網絡隔離邊界安全接入技術

發(fā)布: 2012-10-18 11:58 | 作者: | 來源: | 字體:       

相關專題: 中國移動

隨著互聯(lián)網與網絡技術的不斷發(fā)展與越來越廣泛深入的應用,以及網絡建設的復雜化,網絡邊界安全與邊界接入越來越成為企業(yè)亟待解決的問題。

近年來,針對邊界安全,國家各部門均制定過了制度和文件,如,公安部制定的等級保護的制度,保密局制定的分級保護標準,中國移動的安全域項目,電力行業(yè)的雙網隔離要求等等,這些都是跟邊界安全撇不開關系的。而在邊界安全的項目中,會應用到網絡隔離技術,一般情況下,而邊界隔離往往又阻礙了邊界接入帶來的便捷性的發(fā)展,相反更增加日常工作的負擔。

這里說一說目前應用較多的網絡隔離邊界安全的設備,網閘、防火墻、VPN、UTM等等。

網閘

首先我們說說網閘,說得通俗點,網閘就是采用雙網絡接口加開關機制,和外網通信時與內網的網絡接口斷開,來保證內網不暴露在外網;當需要的數據從外網上下載到內網,然后和內網通訊時,外網的網絡接口斷開,但這個產品是因政府的要求內外網必須物理隔離帶來的具有中國社會主義特色的產品,網閘在內外網之間扮演著一種類似“信息渡船”的作用,網閘的本質也是邏輯隔離,更關健的是網閘的部署首先帶來的就是犧牲網絡性能,而不似防火墻能夠保持比較良好的通信實時性。

防火墻與UTM

接下來我們談談防火墻與UTM,UTM我們可以簡單的理解為,UTM是由入侵檢測、防病毒、防火墻三個功能模塊組合而成的一個產品,

不管是防火墻還是UTM,利用ACL+NAT的技術是可以很好的解決邊界隔離與邊界接入的問題的,不過很顯然,這種技術是基于TCP/IP傳輸層和網絡層的,很好的保障了傳輸層和網絡層的安全,但對于應用層卻是無能為力的,新型的UTM的入侵檢測模塊有部份應用層的功能,但其大部份還是對傳輸層的支持,且入侵檢測模塊對應用層的功能是屬于檢測和告警機制的支持,而對應用層的入侵阻斷的支持是比較有限的,而對于應用層的一些業(yè)務,如應用發(fā)布、遠程交互是沒有這些功能的,這就使得外部用戶對內部資源的訪問不能提供一個便捷而安全的途徑。

VPN

接下來我們再談談VPN設備,首先一般的防火墻和UTM是有VPN模塊的,但隨著VPN技術越來越廣泛的應用,專業(yè)的VPN設備也隨之而生了。首先來講,專業(yè)的VPN設備解決了防火墻和UTM在應用發(fā)布和遠程交互的無能為力的局面。且VPN在傳輸中采用的加密通道,安全性也是比較好的,但VPN 對應用發(fā)布的支持的力度還是非常欠缺的,一般的B/S的應用VPN是支持的,但支持不了B/S應用的代理登陸認證過程,對一些應用,如Outlook、 SMB文件共享也能夠提供支持,而對廣泛的C/S應用卻支持不了,當然有些VPN廠商可以通過定制開發(fā)的形式對一些特殊的C/S應用提供有限支持,但因為 VPN技術的局限性,這種開發(fā)成本是非常大的,而且耗時也會超出一般企業(yè)的可承受范圍。

那有什么產品既可以完美的解決邊界接入的安全問題又能支持邊界接入之后對應用發(fā)布和遠程交互的跨網訪問廣泛支持度呢,答案是肯定的,深圳溝通科技最新研制的安全接入保壘機就當仁不讓的扛起了這面大旗。

溝通科技安全接入堡壘機方案拓撲圖

用戶在低安全域環(huán)境下把鍵盤和鼠標指令信息通過溝通安全接入堡壘機上行到高安全域應用服務器,高安全域的屏幕變化信息下行到低安全域,但禁止其它實體數據信息流在兩個安全域之間直接交換;由于沒有其它實體信息流在兩個安全域之間直接交換,因此,低安全域的鍵鼠指令信息,不會直接破壞高安全域的完整性,高安全域的高密級實體數據信息也不會泄漏到低安全域。

溝通科技安全接入堡壘機產品原理

采用虛擬化技術分離應用的表現與計算,實現虛擬應用交互、本地化應用體驗,客戶端與服務器之間只傳遞鍵盤、鼠標和熒屏變化等交互信息,沒有實際的業(yè)務數據流到客戶端,客戶端看到的只是服務器上應用運行的顯示映像,避免跨域傳輸實體數據,從而提升跨域訪問的安全性。

實體靜態(tài)數據傳輸建立專屬文件安全傳輸通道,涉及靜態(tài)文件跨安全域上傳和下載,先通過網閘或其他數據同步傳輸設備從低安全域同步到高安全域,靜態(tài)數據經過安全擺渡,避免由于上傳靜態(tài)文件攜帶病毒威脅高安全域的網絡或數據安全。

 

   來源:電子發(fā)燒友
微信掃描分享本文到朋友圈
掃碼關注5G通信官方公眾號,免費領取以下5G精品資料
  • 1、回復“YD5GAI”免費領取《中國移動:5G網絡AI應用典型場景技術解決方案白皮書
  • 2、回復“5G6G”免費領取《5G_6G毫米波測試技術白皮書-2022_03-21
  • 3、回復“YD6G”免費領取《中國移動:6G至簡無線接入網白皮書
  • 4、回復“LTBPS”免費領取《《中國聯(lián)通5G終端白皮書》
  • 5、回復“ZGDX”免費領取《中國電信5GNTN技術白皮書
  • 6、回復“TXSB”免費領取《通信設備安裝工程施工工藝圖解
  • 7、回復“YDSL”免費領取《中國移動算力并網白皮書
  • 8、回復“5GX3”免費領取《R1623501-g605G的系統(tǒng)架構1
    		•

    本周熱點本月熱點

     

      最熱通信招聘

      最新招聘信息