隔离网闸x-gap for 培训.pptVIP

隔离网闸GAP介绍中网公司2008-4-22 目录 Gap技术的起源(Gap Origin) 安全威胁 (Internet Threats) 网络安全概要 (Network Security) 什么是Gap技术(Principle) 防火墙与Gap Gap技术的实现 (Function) Gap的测试原理与方法 (Testing your Gap) Gap产品的安装及其使用（Install and configure） Gap技术在行业中的应用 (Deploy the Gap) Gap技术的发展与展望 (Tech and products Trends)  Gap技术的起源 学术界一般认为，最早提出物理隔离技术的，应该是以色列和美国的军方，其设计目标就是要弥补防火墙隔离技术的不足。但是到目前为止，并没有完整的关于物理隔离GAP技术的定义和标准。 较早的用词为Physical Disconnection，Disconnection有使断开，切断，不连接的意思，直译为物理断开，后来有Physical Separation用词，Separation有分开，分离，间隔和距离的意思，直译为物理分开。 再后来多使用Physical Gap，Gap有豁口，裂口，缺口和差异的意思，直译为物理隔离，意为通过制造物理的豁口，来达到隔离的目的。到这个时候，Physical这个词显得非常僵硬，于是有人用Air Gap来代替Physical Gap。 Gap技术的起源 Air Gap意为空气豁口，很明显在物理上是隔开的。但有人不同意，理由是空气豁口就“物理隔离”了吗？没有，电磁辐射，无线网络，卫星等都是空气豁口，却没有物理隔离，甚至连逻辑上都没有隔离。 WHALE COMMUNICATIONS.INC公司：E-GAP。 SPEARHEAD SECURITY.INC公司：NETGAP。 中网：X-GAP。 …… 现在，一般称Gap Technology，意为物理隔离网闸，已经成为互联网安全的一个专用名词。 安全威胁 安全威胁 安全威胁 安全威胁 安全威胁 传统物理隔离的解决方案 物理隔离卡 产品实现：物理隔离卡、物理隔离集线器、转发器等； 工作原理：主要是在终端上实现物理隔离。典型的隔离方式是通过双硬盘双网卡加物理隔离卡等方法来实现。其原理是在原有机器上增加一块硬盘、一个网卡和一个隔离卡来实现物理隔离，两块硬盘分别对应内外网，用户启动外网时关闭内网硬盘，启动内网时关闭外网硬盘，这是中国政府部门应用最多的终端隔离方式。 传统物理隔离方案示例 什么是GAP技术？ 隔离网闸是一种由专用硬件开关在电路上切断网络之间链路层连接，并能够在网络间进行实时、安全适度的应用数据交换的网络安全隔离设备。 隔离网闸由外部系统、内部系统和数据交换系统（开关系统）组成。外部系统连接外网，内部系统连接内网，正常情况下，隔离设备的双系统之间通过开关是完全断开的。 当用户的网络需要保证高强度的安全，同时又与其它不信任网络进行信息交换的情况下，如果采用物理隔离卡，信息交换的需求将无法满足；如果采用防火墙，则无法防止内部信息泄漏和外部病毒、黑客程序的渗入，安全性无法保证。 在这种情况下，隔离网闸能够同时满足这两个要求，又避免了物理隔离卡和防火墙的不足之处，是最好的选择。 网闸实现网络隔离和交流 传统网络隔离原理 演示 静态包过滤 优点： 对网络性能基本上没有影响； 成本很低，路由器和一般的操作系统都支持。? 缺点： 工作在网络层，只检查IP和TCP的包头； 不检查包的数据，提供的安全性不高； 缺乏状态信息； IP易被假冒和欺骗； 规则很好写，也很难写正确，测试困难； 保护的等级低。 电路级网关 优点： 对网络性能的影响适中或较低； 中断了直接连接，对应用透明； 比包过滤的安全性要高一个级别；? 缺点： 有包过滤的很多缺点； 不对数据作任何检查，允许任何数据简单的穿透连接； 只能提供中低的安全性。 应用代理： 优点： 通过支持SMP和多CPU，应用网关对网络性能影响是完全可以接受的； 禁止直接连接，消除隧道攻击的危害； 检查协议信息，消除了内存溢出攻击； 最高的安全性； ?缺点： 如果系统实现不好，性能很差； 对程序的质量要求很高； 应用支持有限； 对操作系统有依赖性。 状态检测包过滤 优点： 提供检测所有OSI七层的能力； 不改变目前的直接连接模式； 提供完整的动态包过滤功能； 动态包过滤提供较快的速度。 缺点： 单线程的状态检测对性能有很大的影响，因此用户多工作在动态包过滤模式； 直接连接对高安全性是不合适的； 依赖于操作系统的安全性； 工作在动态包过滤模式并没有很高的安全性。 包过滤双