(資料圖片)
要具有高度的自身安全性 隔離產品要保證自身具有高度的安全性,至少在理論和實踐上要比防火墻高一個安全級別。從技術實現上,除了和防火墻一樣對操作系統進行加固優化或采用安全操作系統外,關鍵在于要把外網接口和內網接口從一套操作系統中宏衡滾分離出來。也就是說至少要由兩套主機系統組成,一套控制外網接口,另一套控制內網接口,然后在兩套主機系統之間通過不可路由的協議進行數據交換,如此,既便黑客攻破了外網系統,仍然無法控制內網系統,就達到了更高的安全級別。要確保網絡之間是隔離的 保證網間隔離的關鍵是網絡包不可路由到對方網絡,無論中間采用了什么轉換方法,只要最終使得一方的網絡包能夠進入到對方的網絡中,都無法稱之為隔離,即達不到隔離的效果。顯然,只是對網間的包進行轉發,并且允許建立端到端連接的防火墻,是沒有任何隔離效果的。此外,那些只是把網絡包轉換為文本,交換到對方網絡后,再把文本轉換為網絡包的產品也是沒有做到隔離的。要保證網間交換的只是應用數據 既然要達到網絡隔離,就必須做到徹底防范基于網絡協議的攻擊,即不能夠讓網絡層的攻擊包到達要保護的網絡中,所以就必須進行協議分析,完成應用層數據的提取,然后進行數據交換,這樣就把諸如TearDrop、Land、Smurf和SYN Flood等網絡攻擊包,徹底地阻擋在了可信網絡之外,從而明顯地增強了可信網絡的安全性。要對網間的訪問進行嚴格的控制和檢查 作為一套適用于高安全度網絡的安全設備,要確保每次數據交換都是可信的和可控制的,嚴格防止非法通道的出現,以確保信息數據的安全和訪問的可審計性。所以必須施加以一定的技術,保證每一次數據交換過程都是攔喊可信的,并且內蔽余容是可控制的,可采用基于會話的認證技術和內容分析與控制引擎等技術來實現。要在堅持隔離的前提下保證網絡暢通和應用透明 隔離產品會部署在多種多樣的復雜網絡環境中,并且往往是數據交換的關鍵點,因此,產品要具有很高的處理性能,不能夠成為網絡交換的瓶頸,要有很好的穩定性;不能夠出現時斷時續的情況,要有很強的適應性,能夠透明接入網絡,并且透明支持多種應用。