物理隔離與數(shù)據(jù)交換網(wǎng)閘設計誤區(qū)

網(wǎng)閘用于斷開用戶的業(yè)務連接并完成數(shù)據(jù)交換。然而，由于網(wǎng)閘的兩極輸出，它直接位于intranet節(jié)點上，沒有其他中間代理。各種應用協(xié)議直接連接到網(wǎng)閘接口。從用戶的角度來看，內部網(wǎng)服務似乎是內部網(wǎng)之間的連接。設置邏輯連接。網(wǎng)閘就像網(wǎng)絡堡壘。

網(wǎng)閘設計產(chǎn)品為許多網(wǎng)閘生產(chǎn)公司分析內部和外部網(wǎng)絡接口上的各種應用程序以方便客戶，但缺乏數(shù)據(jù)和應用程序更新協(xié)議?？梢愿鶕?jù)安全檢查的結果檢測網(wǎng)閘，并且可以滿足橫截面要求。停電不符合要求。這不僅是數(shù)據(jù)交換，也是對業(yè)務應用程序代理服務器的訪問。一些交換機允許訪問者訪問內部網(wǎng)絡服務器。這些分析不僅覆蓋常規(guī)協(xié)議，還通過代理服務器訪問數(shù)據(jù)庫，為緩沖區(qū)溢出和SQL注入等攻擊提供可靠的基礎設施。

由于應用程序分析協(xié)議，應用程序可以通過交換機使用，并且還有一個攻擊向量，因此交換機的安全性取決于交換機的安全檢查技術。物理隔離意味著協(xié)議作為攻擊手段的應用被中斷，入侵或攻擊無法進入安全目標。因此，銷毀網(wǎng)閘不是一個代理，而是一個業(yè)務協(xié)議。例如，火車可以繼續(xù)通過十字路口和大門。你必須完全卸載貨物。因為火車從這里到海岸不需要汽車或水手。因此，很難發(fā)現(xiàn)網(wǎng)絡攻擊難以發(fā)現(xiàn)的散布。

網(wǎng)閘安全控制技術需要與現(xiàn)代安全網(wǎng)閘檢測技術兼容。因此，如果可以通過網(wǎng)閘建立流量連接，則網(wǎng)閘功能具有與將網(wǎng)絡連接到安全網(wǎng)閘設備（例如防火墻）相同的安全效果。因此，分析協(xié)議應用程序成為應用程序代理網(wǎng)閘，但它是一個邏輯安全網(wǎng)閘，實際上滿足數(shù)據(jù)交換功能，但不會造成網(wǎng)絡隔離效果。

物理隔離與數(shù)據(jù)交換網(wǎng)閘安全原則

網(wǎng)閘業(yè)務協(xié)議分析并不意味著網(wǎng)閘存在新的安全問題，而且可能性很大。為了實現(xiàn)網(wǎng)絡在網(wǎng)閘中的位置和目的，網(wǎng)閘需要自己的安全設計原則。

使用網(wǎng)閘的目的是隔離流量，同時安全地替換數(shù)據(jù)。從安全服務的角度來看，網(wǎng)閘打開的服務類型越小，攻擊的可能性越小，網(wǎng)閘可以共享的數(shù)據(jù)類型越少，隱藏的可能性越小。網(wǎng)閘安全原則定義如下。

1、一站式服務：完成數(shù)據(jù)文件交換和僅以文件格式交換數(shù)據(jù)，所有其他服務均已終止。

2、定向交換：在數(shù)據(jù)交換期間指定接收方和發(fā)送方。

3、網(wǎng)閘不支持應用程序的描述，不跳過應用程序，僅執(zhí)行文檔數(shù)據(jù)流，并且無法訪問HTTP、SMTP和FTP等協(xié)議。網(wǎng)閘僅用于數(shù)據(jù)處理，不支持應用程序共享，因為很難訪問其他數(shù)據(jù)庫。協(xié)議終止，媒體在入侵或攻擊期間完全丟失。

物理隔離與數(shù)據(jù)交換網(wǎng)閘安全性分析和安全原則驗證

指定網(wǎng)絡內外的發(fā)件人和收件人。數(shù)據(jù)交換是一種數(shù)據(jù)交換服務，提供對點的訪問，促進數(shù)據(jù)交換的檢查，并幫助識別源問題。第三方防止偽造材料和重復盜竊等攻擊。

僅選擇文件共享級別：使用文件共享級別而不是數(shù)據(jù)包級別，以便文件相對完整，并且蠕蟲段不會隱藏。信息模塊交換沒有互連，您不需要使用網(wǎng)閘來恢復或重建信息。

如果選擇共享文件，則內部網(wǎng)絡和外部網(wǎng)絡未連接，黑客來自外部網(wǎng)絡。遠程攻擊在遠程電路中表現(xiàn)不佳，難以實施。內部網(wǎng)絡僅攻擊網(wǎng)絡本身中的病毒和蠕蟲，并提供類似于人類數(shù)據(jù)交換的安全效果。

文件內容的安全由發(fā)件人的身份證書保證。與病毒、蠕蟲、木馬和其他測試相關的文件是靜態(tài)測試，很難通過調整文件共享的格式來隱藏文件。在實際系統(tǒng)中，網(wǎng)閘可以根據(jù)安全級別系統(tǒng)的要求有選擇地共享文檔文件，例如文字格式、壓縮文檔和可執(zhí)行文檔。