離設備。
現(xiàn)在是否有來自瀏覽器的威脅,但網(wǎng)關有助于這些威脅?如果在圖像文件中找到以前找到的空間,則網(wǎng)關不會過濾應用程序級數(shù)據(jù),并且仍然受到威脅。針對提供外部服務的網(wǎng)絡的攻擊示例大多與創(chuàng)建正常數(shù)據(jù)包有關。這些數(shù)據(jù)包沒有針對應用層漏洞的Blake點,因此,沒有絕對安全,“真正的安全”是不可能的!
網(wǎng)網(wǎng)閘設計通常使用2+1:內部+外部+可編程設備。初始開關模塊以電子開關的形式進行物理隔離,并且由于開關速度問題,它無法滿足實時數(shù)據(jù)交換的需求,因此被邏輯開關取代。確切意義上的邏輯切換只意味著邏輯分離,而不是物理分離。
個人協(xié)議是通過硬件接口、SCSI接口和制造商接口(如1394)交換數(shù)據(jù)模塊數(shù)據(jù)的協(xié)議。網(wǎng)閘可以從主動模式分離到主動模式和手動模式。在活動模式下,網(wǎng)關作為客戶端從網(wǎng)絡服務器讀取和寫入數(shù)據(jù),在手動模式下,交換機作為服務器工作,打開本地探測端口,并接收外部數(shù)據(jù)。在安全性方面,主動模型遠優(yōu)于被動模型,但其應用和性能并不令人滿意。
數(shù)據(jù)交換過程以下示例顯示被動數(shù)據(jù)交換的過程。
從外部網(wǎng)絡提取數(shù)據(jù)包信息:數(shù)據(jù)包信息的驗證:數(shù)據(jù)包信息的分解:應用層數(shù)據(jù)的提取和驗證,有兩種傳輸數(shù)據(jù)的方法。
1、協(xié)議中斷:
傳輸在接口上接收的數(shù)據(jù)包時,必須刪除協(xié)議頭并根據(jù)個人協(xié)議應用層的數(shù)據(jù)重新加載段。這使得所有網(wǎng)絡攻擊只能在外部網(wǎng)絡上執(zhí)行。
2、驗證協(xié)議驗證模塊:
數(shù)據(jù)傳輸網(wǎng)關基于應用程序代理服務器,并具有相應的傳輸模塊以支持應用程序級協(xié)議。每個模塊僅處理相應的應用層數(shù)據(jù)請求,并執(zhí)行內容檢查、過濾等。
網(wǎng)閘的系統(tǒng)結構和操作模式無法與防火墻相比。包括吸收和延遲,尤其是在同一時間。坦率地說,如果有制造商聲稱產(chǎn)品達到線性速度,那么家庭使用時就存在障礙。