NISP3.3：边界防护安全设备——学习笔记

最新推荐文章于 2024-03-03 12:00:00 发布

段嘉喻

最新推荐文章于 2024-03-03 12:00:00 发布

阅读量1k

点赞数

文章标签：安全学习网络

本文链接：https://blog.csdn.net/Charon_____ajsh/article/details/127848806

版权

一、IPS(入侵防御系统)

入侵防御系统(IPS)是结合了入侵检测、防火墙等基础机制的安全产品，通过对网络流量进行分析，检测入侵行为并产生响应以中断入侵，从而保护组织机构信息系统的安全。
入侵防御系统集检测、防御与一体，对明确判断为攻击的行为,会采取措施进行阻断，无需人员介入，因此也可能由于误报导致将正常的用户行为进行拦截，因此入侵防御系统是一种侧重风险控制的解决方案。
入侵防御系统的优势在于能对入侵的行为实现及时的阻断。
传统的防火墙、入侵检测防护体系中，入侵检测发现攻击行为并产生报警后，还需要防火墙管理人员设置针对性的策略对攻击源进行封堵，整个流程使得防御相对攻击检测有所滞后。为了应对这一问题，部分厂家将入侵检测与防火墙实现联动，入侵检测发现的攻击通知防火墙进行阻断，但是由于缺乏相应的标准，需要安全厂商相互的协商接口，使得入侵检测与防火墙联动。在实际应用中难以推广。
入侵防御系统通常采用串接的方式部署在网络中，在检测到入侵行为时，根据策略实时对入侵的攻击源和攻击流量进行阻拦，从而极大的降低了入侵的危害。

二、网闸(物理隔离系统)

网闸也称物理隔离系统或安全隔离与信息交换系统，是为了满足我国涉及国家秘密的计算机系统必须与互联网物理隔离的要求的前提下，提供数据交换服务的一类安全产品。
网闸通常由两个独立的系统分别连接可信网络(例如涉密网)和非可信网络(互联网)，两个相互独立的系统之间采用特定的安全隔离组件进行连接。安全隔离组件由隔离开关和数据暂存区域构成，隔离开关是定制研发的安全组件,将数据暂存区分别连接到可信网络和非可信网络。

隔离开关同一时间只能连接两个独立系统之一，不能同时连接两个系统，并且隔离开关的连接的断开不受任何的软件控制，周期性的在两个系统之间切换，所以网闸是一款能够实现物理隔离的网络安全设备，符合国家保密局于2000年1月发布的《计算机信息系统国际互联网保密管理规定》。

组成

外部处理单元
内部处理单元
仲裁处理单元

当数据需要从外部网络(非可信网络)传送到内部网络(可信网络)时，由连接到外部网络的系统将数据复制到数据暂存区(隔离开关将暂存区连接到非可信系统时)，当一个周期结束后，隔离开关切换，将暂存区从连接非可信区域的系统断开，接入到连接内部网络的系统中，由连接内部网络的系统从暂存区中将数据读取出来，从而实现数据的传递。

为了保障安全，网闸设备通常还集成了其他的安全机制，例如集成了防病毒功能,可对交换的数据进行检测，避免其中携带的计算机病毒导致安全风险，集成文件过滤机制，对交换数据的类型进行过滤，仅允许特定类型的数据文件通过，不允许交换的数据中有可执行程序，避免木马病毒伪装成数据通过网闸进入可信网络等。

网闸虽然最初是为物理隔离交换数据而设计，但随着应用的不断发展，也逐步诞生了协议隔离等其它不同的技术，发展成为比防火墙更高安全级别的网络设备，用于保护要求较高的网络与其他不可信网络之间进行数据交换。它与防火墙的定位和应用场景不同，是互补的网络安全产品而不能进行相互取代。
防火墙是实现逻辑隔离，在数据交换时会话双方直接或间接建立了基于通信协议的会话，防火墙仅根据规则对会话是否允许进行管理，符合规则的情况下双方就能进行数据交换，会话时双方是实时连接的。而网闸是物理隔离或协议隔离，网闸中的专有硬件将会话双方从物理层或链路层断开的，因此会话双方是非实时连接的。