网闸应用测试 -湖北中网科技有限公司 体彩220期开奖直播

解决方案

  网络安全解决方案
        电子政务
        电力行业
        教育行业
        保险行业
        企业系统
        税务行业
        网闸应用案例
        网闸应用测试
        政府门户网站安全方案
  软件解决方案
        门户解决方案
        协同管理解决方案
        中网IT调度综合管理系统
        经济数据分析解决方案
        仲裁行业解决方案
        在线交易管理解决方案
        应急指挥解决方案
        数据整合解决方案
 
    电话:027-87367829
    邮箱:support@hbzw.net

  地址:

湖北省武汉市中北路1号楚天都市花园B座16楼
   
   

您的当前位置:首页 > 解决方案 > 网络安全解决方案

网闸应用测试

 

某医院与外网采用网闸隔离设备的效果测试报告

摘要:医院业务网络与外网(包括互联网、医保网)相联处可选择部署防火?#20132;?#32593;闸设备进行隔离。为了了解其隔离效果的不同,?#39029;?#32593;闸与防火墙的本质区别,我们进行了本项测试工作。通过测试证明:网闸中断了TCP/IP、中断了应用连接、只有裸数据“摆渡”,网闸隔离强度更高、安全防护效果明显。

    关键词:网闸;安全隔离;效果测试

 一、网闸技术简介

网闸是新一代高安全性的隔离产品。网闸采用“2+1”的结构,即由?#25945;?#21333;边计算机主机(外部主机、内部主机)和一套固态介质存储系统的隔离开关组成。

外部单边主机,只有外网卡,没有内网卡。该主机安装有代理软件:Agent。“Agent”代理内网去外网获取信息,然后放在指定的地方。内部的计算机主机,只有内网卡,没有外网卡。该主机是网闸在内网的连接点,属于内网的一部分。所有内网的主机需要得到外网?#31995;?#20449;息,?#24613;?#39035;通过这台主机来代办。

网闸从网络第一层一直工作到网络第七层,网闸断开了两个网络,中止了所有的协议,在网络的第七层将包还原为原始数据或文件,然后以“摆渡文件”的形式来传递和交换数据,没有任何包、命令和TCP/IP协议(包括UDPICMP)可以穿透网闸。

二、某医院应用概述

某医?#21512;?#26377;近千台客户端主机、二十多台服务器,其中以一台装有ORACLE数据库的小型机为核心服务器。整个医院园区网以独立专网方式运行多年,现由于业务需要,要和社保医疗保障系统互联互通,同时还要与互联网相联。这样该网络面临着新的网络安全考验。

由于信息技术的飞速发展,实施攻击的技术要求越来越简单,成本越来越低,同时操作系统的漏洞却不断被发现,病毒不断爆发,信息系统所面临的安全威胁越来越大。如果该网络局部或全局?#34987;?span lang="EN-US">,不仅对医院的正常业务造成?#29616;?#30340;影响,也对医院的形象和服务质量造成不可估量的损失。所以如何保障医院网络及整个信息系统的安全与稳定运行成为一项极为重要的工作内容。

为了保护医院业务网的安全,在医院网络与外网(包括互联网、医保网)相联处可选择部署防火?#20132;?#38548;离网闸设备进行隔离。但两种设备的隔离效果差别较大,为了了解其隔离效果的不同,?#39029;?#32593;闸与防火墙的本质区别,我们进行了本项测试工作。

 

三、测试内容和结果

(一)DOS 攻击测试

模拟一台外网攻击机,向内网的某一服务器进行SYN FLOODLAND的攻击。?#35805;?#24773;况下会随着攻击强度的增加,服务器的?#35797;?#20250;逐渐耗尽,最终达到服务不可用的状态,甚至系统崩溃。示意图如图1所?#23613;?/span>

1 DOS攻击测试示意图

DOS攻击的原理是利用TCP/IP?#31995;?#28431;洞,例如TCP的三次握?#20013;?#35758;,防火墙?#35789;?#26377;包过滤的功能,但也不能抵御这种类型的攻击,仅仅只能做到屏蔽IP与端口。在IP源地址被伪造的情况下,就更不能识别到这?#27490;?#20987;。但是网闸采用?#23435;?#29702;隔离,任何数据包都采用了重组的方式达到网络的对端,并且中网网闸有独特的抗DOS功能模块,这次经模拟测试,也证实了极佳的效果。具体过程如下:

1.         模拟测试工具,本次采用DOS攻击压力测试软件。截图如图2所示:

2 DOS攻击压力测试

2.         在没有攻击前,?#36824;?#20987;的服务器系统状态正常,如图3

3

3.         采用SYN_FLOODDOS攻击,CPU、内存、系统?#35797;炊济?#26174;大幅度的提高。由于采用伪造源地址的攻击,系统内闲置了上千条连接,如图4、图5

4

5

4.         采用LANDDOS最高强度攻击后,CPU占用率100%,系统异常缓慢。鼠标与键盘都有很明显的?#37038;?#29616;象。应用程序与服务都不能运行。

6

5.         采用网闸隔离后,在SYN_FLOODLAND攻击目标服务器?#20445;?#24182;没有出现服务不可用现象,CPU、内存的变化并不明显,大约在2%8%,在攻击的同?#20445;?#20063;测试了两端网络文件复制、访?#31034;?#27809;有问题、传输速度上?#35009;?#26377;任何延迟的现象,如图7

7

       从此测试的结果来看,网闸基本抵御了所有的DOS攻击。正常用户的应用访问没有受?#25509;?#21709;。

 (二)反射型病毒入侵测试

将内网某台服务器安装定制的后门程序,然后通过外网的一台服务器非法入侵与监控,这其中包括键盘后台记录、密码自动获取、屏幕监控、进程查?#19994;取?#24635;之,可以获取该主机的控制权,甚至能够关机重启。

?#35805;?#24773;况?#36335;?#28779;?#20132;?#25511;制外网向内网的访问端口,但在内网向外网访问的情况下,由于外网地址不固定,会采取不限制内网向外网的访问,在这种宽松的情况下,如果内网某台PC感染了木马病毒,则不需要外网的入?#32456;?#20027;动连到内网,内网的服务器?#19981;?#20027;动寻找外网攻击者,这就是木马、特洛伊的特点。

示意图如图8所?#23613;?span lang="EN-US">

8

采用防火墙及网闸进行隔离的测试步骤如下:

1. 采用网闸前,?#36824;?#20987;服务器在感染病毒后,没有任何的异常现象,实际病毒已经隐藏在系统进程各种,?#35805;?#38450;病毒软件和使用者都很难发现到。

9

      2. 这是后门程序的控制端,?#35805;?#22806;网入?#32456;?#20250;通过类似的工具,来探测内网的受感染的机群,俗称“肉鸡”。可见类似工具的功能非常强大,使用起来也非常方便。

10

   3. 在使用网闸隔离后,虽然内部主机受到木马病毒的感染,但外部的入?#32456;?#19981;能探测也不能连接。内部的感染机也无法主动通知外部入?#32456;擼?#36825;是因为网闸的物理隔离功能起到效果。

      

11

 四、结论

由于网闸中断了TCP/IP、中断了应用连接、只有裸数据摆渡。部署网闸使得外网:

l         无法ping内网的任何主机;

l         无法穿透网闸来追踪路由(traceroute);

l         无法扫描内部网络,因?#23435;?#27861;发现内网的主机信息、操作系统信息、应用信息;

l         无法发现内网主机的漏洞、应用的漏洞;

l         无法同内网的主机建立通信连接;

l         无法向内网发送IP包;

l         无法同内网的任何主机建立TCP/UDP/ICMP连接;

l         无法同内网的任何主机建立应用连接(C/SB/S)。

通过测试,可以清楚看到防火墙与网闸的本质区别。防火墙是首先保证联通性,再追求安全性;网闸是先保证安全性,再追求联通性。网闸隔离强度更高、隔离效果更好,安全性能更高。

 参考文献:

【1】       万平国. 《网络隔离与网闸》,机械工业出版社,2004年。

【2】       ?#21482;?/span> 王伟 宁宇鹏. 《防火墙原理与技术》,机械工业出版社,2004年。

 

 

体彩220期开奖直播 中国大乐透走势图 大话西游采矿职业那个赚钱吗 广东时时彩开奖 新疆11选5一定牛 001期一码中特 毕节市福彩票中心地址 福彩开奖2017037期 广东时时彩11选五开奖结果查询 龙王捕鱼技巧打法 2013曾道人一句玄机诗