企业级安全隔离技术.pptVIP

隔离技术概述 隔离产品分类 桌面级隔离技术 企业级隔离技术 网闸与防火墙 隔离技术概述 为什么隔离？ 历史原因：受技术和成本制约而被动隔离 现实原因：互联后无法忍受侵害而主动隔离 隔离技术概述 怎么算隔离？ 实体角度理解：在设备、线路、存储上是完全分离的 过程角度理解：网络间不存在任何形式的自动信息交换 隔离技术概述 有哪些隔离方法？ 物理隔离：设备、线路、存储均独立 网络隔离（协议隔离）：协议转换 安全隔离：仅交换应用数据 隔离技术概述 国外认识之一 1997年，安全专家Mark Joseph Edwards 隔离技术概述 国外认识之二 2000年，数据处理咨询专家E. NYONI 《TECHNICAL OPTIONS OF COMPUTERZED WORLD》 隔离技术概述 国外认识之二 他还给出了防火墙的原理示意图： 隔离技术概述 国外认识之二 在书中他也详细阐述了协议隔离： 国外公司 以色列的Whale公司 国外公司 以色列的Spearhead公司 隔离产品分类 网间安全威胁层次 隔离产品分类 技术角度 物理隔离：线路、设备、存储 逻辑隔离：交换机、路由器、防火墙、网闸 应用角度 桌面级隔离： 部署位置：用户端 产品形式：双机隔离、硬盘隔离、线路隔离 企业级隔离： 部署位置：网关处 产品形式：交换机、路由器、防火墙、网闸 隔离技术发展与产品沿革 桌面级隔离技术 双机隔离 硬盘隔离 线路隔离 完全的物理隔离 双机隔离 硬盘隔离（双硬盘） 硬盘隔离（单硬盘） 线路隔离 企业级隔离技术 第一代空气开关型隔离网闸 GAP：Air Gap 第二代专用交换通道型隔离网闸 PET：Private Exchange Tunnel 回顾双机隔离 第一代空气开关型网闸 第一代空气开关型网闸 数据交换方式：是利用单刀双掷开关使得内外处理单元分时存取共享存储设备完成数据交换，实现了在空气缝隙隔离(Air Gap)情况下的数据交换。 安全功能原理：是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果。 第二代专用交换通道型网闸 第二代专用交换通道型网闸 数据交换方式：利用专用高速通道、私有通信协议和加密签名机制实现了在网络隔离的情况下完成高速实时的数据交换。 安全功能原理：通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果。 网闸的数据安全交换过程 网闸的典型应用 网闸与防火墙 图例对比分析 * 企业级安全隔离技术 作者： 孤独剑客 日期： 2003.12.22 Copyright ? 孤独剑客 2003 e-Gap Application Firewall Application Filtering Authentication SSL Encryption/Decryption Network Isolation Physical disconnection Protocol inspection Web application protection Authentication Central Policy, Distributed Control 恶意代码、垃圾邮件等 高 应用层次 地址伪装、碎片攻击等 中 协议层次 超高电压、线路破坏等 低 物理层次 典型攻击 风险等级 威胁类别 集线器 － 物理层 交换机 MAC 链路层 路由器 IP 网络层 防火墙 PORT 传输层 网闸 APPDATA 应用层 产品 隔离内容 层次 Internet 企业內部网络 上不了网? 我抗议… Internet 企业內部网络 每人2台电脑！太浪费了 上外部网 上内部网 Windows … Win98 Linux Internet Windows … 外区 内区 Internet Reboot… Win98… Reboot… Linux… Internet 开/关 只是延时！ 并不能达到物理 隔离效果！！！ Internet 接外部网 接内部网 A B 软盘等存储设备C 暂存区 C 外网单元 A 内网单元 B K 切换控制电路 不可信 网络 可信 网络 病毒扫描 入侵检测 身份认证 日志审计 内容过滤 外网单元 A 内网单元 B 专用硬件通道 私有交换协议 加密签名机制 不可信 网络 可信 网络 病毒扫描 入侵检测 身份认证 日志审计 内容过滤 TCP/IP 私有交换协议 通信协议 弱 强 应用层防护 否 是 网络隔离 低 高 自身安全性 网络层/链路层 应用层 工作层次 无 有 专用交换硬件 1套主机 2套以上主机 系统组成 防火墙 网闸 对比项目 *