網閘架構一般分為兩種:三主機的三系統架構網閘和雙主機的2+1架構網閘,
三主機架構分別為內端機、外端機和仲裁機,三機無論從軟體和硬體上均各自獨立,首先從硬體上來看,三機都用各自獨立的主板、記憶體及存盤設備,從軟體上來看,三機有各自獨立的作業系統,這樣能達到完全的三機獨立,對于“2+1”系統,“2”分為內端機和外端機兩個部分,從硬體上來看,二機分別獨立,但是從軟體上來看,分為內端機、外端機與仲裁機,由于仲裁系統沒有自己獨立的硬體架構,所以,仲裁系統只有附載在內端機和外端機的其中一端上面(一般附載在內端機上),其中“2+1”中的“1”為傳輸介質,我們一般稱為“資料媒介”,只是一簡單的物理硬體,本身不具有作業系統,沒有任何智能,主要用于內外端機擺渡資料,而且只是簡單擺渡而已,不會對擺渡的資訊作任何檢查或過濾,
上面這個是針對兩種結構的說明,下面在說下兩種不同結構產生所產生的效果:三機三系統,三機分別獨立,仲裁系統附載于與內外端機完全獨立的仲裁機上,仲裁機采用專用硬體和專用協議與內外端機相連,這樣仲裁系統與外界的TCP/IP協議完全隔離,任何人不可能通過通用的網路協議連接到仲裁系統上,更不可能通過網路協議來攻擊仲裁機或控制仲裁機,所以三機中的仲裁機是安全的、可靠的,是可以信賴的,
對于“2+1”的結構,由于其仲裁系統沒有自己獨立的硬體,所以其只有附載在內、外端機中的一端(一般附載在內端機上,有些網閘產品可能會附載在內外端機上,內外端機需要分開來配置的就是,相對來說安全性更低),由于內外端機在網路中運行時,需要與網路進行實時的通信,且仲裁系統附載在內、外端機上,所以仲裁系統就與內外端機一樣,是網路協議可達的,既然仲裁系統通用協議可達,那么仲裁系統本身就有可能受來自網路的攻擊,一旦仲裁系統受到黑客攻擊,轉而控制仲裁系統,那么黑客本身很有可能構建出對黑客本身不受控的通路,那么攻擊者就有可能對所隔離的客戶的重要機密資訊作出各種非法的事情,這樣嚴重影響到隔離的效果,從而給用戶造成不可估量的損失,后果不堪設想,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/435.html
標籤:其他
上一篇:返回列表