物理隔離與數(shù)據(jù)交換網(wǎng)閘設計誤區(qū)
網(wǎng)閘用于斷開用戶的業(yè)務連接并完成數(shù)據(jù)交換。然而,由于網(wǎng)閘的兩極輸出,它直接位于intranet節(jié)點上,沒有其他中間代理。各種應用協(xié)議直接連接到網(wǎng)閘接口。從用戶的角度來看,內部網(wǎng)服務似乎是內部網(wǎng)之間的連接。設置邏輯連接。網(wǎng)閘就像網(wǎng)絡堡壘。
網(wǎng)閘設計產(chǎn)品為許多網(wǎng)閘生產(chǎn)公司分析內部和外部網(wǎng)絡接口上的各種應用程序以方便客戶,但缺乏數(shù)據(jù)和應用程序更新協(xié)議??梢愿鶕?jù)安全檢查的結果檢測網(wǎng)閘,并且可以滿足橫截面要求。停電不符合要求。這不僅是數(shù)據(jù)交換,也是對業(yè)務應用程序代理服務器的訪問。一些交換機允許訪問者訪問內部網(wǎng)絡服務器。這些分析不僅覆蓋常規(guī)協(xié)議,還通過代理服務器訪問數(shù)據(jù)庫,為緩沖區(qū)溢出和SQL注入等攻擊提供可靠的基礎設施。
由于應用程序分析協(xié)議,應用程序可以通過交換機使用,并且還有一個攻擊向量,因此交換機的安全性取決于交換機的安全檢查技術。物理隔離意味著協(xié)議作為攻擊手段的應用被中斷,入侵或攻擊無法進入安全目標。因此,銷毀網(wǎng)閘不是一個代理,而是一個業(yè)務協(xié)議。例如,火車可以繼續(xù)通過十字路口和大門。你必須完全卸載貨物。因為火車從這里到海岸不需要汽車或水手。因此,很難發(fā)現(xiàn)網(wǎng)絡攻擊難以發(fā)現(xiàn)的散布。
網(wǎng)閘安全控制技術需要與現(xiàn)代安全網(wǎng)閘檢測技術兼容。因此,如果可以通過網(wǎng)閘建立流量連接,則網(wǎng)閘功能具有與將網(wǎng)絡連接到安全網(wǎng)閘設備(例如防火墻)相同的安全效果。因此,分析協(xié)議應用程序成為應用程序代理網(wǎng)閘,但它是一個邏輯安全網(wǎng)閘,實際上滿足數(shù)據(jù)交換功能,但不會造成網(wǎng)絡隔離效果。
物理隔離與數(shù)據(jù)交換網(wǎng)閘安全原則
網(wǎng)閘業(yè)務協(xié)議分析并不意味著網(wǎng)閘存在新的安全問題,而且可能性很大。為了實現(xiàn)網(wǎng)絡在網(wǎng)閘中的位置和目的,網(wǎng)閘需要自己的安全設計原則。
使用網(wǎng)閘的目的是隔離流量,同時安全地替換數(shù)據(jù)。從安全服務的角度來看,網(wǎng)閘打開的服務類型越小,攻擊的可能性越小,網(wǎng)閘可以共享的數(shù)據(jù)類型越少,隱藏的可能性越小。網(wǎng)閘安全原則定義如下。
1、一站式服務:完成數(shù)據(jù)文件交換和僅以文件格式交換數(shù)據(jù),所有其他服務均已終止。
2、定向交換:在數(shù)據(jù)交換期間指定接收方和發(fā)送方。
3、網(wǎng)閘不支持應用程序的描述,不跳過應用程序,僅執(zhí)行文檔數(shù)據(jù)流,并且無法訪問HTTP、SMTP和FTP等協(xié)議。網(wǎng)閘僅用于數(shù)據(jù)處理,不支持應用程序共享,因為很難訪問其他數(shù)據(jù)庫。協(xié)議終止,媒體在入侵或攻擊期間完全丟失。
物理隔離與數(shù)據(jù)交換網(wǎng)閘安全性分析和安全原則驗證
指定網(wǎng)絡內外的發(fā)件人和收件人。數(shù)據(jù)交換是一種數(shù)據(jù)交換服務,提供對點的訪問,促進數(shù)據(jù)交換的檢查,并幫助識別源問題。第三方防止偽造材料和重復盜竊等攻擊。
僅選擇文件共享級別:使用文件共享級別而不是數(shù)據(jù)包級別,以便文件相對完整,并且蠕蟲段不會隱藏。信息模塊交換沒有互連,您不需要使用網(wǎng)閘來恢復或重建信息。
如果選擇共享文件,則內部網(wǎng)絡和外部網(wǎng)絡未連接,黑客來自外部網(wǎng)絡。遠程攻擊在遠程電路中表現(xiàn)不佳,難以實施。內部網(wǎng)絡僅攻擊網(wǎng)絡本身中的病毒和蠕蟲,并提供類似于人類數(shù)據(jù)交換的安全效果。
文件內容的安全由發(fā)件人的身份證書保證。與病毒、蠕蟲、木馬和其他測試相關的文件是靜態(tài)測試,很難通過調整文件共享的格式來隱藏文件。在實際系統(tǒng)中,網(wǎng)閘可以根據(jù)安全級別系統(tǒng)的要求有選擇地共享文檔文件,例如文字格式、壓縮文檔和可執(zhí)行文檔。