一、前言

    隨著Internet的飛速發展以及我國政府信息化為代表的電子政務的蓬勃發展，寬帶網已經得到普及。業界電子商務的開展，海量的網絡信息，[J趨豐富的網絡功能使得“網上辦公”條件已經成熟。辦公信息化帶來了辦公效率質的飛躍，但辦公信息化的安全，也極大地引起人們的關注和思考，相應的網絡隔離技術與防火墻技術的應用研究引起了人們的高度重視。

二、網絡隔離技術簡介

    (一)網絡隔離技術的發展歷程

    網絡隔離，英文名為Network Isolation，主要是指把兩個或兩個以上可路由的網絡(如：TCP／IP)通過不可路由的協議(如：IPX／SPX、NetBEUI等)進行數據交換而達到隔離目的。由于其原理主要是采用了不同的協議，所以通常也叫協議隔離(ProtocolIsolation)。

    (二)網絡隔離技術原理

    網絡隔離產品采用了網絡隔離技術，是使用帶有多種控制功能的固態開關讀寫介質連接兩個獨立主機系統的信息安全設備。由于兩個獨立主機系統之問，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協議，不存在依據協議的信息包轉發，只有數據文件的無協議“擺渡”，且對固態存儲介質只有“讀”和“寫”兩個命令。所以，網絡隔離產品從物理上隔離，阻斷了具有潛在攻擊可能的一切連接，使“黑客”無法入侵、無法攻擊、無法破壞，實現了真正的安全。

    (三)網絡隔離設備的實現機制

    網絡隔離設備由內網處理單元、外網處理單元和專用隔離硬件組成。網絡隔離硬件包括一個獨立的固態存儲單元和一個獨立的調度和控制單元，內網處理單元和外網處理單元在同一時刻最多只有一個同固態存儲單元建立非TCP／IP協議的數據連接，并通過私有協議進行數據的交換。

三、防火墻的體系架構介紹

    目前的防火墻大都依靠于對數據包的信息進行檢查，檢查的重點是網絡協議的信息。防火墻主要查看IP包中的IP包頭、TCP包頭、應用層包頭以及數據加載的包頭，要了解防火墻的具體架構，就需要分析檢查它是哪一層協議的信息。根據OSI模型，防火墻架構包含以下幾種：包過濾防火墻，電路網關防火墻，應用網關防火墻，狀態檢測包過濾防火墻和切換代理防火墻。防火墻是建立在內外網邊界上的過濾封鎖機制，內部網絡被認為是安全和可信賴的，而外部網絡被認為是不安全和不可信賴的。防火墻的作用是防止不希望的、未經授權的通信進出被保護的內部網絡。防火墻對網絡安全的保護程度，很大程度上取決于防火墻的體系架構。隨著網絡應用的增加，對網絡帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數據。一些防火墻制造商開發了基于ASIC的防火墻和基于網絡處理器的防火墻。從執行速度的角度看來，基于網絡處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數據層面任務的引擎，從而減輕了CPU的負擔，該類防火墻的性能要比傳統防火墻的性能好許多。

四、防火墻存在的安全漏洞

    防火墻設備側重丁二網絡層到應用層的策略隔離，操作系統、內部系統的漏洞、通用協議的缺陷等都成為不安哞：的潛在因素。首先由防火墻的體系架構可知，防火墻可能會產生網絡層短路，從而導致偽造合法數據包帶來的危害：防火墻還難以抵御數據驅動式攻擊，即大量合法的數據包將導致網絡阻塞而使止常通信癱瘓。其次，防火墻很難阻止由通用協議本身漏洞發起的入侵。第三，防火墻系統本身的缺陷也是影響內部網絡安全的重要因素，當防火墻土機被控制后，內部受保護網絡就會暴露無疑。第四，要使防火墻發揮有效的安全性，需要正確、合理地配置防火墻相關的安全策略，而配置的復雜程度不僅帶來繁瑣的工作量，同時也增加了配置不當帶來的安全隱患。

五、安全性分析比較

    (一)指導思想不同

    1．防火墻的思路是在保障互聯互通的前提下，盡可能安全；

    2．網絡隔離技術的思路是在保證必須安全的前提下，盡可能互聯互通。

    (二)體系架構不同

    網絡隔離產品一般為雙機或三機系統，而防火墻由一臺處理機組成，為單機系統。而網絡隔離設備實現了0SI模型七層的斷開和應用層內容的檢查機制，因而不會產生網絡層短路，消除了基于網絡協議的攻擊。

    (三)安全規則配置的復雜程度不同

    防火墻主要依據網絡治理工程師配置的規則進行安全檢查，其安全性的高低與規則配置情況密切相關。規則配置十分復雜，規則最終所起的作用不僅與每條規則有關，而且與每條規則的先后順序、規則之問的相關性都有很大關系。網絡治理工程師必須仔細檢查每條規則，以保證其結果是其預期的結果。從另一個方面講，防火墻的配置要求網絡治理上程師有較高的網絡知識和技術水平。防火墻只是一個被動的安全策略執行設備，防火墻不能防止策略配置不當或錯誤配置引起的安全威脅，規則配置錯誤將造成不安全通道打開。而網絡隔離設備無需進行復雜的規則配置，只需設定一些內外網訪問政策。網絡隔離設備儀答應定制的信息進行交換，即使出現錯誤，也至多足數據不再答應傳輸，而不會造成重大安全事故。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：網絡隔離和防火墻技術的比較研究

本文網址：http://www.guhuozai8.cn/html/support/1112152618.html