隔离网闸XGAPFOR培训.pptx

隔离网闸GAP介绍中网公司2008-4-22;目录;Gap技术的起源;Gap技术的起源;安全威胁;安全威胁;安全威胁;安全威胁;安全威胁;传统物理隔离的解决方案;传统物理隔离方案示例;什么是GAP技术？;网闸实现网络隔离和交流; 传统网络隔离原理 演示;静态包过滤 优点： 对网络性能基本上没有影响； 成本很低，路由器和一般的操作系统都支持。? 缺点： 工作在网络层，只检查IP和TCP的包头； 不检查包的数据，提供的安全性不高； 缺乏状态信息； IP易被假冒和欺骗； 规则很好写，也很难写正确，测试困难； 保护的等级低。 ; 电路级网关 优点： 对网络性能的影响适中或较低； 中断了直接连接，对应用透明； 比包过滤的安全性要高一个级别；? 缺点： 有包过滤的很多缺点； 不对数据作任何检查，允许任何数据简单的穿透连接； 只能提供中低的安全性。 ;应用代理： 优点： 通过支持SMP和多CPU，应用网关对网络性能影响是完全可以接受的； 禁止直接连接，消除隧道攻击的危害； 检查协议信息，消除了内存溢出攻击； 最高的安全性； ?缺点： 如果系统实现不好，性能很差； 对程序的质量要求很高； 应用支持有限； 对操作系统有依赖性。 ;状态检测包过滤 优点： 提供检测所有OSI七层的能力； 不改变目前的直接连接模式； 提供完整的动态包过滤功能； 动态包过滤提供较快的速度。 缺点： 单线程的状态检测对性能有很大的影响，因此用户多工作在动态包过滤模式； 直接连接对高安全性是不合适的； 依赖于操作系统的安全性； 工作在动态包过滤模式并没有很高的安全性。 ;包过滤双主机 是目前安全性最低的一种所谓的物理隔离GAP。几乎看不出来，它与两个包过滤防火墙串联有什么不同。 有些厂商从外部主机的内核中取出数据，将网卡设置为混杂模式，直接传输到内部主机的内核，听起来好像安全一些，实际什么也没有做。 比如有些物理隔离就是双主机之间，在机箱内部直接用以太连接起来。 ;双网关主机 双电路代理在执行完认证和会话检查后，预以放行，效率比应用代理要高一些，安全性与单机电路??理没有本质不同。 与单个的应用代理没有本质的不同，除非内部主机的操作系统与外部的不同。;传统隔离解决方案的无法解决的难题： 操作系统平台的安全难题； 阻断未知网络攻击的难题 ； 安全策略的防护难题； 屏蔽TCP/IP漏洞 的难题； 中断内外网络之间的直接会话的难题。 ;国家规定;物理隔离GAP的来源;中网隔离网闸X-GAP原理演示;原理演示;原理演示;原理演示;原理演示;原理演示;原理演示;原理演示;原理演示;TCP/IP协议处理图;TCP/IP协议处理图;;GAP实现的目标;GAP的技术特征 ;X-GAP的主要功能;X-GAP产品形式;X-GAP主要技术指标;X-GAP产品功能模块;X-GAP产品功能模块;X-GAP产品功能模块;FTP应用的数据交换的详细过程和安全措施;X-GAP产品特点和优势;X-GAP产品特点和优势;X-GAP产品特点和优势;“网上报税”安全保护;工商网络隔离和信息交换;保电力关键网络的安全;X-GAP为电子政务保驾护航;Thank you very much …