1、防火牆
| 定義 | 防火牆指的是一個有軟件和(hé)硬件設備組合而成、在内部網和(hé)外(wài)部網之間、專用(yòng)網與公共網之間的界面上(shàng)構造的保護屏障。它可通過監測、限制、更改跨越防火牆的數據流,盡可能(néng)地對(duì)外(wài)部屏蔽網絡内部的信息、結構和(hé)運行狀況,以此來(lái)實現(xiàn)網絡的安全保護。 |
| 主要功能(néng) | 1、過濾進、出網絡的數據 2、防止不安全的協議(yì)和(hé)服務 3、管理(lǐ)進、出網絡的訪問行爲 4、記錄通過防火牆的信息内容 5、對(duì)網絡攻擊進行檢測與警告 6、防止外(wài)部對(duì)内部網絡信息的獲取 7、提供與外(wài)部連接的集中管理(lǐ) |
| 主要類型 | 1、網絡層防火牆 一般是基于源地址和(hé)目的地址、應用(yòng)、協議(yì)以及每個IP包的端口來(lái)作(zuò)出通過與否的判斷。防火牆檢查每一條規則直至發現(xiàn)包中的信息與某規則相符。如果沒有一條規則能(néng)符合,防火牆就會(huì)使用(yòng)默認規則,一般情況下(xià),默認規則就是要求防火牆丢棄該包,其次,通過定義基于TCP或UDP數據包的端口号,防火牆能(néng)夠判斷是否允許建立特定的連接,如Telnet、FTP連接。 2、應用(yòng)層防火牆 針對(duì)特别的網絡應用(yòng)服務協議(yì)即數據過濾協議(yì),并且能(néng)夠對(duì)數據包分析并形成相關的報(bào)告。 |
| 主動被動 | 傳統防火牆是主動安全的概念; 因爲默認情況下(xià)是關閉所有的訪問,然後再通過定制策略去開(kāi)放(fàng)允許開(kāi)放(fàng)的訪問。 |
下(xià)一代防火牆 (NGFW) | 主要是一款全面應對(duì)應用(yòng)層威脅的高(gāo)性能(néng)防火牆。可以做到(dào)智能(néng)化主動防禦、應用(yòng)層數據防洩漏、應用(yòng)層洞察與控制、威脅防護等特性。 下(xià)一代防火牆在一台設備裏面集成了(le)傳統防火牆、IPS、應用(yòng)識别、内容過濾等功能(néng)既降低(dī)了(le)整體網絡安全系統的采購投入,又減去了(le)多台設備接入網絡帶來(lái)的部署成本,還通過應用(yòng)識别和(hé)用(yòng)戶管理(lǐ)等技術降低(dī)了(le)管理(lǐ)人員的維護和(hé)管理(lǐ)成本。 |
| 使用(yòng)方式 | 防火牆部署于單位或企業内部網絡的出口位置。 |
| 局限性 | 1、不能(néng)防止源于内部的攻擊,不提供對(duì)内部的保護 2、不能(néng)防病毒 3、不能(néng)根據網絡被惡意使用(yòng)和(hé)攻擊的情況動态調整自(zì)己的策略 本身的防攻擊能(néng)力不夠,容易成爲被攻擊的首要目标 |
| 定義 | 入侵檢測即通過從(cóng)網絡系統中的若幹關鍵節點收集并分析信息,監控網絡中是否有違反安全策略的行爲或者是否存在入侵行爲。入侵檢測系統通常包含3個必要的功能(néng)組件:信息來(lái)源、分析引擎和(hé)響應組件。 |
| 工(gōng)作(zuò)原理(lǐ) | 1、信息收集 3、告警與響應 根據入侵性質和(hé)類型,做出相應的告警與響應。 |
| 主要功能(néng) | 它能(néng)夠提供安全審計(jì)、監視(shì)、攻擊識别和(hé)反攻擊等多項功能(néng),對(duì)内部攻擊、外(wài)部攻擊和(hé)誤操作(zuò)進行實時(shí)監控,在網絡安全技術中起到(dào)了(le)不可替代的作(zuò)用(yòng)。 1、實時(shí)監測:實時(shí)地監視(shì)、分析網絡中所有的數據報(bào)文(wén),發現(xiàn)并實時(shí)處理(lǐ)所捕獲的數據報(bào)文(wén); 2、安全審計(jì):對(duì)系統記錄的網絡事(shì)件進行統計(jì)分析,發現(xiàn)異常現(xiàn)象,得出系統的安全狀态,找出所需要的證據 3、主動響應:主動切斷連接或與防火牆聯動,調用(yòng)其他(tā)程序處理(lǐ)。 |
| 主要類型 | 1、基于主機的入侵檢測系統(HIDS):基于主機的入侵檢測系統是早期的入侵檢測系統結構,通常是軟件型的,直接安裝在需要保護的主機上(shàng)。其檢測的目标主要是主機系統和(hé)系統本地用(yòng)戶,檢測原理(lǐ)是根據主機的審計(jì)數據和(hé)系統日志發現(xiàn)可疑事(shì)件。 這(zhè)種檢測技術的優點主要有:能(néng)夠檢測那些(xiē)來(lái)自(zì)網絡的攻擊和(hé)超過授權的非法訪問;不需要改變服務器等主機的配置,也(yě)不會(huì)影響主機性能(néng);風(fēng)險低(dī);配置簡單。其缺點主要是:成本高(gāo)、檢測範圍受局限;大(dà)量計(jì)算(suàn),影響系統性能(néng);大(dà)量分析數據流,影響系統性能(néng);對(duì)加密的會(huì)話(huà)過程處理(lǐ)較難;網絡流速高(gāo)時(shí)可能(néng)會(huì)丢失許多封包,容易讓入侵者有機可乘;無法檢測加密的封包;對(duì)于直接對(duì)主機的入侵無法檢測出。 |
| 主動被動 | 入侵檢測系統是一種對(duì)網絡傳輸進行即時(shí)監視(shì),在發現(xiàn)可疑傳輸時(shí)發出警報(bào)或者采取主動反應措施的網絡安全設備。絕大(dà)多數 IDS 系統都是被動的。也(yě)就是說,在攻擊實際發生之前,它們往往無法預先發出警報(bào)。 |
| 使用(yòng)方式 | 作(zuò)爲防火牆後的第二道(dào)防線,适于以旁路接入方式部署在具有重要業務系統或内部網絡安全性、保密性較高(gāo)的網絡出口處。 |
| 局限性 | 1、誤報(bào)率高(gāo):主要表現(xiàn)爲把良性流量誤認爲惡性流量進行誤報(bào)。還有些(xiē)IDS産品會(huì)對(duì)用(yòng)戶不關心事(shì)件的進行誤報(bào)。 2、産品适應能(néng)力差:傳統的IDS産品在開(kāi)發時(shí)沒有考慮特定網絡環境下(xià)的需求,适應能(néng)力差。入侵檢測産品要能(néng)适應當前網絡技術和(hé)設備的發展進行動态調整,以适應不同環境的需求。 3、大(dà)型網絡管理(lǐ)能(néng)力差:首先,要确保新的産品體系結構能(néng)夠支持數以百計(jì)的IDS傳感器;其次,要能(néng)夠處理(lǐ)傳感器産生的告警事(shì)件;最後還要解決攻擊特征庫的建立,配置以及更新問題。 4、缺少防禦功能(néng):大(dà)多數IDS産品缺乏主動防禦功能(néng)。 5、處理(lǐ)性能(néng)差:目前的百兆、千兆IDS産品性能(néng)指标與實際要求還存在很(hěn)大(dà)的差距。 |
| 定義 | 入侵防禦系統是一部能(néng)夠監視(shì)網絡或網絡設備的網絡資料傳輸行爲的計(jì)算(suàn)機網絡安全設備,能(néng)夠即時(shí)的中斷、調整或隔離一些(xiē)不正常或是具有傷害性的網絡資料傳輸行爲。 |
| 産生背景 | 1、串行部署的防火牆可以攔截低(dī)層攻擊行爲,但(dàn)對(duì)應用(yòng)層的深層攻擊行爲無能(néng)爲力。 2、旁路部署的IDS可以及時(shí)發現(xiàn)那些(xiē)穿透防火牆的深層攻擊行爲,作(zuò)爲防火牆的有益補充,但(dàn)很(hěn)可惜的是無法實時(shí)的阻斷。 3、IDS和(hé)防火牆聯動:通過IDS來(lái)發現(xiàn),通過防火牆來(lái)阻斷。但(dàn)由于迄今爲止沒有統一的接口規範,加上(shàng)越來(lái)越頻發的“瞬間攻擊”(一個會(huì)話(huà)就可以達成攻擊效果,如SQL注入、溢出攻擊等),使得IDS與防火牆聯動在實際應用(yòng)中的效果不顯著。 入侵檢測系統(IDS)對(duì)那些(xiē)異常的、可能(néng)是入侵行爲的數據進行檢測和(hé)報(bào)警,告知(zhī)使用(yòng)者網絡中的實時(shí)狀況,并提供相應的解決、處理(lǐ)方法,是一種側重于風(fēng)險管理(lǐ)的安全産品。 入侵防禦系統(IPS)對(duì)那些(xiē)被明(míng)确判斷爲攻擊行爲,會(huì)對(duì)網絡、數據造成危害的惡意行爲進行檢測和(hé)防禦,降低(dī)或是減免使用(yòng)者對(duì)異常狀況的處理(lǐ)資源開(kāi)銷,是一種側重于風(fēng)險控制的安全産品。 IDS和(hé)IPS的關系,并非取代和(hé)互斥,而是相互協作(zuò):沒有部署IDS的時(shí)候,隻能(néng)是憑感覺判斷,應該在什(shén)麽地方部署什(shén)麽樣的安全産品,通過IDS的廣泛部署,了(le)解了(le)網絡的當前實時(shí)狀況,據此狀況可進一步判斷應該在何處部署何類安全産品(IPS等)。 |
| 功能(néng) | 1、入侵防護:實時(shí)、主動攔截黑客攻擊、蠕蟲、網絡病毒、後門(mén)木(mù)馬、Dos等惡意流量,保護企業信息系統和(hé)網絡架構免受侵害,防止操作(zuò)系統和(hé)應用(yòng)程序損壞或宕機。 2、Web安全:基于互聯網Web站(zhàn)點的挂馬檢測結果,結合URL信譽評價技術,保護用(yòng)戶在訪問被植入木(mù)馬等惡意代碼的網站(zhàn)時(shí)不受侵害,及時(shí)、有效地第一時(shí)間攔截Web威脅。 3、流量控制:阻斷一切非授權用(yòng)戶流量,管理(lǐ)合法網絡資源的利用(yòng),有效保證關鍵應用(yòng)全天候暢通無阻,通過保護關鍵應用(yòng)帶寬來(lái)不斷提升企業IT産出率和(hé)收益率。 4、上(shàng)網監管:全面監測和(hé)管理(lǐ)IM即時(shí)通訊、P2P下(xià)載、網絡遊戲、在線視(shì)頻,以及在線炒股等網絡行爲,協助企業辨識和(hé)限制非授權網絡流量,更好(hǎo)地執行企業的安全策略。 |
| 技術特征 | 嵌入式運行:隻有以嵌入模式運行的 IPS 設備才能(néng)夠實現(xiàn)實時(shí)的安全防護,實時(shí)阻攔所有可疑的數據包,并對(duì)該數據流的剩餘部分進行攔截。 深入分析和(hé)控制:IPS必須具有深入分析能(néng)力,以确定哪些(xiē)惡意流量已經被攔截,根據攻擊類型、策略等來(lái)确定哪些(xiē)流量應該被攔截。 入侵特征庫:高(gāo)質量的入侵特征庫是IPS高(gāo)效運行的必要條件,IPS還應該定期升級入侵特征庫,并快(kuài)速應用(yòng)到(dào)所有傳感器。 高(gāo)效處理(lǐ)能(néng)力:IPS必須具有高(gāo)效處理(lǐ)數據包的能(néng)力,對(duì)整個網絡性能(néng)的影響保持在最低(dī)水(shuǐ)平。 |
| 主要類型 | 1.基于特征的IPS 這(zhè)是許多IPS解決方案中最常用(yòng)的方法。把特征添加到(dào)設備中,可識别當前最常見的攻擊。也(yě)被稱爲模式匹配IPS。特征庫可以添加、調整和(hé)更新,以應對(duì)新的攻擊。 2. 基于異常的IPS 也(yě)被稱爲基于行規的IPS。基于異常的方法可以用(yòng)統計(jì)異常檢測和(hé)非統計(jì)異常檢測。 3、基于策略的IPS: 它更關心的是是否執行組織的安保策略。如果檢測的活動違反了(le)組織的安保策略就觸發報(bào)警。使用(yòng)這(zhè)種方法的IPS,要把安全策略寫入設備之中。 4.基于協議(yì)分析的IPS 它與基于特征的方法類似。大(dà)多數情況檢查常見的特征,但(dàn)基于協議(yì)分析的方法可以做更深入的數據包檢查,能(néng)更靈活地發現(xiàn)某些(xiē)類型的攻擊。 |
| 主動被動 | IPS傾向于提供主動防護,其設計(jì)宗旨是預先對(duì)入侵活動和(hé)攻擊性網絡流量進行攔截,避免其造成損失,而不是簡單地在惡意流量傳送時(shí)或傳送後才發出警報(bào)。 |
| 使用(yòng)方式 | 串聯部署在具有重要業務系統或内部網絡安全性、保密性較高(gāo)的網絡出口處。 |
| 定義 | 漏洞掃描是指基于漏洞數據庫,通過掃描等手段對(duì)指定的遠程或者本地計(jì)算(suàn)機系統的安全脆弱性進行檢測,發現(xiàn)可利用(yòng)的漏洞的一種安全檢測(滲透攻擊)行爲。 |
| 主要功能(néng) | 可以對(duì)網站(zhàn)、系統、數據庫、端口、應用(yòng)軟件等一些(xiē)網絡設備應用(yòng)進行智能(néng)識别掃描檢測,并對(duì)其檢測出的漏洞進行報(bào)警提示管理(lǐ)人員進行修複。同時(shí)可以對(duì)漏洞修複情況進行監督并自(zì)動定時(shí)對(duì)漏洞進行審計(jì)提高(gāo)漏洞修複效率。 1、定期的網絡安全自(zì)我檢測、評估 安全檢測可幫助客戶最大(dà)可能(néng)的消除安全隐患,盡可能(néng)早地發現(xiàn)安全漏洞并進行修補,有效的利用(yòng)已有系統,提高(gāo)網絡的運行效率。 2、安裝新軟件、啓動新服務後的檢查 由于漏洞和(hé)安全隐患的形式多種多樣,安裝新軟件和(hé)啓動新服務都有可能(néng)使原來(lái)隐藏的漏洞暴露出來(lái),因此進行這(zhè)些(xiē)操作(zuò)之後應該重新掃描系統,才能(néng)使安全得到(dào)保障。 3、網絡承擔重要任務前的安全性測試 4、網絡安全事(shì)故後的分析調查 網絡安全事(shì)故後可以通過網絡漏洞掃描/網絡評估系統分析确定網絡被攻擊的漏洞所在,幫助彌補漏洞,盡可能(néng)多得提供資料方便調查攻擊的來(lái)源。 5、重大(dà)網絡安全事(shì)件前的準備 重大(dà)網絡安全事(shì)件前網絡漏洞掃描/網絡評估系統能(néng)夠幫助用(yòng)戶及時(shí)的找出網絡中存在的隐患和(hé)漏洞,幫助用(yòng)戶及時(shí)的彌補漏洞。 |
| 主要技術 | 1. 主機掃描: 确定在目标網絡上(shàng)的主機是否在線。 2. 端口掃描: 發現(xiàn)遠程主機開(kāi)放(fàng)的端口以及服務。 3. OS識别技術: 根據信息和(hé)協議(yì)棧判别操作(zuò)系統。 4. 漏洞檢測數據采集技術: 按照網絡、系統、數據庫進行掃描。 5.智能(néng)端口識别、多重服務檢測、安全優化掃描、系統滲透掃描 6.多種數據庫自(zì)動化檢查技術,數據庫實例發現(xiàn)技術; |
| 主要類型 | 1.針對(duì)網絡的掃描器:基于網絡的掃描器就是通過網絡來(lái)掃描遠程計(jì)算(suàn)機中的漏洞。價格相對(duì)來(lái)說比較便宜;在操作(zuò)過程中,不需要涉及到(dào)目标系統的管理(lǐ)員,在檢測過程中不需要在目标系統上(shàng)安裝任何東西;維護簡便。 2.針對(duì)主機的掃描器:基于主機的掃描器則是在目标系統上(shàng)安裝了(le)一個代理(lǐ)或者是服務,以便能(néng)夠訪問所有的文(wén)件與進程,這(zhè)也(yě)使得基于主機的掃描器能(néng)夠掃描到(dào)更多的漏洞。 3.針對(duì)數據庫的掃描器:數據庫漏掃可以檢測出數據庫的DBMS漏洞、缺省配置、權限提升漏洞、緩沖區(qū)溢出、補丁未升級等自(zì)身漏洞。 |
| 使用(yòng)方式 | 1、獨立式部署: 在網絡中隻部署一台漏掃設備,接入網絡并進行正确的配置即可正常使用(yòng),其工(gōng)作(zuò)範圍通常包含用(yòng)戶企業的整個網絡地址。用(yòng)戶可以從(cóng)任意地址登錄漏掃系統并下(xià)達掃描評估任務,檢查任務的地址必須在産品和(hé)分配給此用(yòng)戶的授權範圍内。 2、多級式部署: 對(duì)于一些(xiē)大(dà)規模和(hé)分布式網絡用(yòng)戶,建議(yì)使用(yòng)分布式部署方式。在大(dà)型網絡中采用(yòng)多台漏掃系統共同工(gōng)作(zuò),可對(duì)各系統間的數據共享并彙總,方便用(yòng)戶對(duì)分布式網絡進行集中管理(lǐ)。 |
| 優缺點 | 1、優點 有利于及早發現(xiàn)問題,并從(cóng)根本上(shàng)解決安全隐患。 2、不足 隻能(néng)針對(duì)已知(zhī)安全問題進行掃描;準确性和(hé)指導性有待改善。 |
| 定義 | 安全隔離網閘是使用(yòng)帶有多種控制功能(néng)的固态開(kāi)關讀寫介質連接兩個獨立網絡系統的信息安全設備。由于物理(lǐ)隔離網閘所連接的兩個獨立網絡系統之間,不存在通信的物理(lǐ)連接、邏輯連接、信息傳輸命令、信息傳輸協議(yì),不存在依據協議(yì)的信息包轉發,隻有數據文(wén)件的無協議(yì)“擺渡”,且對(duì)固态存儲介質隻有“讀”和(hé)“寫”兩個命令。所以,物理(lǐ)隔離網閘從(cóng)物理(lǐ)上(shàng)隔離、阻斷了(le)具有潛在攻擊可能(néng)的一切連接,使“黑客”無法入侵、無法攻擊、無法破壞,實現(xiàn)了(le)真正的安全。 |
| 功能(néng)模塊 | 安全隔離閘門(mén)的功能(néng)模塊有: 安全隔離、内核防護、協議(yì)轉換、病毒查殺、訪問控制、安全審計(jì)、身份認證 |
| 主要功能(néng) | 1、阻斷網絡的直接物理(lǐ)連接:物理(lǐ)隔離網閘在任何時(shí)刻都隻能(néng)與非可信網絡和(hé)可信網絡上(shàng)之一相連接,而不能(néng)同時(shí)與兩個網絡連接; 2、阻斷網絡的邏輯連接:物理(lǐ)隔離網閘不依賴操作(zuò)系統、不支持TCP/IP協議(yì)。兩個網絡之間的信息交換必須将TCP/IP協議(yì)剝離,将原始數據通過P2P的非TCP/IP連接方式,通過存儲介質的“寫入”與“讀出”完成數據轉發; 3、安全審查:物理(lǐ)隔離網閘具有安全審查功能(néng),即網絡在将原始數據“寫入”物理(lǐ)隔離網閘前,根據需要對(duì)原始數據的安全性進行檢查,把可能(néng)的病毒代碼、惡意攻擊代碼消滅幹淨等; 4、原始數據無危害性:物理(lǐ)隔離網閘轉發的原始數據,不具有攻擊或對(duì)網絡安全有害的特性。就像txt文(wén)本不會(huì)有病毒一樣,也(yě)不會(huì)執行命令等。 5、管理(lǐ)和(hé)控制功能(néng):建立完善的日志系統。 6、根據需要建立數據特征庫:在應用(yòng)初始化階段,結合應用(yòng)要求,提取應用(yòng)數據的特征,形成用(yòng)戶特有的數據特征庫,作(zuò)爲運行過程中數據校驗的基礎。當用(yòng)戶請(qǐng)求時(shí),提取用(yòng)戶的應用(yòng)數據,抽取數據特征和(hé)原始數據特征庫比較,符合原始特征庫的數據請(qǐng)求進入請(qǐng)求隊列,不符合的返回用(yòng)戶,實現(xiàn)對(duì)數據的過濾。 7、根據需要提供定制安全策略和(hé)傳輸策略的功能(néng):用(yòng)戶可以自(zì)行設定數據的傳輸策略,如:傳輸單位(基于數據還是基于任務)、傳輸間隔、傳輸方向、傳輸時(shí)間、啓動時(shí)間等。 8、支持定時(shí)/實時(shí)文(wén)件交換;支持支持單向/雙向文(wén)件交換;支持數字簽名、内容過濾、病毒檢查等功能(néng)。 |
| 工(gōng)作(zuò)原理(lǐ) | 安全隔離網閘的組成: 安全隔離網閘是實現(xiàn)兩個相互業務隔離的網絡之間的數據交換,通用(yòng)的網閘模型設計(jì)一般分三個基本部分: 1、 内網處理(lǐ)單元:包括内網接口單元與内網數據緩沖區(qū)。接口部分負責與内網的連接,并終止内網用(yòng)戶的網絡連接,對(duì)數據進行病毒檢測、防火牆、入侵防護等安全檢測後剝離出“純數據”,作(zuò)好(hǎo)交換的準備,也(yě)完成來(lái)自(zì)内網對(duì)用(yòng)戶身份的确認,确保數據的安全通道(dào);數據緩沖區(qū)是存放(fàng)并調度剝離後的數據,負責與隔離交換單元的數據交換。 2、 外(wài)網處理(lǐ)單元:與内網處理(lǐ)單元功能(néng)相同,但(dàn)處理(lǐ)的是外(wài)網連接。 3、 隔離與交換控制單元(隔離硬件):是網閘隔離控制的擺渡控制,控制交換通道(dào)的開(kāi)啓與關閉。控制單元中包含一個數據交換區(qū),就是數據交換中的擺渡船(chuán)。對(duì)交換通道(dào)的控制的方式目前有兩種技術,擺渡開(kāi)關與通道(dào)控制。擺渡開(kāi)關是電子倒換開(kāi)關,讓數據交換區(qū)與内外(wài)網在任意時(shí)刻的不同時(shí)連接,形成空(kōng)間間隔GAP,實現(xiàn)物理(lǐ)隔離。通道(dào)方式是在内外(wài)網之間改變通訊模式,中斷了(le)内外(wài)網的直接連接,采用(yòng)私密的通訊手段形成内外(wài)網的物理(lǐ)隔離。該單元中有一個數據交換區(qū),作(zuò)爲交換數據的中轉。 其中,三個單元都要求其軟件的操作(zuò)系統是安全的,也(yě)就是采用(yòng)非通用(yòng)的操作(zuò)系統,或改造後的專用(yòng)操作(zuò)系統。一般爲Unix BSD或Linux的經安全精簡版本,或者其他(tā)是嵌入式操作(zuò)系統等,但(dàn)都要對(duì)底層不需要的協議(yì)、服務删除,使用(yòng)的協議(yì)優化改造,增加安全特性,同時(shí)提高(gāo)效率。 如果針對(duì)網絡七層協議(yì),安全隔離網閘是在硬件鏈路層上(shàng)斷開(kāi)。 |
| 區(qū)别比較 | 1、與物理(lǐ)隔離卡的區(qū)别 安全隔離網閘與物理(lǐ)隔離卡最主要的區(qū)别是,安全隔離網閘能(néng)夠實現(xiàn)兩個網絡間的自(zì)動的安全适度的信息交換,而物理(lǐ)隔離卡隻能(néng)提供一台計(jì)算(suàn)機在兩個網之間切換,并且需要手動操作(zuò),大(dà)部分的隔離卡還要求系統重新啓動以便切換硬盤。 2、網絡交換信息的區(qū)别 安全隔離網閘在網絡間進行的安全适度的信息交換是在網絡之間不存在鏈路層連接的情況下(xià)進行的。安全隔離網閘直接處理(lǐ)網絡間的應用(yòng)層數據,利用(yòng)存儲轉發的方法進行應用(yòng)數據的交換,在交換的同時(shí),對(duì)應用(yòng)數據進行的各種安全檢查。路由器、交換機則保持鏈路層暢通,在鏈路層之上(shàng)進行IP包等網絡層數據的直接轉發,沒有考慮網絡安全和(hé)數據安全的問題。 3、與防火牆的區(qū)别 防火牆一般在進行IP包轉發的同時(shí),通過對(duì)IP包的處理(lǐ),實現(xiàn)對(duì)TCP會(huì)話(huà)的控制,但(dàn)是對(duì)應用(yòng)數據的内容不進行檢查。這(zhè)種工(gōng)作(zuò)方式無法防止洩密,也(yě)無法防止病毒和(hé)黑客程序的攻擊。 |
| 使用(yòng)方式 | 1、涉密網與非涉密網之間 2、局域網與互聯網之間(内網與外(wài)網之間) 3、辦公網與業務網之間 4、業務網與互聯網之間 |
