回答:
網(wǎng)閘(GAP)全稱安全隔離網(wǎng)閘。安全隔離網(wǎng)閘是一種由帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接,并能夠在網(wǎng)絡(luò)間進(jìn)行安全適度的應(yīng)用數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備。網(wǎng)閘在兩個(gè)不同安全域之間,通過協(xié)議轉(zhuǎn)換的手段,以信息擺渡的方式實(shí)現(xiàn)數(shù)據(jù)交換,且只有被系統(tǒng)明確要求傳輸?shù)男畔⒉趴梢酝ㄟ^。其信息流一般為通用應(yīng)用服務(wù)。
網(wǎng)閘的一個(gè)基本特征,就是內(nèi)網(wǎng)與外網(wǎng)永遠(yuǎn)不連接,內(nèi)網(wǎng)和外網(wǎng)在同一時(shí)間最多只有一個(gè)同隔離設(shè)備建立數(shù)據(jù)連接,可以是兩個(gè)都不連接,但不能兩個(gè)同時(shí)都連接。
網(wǎng)閘的硬件主要包括三部分:分別是專用安全隔離切換裝置(數(shù)據(jù)暫存區(qū))、內(nèi)部處理單元和外部處理單元。系統(tǒng)中的專用安全隔離切換裝置分別連接內(nèi)部處理單元和外部處理單元。這種獨(dú)特和巧妙的設(shè)計(jì),保證了安全隔離切換裝置中的數(shù)據(jù)暫存區(qū)在任一時(shí)刻僅連通內(nèi)部或者外部處理單元,從而實(shí)現(xiàn)內(nèi)外網(wǎng)的安全隔離。
網(wǎng)閘就是要解決目前網(wǎng)絡(luò)安全存在的下述問題:
(1)對(duì)操作系統(tǒng)的依賴,因?yàn)椴僮飨到y(tǒng)也有漏洞;
(2)對(duì)TCP/IP協(xié)議的依賴,而TCP/IP協(xié)議有漏洞;
(3)解決通信連接的問題,內(nèi)網(wǎng)和外網(wǎng)直接連接,存在基于通信的攻擊;
(4)應(yīng)用協(xié)議的漏洞,如非法的命令和指令等。
網(wǎng)閘作用
1、抵御基于操作系統(tǒng)漏洞攻擊行為
安全隔離網(wǎng)閘的雙主機(jī)之間是物理阻斷的,無連接的,因此,黑客不可能掃描內(nèi)部網(wǎng)絡(luò)的所有主機(jī)的操作系統(tǒng)漏洞,無法攻擊內(nèi)部,包括安全隔離網(wǎng)閘的內(nèi)部主機(jī)系統(tǒng)。
2、抵御基于TCP/IP漏洞的攻擊
由于安全隔離網(wǎng)閘的主機(jī)系統(tǒng)把TCP/IP協(xié)議頭全部剝離,以原始數(shù)據(jù)方式在兩主機(jī)系統(tǒng)間進(jìn)行“擺渡”,網(wǎng)閘的接受請(qǐng)求的主機(jī)系統(tǒng)與請(qǐng)求主機(jī)之間建立會(huì)話,因此,對(duì)于目前所有的如源地址欺騙、偽造TCP序列號(hào)、SYN攻擊等TCP/IP漏洞攻擊是完全阻斷的。
3、抵御木馬將數(shù)據(jù)外泄
安全隔離網(wǎng)閘對(duì)于每個(gè)應(yīng)用都是在應(yīng)用層進(jìn)行處理,并且策略需按照應(yīng)用逐個(gè)下達(dá),同時(shí)對(duì)于目的地址也要唯一性指定,因此內(nèi)部主機(jī)上的木馬是無法實(shí)現(xiàn)將數(shù)據(jù)外泄的。并且木馬主動(dòng)發(fā)起的對(duì)外連接也將直接被隔離設(shè)備切斷。
4、抵御基于文件的病毒傳播
安全隔離網(wǎng)閘在理論上是完全可以防止基于文件的攻擊,如病毒等。病毒一般依附在高級(jí)文件格式上,低級(jí)文件格式則不會(huì)有病毒,因此進(jìn)行文件“擺渡”的時(shí)候,可以限制文件的類型,如只有文本文件才可以通過“擺渡”,這樣就不會(huì)有病毒。另外一種方式,是剝離重組方式。剝離高級(jí)格式,就消除了病毒的載體,重組后的文件,不會(huì)再有病毒。這種方式會(huì)導(dǎo)致效率的下降,一些潛在的危險(xiǎn)的格式可能會(huì)被禁止。
5、抵御DoS/DDoS攻擊
安全隔離網(wǎng)閘自身特有的無連接特性,能夠很好的防止DoS或DDoS攻擊穿過隔離設(shè)備攻擊服務(wù)器。但也不能抵御針對(duì)安全隔離設(shè)備本身的DDoS攻擊。
6、安全性高
內(nèi)外網(wǎng)主機(jī)系統(tǒng)分別有獨(dú)立于網(wǎng)絡(luò)接口的專用管理接口,同時(shí)對(duì)于運(yùn)行的安全策略需要在兩個(gè)系統(tǒng)分別下達(dá),并通過統(tǒng)一的任務(wù)號(hào)進(jìn)行對(duì)應(yīng)。以此達(dá)到高安全。即使系統(tǒng)的外網(wǎng)處理單元癱瘓,網(wǎng)絡(luò)攻擊也無法觸及內(nèi)網(wǎng)處理單元。
7、設(shè)備聯(lián)動(dòng)
可結(jié)合防火墻、IDS、VPN等安全設(shè)備運(yùn)行,形成綜合網(wǎng)絡(luò)安全防護(hù)平臺(tái)。
免責(zé)聲明:本網(wǎng)站部分文章、圖片等信息來源于網(wǎng)絡(luò),版權(quán)歸原作者平臺(tái)所有,僅用于學(xué)術(shù)分享,如不慎侵犯了你的權(quán)益,請(qǐng)聯(lián)系我們,我們將做刪除處理!