一、背景??? 网络的物理隔离是很多网络设计者都不愿意的选择,网络上要承载专用的业务,其安全性一定要得到保障。然而网络的建设就是为了互通的,没有数据的共享,网络的作用也缩水了不少,因此网络隔离与数据交换是天生的一对矛盾,如何解决好网络的安全,又方便地实现数据的交换是很多网络安全技术人员在一直探索的。??? 网络要隔离的原因很多,通常说的有下面两点:??? 1 、? 涉密的网络与低密级的网络互联是不安全的,尤其来自不可控制网络上的入侵与攻击是无法定位管理的。互联网是世界级的网络,也是安全上难以控制的网络,又要连通提供公共业务服务,又要防护各种攻击与病毒。要有隔离,还要数据交换是各企业、政府等网络建设的首先面对的问题。??? 2??? 安全防护技术永远落后于攻击技术,先有了矛,可以刺伤敌人,才有了盾,可以防护被敌人刺伤。攻击技术不断变化升级,门槛降低、漏洞出现周期变短、病毒传播技术成了木马的运载工具⋯而防护技术好象总是打不完的补丁,目前互联网上的“黑客 ”已经产业化,有些象网络上的“黑社会 ”,虽然有时也做些杀富济贫的“义举 ”,但为了生存,不断专研新型攻击技术也是必然的。在一种新型的攻击出现后,防护技术要迟后一段时间才有应对的办法,这也是网络安全界的目前现状。??? 因此网络隔离就是先把网络与非安全区域划开,当然最好的方式就是在城市周围挖的护城河,然后再建几个可以控制的“吊桥 ”,保持与城外的互通。数据交换技术的发展就是研究“桥 ”上的防护技术。??? 目前数据交换有几种技术:???????? 修桥策略:业务协议直接通过,数据不重组,对速度影响小,安全性弱???????? 防火墙 FW :网络层的过滤???????? 多重安全网关:从网络层到应用层的过滤,多重关卡策略???????? 渡船策略:业务协议不直接通过,数据要重组,安全性好???????? 网闸:协议落地,安全检测依赖于现有安全技术???????? 交换网络:建立交换缓冲区,立体化安全监控与防护???????? 人工策略:不做物理连接,人工用移动介质交换数据,安全性做好。二、数据交换技术??? 1 、防火墙??? 防火墙是最常用的网络隔离手段,主要是通过网络的路由控制,也就是访问控制列表(ACL) 技术,网络是一种包交换技术,数据包是通过路由交换到达目的地的,所以控制了路由,就能控制通讯的线路,控制了数据包的流向, 所以早期的网络安全控制方面基本上是使用防火墙。很多互联网服务网站的“标准设计 ”...
