网络安全隔离从技术上有哪些特点
网络安全隔离从技术上有以下特点:
自身要具有高度的安全性:隔离产品要保证自身具有高度的安全性,至少在理论和实践上要比防火墙高一个安全级别。在技术实现上,除了和防火墙一样对操作系统进行加固优化或采用安全操作系统外,关键在于要把外网接口和内网接口从一套操作系统中分离出来。也就是说,至少要由两套主机系统组成,一套控制外网接口,另一套控制内网接口,然后在两套主机系统之间通过不可路由的协议进行数据交换。如此,既便黑客攻破了外网系统,仍然无法控制内网系统,从而达到了更高的安全级别。
确保网络之间是隔离的:保证网间隔离的关键是网络包不可路由到对方网络,无论中间采用了什么转换方法,只要最终使得一方的网络包能够进入到对方的网络中,都无法称之为隔离,即达不到隔离的效果。显然,只是对网间的包进行转发,并且允许建立端到端连接的防火墙,是没有任何隔离效果的。此外,那些只是把网络包转换为文本,交换到对方网络后,再把文本转换为网络包的产品也是没有做到隔离的。
要保证网间交换的只是应用数据:既然要达到网络隔离,就必须做到彻底防范基于网络协议的攻击,即不能够让网络层的攻击包到达要保护的网络中,所以就必须进行协议分析,完成应用层数据的提取,然后进行数据交换,这样就把诸如TearDrop、Land、Smurf和SYN Flood等网络攻击包,彻底地阻挡在了可信网络之外,从而明显地增强了可信网络的安全性。
可对网间的访问进行严格的控制和检查:作为一套适用于高安全度网络的安全设备,要确保每次数据交换都是可信的和可控制的,严格防止非法通道的出现,以确保信息数据的安全和访问的可审计性。所以必须施加一定的技术,保证每一次数据交换过程都是可信的,并且内容是可控制的,可采用基于会话的认证技术和内容分析与控制引擎等技术来实现。
可在坚持隔离的前提下保证网络畅通和应用透明:隔离产品会部署在多种多样的复杂网络环境中,并且往往是数据交换的关键点。因此,产品要具有很高的处理性能,不能够成为网络交换的瓶颈;要有很好的稳定性,不能够出现时断时续的情况;要有很强的适应性,能够透明接入网络,并且透明支持多种应用。