返回
网闸工作原理

网闸工作原理

ID:40883969

大小:288.50 KB

页数:19页

时间:2019-08-09

网闸工作原理_第1页
网闸工作原理_第2页
网闸工作原理_第3页
网闸工作原理_第4页
网闸工作原理_第5页
资源描述:

《网闸工作原理》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、物理隔离网闸简介二零零四年三月目录1.物理隔离网闸的定位32.物理隔离要解决的问题33.TCP/IP的漏洞34.防火墙的漏洞45.物理隔离的技术原理46.物理隔离网闸常见技术问题解答86.1.物理隔离网闸一定要采用专用开关集成电路吗?86.2.物理隔离网闸是如何利用SCSI来实现开关技术的?96.3.物理隔离网闸可以采用USB,火线和以太来实现软开关吗?96.4.为什么SCSI可以,而USB、火线和以太就不行?106.5.物理隔离网闸的开关的速度很慢吗?106.6.物理隔离网闸工作在OSI模型的那一层?106.7.物理隔离网闸在O

2、SI模型第5层是如何工作的?116.8.物理隔离网闸在OSI模型第七层是如何工作的?126.9.信息安全交换系统是如何工作的?126.10.安全隔离网闸在OSI模型里是如何工作?136.11.采用了协议转换,是物理隔离吗?156.12.基于协议转换的双主机结构有哪些类型和形式?156.13.物理隔离网闸的每一个应用都需要相应的代理?176.14.物理隔离网闸的应用代理是否符合相关的RFC规范?176.15.从外网已经ping不通内网,是物理隔离网闸吗?176.16.从外网无法扫描内网的主机,是物理隔离网闸吗?186.17.通过开关

3、来实现了包转发,是物理隔离网闸吗?186.18.为什么说即使入侵了网闸的外部主机,也无法入侵内部主机?186.19.物理隔离网闸的外部主机有哪些防止入侵的办法?186.20.为什么物理隔离网闸能阻止未知的攻击?196.21.物理隔离网闸的安全性是最高的吗?191.物理隔离网闸的定位物理隔离技术,不是要替代防火墙,入侵检测,漏洞扫描和防病毒系统,相反,它是用户“深度防御”的安全策略的另外一块基石,一般用来保护为了的“核心”。物理隔离技术,是绝对要解决互联网的安全问题,而不是什么其它的问题。2.物理隔离要解决的问题解决目前防火墙存在的

4、根本问题:l防火墙对操作系统的依赖,因为操作系统也有漏洞lTCP/IP的协议漏洞:不用TCP/IPl防火墙、内网和DMZ同时直接连接,l应用协议的漏洞,因为命令和指令可能是非法的l文件带有病毒和恶意代码:不支持MIME,只支持TXT,或杀病毒软件,或恶意代码检查软件物理隔离的指导思想与防火墙有很大的不同:防火墙的思路是在保障互联互通的前提下,尽可能安全,而物理隔离的思路是在保证必须安全的前提下,尽可能互联互通。3.TCP/IP的漏洞Page19of19TCP/IP是冷战时期的产物,目标是要保证通达,保证传输的粗旷性。通过来回确认来

5、保证数据的完整性,不确认则要重传。TCP/IP没有内在的控制机制,来支持源地址的鉴别,来证实IP从哪儿来。这就是TCP/IP漏洞的根本原因。黑客利用TCP/IP的这个漏洞,可以使用侦听的方式来截获数据,能对数据进行检查,推测TCP的系列号,修改传输路由,修改鉴别过程,插入黑客的数据流。莫里斯病毒就是利用这一点,给互联网造成巨大的危害。1.防火墙的漏洞防火墙要保证服务,必须开放相应的端口。防火墙要准许HTTP服务,就必须开放80端口,要提供MAIL服务,就必须开放25端口等。对开放的端口进行攻击,防火墙不能防止。利用DOS或DDOS

6、,对开放的端口进行攻击,防火墙无法禁止。利用开放服务流入的数据来攻击,防火墙无法防止。利用开放服务的数据隐蔽隧道进行攻击,防火墙无法防止。攻击开放服务的软件缺陷,防火墙无法防止。防火墙不能防止对自己的攻击,只能强制对抗。防火墙本身是一种被动防卫机制,不是主动安全机制。防火墙不能干涉还没有到达防火墙的包,如果这个包是攻击防火墙的,只有已经发生了攻击,防火墙才可以对抗,根本不能防止。目前还没有一种技术可以解决所有的安全问题,但是防御的深度愈深,网络愈安全。物理隔离网闸是目前唯一能解决上述问题的安全设备。2.物理隔离的技术原理物理隔离的

7、技术架构在隔离上。以下的图组可以给我们一个清晰的概念,物理隔离是如何实现的。图1,外网是安全性不高的互联网,内网是安全性很高的内部专用网络。正常情况下,隔离设备和外网,隔离设备和内网,外网和内网是完全断开的。保证网络之间是完全断开的。隔离设备可以理解为纯粹的存储介质,和一个单纯的调度和控制电路。Page19of19当外网需要有数据到达内网的时候,以电子邮件为例,外部的服务器立即发起对隔离设备的非TCP/IP协议的数据连接,隔离设备将所有的协议剥离,将原始的数据写入存储介质。根据不同的应用,可能有必要对数据进行完整性和安全性检查,如

8、防病毒和恶意代码等。见下图2。一旦数据完全写入隔离设备的存储介质,隔离设备立即中断与外网的连接。转而发起对内网的非TCP/IP协议的数据连接。隔离设备将存储介质内的数据推向内网。内网收到数据后,立即进行TCP/IP的封装和应用协议的封装,并交给应用

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。