網(wǎng)絡(luò)安全隔離的幾種數(shù)據(jù)交換技術(shù)比較--背景
物理隔離網(wǎng)絡(luò)是許多網(wǎng)絡(luò)設(shè)計(jì)者不愿意的選擇,他們必須進(jìn)行特殊操作,并且必須保證其安全性。但網(wǎng)絡(luò)是為了共享而建立的,如果沒有數(shù)據(jù)共享,網(wǎng)絡(luò)的作用就會(huì)降低,隔離和數(shù)據(jù)共享是自然矛盾。許多網(wǎng)絡(luò)安全專家研究了如何解決網(wǎng)絡(luò)安全問題和促進(jìn)數(shù)據(jù)共享。
1、入侵網(wǎng)絡(luò)未連接到保密性低的網(wǎng)絡(luò),尤其是未受控制的網(wǎng)絡(luò),因此無法定位入侵和攻擊?;ヂ?lián)網(wǎng)不僅是一個(gè)全球網(wǎng)絡(luò),而且是一個(gè)安全和不可控制的網(wǎng)絡(luò)。為了實(shí)現(xiàn)隔離,數(shù)據(jù)共享應(yīng)該成為企業(yè)和政府網(wǎng)絡(luò)建設(shè)的首要挑戰(zhàn)。
2、安全技術(shù)不落后于攻擊技術(shù)。首先,你可以用槍刺傷敵人,然后用盾牌阻止敵人的攻擊。攻擊技術(shù)得到更新,閾值降低,漏洞發(fā)生時(shí)間縮短,病毒傳播轉(zhuǎn)化為木馬交付區(qū)域防御技術(shù)似乎無法阻止補(bǔ)丁。現(xiàn)在網(wǎng)絡(luò)的“黑客”已經(jīng)工業(yè)化了。作為網(wǎng)絡(luò)的“流氓”,雖然他們有對(duì)抗貧富的“壯舉”,但為了生存,他們?nèi)匀恍枰粩鄬W(xué)習(xí)攻擊性的新技術(shù)。當(dāng)前的網(wǎng)絡(luò)安全形勢(shì)是,一旦出現(xiàn)新類型的攻擊,防御技術(shù)將慢慢被采用。
因此,網(wǎng)絡(luò)隔離是區(qū)分網(wǎng)絡(luò)和未準(zhǔn)備狀態(tài)的第一種方法。當(dāng)然,最有效的方法是挖掘城市河流,然后建造幾座可管理的“吊橋”,以與外界保持聯(lián)系。數(shù)據(jù)共享技術(shù)的發(fā)展是研究“橋頭堡”上的保護(hù)技術(shù)。
目前,有幾種數(shù)據(jù)交換技術(shù)。
1、橋接恢復(fù)策略:直接業(yè)務(wù)協(xié)商,無數(shù)據(jù)重建,對(duì)速度影響小,安全性差;
2、防火墻:網(wǎng)格過濾器;
3、多重安全網(wǎng)關(guān):在網(wǎng)絡(luò)層過濾應(yīng)用層并采用多層策略;
4、Ferry戰(zhàn)略:業(yè)務(wù)協(xié)議無法直接實(shí)施,數(shù)據(jù)需要重新組織,安全性良好;
5、網(wǎng)閘:協(xié)議減少,安全控制依賴于現(xiàn)有的安全技術(shù);
6、交換網(wǎng)絡(luò):創(chuàng)建剪貼板,控制和保護(hù)立體安全;
7、手動(dòng)策略:無需物理連接,可與移動(dòng)環(huán)境手動(dòng)交換數(shù)據(jù),安全性好。
網(wǎng)絡(luò)安全隔離的幾種數(shù)據(jù)交換技術(shù)比較--防火墻
防火墻是最常見的網(wǎng)絡(luò)隔離手段,主要包括控制路由網(wǎng)絡(luò),換句話說,通過訪問控制列表(ACL),網(wǎng)絡(luò)是一種分組交換技術(shù)。組通過路由、控制路由、控制通信線路和控制組流到達(dá)其目的地。因此,防火墻主要用于早期的網(wǎng)絡(luò)安全管理。許多“標(biāo)準(zhǔn)設(shè)計(jì)”網(wǎng)絡(luò)服務(wù)網(wǎng)站使用三端口防火墻。
但是防火墻有明顯的缺點(diǎn),防火墻在網(wǎng)絡(luò)上只能少于四層。這是應(yīng)用程序中的病毒和蠕蟲無法做到的。您可以隔離可以訪問Internet的小型網(wǎng)絡(luò),但需要雙連接的網(wǎng)絡(luò)還不夠。
此外,我們需要注意防火墻的NAT技術(shù)。地址傳輸可以隱藏內(nèi)部網(wǎng)絡(luò)的IP地址,許多人將其視為安全保護(hù),認(rèn)為路由安全性不足。地址轉(zhuǎn)換實(shí)際上是一種代理服務(wù)器技術(shù),不允許企業(yè)直接通過防火墻進(jìn)行訪問。這是一種進(jìn)步,但代理服務(wù)本身并不是一種可靠的保護(hù)和控制,主要基于操作系統(tǒng)的安全策略,因此它在當(dāng)前的網(wǎng)絡(luò)攻擊技術(shù)中得到了顯著削弱。目前,這些方法大多針對(duì)NAT,尤其是防火墻不控制應(yīng)用層,因此木馬很容易訪問。在線木馬查看網(wǎng)絡(luò)的內(nèi)部地址,并直接向攻擊者報(bào)告,這個(gè)秘密地址不太有效。