《通信網(wǎng)絡(luò)安全與防護(hù)》課件5-1

第五章網(wǎng)絡(luò)防護(hù)技術(shù)5.1防火墻5.2入侵檢測系統(tǒng)5.3安全隔離技術(shù)5.4蜜罐與蜜網(wǎng)目錄安全的威脅

√

黑客入侵√

內(nèi)部攻擊√

病毒危害√信息泄露√

數(shù)據(jù)篡改引入防火墻的引入InternetHTTP/FTP/SMTPServerFileServerDataBaseProxyServerUserClient邊界點安全威脅防火墻一、防火墻概述5.1防火墻防火墻的概念：

在信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)之間，通過預(yù)定義的安全策略，對內(nèi)外網(wǎng)通信強制實施訪問控制的安全應(yīng)用設(shè)備。導(dǎo)入防火墻的技術(shù)原理：

將不信任網(wǎng)絡(luò)對信任網(wǎng)絡(luò)的安全威脅強制到單一安全控制點。防火墻的原則：

一切未被允許的就是禁止的！一、防火墻概述5.1防火墻防火墻能做什么保障授權(quán)合法用戶的通信與訪問禁止未經(jīng)授權(quán)的非法通信與訪問記錄經(jīng)過防火墻的通信活動防火墻不能做什么不能主動防范新的安全威脅不能防范來自網(wǎng)絡(luò)內(nèi)部的攻擊不能控制不經(jīng)防火墻的通信與訪問一、防火墻概述5.1防火墻防火墻軟件的發(fā)展包過濾防火墻狀態(tài)檢測包過濾防火墻應(yīng)用網(wǎng)關(guān)(應(yīng)用代理)防火墻二、防火墻的常用技術(shù)5.1防火墻基本的概念應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層防火墻檢測技術(shù)對特定應(yīng)用進(jìn)行更細(xì)粒度檢測容易暴露底層OS對更多應(yīng)用進(jìn)行粗粒度檢測效率更高二、防火墻的常用技術(shù)5.1防火墻防火墻：包過濾技術(shù)應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層客戶端防火墻服務(wù)器包過濾引擎二、防火墻的常用技術(shù)5.1防火墻防火墻：包過濾技術(shù)檢查項IP

包的源地址IP包的目的地址TCP/UDP端口IP包檢測包頭檢查路由安全策略：過濾規(guī)則路由表包過濾防火墻轉(zhuǎn)發(fā)符合不符合丟棄二、防火墻的常用技術(shù)5.1防火墻訪問要求：

1）網(wǎng)絡(luò)/16不愿其他Internet主機訪問其站點；

2）但它的一個子網(wǎng)/24和某大學(xué)/16有合作項目，因此允許該大學(xué)訪問該子網(wǎng)；

3）然而/24是黑客天堂，需要禁止。防火墻規(guī)則制訂實例二、防火墻的常用技術(shù)5.1防火墻注意這些規(guī)則之間并不是互斥的，因此要考慮順序。123規(guī)則順序安排原則：先特殊，后普遍內(nèi)網(wǎng)大學(xué)進(jìn)來出去內(nèi)網(wǎng)黑客天堂進(jìn)來出去二、防火墻的常用技術(shù)5.1防火墻基于協(xié)議、端口的規(guī)則制定

HTTP是一個基于TCP的服務(wù)，一般使用端口80，也可使用其他非標(biāo)準(zhǔn)端口，客戶機使用任何大于1023的端口。如果防火墻允許WWW穿越網(wǎng)絡(luò)邊界，則可定義如下規(guī)則。

規(guī)則1、規(guī)則2允許外部主機訪問本站點的WWW服務(wù)器，規(guī)則3、規(guī)則4允許內(nèi)部主機訪問外部的WWW服務(wù)器。二、防火墻的常用技術(shù)5.1防火墻包過濾防火墻特點：對應(yīng)用完全透明；數(shù)據(jù)吞吐率高；實現(xiàn)容易（便宜），多用于接入路由器；隨著安全規(guī)則的增加，配置、維護(hù)規(guī)則比較困難；處于較低層，對會話內(nèi)容無法監(jiān)控，安全性能較低；二、防火墻的常用技術(shù)5.1防火墻防火墻：應(yīng)用網(wǎng)關(guān)應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層客戶端防火墻（代理網(wǎng)關(guān)）服務(wù)器二、防火墻的常用技術(shù)5.1防火墻某學(xué)校內(nèi)網(wǎng)代理服務(wù)器Internet步驟（1）（1）主機A發(fā)出訪問Web站點的請求；步驟（2）（2）請求到達(dá)代理服務(wù)器，代理服務(wù)器檢查防火墻規(guī)則集，檢查數(shù)據(jù)包報頭信息和數(shù)據(jù)；主機AIP地址：8代理服務(wù)器IP地址：

IP地址：二、防火墻的常用技術(shù)5.1防火墻步驟（3）步驟（4）代理服務(wù)器Internet步驟（1）步驟（2）（3）如果不允許該請求發(fā)出，代理服務(wù)器拒絕請求，發(fā)送ICMP消息給源主機；（4）如果允許該請求發(fā)出，代理服務(wù)器修改源IP地址，創(chuàng)建數(shù)據(jù)包；主機AIP地址：8數(shù)據(jù)包源IP地址由8改成代理服務(wù)器IP地址：二、防火墻的常用技術(shù)5.1防火墻步驟（3）步驟（4）步驟（5）代理服務(wù)器Internet步驟（1）（5）代理服務(wù)器將數(shù)據(jù)包發(fā)給目的計算機，數(shù)據(jù)包顯示源IP地址來自代理服務(wù)器；步驟（2）（6）返回的數(shù)據(jù)包又被發(fā)送到代理服務(wù)器。服務(wù)器再次根據(jù)防火墻規(guī)則集檢查數(shù)據(jù)包報頭信息和數(shù)據(jù)；步驟（6）代理服務(wù)器IP地址：二、防火墻的常用技術(shù)5.1防火墻步驟（3）步驟（4）步驟（5）步驟（8）步驟（6）步驟（7）代理服務(wù)器Internet步驟（1）步驟（2）（7）如果不允許該數(shù)據(jù)包進(jìn)入內(nèi)部網(wǎng)，代理服務(wù)器丟棄該數(shù)據(jù)包，發(fā)送ICMP消息；（8）如果允許該數(shù)據(jù)包進(jìn)入內(nèi)部網(wǎng)，代理服務(wù)器將它發(fā)給最先發(fā)出請求的計算機；代理服務(wù)器IP地址：二、防火墻的常用技術(shù)5.1防火墻步驟（3）步驟（9）步驟（4）步驟（5）步驟（8）步驟（6）步驟（7）代理服務(wù)器Internet步驟（1）步驟（2）（9）數(shù)據(jù)包到達(dá)最先發(fā)出請求的計算機，此時數(shù)據(jù)包顯示來自外部主機而不是代理服務(wù)器。代理服務(wù)器IP地址：二、防火墻的常用技術(shù)5.1防火墻防火墻：應(yīng)用網(wǎng)關(guān)缺點:必須對每個應(yīng)用程序創(chuàng)建過濾規(guī)則客戶端配置新的應(yīng)用和病毒速度慢二、防火墻的常用技術(shù)5.1防火墻防火墻：狀態(tài)檢測包過濾技術(shù)應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層客戶端防火墻服務(wù)器狀態(tài)檢測引擎會話連接狀態(tài)、上下文信息監(jiān)控二、防火墻的常用技術(shù)5.1防火墻防火墻：狀態(tài)檢測包過濾技術(shù)檢查項IP

包的源、目的地址、端口TCP會話的連接狀態(tài)上下文信息二、防火墻的常用技術(shù)5.1防火墻IP包檢測包頭下一步處理安全策略：過濾規(guī)則會話連接狀態(tài)緩存表狀態(tài)檢測包過濾防火墻符合不符合丟棄狀態(tài)檢測包過濾檢測流程符合二、防火墻的常用技術(shù)5.1防火墻狀態(tài)檢測包過濾防火墻特點對以上各層的通信進(jìn)行主動、實時的監(jiān)控重組會話，對應(yīng)用進(jìn)行細(xì)粒度檢測數(shù)據(jù)吞吐率較高二、防火墻的常用技術(shù)5.1防火墻安全區(qū)劃分防火墻WebServerFTP/SMTPServer安全區(qū)1（內(nèi)網(wǎng)）安全區(qū)2（外網(wǎng)）安全區(qū)3（DMZ、SSN）三、防火墻的功能與性能分析5.1防火墻透明接入網(wǎng)絡(luò)A網(wǎng)絡(luò)B192.168.0.X/24192.168.0.X/24透明模式下，這里不用配置IP地址透明模式下，這里不用配置IP地址透明模式下，網(wǎng)絡(luò)A和網(wǎng)絡(luò)B不用做任何調(diào)整三、防火墻的功能與性能分析5.1防火墻路由、NAT接入網(wǎng)絡(luò)A192.168.0.X/24/24202.16.1.x/26202.16.1.y/26路由模式下，防火墻的內(nèi)外網(wǎng)接口必須配置不同的IP地址INTERNET三、防火墻的功能與性能分析5.1防火墻混合接入防火墻DMZ區(qū)內(nèi)網(wǎng)1內(nèi)網(wǎng)2網(wǎng)橋NATINTERNET三、防火墻的功能與性能分析5.1防火墻基于源IP地址基于目的IP地址基于源端口基于目的端口基于時間基于用戶基于流量基于文件基于網(wǎng)址基于MAC地址WebServerFTP/SMTPServer

源目的根據(jù)預(yù)定義的規(guī)則列表，進(jìn)行訪問控制基本的訪問控制三、防火墻的功能與性能分析5.1防火墻NAT隱藏內(nèi)部網(wǎng)絡(luò)的IP

地址及內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)節(jié)約有效的IP

地址空間2

發(fā)出請求應(yīng)答發(fā)給2

發(fā)出請求

發(fā)出請求應(yīng)答發(fā)給應(yīng)答發(fā)給NAT2?三、防火墻的功能與性能分析5.1防火墻服務(wù)器負(fù)載均衡INTERNETWeb服務(wù)器3Web服務(wù)器1Web服務(wù)器2三、防火墻的功能與性能分析5.1防火墻策略路由INTERNETCERNET網(wǎng)絡(luò)1/24網(wǎng)絡(luò)2/24網(wǎng)絡(luò)1-----INTERNET網(wǎng)絡(luò)2------CERNET三、防火墻的功能與性能分析5.1防火墻認(rèn)證技術(shù)

認(rèn)證是所有防火墻的基礎(chǔ)。認(rèn)證技術(shù)：

操作系統(tǒng)口令：Username/Password;S/Key；

RADIUS；第三方的插件；認(rèn)證模式：

用戶認(rèn)證客戶認(rèn)證會話認(rèn)證三、防火墻的功能與性能分析5.1防火墻防火墻：S/Key認(rèn)證技術(shù)S/Key是一次性口令挑戰(zhàn)認(rèn)證技術(shù)登陸：用戶名挑戰(zhàn)號計算口令1計算口令2口令1結(jié)果一致，認(rèn)證成功結(jié)果不一致，認(rèn)證失敗比較口令1、口令2是否一致？三、防火墻的功能與性能分析5.1防火墻代理服務(wù)：應(yīng)用代理是防火墻中一個重要的功能，啟用代理可以針對特定應(yīng)用進(jìn)行更細(xì)粒度的控制，包括內(nèi)容過濾等。客戶端服務(wù)器2：防火墻對客戶端的訪問進(jìn)行控制1：客戶端訪問服務(wù)器需先訪問防火墻3：防火墻代替客戶端向服務(wù)器發(fā)送請求FTPHTTPSMTP三、防火墻的功能與性能分析5.1防火墻防火墻：高可用性技術(shù)

高可用性（HighAvailability）技術(shù)是為解決防火墻單點故障點，提供無縫的故障恢復(fù)，保障企業(yè)網(wǎng)絡(luò)的關(guān)鍵應(yīng)用。如：雙機熱備、集群（Cluster）技術(shù)等。Internet內(nèi)部網(wǎng)絡(luò)HABeatRouterSwitchSwitch三、防火墻的功能與性能分析5.1防火墻并發(fā)連接數(shù)定義：指穿越防火墻的主機之間或主機與防火墻之間能同時建立的最大連接數(shù)衡量標(biāo)準(zhǔn)：并發(fā)連接數(shù)的測試主要用來測試被測防火墻建立和維持TCP連接的性能，同時也能通過并發(fā)連接數(shù)的大小體現(xiàn)被測防火墻對來自于客戶端的TCP連接請求的響應(yīng)能力。CLIENTSERVER并發(fā)連接數(shù)可以用來衡量穿越防火墻的主機之間能同時建立的最大連接數(shù)三、防火墻的功能與性能分析5.1防火墻吞吐量定義：在不丟包的情況下能夠達(dá)到的最大速率衡量標(biāo)準(zhǔn)：吞吐量作為衡量防火墻性能的重要指標(biāo)之一，吞吐量小就會造成網(wǎng)絡(luò)的瓶頸，進(jìn)而影響網(wǎng)絡(luò)的性能。Smartbits6000B測試儀11010010100101010110！◎?！ィぃぃ＃ā痢宰畲笏俾拾l(fā)包直到出現(xiàn)丟包時的最大值100M60M防火墻吞吐率小就會造成網(wǎng)絡(luò)的瓶頸三、防火墻的功能與性能分析5.1防火墻時延定義：入口處輸入幀最后一個比特到達(dá)至出口處輸出幀的第一個比特輸出所用的時間間隔。衡量標(biāo)準(zhǔn)：防火墻的時延能夠體現(xiàn)它處理數(shù)據(jù)的速度Smartbits6000B測試儀11010010100101010110最后一個比特到達(dá)11010010100101010110第一個比特輸出時間間隔數(shù)據(jù)包排隊經(jīng)防火墻檢查后轉(zhuǎn)發(fā)，造成數(shù)據(jù)包延遲到達(dá)目的地。1101001010010101011011010010100101010110三、防火墻的功能與性能分析5.1防火墻背靠背定義：從空閑狀態(tài)開始，以達(dá)到傳輸介質(zhì)最小合法間隔極限的傳輸速率發(fā)送相當(dāng)數(shù)量的固定長度的幀，當(dāng)出現(xiàn)第一個幀丟失時，發(fā)送的幀數(shù)。衡量標(biāo)準(zhǔn)：背靠背的測試結(jié)果能體現(xiàn)出防火墻的緩沖容量，網(wǎng)絡(luò)上經(jīng)常有一些應(yīng)用會產(chǎn)生大量的突發(fā)數(shù)據(jù)包（如NFS、備份、路由更新等），而且這樣的數(shù)據(jù)包的丟失可能會產(chǎn)生更多的數(shù)據(jù)包，強大的緩沖能力可以減少這種突發(fā)對網(wǎng)絡(luò)造成的影響。Smartbits6000B測試儀少量包沒有數(shù)據(jù)包增多峰值包減少包數(shù)量（N)時間（T）背靠背指標(biāo)體現(xiàn)防火墻對突發(fā)數(shù)據(jù)的處理能力三、防火墻的功能與性能分析5.1防火墻丟包率Smartbits6000B測試儀11010010100101010110發(fā)送了100個包1101001010010101丟包率＝（100－80）/100＝20％定義：在連線負(fù)載的情況下，防火墻設(shè)備由于資源不足應(yīng)轉(zhuǎn)發(fā)但卻沒轉(zhuǎn)發(fā)的幀百分比。衡量標(biāo)準(zhǔn)：防火墻的丟包率對其穩(wěn)定性、可靠性有很大影響。轉(zhuǎn)發(fā)了80個包三、防火墻的功能與性能分析5.1防火墻知識點回顧：接入方式：透明、路由、混合實現(xiàn)技術(shù)：安全區(qū)劃分、NAT、策略路由、認(rèn)證技術(shù)、代理技術(shù)、高可用技術(shù)性能指標(biāo)：并發(fā)連接數(shù)、吞吐量、時延、背靠背、丟包率三、防火墻的功能與性能分析5.1防火墻如何在不同安全等級的網(wǎng)絡(luò)間進(jìn)行信息交換人工拷盤：由指定人員將需要轉(zhuǎn)移的數(shù)據(jù)拷貝到軟盤等移動存儲介質(zhì)上，經(jīng)過查病毒、內(nèi)容檢查等安全處理后，再復(fù)制到目標(biāo)網(wǎng)絡(luò)中。5.3網(wǎng)絡(luò)隔離技術(shù)一、安全隔離的概念A(yù)網(wǎng)B網(wǎng)存儲介質(zhì)數(shù)據(jù)的交換通過人工來實現(xiàn)，工作效率低；安全性完全依賴于人的因素，可靠性無法保證；隨著電子政務(wù)的開展，內(nèi)外網(wǎng)交換數(shù)據(jù)的數(shù)量和頻率呈幾何量級上升，這種解決方案已經(jīng)越來越無法滿足用戶的需要。5.3網(wǎng)絡(luò)隔離技術(shù)一、安全隔離的概念人工拷盤的缺點：上世紀(jì)90年代中期俄羅斯人RyJones首先提出“AirGap”隔離概念；以色列首先研制成功物理隔離卡，實現(xiàn)網(wǎng)絡(luò)之間的安全隔離；美國WhaleCommunications公司和以色列SpearHead公司先后推出了e-Gap和NetGap產(chǎn)品，利用專有硬件實現(xiàn)兩個網(wǎng)絡(luò)在不連通的情況下數(shù)據(jù)的安全交換和資源共享；安全隔離技術(shù)從單純實現(xiàn)“網(wǎng)絡(luò)隔離禁止交換”的安全隔離發(fā)展到“安全隔離和可靠交換”的安全隔離。美國軍方、重要政府部門均采用隔離技術(shù)保障信息安全。5.3網(wǎng)絡(luò)隔離技術(shù)一、安全隔離的概念網(wǎng)絡(luò)隔離（NetworkIsolation），主要是指把兩個或兩個以上可路由的網(wǎng)絡(luò)（如TCP/IP）通過不可路由的協(xié)議進(jìn)行數(shù)據(jù)交換而達(dá)到隔離目的。由于其原理主要是采用了不同的協(xié)議，所以通常也叫協(xié)議隔離（ProtocolIsolation）。5.3網(wǎng)絡(luò)隔離技術(shù)一、安全隔離的概念數(shù)據(jù)交換技術(shù)安全性適合場合人工方式安全性最好，物理隔離適合臨時的小數(shù)量的數(shù)據(jù)交換數(shù)據(jù)交換網(wǎng)物理上連接，采用完整安全保障體系的深層次防護(hù)(防護(hù)、監(jiān)控、審計)，安全程度依賴當(dāng)前安全技術(shù)適合提供大數(shù)據(jù)服務(wù)或時時的網(wǎng)絡(luò)服務(wù)，支持多業(yè)務(wù)平臺建設(shè)網(wǎng)閘物理上不同時連接，對攻擊防護(hù)好，但協(xié)議的代理對病毒防護(hù)依賴當(dāng)前技術(shù)適合定期的批量數(shù)據(jù)交換，但不適合多應(yīng)用的穿透安全網(wǎng)關(guān)從網(wǎng)絡(luò)層到應(yīng)用層的防護(hù)不適合涉密網(wǎng)絡(luò)與非涉密網(wǎng)絡(luò)數(shù)據(jù)交換。適合辦公網(wǎng)絡(luò)與互聯(lián)網(wǎng)的隔離，也適合涉密網(wǎng)絡(luò)之間的隔離5.3網(wǎng)絡(luò)隔離技術(shù)一、安全隔離的概念常見的網(wǎng)絡(luò)安全隔離方式

安全隔離的工作原理是模擬人工在兩個隔離網(wǎng)絡(luò)之間的信息交換。其本質(zhì)在于：阻斷兩側(cè)網(wǎng)絡(luò)間直接協(xié)議連接，使之不能直接進(jìn)行網(wǎng)絡(luò)協(xié)議通訊，對傳遞的數(shù)據(jù)內(nèi)容進(jìn)行檢測，即實現(xiàn)“協(xié)議落地、內(nèi)容檢測”。5.3網(wǎng)絡(luò)隔離技術(shù)二、安全隔離的原理5.3網(wǎng)絡(luò)隔離技術(shù)二、安全隔離的原理1.安全隔離理論模型安全隔離的安全思路來自于“不同時連接”5.3網(wǎng)絡(luò)隔離技術(shù)安全隔離的設(shè)計是“代理+擺渡”。代理不只是協(xié)議代理，而是數(shù)據(jù)的“拆卸”，把數(shù)據(jù)還原成原始的部分，拆除各種通訊協(xié)議添加的包頭和包尾，通訊協(xié)議落地，用專用協(xié)議、單向通道技術(shù)、存儲等方式阻斷業(yè)務(wù)的連接，用代理方式支持上層業(yè)務(wù)。二、安全隔離的原理1.安全隔離理論模型5.3網(wǎng)絡(luò)隔離技術(shù)二、安全隔離的原理2.網(wǎng)閘的工作原理網(wǎng)閘是在兩個不同安全域之間，通過協(xié)議轉(zhuǎn)換的手段，以信息擺渡的方式實現(xiàn)數(shù)據(jù)交換，且只有被系統(tǒng)明確要求傳輸?shù)男畔⒉趴梢酝ㄟ^。其信息流一般為通用應(yīng)用服務(wù)。在信息擺渡的過程中內(nèi)外網(wǎng)（上下游）從不發(fā)生物理連接。5.3網(wǎng)絡(luò)隔離技術(shù)二、安全隔離的原理2.網(wǎng)閘的工作原理網(wǎng)閘內(nèi)部采用“2+1”模塊結(jié)構(gòu)設(shè)計，即包括外網(wǎng)主機模塊、內(nèi)網(wǎng)主機模塊和隔離交換模塊。內(nèi)、外網(wǎng)主機模塊具有獨立運算單元和存儲單元，分別連接可信及不可信網(wǎng)絡(luò)，對訪問請求進(jìn)行預(yù)處理，以實現(xiàn)安全應(yīng)用數(shù)據(jù)的剝離。隔離交換模塊采用專用的雙通道隔離交換卡實現(xiàn)，通過內(nèi)嵌的安全芯片完成內(nèi)外網(wǎng)主機模塊間安全的數(shù)據(jù)交換。網(wǎng)閘進(jìn)行數(shù)據(jù)交換的過程：1）切斷網(wǎng)絡(luò)之間的通用協(xié)議連接，當(dāng)外網(wǎng)需要有數(shù)據(jù)到達(dá)內(nèi)網(wǎng)的時候，外部處理單元發(fā)起對隔離設(shè)備的非TCP/IP協(xié)議的數(shù)據(jù)連接；2）隔離設(shè)備將所有的協(xié)議剝離，將數(shù)據(jù)包進(jìn)行分解或重組為靜態(tài)數(shù)據(jù)，寫入存儲介質(zhì)。3）一旦數(shù)據(jù)完全寫入隔離設(shè)備的存儲介質(zhì)，隔離設(shè)備立即中斷與外部處理單元的連接，對靜態(tài)數(shù)據(jù)進(jìn)行安全審查，包括網(wǎng)絡(luò)協(xié)議檢查和代碼掃描等；4）數(shù)據(jù)確認(rèn)安全后，隔離設(shè)備發(fā)起對內(nèi)部處理單元的非TCP/IP協(xié)議的數(shù)據(jù)連接，將存儲介質(zhì)內(nèi)的數(shù)據(jù)推向內(nèi)部處理單元。5）內(nèi)部處理單元收到數(shù)據(jù)后，立即進(jìn)行TCP/IP的封裝和應(yīng)用協(xié)議的封裝，并交給應(yīng)用系統(tǒng)。內(nèi)部用戶通過嚴(yán)格的身份認(rèn)證機制獲取所需數(shù)據(jù)。5.3網(wǎng)絡(luò)隔離技術(shù)二、安全隔離的原理2.網(wǎng)閘的工作原理5.3網(wǎng)絡(luò)隔離技術(shù)二、安全隔離的原理2.網(wǎng)閘的工作原理安全隔離網(wǎng)閘最初只支持文件交換功能（工作原理是模擬人工拷盤），目前已經(jīng)發(fā)展到具有數(shù)據(jù)庫同步、數(shù)據(jù)庫訪問、郵件訪問、安全Web訪問、FTP訪問等多種功能，能對HTTP、FTP、SMTP、POP3等通用協(xié)議進(jìn)行內(nèi)容檢查。安全隔離網(wǎng)閘存在無法對私有協(xié)議進(jìn)行數(shù)據(jù)內(nèi)容檢查的問題，這是由于不少用戶應(yīng)用系統(tǒng)采用的都是自定義格式的私有協(xié)議，其數(shù)據(jù)格式、數(shù)據(jù)內(nèi)容等都沒有公開，導(dǎo)致安全隔離網(wǎng)閘廠商無法定義出相應(yīng)的數(shù)據(jù)內(nèi)容檢查規(guī)則，也就無法實現(xiàn)高安全的隔離交換控制。文件同步：完成內(nèi)外網(wǎng)服務(wù)器（用戶）之間的文件交換（同步）5.3網(wǎng)絡(luò)隔離技術(shù)二、安全隔離的原理2.網(wǎng)閘的工作原理NFSSAMBAFTPNFSSAMBAFTP文件同步模塊文件同步模塊內(nèi)容病毒格式內(nèi)容病毒格式文件同步：完成內(nèi)外網(wǎng)服務(wù)器（用戶）之間的文件交換（同步）5.3網(wǎng)絡(luò)隔離技術(shù)二、安全隔離的原理2.網(wǎng)閘的工作原理數(shù)據(jù)庫同步5.3網(wǎng)絡(luò)隔離技術(shù)二、安全隔離的原理2.網(wǎng)閘的工作原理開關(guān)模塊數(shù)據(jù)庫同步模塊數(shù)據(jù)庫同步模塊數(shù)據(jù)Select*frompubsJDBC數(shù)據(jù)