網(wǎng)絡(luò)安全隔離的幾種數(shù)據(jù)交換技術(shù)比較--背景

物理隔離網(wǎng)絡(luò)是許多網(wǎng)絡(luò)設(shè)計(jì)者不愿意的選擇，他們必須進(jìn)行特殊操作，并且必須保證其安全性。但網(wǎng)絡(luò)是為了共享而建立的，如果沒有數(shù)據(jù)共享，網(wǎng)絡(luò)的作用就會(huì)降低，隔離和數(shù)據(jù)共享是自然矛盾。許多網(wǎng)絡(luò)安全專家研究了如何解決網(wǎng)絡(luò)安全問題和促進(jìn)數(shù)據(jù)共享。

1、入侵網(wǎng)絡(luò)未連接到保密性低的網(wǎng)絡(luò)，尤其是未受控制的網(wǎng)絡(luò)，因此無法定位入侵和攻擊?；ヂ?lián)網(wǎng)不僅是一個(gè)全球網(wǎng)絡(luò)，而且是一個(gè)安全和不可控制的網(wǎng)絡(luò)。為了實(shí)現(xiàn)隔離，數(shù)據(jù)共享應(yīng)該成為企業(yè)和政府網(wǎng)絡(luò)建設(shè)的首要挑戰(zhàn)。

2、安全技術(shù)不落后于攻擊技術(shù)。首先，你可以用槍刺傷敵人，然后用盾牌阻止敵人的攻擊。攻擊技術(shù)得到更新，閾值降低，漏洞發(fā)生時(shí)間縮短，病毒傳播轉(zhuǎn)化為木馬交付區(qū)域防御技術(shù)似乎無法阻止補(bǔ)丁。現(xiàn)在網(wǎng)絡(luò)的“黑客”已經(jīng)工業(yè)化了。作為網(wǎng)絡(luò)的“流氓”，雖然他們有對(duì)抗貧富的“壯舉”，但為了生存，他們?nèi)匀恍枰粩鄬W(xué)習(xí)攻擊性的新技術(shù)。當(dāng)前的網(wǎng)絡(luò)安全形勢(shì)是，一旦出現(xiàn)新類型的攻擊，防御技術(shù)將慢慢被采用。

因此，網(wǎng)絡(luò)隔離是區(qū)分網(wǎng)絡(luò)和未準(zhǔn)備狀態(tài)的第一種方法。當(dāng)然，最有效的方法是挖掘城市河流，然后建造幾座可管理的“吊橋”，以與外界保持聯(lián)系。數(shù)據(jù)共享技術(shù)的發(fā)展是研究“橋頭堡”上的保護(hù)技術(shù)。

目前，有幾種數(shù)據(jù)交換技術(shù)。

1、橋接恢復(fù)策略：直接業(yè)務(wù)協(xié)商，無數(shù)據(jù)重建，對(duì)速度影響小，安全性差；

2、防火墻：網(wǎng)格過濾器；

3、多重安全網(wǎng)關(guān)：在網(wǎng)絡(luò)層過濾應(yīng)用層并采用多層策略；

4、Ferry戰(zhàn)略：業(yè)務(wù)協(xié)議無法直接實(shí)施，數(shù)據(jù)需要重新組織，安全性良好；

5、網(wǎng)閘：協(xié)議減少，安全控制依賴于現(xiàn)有的安全技術(shù)；

6、交換網(wǎng)絡(luò)：創(chuàng)建剪貼板，控制和保護(hù)立體安全；

7、手動(dòng)策略：無需物理連接，可與移動(dòng)環(huán)境手動(dòng)交換數(shù)據(jù)，安全性好。

網(wǎng)絡(luò)安全隔離的幾種數(shù)據(jù)交換技術(shù)比較--防火墻

防火墻是最常見的網(wǎng)絡(luò)隔離手段，主要包括控制路由網(wǎng)絡(luò)，換句話說，通過訪問控制列表（ACL），網(wǎng)絡(luò)是一種分組交換技術(shù)。組通過路由、控制路由、控制通信線路和控制組流到達(dá)其目的地。因此，防火墻主要用于早期的網(wǎng)絡(luò)安全管理。許多“標(biāo)準(zhǔn)設(shè)計(jì)”網(wǎng)絡(luò)服務(wù)網(wǎng)站使用三端口防火墻。

但是防火墻有明顯的缺點(diǎn)，防火墻在網(wǎng)絡(luò)上只能少于四層。這是應(yīng)用程序中的病毒和蠕蟲無法做到的。您可以隔離可以訪問Internet的小型網(wǎng)絡(luò)，但需要雙連接的網(wǎng)絡(luò)還不夠。

此外，我們需要注意防火墻的NAT技術(shù)。地址傳輸可以隱藏內(nèi)部網(wǎng)絡(luò)的IP地址，許多人將其視為安全保護(hù)，認(rèn)為路由安全性不足。地址轉(zhuǎn)換實(shí)際上是一種代理服務(wù)器技術(shù)，不允許企業(yè)直接通過防火墻進(jìn)行訪問。這是一種進(jìn)步，但代理服務(wù)本身并不是一種可靠的保護(hù)和控制，主要基于操作系統(tǒng)的安全策略，因此它在當(dāng)前的網(wǎng)絡(luò)攻擊技術(shù)中得到了顯著削弱。目前，這些方法大多針對(duì)NAT，尤其是防火墻不控制應(yīng)用層，因此木馬很容易訪問。在線木馬查看網(wǎng)絡(luò)的內(nèi)部地址，并直接向攻擊者報(bào)告，這個(gè)秘密地址不太有效。