信息技術(shù)企業(yè)級(jí)安全隔離技術(shù)

企業(yè)級(jí)安全隔離技術(shù)作者：孤獨(dú)劍客

隔離技術(shù)概述隔離產(chǎn)品分類桌面級(jí)隔離技術(shù)企業(yè)級(jí)隔離技術(shù)網(wǎng)閘與防火墻Copyright?孤獨(dú)劍客2003隔離技術(shù)概述為什么隔離？歷史原因：受技術(shù)和成本制約而被動(dòng)隔離現(xiàn)實(shí)原因：互聯(lián)后無法忍受侵害而主動(dòng)隔離隔離技術(shù)概述怎么算隔離？實(shí)體角度理解：在設(shè)備、線路、存儲(chǔ)上是完全分離的過程角度理解：網(wǎng)絡(luò)間不存在任何形式的自動(dòng)信息交換隔離技術(shù)概述有哪些隔離方法？物理隔離：設(shè)備、線路、存儲(chǔ)均獨(dú)立網(wǎng)絡(luò)隔離（協(xié)議隔離）：協(xié)議轉(zhuǎn)換安全隔離：僅交換應(yīng)用數(shù)據(jù)隔離技術(shù)概述國(guó)外認(rèn)識(shí)之一1997年，安全專家MarkJosephEdwards隔離技術(shù)概述國(guó)外認(rèn)識(shí)之二2000年，數(shù)據(jù)處理咨詢專家E.NYONI《TECHNICALOPTIONSOFCOMPUTERZEDWORLD》隔離技術(shù)概述國(guó)外認(rèn)識(shí)之二他還給出了防火墻的原理示意圖：隔離技術(shù)概述國(guó)外認(rèn)識(shí)之二在書中他也詳細(xì)闡述了協(xié)議隔離：國(guó)外公司e-GapApplicationFirewall

ApplicationFilteringAuthenticationSSLEncryption/DecryptionNetworkIsolation

國(guó)外公司PhysicaldisconnectionProtocolinspectionWebapplicationprotectionAuthenticationCentralPolicy,DistributedControl隔離產(chǎn)品分分類網(wǎng)間安全威威脅層次威脅類別風(fēng)險(xiǎn)等級(jí)典型攻擊物理層次低超高電壓、線路破壞等協(xié)議層次中地址偽裝、碎片攻擊等應(yīng)用層次高惡意代碼、垃圾郵件等隔離產(chǎn)品分分類技術(shù)角度物理隔離：：線路、設(shè)設(shè)備、存儲(chǔ)儲(chǔ)邏輯隔離：：交換機(jī)、、路由器、、防火墻、、網(wǎng)閘應(yīng)用角度桌面級(jí)隔離離：部署位置：：用戶端產(chǎn)品形式：：雙機(jī)隔離離、硬盤隔隔離、線路路隔離企業(yè)級(jí)隔離離：部署位置：：網(wǎng)關(guān)處產(chǎn)品形式：：交換機(jī)、、路由器、、防火墻、、網(wǎng)閘隔離技術(shù)發(fā)發(fā)展與產(chǎn)品品沿革層次隔離內(nèi)容產(chǎn)品應(yīng)用層APPDATA網(wǎng)閘傳輸層PORT防火墻網(wǎng)絡(luò)層IP路由器鏈路層MAC交換機(jī)物理層－集線器桌面級(jí)隔離離技術(shù)雙機(jī)隔離硬盤隔離線路隔離完全的物理理隔離Internet企業(yè)內(nèi)部網(wǎng)網(wǎng)絡(luò)上不了網(wǎng)我抗議…雙機(jī)隔離Internet企業(yè)內(nèi)部網(wǎng)網(wǎng)絡(luò)每人2臺(tái)電電腦！太浪浪費(fèi)了上外部網(wǎng)上內(nèi)部網(wǎng)硬盤隔離（（雙硬盤））Windows…Win98LinuxInternet硬盤隔離（（單硬盤））Windows…外區(qū)內(nèi)內(nèi)區(qū)InternetReboot…Win98…Reboot…Linux…線路隔離Internet開/關(guān)只是延時(shí)??！并不能達(dá)到到物理隔離效果?。。?！企業(yè)級(jí)隔離離技術(shù)第一代空氣氣開關(guān)型隔隔離網(wǎng)閘GAP：AirGap第二代專用用交換通道道型隔離網(wǎng)網(wǎng)閘PET：PrivateExchangeTunnel回顧雙機(jī)隔隔離Internet接外部網(wǎng)接內(nèi)部網(wǎng)AB軟盤等存儲(chǔ)儲(chǔ)設(shè)備C第一代空氣氣開關(guān)型網(wǎng)網(wǎng)閘暫存區(qū)C外網(wǎng)單元A內(nèi)網(wǎng)單元BK切換控制電電路不可信網(wǎng)絡(luò)可信網(wǎng)絡(luò)病毒掃描入侵檢測(cè)身份認(rèn)證日志審計(jì)內(nèi)容過濾第一代空氣氣開關(guān)型網(wǎng)網(wǎng)閘數(shù)據(jù)交換方方式：是利利用單刀雙雙擲開關(guān)使使得內(nèi)外處處理單元分分時(shí)存取共共享存儲(chǔ)設(shè)設(shè)備完成數(shù)數(shù)據(jù)交換，，實(shí)現(xiàn)了在在空氣縫隙隙隔離(AirGap)情情況下的數(shù)數(shù)據(jù)交換。。安全功能原原理：是通通過應(yīng)用層層數(shù)據(jù)提取取與安全審審查達(dá)到杜杜絕基于協(xié)協(xié)議層的攻攻擊和增強(qiáng)強(qiáng)應(yīng)用層安安全的效果果。第二代專用用交換通道道型網(wǎng)閘外網(wǎng)單元A內(nèi)網(wǎng)單元B專用硬件通通道私有交換協(xié)協(xié)議加密簽名機(jī)機(jī)制不可信網(wǎng)絡(luò)可信網(wǎng)絡(luò)病毒掃描入侵檢測(cè)身份認(rèn)證日志審計(jì)內(nèi)容過濾第二代專用用交換通道道型網(wǎng)閘數(shù)據(jù)交換方方式：利用用專用高速速通道、私私有通信協(xié)協(xié)議和加密密簽名機(jī)制制實(shí)現(xiàn)了在在網(wǎng)絡(luò)隔離離的情況下下完成高速速實(shí)時(shí)的數(shù)數(shù)據(jù)交換。。安全功能原原理：通過過應(yīng)用層數(shù)數(shù)據(jù)提取與與安全審查查達(dá)到杜絕絕基于協(xié)議議層的攻擊擊和增強(qiáng)應(yīng)應(yīng)用層安全全的效果。。網(wǎng)閘的數(shù)據(jù)據(jù)安全交換換過程網(wǎng)閘的典型型應(yīng)用網(wǎng)閘與防火火墻對(duì)比項(xiàng)目網(wǎng)閘防火墻系統(tǒng)組成2套以上主機(jī)1套主機(jī)專用交換硬件有無通信協(xié)議私有交換協(xié)議TCP/IP工作層次應(yīng)用層網(wǎng)絡(luò)層/鏈路層自身安全性高低網(wǎng)絡(luò)隔離是否應(yīng)用層防護(hù)強(qiáng)弱