qq游戏里有没有三张牌

解決方案

  網絡安全解決方案
        電子政務
        電力行業
        教育行業
        保險行業
        企業系統
        稅務行業
        網閘應用案例
        網閘應用測試
        政府門戶網站安全方案
  軟件解決方案
        門戶解決方案
        協同管理解決方案
        中網IT調度綜合管理系統
        經濟數據分析解決方案
        仲裁行業解決方案
        在線交易管理解決方案
        應急指揮解決方案
        數據整合解決方案
 
    電話:027-87367829
    郵箱:support@hbzw.net

  地址:

湖北省武漢市中北路1號楚天都市花園B座16樓
   
   

您的當前位置:首頁 > 解決方案 > 網絡安全解決方案

網閘應用測試

 

某醫院與外網采用網閘隔離設備的效果測試報告

摘要:醫院業務網絡與外網(包括互聯網、醫保網)相聯處可選擇部署防火墻或網閘設備進行隔離。為了了解其隔離效果的不同,找出網閘與防火墻的本質區別,我們進行了本項測試工作。通過測試證明:網閘中斷了TCP/IP、中斷了應用連接、只有裸數據“擺渡”,網閘隔離強度更高、安全防護效果明顯。

    關鍵詞:網閘;安全隔離;效果測試

 一、網閘技術簡介

網閘是新一代高安全性的隔離產品。網閘采用“2+1”的結構,即由兩套單邊計算機主機(外部主機、內部主機)和一套固態介質存儲系統的隔離開關組成。

外部單邊主機,只有外網卡,沒有內網卡。該主機安裝有代理軟件:Agent。“Agent”代理內網去外網獲取信息,然后放在指定的地方。內部的計算機主機,只有內網卡,沒有外網卡。該主機是網閘在內網的連接點,屬于內網的一部分。所有內網的主機需要得到外網上的信息,都必須通過這臺主機來代辦。

網閘從網絡第一層一直工作到網絡第七層,網閘斷開了兩個網絡,中止了所有的協議,在網絡的第七層將包還原為原始數據或文件,然后以“擺渡文件”的形式來傳遞和交換數據,沒有任何包、命令和TCP/IP協議(包括UDPICMP)可以穿透網閘。

二、某醫院應用概述

某醫院現有近千臺客戶端主機、二十多臺服務器,其中以一臺裝有ORACLE數據庫的小型機為核心服務器。整個醫院園區網以獨立專網方式運行多年,現由于業務需要,要和社保醫療保障系統互聯互通,同時還要與互聯網相聯。這樣該網絡面臨著新的網絡安全考驗。

由于信息技術的飛速發展,實施攻擊的技術要求越來越簡單,成本越來越低,同時操作系統的漏洞卻不斷被發現,病毒不斷爆發,信息系統所面臨的安全威脅越來越大。如果該網絡局部或全局癱瘓,不僅對醫院的正常業務造成嚴重的影響,也對醫院的形象和服務質量造成不可估量的損失。所以如何保障醫院網絡及整個信息系統的安全與穩定運行成為一項極為重要的工作內容。

為了保護醫院業務網的安全,在醫院網絡與外網(包括互聯網、醫保網)相聯處可選擇部署防火墻或隔離網閘設備進行隔離。但兩種設備的隔離效果差別較大,為了了解其隔離效果的不同,找出網閘與防火墻的本質區別,我們進行了本項測試工作。

 

三、測試內容和結果

(一)DOS 攻擊測試

模擬一臺外網攻擊機,向內網的某一服務器進行SYN FLOODLAND的攻擊。一般情況下會隨著攻擊強度的增加,服務器的資源會逐漸耗盡,最終達到服務不可用的狀態,甚至系統崩潰。示意圖如圖1所示。

1 DOS攻擊測試示意圖

DOS攻擊的原理是利用TCP/IP上的漏洞,例如TCP的三次握手協議,防火墻即使有包過濾的功能,但也不能抵御這種類型的攻擊,僅僅只能做到屏蔽IP與端口。在IP源地址被偽造的情況下,就更不能識別到這種攻擊。但是網閘采用了物理隔離,任何數據包都采用了重組的方式達到網絡的對端,并且中網網閘有獨特的抗DOS功能模塊,這次經模擬測試,也證實了極佳的效果。具體過程如下:

1.         模擬測試工具,本次采用DOS攻擊壓力測試軟件。截圖如圖2所示:

2 DOS攻擊壓力測試

2.         在沒有攻擊前,被攻擊的服務器系統狀態正常,如圖3

3

3.         采用SYN_FLOODDOS攻擊,CPU、內存、系統資源都明顯大幅度的提高。由于采用偽造源地址的攻擊,系統內閑置了上千條連接,如圖4、圖5

4

5

4.         采用LANDDOS最高強度攻擊后,CPU占用率100%,系統異常緩慢。鼠標與鍵盤都有很明顯的延時現象。應用程序與服務都不能運行。

6

5.         采用網閘隔離后,在SYN_FLOODLAND攻擊目標服務器時,并沒有出現服務不可用現象,CPU、內存的變化并不明顯,大約在2%8%,在攻擊的同時,也測試了兩端網絡文件復制、訪問均沒有問題、傳輸速度上也沒有任何延遲的現象,如圖7

7

       從此測試的結果來看,網閘基本抵御了所有的DOS攻擊。正常用戶的應用訪問沒有受到影響。

 (二)反射型病毒入侵測試

將內網某臺服務器安裝定制的后門程序,然后通過外網的一臺服務器非法入侵與監控,這其中包括鍵盤后臺記錄、密碼自動獲取、屏幕監控、進程查找等。總之,可以獲取該主機的控制權,甚至能夠關機重啟。

一般情況下防火墻會控制外網向內網的訪問端口,但在內網向外網訪問的情況下,由于外網地址不固定,會采取不限制內網向外網的訪問,在這種寬松的情況下,如果內網某臺PC感染了木馬病毒,則不需要外網的入侵者主動連到內網,內網的服務器也會主動尋找外網攻擊者,這就是木馬、特洛伊的特點。

示意圖如圖8所示。

8

采用防火墻及網閘進行隔離的測試步驟如下:

1. 采用網閘前,被攻擊服務器在感染病毒后,沒有任何的異常現象,實際病毒已經隱藏在系統進程各種,一般防病毒軟件和使用者都很難發現到。

9

      2. 這是后門程序的控制端,一般外網入侵者會通過類似的工具,來探測內網的受感染的機群,俗稱“肉雞”。可見類似工具的功能非常強大,使用起來也非常方便。

10

   3. 在使用網閘隔離后,雖然內部主機受到木馬病毒的感染,但外部的入侵者不能探測也不能連接。內部的感染機也無法主動通知外部入侵者,這是因為網閘的物理隔離功能起到效果。

      

11

 四、結論

由于網閘中斷了TCP/IP、中斷了應用連接、只有裸數據擺渡。部署網閘使得外網:

l         無法ping內網的任何主機;

l         無法穿透網閘來追蹤路由(traceroute);

l         無法掃描內部網絡,因此無法發現內網的主機信息、操作系統信息、應用信息;

l         無法發現內網主機的漏洞、應用的漏洞;

l         無法同內網的主機建立通信連接;

l         無法向內網發送IP包;

l         無法同內網的任何主機建立TCP/UDP/ICMP連接;

l         無法同內網的任何主機建立應用連接(C/SB/S)。

通過測試,可以清楚看到防火墻與網閘的本質區別。防火墻是首先保證聯通性,再追求安全性;網閘是先保證安全性,再追求聯通性。網閘隔離強度更高、隔離效果更好,安全性能更高。

 參考文獻:

【1】       萬平國. 《網絡隔離與網閘》,機械工業出版社,2004年。

【2】       閻慧 王偉 寧宇鵬. 《防火墻原理與技術》,機械工業出版社,2004年。

 

 

三张牌的游戏 下载白城麻将 闲来安徽麻将安庆点 海南椰岛股吧 微乐河南麻将辅助器免费版 查询每天3D试机号 麻将实战技巧100例 西甲上赛季积分榜 熊猫游戏平台官方 温岭麻将规则 德国赛车彩票网站 陕西11选5 雀魂麻将app官网 英超冠军一览表 海南竞猜型彩票怎么玩 广东麻将推倒胡下载 3d试机号30期