1、计算机网络与信息安全技术教学课件 V08.081物理安全和系统隔离技术物理安全和系统隔离技术第第 13 章章2基本内容u网络和信息安全离不开设备安全,只有确保实体的安全才能谈得上使用安全。本章介绍物理实体安全与隔离技术相关知识。313.1 物理安全技术13.1 概述 物理安全又叫实体安全(物理安全又叫实体安全(Physical Security),是保护),是保护计算机设备、设施(网络及通信线路)免遭地震、水灾、计算机设备、设施(网络及通信线路)免遭地震、水灾、火灾、有害气体和其他环境事故(如电磁污染等)破坏的火灾、有害气体和其他环境事故(如电磁污染等)破坏的措施和过程。措施和过程。 实体安全
2、技术主要是指对计算机及网络系统的环境、实体安全技术主要是指对计算机及网络系统的环境、场地、设备和通信线路等采取的安全技术措施。场地、设备和通信线路等采取的安全技术措施。 物理安全技术实施的目的是保护计算机及通信线路免物理安全技术实施的目的是保护计算机及通信线路免遭水、火、有害气体和其他不利因素遭水、火、有害气体和其他不利因素( (人为失误、犯罪行人为失误、犯罪行为为 ) )的损坏。的损坏。 4 影响计算机网络实体安全的主要因素如下:影响计算机网络实体安全的主要因素如下: 1 1)计算机及其网络系统自身存在的脆弱性因素。)计算机及其网络系统自身存在的脆弱性因素。 2 2)各种自然灾害导致的安全问
3、题。)各种自然灾害导致的安全问题。 3 3)由于人为的错误操作及各种计算机犯罪导致的)由于人为的错误操作及各种计算机犯罪导致的安全问题。安全问题。 13.1.2 影响物理安全的因素影响物理安全的因素 物理安全包括:环境安全、电源系统安全、设备物理安全包括:环境安全、电源系统安全、设备安全和通信线路安全。安全和通信线路安全。 13.1 物理安全技术513.1.3 物理安全的内容物理安全的内容 1) 1)环境安全:应具备消防报警、安全照明、不间断供环境安全:应具备消防报警、安全照明、不间断供电、温湿度控制系统和防盗报警。电、温湿度控制系统和防盗报警。 2)2)电源系统安全:电源安全主要包括电力能源
4、供应、电源系统安全:电源安全主要包括电力能源供应、输电线路安全、保持电源的稳定性等。输电线路安全、保持电源的稳定性等。 3)3)设备安全:要保证硬件设备随时处于良好的工作状设备安全:要保证硬件设备随时处于良好的工作状态,建立健全使用管理规章制度,建立设备运行日志。同态,建立健全使用管理规章制度,建立设备运行日志。同时要注意保护存储媒体的安全性,包括存储媒体自身和数时要注意保护存储媒体的安全性,包括存储媒体自身和数据的安全。据的安全。 4)4)通信线路安全:包括防止电磁信息的泄漏、线路截通信线路安全:包括防止电磁信息的泄漏、线路截获,以及抗电磁干扰。获,以及抗电磁干扰。 13.1 物理安全技术6
5、 物理安全包括以下主要内容物理安全包括以下主要内容: 1 1)计算机机房的场地、环境及各种因素对计算机设)计算机机房的场地、环境及各种因素对计算机设备的影响。备的影响。 2 2)计算机机房的安全技术要求。)计算机机房的安全技术要求。 3 3)计算机的实体访问控制。)计算机的实体访问控制。 4 4)计算机设备及场地的防火与防水。)计算机设备及场地的防火与防水。 5 5)计算机系统的静电防护。)计算机系统的静电防护。 6 6)计算机设备及软件、数据的防盗防破坏措施。)计算机设备及软件、数据的防盗防破坏措施。 7 7)计算机中重要信息的磁介质的处理、存储和处理)计算机中重要信息的磁介质的处理、存储和
6、处理手续的有关问题。手续的有关问题。 13.1.3 物理安全的内容物理安全的内容( (续续) ) 13.1 物理安全技术713.1.4 13.1.4 物理安全涉及的主要技术标准物理安全涉及的主要技术标准 (1 1)GB/T 2887-2000GB/T 2887-2000 电子计算机场地通用规范电子计算机场地通用规范 (2 2)GB/T 9361-1988GB/T 9361-1988 计算站场地安全要求计算站场地安全要求 (3 3)GB/T 14715-1993GB/T 14715-1993 信息技术设备用信息技术设备用UPSUPS通用技术条件通用技术条件 (4 4)GB 50174-GB 50
7、174-19199393 电子计算机机房设计规范电子计算机机房设计规范 计算机机房建设至少应遵循国标计算机机房建设至少应遵循国标GB/T 2887-2000GB/T 2887-2000和和GB/T GB/T 9361-19889361-1988,满足防火、防磁、防水、防盗、防电击、防虫害,满足防火、防磁、防水、防盗、防电击、防虫害等要求,并配备相应的设备。等要求,并配备相应的设备。 13.1 物理安全技术813.2 电磁防护与通信线路安全13.2.1 电磁兼容和电磁辐射的防护 计算机网络系统的各种设备都属于电子设备,在工作时都计算机网络系统的各种设备都属于电子设备,在工作时都不可避免地会向外辐
8、射电磁波,同时也会受到其他电子设备的不可避免地会向外辐射电磁波,同时也会受到其他电子设备的电磁波干扰,当电磁干扰达到一定的程度就会影响设备的正常电磁波干扰,当电磁干扰达到一定的程度就会影响设备的正常工作。工作。 电磁辐射泄密的危险电磁辐射泄密的危险。913.2 电磁防护与通信线路安全13.2.1 电磁兼容和电磁辐射的防护 电磁辐射防护的措施电磁辐射防护的措施: (1)(1)一类是对传导发射的防护一类是对传导发射的防护,主要采取对电源线和信号线加装性能,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合;良好的滤波器,减小传输阻抗和导线间的交叉耦合; (2)(2)对辐射
9、的防护对辐射的防护可分为可分为: 1)1)采用各种电磁屏蔽措施采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离; 2)2)干扰的防护措施干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。频率和信息特征。 1013.2 电磁防护与通信线路安全13.2.1
10、 电磁兼容和电磁辐射的防护 抗干扰措施抗干扰措施: (1 1)屏蔽屏蔽 (2 2)滤波)滤波 (3 3)隔离)隔离 (4 4)接地)接地11 用一种简单(但很昂贵)的高技术加压电缆,可以获用一种简单(但很昂贵)的高技术加压电缆,可以获得通信线路上的物理安全。得通信线路上的物理安全。 通信电缆密封在塑料套管中,并在线缆的两端充气加通信电缆密封在塑料套管中,并在线缆的两端充气加压。线上连接了带有报警器的监示器,用来测量压力。如压。线上连接了带有报警器的监示器,用来测量压力。如果压力下降,则意味电缆可能被破坏了,技术人员还可以果压力下降,则意味电缆可能被破坏了,技术人员还可以进一步检测出破坏点的位置
11、,以便及时进行修复。进一步检测出破坏点的位置,以便及时进行修复。 距离大于最大长度限制的系统之间,不采用光纤线通距离大于最大长度限制的系统之间,不采用光纤线通信;或加强复制器的安全,如用加压电缆、警报系统和加信;或加强复制器的安全,如用加压电缆、警报系统和加强警卫等措施。强警卫等措施。 Modem Modem的安全性。的安全性。13.2 电磁防护与通信线路安全13.2.2 通信线路安全技术 1213.3 系统隔离技术13.3.1 隔离的概念 安全域是以信息涉密程度划分的网络空间安全域是以信息涉密程度划分的网络空间。涉密域涉密域就是就是涉及国家秘密的网络空间。涉及国家秘密的网络空间。非涉密域非涉
12、密域就是不涉及国家的秘密,就是不涉及国家的秘密,但是涉及本单位,本部门或者本系统的工作秘密的网络空间。但是涉及本单位,本部门或者本系统的工作秘密的网络空间。公共服务域公共服务域是指既不涉及国家秘密也不涉及工作秘密,是一是指既不涉及国家秘密也不涉及工作秘密,是一个向因特网络完全开放的公共信息交换空间。个向因特网络完全开放的公共信息交换空间。 1 1、安全域、安全域 电子政务的内网和外网要实行严格的物理隔离。政务的外电子政务的内网和外网要实行严格的物理隔离。政务的外网和因特网络要实行逻辑隔离,按照安全域的划分,政府的内网和因特网络要实行逻辑隔离,按照安全域的划分,政府的内网就是涉密域,政府的外网就
13、是非涉密域,因特网就是公共服网就是涉密域,政府的外网就是非涉密域,因特网就是公共服务域。务域。 13 网络隔离(网络隔离(Network IsolationNetwork Isolation),主要是指把两个或),主要是指把两个或两个以上可路由的网络(如两个以上可路由的网络(如TCP/IPTCP/IP)通过不可路由的协议)通过不可路由的协议(如(如IPX/SPXIPX/SPX、NetBEUINetBEUI等)进行数据交换而达到隔离目的。等)进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议,所以通常也叫协议隔由于其原理主要是采用了不同的协议,所以通常也叫协议隔离(离(Protocol
14、 IsolationProtocol Isolation)。)。 2 2、网络隔离网络隔离 第一代隔离技术第一代隔离技术完全的隔离完全的隔离第二代隔离技术第二代隔离技术硬件卡隔离硬件卡隔离 第三代隔离技术第三代隔离技术数据转播隔离数据转播隔离 第四代隔离技术第四代隔离技术空气开关隔离空气开关隔离 第五代隔离技术第五代隔离技术安全通道隔离安全通道隔离 13.3 系统隔离技术13.3.1 隔离的概念14 右图右图表示没有连接时表示没有连接时内外网的应用状况,从连内外网的应用状况,从连接特征可以看出这样的结接特征可以看出这样的结构从物理上完全分离。构从物理上完全分离。 13.3 系统隔离技术13.3
15、.2 网络隔离的原理15 当外网需要有数据到当外网需要有数据到达内网的时候达内网的时候,以电子邮,以电子邮件为例,外部的服务器立件为例,外部的服务器立即发起对隔离设备的非即发起对隔离设备的非TCP/IPTCP/IP协议的数据连接,协议的数据连接,隔离设备将所有的协议剥隔离设备将所有的协议剥离,将原始的数据写入存离,将原始的数据写入存储介质储介质。13.3 系统隔离技术13.3.2 网络隔离的原理16 一旦数据完全写入隔一旦数据完全写入隔离设备的存储介质,隔离离设备的存储介质,隔离设备立即中断与外网的连设备立即中断与外网的连接。转而发起对内网的非接。转而发起对内网的非TCP/IPTCP/IP协议
16、的数据连接。协议的数据连接。隔离设备将存储介质内的隔离设备将存储介质内的数据推向内网。内网收到数据推向内网。内网收到数据后,立即进行数据后,立即进行TCP/IPTCP/IP的封装和应用协议的封装,的封装和应用协议的封装,并交给应用系统。并交给应用系统。 在控制台收到完整的交换信号之后,隔离设备立即切断在控制台收到完整的交换信号之后,隔离设备立即切断隔离设备于内网的直接连接隔离设备于内网的直接连接 13.3 系统隔离技术13.3.2 网络隔离的原理17 内网有电子邮件要发内网有电子邮件要发出,隔离设备收到内网建出,隔离设备收到内网建立连接的请求之后,建立立连接的请求之后,建立与内网之间的非与内网
17、之间的非TCP/IPTCP/IP协协议的数据连接。隔离设备议的数据连接。隔离设备剥离所有的剥离所有的TCP/IPTCP/IP协议和协议和应用协议,得到原始的数应用协议,得到原始的数据,将数据写入隔离设备据,将数据写入隔离设备的存储介质。的存储介质。 13.3 系统隔离技术13.3.2 网络隔离的原理18 一旦数据完全写入隔一旦数据完全写入隔离设备的存储介质,隔离离设备的存储介质,隔离设备立即中断与内网的连设备立即中断与内网的连接。转而发起对外网的非接。转而发起对外网的非TCP/IPTCP/IP协议的数据连接。协议的数据连接。隔离设备将存储介质内的隔离设备将存储介质内的数据推向外网。外网收到数据
18、推向外网。外网收到数据后,立即进行数据后,立即进行TCP/IPTCP/IP的封装和应用协议的封装,的封装和应用协议的封装,并交给系统并交给系统 13.3 系统隔离技术13.3.2 网络隔离的原理19 每一次数据交换,隔离设备经历了数据的每一次数据交换,隔离设备经历了数据的接受接受、存储存储和和转发转发三个过程。由于这些规则都是在内存和内核中完成的,因此速度三个过程。由于这些规则都是在内存和内核中完成的,因此速度上有保证,可以达到上有保证,可以达到100%100%的总线处理能力。的总线处理能力。物理隔离的一个特征,物理隔离的一个特征,就是内网与外网永不连接,内网和外网在同一时间最多只有一个就是内
19、网与外网永不连接,内网和外网在同一时间最多只有一个同隔离设备建立非同隔离设备建立非TCP/IPTCP/IP协议的数据连接。协议的数据连接。其数据传输机制是存其数据传输机制是存储和转发。物理隔离的好处是明显的,即使外网在处在最坏的情储和转发。物理隔离的好处是明显的,即使外网在处在最坏的情况下,内网也不会有任何破坏,修复外网系统也非常容易。况下,内网也不会有任何破坏,修复外网系统也非常容易。13.3 系统隔离技术13.3.2 网络隔离的原理20 1 1基于代码、内容等隔离的反病毒和内容过滤技术基于代码、内容等隔离的反病毒和内容过滤技术 2 2基于网络层隔离的防火墙技术基于网络层隔离的防火墙技术 3
20、 3基于物理链路层的物理隔离技术基于物理链路层的物理隔离技术 13.3 系统隔离技术13.3.2 网络隔离技术分类211 1网络隔离技术需要具有的安全要点网络隔离技术需要具有的安全要点2 2网络隔离的关键点网络隔离的关键点 隔离的关键点就成了要尽量提高网间数据交换的速度,并且对应用能隔离的关键点就成了要尽量提高网间数据交换的速度,并且对应用能够透明支持,以适应复杂和高带宽需求的网间数据交换。够透明支持,以适应复杂和高带宽需求的网间数据交换。 要具有高度的自身安全性要具有高度的自身安全性要确保网络之间是隔离的要确保网络之间是隔离的 要保证网间交换的只是应用数据要保证网间交换的只是应用数据 要对网
21、间的访问进行严格的控制和检查要对网间的访问进行严格的控制和检查 要在坚持隔离的前提下保证网络畅通和应用透明要在坚持隔离的前提下保证网络畅通和应用透明 13.3 系统隔离技术13.3.4 网络隔离技术要点与发展方向223 3隔离技术的未来发展方向隔离技术的未来发展方向 通过专用通信设备、专有安全协议和加密验证机制及应通过专用通信设备、专有安全协议和加密验证机制及应用层数据提取和鉴别认证技术,进行不同安全级别网络之间用层数据提取和鉴别认证技术,进行不同安全级别网络之间的数据交换,彻底阻断网络间的直接的数据交换,彻底阻断网络间的直接TCP/IPTCP/IP连接,同时对网连接,同时对网间通信的双方、内
22、容、过程施以严格的身份认证、内容过滤、间通信的双方、内容、过程施以严格的身份认证、内容过滤、安全审计等多种安全防护机制,从而保证了网间数据交换的安全审计等多种安全防护机制,从而保证了网间数据交换的安全、可控,杜绝了由于操作系统和网络协议自身漏洞带来安全、可控,杜绝了由于操作系统和网络协议自身漏洞带来的安全风险。的安全风险。13.3 系统隔离技术13.3.4 网络隔离技术要点与发展方向23 网闸是使用带有多种控制功能的固态开关读写介质连接网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。两个独立主机系统的信息安全设备。 物理隔离网闸所连接的两个独立主机系统之间不存在
23、通物理隔离网闸所连接的两个独立主机系统之间不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议不存在依据协议的信息包转发,只有数据文件的无协议“摆摆渡渡”,且对固态存储介质只有,且对固态存储介质只有“读读”和和“写写”两个命令。所两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使的一切连接,使“黑客黑客”无法入侵、无法攻击、无法破坏,无法入侵、无法攻击、无法破坏,实现了真正的安全。实现了真正的安全。 13.4
24、 隔离网闸2413.4.1 13.4.1 网闸的发展网闸的发展 网闸,又称安全隔离与信息交换系统,是新一代高安全度的企网闸,又称安全隔离与信息交换系统,是新一代高安全度的企业级信息安全防护设备,它依托安全隔离技术为信息网络提供了更业级信息安全防护设备,它依托安全隔离技术为信息网络提供了更高层次的安全防护能力,不仅使得信息网络的抗攻击能力大大增强,高层次的安全防护能力,不仅使得信息网络的抗攻击能力大大增强,而且有效地防范了信息外泄事件的发生。而且有效地防范了信息外泄事件的发生。 第一代网闸的技术原理是利用单刀双掷开关使得内外网的处理单元第一代网闸的技术原理是利用单刀双掷开关使得内外网的处理单元分
25、时分时存取存取共享存储设备来完成数据交换的。安全原理是通过应用层数据提取与安全审查达共享存储设备来完成数据交换的。安全原理是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果。到杜绝基于协议层的攻击和增强应用层安全的效果。 第二代网闸正是在吸取了第一代网闸优点的基础上,利用专用交换通道第二代网闸正是在吸取了第一代网闸优点的基础上,利用专用交换通道PETPET(Private Exchange TunnelPrivate Exchange Tunnel)技术,在不降低安全性的前提下能够完成内外网)技术,在不降低安全性的前提下能够完成内外网之间高速的数据交换,有效地克服了第
26、一代网闸的弊端。第二代网闸的安全数据之间高速的数据交换,有效地克服了第一代网闸的弊端。第二代网闸的安全数据交换过程是通过专用硬件通信卡、私有通信协议和加密签名机制来实现。交换过程是通过专用硬件通信卡、私有通信协议和加密签名机制来实现。13.4 隔离网闸2513.4.2 13.4.2 网闸的工作原理网闸的工作原理 隔离网闸(安全隔离与信息交换隔离网闸(安全隔离与信息交换, ,GAPGAP),是在保证两个网络安),是在保证两个网络安全隔离的基础上实现安全信息交换和资源共享的技术。全隔离的基础上实现安全信息交换和资源共享的技术。13.4 隔离网闸2613.4.3 13.4.3 隔离网闸的特点隔离网闸
27、的特点 1 1)专用硬件设计保证了物理隔离下的信息交流。)专用硬件设计保证了物理隔离下的信息交流。GAPGAP均采用专用隔离硬件均采用专用隔离硬件的设计完成隔离功能,硬件设计保证在任意时刻网络间的链路层断开,阻断的设计完成隔离功能,硬件设计保证在任意时刻网络间的链路层断开,阻断TCP/IPTCP/IP协议以及其他网络协议;同时该硬件不提供编程软接口,不受系统控制,协议以及其他网络协议;同时该硬件不提供编程软接口,不受系统控制,仅提供物理上的控制开关。这样黑客无法从远程获得硬件的控制权。仅提供物理上的控制开关。这样黑客无法从远程获得硬件的控制权。 2 2)集合多种安全技术消除数据交换中的安全隐患
28、。在专用硬件基础上,紧)集合多种安全技术消除数据交换中的安全隐患。在专用硬件基础上,紧密集成了内核防护、协议转化、病毒查杀、身份验证、访问控制、安全审计等模密集成了内核防护、协议转化、病毒查杀、身份验证、访问控制、安全审计等模块。这些模块可以与隔离硬件结合形成整体的防御体系。块。这些模块可以与隔离硬件结合形成整体的防御体系。 3 3)网闸以安全隔离为基础,并集成多种防护技术,其软硬一体设计形成整)网闸以安全隔离为基础,并集成多种防护技术,其软硬一体设计形成整体多层面的安全防护。体多层面的安全防护。 4 4)灵活高效数据交换形式确保应用需求。)灵活高效数据交换形式确保应用需求。GAPGAP产品都
29、提供了多种数据交换产品都提供了多种数据交换方式以满足业务应用。如公安部信息通信局与天行网安公司联合研制的天行安全方式以满足业务应用。如公安部信息通信局与天行网安公司联合研制的天行安全隔离网闸(隔离网闸(TopwalkTopwalk-GAP-GAP)提供了文件交换、邮件交换、数据库交换和提供)提供了文件交换、邮件交换、数据库交换和提供APIAPI应应用接口的消息模块,同时具有较高的传输速率和低延迟性。用接口的消息模块,同时具有较高的传输速率和低延迟性。 13.4 隔离网闸2713.5 13.5 典型产品介绍典型产品介绍 天御天御60006000网络物理隔离系统网络物理隔离系统 2813.5 13
30、.5 典型产品介绍典型产品介绍 天御天御60006000系列网络物理隔离系统是由北京和信网安科技有系列网络物理隔离系统是由北京和信网安科技有限公司与中国科学院中力机电新技术有限公司联合开发的网络限公司与中国科学院中力机电新技术有限公司联合开发的网络安全产品。在保证内外网物理隔离的情况下,实现安全高效的安全产品。在保证内外网物理隔离的情况下,实现安全高效的数据交换,为解决内网的安全问题提供了全新的解决方案。数据交换,为解决内网的安全问题提供了全新的解决方案。在在保证必须安全的前提下,尽可能互联互通。保证必须安全的前提下,尽可能互联互通。 13.5.1 13.5.1 产品概况产品概况 13.5.2
31、 13.5.2 安全策略安全策略 外网服务器的外网服务器的TCP/IPTCP/IP协议栈关闭,内外网服务器之间采用纯数据进行传输协议栈关闭,内外网服务器之间采用纯数据进行传输内网和外网之间采用专有的通讯协议,有效防止黑客从外网攻入内网内网和外网之间采用专有的通讯协议,有效防止黑客从外网攻入内网内网向外发起的连接需经过内网服务器的身份认证内网向外发起的连接需经过内网服务器的身份认证外网主动发起的连接无法建立,只有内网请求的回应数据可以进入内网外网主动发起的连接无法建立,只有内网请求的回应数据可以进入内网 2913.5 13.5 典型产品介绍典型产品介绍 产品的安装部署产品的安装部署 30 物理安
32、全物理安全在整个计算机网络信息系统安全体系中占有重在整个计算机网络信息系统安全体系中占有重要地位,也是其他安全措施得以实施并发挥正常作用的基础要地位,也是其他安全措施得以实施并发挥正常作用的基础和前提条件。计算机信息系统物理安全的内涵是保护计算机和前提条件。计算机信息系统物理安全的内涵是保护计算机信息系统设备、设施以及其他媒体免遭地震、水灾、火灾等信息系统设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏。包含的主要内容为机房安全技术、电源系统安全致的破坏。包含的主要内容为机房安全技术、电
33、源系统安全技术、通信线路安全技术、计算机系统设备安全技术等。技术、通信线路安全技术、计算机系统设备安全技术等。 隔离技术隔离技术的发展、现状及工作原理,重点应掌握安全隔的发展、现状及工作原理,重点应掌握安全隔离网闸(离网闸(GAPGAP)的工作原理:协议控制、数据转换、安全审查、)的工作原理:协议控制、数据转换、安全审查、身份认证等。同时应将安全隔离网闸与传统防火墙对比地学身份认证等。同时应将安全隔离网闸与传统防火墙对比地学习,理解它们间的异同,特别是在安全机制、硬件设计、网习,理解它们间的异同,特别是在安全机制、硬件设计、网络协议处理、遭攻击后果等方面的区别。络协议处理、遭攻击后果等方面的区别。 本章小结本章小结
