论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 35 篇帖子 ]  前往页数 上一页  1, 2, 3
作者 内容
 文章标题 : 再谈网闸
帖子发表于 : 2007-01-25 21:35 
离线
新手

注册: 2006-04-21 12:44
最近: 2006-04-23 17:58
拥有: 13.00 安全币

奖励: 0 安全币
在线: 52 点
帖子: 5
我也来说两句,做了这么多年的网闸,也看过不少厂家网闸产品,确实感觉每家的做法都不一样。有直接采用SOCKET代理模式的、有的直接就是单主机模式的,产品模式非常之多。
相信做网闸的仁兄都经历过公安部第三研究所的认证测试,其中有明确的定义,网闸:“位于两个不同安全域之间,通过协议转换的手段,以信息摆渡的方式实现数据交换,能且只能有被系统要求传输的、内容受限的信息通过的计算机安全部件。其信息流一般是通用应用服务。”
国家保密局也有明文规定,网闸必须是信息落地传输。
我个人认为,网闸的真正意义是将外网的文件信息“安全摆渡”到内网端,满足内网用户获取外网文件信息的需求。
网闸和防火墙没有任何可比性,各自完成不同的需求。
由于市场的需要,网闸产品开始多样化,多功能化,更有胜者将防火墙拥有功能堆积以满足市场,行为可以理解,可是这样做的厂商有没有想到,无论您怎么堆积功能,都是不可能达到防火墙的效果,只能算是防火墙与网闸的“骡子”。
2006年底公安部某局招标测试,国内知名的几个厂家都被邀请参加,国保公司的技术人员明确指出“我们网闸采用SOCKET代理转发。。。”(现场原话),更有胜者,外网能直接穿透网闸进入内部网络,我当时就在想,难道这些厂商都没有拿过国家保密局的证书吗?!结果所有的公司都通过了测试,这说明什么呢?不用我说大家心里都明白,有位仁兄说得好,具有中国特色的安全产品,连政策都具有中国特色,就更别说产品了。
在此申明:引用国保公司某技术人员的原话并中伤贵公司之意,只是提醒诸多网闸厂商的出外技术交流时,慎用词语,以保网闸声誉!


--------本帖迄今已累计获得13安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2007-01-31 22:51 
离线
新手

注册: 2007-01-31 22:31
最近: 2007-11-12 22:26
拥有: 62.00 安全币

奖励: 0 安全币
在线: 465 点
帖子: 18
我总感觉网闸是中国特色政策下的东西。没见过国外主流 安全产品中有这个东西。
如果单纯的开放几个数据库端口,对透过这些数据的内容作应用层的安全检测。那我直接部署防火墙+安全网关不就可以了。

我不看好网闸的发展趋势。我们 作网络安全,都关心安全产品对新的攻击行为、恶意脚本的识别能力,也关心黑客攻击行为等,网闸这个东西有那么强的识别能力嘛?

老实说,我就是用IPS干掉了几台以前认为是部署网闸设备的项目。


--------本帖迄今已累计获得13安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2007-02-25 11:19 
离线
新手

注册: 2006-11-06 10:17
最近: 2008-09-10 17:22
拥有: 39.60 安全币

奖励: 0 安全币
在线: 279 点
帖子: 10
我也在做网闸产品,我们公司代理的是伟思的产品,没有看过其他的哈。从我接触的人看,政府和金融行业的对网闸还是很感兴趣的。企业没有戏。做技术的普遍不看好网闸,销售的要看好些。主要还是大家说的,这个东西是我们国家的政策决定的。我听说有的还直接将防火墙改后就当成网闸卖。反正现在客户那里一般就提个名字,招标的参数都是做标书用的,真的到了交货时,他才不验收这些参数呢。只要抱一台机器给他就可以了。


--------本帖迄今已累计获得13安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2007-07-17 10:17 
离线
新手

注册: 2007-07-16 16:12
最近: 2007-07-16 16:43
拥有: 10.00 安全币

奖励: 0 安全币
在线: 20 点
帖子: 2
我也是做网闸的,现在的网闸各家产品都差不多,主要还是体现在服务几价格上.如果哪位有需要的话和我联系好了.QQ 34147978


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 再谈网闸
帖子发表于 : 2007-07-26 20:21 
离线
版主

注册: 2005-06-12 18:12
最近: 2014-11-18 16:18
拥有: 638.30 安全币

奖励: 982 安全币
在线: 4005 点
帖子: 296
地址: 北京
peter_c8 写道:
我也来说两句,做了这么多年的网闸,也看过不少厂家网闸产品,确实感觉每家的做法都不一样。有直接采用SOCKET代理模式的、有的直接就是单主机模式的,产品模式非常之多。
相信做网闸的仁兄都经历过公安部第三研究所的认证测试,其中有明确的定义,网闸:“位于两个不同安全域之间,通过协议转换的手段,以信息摆渡的方式实现数据交换,能且只能有被系统要求传输的、内容受限的信息通过的计算机安全部件。其信息流一般是通用应用服务。”
国家保密局也有明文规定,网闸必须是信息落地传输。
我个人认为,网闸的真正意义是将外网的文件信息“安全摆渡”到内网端,满足内网用户获取外网文件信息的需求。
网闸和防火墙没有任何可比性,各自完成不同的需求。
由于市场的需要,网闸产品开始多样化,多功能化,更有胜者将防火墙拥有功能堆积以满足市场,行为可以理解,可是这样做的厂商有没有想到,无论您怎么堆积功能,都是不可能达到防火墙的效果,只能算是防火墙与网闸的“骡子”。
2006年底公安部某局招标测试,国内知名的几个厂家都被邀请参加,国保公司的技术人员明确指出“我们网闸采用SOCKET代理转发。。。”(现场原话),更有胜者,外网能直接穿透网闸进入内部网络,我当时就在想,难道这些厂商都没有拿过国家保密局的证书吗?!结果所有的公司都通过了测试,这说明什么呢?不用我说大家心里都明白,有位仁兄说得好,具有中国特色的安全产品,连政策都具有中国特色,就更别说产品了。
在此申明:引用国保公司某技术人员的原话并中伤贵公司之意,只是提醒诸多网闸厂商的出外技术交流时,慎用词语,以保网闸声誉!


我们先来看网闸的定义
网闸:“位于两个不同安全域之间,通过协议转换的手段,以信息摆渡的方式实现数据交换,能且只能有被系统要求传输的、内容受限的信息通过的计算机安全部件。其信息流一般是通用应用服务。”
1、适用范围:不同安全域之间,不是涉密与非涉密
2、实现机制:信息摆渡、协议转换(网闸内部不能接受TCP/IP协议后直接转发出去)、数据交换(这个数据我以前理解是只是用户数据,从最后一句话可以看出应用层数据即可)
3、白名单模式:能且只能有被系统要求传输的、内容受限的信息通过的计算机安全部件(根防火墙的应用相反,注意是应用,防火墙当然也可以是白名单模式)

我想楼上的同仁可能对国保采用SOCKET代理方式来实现网闸的有些误解。谈一点个人的理解,不当之处还请包涵!
我了解到的这种代理只发生在内端机与内网,外端机与外网的处理方式,而并非是内外网直接采用代理方式,我们知道内端机与外端机都会采用其他处理方式(如专用硬件、SCSI技术等等)来做到了信息落地或协议转换。(注:本人非国保员工,之所以发表一下意见是希望大家不要误认为采用代理方式的网闸就不是真正的网闸,要看整个系统实现的机制)


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 35 篇帖子 ]  前往页数 上一页  1, 2, 3

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012