网络安全及防护措施ppt课件

.,1,网络安全及防护措施,湖北托普,.,2,概要,一、安全隐患及安全认识分析二、网络安全体系结构三、网络安全整体防护思路,.,3,一、安全隐患及安全认识分析,.,4,网络安全事件,1998/9扬州郝氏兄弟工行窃款案例北京机场票务系统瘫痪深交所证券交易系统瘫痪二滩电厂网络安全事故大量的网站被黑、被攻击网上信用卡密码被盗，钱被划走,.,5,网络,病毒,后门,信息外泄,信息丢失、篡改,资源占用,拒绝服务,黑客攻击,木马,逻辑炸弹,安全威胁种类分析图,.,6,常见的攻击方式介绍,.,7,了解攻击的作用,网络管理员对攻击行为的了解和认识，有助于提高危险性认识在遭遇到攻击行为时能够及时的发现和应对了解攻击的手段才能更好的防范,.,8,攻击带来的后果,系统被侵占，并被当作跳板进行下一步攻击文件，重要资料遭到破坏系统濒临崩溃，无法正常运行网络涌堵，正常通信无法进行重要信息资料被窃取，机密资料泄漏，造成重大经济损失,.,9,常规攻击行为的步骤,预攻击信息探测，使用扫描器获取目标信息，这些信息可以为：主机或设备上打开的服务，端口，服务程序的版本，系统的版本，弱密码帐号等实施攻击，手法有很多，要视收集的信息来决定利用的手法如：缓冲区溢出，密码强打，字符串解码，DoS攻击等留下后门或者木马，以便再次利用清除攻击留下的痕迹包括痕迹记录，审计日志等,.,10,逻辑炸弹是一段潜伏的程序，它以某种逻辑状态为触发条件，可以用来释放病毒和蠕虫或完成其他攻击性功能，如破坏数据和烧毁芯片。它平时不起作用，只有当系统状态满足触发条件时才被激活。,逻辑炸弹,.,11,邮件炸弹,概念：发送大容量的垃圾邮件如：KaBoomTo、From、Server拒收垃圾邮件、设置寄信地址黑名单（MailGuard),.,12,OICQ攻击,OICQ本地密码使用简单的加密方式OICQ使用明文传输黑客可监听信息内容,.,13,拒绝服务攻击,DenialofService-Dos向目标主机发送大量数据包，导致主机不能响应正常请求，导致瘫痪在目标主机上放了木马，重启主机，引导木马为完成IP欺诈，让被冒充的主机瘫痪在正式进攻之前，要使目标主机的日志记录系统无法正常工作,.,14,拒绝服务攻击的种类,LandPingofDeathSYNfloodDos/DDdos,.,15,LandAttack,在Land攻击中，黑客利用一个特别打造的SYN包-它的原地址和目标地址都被设置成某一个服务器地址进行攻击。此举将导致接受服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时，在Land攻击下，许多UNIX将崩溃，NT变得极其缓慢（大约持续五分钟）。,.,16,Pingofdeath,ICMP(InternetControlMessageProtocol，Internet控制信息协议)在Internet上用于错误处理和传递控制信息。它的功能之一是与主机联系，通过发送一个“回音请求”（echorequest）信息包看看主机是否“活着”。最普通的ping程序就是这个功能。而在TCP/IP的RFC文档中对包的最大尺寸都有严格限制规定，许多操作系统的TCP/IP协议栈都规定ICMP包大小为64KB，且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区。,.,17,Pingofdeath,Pingofdeath就是故意产生畸形的测试Ping包，声称自己的尺寸超过ICMP上限，也就是加载的尺寸超过64KB上限，使未采取保护措施的网络系统出现内存分配错误，导致TCP/IP协议栈崩溃，最终接收方宕机。,.,18,SYNFlooding攻击,SYNFlooding三段握手内核处理,.,19,攻击者利用因特网上成百上千的“Zombie”(僵尸)-即被利用主机，对攻击目标发动威力巨大的拒绝服务攻击。,DenialofService(DoS)拒绝服务攻击,DistributedDenialofService(DDoS)分布式拒绝服务攻击,攻击者利用大量的数据包“淹没”目标主机，耗尽可用资源乃至系统崩溃，而无法对合法用户作出响应。,什么是DoS/DdoS攻击,.,20,DdoS攻击过程,主控主机,合法用户,扫描程序,黑客,Internet,非安全主机,被控主机,应用服务器,.,21,IP欺骗攻击,让被信任主机瘫痪联接目标主机猜测ISN基值和增加规律将源地址伪装成被信任主机，发送SYN数据段请求连接黑客等待目标机发送ACK包给已经瘫痪的主机黑客伪装成被信任主机，发送SYN数据段给目标主机建立连接,.,22,IP碎片攻击,.,23,IP碎片攻击,只有第一个分段包含了上层协议信息包过滤将丢弃第一个分段其他分段允许通过将在目的地被重组目的主机需等待重传不完全的包,最后返回一个“packetreassemblytimeexpired”信息可能被攻击者利用作为DoS攻击手段直接丢弃,.,24,DNS欺骗攻击,冒充DNSServer向域名解析请求发送错误的解析结果,.,25,利用Web进行攻击,CGI、ASPWeb的非交互性，CGI、ASP的交互性,.,26,Web欺骗攻击,创造某个网站的复制影像用户输入户名、口令用户下载信息，病毒、木马也下载,.,27,扫描器的功能简介,扫描器是网络攻击中最常用的工具，并不直接攻击目标，而是为攻击提供信息扫描器至少应有三种功能：发现一个主机或网络的能力；一旦发现，探测其存在的服务及对应的端口；通过测试这些服务，发现漏洞编写扫描器需要很多tcp/ip编程和c,perl和shell和socket编程的知识攻击利用的扫描技术必须有很快的速度和很好的隐身能力，否则会被发现,.,28,针对互连设备的攻击,网络上的大部分设备如路由器和交换机大多支持Snmp网管协议，支持snmp的设备都维护着自己接口等运行状态的信息库称为MIBS库。现行版本中网管端和设备间的通信只需经过一个叫做community值的简单验证，管理端提供readonly的community值时可以读取该设备的常规运行信息，如提供readwrite值时，这可以完全管理该设备。攻击网络互连设备的一条捷径，而且不太被注意,.,29,Snmp的安全验证机制,GET请求,ROcommunity,MIBS,常规配置信息,SET请求,RWcommunity,修改或下载所有状态信息,.,30,设备攻击的形式,INTERNET,攻击者,控制,对内部攻击,切断,跳板攻击,.,31,蠕虫是一段独立的可执行程序，它可以通过计算机网络把自身的拷贝（复制品）传给其他的计算机。蠕虫可以修改、删除别的程序，但它也可以通过疯狂的自我复制来占尽网络资源，从而使网络瘫痪。,蠕虫,.,32,蠕虫攻击技术,蠕虫技术是病毒和黑客攻击手法的结合，包含两者的技术，这种攻击造成的后果比单一的黑客攻击和病毒传染要大的多攻击的第一步是扫描，找出符合攻击漏洞的主机，这其中包括端口扫描和脆弱性扫描,.,33,蠕虫攻击技术,实施攻击，现在的手法大多是缓冲区溢出和系统自身的解码漏洞如Codered的.ida/idq溢出和Lion的wu-ftpd缓冲区溢出成功后在目标主机上自我复制攻击程序，感染文件，疯狂调用进程。与发起者脱离关系直接成为下一次攻击发起者，换个网段继续扫描，攻击，以此类推，这种扩散是最大的,.,34,Codered蠕虫攻击原理,攻击发起者,.ida漏洞服务器,扫描和攻击,.ida漏洞服务器,.ida漏洞服务器,.ida漏洞服务器,.ida漏洞服务器,.ida漏洞服务器,地址段A,地址段B,地址段C,地址段D,.,35,特洛伊木马,概念：古希腊人同特洛伊人的战争非法驻留在目标计算机里的执行事先约定操作的程序危害：复制、更改、删除文件，查获密码、口令，并发送到指定的信箱，监视被控计算机。BO、国产木马冰河查看注册表：有无陌生项,.,36,木马技术,攻击者在成功侵占系统后往往会留下能够以特殊端口监听用户请求并且能够绕过系统身份验证的进程。改进程在系统中运行具有隐秘性质，管理员用常规的系统监视工具不容易发现攻击者利用该进程可以方便的再次进入系统而不用身份验证；攻击者可以利用这个后门向新的目标发起攻击通常控制端和木马植入端的通信是加密处理的，很难发现,.,37,常见的木马工具,NetbusBo2kSubsevenDoly冰河,.,38,Unix后门技术,管理员通过改变所有密码类似的方法来提高安全性，仍然能再次侵入大多数后门能躲过日志，大多数情况下，即使入侵者正在使用系统也无法显示他在线的情况和记录后门往往被反复利用来攻击该主机，发现主机的变化，除掉新装上的监控系统后门攻击对unix有很大的危害性,.,39,密码破解后门,入侵者通过一个弱密码和默认密码帐号进行弱点攻击取得了系统的控制权取得shadow文件和passwd文件，其中passwd文件的加密机制较弱，但对shadow文件的破解技术也在发展攻击者取得文件后crack密码文件，扩大战果，造成主机系统的众多用户口令丢失优点是管理员很难确定到底那个帐号被窃取了,.,40,Rhosts+后门,联网的unix主机，像rsh和rlogin这样的服务是基于rhosts文件里的主机名的简单验证攻击者只需向可访问的某用户的主目录的rhosts文件中输入“+”表示所有的主机均可以利用该帐号就可以无需口令进入该帐号Home目录通过NFS向外共享时，如权限设置有误，更容易成为攻击的对象攻击者更喜欢使用rsh这样的工具，因为这种连接缺少日志记录能力，不易被发现,.,41,Suid和sgid进程后门,Uid是unix中的用户标志，标志用户的身份和权限，suid进程则表示该进程归该用户所有，具有该用户的身份权限攻击者通常通过溢出和其他的手法取得root权限，然后使用root身份属主一个文件如chownroot.root/bin/ls;suid这个文件如chmod4755/bin/ls;然后将其移到一个不起眼的位置，这样任何一个普通用户登陆导系统后只要执行该/bin/ls就可提升到root身份优点：suid进程在系统中有很多，但并不都属于root身份，很多是正常进程，难以查找即便使用find/-perm4700-print,.,42,Login后门,Unix中，login程序通，常对telnet的用户进行验证，入侵者在取得最高权限后获取login.c的源代码修改，让它在比较口令与存储口令时先检查后门口令，这样攻击者可以登录系统不需系统的验证由于后门口令是在用户真实登陆之前进行的，所以不会被记录到utmp和wtmp日志的，所以攻击者可以获得shell而不暴露为了防止管理员使用strings查找login文件的文本信息，新的手法会将后门口令部分加密缺点是如果管理员使用MD5校验的话，会被发现,.,43,Telnetd后门,用户telnet到系统，监听端口的inetd服务接受联接，随后传给in.telnetd,由他调用login进程，在in.telnetd中也有对用户的验证信息如登陆终端有Xterm,VT100等，但当终端设为“letmein”时就会产生一个不需要身份验证的shell来攻击者知道管理员会检查login程序，故会修改in.telnetd程序，将终端设为“letmein”就可以轻易的做成后门,.,44,文件系统后门,攻击者需要在已占领的主机上存储一些脚本工具，后门集，侦听日志和sniffer信息等，为了防止被发现，故修改ls,du,fsck以隐藏这些文件手法是用专用的格式在硬盘上划出一块，向系统表示为坏扇区，而攻击者会使用特定的工具访问这些文件对于系统维护工具已被修改的管理员来说，发现这些问题是很困难的,.,45,隐匿进程后门,攻击者在获得最高权限后，将自己编写监听程序加载到系统中以一个很不起眼的高位端口监听攻击者修改自己的argv（）使他看起来像其他的进程名攻击者修改系统的ps进程，使他不能显示所有的进程；攻击者将后门程序嵌入中断驱动程序使他不会在进程表中显现一个出名的例子：amod.tar.gz,.,46,文件系统，进程后门,源ls,源ps,修改,修改,显示文件,显示进程,后门工具,后门进程,返回不存在,返回不存在,.,47,内核后门,内核后门是最新的技术，和以往的后门都有所不同，他的修改和隐匿都体现在底层函数上面攻击者直接修改系统调用列表sys_call_table将正常进程的函数调用接口转向为攻击者插入的内核模块接口，而不改变该进程，这样用户执行的命令调用如ls,du,ps等的最终调用结果是攻击者的自定义模块现在的很多LKM技术的后门就是利用这个原理，这种技术用通常的检测手法很难发现，检查sys_call_table的接口调用是目前唯一的办法著名的knark就是利用的这种技术,.,48,痕迹清除技术,攻击系统过后，很多操作和行为都有可能被记录日志，因为这些往往都和系统的安全策略有关系系统的安全策略会定义那些服务和行为必须记录日志攻击完后必须清除自己的行为可能被那些日志记录找出这些日志文件，予以清除或修改,.,49,Windows的日志,Windows的日志主要是两个方面，第一个是web等服务系统的访问日志，这其中包括ftp,mail等；第二个是系统的安全日志，由系统的安全策略来指定服务系统的日志文件默认情况下的权限给予较低，一般用户都可以清除，这是一个很大的问题Windows的服务日志如iis的日志是攻击的主要对象，在现今的攻击中体现的尤为充分,.,50,Unix日志处理,服务进程都有自己的日志记录如常用的web服务器apache，ftp服务器和sendmail服务等，这些服务器包都有自己的日志定制系统Syslogd守护进程定义的选项内容，很多进程如telnet等都是在syslogd进程中定义的，攻击者查看syslog.conf就可发现有哪些进程在定义范围之内,.,51,需要处理的日志举例,Sulog:系统中所有的su操作Lastlog:记录某用户最后一次的登陆时间和地址Utmp：记录以前登陆到系统中的所有用户Wtmp:记录用户登陆和退出的事件Access_log:apache服务器的访问访问日志.bash_history:shell记录的用户操作命令历史sh_history:shshell记录的使用该shell的用户操作命令历史,.,52,清除的方法,使用重定向符“”可以予以清除如cat/var/log/wtmp;cat/var/log/utmp;但清除日志太过于明显，很容易让管理员发现计算机被入侵了删除日志，将整个日志文件删除，属于恶意的报复行为rmrf/var/log/utmp使用特定的工具按照ip地址，用户身份等条件筛选删除，这是常用的方法,.,53,二、网络安全体系结构,.,54,安全体系模型,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,.,55,安全体系模型,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,地震、火灾、设备损坏、电源故障、被盗,.,56,安全体系模型,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,在传输线路上窃取数据,.,57,安全体系模型,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,Internet、系统内网络、系统外网络、内部局域网、拨号网络,.,58,安全体系模型,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,操作系统的脆弱性、漏洞、错误配置,.,59,安全体系模型,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,应用软件、数据库，包括资源共享、Email、病毒等,.,60,安全体系模型,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,管理员权限、口令、错误操作、资源乱用、内部攻击、内部泄密,.,61,技术措施,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,.,62,技术措施,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,设备冗余、线路冗余、数据备份,.,63,技术措施,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,VPN加密技术,.,64,技术措施,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,防火墙、物理隔离、AAA认证,.,65,技术措施,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,漏洞扫描、入侵检测、病毒防护,.,66,技术措施,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,认证、病毒防护、数据备份、灾难恢复,.,67,技术措施,系统安全,应用安全,管理安全,物理安全,传输安全,网络互联安全,认证、访问控制及授权,.,68,三、网络安全整体防护思路,.,69,网络脆弱性发展趋势,.,70,木桶原则,最大容积取决于最短的木快攻击者“最易渗透原则”目标：提高整个系统的“安全最低点”。,.,71,整体性原则,建立预警、防护、恢复机制构成闭环系统,.,72,动态性原则,安全是相对的，不可能一劳永逸；道高一尺，魔高一丈；安全策略不断变化完善；安全投入不断增加（总投入的30%）。,.,73,安全事件案例分析,年月下旬，杜守志在南宁市拾到一张户名为黄某某在建行广西分行开户的医疗保险复合卡，并于月日至月日在银行交易系统识别错误的情况下，输入“”为密码，连续从多家银行的机上，分别支取余笔现金，合计人民币元。安全事件成因分析,.,74,安全事件案例分析,一名普通的系统维护人员，轻松破解数道密码，进入邮政储蓄网络，盗走835万元。邮政储蓄使用的是专用的网络，和互联网物理隔绝；网络使用了防火墙系统；从前台分机到主机，其中有数道密码保护。安全事件成因分析,.,75,事前检测：隐患扫描,通过模拟黑客的进攻手法,先于黑客发现并弥补漏洞，防患于未然。也称为漏洞扫描、脆弱性分析、安全评估。,.,76,网络结构,专网或公网,Internet,公司总部,分公司,分公司,.,77,总出口的门户安全,专网或公网,Internet,公司总部,分公司,分公司,防火墙,.,78,各子网的边界安全,专网或公网,Internet,公司总部,分公司,分公司,防火墙,.,79,入侵检测产品的部署,专网或公网,Internet,公司总部,分公司,分公司,防火墙,.,80,防病毒产品的部署,专网或公网,Internet,公司总部,分公司,分公司,防火墙,.,81,加密传输产品的部署,专网或公网,Internet,公司总部,分公司,分公司,防火墙,.,82,身份认证（3A）产品的部署,专网或公网,Internet,公司总部,分公司,分公司,防火墙,3A：认证、授权、审计,确认身份，防止抵赖,.,83,事后恢复机制,灾难恢复技术日志查询,.,84,关键产品,.,85,关键产品,防火墙产品,防病毒产品,身份认证产品（3A）,加密产品（VPN）,入侵检测产品,物理隔离网闸,抗攻击网关,漏洞扫描产品,数据备份产品,.,86,个人安全建议,关闭不必要的服务（如关闭SNMP、UPS、RAS）；关闭不必要的服务端口（80、21、161）；不轻易点击不熟悉的网页或链接；不轻易下载不了解的软件运行；不打开不熟悉的邮件附件；不要将硬盘设置为共享；要将IE等软件的安全等级设置为高等级；及时下载及安装补丁程序.,.,87,加强密码的强壮性，并经常更改激活审计功能作好备份工作，包括本地备份、异地备份、磁盘阵列不要随意共享硬盘上的目录,.,88,尽量不要使用系统默认的OUTLOOK程序对于未知电子邮件小心打开网上下载要注意不去黑客等有危险性的网站经常查病毒，并主义随时出现的情况,.,89,四、防火墙技术介绍,.,90,什么是防火墙？,以隔离为目的的安全网关设备不同网络或网络安全域之间信息的唯一出入口根据安全政策控制出入网络的信息流本身具有较强的抗攻击能力,.,91,防火墙主要作用,过滤不安全的服务；控制对系统的访问；集中的安全管理；抗攻击；入侵监测；隔离与保密；记录和统计。,.,92,防火墙的典型应用,.,93,Internet,WebServer,之一：对托管服务器的保护,防火墙,交换机,ISP机房,.,94,Internet,防火墙,路由器,内部局域网,交换机,之二：对内网的保护,.,95,Internet,防火墙,路由器,WWW、DNS、FTP等,Email,内部局域网,内网交换机,外网交换机,之三：对内网及网站的保护,.,96,DDN网,分支机构局域网,分支机构局域网,总部局域网,防火墙,接本地Internet平台,之四：利用专线构建广域网,防火墙,防火墙,.,97,Internet,分支机构局域网,分支机构局域网,VPN防火墙,VPN防火墙,总部局域网,VPN防火墙,接本地Internet平台,之五：利用Internet构建广域网,.,98,财务网段,一般员工办公网段,防火墙,之六：对内网进行逻辑划分,OA及人事网段,领导办公网段,.,99,传统防火墙的局限性,传统防火墙的共同特点采用逐一匹配方法进行检测和过滤，计算量太大。包过滤是对IP包进行逐一匹配检查。状态检测包过滤除了对包进行匹配检查外，还要对状态信息进行逐一匹配检查。应用代理对应用协议和应用数据进行逐一匹配检查。,.,100,传统防火墙的局限性,传统防火墙的共同缺陷安全性越高，检查的越多，效率越低。防火墙的安全性与效率成反比。,.,101,新一代防火墙面临的问题,目前网络安全的三大主要问题以拒绝访问（DoS/DDoS）为目的网络攻击；以蠕虫（WORM）为代表的病毒传播；以垃圾电子邮件（SPAM）为代表的内容控制。这三大安全问题占据网络安全问题的九成以上，传统防火墙无能为力。,.,102,产品特色（访问控制特性）,强访问控制基于IP地址和端口、传输方向和协议的访问控制；基于时间的访问控制；基于用户的访问控制（内核AAA身份认证）；基于网络空间（七层）的访问控制：OSI模型的第一层：网卡控制技术；OSI模型的第二层：MAC过滤防火墙；OSI模型的第三层：智能包过滤（IntelligentPacketFilter）；OSI模型的第四层：协议改造技术（ProtocolNormalization）；OSI模型的第五层：会话控制技术；OSI模型的第六层：表现控制技术；OSI模型的第七层：应用控制技术。,.,103,产品特色（高安全）,高安全性高效安全的BSD系统内核采用基于BSD的中网专用安全操作系统，内核级的工作模式，使防火墙更加稳定、高效和安全。优化的TCP/IP协议栈经过加固的系统内核和优化TCP/IP栈，能够有效防范DoS/DDoS、源路由攻击、IP碎片包等多种黑客攻击。内置入侵检测模块内置的入情检测系统为客户提供更加广泛和全面的攻击防范、日志查证，确保内部网络的安全。防范恶意代码可以有效阻止ActiveX、Java、Cookies、JavaScript的入侵。,.,104,支持移动用户远程拨入，实现对内部网络资源安全访问。可以为用户提供全功能的网关到网关VPN解决方案。支持国密办许可的加密卡，提供高安全保障。,集成VPN模块，并支持第三方的加密卡,可扩展性,标配4或6个网口，满足大多数网络环境需求。模块化结构设计，最多支持10个网卡接口，适应多种网络环境。,1U设备下实现多网口支持,产品特色（可扩展）,可与IDS等安全产品联动,与国内领先的IDS产品实现联动，如启明星辰、金诺网安等。支持国际领先的OPENSEC联动协议，如冠群金辰等。,支持各种网络协议和应用协议,支持路由协议OSPF、RIP、RIPII、策略路由、DNS、DHCP等。支持VLAN802.1Q和视频点播、H.323等应用协议过滤。,.,105,产品特色（高可用性）,问题网络是否必须24x7的不间断运行？解决办法心跳互动采用两台防火墙以主从方式工作，实现故障切换的功能。稳定、可靠,.,106,带宽管理,Web服务器,视频应用服务器,浏览,下载,30%,20%,50%,视频,Ftp服务器,带宽管理规则库,内网,外网,外网,内网,分级带宽管理，管理直观简便；可粗可细带宽分配；粗可对某些网卡，可对某个部门的连续IP地址段，也可对离散的多个IP地址；细可以到每一个IP地址；,.,107,双机热备份,保证系统的可用性无需手工插拔，10s内自动完成切换内部用户和外部用户完全透明，无需任何配置,主黑客愁TM,从黑客愁TM,客户机,客户机,客户机,服务器,服务器,服务器,请求,请求,请求,请求,.,108,五、物理隔离网闸介绍,.,109,隔离网闸实现的目标,X-GAP技术在设计上主要是为了解决目前网络安全设备中存在的四个主要难题：第一，阻断内外网络的任何网络通信协议的连接。第二，抵御任何基于TCP/IP的已知和未知的网络攻击，特别是DoS/DDoS攻击。第三，抵御基于操作系统平台漏洞或后门的攻击。第四，阻断内外网络的直接连接，保护安全设备的安全策略。,.,110,中网隔离网闸构成,硬件组成：内网机；外网机；SCSI控制开关系统；两个网卡：分别连接在内网机和外网机的主板上，用于内网机和外网机的输入输出。,.,111,中网隔离网闸构成,软件组成：开关控制软件：快速的在两个处理单元之间交换数据。外部单边代理：接收外部的请求，解析出应用协议，过滤数据内容，保证数据中不包含危险命令。内部单边代理：通过传输层软件模块接收外部处理单元传入的请求和数据，解析出应用协议，过滤数据内容，保证数据中不包含危险命令。,.,112,中网隔离网闸X-GAP的特征,阻断两个网络的物理连接：确保连接网闸X-GAP设备上的两个网络在任何时候链路层均是断开的，没有链路连接；阻断两个网络的逻辑连接：TCP/IP协议必须被阻断、被剥离，将原始数据通过P2P非TCP/IP的连接透过网闸设备X-GAP传递，没有通信连接、没有网络连接、没有应用连接、完全阻断；网闸实现服务的应用代理：任何数据交流均通过两级代理的方式来完成，两级代理之间是通过开关系统实现信息交流的；,.,113,中网隔离网闸X-GAP的特征,网闸安全策略的内部控制：网闸X-GAP内外系统的安全策略均在可信内网配置合传递，确保安全策略不能被攻击的特性；协议剥离后的数据摆渡：网闸X-GAP传输的原始数据通过表单方式进行，不具有攻击或对网络安全有害的特性。就像txt文本不会有病毒一样，不会执行命令；网闸隔离设备的自我保护：网闸X-GAP外网内置防DoS/DDoS模块，抗攻击、防扫描、防入侵、防篡改、防破坏、防欺骗，同时系统提供完备的日志、审计功能。,.,114,协议处理图,TCP,IP,RawData,IP,TCP,DataInspection,ProtocolInspection,ProtocolInspection,.,115,TCP/IP协议处理图,.,116,SCSI开关系统,基于SCSI的开关系统开关系统是通过SCSI控制系统来实现的。SCSI控制系统作为网闸的开关系统是国际公认的、领先的技术。X-GAP将SCSI开关功能在系统的内核中实现，远远优于其它常见的开关技术。国内唯一实现基于SCSI开关技术的安全公司。,.,117,隔离网闸主要性能指标,最小开关切换时间：12.5ns；网闸摆渡数据速率：248Mbps；百兆带宽