¿Cuántas estrategias o métodos de intercambio de datos existen? , ¿cuáles son las diferencias?
1. Firewall
El firewall es el medio más utilizado para aislar la red, principalmente a través del control de enrutamiento de la red, es decir, la tecnología de lista de control de acceso (ACL). En la tecnología de conmutación de paquetes, los paquetes de datos llegan a su destino a través del enrutamiento y la conmutación, por lo que si controlas el enrutamiento, puedes controlar las líneas de comunicación y el flujo de los paquetes de datos. Los primeros controles de seguridad de la red eran básicamente firewalls. Los fabricantes nacionales con mayor influencia incluyen Tianrongxin, Venustech, Lenovo Networks, etc.
Sin embargo, los firewalls tienen un defecto muy importante: solo pueden controlar la red debajo de la cuarta capa y no tienen forma de lidiar con virus y gusanos en la capa de aplicación. Es aceptable para un aislamiento básico por requisitos de seguridad, pero es insuficiente para un aislamiento profundo de la red.
Vale la pena mencionar que la tecnología NAT en el firewall puede ocultar la dirección IP de la intranet mediante la traducción de direcciones. Mucha gente la considera como una especie de protección de seguridad y piensa que es lo suficientemente segura sin enrutamiento. La traducción de direcciones es en realidad un tipo de tecnología de servidor proxy. No permitir que el acceso empresarial pase directamente es un paso adelante en la seguridad. Sin embargo, la tecnología de derivación de NAT en la capa de aplicación es muy común en la actualidad y ocultar direcciones es solo relativo. En la actualidad, muchas tecnologías de ataque están dirigidas a los firewalls. En particular, los firewalls no tienen control sobre la capa de aplicación, lo que facilita la entrada de troyanos que ingresan a la intranet, ven la dirección de la intranet y la informan directamente a los atacantes en la red externa. El papel de seguridad de NAT No es mucho.
2. Múltiples puertas de enlace de seguridad (también llamadas firewalls de nueva generación)
El firewall es un punto de control erigido en el "puente" y solo puede realizar una inspección tipo "pasaporte". El método de puerta de enlace de seguridad es establecer múltiples puntos de control, incluidos inspectores y inspectores de equipaje. Múltiples gateways de seguridad también tienen un nombre unificado: UTM (Unified Threat Management). Si está diseñado como un dispositivo o como dispositivos múltiples solo depende de las capacidades de procesamiento del dispositivo en sí. Es importante realizar una inspección exhaustiva desde la capa de red hasta la capa de aplicación. Hay muchos fabricantes nacionales que han lanzado UTM, como Tianrongxin, Venuschen, etc.
La inspección de múltiples gateways de seguridad se divide en varios niveles:
FW: ACL en la capa de red
IPS: Comportamiento anti-intrusión
AV: Intrusión antivirus
Funciones ampliables: autoprevención de ataques DOS, filtrado de contenidos, modelado del tráfico...
Los cortafuegos y las múltiples puertas de enlace de seguridad actúan como "puentes" "Estrategias, principalmente utilizando El método de control de seguridad no cambia el protocolo de la aplicación, por lo que la velocidad es rápida, el tráfico es grande y puede pasar el negocio del "automóvil". Desde la perspectiva de las aplicaciones del cliente, no hay diferencia.
3. Gatekeeper
El diseño del gatekeeper es "agente + ferry". En lugar de construir un puente sobre el río, puedes instalar un ferry. El ferry no conecta directamente los dos lados. La seguridad es, por supuesto, mejor que la del puente. para entrar de una vez. En el barco, siempre estarás sujeto a varios controles por parte del administrador. Además, la función del guardián es un proxy. Este proxy no es solo un proxy de protocolo, sino un "desmontaje" de datos, que restaura los datos a su apariencia original y elimina los "encabezados y colas" agregados por varios protocolos de comunicación. Muchos ataques se llevan a cabo mediante el desmontaje y montaje de datos para ocultar los propios. Sin estas "capas de comunicación", sería difícil para los atacantes ocultarse.
El concepto de seguridad del guardián es:
Aislamiento de red---"Usa un barco para cruzar el río sin puente": utiliza el "método del ferry" para aislar la red
Aislamiento de protocolo --- "Está prohibido el transporte de contenedores": se implementan protocolos de comunicación, se utilizan protocolos especiales o métodos de almacenamiento para bloquear la conexión de los protocolos de comunicación y se utilizan métodos proxy para admitir servicios de capa superior.
De acuerdo con los requisitos de seguridad nacional, es necesario involucrar a Cuando una red confidencial está interconectada con una red no confidencial, se debe utilizar un guardián para el aislamiento si la red no confidencial está conectada a Internet. , se debe utilizar un controlador de acceso unidireccional. Si la red no confidencial no está conectada a Internet, se debe utilizar un controlador de acceso bidireccional.
4. Red de conmutación
El modelo de red de conmutación se deriva del modelo de Clark-Wilson del sistema bancario, que protege principalmente la integridad de los datos a través de las ideas del agente comercial. y doble auditoría. Una red de conmutación establece un área de intercambio de datos entre dos redes aisladas y es responsable del intercambio de datos comerciales (unidireccional o bidireccional). Se pueden utilizar múltiples puertas de enlace o guardianes en ambos extremos de la red de conmutación. Las tecnologías de seguridad, como la supervisión y la auditoría, se utilizan dentro de la red de conmutación para formar un sistema de protección de seguridad de red de conmutación tridimensional en su conjunto.
El núcleo de la red de conmutación es también el agente comercial. Los servicios al cliente deben pasar por el agente de aplicación en el búfer de acceso y llegar al agente comercial en el búfer comercial antes de ingresar a la red de producción.
Tanto las tecnologías de control de acceso como de red de conmutación adoptan la estrategia de ferry para ampliar el "kilometraje" de la comunicación de datos y aumentar las medidas de seguridad.
3. Comparación de tecnologías de intercambio de datos
Diferentes redes empresariales eligen diferentes tecnologías de intercambio de datos según sus propios requisitos de seguridad, principalmente en función de la cantidad de intercambio de datos y los requisitos en tiempo real. , requisitos del modo de servicio empresarial.