首页 范文 版权 协议

首页 > 范文大全 > 正文

浅析网闸在网络安全中的应用

开篇:润墨网以专业的文秘视角,为您筛选了一篇浅析网闸在网络安全中的应用范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!

摘要: 本文通过对网闸的概念及演变历史的阐述,具体分析了网闸在网络安全中的几种典型应用架构。

关键词: 网闸 概念 演变 应用

1.网闸的概念

网闸,就是安全隔离与数据交换系统,是继杀毒系统、防火墙、入侵检测系统后的又一种安全设备。目前对它的应用存在很多争议,很多人认为网闸是放在需要物理隔离的两个网络之间,但根据国家保密局的定性,它不是物理隔离产品,它还是定义在了逻辑隔离的层次,所以试图用网闸来进行网络物理隔离的思路是不可行的。也有人认为网闸就是加强版的防火墙,其实这种认识也是片面的。

2.网闸的演变

2000年国内开始出现网闸。当时,网闸的主要技术特点是:数据摆渡。在硬件构架上,主要以分立的三台工控机堆叠为主。原理是:第一台工控机负责数据的接收,这时第二台工控机和第一台工控机相连,而和第三台工控机断开;在第二台工控机接受到数据后和第一台工控机断开,再和第三台相连,实现开关式的数据摆渡交换。

2001年至2002年完善了这种数据交换的速度和稳定性。当时国家保密局对它的定性是物理隔离还是逻辑隔离没有统一的认识,但这时国内第一批厂家已经开始以物理隔离的卖点在销售了。2003年,网闸在数据交换方面随着对TCP/IP的深入开发,逐渐实现了对TCP/IP协议的剥离和重组技术,于是网闸的并发数及速度逐渐不是应用中的瓶颈,稳定性也逐渐提高。在硬件构架上基本都实现了一体化,大多采用了双主机构架。主机向嵌入式系统的方向开发,国家保密局也开始对这类产品进行检测,最终的定性是逻辑隔离。

2004年―2005年,很多厂家停止了对网闸的投入,剩下的厂家开始寻求技术突破。数据同步和文件同步的需求逐渐成为网闸技术攻关的方向,多家厂商很快初步实现了部分同步功能,同时突出网闸的数据隔离交换和防火墙逐渐形成两个完全不同的产品。2005年至今,随着应用的发展,网闸的同步功能需求越来越广,对同步的要求也逐步提高,数据隔离交换技术在很多场合也成了唯一选择。

3.网闸的应用

应用的快速发展促进了对网络安全保护的需求。比如,政务公开要求将部分内网数据公布在Internet或其他专网上,以供相关用户查询、使用,但完全的物理隔离已经无法满足日益增加的数据交换的需要。网闸就是实现不同网络之间数据安全交互的专用设备。它主要有以下几种应用:

1.数据库系统隔离与保护

(1)一般第三方应用数据库隔离保护构架

此构架实施简单方便,主要实现了TCP/IP协议的安全隔离。存在的主要安全隐患在于:攻击程序可能利用标准的数据库协议实施攻击。

(2)增强第三方应用数据库隔离保护构架

由于引入了程序进程可信计算模块后,安全隔离网闸可以鉴别第三方应用程序,如果是木马、病毒等攻击程序利用标准的数据库协议实施攻击,与网闸的通讯就会被立刻阻断;只有在安全隔离网闸内部注册过的第三方应用程序,才能顺利交换数据。因此此方案可以有效杜绝攻击程序利用标准的数据库协议实施攻击的可能性,同时保障第三方程序的安全。

(3)专用数据库同步隔离保护构架

此构架是使用网闸的数据库同步模块实现的。它是在终止了各类数据库通讯协议(例如:Oracle的TNS协议、SQL Server和SyBase的TDS协议)的基础上,实现记录数据的高速同步。

2.文件同步系统隔离与保护

(1)网站文件系统隔离保护

此构架是将内部安全的网站文件即时同步到外部镜像网站。网闸的文件同步模块通过捕获文件内核事件,分析文件添加、修改、删除和更名动作。因此,任何文件的改变都能够被即时同步。另外网闸的文件同步模块特别加入了文件防篡改功能,一旦黑客通过Web服务器的漏洞篡改了外部网站的网页,文件同步模块能够“即时”发现,并“立刻”恢复被篡改了的网页。

(2)数据采集文件系统隔离保护

此构架是将外部特定的数据采集文件,即时同步到内部主机,然后删除外部的数据采集文件。

(3)双向文件交换系统隔离保护

此构架是将内部文件系统与外部文件系统的任何文件改变,能够被即时同步到对方。方式有两种,如图:

A―A目录同步方式为真正的双向文件同步,实现上需要复杂的文件同步冲突分析模块,否则会产生同步死锁;A―A目录同步方式实际上是两个单向文件同步,实现比较简单。

3.Web FTP MAIL服务器系统保护

(1)一般服务器保护构架

此构架主要实现了TCP/IP协议的安全隔离。外部访问程序只跟网闸的非可信端口建立连接,服务器只跟网闸可信端口建立连接,外部访问程序通过网闸的高速协议应用数据摆渡功能保持与服务器的通讯连接,彼此并不直接相连。

(2)增强型服务器保护构架

此构架引入程序进程可信计算模块,网闸可以鉴别第三方应用程序,如果是木马、病毒等攻击程序利用标准的TCP/IP协议实施攻击,与网闸的通讯就会被立刻阻断;只有在安全隔离网闸内部注册过的应用程序,才能顺利交换数据。确保网络访问的安全问题。

总之,网闸是新一代高安全度的企业级信息安全防护设备,它的应用范围已经越来越广泛。

参考文献:

[1]许云民.物理隔离网闸原理及应用.计算机安全,2005,12.

[2]李江崃.隔离网闸技术的现状与应用.软件导刊,2005,18.

上一篇:浅谈计算机专业课堂管理 下一篇:浅谈自动化相关专业网上教学平台的建设