网络安全新技术研究网络毕业论文(2)
2013-08-14 01:10
导读:3.3.2 网络隔离技术的思想与防火墙有很大的不同 1) 防火墙的思路是在保障互联互通的前提下,尽可能安全; 2) 网络隔离技术的思路是在保证必须安全的前
3.3.2 网络隔离技术的思想与防火墙有很大的不同
1) 防火墙的思路是在保障互联互通的前提下,尽可能安全;
2) 网络隔离技术的思路是在保证必须安全的前提下,尽可能互联互通。
3.3.3 体系架构不同
网络隔离产品一般为双机或三机系统,而防火墙由一台处理机组成,为单机系统。而网络隔离设备实现了OSI模型七层的断开和应用层内容的检查机制,因而不会产生网络层短路,消除了基于网络协议的攻击。
3.3.4 设备本身的安全性不同
防火墙为单机系统,无法彻底消除操作系统的漏洞的威胁。一旦其操作系统被恶意攻击,防火墙完全处于被黑客控制之中,那么受防火墙保护的另一端网络就完全暴露在攻击之下。受保护网络的安全程度,很大程度上取决于防火墙自身的安全强度。而网络隔离产品由于采用了可靠的双机系统结构,可以提供从硬件、协议到内容的全方位安全保护。即使外部主机系统被曝光,也无法对内部主机系统进行攻击,因为内部主机系统和外部主机系统是隔离的。
3.3.5 安全规则配置的复杂程度不同
防火墙主要依据网络工程师配置的规则进行安全检查,其安全性的高低与规则配置情况密切相关。规则配置十分复杂,规则最终所起的作用不仅与每条规则有关,而且与每条规则的先后顺序、规则之间的相关性都有很大关系。网络管理工程师必须仔细检查每条规则,以保证其结果是其预期的结果。
从另一个方面讲,防火墙的配置要求网络管理工程师有较高的网络知识和技术水平。防火墙只是一个被动的安全策略执行设备,防火墙不能防止策略配置不当或错误配置引起的安全威胁,规则配置错误将造成不安全通道打开。
而网络隔离设备无需进行复杂的规则配置,只需设定一些内外网访问政策。网络隔离设备仅允许定制的信息进行交换,即使出现错误,也至多是数据不再允许传输,而不会造成重大安全事故。
(科教作文网http://zw.ΝsΕAc.Com编辑整理) 3.3.6 是否防止内部的泄密行为
网络隔离与信息交换系统采用内容过滤和检查机制来防止泄密,另外具有严格的身份认证机制,因此不仅使信息网络的抗攻击能力大大增强,而且有效地防范了信息外泄事件的发生。而防火墙一般不具有这些安全机制,内部的用户主动泄密,防火墙是无能为力的。
3.3.7 内部支持的协议不同
防火墙由于采用标准的TCP/IP协议,不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙准许某些标准网络协议,防火墙不能防止利用该协议中的缺陷进行的攻击。
而网络隔离产品内外网主机之间不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,因此最大程度上减少了由于标准协议所带来的安全漏洞。
3.3.8 对未知网络攻击的防范能力不同
目前发现的攻击,按照分类,有基于应用协议漏洞的,有基于TCP/IP协议漏洞的,有基于命令的,有基于包的,有基于操作系统的。网络隔离产品从根本上解决了这五种类型的攻击。因此,新的攻击,只要是基于上述五种原理的,不管是已知的,还是未知的,都可以阻止。而防火墙没有从根本上解决基于操作系统、应用协议、TCP/IP协议等漏洞造成的安全问题,从而缺乏对未知网络攻击的防范能力。
3.3.9 安全性和处理速度的矛盾
防火墙在安全性、效率和功能方面的矛盾比较突出。防火墙的技术结构,往往是安全性高效率就低,效率高就会以安全性为代价。而网络隔离产品私有硬件隔离交换,不存在安全性和处理速度的矛盾。
3.4 发展趋势的分析比较
针对目前防火墙存在的安全缺陷,防火墙技术会向具有入侵防御功能的智能化方向发展,同时网络架构的不断升级要求防火墙处理能力的不断提高。
您可以访问中国科教评价网(www.NsEac.com)查看更多相关的文章。
目前网络安全上,以防火墙为核心的安全体系架构实现的安全保障体系未能有效的防止频频发生的网络攻击,以及防火墙集成的IDS造成的漏报误报,这些都要求未来的防火墙具有更高的安全性,集成IPS的防火墙将逐步取代集成IDS的防火墙。通过集成多种功能设计,例如包括VPN、AAA、PKI、IPSec等多种附加功能,提高防火墙的可管理和可控能力,不断增强防火墙的抗DoS攻击能力,同时利用、记忆、概率和决策的智能方法对数据进行识别来达到访问控制的目的。具备集中的网络管理平台,支持双机热备份、负载均衡和多出口路由以及IPv6等将是未来防火墙的发展重点。
网络隔离技术经过几个阶段的发展,目前正处于第五代网络隔离设备的研发阶段。网络隔离技术正向易用性、应用融合化等方向发展,网络隔离技术在负载均衡、冗余备份、硬件密码加速、易集成管理等方面还需要进一步的改进,同时更好地集成入侵防御和加密通道、数字证书等技术,将成为新一代网络隔离产品发展的趋势。为了更好的满足我国提出的内网、外网和公网的网络体系结构,从和易管理方面出发,三网或多网的网络隔离设备也将成为网络隔离技术的一个发展方向。
4 结束语 网络隔离是一项网络安全技术,网络隔离可能对防泄密管理有很大的帮助,但这不意味着网络隔离是一项完全的防泄密技术。将网络隔离技术完全等同于防泄密技术是一种错误的理解。实际上即使是网络隔离,也没有解决类似于电磁辐射所导致的泄密,只有防电磁辐射泄密技术如TEMPEST才能解决这类问题。
网络隔离是目前最好的网络安全技术,它消除了基于网络和基于协议的安全威胁,但网络隔离技术也存在局限性,对非网络的威胁如内容安全,就无法从理论上彻底排除,就像人工拷盘一样,交换的数据本身可能带有病毒,即使查杀病毒也不一定可以查杀干净。但它不是网络安全问题,不存在攻击和入侵之类的威胁。如果用户确定交换的内容是完全可信和可控的,那么网络隔离是用户解决网络安全问题的最佳选择。
参考文献: [1] 张千里, 陈光英. 网络安全新技术[M]. 北京:人民邮电出版社, 2003.
[2] Whitman E.Mattord,J. 信息安全管理——信息安全丛书[M]. 重庆:
重庆大学出版社, 2005.
[3] 凌捷,谢赞福. 信息安全概论——21世纪科学与技术系列教材[M]. 广州:
华南理工大学出版社, 2005.