日本老熟妇一二三区-麻豆视频精品一区-人妻中文字幕xx-一区二区美女少妇-日本成人一级在线

[前言]
　　隨著互聯(lián)網(wǎng)的日益普及，網(wǎng)絡(luò)安全也越來(lái)越受到人們的重視，尤其是對(duì)于企業(yè)和國(guó)家機(jī)關(guān)來(lái)講，網(wǎng)絡(luò)安全就更加的不可或缺。但是由于傳統(tǒng)的以防火墻為核心的安全體系結(jié)構(gòu)本身所固有的弱點(diǎn)以及新的黑客攻擊技術(shù)的發(fā)展，傳統(tǒng)結(jié)構(gòu)在很大程度上已經(jīng)無(wú)法滿足我們對(duì)于網(wǎng)絡(luò)安全的要求。
　　
　　本文將介紹一種新的網(wǎng)絡(luò)安全解決方案——隔離網(wǎng)關(guān)，以及凌華高速數(shù)字I/O卡PCI-7300A在其中的應(yīng)用。
　　
　　[網(wǎng)絡(luò)安全的現(xiàn)狀]
　　目前，最為流行的網(wǎng)絡(luò)安全架構(gòu)是以防火墻為核心的網(wǎng)絡(luò)安全體系架構(gòu)。但事實(shí)證明這種安全防御體系并未能有效地防止目前所頻頻發(fā)生的網(wǎng)絡(luò)攻擊。
　　
　　原因主要在于防火墻所采用的體系結(jié)構(gòu)，我們可以把目前常見(jiàn)的防火墻分為這么幾種類型：1、包過(guò)濾（Packet Filter，包括靜態(tài)包過(guò)濾和動(dòng)態(tài)包過(guò)濾）；2、電路網(wǎng)關(guān)（Circuit Level Gateway）；3、應(yīng)用網(wǎng)關(guān)（Application Level Gateway）。
　　
　　通過(guò)下面這張圖我們可以很清晰的了解到防火墻的架構(gòu)。
　　
　　

　　
　　
　　這樣我們可以對(duì)防火墻架構(gòu)得出下面的一些結(jié)論：
　　1、OSI的層號(hào)越高，防火墻所要檢測(cè)包的信息內(nèi)容就越多，安全性就越高，但同時(shí)相對(duì)的速度和效率就會(huì)越低，也就是我們必須在安全性和性能（速度、效率）上作一種平衡。
　　
　　2、依賴于TCP/IP協(xié)議，而TCP/IP本身并沒(méi)有一些控制機(jī)制來(lái)保證安全性，多數(shù)的黑客攻擊都是利用了TCP/IP本身的漏洞。
　　
　　3、防火墻的哲學(xué)是必須首先保證網(wǎng)絡(luò)的連通，這樣就必須開(kāi)放相應(yīng)的端口，如80端口、25端口等，對(duì)這些開(kāi)放端口的攻擊，防火墻不能防止。
　　
　　[新的思路：隔離]
　　現(xiàn)在，人們已經(jīng)開(kāi)始意識(shí)到防火墻在網(wǎng)絡(luò)安全方面的局限性，隔離技術(shù)開(kāi)始進(jìn)入大家的視野。目前，最主要的解決方案有兩種：物理隔離和邏輯隔離。所謂物理隔離，就是阻斷內(nèi)網(wǎng)與外網(wǎng)的直接物理連接與邏輯連接，內(nèi)網(wǎng)與外網(wǎng)不會(huì)同時(shí)連接在隔離設(shè)備上，這樣雖然提高了安全性，但也提高了成本、降低了效率和易用性。因此，對(duì)于大多數(shù)用戶而言，邏輯隔離是最為合適的安全解決方案。
　　
　　邏輯隔離保證安全的要點(diǎn)主要在于：
　　1、保證自身的高安全性，一般要求由兩套主機(jī)組成，一套控制外網(wǎng)接口，另一套控制內(nèi)網(wǎng)接口，然后在兩套主機(jī)系統(tǒng)之間通過(guò)不可路由的協(xié)議進(jìn)行數(shù)據(jù)交換，這樣，既便黑客攻破了外網(wǎng)系統(tǒng)，仍然無(wú)法控制內(nèi)網(wǎng)系統(tǒng)，就達(dá)到了更高的安全級(jí)別。
　　
　　2、確保網(wǎng)絡(luò)間是隔離的，關(guān)鍵是網(wǎng)絡(luò)包不可路由到對(duì)方網(wǎng)絡(luò)。這也是和防火墻的最關(guān)鍵區(qū)別。
　　
　　3、要保證傳遞的只是最原始的應(yīng)用層數(shù)據(jù)，也就是必須通過(guò)協(xié)議分析，將應(yīng)用層數(shù)據(jù)提取，然后再進(jìn)行數(shù)據(jù)傳輸，保證傳輸?shù)臄?shù)據(jù)不具有攻擊的特性。
　　
　　4、要在堅(jiān)持隔離的前提下保證網(wǎng)絡(luò)暢通，不能夠成為網(wǎng)絡(luò)交換的瓶頸。
　　
　　下圖簡(jiǎn)單描述了邏輯隔離網(wǎng)關(guān)的體系架構(gòu)。
　　
　　
　　
　　
　　邏輯隔離技術(shù)的最關(guān)鍵點(diǎn)是選擇合適的硬件來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)間的數(shù)據(jù)交換，這種硬件應(yīng)該能夠保證高帶寬、交換數(shù)據(jù)的可靠性高、基于其的專用協(xié)議開(kāi)發(fā)方便等特點(diǎn)。
　　
　　[PCI-7300A是邏輯隔離網(wǎng)關(guān)的理想選擇]
　　北京某網(wǎng)絡(luò)安全技術(shù)公司經(jīng)過(guò)市場(chǎng)調(diào)查，選擇了凌華的PCI-7300A開(kāi)發(fā)其隔離網(wǎng)關(guān)產(chǎn)品。PCI-7300A主要的特性有
　　 ·高速，通過(guò)總線主控DMA可提供高達(dá)80MB/s的數(shù)據(jù)吞吐率
　　 ·具有靈活的握手方式，保證在高速數(shù)據(jù)傳輸時(shí)也不會(huì)丟失數(shù)據(jù)
　　 ·提供齊全的驅(qū)動(dòng)程序及完整的API支持，DLL執(zhí)行效率高，保證系統(tǒng)實(shí)時(shí)性
　　
　　
　　
　　
　　客戶在開(kāi)發(fā)時(shí)，外網(wǎng)服務(wù)器選用Linux操作系統(tǒng)，進(jìn)一步降低因操作系統(tǒng)而引起安全性漏洞的可能性；而內(nèi)網(wǎng)服務(wù)器選擇Windows2000操作系統(tǒng)，易用性更佳。在外網(wǎng)、內(nèi)網(wǎng)服務(wù)器各安裝一片PCI-7300A板卡，在此基礎(chǔ)上自行開(kāi)發(fā)了專有安全協(xié)議和加密驗(yàn)證機(jī)制及應(yīng)用層數(shù)據(jù)提取和鑒別認(rèn)證等方面的軟件，徹底阻斷了網(wǎng)絡(luò)間的直接TCP/IP連接，同時(shí)對(duì)網(wǎng)間通信的雙方、內(nèi)容、過(guò)程施以嚴(yán)格的身份認(rèn)證、內(nèi)容過(guò)濾、安全審計(jì)等多種安全防護(hù)機(jī)制，從而保證了網(wǎng)間數(shù)據(jù)交換的安全、可控，杜絕了由于操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議自身漏洞帶來(lái)的安全風(fēng)險(xiǎn)。同時(shí)，PCI-7300A本身也提供較高的帶寬，保證了在加入隔離網(wǎng)關(guān)后整個(gè)網(wǎng)絡(luò)連接的通暢。
　　
　　[結(jié)論]
　　由于防火墻本身的缺陷，邏輯隔離網(wǎng)關(guān)將成為相當(dāng)一段時(shí)間內(nèi)網(wǎng)絡(luò)安全產(chǎn)品的新熱點(diǎn)和發(fā)展趨勢(shì)。而PCI-7300A由于其所具有的高速、握手方式通訊、開(kāi)發(fā)程序簡(jiǎn)便等特點(diǎn)，非常適合于在邏輯隔離網(wǎng)關(guān)中用作內(nèi)、外網(wǎng)服務(wù)器間的專用通訊設(shè)備。