第6章 网络安全.docx
《第6章 网络安全.docx》由会员分享,可在线阅读,更多相关《第6章 网络安全.docx(22页珍藏版)》请在冰豆网上搜索。
第6章网络安全
第6章网络安全
6.3漏洞扫描与网络隔离技术
随着计算机技术和互联网的迅速发展,来自网络的攻击每年呈几何级数增多。
这些攻击中的大多数是利用计算机操作系统或其他软件系统的漏洞(vulnerability)而实施的。
针对层出不穷的系统安全漏洞,微软等软件厂商都会定期发布漏洞报告并提供补丁,但由于用户群的数量巨大,分布很广,很多情况下不能及时对系统进行更新,使得攻击者有可乘之机。
而随着操作系统、数据库等软件系统的越来越复杂,出现漏洞的数量逐年增多,频率也比以前大大增加了。
下表是来自美国卡内基梅隆大学计算机应急响应小组(CERT/CC)的统计数字,显示了1998年以来该组织收到的计算机漏洞报告的数量。
表6-3CERT/CC历年漏洞报告数量统计
从表中可以看出,2000年以后,每年新发现的漏洞数量已经数以百计,远远高于2000年以前的情况。
而这还只是官方的统计,还有很多漏洞在民间发现后未报告给官方组织,也没有相应的安全补丁。
随着攻击技术的发展,漏洞不但数量上呈爆发式增加,而且每个漏洞被首次发现和此漏洞被成功利用形成攻击的时间间隔也越来越短,从几个月、几周缩小到几天,甚至出现了所谓“零日攻击”,即漏洞公开和攻击形成之间几乎没有以“天”计算的时间间隔。
例如,2004年3月份出现的维迪(Worm_Witty.A)病毒,利用美国ISS公司产品的安全漏洞感染破坏使用运行该公司产品的主机,该病毒是在漏洞公布的第二天就出现了,几近于“零日攻击”。
这给信息系统的安全带来了十分严峻的挑战。
本节将从漏洞介绍人手,首先介绍漏洞的概念和漏洞的分类,然后在简要描述漏洞扫描技术的基础上,对目前流行的几种商用和非商用漏洞扫描器产品给予介绍,最后介绍网络隔离技术。
6.3.1漏洞及其分类
1.漏洞的概念
漏洞,也叫脆弱点,英文叫做vulnerability,是指在计算机硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。
例如,在IntelPentium芯片中存在的逻辑错误,在Sendmail早期版本中的编程错误,在NFS协议中认证方式上的弱点,在Windows2000中的DCOM缓冲区溢出问题,在UNIX系统管理员设置匿名rtp服务时配置不当的问题等都是漏洞,它们可能被攻击者利用进而威胁到系统的安全。
2.漏洞的时间与空间特性
漏洞会在很大范围内对各种软硬件设备的安全产生影响,包括操作系统本身及其支撑软件,网络客户和服务器软件,网络路由器和安全防火墙等。
简而言之,任何软硬件设备中都可能存在漏洞,在同种设备的不同版本之间,由不同设备构成的不同系统之间,以及同种系统在不同的设置条件下,都会存在各自不同的安全漏洞问题。
漏洞问题是与时间紧密相关的。
一个系统从发布的那一天起,随着用户的深入使用,系统中存在的漏洞会被不断暴露出来,这些被逐步发现的漏洞也会由系统供应商发布的补丁所修补,或在以后发布的新版系统中得以纠正。
而在新版系统纠正了旧版本中的漏洞的同时。
也会引入一些新的漏洞和错误。
因而随着时间的推移,旧的漏洞会不断消失,新的漏洞会不断出现,漏洞问题也会长期存在。
对漏洞问题的研究必须要跟踪当前最新的计算机系统及其安全问题的发展动态,这一点同对计算机病毒发展问题的研究相似。
如果在工作中不能保持对新技术的跟踪,就没有谈论系统安全漏洞问题的发言权,即使是以前所做的工作也会逐渐失去价值。
3.漏洞的分类
漏洞的分类方法很多,也没有统一的标准。
事实上各种分类方式都是为了采取措施的方便,按照所能够采用的措施来分别对付各类漏洞。
传统上习惯于按照形成漏洞的原因来分类,但有时候也是很难明确界定的,因为对漏洞研究的不同抽象层次,会对同一个漏洞做出不同的分类。
因而,事实上至今也不存在完美分类方案。
下面按照漏洞的形成原因,粗略划分了几个类别。
(1)输入验证错误
大多数的缓冲区溢出漏洞和脚本注入、SQL注入类漏洞都是由于未对用户提供的输入数据的合法性做适当的检查而导致的。
这类漏洞在目前来看是攻击者最感兴趣的,许多恶意代码程序就是利用了此类漏洞达成攻击目的。
(2)访问验证错误
漏洞的产生是由于程序代码的某些部分存在可利用的逻辑错误,使绕过访问控制成为可能。
分析下面的伪代码:
Switch(职位)
{
case“员工”:
Employee();
break;
case“部门经理”:
Manager();
case“总经理”:
JeneralManager();
break;
}
在“部门经理”的分支中,由于漏掉了中断语句“break”,使得只有总经理才能执行的JeneralManager函数得以执行,这就为攻击者提供了一个机会,使得以低级别职员的身份就可以执行只有高级别职员才能执行的操作。
这就是—个典型的访问验证类逻辑错误。
(3)同步问题
这类漏洞源于程序处理各种系统对象时在同步方面存在问题,处理的过程中可能存在一个时机,使攻击者能够施加外来的影响。
例如,早期的Solaris系统的查看进程状态的命令ps就存在这种类型的漏洞。
“ps”在执行的时候会在/tmp产生一个临时文件,然后把使用修改文件所有者的“chown”命令改为root。
这样,就导致了非root用户可以产生root拥有的文件。
有经验的攻击者可以以这个文件为突破口获得root权限。
(4)异常处理的疏漏
这类漏洞的产生在于程序在它的实现逻辑中没有考虑到一些意外情况。
例如,基于数据库的Web程序当出现数据库错误时,将错误信息返回客户端并显示在页面上,这样会给攻击者提供一些信息,使其可以找到入侵系统的办法。
(5)配置错误
这类漏洞是由于系统和应用的配置有误。
例如,软件安装在错误的地方、采用了不合理的配置参数、在访问权限的控制上不够严格或者系统的安全策略存在问题。
(6)由系统环境引发的问题
一些系统的环境变量发生变化时,可能会给攻击者提供可乘之机。
例如,攻击者可能通过重置shell的内部分界符IFS,shell的转义字符,或其他环境变量,导致有问题的特权程序去执行攻击者指定的程序。
RedHatLinux的dump程序漏洞就是这种类型。
(7)其他错误
不属于以上类型的其他漏洞。
6.3.2网络扫描技术
我们一般所说的网络漏洞扫描,实际上是对网络安全扫描技术的一个俗称。
事实上安全扫描技术分为两类:
(1)主机安全扫描技术。
主机安全扫描技术的原理很简单,就是采用各种攻击脚本对主机操作系统、应用程序和各种服务进行模拟攻击探测,以发现不当配置和已知漏洞。
主机安全扫描技术一般是在主机上本地进行的,大部分情况下需要有主机的管理员权限。
(2)网络安全扫描技术。
网络安全扫描技术则是一种基于网络的扫描,通过网络远程检测目标网络或主机的安全性脆弱点。
通过网络安全扫描,能够发现网络中各设备的TCP/IP端口的分配使用情况、开放服务的情况、操作系统软件版本等,最终可以综合得到这些设备及软件在网络上呈现出的安全漏洞。
网络安全扫描技术利用一系列的脚本对网络发起模拟攻击,分析结果并判断网络是否有可能被攻击崩溃。
下面内容将着重介绍网络安全扫描技术。
1.网络安全扫描的功能
网络安全扫描不仅仅能够扫描并检测是否存在已知漏洞,还可以发现一些可疑情况和不当配置,如不明端口、弱口令等。
网络安全扫描技术与防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。
通过对网络的扫描,可以了解网络的配置是否得当以及正在运行的应用程序和服务是否安全。
如果说防火墙和网络监控系统是被动的防御手段,那么网络安全扫描就是一种主动的防范措施,可以在遭受攻击之前就发现可能遭受的攻击,从而采取措施。
网络安全扫描技术提供的信息可以用在多种场合。
例如,网络管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置,在黑客攻击前进行防范;而系统安全评估组织则可以根据扫描的结论判断当前网络的安全态势,从而为评定系统的安全等级提供重要依据。
2.网络安全扫描的原理
一次完整的网络安全扫描分为三个阶段:
第一阶段:
发现目标主机或网络。
这一阶段的主要技术是ping探测,通过发送ICMP报文帮助识别系统是否处于活动状态。
第二阶段:
发现目标后进一步搜集目标信息,包括操作系统类型、开放的端口、运行的服务以及服务软件的版本等。
如果目标是一个网络,还可以进一步发现该网络的拓扑结构、路由设备以及各主机的信息。
这其中涉及到操作系统识别技术、TCP/IP栈指纹技术等。
第三阶段:
根据搜集到的信息判断或者进一步测试系统是否存在安全漏洞。
网络安全扫描主要用到的技术手段是端口扫描技术和漏洞扫描技术。
端口扫描技术和漏洞扫描技术是网络安全扫描技术中的两种核心技术,且在当前较成熟的网络扫描器中被广泛应用。
(1)端口扫描技术及其原理
一个端口就是一个潜在的通信通道,也是一个潜在的人侵通道。
对目标计算机进行端口扫描,能得到许多有用的信息,它使系统用户了解系统目前向外界提供了哪些服务,从而为系统用户管理网络提供了一种手段。
端口扫描的原理很容易理解,就是向目标设备的TCP/IP服务端口发送探测数据包,并记录目标设备的响应。
通过分析响应来判断端口是打开还是关闭,也可以综合分析主机的响应报文,得知端口提供的服务或信息。
端口扫描的经典方法是TCP全连接扫描,其他的方法还有TCP半连接扫描、代理扫描、FTP跳跃扫描、TCP反转标识扫描和秘密(Steahh)扫描等。
本书以前二者为例介绍端口扫描的一般原理,对于更为复杂的扫描方法感兴趣的读者可以自行查阅相关文献。
全连接扫描。
全连接扫描是TCP端口扫描的基础,现有的全连接扫描有TCPconnect扫描和TCP反向ident扫描等。
其中TCPconnect扫描的实现原理如下所述:
扫描主机通过。
TCP/IP协议的三次握手与目标设备的指定端口建立一次完整的连接。
连接由执行扫描的主机调用connect开始,如果被扫描端口开放,则连接将建立成功;否则,若返回-l则表示该端口关闭。
建立连接成功时,目标设备回应一个SYN/ACK数据包,这一响应表明目标设备的目标端口处于监听(打开)状态;建立连接失败时,目标设备会向扫描主机发送RST的响应,表明该目标端口处于关闭状态。
半连接(SYN)扫描。
若端口扫描没有完成一个完整的TCP连接,在扫描主机和目标设备的指定端口建立连接时只完成了前两次握手,在第三步时扫描主机中断了本次连接,使连接没有完全建立起来,这样的端口扫描称为半连接扫描,也称为间接扫描。
现有的半连接扫描有TCPSYN扫描和IPID头dumb扫描等。
SYN扫描的优点在于,即使目标设备日志中对扫描有所记录,也会比全扫描少得多。
缺点是在大部分操作系统下,扫描主机需要构造适用于这种扫描的IP包。
通常情况下,构造SYN数据包需要超级用户或者授权用户访问专门的系统调用。
(2)漏洞扫描技术及其原理
漏洞扫描主要通过以下两种方法来检查目标设备是否存在漏洞:
漏洞库匹配方法。
端口扫描后可以知道目标设备开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在。
基于网络系统漏洞库,.漏洞扫描大体包括CGI漏洞扫描、POP3漏洞扫描、FTP漏洞扫描、SSH漏洞扫描、HTTP漏洞扫描等。
这些漏洞扫描是基于网络系统漏洞库,将扫描结果与网络系统漏洞库相关数据匹配比较得到漏洞信息。
漏洞库匹配方法的关键部分就是它所使用的漏洞库。
通过采用基于规则的匹配技术,即根据安全专家对网络系统安全漏洞、黑客攻击案例的分析和系统管理员对网络系统安全配置的实际经验,可以形成一套标准的网络系统漏洞库,然后在此基础之上构成相应的匹配规则,由扫描程序自动地进行漏洞扫描的工作。
漏洞库信息的完整性和有效性决定了漏洞扫描系统的性能,漏洞库的修订和更新的性能也会影响漏洞扫描系统运行的时间。
因此,漏洞库的编制不仅要对每个存在安全隐患的网络服务建立对应的漏洞库文件,而且应当能满足前面所提出的性能要求。
目前,有一些国内外的组织维护有大规模的漏洞库,这些漏洞库有专人维护,一旦有新的漏洞出现,就会立即更新漏洞库,保证漏洞库数据的全面和有效。
比较著名的漏洞库有美国的国家漏洞数据库(NationalVulnerabilityDatabase)、CVE(CommonVulnerabilitiesandExposures)漏洞库、我国的国家计算机网络应急技术处理协调中心漏洞库等。
插件技术(功能模块技术)。
对于没有相应漏洞库的各种扫描,如Unicode遍历目录漏洞探测、FTP弱势密码探测、OPENRelay邮件转发漏洞探测等,这些扫描通过使用插件技术(功能模块技术)进行模拟攻击,测试出目标主机的漏洞信息。
插件是由脚本语言编写的子程序,扫描程序可以通过调用它来执行漏洞扫描,检测出系统中存在的一个或多个漏洞。
添加新的插件就可以使漏洞扫描软件增加新的功能,扫描出更多的漏洞。
插件编写规范化后,甚至用户自己都可以用ped、c或自行设计的脚本语言编写的插件来扩充漏洞扫描软件的功能。
这种技术使漏洞扫描软件的升级维护变得相对简单,而专用脚本语言的使用也简化了编写新插件的编程工作,使漏洞扫描软件具有很强的扩展性。
6.3.3漏洞扫描器介绍
针对层出不穷的网络漏洞,任何系统管理员都不可能依靠人工排查的方法去逐一检查信息系统是否存在漏洞。
与病毒防范一样,由于漏洞的数量非常庞大,涉及的范围也非常广,检查系统漏洞的工作量已经远远超出了人工操作的处理能力。
在这种情况下,使用自动化的工具对系统进行扫描,发现漏洞并采取措施,是必然的趋势。
目前,在安全领域已经出现了许多安全漏洞扫描器,能够协助系统管理员检查网络中各种设备的漏洞,并为修复漏洞提供指导。
1.漏洞扫描器的种类
对漏洞扫描器分类也是非常困难的。
事实上,如果只能对某一小类漏洞进行扫描,那这个扫描器将不具备实用价值。
目前,实用的漏洞扫描器产品一般会尽量照顾到各种类型的系统漏洞,发现它们并给出报告。
根据前述的安全扫描技术分类,现在流行的漏洞扫描工具,根据其使用场合一般分为两大类:
基于网络的漏洞扫描器和基于主机的漏洞扫描器。
(1)基于网络的漏洞扫描器
基于网络的漏洞扫描器,就是通过网络来扫描远程计算机中的漏洞。
比如,利用低版本的DNSBind漏洞,攻击者能够获取root权限侵入系统或者攻击者能够在远程计算机中执行恶意代码。
使用基于网络的漏洞扫描工具,能够监测到这些低版本的DNSBind是否在运行。
一般来说,可以将基于网络的漏洞扫描工具看做一种漏洞信息收集工具,它根据漏洞的不同特性,构造网络数据包,发给网络中的一个或多个目标服务器,以判断某个特定的漏洞是否存在。
基于网络的漏洞扫描器包含网络映射(NetworkMapping)和端口扫描功能,一般由以下几个部分组成:
漏洞数据库模块。
漏洞数据库包含了各种操作系统的各种漏洞信息,以及如何检测漏洞的指令。
由于新的漏洞会不断出现,该数据库需要经常更新,以便能够检测到新发现的漏洞。
用户配置控制台模块。
用户配置控制台提供了与安全管理员进行交互的接口,用来设置要扫描的目标设备,以及扫描哪些漏洞。
扫描引擎模块。
扫描引擎是扫描器的主要部件。
根据用户配置控制台中的相关设置,扫描引擎组装好相应的数据包,发送到目标设备,将接收到的目标设备的应答数据包,与漏洞数据库中的漏洞特征进行比较,来判断所选择的漏洞是否存在。
当前活动的扫描知识库模块。
通过查看扫描主机内存中的配置信息,该模块监控当前活动的扫描,将待扫描的漏洞的相关信息提供给扫描引擎,同时,还接收扫描引擎返回的扫描结果。
结果存储器和报告生成工具。
报告生成工具利用当前活动扫描知识库中存储的扫描结果,生成扫描报告。
扫描报告将告诉用户配置控制台设置了哪些选项,根据这些设置,扫描结束后,在哪些目标设备上发现了哪些漏洞。
(2)基于主机的漏洞扫描器
基于主机的漏洞扫描器扫描目标设备漏洞的原理与基于网络的漏洞扫描器的原理类似,但是,两者的体系结构不一样。
基于主机的漏洞扫描器通常在目标设备上安装了一个代理(Agent)或者是服务(Services),以便能够访问所有的文件与进程,这也使得基于主机的漏洞扫描器能够扫描更多的漏洞。
为了能够扫描这些文件和进程,基于主机的漏洞扫描器必须有所在主机的管理员权限,这也与基于网络的漏洞扫描器不同。
主机型漏洞扫描器一般采用客户机/服务器架构,最主要是针对操作系统内部问题做深人扫描,它可以弥补网络型漏洞扫描器只能从外面通过网络检查系统安全的不足。
主机型漏洞扫描器一般具有如下功能:
重要资料锁定。
利用安全的校验和机制来监控重要的主机资料或程序的完整性。
弱口令检查。
采用结合系统信息、字典和词汇组合等的规则来检查弱口令。
系统日志和文本文件分析。
针对系统日志档案,如UNIX的syslogs及NT的事件日志(EyentLog),以及其他文本文件的内容做分析。
动态告警。
当遇到违反扫描策略或发现已知安全漏洞时,提供及时的告警。
告警可以采取多种方式,可以是声音、弹出窗口、电子邮件甚至手机短信等。
分析报告。
产生分析报告,并告诉管理员如何弥补漏洞。
漏洞库更新。
主机型漏洞总是不断地出现,厂商的漏洞报告甚至都跟不上其出现的速度。
这种情况下,主机型漏洞扫描器必须有漏洞库更新的功能,以便能够反应最新的已知漏洞情况,而且更新应该是自动进行的。
2.两类漏洞扫描器的对比
基于网络的漏洞扫描器有如下优点:
(1)价格方面。
基于网络的漏洞扫描器的价格相对来说比较便宜,甚至有许多此类扫描器都是可以免费下载到的。
(2)基于网络的漏洞扫描器在操作过程中,不需要涉及到目标设备的管理员,并且在检测过程中不需要在目标设备上安装任何东西。
(3)维护简便。
当网络部署发生变化时,只要扫描器所在的网络节点仍然能够扫描到网络中的全部目标设备,基于网络的漏洞扫描器就不需要进行调整。
基于网络的漏洞扫描器的不足之处:
基于网络的漏洞扫描器不能直接访问目标设备的文件系统,不能检测相关的一些漏洞。
比如,一些用户程序的数据库在连接的时候,要求提供Windows2000操作系统的密码,这种情况下,基于网络的漏洞扫描器就不能对其进行弱口令检测了。
另外,UNIX系统中有些程序带有SetUID和SetGID功能,这种情况下,涉及到UNIX系统文件的权限许可问题也无法检测。
基于网络的漏洞扫描器不易穿过防火墙。
只要防火墙不开放相关端口,扫描就不能进行。
基于主机的漏洞扫描器有如下优点:
(1)扫描的漏洞数量多。
由于通常在目标设备上安装了一个代理(Agent)或者是服务(Services),因而能够访问所有的文件与进程,这也使得基于主机的漏洞扫描器能够扫描更多的漏洞。
(2)集中化管理。
基于主机的漏洞扫描器通常都会配置一个集中服务器作为扫描服务器,所有扫描的指令均从服务器进行控制,这一点与基于网络的漏洞扫描器类似。
服务器下载到最新的代理程序后,再分发给各个代理。
这种集中化管理模式,使得基于主机的漏洞扫描器的部署能够快速实现。
(3)网络流量负载小。
由于扫描服务器与主机代理之间只有通讯的数据包,漏洞扫描部分都有主机代理单独完成,这就大大减少了网络的流量负载。
基于主机的漏洞扫描器的不足之处:
(1)价格方面。
基于主机的漏洞扫描器的价格,通常由一个扫描服务器的许可证价格加上目标设备的数量来决定,当一个网络中的目标主机较多时,扫描工具的价格就非常高。
通常只有实力强大的公司和政府部门才有能力购买这种漏洞扫描工具。
(2)基于主机的漏洞扫描工具,需要在目标主机上安装一个代理或服务,而从管理员的角度来说,并不希望在重要的机器上安装自己不确定的软件。
(3)随着扫描网络范围的扩大,部署基于主机的漏洞扫描工具的代理软件时,需要与每个目标设备的用户打交道,必然延长了首次部署的工作周期。
在检测目标设备中是否存在漏洞方面,基于网络的漏洞扫描工具和基于主机的漏洞扫描工具都是非常有用的。
事实上,在二者之间也不存在泾渭分明的界限,有些功能较为强大的网络扫描器产品,已经兼有基于网络和基于主机两种扫描器的特点。
但有一点要强调,任何扫描器都必须要保持漏洞数据库的更新,才能保证漏洞扫描工具能够真正发挥作用,尤其对于主机型漏洞扫描器。
另外,漏洞扫描工具只是检测当时目标设备是否存在漏洞,当目标设备的配置、运行的软件发生变换时,需要重新进行评估。
基于网络的漏洞扫描工具和基于主机的漏洞扫描工具各自具有自己的特点,也都有不足之处。
安全管理员在选择扫描工具时,可以根据实际需要选择最适合的产品。
6.3.4网络隔离技术
随着互联网上病毒泛滥、计算机犯罪等威胁日益严重,在政府、军队、企业等领域,由于核心部门的信息安全关系着国家安全、社会稳定,因此,迫切需要高可靠性的安全技术对网络加以防护。
网络隔离技术就是在这种情况下诞生的。
网络隔离技术的目标是确保把有害的攻击隔离在可信网络之外,并在保证可信网络内部信息不外泄的前提下,完成可信网与外部网络的网间数据安全交换。
从广义上讲,网络隔离可以采用逻辑隔离和物理隔离两种方式。
在逻辑隔离中,被隔离的两个网络在物理上还是连通的,位于隔离边界的设备工作在OSI七层模型的第二层(数据链路层)以上,通过设置各种规则来限制双方的通信。
对于不符合规则的通信数据,则不予转发。
防火墙就是一种典型的逻辑隔离设备。
而物理隔离则是在任何时刻,通信双方之间都不存在物理连接,数据交换是通过隔离设备代为“转交”的。
传统上的逻辑隔离产品多被称为“××防火墙”或“××网关”,而名为“网络隔离设备”的产品,如网闸,一般采用的都是物理隔离技术。
因而,在狭义上将网络隔离技术限定在物理隔离的范畴。
本节下面所讲的网络隔离,如未注明,则特指物理隔离。
1.网络隔离技术的原理
网络隔离,英文名为NetworkIsolation,主要是指把两个或两个以上的网络通过物理设备隔离开来,使得在任何时刻、任何两个网络之间都不会存在物理连接。
网络隔离的关键在于系统对通信数据的控制,即通过隔离设备在网络之间不存在物理连接的前提下,完成网间的数据交换。
由于物理连接不存在,所以双方的数据交换不是直接的,而是要通过第三方“转交”。
很明显,这样将会大大降低数据交换的速度。
因此,隔离的关键点就是要尽量提高网间数据交换的速度,并且对应用能够透明支持。
2.网络隔离技术的发展阶段
根据比较公认的说法,网络隔离技术发展至今经历了五个阶段:
第一代隔离技术:
完全的物理隔离。
此方法使得网络处于信息孤岛状态,做到了完全的物理隔离,但是需要至少两套独立网络和系统,一套专门用于敏感的内部网络,一套用于外部网络。
物理隔离能够获得比采用防火墙等产品进行逻辑隔离更好的安全性,但是会造成信息交流不便,网络维护成本提高。
第二代隔离技术:
硬件卡隔离。
此方法是利用一个专用的硬件卡,实现两个网络的隔离。
在隔离边界的主机上增加一块硬件卡,边界主机的硬盘或其他存储设备首先连接到该卡,然后再转接到主板上。
通过该卡能控制客户端硬盘或其他存储设备。
在选择不同的硬盘时,同时选择了该卡上不同的网络接口连接到不同的网络。
但是,这种隔离产品有的仍然需要网络布线为双网线结构,所以产品存在着较大的安全隐患。
第三代隔离技术:
数据转播隔离。
利用转播系统分时复制文件的途径来实现隔离,即隔离设备首先与一端连通,将流人的数据复制并缓存,然后切断该端连通另一端,将数据发送出去。
这种切换常常耗时较久,甚至需要手工完成,不仅明显地减缓了访问速度,更不支持常见的网络应用,从而失去了网络存在的意义。
第四代隔离技术:
空气开关隔离。
此方法通过使用单刀双掷开关,使得内外部网络分时访问临时缓存器来完成数据交换。
这与第三代隔离技术没有本质不同,即在某一时刻只有一端能够访问共享的临时缓存
升级会员 