網閘如何配置國標28281
『壹』 網閘的其它問題
(一)安全隔離網閘通常布置在什麼位置?
安全隔離網閘通常布置在兩個安全級別不同的兩個網路之間,如信任網路和非信任網路,管理員可以從信任網路一方對安全隔離網閘進行管理。
(二)安全隔離網閘的部署是否需要對網路架構作調整?
採用透明方式的網閘只需要在兩個網路各提供一個有效的IP地址即可。採用路由模式的網閘要求一定的改動。有的網閘支持兩種連接方式。有的只支持一種。只支持路由模式的網閘就會要求對網路結構有改動。
(三)安全隔離網閘是否可以在網路內部使用?
可以,網路內部安全級別不同的兩個網路之間也可以安裝安全隔離網閘進行隔離。
(四)安全隔離網閘支持互動式訪問嗎?
鑒於安全隔離網閘保護的主要是內部網路,一旦支持互動式訪問如支持建立會話,那麼無法防止信息的泄漏以及內部系統遭受攻擊,因此,安全隔離網閘不支持互動式訪問.
(五)支持反向代理的安全隔離網閘安全嗎?
支持反向代理意味著可以從非信任網路間接授權訪問信任網路上的資源,一旦代理軟體在安全檢查或者軟體實現上出現問題,那麼很有可能會被黑客利用並非法存取內部資源。因此從安全性上講,支持反向代理的安全隔離網閘不安全。
(六)如果對應網路七層協議,安全隔離網閘是在哪一層斷開?
如果針對網路七層協議,安全隔離網閘是在硬體鏈路層上斷開。
(七)安全隔離網閘支持百兆網路嗎?千兆網路如何支持?
安全隔離網閘支持百兆網路,目前國內最快的可以達到120MBps。對於千兆網路,可以採用多台安全隔離網閘進行負載均衡。
(八)安全隔離網閘自身的安全性如何?
安全隔離網閘雙處理單元上都採用了安全加固的操作系統,包括強制訪問控制、基於內核的入侵檢測等安全功能,並且該系統得到國家權威部門的認證。
(九)安全隔離網閘有身份認證機制嗎?
有。安全隔離網閘在用於郵件轉發和網頁瀏覽的時候,對用戶進行用戶名/口令、證書認證等多種形式的身份認證。
(十)有了防火牆和IDS,還需要安全隔離網閘嗎?
防火牆是網路層邊界檢查工具,可以設置規則對內部網路進行安全防護,而IDS一般是對已知攻擊行為進行檢測,這兩種產品的結合可以很好的保護用戶的網路,但是從安全原理上來講,無法對內部網路做更深入的安全防護。安全隔離網閘重點是保護內部網路,如果用戶對內部網路的安全非常在意,那麼防火牆和IDS再加上安全隔離網閘將會形成一個很好的防禦體系。
(十一)受安全隔離網閘保護的內部網路需要不斷升級嗎?
安全隔離網閘首先在鏈路層斷開,徹底切斷網路連接,並僅允許僅有的四種指定靜態數據進行交換,對外不接受請求,並且在內部用戶訪問外部網路時採用靜態頁面返回(過濾ActiveX、Java、cookie等),並且木馬無法通過安全隔離網閘進行通訊,因此內部網路針對外部的攻擊根本無需升級。
(十二)為什麼受防火牆保護的內部網路需要不斷升級?
防火牆是在網路層對數據包作安全檢查,並不切斷網路連接,很多案例證明無論包過濾還是代理防火牆都很難防止木馬病毒的入侵內部網路,Nimda繞過很多防火牆的檢查並在全世界肆虐就是一個很好的例證,因此需要用戶的內部網路不斷升級自己的客戶端如瀏覽器。
(十三)安全隔離網閘能否防止內部無意信息泄漏?
由於安全隔離網閘在數據交換時採用了證書機制,對所有的信息進行證書驗證,因此對於那些病毒亂發郵件所造成的無意信息泄漏起到很好的防範作用。
(十四)使用安全隔離網閘時需要安裝客戶端嗎?
有的網閘管理員使用通用的瀏覽器即可對其進行管理配置,使用安全隔離網閘時不需安裝其他客戶端。 但是這種方式具有極大的安全風險,因為遠程連接會引入安全威脅,而這種對於控制口的攻擊更為嚴重。所以安全性要求高的網閘,不允許通過遠程進行配置,只允許通過專有的配置程序,也就是客戶端通過串口進行配置。一些重要部門均不允許對網閘具有遠程配置的功能。
(十五)安全隔離網閘接受外來請求嗎?
不接受,安全隔離網閘上的數據交換全部由管理員來進行配置,其所有的請求都由安全隔離網閘主動發起,不接受外來請求,不提供任何系統服務。 如果接受遠程配置,就會接受外來的請求,造成嚴重的安全問題。
(十六)安全隔離網閘是否支持所連接的兩個網路的網段地址相同?
支持。
(十七)安全隔離網閘的主機系統是否經過安全加固?
由於從網路架構上來講,安全隔離網閘是處在網關的位置,因此其自身安全性非常重要,兩個處理單元 加固包括硬體加固、操作系統加固以及協議的加固。詳情見擴展閱讀3.
(十八)安全隔離網閘採用什麼樣的介面?有幾個介面?
安全隔離網閘通常提供2個標准乙太網百兆介面。
(十九)安全隔離網閘如何管理,支持遠程管理嗎?
安全性高的安全隔離網閘不支持遠程管理。
(二十)安全隔離網閘適用於大規模的部署嗎?
安全隔離網閘的安全部署不需對現有網路作調整,同時支持多台冗餘
(二十一)安全隔離網閘適用於什麼樣的場合?
如果用戶的網路上存儲著重要的數據、運行著重要的應用,通過防火牆等措施不能提供足夠高的安全性保護的情況下,可以考慮使用安全隔離網閘。
(二十二)安全隔離網閘直接轉發IP包嗎?
否。安全隔離網閘從不直接或者間接地轉發IP包形式的數據。安全隔離網閘的安全性體現在鏈路層斷開,直接處理應用層數據,對應用層數據進行內容檢查和控制,在網路之間交換的數據都是應用層的數據。如果直接轉發IP的話,由於單個IP包中一般不包含完整的應用數據,所以無法進行全面的內容檢查和控制,也就無法保證應用層的安全。因此,如果直接轉發IP包,則背離了安全隔離網閘的安全性要求,不能稱為安全隔離網閘。
『貳』 網閘,路由器和前置機之間怎麼配置
路由器
只要完成路由學習,並按自己的路由表來轉發數據的,這個數據可以是IP,也可以是IPX等。它主要轉發我們常說的「數據包」。而且它有多種介面,可以連接不同的物理線路,比如乙太網,ATM,E1,DDN,Frame relay等等。還可以撥號,做VPN。當然了,還支持很多的高級特性。
硬體防火牆
防火牆主要是保護網路安全的,可以對進入的數據包進行檢查,來自己定義的規則來處理,比如那些接受並轉發,那些丟掉。具體用的技術太多了。。。做ACL了,做inspection,做TCP代理等等。
網閘
主要功能有,切斷網路之間的通用協議連接;將數據包進行分解或重組為靜態數據;對靜態數據進行安全審查,包括網路協議檢查和代碼掃描等;確認後的安全數據流入內部單元;內部用戶通過嚴格的身份認證機制獲取所需數據。
交換機
我們說的交換機一般指乙太網交換機,主要是根據自己學習到的MAC地址表來轉發數據幀的。
當然了,真是傳統的2層交換機,三層交換機有很多路由器的功能,可以跑路由協議,轉發IP數據包,做ACL等等。但是支持的介質很單一,一般乙太網交換機只支持乙太網。。。ATM交換機支持ATM等。
『叄』 安全隔離網閘相關資料
2002年FBI/CSI調查報告顯示,計算機攻擊事件正以每年64%的速度增加。這種威脅對我國關鍵領域一直存在,特別是「金盾「、「金審」、「金財」、「金稅」等政務工程的核心政務網(涉密網)、政務專網等核心系統,運行著很多重要涉密信息,網路與信息的安全性尤為重要。
目前國家明確規定政府的涉密網路應與互聯網保持物理隔離,確保信息安全。這樣確實有效避免了來自Internet 的網路威脅。然而涉密網路之間如行業內部上下級與不同行業部門之間是相互不信任的關系,當信息流通時就面臨帶來的安全問題;如公安內網中的敏感信息需要流通到檢委內網,同時兩個部門涉密網內部都具有高度的信息敏感資源,相互是不信任關系,再比如工商內網與稅務內網、財政內網與海關內網之間的信息流通都面臨涉密網的安全與互通問題。所以必須採取相應的安全措施來保障涉密內網的安全問題,目前常用以下兩種方法。
用人工拷貝實現隔離下的信息交換
目前,涉密網路通常與外界實現物理隔離,當涉密網之間需要交換信息時,通常在中間區域設置雙方數據伺服器,通過可信人員通過人工拷貝來實現。通過人工拷貝的方式,的確避免了來自不信任網路的黑客攻擊等威脅,然而也帶來新的問題。首先,人工投入管理開銷比較大,雙方必須投入人員參與數據拷貝工作;其次,人工拷貝實時性較差,無法發揮網路信息技術帶來的快速的通信便利等優點;最後,由於頻繁使用軟盤或其他存儲介質,增加了病毒和木馬程序傳播的途徑和幾率,帶來新的安全問題。所以該方式無法適應電子政務的發展趨勢。
用防火牆等邏輯機制保護涉密內網的安全
除採用保證物理隔離條件下採用人工拷貝實現信息交換的方式外,另一些部門涉密內網之間採用了防火牆來實現與其他專網之間的邏輯隔離。但防火牆發展到現在仍存在以下弱點。
圖1 單方不信任涉密內網之間安全隔離解決方案
首先防火牆無法抵禦數據驅動式攻擊,即大量合法的數據包導致網路阻塞而使正常通信癱瘓;其次,防火牆很難阻止由通用協議本身漏洞發起的入侵;再次,防火牆系統本身的缺陷也是影響內部網路安全的重要問題;另外,只有正確、合理配置防火牆才能起到本身的安全作用,而配置的復雜為網管人員帶來煩瑣工作量的同時,也增加了配置不當帶來的隱患。由於目前能攻破防火牆的技術正不斷發展,所以對於涉密網路中使用防火牆做屏障是不可靠的防禦手段。
由上面分析可知,第一種解決方案雖實現了物理隔離,但缺乏信息實時機制,而且人員管理開銷較大;第二種方案採用了安全防禦機制不太嚴密的邏輯隔離技術來保護涉密網路的信息安全,無疑為數據泄秘和黑客破壞等提供了可能。故兩者不能算完整的解決方案。而目前漸漸興起的GAP技術可以為涉密網路提供可靠的保護,該技術利用專用硬體保證兩個網路在物理鏈路層斷開的前提下實現數據安全傳輸和資源共享,並能夠顯著提高內部用戶網路的安全強度。
天行網安GAP技術讓信息隔離並交換著
天行安全隔離網閘(Topwalk-GAP)是由天行網安信息技術有限公司與公安部通信局聯合研製的新一代安全隔離產品,也是GAP技術在國內的代表產品之一。該產品採用自主產權的專用隔離硬體和多個處理單元緊密集成的獨特設計,集成各種安全模塊為一體,部署於信任網路與非信任網路之間,能夠防止並抵禦各種網路攻擊及黑客病毒入侵,並給用戶提供了文件傳輸與資料庫交換、收發郵件和瀏覽網頁等多種信息交換方式。它通常部署於信任與非信任網路之間的核心內部網路之間,採用GAP(安全隔離)技術、協議轉換、安全操作系統內核技術、內核的入侵檢測技術、病毒掃描技術以及安全P&P(Pull and Push)等安全技術,杜絕有害信息,組成網路之間數據交換的安全通道。該隔離網閘主要提供了以下功能模塊以及根據用戶特殊要求的定製模塊。
單方信任涉密網路隔離解決方案
在同行業部門上下級涉密網常要面臨信息流通的問題,在這種情況下通常具備下級信任上級、上級的信息敏感度比下級要高等特點,即不同信任級別的涉密網要進行信息交換,可以參考以下解決方案。
圖2 涉密網路之間信息交換示意圖
如圖2所示,左邊方框內表示信任部門的涉密內網,通常為中央、部委、省級機關等重要部門的核心內部網路,在涉密內網通常運行關系國家機密、政府和經濟敏感信息等資源,所以對安全性要求很高。而這些部門內網需要通過專網同地方、下級相應部門的涉密內網進行信息共享與交換。在這種情況下,通常是上級安全性高於下級,中央政府高於地方政府的單方信任關系,可採用上述單方信任涉密網之間安全解決方案。該方案將隔離網閘設在可信任端,所有請求從信任端發起,確保了信任涉密網的安全性。同時隔離網閘為用戶提供了多種功能模塊,實現了靈活方便的如公文交換、郵件收發、資料庫共享等功能,從而滿足如部門上下級等不同涉密網路之間的信息共享需求。
雙方不信任涉密網隔離解決方案
在電子政務的應用中,常常遇到不同行業的網路之間信息交換的問題。由於兩個行業部門都有各自的信息管理系統和人員管理體制,所以仍應在保證雙方涉密網的高度安全下實現適度信息交換。如圖3所示,A部門涉密內網和B部門涉密內網都屬於對安全高敏感區域,通常要求與外網安全隔離。由於涉密內網之間需要適度交換信息,所以應為雙方設置數據中間區域。中間區域與兩邊涉密內網通過安全隔離網閘來實現隔離下的信息交換。
如此配置安全隔離網閘基於以下幾點:安全隔離網閘採取了安全的數據P&P(Pull and Push)技術,所有請求由內網(即信任網路端)發起,外部處理單元不提供任何服務。所以建議設中間隔離區域提供文件、郵件和資料庫的伺服器,負責接受雙方提交的數據,然後再由涉密網內部主動請求從中間隔離區域提取所需要的數據。這樣保證用戶提交數據或提取數據都由雙方可信任方主動發起,在加上安全隔離網閘所採用的訪問控制和身份驗證機制,確保了雙方交換數據信息時的安全性和可靠性,同時保證了信息流通的實時性和易操作性。
GAP技術信息交換有優勢
上述兩套方案通過採用天行安全隔離網閘(Topwalk-GAP)作為涉密網路之間的隔離屏障,該產品通過不同涉密網路之間物理鏈路層斷開以得到高度安全,並滿足了相互之間進行多種形式的信息交換。
與人工拷貝相比具備的優勢具有以下優勢:
交換方式靈活多樣
GAP技術提供了文件交換、資料庫交換以及郵件收發等多種安全數據交換手段。如果人工拷貝只能通過軟盤或其他移動存儲介質實現文件間的拷貝,當文件過多或過大時,難以滿足需求,或者在大型關系資料庫間表格或記錄傳遞時無法實現。
信息交換及時
該產品硬體內部數據交換速率達到819.2Mbps,系統數據交換速率達到120Mbps,硬體切換時間只有5ms,最大並發連接數更是突破了目前國內最多1500個的限制,達到了5000以上,可保證內外網的信息交換在較短的時間完成,可以滿足大部分政府辦公對信息交換的需求,而人工拷貝則耗時較多。
具有病毒和關鍵字內容過濾功能
人工拷貝需要採用軟盤等移動存儲介質,往往成為病毒或木馬程序傳播的途徑,同時也不易於集中管理控制。採用隔離網閘時,交換的文件或數據會被進行病毒或關鍵字內容檢測,大大降低了由病毒或無意泄露信息帶來的安全風險。
圖3 雙方不信任涉密內網之間安全隔離解決方案
GAP技術與防火牆等產品相比,該產品具備的需求以下的優勢:
比防火牆安全強度更高和更可靠
防火牆採用在網路層上的邏輯隔離機制,即主要通過軟體策略來實現,由於在網路層是相通的,所以很難終結有經驗的黑客。基於GAP技術的天行安全隔離網閘實現了涉密網與外界基於鏈路層的安全隔離,使得黑客基於網路協議的攻擊無效,這樣不但消除了通用協議漏洞給涉密內網帶來的威脅,同時也使內部的系統與軟體後門與漏洞不會被外部利用。
有效阻止DOS網路攻擊
由於防火牆通常建立在TCP/IP協議的通路上,需要提供對外服務,而拒絕服務攻擊(DOS),就是利用TCP/IP協議的缺陷,對於隔離網閘外部處理單元不需要運行任何伺服器程序,並保證了與內網不存在TCP/IP協議通路,不接受來自外部任何主機的發起連接(TCP SYN),這樣外部主機對於網際網路來說就像被隱藏了一樣,有效保證了隔離網閘本身和內網的安全性。
防配置錯誤引起的網路隱患
我們知道,防火牆是由一系列的規則組成,使用該規則對於進出的網路包進行檢查,通常情況下,防火牆都比較安全,但是也有可能出現配置錯誤,造成不安全通道打開,這樣就有可能被黑客所利用。而隔離網閘僅允許定製的信息進行交換,即使出現錯誤,也至多是數據不再傳輸,而不會為黑客打開安全之門。
避免操作系統和軟體的不斷升級
通常防火牆只能防止網路層的攻擊,對於操作系統和軟體出現的安全問題並不能提供一個很好的防護方式,很多採用防火牆的用戶仍然受到「Nimda」病毒困擾就是一個很好的例證,用戶使用了防火牆仍然得不斷地升級自己的操作系統和瀏覽器,以避免由於這些問題導致系統被攻擊。而隔離網閘由於在鏈路層斷開,禁止所有的直接網路連接,因此可以有效保證內部系統的安全,避免了用戶繁雜的升級工作。