网闸外部访问
‘壹’ 网闸的其它问题
(一)安全隔离网闸通常布置在什么位置?
安全隔离网闸通常布置在两个安全级别不同的两个网络之间,如信任网络和非信任网络,管理员可以从信任网络一方对安全隔离网闸进行管理。
(二)安全隔离网闸的部署是否需要对网络架构作调整?
采用透明方式的网闸只需要在两个网络各提供一个有效的IP地址即可。采用路由模式的网闸要求一定的改动。有的网闸支持两种连接方式。有的只支持一种。只支持路由模式的网闸就会要求对网络结构有改动。
(三)安全隔离网闸是否可以在网络内部使用?
可以,网络内部安全级别不同的两个网络之间也可以安装安全隔离网闸进行隔离。
(四)安全隔离网闸支持交互式访问吗?
鉴于安全隔离网闸保护的主要是内部网络,一旦支持交互式访问如支持建立会话,那么无法防止信息的泄漏以及内部系统遭受攻击,因此,安全隔离网闸不支持交互式访问.
(五)支持反向代理的安全隔离网闸安全吗?
支持反向代理意味着可以从非信任网络间接授权访问信任网络上的资源,一旦代理软件在安全检查或者软件实现上出现问题,那么很有可能会被黑客利用并非法存取内部资源。因此从安全性上讲,支持反向代理的安全隔离网闸不安全。
(六)如果对应网络七层协议,安全隔离网闸是在哪一层断开?
如果针对网络七层协议,安全隔离网闸是在硬件链路层上断开。
(七)安全隔离网闸支持百兆网络吗?千兆网络如何支持?
安全隔离网闸支持百兆网络,目前国内最快的可以达到120MBps。对于千兆网络,可以采用多台安全隔离网闸进行负载均衡。
(八)安全隔离网闸自身的安全性如何?
安全隔离网闸双处理单元上都采用了安全加固的操作系统,包括强制访问控制、基于内核的入侵检测等安全功能,并且该系统得到国家权威部门的认证。
(九)安全隔离网闸有身份认证机制吗?
有。安全隔离网闸在用于邮件转发和网页浏览的时候,对用户进行用户名/口令、证书认证等多种形式的身份认证。
(十)有了防火墙和IDS,还需要安全隔离网闸吗?
防火墙是网络层边界检查工具,可以设置规则对内部网络进行安全防护,而IDS一般是对已知攻击行为进行检测,这两种产品的结合可以很好的保护用户的网络,但是从安全原理上来讲,无法对内部网络做更深入的安全防护。安全隔离网闸重点是保护内部网络,如果用户对内部网络的安全非常在意,那么防火墙和IDS再加上安全隔离网闸将会形成一个很好的防御体系。
(十一)受安全隔离网闸保护的内部网络需要不断升级吗?
安全隔离网闸首先在链路层断开,彻底切断网络连接,并仅允许仅有的四种指定静态数据进行交换,对外不接受请求,并且在内部用户访问外部网络时采用静态页面返回(过滤ActiveX、Java、cookie等),并且木马无法通过安全隔离网闸进行通讯,因此内部网络针对外部的攻击根本无需升级。
(十二)为什么受防火墙保护的内部网络需要不断升级?
防火墙是在网络层对数据包作安全检查,并不切断网络连接,很多案例证明无论包过滤还是代理防火墙都很难防止木马病毒的入侵内部网络,Nimda绕过很多防火墙的检查并在全世界肆虐就是一个很好的例证,因此需要用户的内部网络不断升级自己的客户端如浏览器。
(十三)安全隔离网闸能否防止内部无意信息泄漏?
由于安全隔离网闸在数据交换时采用了证书机制,对所有的信息进行证书验证,因此对于那些病毒乱发邮件所造成的无意信息泄漏起到很好的防范作用。
(十四)使用安全隔离网闸时需要安装客户端吗?
有的网闸管理员使用通用的浏览器即可对其进行管理配置,使用安全隔离网闸时不需安装其他客户端。 但是这种方式具有极大的安全风险,因为远程连接会引入安全威胁,而这种对于控制口的攻击更为严重。所以安全性要求高的网闸,不允许通过远程进行配置,只允许通过专有的配置程序,也就是客户端通过串口进行配置。一些重要部门均不允许对网闸具有远程配置的功能。
(十五)安全隔离网闸接受外来请求吗?
不接受,安全隔离网闸上的数据交换全部由管理员来进行配置,其所有的请求都由安全隔离网闸主动发起,不接受外来请求,不提供任何系统服务。 如果接受远程配置,就会接受外来的请求,造成严重的安全问题。
(十六)安全隔离网闸是否支持所连接的两个网络的网段地址相同?
支持。
(十七)安全隔离网闸的主机系统是否经过安全加固?
由于从网络架构上来讲,安全隔离网闸是处在网关的位置,因此其自身安全性非常重要,两个处理单元 加固包括硬件加固、操作系统加固以及协议的加固。详情见扩展阅读3.
(十八)安全隔离网闸采用什么样的接口?有几个接口?
安全隔离网闸通常提供2个标准以太网百兆接口。
(十九)安全隔离网闸如何管理,支持远程管理吗?
安全性高的安全隔离网闸不支持远程管理。
(二十)安全隔离网闸适用于大规模的部署吗?
安全隔离网闸的安全部署不需对现有网络作调整,同时支持多台冗余
(二十一)安全隔离网闸适用于什么样的场合?
如果用户的网络上存储着重要的数据、运行着重要的应用,通过防火墙等措施不能提供足够高的安全性保护的情况下,可以考虑使用安全隔离网闸。
(二十二)安全隔离网闸直接转发IP包吗?
否。安全隔离网闸从不直接或者间接地转发IP包形式的数据。安全隔离网闸的安全性体现在链路层断开,直接处理应用层数据,对应用层数据进行内容检查和控制,在网络之间交换的数据都是应用层的数据。如果直接转发IP的话,由于单个IP包中一般不包含完整的应用数据,所以无法进行全面的内容检查和控制,也就无法保证应用层的安全。因此,如果直接转发IP包,则背离了安全隔离网闸的安全性要求,不能称为安全隔离网闸。
‘贰’ 怎么实现内外网的完全隔离
可以安装物理安全隔离网闸设备进行内外网隔离。物理安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。
这个设备主要用来解决网络安全问题的,尤其是在那些需要绝对保证安全的保密网,专网和特种网络与互联网进行连接时,用来防止来自互联网的攻击和保证这些高安全性网络的保密性、安全性、完整性。
(2)网闸外部访问扩展阅读:
安全隔离网闸的原理
网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。
由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议"摆渡",且对固态存储介质只有"读"和"写"两个命令。
所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使"黑客"无法入侵、无法攻击、无法破坏,实现了真正的安全。
参考资料来源:网络--网闸
参考资料来源:网络--物理隔离