物理隔离与数据交换网闸设计误区
网闸用于断开用户的业务连接并完成数据交换。然而,由于网闸的两极输出,它直接位于intranet节点上,没有其他中间代理。各种应用协议直接连接到网闸接口。从用户的角度来看,内部网服务似乎是内部网之间的连接。设置逻辑连接。网闸就像网络堡垒。
网闸设计产品为许多网闸生产公司分析内部和外部网络接口上的各种应用程序以方便客户,但缺乏数据和应用程序更新协议。可以根据安全检查的结果检测网闸,并且可以满足横截面要求。停电不符合要求。这不仅是数据交换,也是对业务应用程序代理服务器的访问。一些交换机允许访问者访问内部网络服务器。这些分析不仅覆盖常规协议,还通过代理服务器访问数据库,为缓冲区溢出和SQL注入等攻击提供可靠的基础设施。
由于应用程序分析协议,应用程序可以通过交换机使用,并且还有一个攻击向量,因此交换机的安全性取决于交换机的安全检查技术。物理隔离意味着协议作为攻击手段的应用被中断,入侵或攻击无法进入安全目标。因此,销毁网闸不是一个代理,而是一个业务协议。例如,火车可以继续通过十字路口和大门。你必须完全卸载货物。因为火车从这里到海岸不需要汽车或水手。因此,很难发现网络攻击难以发现的散布。
网闸安全控制技术需要与现代安全网闸检测技术兼容。因此,如果可以通过网闸建立流量连接,则网闸功能具有与将网络连接到安全网闸设备(例如防火墙)相同的安全效果。因此,分析协议应用程序成为应用程序代理网闸,但它是一个逻辑安全网闸,实际上满足数据交换功能,但不会造成网络隔离效果。
物理隔离与数据交换网闸安全原则
网闸业务协议分析并不意味着网闸存在新的安全问题,而且可能性很大。为了实现网络在网闸中的位置和目的,网闸需要自己的安全设计原则。
使用网闸的目的是隔离流量,同时安全地替换数据。从安全服务的角度来看,网闸打开的服务类型越小,攻击的可能性越小,网闸可以共享的数据类型越少,隐藏的可能性越小。网闸安全原则定义如下。
1、一站式服务:完成数据文件交换和仅以文件格式交换数据,所有其他服务均已终止。
2、定向交换:在数据交换期间指定接收方和发送方。
3、网闸不支持应用程序的描述,不跳过应用程序,仅执行文档数据流,并且无法访问HTTP、SMTP和FTP等协议。网闸仅用于数据处理,不支持应用程序共享,因为很难访问其他数据库。协议终止,媒体在入侵或攻击期间完全丢失。
物理隔离与数据交换网闸安全性分析和安全原则验证
指定网络内外的发件人和收件人。数据交换是一种数据交换服务,提供对点的访问,促进数据交换的检查,并帮助识别源问题。第三方防止伪造材料和重复盗窃等攻击。
仅选择文件共享级别:使用文件共享级别而不是数据包级别,以便文件相对完整,并且蠕虫段不会隐藏。信息模块交换没有互连,您不需要使用网闸来恢复或重建信息。
如果选择共享文件,则内部网络和外部网络未连接,黑客来自外部网络。远程攻击在远程电路中表现不佳,难以实施。内部网络仅攻击网络本身中的病毒和蠕虫,并提供类似于人类数据交换的安全效果。
文件内容的安全由发件人的身份证书保证。与病毒、蠕虫、木马和其他测试相关的文件是静态测试,很难通过调整文件共享的格式来隐藏文件。在实际系统中,网闸可以根据安全级别系统的要求有选择地共享文档文件,例如文字格式、压缩文档和可执行文档。
