网络安全解答题.docx
《网络安全解答题.docx》由会员分享,可在线阅读,更多相关《网络安全解答题.docx(27页珍藏版)》请在冰点文库上搜索。
网络安全解答题
1.防火墙工作在哪个层
包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。
只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。
应用代理型防火墙是工作在OSI的最高层,即应用层。
其特点是完全"阻隔"了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。
2.什么叫DDOS,工作原理
拒绝服务攻击分类
●分布式拒绝服务攻击(DDoS)
●原理:
是在传统DoS攻击基础之上产生的一类攻击方式。
也是现在最常用,最难以防御的一种拒绝服务攻击。
它借助于C/S技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍提高拒绝服务攻击的威力。
●反射式拒绝服务攻击(RDoS)
3.SSL是什么算法,对称还是?
?
SSL以对称密码技术和公开密码技术相结合,可以实现如下三个通信目标:
(1)秘密性:
SSL客户机和服务器之间传送的数据都经过了加密处理,网络中的非法窃听者所获取的信息都将是无意义的密文信息。
(2)完整性:
SSL利用密码算法和散列(HASH)函数,通过对传输信息特征值的提取来保证信息的完整性,确保要传输的信息全部到达目的地,可以避免服务器和客户机之间的信息受到破坏。
(3)认证性:
利用证书技术和可信的第三方认证,可以让客户机和服务器相互识别对方的身份。
为了验证证书持有者是其合法用户(而不是冒名用户),SSL要求证书持有者在握手时相互交换数字证书,通过验证来保证对方身份的合法性。
4.宿舍里面机子可以上网,某台机子开机后不可以上互联网,但可以访问局域网共享资源,请问有什么可能;
1:
能不能用IP上网,如果不可仪,就是连接不了DHCP;PINGDHCP服务器的IP是否通,2.能连接的话,DNS配置错误,查看服务有没有启动,查看首选DNS配置是否正确;
1、黑客攻击类型:
1拒绝服务攻击(SYN泛洪攻击,Smurf攻击)、2非法访问(非法接入、非法访问资源)、3恶意代码、4窃取和中继攻击(用集线器窃取信息,ARP欺骗,伪造路由信息)
2、公开密钥的基本特性:
公钥PK是公开的,私钥SK是秘密的,一般情况下PK用于加密,SK用于解密;PK和SK一一对应;如果用PK加密,则只能用SK解密,无法用PK和用PK加密后的密文得出明文;SK的私密性要求无法通过PK推导出SK;得知对方的公钥,可以实现单向保密通信。
3、虚拟专用网(VPN)的基本概念:
虚拟专用网络指由公共分组交换网络互连物理上分散的多个子网的内部网络,但和采用专用点对点链路互连的专用网络具有相同安全和使用本地地址的特性。
4、防火墙的功能及原理:
防火墙的主要功能包括:
服务控制、方向控制、用户控制、行为控制。
原理:
防火墙能增强机构内部网络的安全性,防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。
防火墙必须只允许授权的数据通过,而且防火墙本身也必须能够免于渗透
5、拒绝服务攻击的两种方式:
拒绝服务攻击是利用访问权限允许的访问过程不正常地发送请求或其他信息,导致服务器不能正常提供服务或网络节点发生拥塞的一种攻击手段。
1.防火墙通过只中继正常的建立TCP连接请求,来避免服务器遭受SYN泛滥攻击。
2.通过COOKIE技术避免防火墙被SYN泛滥阻塞。
6、入侵防御系统的基本工作过程:
入侵防御系统的作用是检测网络中可能存在的攻击行为,并对攻击行为进行反制。
主要分两类:
主机入侵防御系统和网络入侵防御系统
其工作过程为:
捕获信息;检测异常信息;反制异常信息;报警;登记。
7、信息捕获机制:
信息流捕获方法:
1.利用集线器的广播传输功能,从集线器任何端口进入的信息流,将广播到所有其他端口。
2.利用交换机端口境像捕获信息机制
3.利用虚拟访问控制列表捕获信息机制
8、入侵检测机制:
入侵检测机制主要可以分为三类:
1.攻击特征检测:
元攻击特征和有状态攻击特征)
2.协议译码:
IP分组检测(<=64KB)、TCP报文检测、应用层协议检测
3.异常检测:
基于统计机制、基于规则机制、异常检测的误报和漏报
1.简述拒绝服务攻击的概念和原理。
答:
拒绝服务攻击的概念:
广义上讲,拒绝服务(DoS,Denialofservice)攻击是指导致服务器不能正常提供服务的攻击。
确切讲,DoS攻击是指故意攻击网络协议实现的缺陷或直接通过各种手段耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务,使目标系统停止响应,甚至崩溃。
拒绝服务攻击的基本原理:
是使被攻击服务器充斥大量要求回复的信息,消耗网络、带宽或系统资源,导致网络或系统超负荷,以至于瘫痪而停止提供正常的网络服务
2.简述交叉认证过程。
答:
首先,两个CA建立信任关系。
双方安全交换签名公钥,利用自己的私钥为对方签发数字证书,从而双方都有了交叉证书。
其次,利用CA的交叉证书验证最终用户的证书。
对用户来说就是利用本方CA公钥来校验对方CA的交叉证书,从而决定对方CA是否可信;再利用对方CA的公钥来校验对方用户的证书,从而决定对方用户是否可信。
3.简述SSL安全协议的概念及功能。
答:
SSL全称是:
SecureSocketLayer(安全套接层)。
在客户和服务器两实体之间建立了一个安全的通道,防止客户/服务器应用中的侦听、篡改以及消息伪造,通过在两个实体之间建立一个共享的秘密,SSL提供保密性,服务器认证和可选的客户端认证。
其安全通道是透明的,工作在传输层之上,应用层之下,做到与应用层协议无关,几乎所有基于TCP的协议稍加改动就可以在SSL上运行。
4.简述好的防火墙具有的5个特性。
答:
(1)所有在内部网络和外部网络之间传输的数据都必须经过防火墙;
(2)只有被授权的合法数据,即防火墙系统中安全策略允许的数据,可以通过防火墙;(3)防火墙本身不受各种攻击的影响;(4)使用目前新的信息安全技术,如一次口令技术、智能卡等;(5)人机界面良好,用户配置使用方便,易管理,系统管理员可以对发防火墙进行设置,对互连网的访问者、被访问者、访问协议及访问权限进行限制。
5简述电子数据交换(EDI)技术的特点。
答:
特点:
使用对象是不同的组织之间;所传送的资料是一般业务资料;采用共同标准化的格式;尽量避免人工的介入操作,由收送双方的计算机系统直接传送、交换资料。
6、简述ARP的工作过程及ARP欺骗。
ARP的工作过程:
(1)主机A不知道主机B的MAC地址,以广播方式发出一个含有主机B的IP地址的ARP请求;
(2)网内所有主机受到ARP请求后,将自己的IP地址与请求中的IP地址相比较,仅有B做出ARP响应,其中含有自己的MAC地址;(3)主机A收到B的ARP响应,将该条IP-MAC映射记录写入ARP缓存中,接着进行通信。
ARP欺骗:
ARP协议用于IP地址到MAC地址的转换,此映射关系存储在ARP缓存表中。
当ARP缓存表被他人非法修改将导致发送给正确主机的数据包发送给另外一台由攻击者控制的主机,这就是所谓的“ARP欺骗”。
7、简述包过滤型防火墙的概念、优缺点和应用场合。
答:
包过滤型防火墙的概念:
包过滤防火墙用一台过滤路由器来实现对所接受的每个数据包做允许、拒绝的决定。
过滤规则基于协议包头信息。
包过滤型防火墙的优缺点:
包过滤防火墙的优点:
处理包的速度快;费用低,标准的路由器均含有包过滤支持;包过滤防火墙对用户和应用讲是透明的。
无需对用户进行培训,也不必在每台主机上安装特定的软件。
包过滤防火墙的缺点:
维护比较困难;只能阻止外部主机伪装成内部主机的IP欺骗;任何直接经过路由器的数据包都有被用作数据驱动式攻击的潜在危险;普遍不支持有效的用户认证;安全日志有限;过滤规则增加导致设备性能下降;包过滤防火墙无法对网络上流动的信息提供全面的控制。
包过滤型防火墙的应用场合:
非集中化管理的机构;没有强大的集中安全策略的机构;网络的主机数比较少;主要依靠于主机来防止入侵,但当主机数增加到一定程度的时候,依靠主机安全是不够的;没有使用DHCP这样的动态IP地址分配协议。
8、什么是拒绝服务攻击?
如何阻挡?
答:
拒绝服务是网络信息系统由于某种原因不能为授权用户提供正常的服务。
服务质量下降甚至不能提供服务,系统性能遭到不同程度的破坏,降低了系统资源的可用性。
系统资源可以是处理器、磁盘空间、CPU使用的时间、打印机、调制解调器,甚至是系统管理员的时间,拒绝服务的结果是减少或失去服务。
对于拒绝服务式攻击我们不能完全消除它们,遇到这种攻击时,可以采用以下几种办法处理:
①寻找一种方法来过滤掉这些不良的数据包;
②提高对接受数据进行处理的能力;
③追查并关闭那些发动攻击的站点;
④增加硬件设备或者提高网络容量,以从容处理正常的负载和攻击数据流量。
9、防火墙有几类?
简述分组过滤防火墙。
答:
根据防火墙在网络协议中的过滤层次不同,我们把防火墙分为三种:
包过滤防火墙、电路级网关防火墙、应用级网关防火墙。
分组过滤器是目前使用最为广泛的防火墙,其原理很简单:
1、有选择地允许数据分组穿过防火墙,实现内部和外部主机之间的数据交换;2、作用在网络层和传输层;3、根据分组的源地址、目的地址、端口号、协议类型等标志确定是否允许数据包通过。
满足过滤逻辑的数据包才被转发,否则丢弃。
10、密要分配的几种方法
答:
通信双方可通过三种基本方法实现秘密信息的共享:
一是利用安全信道实现密钥传递;二是利用双钥体制建立安全信道传递;三是利用特定的物理现象(量子技术)实现密钥传递。
11、描述三次握手的过程
答:
TCP是面向连接的,所谓面向连接,就是当计算机双方通信时必需先建立连接,然后数据传送,最后拆除连接三个过程
并且TCP在建立连接时又分三步走:
第一步是请求端(客户端)发送一个包含SYN即同步标志的TCP报文,SYN同步报文会指明客户端使用的端口以及TCP连接的初始序号;
第二步,服务器在收到客户端的SYN报文后,将返回一个SYN+ACK的报文,表示客户端的请求被接受,同时TCP序号被加一,ACK即确认
第三步,客户端也返回一个确认报文ACK给服务器端,同样TCP序列号被加一,到此一个TCP连接完成。
然后才开始通信的第二步:
数据处理。
这就是所说的TCP三次握手
12.简述CA对数字证书签名及数字证书的验证过程。
答:
数字证书签名
CA首先要对证书的所有字段计算一个信息摘要,而后用CA私钥机密消息摘要,构成CA的数字签名。
CA将计算出的数字签名作为数字证书的最后一个字段插入,类似于护照上的印章与签名。
该过程有密码运算程序自动完成。
数字证书验证
(1)用户将数字证书中除最后一个字段以外的所有字段输入信息摘要算法。
(2)由信息摘要算法计算数字证书中除最后一个字段外其他字段的信息摘要,设该信息摘要为MD1.
(3)用户从证书中取出CA的数字签名。
(4)用户用CA的公钥对CA的数字签名信息进行解密运算。
(5)解密运算后获得CA签名所使用的信息摘要,设为MD2.
(6)用户比较MD1与MD2。
若两者相符,则可肯定数字证书已由CA用其私钥签名,否则用户不信任该证书,将其拒绝。
1.如何使用防火墙限制连接带宽?
1.步骤如下:
第一步:
配置防火墙接口的IP地址
进入防火墙的配置页面:
网络配置——>接口IP,单击<添加>按钮为接口添加IP地址。
为防火墙的LAN接口配置IP地址及子网掩码。
为防火墙的WAN接口配置IP地址及子网掩码。
第二步:
配置NAT规则
进入防火墙配置页面:
安全策略——>安全规则,单击页面上方的按钮添加NAT规则,NAT规则中我们丢内部访问外部的HTTP流量进行NAT转换。
第三部:
验证测试
在内部用户PC上访问外部的Wab服务器1.1.1.100,可以成功访问。
第四步:
配置带宽列表
进入防火墙配置页面:
对象定义-->带宽列表,单击页面中的<添加>按钮创建带宽列表。
在贷款列表中配置保证带宽为256kbps,最大带宽为512kbps.
第五步:
应用带宽列表
进入防火墙配置页面:
安全策略-->安全规则,对之前创建的NAT
规则进行编辑。
在NAT规则的流量控制下拉框中选择刚才创建的带宽列表“http_limit”
第六步:
验证测试
在内部用户PC上从Web服务器下载文件,观察下载速度,最后下载速度稳定在大约65kb/s,月520kb/s,与之前设置的最大带宽512kbps相近。
2.如何从备份中恢复数据?
2.
(1)单击“开始”按钮,然后单击“运行”按钮,输入ntbackup,然后单击“确定”按钮,此时会出现“备份或还原向导”。
单击“下一步”按钮。
(2)在“备份或还原”页面中,单击“还原文件和设置”,然后单击“下一步”按钮。
在“还原项目”页面上,单击项目以展开其内容。
选择包含要还原的数据的所有设备或文件夹,然后单击”下一步“按钮。
(3)在“完成备份或还原向导”页面中,如果您要更改任何高级还原选项,例如还原安全设置和交点数据,请单击“高级”选项。
完成设置高级还原选项后,单击“确定”按钮。
验证是否所有设置都正确,然后单击“完成”按钮。
1.计算机网络安全的目的什么?
答:
计算机网络安全的目的简单地说就是要充分利用现有的各种网络安全技术手段使计算机网络的使用者获得良好的网络安全使用环境。
2.网络安全的核心是什么?
答:
其核心是网络的信息安全,确保网络信息的可靠传输,不被窃取与篡改。
网络安全的基本功能是要保证网络系统的正常运行,具有良好的可用性。
3.说一说对于不同安全等级的网络应该采用什么安全技术?
答:
不同等级的网络安全需求处理手段上不同的,可以只对单机进行安全处理,如简单安装地杀毒软件,进行操作系统的安全配置;也可以加装集中或者分布式式的网络安全软件,进行全局的网络安全控制;安全等级较高的网络可以采用专业的网络安全设备,如:
防火墙、入侵检测系统、入侵防护系统、各种安全网关与网络隔离系统等。
4.什么是网络攻击?
答:
网络攻击实质上就是黑客利用被攻击方自身网络系统存在的安全漏洞,使用网络命令或者专用软件对网络实施的攻击。
攻击可能导致网络瘫痪,也可能破坏信息的传播,还可能使系统失去控制权。
网络攻击与一般的病毒、木马的攻击是有差别的,它对于计算机的破坏性也是不相同的。
病毒与木马是利用系统以及系统中应用程序的缺陷实施对于系统的破坏,网络只是其传播的途径,而网络攻击的特点是利用网络的缺陷的实现对于网络的攻击,以破坏网络中的信息的正常传送为目的。
5.说一说重点对付DDoS攻击的一些常规的网络攻击防范的方法?
答:
定期扫描,在骨干节点配置防火墙,用足够的机器承受黑客攻击,充分利用网络设备保护网络资源,过滤不必要的服务和端口,检查访问者的来源,限制SYN/ICMP流量等。
6.什么是流氓软件?
答:
“流氓软件”通俗的讲是指那些在人们使用电脑上网时,产生不受人控制,不断跳出的与用户打开的网页不相干的奇怪画面,或者是做各种广告的软件。
“流氓软件”是指介于病毒和正规软件之间的一类软件。
7.流氓软件与病毒的区别?
答:
计算机病毒指的是指那些自身具有或使其它程序具有破坏功能,能够危害用户数据,或具有其它恶意行为程序。
这类程序不但影响计算机使用,而且能够自我复制。
“流氓软件”通俗的讲是指那些在人们使用电脑上网时,产生不受人控制,不断跳出的与用户打开的网页不相干的奇怪画面,或者是做各种广告的软件。
它与病毒或者蠕虫不同,是由小团体或者个人秘密地编写和散播,由很多知名企业和团体涉嫌的一类软件。
8.简单说一说什么是端口扫描?
答:
网络端口扫描是指用端口扫描软件对需要扫描目标主机的端口发送探测数据包,根据返回的端口状态信息,分析主机的端口是否打开,是否可用的过程。
端口扫描是通过与目标主机的TCP/IP端口建立连接,并请求某些服务,记录目标主机的应答,收集目标主机相关信息,确定端口正在进行的服务,获取服务的信息,发现目标主机某些内在的安全弱点。
9.什么网络是嗅探?
答:
嗅探(Sniffer)技术是网络安全检测技术中很重要的一种,它是一种可以捕获网络报文的软件工具或者设备,网络安全管理人员会经常借助此类工具对网络的各种活动进行实时监测,发现网络中的攻击行为。
与主动扫描相比,嗅探的行为更难察觉,因此,黑客也会利用具有很强非常隐蔽性的嗅探技术攫取网络中的敏感信息。
10.说一说网络嗅探的检测方法?
答:
(1)网络通讯掉包率反常的高
(2)网络带宽出现反常
(3)监控本地局域网的数据帧
(4)本机监控
(5)ping检测
11.什么是网络边界?
答:
不同安全级别的网络存在着互联互通问题。
政府要开放办公,其内网就需要与外网相联;商业银行要支持网上交易,其数据网也必须与互联网相连;企业要实现信息资源的共享和管理,其办公网与生产网、办公网与互联网的之间也存在连接问题;民航、铁路与交通部门要实现网上定票与实时信息查询也存在信息网与互联网的连接问题。
不同安全级别的网络之间的互连就形成了网络边界,网络边界是指内部安全网络与外部非安全网络的分界线。
由于网络中的泄密、攻击、病毒等侵害行为主要是透过网络边界实现,网络边界实际上就是网络安全的第一道防线。
12.说一说IPS的类型。
答:
随着IPS技术的发展,IPS因其应用环境和使用的技术不同出现了不同的产品类型,一般分为基于主机的入侵防护系统(HIPS),基于网络的入侵防护系统(NIPS)和应用入侵防护系统(AIP)。
HIPS能够保护服务器的安全弱点不被不法分子所利用。
NIPS通过检测流经的网络流量,提供对网络系统的安全保护。
由于它采用在线连接方式,所以一旦辨识出入侵行为,NIPS就可以去除整个网络会话,而不仅仅是复位会话。
AIP实际上是NIPS的一个特例,因此IPS一般可分成两类。
13.如何理解防火墙的局限性?
答:
利用防火墙可以保护计算机网络免受外部黑客的攻击,但它只是能够提高网络的安全性,不可能保证网络绝对安全。
事实上仍然存在着一些防火墙不能防范的安全威胁,甚至防火墙产品自身是否安全,设置是否正确,都需要经过检验。
如防火墙不能防范不经过防火墙的攻击,很难防范来自于网络内部的攻击以及病毒的威胁等。
为什么说隔离网闸能够防止未知和已知木马攻击?
一、论述题(15分)
1.简单说一说计算机病毒的防护方法?
答:
计算机病毒防护首先是要建立计算机网络病毒防护技术体系,包括单机防护、网络病毒防护、网关病毒防护与病毒追查系统。
单机病毒防御是传统防御模式,是固守网络终端的最后防线。
单机防御对于广大家庭用户、小型网络用户无论是在效果、管理、实用价值上都是有意义的。
它用来阻止来自软盘、光盘、共享文件、互联网病毒的入侵,实现重要数据备份功能。
根据网络操作系统使用情况,局域网服务器必须配备相应防病毒软件,当然,基于UNIX/LINUX、Windows//2000/2003/2007以及dos等平台要配置对应的操作系统的安全防范软件,全方位的防卫病毒的入侵。
在规模局域网内配备网络防病毒管理平台是必要的,如在网管中心中,配备病毒集中监控中心,集中管理整个网络的病毒疫情,在各分支网络也配备监控中心,以提供整体防病毒策略配置,病毒集中监控,灾难恢复等管理功能,工作站、服务器较多的网络可配备软件自动分发中心,以减轻网络管理人员的工作量。
在网络出口处设置有效的病毒过滤系统,如防火墙将数据提交给网关杀毒系统进行检查,如有病毒入侵,网关防毒系统将通知防火墙立刻阻断病毒攻击的IP。
2.假如你是一个网络管理员,请假定一个网络应用场景,并说明你会采取哪些措施来构建
你的网络安全体系,这些措施各有什么作用,它们之间有什么联系?
答:
如果是一个校园网,有教务系统、实验实训室、图书馆、网络中心、学生宿舍区等等,我们可以采用下面的安全方法:
在网络出口使用防火墙,如果对网络安全要求较高,可以使用状态检测型防火墙,如果对速度要求高那么可以使用包过滤防火墙或硬件防火墙。
在内网使用IDS,它和防火墙配合使用,可以加强内网安全,对于来自内部的攻击可以及时报警。
如果有服务器要发布到外网,可以设置专门的DMZ区放置服务器。
对于内网安全,可以使用域环境,由DC统一管理帐号和密码,针对不同的用户和组设置不同的权限。
3.说一说木马的防治方法?
答:
①安装反病毒软件。
时刻打开杀毒软件,大多数反病毒工具软件几乎都可检测到所有的特洛伊木马,但值得注意的是,应及时更新反病毒软件。
②安装特洛伊木马删除软件。
反病毒软件虽然能查出木马,但却不能将它从计算机上删除。
为此必须安装诸如TROJIAREMOVER之类的软件。
③建立个人防火墙。
当木马进入计算机时,防火墙可以对你进行有效保护。
④不要执行来历不明的软件和程序。
木马的服务端程序只有在被执行后才会生效。
通过网络下载的文件,QQ或MSN传输的文件,以及从别人那拷贝来的文件,对电子邮件附件在没有十足把握的情况下,千万不要将它打开。
最好是在运行它之前,先用反病毒软件对它进行检查。
4.说一说UTM与防火墙的区别?
答:
UTM与传统的防火墙有哪些本质区别呢?
主要体现在以下几个方面:
首先,传统防火墙功能模块工作在网络协议的第三层,大多数用一种状态检测和转发TCP/IP数据包。
UTM中的防火墙侧不仅可实现传统的包状态检测和过滤功能,而且还可以决定防病毒、入侵检测、VPN等功能是否开启及其工作模式。
通过防火墙的策略,实现多种功能好的融合。
其次,从系统角度来讲,UTM防火墙不仅要实现网络访问的控制,同时也要实现数据包的识别与转发,例如HTTP、Mail等协议的识别与转发,这就要求UTM的设计要减轻系统数据处理的工作量,提高系统的性能和效率。
其三,UTM防火墙能植入很多更高的新功能,例如虚拟域、动态路由和多播路由,它支持多种新技术,如VoIP、H.323、SIP、IM和P2P等,其起点比防火墙要高很多,应用前景更广,适应性更强。
其四,从UTM的操作界面上,用户可以清楚地看出,UTM的安全策略会有更多的选择。
在UTM平台上植入了内容更加丰富,且层次分明、操作简单、同时又灵活实用的安全防护策略。
5.说一说网络防火墙与隔离网闸的区别?
答:
在设计理念方面,防火墙是以应用为主的安全为辅的,也就是说在支持尽可能多的应用的前提下,来保证使用的安全。
防火墙的这一设计理念使得它具有广泛的应用领域,拥有广泛的市场。
而网闸则是以安全为主,在保证安全的前提下,支持应用。
网闸主要用于安全性要求极高的领域,如政府网络,工业控制系统保护等。
由于网闸把安全性放在首位,有更加严格的安全规则和更多地限制,因此可以应用的范围比防火墙要窄一些,主要用于那些对安全性要求较高的环境。
防火墙可以应用于非常广泛的应用领域,甚至包括个人电脑,但它的安全性却差强人意。
人们常常发现被防火墙防护的网络会依然被黑客和病毒攻击。
根据美国财经杂志统计资料表明,30%的入侵发生在有防火墙的情况下进行的。
由于设计理念的差别,防火墙有软件防火墙,但却没有软件网闸。
设计理念的不同也导致系统的整体设计也完全不同。
硬件防火墙虽然可以有多种设计方式,但一般来说,它都是单一的计算机系统由一个操作系统来控制构的,用户的内网和外网都连接在这同一个系统上。
然而安全隔离网闸却完全不同,它自少由三部分组成,内网处理单元,外网处理单元和一个隔离岛。
一般来说,内外网处理单元是两个完全独立计算机的系统构,拥有各自独立的操作系统。
内网处理单元与用户的内网相连,外网处理单元与外部网络相连,内外网处理系统之间通过隔离岛进行非协议的
升级会员 