全过滤内容功能的复杂化,目前安全网闸的交换速率已接近该技术的理论速率极限,可以预见在不久的将来,随着高速网络技术的发展,安全网闸在交换速率上的问题将会成为阻碍网络数据交换的重要因素。
四、物理隔离网闸与防火墙的对比
在设计理念方面,防火墙是以应用为主的安全为辅的,也就是说在支持尽可能多的应用的前提下,来保证使用的安全。防火墙的这一设计理念使得它可以广泛地用于尽可能多的领域,拥有更加广泛的市场。而网闸则是以安全为主,在保证安全的前提下,支持尽可能多地应用。网闸主要用于安全性要求极高的领域,例如对政府网络,工业控制系统的保护等等。显然,由于把安全性放在首位,这样就会有更加严格的安全规则和更多地限制,因此可以应用的范围也较防火墙少一些,主要用那些对安全性要求较高的环境下。相反防火墙可以应用于非常广泛的应用领域,甚至包括个人电脑都可以使用,但是它的安全性往往就差强人意。人们常常发现被防火墙防护的网络依然常常被黑客和病毒攻击。现在有很多网络攻击都是发生在有防火墙的情况下,根据美国财经杂志统计资料表明,30%的入侵发生在有防火墙的情况下。由于这种设计理念的区别,因此可以有软件防火墙,但是却不会有软件网闸。
设计理念的不同也导致系统的整体设计也完全不同。硬件防火墙虽然可以有多种设计方式,但是一般来说,它都是单一的计算机系统由一个操作系统来控制构的,用户的内网和外网都连接在这同一个系统上。然而安全隔离网闸却完全不同,它自少由三部分组成,内网处理单元,外网处理单元和一个隔离岛。一般来说,内外网处理单元是两个完全独立计算机的系统构,拥有各自独立的操作系统。内网处理单元与用户的内网相连,外网处理单元与外部网络相连,内外网处理系统之间通过隔离岛进行非协议的信息交换。可以看得出来,网闸的结构较防火墙要复杂的多,显然有两个独立的系统分别连接内外网,中间再由隔离岛隔离,要比防火墙的设计要安全得多,当然设计的难度也要高得多。当然区别不仅仅如此,由于设计理念以及硬件结构的完全不同,在软件设计上也有很大的区别,很很高的难度,这里就不再细说。
无论从功能还是实现原理上讲,安全隔离网闸和防火墙是完全不同的两个产品,防火墙是保证网络层安全的边界安全工具(如通常的非军事化区),而安全隔离网闸重点是保护内部网络的安全。因此两种产品由于定位的不同,因此不能相互取代。
防火墙是网络层边界检查工具,可以设置规则对内部网络进行安全防护,而ids一般是对已知攻击行为进行检测,这两种产品的结合可以很好的保护用户的网络,但是从安全原理上来讲,无法对内部网络做更深入的安全防护。安全隔离网闸重点是保护内部网络,如果用户对内部网络的安全非常在意,那么防火墙和ids再加上安全隔离网闸将会形成一个很好的防御体系。
五、网闸在中国信息化建设中的应用
当前,国内网闸市场已经具备一定规模,进入市场成熟期。前期用户主要集中在政府、公安等对安全性要求很高的重要部门。随着网闸产品的更新换代,安全隔离网闸越来越趋向适用于包括政府、公安在内的其他行业,如:军队、银行、金融、证券、工商、航空、电力和电子商务等有高安全级别需求的网络。
就电子政务建设来说,目前,各政府行业面向全国的纵向网络建设已经基本完成,但是行业网络之间的横向数据交换由于安全缺乏保障的原因而发展滞后。网闸能够完美解决电子政务建设中不同网络之间、同一网络的不同安全域之间的数据安全交换、摆渡。使得原有各个政府部门之间相互独立的网络之间数据交换、各种跨部门跨行业的协同办公得以实现。
国内网闸技术的发展自2000年第一台网闸的诞生后,至今已有将近八年的历史,网闸产品的性能有了大规模的提升,功能也得到大规模的扩展,网闸市场出现一派繁荣景象。如代表我国的gap研发与服务水准的天行网安公司于今年新推出的“网闸家族”,其家族成员就是一系列按不同硬件性能进行划分、并针对不同的硬件平台进行软件系统优化、提供多种可选软件功能模块的网闸系列新品,用户可根据需求的不同,灵活选择软硬件组合,从而更进一步提高网闸的适用性使得各项性能均达到最优化,最大限度的发挥网闸的安全防护作用。
“网闸家族”的出现,预示着未来网闸技术将朝着更加深入应用的方向发展,以其作为核心的“综合接入平台”,更可以在多对多的网络之间实现集中统一管理的访问接入和数据交换,推动信息化建设的进一步发展。硬件实现的可信计算、深度内容检查等技术也越来越多地被融入到网闸产品当中,网闸对各种应用架构、应用系统的适应性将会得到更大程度的提高,为越来越多的应用提供强有力的安全保障。
上一页 [1] [2] [3]