论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 15 篇帖子 ] 
作者 内容
 文章标题 : 安全网闸真的有用吗???
帖子发表于 : 2007-12-05 14:59 
离线
新手

注册: 2007-12-05 14:48
最近: 2007-12-07 11:31
拥有: 0.00 安全币

奖励: 0 安全币
在线: 12 点
帖子: 1
我个人的观点,请指教:
不去看那些好象简单易懂的“摆渡”、“蒸馏”原理,不用去讨论技术问题。
只问一下:为什么没有英文名称?为什么没有国外同类产品?我们的网闸真的有用吗???那些最开始生产网闸的公司,东家都是谁?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2007-12-05 22:32 
离线
超级用户

注册: 2004-04-08 17:28
最近: 2017-09-29 09:23
拥有: 4,665.70 安全币

奖励: 9480 安全币
在线: 10945 点
帖子: 492
地址: 上海
你去看看厂商资料

大多都有介绍啊,什么以色列,美国不都有类似的产品么

网闸不就是形式和制度下的产物么?楼主翻翻以前的帖子吧,有几个帖子介绍网闸的,比较细的


--------本帖迄今已累计获得23安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-03-31 18:37 
离线
新手

注册: 2008-03-31 17:37
最近: 2008-09-18 09:51
拥有: 239.20 安全币

奖励: 81 安全币
在线: 94 点
帖子: 11
上面的仁兄说的真的不敢苟同,怎么会说网闸是制度下的产物呢?数据摆渡的原理也不是中国提出来的,是国际上提出并认同的一种技术,国外类似网闸的产品好象一般都称呼为“GAP",可以查一下,基本上也都是在基于数据的剥离,重建等技术。
其实很多产品,大家都认为是制度下的产物,比如隔离卡,很多人认为这东西只有中国有,其实不然,早期的时候还是国内某银行从以色列带回单硬盘隔离卡并应用的。
另外国家文件规定,涉密产品不能用国外品牌,是有一定道理的,我想美国军方总不会考虑买中国的网闸,技术质量是一个问题,后门才是最大的顾虑。
还有,防火墙不是不安全,而是相对安全级别较低,尤其是tcp/ip协议被广大技术人员所熟悉的前提下,其安全性能已经大打折扣,大家可以到国内知名的黑客网站上去看看,那些地方随便都可以找到如穿透,崩溃防火墙的很多手段。起码从这个角度来说,网闸中带有自主开发并自有版权的传输协议就比tcp/ip安全的多,起码从保护重要数据的前提下,网闸更让人放心。
本人,深圳利谱上海办人员,愿意与大家多交流,xg@tiptop.com.cn


--------本帖迄今已累计获得30安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-03-31 22:15 
离线
超级用户

注册: 2004-04-08 17:28
最近: 2017-09-29 09:23
拥有: 4,665.70 安全币

奖励: 9480 安全币
在线: 10945 点
帖子: 492
地址: 上海
楼上的兄台,本人有兴也在网闸公司呆过一段时间,所以就事论事,没有不敬的意思.以下仅代表个人观点.

自主开发自有版权?

不知道哪家网闸开发公司有自己的版权?自主开发是没问题,可谁敢公开,驹我所知,有些只是拿来开源linux,精简一下内核,用的开元usb驱动,自己写了协议传了些数据,这也叫自有版权?

另外我想问一下,保密局发的文件中提到的四个环境:
涉密与非涉密域;涉密域的不同级别间;非涉密域与Internet,还有个啥我忘了...

真正所用到网闸的?哪个不是因为制度所迫,走走形式;而且好多已经丢弃在机房基本不用.

又要物理隔离,又要文件摆渡,我觉得网闸本来就是个稽型制度下应付一下的产物....


--------本帖迄今已累计获得26安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-04-01 09:48 
离线
新手

注册: 2008-03-31 17:37
最近: 2008-09-18 09:51
拥有: 239.20 安全币

奖励: 81 安全币
在线: 94 点
帖子: 11
朋友,谢谢您的意见,继续交流下!
按照您的观点,我们利谱的DTP通道开关隔离硬件就是自主开发并拥有版权的的,这个您可以查到,而网闸的DTP通道这一技术,完全区别于SCSI拷贝型网闸、DMI抓包型网闸以及空气开关型网闸,该硬件中内嵌我们自主开发并独有的通讯协议,正因为“独有”,所以这个协议是没有被公开出去的,所以这个协议是高度安全的,自己写出来的东西,当然就是版权的,不是么?您说到公开,被公开的东西,安全性就要大打折扣,比如tcp/udp协议。所以很多版权的产品,公开与不公开要看开发者的定位,就好象INERNET网络,最早是美国军方秘密使用的东西,那时侯在美军方这个网络是最高安全与最高密级的,但是后来美国政府把这个东西公开于世,使美国获利很大,当然也同时使得这个网络体系开始出现安全问题,有名的“蠕虫”为大家所熟悉。从这个角度来看,不公开和私有版权是不矛盾的。
另外,安全方面的产品,是市场需求下的产物,我想如果没有公开的internet,你会需要开发防火墙?如果公开的INTERNET没有遇到“蠕虫”之类,谁要杀毒软件干什么?所以,物理隔离卡是在政府认为的机密领域受到威胁的极端安全的产物,这不是中国独有的,美军方,5角楼里都存在这种终极安全结构,可能不同的是人家有钱,一个网络配应1个终端,而我们更简朴和聪明,弄了物理隔离卡,网络隔离了,费用降低了。从需求的方面来看,隔离后的网络的数据交换的确又成为新的问题,当然在后面的研发中弄出了不同网络之间安全交换数据的产品--网闸,这个是需求的结果,而不是制度下产生的。
您又说,用网闸是制度所迫,这个真的是。。。。。。。哎,其实卖防火墙的人,把防火墙卖出去也是需要做很多关系的,市场经济么,操作使用手段,都是被迫的,没办法,竞争是残酷的啊。
说到这里,我还是想从防火墙方面入手来谈谈。其实在信息安全领域滚打历练久了的人都知道,想当初,防火墙进入市场的时候也是举步维艰,也是在关系下,操作手段下进入市场的,这种新产品为市场接受,认同,都是一样的过程和艰难。现在防火墙成为大家必用的产品后,当然在您的眼里来看是必须的,而不是制度下的,其实当时它也是您目前思维中的制度下的产品,所不同的是防火墙受到国际上的推动力量,进入市场到打开局面比较快而已。另外,防火墙这种产品,因为被大家熟悉进而带来的不安全隐患是众所周知的,而且,很多防火墙厂家号称内嵌核心是自己开发的,而哪个不是在LINUX环境为依托的?有哪个不是把人家的东西拿来汉化,修改而成的?甚至更有把人家成品的硬件买来换个LOGO,模块化的组装下就问世的产品存在。我想,宽容些对待国有版权的产品还是有必要的。
网闸的应用问题,您说的现象我承认客观存在着,这个东西我想要从多方面来看,用不用是用户的问题,和厂家无关,用户更愿意使用防火墙这种基于约束小的产品,我们没有办法,很多用户说用了网闸上网慢,这是保证数据安全造成的,没有办法,就好象物理中说到“省力不省距离,省距离不省力”,客观规律,无法违背。当然网闸厂家也在积极寻求突破,比如千兆网闸的面世,比如基于ASIC的DTP通道技术等等,这个,是需要用户用发展和期待的眼光看待的。还有很多用户由于惰性甚至在内,外网隔离的前提下,用内网机接入互联网络,造成的问题,也不能推脱到产品上的啊,毕竟安全和便利是矛盾的。我们也必须承认那些被放置的网闸有很大一部分是厂商的原因,也许是厂商倒闭了,也许是厂商服务不到位,所以我们希望用户在采购产品的时候更要眼光雪亮,拒绝那些信誉、质量不过关的产品,谨慎使用小厂家产品。
网闸的作用域。其实网闸的产生是因为网络被隔离带来的需求,然而经过几年的发展,国家信息安全部门不断的调整涉密标准,对很多以前需要物理隔离的网络调整为逻辑隔离;而政府为了提高公信度,提出政务公开的方案,等等。那么网闸的作用域也就更偏重于保护重要的保密核心数据。比如,深圳利谱公司提出的网闸安全策略是“把需要保密的核心数据,进行严格保护,实行物理隔离;而对一般的数据,则交由防火墙去保护。”这样一来,用户很烦恼的上网速度降低,信息被审计等等因素不复存在,而那些重要的保密数据经由防火墙-->网闸的多重保护而更安全。而网闸的外端机的自我牺牲的保护方式也极大限度的保证了数据库服务器的安全。
又要物理隔离,又要文件摆渡,这些都是信息安全工作在发展中摸索实践的过程,其实无论是法律,还是信息安全等等很多制度,都是要在实践中去摸索,改进,完善的,没有现成的东西让我们拿来主义的,所以用期待的眼光去看到“没有最好,只有更好!”


--------本帖迄今已累计获得31安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-04-01 10:00 
离线
高级用户

注册: 2005-11-01 11:10
最近: 2014-10-15 21:02
拥有: 906.40 安全币

奖励: 4017 安全币
在线: 3663 点
帖子: 260
地址: Beijing
个人不认可这个产品。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-04-01 11:02 
离线
新手

注册: 2008-03-31 17:37
最近: 2008-09-18 09:51
拥有: 239.20 安全币

奖励: 81 安全币
在线: 94 点
帖子: 11
支持尊重个人意见


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-01-21 19:18 
离线
新手

注册: 2008-06-03 10:53
最近: 2009-01-21 19:30
拥有: 20.80 安全币

奖励: 0 安全币
在线: 163 点
帖子: 16
不知道那个厂商的好


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-02-23 17:42 
离线
新手

注册: 2008-08-01 10:18
最近: 2011-06-28 07:21
拥有: 2.00 安全币

奖励: 0 安全币
在线: 38 点
帖子: 4
有用!
隔离不同安全区域。还要看你的安全策略配置。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-03-05 16:54 
离线
初级用户

注册: 2008-12-15 16:09
最近: 2009-09-17 16:03
拥有: 38.70 安全币

奖励: 0 安全币
在线: 468 点
帖子: 50
现在网闸严格上讲都不是单向的,至少存在反向的控制信息传输,所以严格来讲,都达不到物理隔离的目的。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-07-26 22:17 
离线
超级用户

注册: 2008-09-01 12:50
最近: 2013-04-28 13:28
拥有: 1,314.20 安全币

奖励: 587 安全币
在线: 1742 点
帖子: 400
有些网闸的功能模块还是有点用,比如一些数据库同步模块,可以支持异构数据库之间的数据交互,也的确屏蔽掉了一些网络层攻击手段。但毕竟还是有数据的交互,而交互的数据本身就是恶意数据话,还是会将威胁在两套网络之间传递的,因此,我个人的观点是网闸不是没用,而是不像宣传的那样有用。


--------本帖迄今已累计获得36安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-07-27 09:00 
离线
初级用户

注册: 2005-11-28 11:52
最近: 2012-09-24 16:01
拥有: 265.00 安全币

奖励: 2 安全币
在线: 1350 点
帖子: 29
不象宣传的那样,适用范围比较窄。
以后可能会被专业的应用防火墙代替,或者本身成为应用防火墙。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-07-27 17:08 
离线
版主

关注按钮

注册: 2008-05-16 23:34
最近: 2012-05-18 18:41
拥有: 10,303.40 安全币

奖励: 12822 安全币
在线: 9152 点
帖子: 490
作为一种高安全的逻辑隔离设备,在内外网之间进行可控的数据交换还是比较实用的。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-07-30 00:10 
离线
新手

注册: 2009-06-12 09:58
最近: 2009-07-30 00:18
拥有: 23.00 安全币

奖励: 0 安全币
在线: 22 点
帖子: 3
网闸通过对连接和数据包的获取、阻断、分离、检测、重组、交换、恢复、连接等一系列安全操作完成数据的隔离与交换,而这些复杂的安全检测操作对用户而言是透明的。
网闸这种设备可以放置在高敏感网络和低敏感网络之间,拦截TCP/IP 数据流,过滤丢弃TCP/IP 协议格式,还原上层应用数据并经过安全处理后,在传输到另一侧。
网闸的数据处理方式保证了其网络边界防护的高安全性,使其边界安全防护强度远远大于防火墙系列产品,即使是防护强度最高的应用代理防火墙。网闸可以确保内外网在发生数据交换时,内网免受外网基于网络协议的所有攻击,即使是未知形式的攻击都可以拦截。
说一说对于安全级别要求很高的区域/网段/数据库,都可以使用安全隔离网闸来隔离,外界无论怎么攻击,受保护的数据内容永远都是安全的,如果是防火墙,黑客高手如果攻破后,会造成无法想象的损失。

另外补充一点,楼上有个朋友说网闸可以支持异构数据库之间的数据交互,这点我认同,但是功能非常简单,效率也低,同时不能做到数据的实时性以及断点续传,可靠的传输的功能,对于这样的解决方案,可以了解下消息中间件产品。


--------本帖迄今已累计获得23安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2010-01-09 11:27 
离线
初级用户

注册: 2004-04-28 18:29
最近: 2014-09-28 14:50
拥有: 863.00 安全币

奖励: 0 安全币
在线: 2318 点
帖子: 20
理论上可行的东西,不一定实践上可行,更不等同于工程上可用。多年的信息安全管理实践的发现网闸这种东西基本上属于鸡肋,讨论一个信息安全产品的时候不仅要考虑它实现的功能,更要考虑他能否适应它所保护的环境。国内信息安全产业的现状基本上处于鱼龙混杂的时代,而且鱼多龙少,很多产品或属于迎合制度要求、或属于对国外产品简单的简单仿造、甚至于拍脑瓜想出来的,很少有在对用户需求充分调研的基础上自主原创出来的。


--------本帖迄今已累计获得60安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 15 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012