中網物理隔離產品白皮書

總論物理隔離產品是用來解決網絡安全問題的。尤其是在那些需要絕對保證安全的保密網，專網和特種網絡與互聯網進行連接時，為了防止來自互聯網的攻擊和保證這些高安全性網絡的保密性、安全性、完整性、防抵賴和高可用性，幾乎全部要求采用物理隔離技術。學術界一般認為，最早提出物理隔離技術的，應該是以色列和美國的軍方。但是到目前為止，并沒有完整的關于物理隔離技術的定義和標準。從不同時期的用詞也可以看出，物理隔離技術一直在演變和發展。較早的用詞為PhysicalDisconnection，Disconnection有使斷開，切斷，不連接的意思，直譯為物理斷開。這種情況是完全可以理解，保密網與互聯網連接后，出現很多問題，在沒有解決安全問題或沒有解決問題的技術手段之前，先斷開再說。后來有PhysicalSeparation，Separation有分開，分離，間隔和距離的意思，直譯為物理分開。后期發現完全斷開也不是辦法，互聯網總還是要用的，采取的策略多為該連的連，不該連的不連。這樣的該連的部分與不該連的部分要分開。也有PhysicalIsolation，Isolation有孤立，隔離，封閉，絕緣的意思，直譯為物理封閉。事實上，沒有與互聯網相連的系統不多，互聯網的用途還是很大，因此，希望能將一部分高安全性的網絡隔離封閉起來。再后來多使用PhysicalGap，Gap有豁口，裂口，缺口和差異的意思，直譯為物理隔離，意為通過制造物理的豁口，來達到隔離的目的。到這個時候，Physical這個詞顯得非常僵硬，于是有人用AirGap來代替PhysicalGap。AirGap意為空氣豁口，很明顯在物理上是隔開的。但有人不同意，理由是空氣豁口就"物理隔離"了嗎？沒有，電磁輻射，無線網絡，衛星等都是空氣豁口，卻沒有物理隔離，甚至連邏輯上都沒有隔離。于是，E-Gap，Netgap，I-Gap等都出來了。現在，一般稱GapTechnology，意為物理隔離，成為互聯網上一個專用名詞。對物理隔離的理解表現為以下幾個方面：1，阻斷網絡的直接連接，即沒有兩個網絡同時連在隔離設備上；

2，阻斷網絡的互聯網邏輯連接，即TCP/IP的協議必需被剝離，將原始數據通過P2P的非TCP/IP連接協議透過隔離設備傳遞；

3，隔離設備的傳輸機制具有不可編程的特性，因此不具有感染的特性；

4，任何數據都是通過兩級移動代理的方式來完成，兩級移動代理之間是物理隔離的；

5，隔離設備具有審查的功能；

6，隔離設備傳輸的原始數據，不具有攻擊或對網絡安全有害的特性。就像txt文本不會有病毒一樣，也不會執行命令等。

7，強大的管理和控制功能。網絡安全的體系架構的演變

要對物理隔離技術有一個深入的了解，必須對網絡安全體系架構有深入的研究。要了解網絡安全的架構體系，從目前網絡安全市場的構成就可以初見端倪。防火墻，防病毒，VPN和入侵檢測（IDS），是市場的主流產品。安全體系以防火墻為核心，向聯動的方向發展。因此，要了解網絡安全的架構體系的演變，必須防火墻進行深入的了解。

現狀目前，市場上銷售量第一和第二的防火墻都使用一種被稱為狀態檢測包隔離的技術，StatefulInspectionPacketFiltering(SIPF)。狀態檢測有兩大優勢，一是速度快，二是具有很大的靈活性。這也是SIPF為什么受歡迎的原因。有人會注意到我們甚至沒有提到安全性，盡管人們要買防火墻，聽起來是要解決安全問題，但安全性不是人們選擇防火墻的第一理由。人們選擇防火墻的第一理由是易于安裝和使用，盡可能的減少麻煩和對網絡結構的變動，以及對業務的影響。有"防火墻之父"之稱的馬爾科斯（MarcusRanum）也注意到這一點，防火墻客戶有一次投票，結果前三位重要特性是透明特性，性能和方便性，而不是安全性，沒有人對這個結果感到驚訝。

僅有防火墻的安全架構是遠遠不夠的目前網絡安全市場上，最流行的安全架構是以防火墻為核心的安全體系架構。通過防火墻來實現網絡的安全保障體系。然而，以防火墻為核心的安全防御體系未能有效地防止目前頻頻發生網絡攻擊。僅有防火墻的安全架構是遠遠不夠的。以致于很多人都在懷疑，防火墻是不是過時了。連具?quot;防火墻之父"馬爾科斯都宣稱，他再也不相信防火墻。這么說防火墻，似乎有一點過。主要的原因是前一個時期，防火墻已經成為安全的代名詞，言必談防火墻。導致很多廠商把根本不屬于防火墻的東西全部推到防火墻上，如防火墻上的路由功能，甚至過分到把應用服務也搬到防火墻上，造成防火墻萬能的局面，以致于"期望越高，失望越大"。雖說防火墻不是萬能的，但沒有防火墻卻是萬萬不能的。防火墻至今為止還是最重要的安全工具。任何技術都有其局限性，防火墻也不例外。

防火墻架構的回顧今天，我們發現自己處在一種網絡不安全的現狀，呼喚我們對防火墻架構的基礎進行一個仔細的回顧。防火墻對網絡安全的保護程度，很大程度上取決于防火墻的體系架構。一般的防火墻采用以下防火墻架構的一種或幾種：

l靜態包過濾（StaticPacketFilter）

l動態包過濾（DynamicorStatefulPacketFilter）

l電路網關（CircuitLevelGateway）

l應用網關（ApplicationLevelGateway）

l狀態檢測包過濾（StatefulInspectionPacketFilter）

l切換代理（CutoffProxy）

l物理隔離（AirGap）

網絡安全是一種平衡挑網絡盜安全藝只是季在可仙信和但性能算之間白的一暑種簡濃單的零平衡秤。術所有租的防艱火墻辮都依蒙賴于都對通稿過防兵火墻森的包獸的信眠息進勉行檢挖查。棵檢查徒的越夢多，甲越安狡全。格檢查崖的重權點是禾對網客絡協朽議的位信息鼓，這容些信蜓息按鏈OS須I的涉模型謹來講構，即杠分布搬在7思層。凱知道墾防火乞墻運牛行在坑那一殊層上太，就硬知道壟它的爬體系家架構賢是什家么。包l井一般襪說來同，O粱SI小的層殖號越漠高，練防火嗽墻要燈檢查蒙包的陡信息痛內容怎就越淋多，德對C刺PU難和內墨存的少要求勤就高刃。

負l熔OS窯I的脂層號熟越高肥，防謀火墻嗓檢查潑的內蜘容就經越多光，也衡就越儀安全秩。倚在防易火墻直的體孩系架帖構中裳，效紐率速姿度與遍防火等墻的哭安全豐性，儀一直勝是一磚個折件中方鍬案。縣即高霸安全彈性的緒防火姿墻的嶺效率托和速帶度較賞低，謝高速修度高金效率飼的防唐火墻乎的安琴全性計較低編。然軌而，動隨著蝴多C立PU女計算饅機的副成本卵的下翻降，失和操慨作系說統支銜持對璃稱多附處理痛系統棍（S可MP搬）的諒特性皆，傳倆統的荒高速狹的包砍過濾演的防呆火墻搶與開臺銷較鎖大的萌代理幕防火疼墻之桿間的使差距耍逐步寇縮小犬。騎成功訊的防郊火墻熔的一充個最惠重要詳的因懇素，逢是誰麗在安井全和耗性能戶之間浙選擇蹄做決婆定：殿（1腦）防敞火墻否廠商繞，通欄過限尖制用亡戶的弱架構脾選擇旨，或錢（2棉）用派戶，拔在一順個強途壯的抱防火寶墻中所要求穩更多叉的架從構。狀實際磚上，畜到底鼓是用出戶決頌定市圈場，般還上銜廠商客決定隨市場躁。這膽個問雄題沒緣有答躬案，冰要看缸最后拘的事踏實。花防玉火墻鋸的架責構總鈔體上轉如下燒圖。言我們掩把O侄SI跡的明很顯和灘TC邪P/檔IP丘的模羊型，準對照狼起來板，以脂便把丹問題麗說清拜楚。惕在檢墓查防驕火墻必的架傅構中份，查車看I嚼P包常頭中孝最重腔要的趁幾項改信息孫是：

根l勵IP谷包頭沾（I養P釘he立ad牛er握）

括l政TC俘P包義頭（傭TC副P少he筆ad庸er剖）

朋l污應用召層包滾頭（叮ap趴pl書ic妥at琴io泄n劉he加ad憐er哪）

塊l央數據享加載潛的包秘頭（長da喘ta退－p熄ay融lo研ad字h窮ea塊de靈r）窄靜態物包過爐濾（諒St顛at避ic扶P釋ac梯ke竭t蠢Fi陳lt伐er份）慢包過汽濾防暮火墻鋸是最茄古老掀的防攝火墻桿架構雪之一茂。包底過濾嘉防火暗墻運叫行在糟網絡迷層，請即O策SI古的第津三層義。壺防火慣墻決搞定放矩行還議是拒藍絕一怒個包殿，主蛙要是晃基于巖對I權P包的頭和臟協議鐵包頭鄉的一準些具纖體的納信息隨進行載檢查攪，它篩們包叼括：

妨l冊源地積址（帳So攔ur物ce遷A刃dd翁re危ss扁）

夠l鋪目的蠻地址剩（D槐es叛ti桂na霞ti氣on熔A芳dd走re購ss壤）

框l敢應用葉協議趁（A寸pp維li執ca品ti賓on攏o釀r得Pr叮ot卸oc惑ol疲）

層l易源端破口號壤（S啊ou哨rc飽e判Po北rt緒N英um煎be評r）

淡l徒目的子端口枝號（林De筒st舌in暑at拔io霞n琴Po宣rt直N油um投be用r）從在轉憤發一奧個包和之前仔，防跨火墻暑將I宰P包膠頭和術TC尿P包鬼頭的阻信息廈與用解戶定根義的貨規則勉表的麥信息伸進行遣比較賴，決綿定是串轉發療還是驕拒絕爸。規凝則表孫就是雙用戶芳定義箏的安辮全規密則。救規則誕是按栽順序姻進行浸檢查侮的，量只到慕有規吉則匹棚配為安止。賄如果姥沒有超規則亡匹配拒，則聲按缺攝省的嗽規則糾執行寄。防添火墻私的缺股省規鍛則應情該是僑禁止辱。嗓實際奧上，穩有兩參種思靜想決背定防逃火墻米的缺測省規組則，乓（1彎）易骨于使革用，璃或（迷2）燃安全齊第一團。易宏于使濟用，午一般利都設天置為蜜準許坡放行警。安肺全第止一，子一般華都設徒置為討禁止樸放行魔。飼靜態鼓包過皆濾防漫火墻橡，用疏戶可屠以定棕義規聞則來勺決定失準許咱什么誕包通狹過，卸或決苦定禁推止什透么包破通過做。用聞戶定嗽義規舞則，嫁通過戶檢查議IP乒包頭紙的信軌息，勝來準課許或泥拒絕膝包從伯什么講地址爐來，休到什珍么地匆址去狠，可衫能是姜一個嗓地址緞或一哈組地餡址。殘用戶唇定義剖具體退服務奪的規縱則，慌通過軍檢查撒TC株P包何頭的般信息憑，來月準許典或拒多絕包紛到達券或來墓自相起關具批體服簡務的主端口協。痛包過寄濾防嘩火墻愿的決盛定機工制是踩，最蠅后的逝規則娘如果易與前駝面的若規則泥沖突愛，最部后的限規則劫有效教。井當規計則的橋檢查得是順拳序執踢行時禁，包農過濾填防火散墻的家規則散配置除是十舟分復醉雜和鴿困難蒙的。踢我們裕知道娛，N中條規摟則，抗按各桂種不洞同的告順序建排列弓，可蝕能的街結果梅有N緊!之嶄多。旋除非分所有決的規填則都品不相驕關，島則N液!種莊順序免的結不果都總一樣照，否漸則，懂其結老果就腹可能修不同丑。加灘一條對規則喝是容扔易的醫，寫毒一段觀規則巡來實桿現某鐵種安稈全功掃能則賠非常宇困難酒，要訴求系奪統管軋理員筍對協固議，之TC淘P/暫IP游的工窗作機柏制非豐常清庸楚，咸而且涉還得息了解辭流程縮。有侮些管逼理員幟總是岡把后問加的秀規則點放在慨最后逝，也豐有的洲系統亡管理加員總罰是放墾在前造面，紀還有倦的系液統管斯理員擋，隨怠機的黃插入思在規滋則的嗚什么種地方障。最化大的棒問題吧在于吐，規采則A辰,B沉,C族的排住放順侵序不彈同，舒規則狐的結喂構不捏一定幫相同岔，可屑能的他排放櫻方式僚為，惹A》時B》譽C，提A》余C》閉B，確B》美A》途C，津B》慢C》帥A，蓄C》唐A》同B，棟C》鎖A》掠B，紀這六玻種結畏果可肥能相揮同，姜可能餃不同仇，而艦且無歐法知走道是穴相同偵還是講不同捏，只趁有具排體去魄分析略。如槽果一去個系挺統的彩規則扯有1濤00橫條，忘則有析10駐0!陜＝9遭.3浙3e憑＋1今57間種可閣能性夢結果欄，即創使只秤有萬偷分之杯一的艙結果餃不同望，也狀是一鑰個巨護大的怪天文良數字撲。實擊際上訓，如決果不館同規卸則的稻相關創性很絮低，倘結果列不同求是一迫個小吩概率蒙事件震。但爸是，禁如果性不同霞規則允的相惜關性警很高傲，結厭果則蛙難以敲預料接。其念結果促是一振致性詢檢查起很難剩做到能。這敬就是唉為什隨么經縫常會桶出現勉，有謎時候戒，加自一條姓規則攝沒問夸題，勇有時她候卻執有問欺題。尺用剖戶必藏須仔匯細的清檢查謠所加銅入的滴規則效，以汗保證豎其結算果是戶其預椒期的珠結果嘆。一貿個好鍋的方雙法是卡，盡伍可能磁幫助計用戶薪設計血自己選的安慌全策煉略，可使其垮不同母規則傳的相縱關性姻很低腎，盡鞠可能涌保證擁結果咬是完竄全相描同的蔑。津即使肝用戶薄的規寇則順向序是魔有效稍的，鉛包過耐濾防朱火墻頂還有顏一個酷根本漆的局竭限性汗。它罪不知蒼道什朽么地倡址是唉真實細的，丙什么塵地址修是假銷的。撕因為雨TC拜P/說IP讓的包的頭的繡地址帖是可附以改爐寫的幻。辟即使瞧用戶黑可以星在防木火墻嶺中，且把不雷確定變的源局地址狹禁止侍掉，浩黑客藝還是糞可以事使用餡別人騰的源碎地址仍，這濃個地駁址是側正常備的，工卻是倒黑客故盜用監，這賽使得悉問題看變得鐘更加膛復雜禁。像斜源地士址欺滅騙，而源地阿址假爐冒等臘這類奉攻擊塵對包唇過濾森防火鳥墻非段常有吐效。懂因此密，盡罪管包墊過濾通防火扇墻的車性能臟和速繁度很置高，缺其安其全性超卻是濱有限妄的。洋由腿于包災過濾削防火嶼墻只爺檢查蛙（1甩）源乘和目松標地突址，略（2盞）源寨和目羅標端狂口，敵而不撤檢查護其它俘的重執要的伶信息斧。因朝此，玻黑客及在是廉其它喘的包爺頭里漁加載資惡意撐數據灑和命錯令。田黑客霉還可憶以在嶄包的拾數據垂中掩覽藏惡路意的此命令痛和數枯據，蘭這就仆是流養行的雄掩藏欠隧道果（C劈ov笨er紹t幻Ch倘an強ne轉l）問攻擊烈。瘡在路厲由器茂中，宇一般籃都支殊持包遠過濾戚技術肌。但痕由于炊其安澤全性濃有限朝，所欺以用港戶一攻般都魚會再冊購買跟單獨蘿的防侍火墻筑來提竹供更瞎高的興安全聾性。殺他優點給：

叼l扛對網島絡性期能基茅本上柱沒有首影響

換l精成本繼很低礦，路稈由器炕和一朋般的速操作前系統逐都支代持錢缺點廚：

寇l眾工作鴉在網勵絡層泳，只孫檢查捏IP度和T藥CP辨的包伴頭

抗l辨不檢博查包匯的數塘據，押提供駐的安敗全行圈性不巡高

蠻l畏缺乏藍狀態玻信息

河l姓IP闊易被喉假冒載和欺判騙

晃l攝規則粗很好脾寫，塔但很壇難寫穴正確墨，規麥則測箏試困節難

丙l秧保護裝的等君級低睜動態牲包過麻濾材動態私包過判濾是發靜態阻包過槍濾技貍術的緒發展為和演宰化。具因此惠，它送繼承褲了靜匯態包榆過濾園的一列個根遵本缺蒸點：培不知有道狀禿態信拔息。勒典型溪的動霸態包止過濾翅，就江向靜廟態包贈過濾支一樣副，主食要工加作在茶網絡稠層，賢即O皆SI涂的第扶三層褲。有初些高忠級一良些的準動態隙包過恰濾防透火墻譜也工腦作到寧傳輸話層，滅即O努SI狐的第奸四層壤。是動態似包過鴨濾防休火墻郵決定澡放行該還是椅拒絕五一個銀包，脊主要閃還是畫基于匹對I錫P包限頭和溫協議匆包頭必的一辯些具殘體的程信息竟進行押檢查建，它樓們包甚括：

抵l都源地槐址（排So毅ur駁ce嚇A闊dd贊re零ss烏）

敞l巨目的君地址蔽（D挨es夫ti扶na炊ti掏on悉A旺dd常re綁ss應）

菌l詞應用序協議尾（A師pp點li違ca什ti么on悠o救r啊Pr鹿ot絮oc須ol木）

禍l更源端過口號飽（S的ou蛙rc況e婆Po遼rt蜂N雁um臟be塞r）

歪l仇目的狂端口輕號（襯De筋st筋in創at桐io技n魔Po挑rt爺N糞um熱be賓r）邁與靜育態包坡過濾鑼技術冷不同失，動程態包菜過濾反防火翁墻知魯道一義個新蓄的連果接和音一個散已經抓建立焰的連梨接的逝不同券。對玩于已趣經建得立的靠連接療，動督態包糟過濾找防火露墻將袍狀態皇信息繪寫進抵常駐未內存泊的狀喝態表枯，后挨來的宣包的桂信息生與狀沙態表反中的曠信息當進行旦比較孫，該恒動作拉是在母操作妹系統甜的內朵核中悠完成約的。鋒因此朽，增構加了鵲很多脆的安京全性蔥。一茂個典陵型的節例子伍是，慢靜態眉包過隊濾無閃法區枝分一何個外姐部用淡戶進扛入的庭包與謀一個騙內部譯用戶成出去儉后回貪來的鐮包的若不同喪，動捎態包偶過濾伴防火債墻就鴉知道灘。動雅態包憤過濾潮防火取墻可形以限鋪制外跌部用甩戶訪赴問內抓部，檢但保嗽證內拔部用揮戶可越以訪弟問外腥部，澡而且艇可以飲回來牙。靜機態包檢過濾慮防火盒墻做螺不到奪。盡當一駁個包燦是屬羽于一披個已忠經建塵立連圓接時為，防疫火墻內不作剝進一柜步檢井查就瓣可以滅放行冷這個壩包。傷通過轟占有炮部分情系統鴨內存凳，減律少了鵲包的精檢查緒工作拌量，卵因此衡，動負態包盒過濾但的性賤能有恩一定龍程度熄的增頃加。膛動態滔包過龍濾技渠術可互以支仔持對貫稱多耐處理音系統憑（S將MP鍵）和膽多C憑PU符系統單，可域以取摘得更忠高的軌速度通和性拉能。仍一般理說來踐，每除增加朽一個它處理喝器，穿動態和包過唇濾技仰術可盤以增濟加3示0%豪的性參能。急但是際單線旁程系活統就伶無法賭得到上多處厲理器爛的好改處。普舉例以說明尤，廠融商A諸采用務專用術RI泉SC德芯片小的系各統，祖取得店15帥0M蠢bp森s速劉度，音廠商暴B采手用普預通I祝nt厘el患的C毀PU云，支否持多液CP裝U和山對稱培多處薄理系處統（閥SM關P）蛛，卻拌取得誦了超遼過6幼00緒Mb擾ps犧的速店度。翁有些卡廠商億，為爆了克點服單服線程左動態刊包過滴濾所拋帶來猛的限虛制，汪冒險襖的采盡用簡姻化R栗FC予規定巴的三失次握催手建粘立連夠接的春TC金P/籌IP展機制掏，一靠次握果手就肢建立娃連接憂，并悄且寫忌入狀潔態表挽。這傾給黑售客很投大的查可乘死之機火，像蠅LA砍ND鐵，P霸in漲g厭of鑄D院ea冠th瓣，T駛ea吸rd疑ro錢p這校類的秩單包宅攻擊鈴，很爛容易她攻擊蹦成功劣。那優點歷：

芽l皮速度鞠和效挖率高

謙l階成本休低

政l塵知道看狀態姨缺點母：

鑒l粗工作蹈在網摩絡層毯，只芬檢查雀IP筑和T艙CP藝包頭

雀l星不知朵道數繞據包滲，安患全性狐不高

灘l值易于撕IP劑假冒出和欺消騙

限l膚規則定編制忘困難

秧l煎簡化定的三舟次握禽手導哥致另使外的屠安全杯性問開題

尤l害只提傷供較和低的吩安全奉保護棋電路翼網關倒屆電路咬網關饑工作戀在會啞話層蒜，即蔽OS繩I的鉛第五摧層。魔在很狐多方應面，步電路誓網關項很像視是包錢過濾憶的一嘉個擴史展。輩電路貞網關吉，執奶行包好過濾陣的功索能，紙增加病一次敢握手客再證弦實，摸增加羽建立宮連接蚊的序窩列號副的合雀法性濕檢查撤。蜻電路概網關燥在建編立一修個會赴話會榜電路陪之前朱，檢能查和擇證實六TC掀P和畝UD稻P。滔電路萬網關笨決定朋準許店還是救拒絕隔一個馳包，蛙依賴映于檢躲查包孤的I用P頭任和T沖CP擊頭的繳下列恰信息罪：

粥l瘦源地堂址（偉So壤ur督ce元A藏dd危re蘇ss床）

座l雅目標態地址材（D服es盜ti嫌na賠ti號on返A礦dd權re描ss酒）

泥l森應用爪協議只（A扶pp廟li輸ca盲ti苗on渾o系r沉Pr斷ot臭oc許ol界）

躺l安源端枝口（品So共ur層ce進P邪or呆t脹Nu威mb鼓er漂）

壞l受目標運端口覆（D慈es倒ti雙na信ti鞋on帖P班or婚t綢Nu仙mb娃er佳）

皺l鞏握手物和系悟列號豐（H虹an領ds喪ha弱ki退ng尤a謙nd扁S瓦eq捆ue稼nc脂e華Nu隸mb們er兼）翁類似沒于包拉過濾藝，在蟻轉發華一個滾包之磁前，列電路蒼網關絨將I窗P頭街和T竊CP肢頭的貸信息導與用膨戶定段義的憐規則誓表進王行比外較，手決定向是否礎準許繩放行宣還是許拒絕爪。懶電路過網關瞇的安淚全性慕有所散提高籃，主器要是尸客戶燙端要羊進行妹認證河。認玉證程后序決建定用察戶是妹否是塔可信乏的。遍一旦妖認證壯之后奮，通百過客參戶端飾發起鵝TC鏟P握邁手的奶SY眠N標疼示和免AC障K標屑示，掙以及暖相關匪的系魂列號紛是正非確而久且連艇貫的磨，該冒會話急才是龍合法書的。夾一旦濫會話飾是合散法的枕，開浮始執愈行包喉過濾回規則序的檢哈查。至電路兄網關身理論勝上的睜安全瓶性要餓比包事過濾史高。掩電路別網關孟的效績率和冷速度莊也是襲較高采的。爆優點決：

同l配對網頃絡的柱性能抵的影今響適唐中或領較低

餃l笑中斷湖了直旋接連揚接

藥l定比包壞過濾賴的安謝全性劍要高藝一個豪級別眠缺點翻：

秘l捕有包巧過濾話的很探多缺漿點

猾l續不對鑰數據度作任邪何檢息查，理允許映任何握數據萄簡單銀的穿輕透連駁接

夕l既只能叨提供擁中低金的安聚全性模應用氏網關金盆像電狐路網縱關一逆樣，靠應用腳網關擁截獲填所有簽進和牙出的駁包，海運行硬代理同機制犯，通停過網紀關來劇復制被和轉認發信訓息，陽功能冰像一互個代幟理服闊務器師，防層止任宗何的懲直接金連接新。作帖為應默用網預關的屯代理煙與電船路網朝關有陣以下遇不同襯：

膜l澤代理賀是與嘗應用密相關責的，重每一驅種應祖用需頂要一童個具幕體的賽代理

并l隸代理黎檢查吧包的粗所有蜘數據動，包龜括包答頭和括數據

碑l揚工作憲在O研SI原的第友七層慘，即警應用復層

突與電丟路代噴理不惠同的襖是，槐應用醒網關濱只接善受具螞體的餡應用麻產生繞的包尖，然勒后進惠行復偏制，渡轉發零和過寶濾。贊舉例絞來說辣，H叔TT橋P代累理只湯處理爛HT瘦TP貌流量跡，F議TP爛代理粘只處駁理F館TP更流量差。沒必有應鍛用代旨理的盡數據腿不能彩被處寨理，瘦即被倆拒絕膝。猶應用鋤代理抄不僅掀要檢儉查所掘有的此協議乳，還裁有檢販查所銅有的抬內容或。因猴此，飛代理搶可以京過濾鄉具體朝的命姨令，踐可以偽過濾抱惡意賀代碼屯，可務以殺毛病毒質，可遇以對衣內容會進行化檢查甚和過喉濾。角很明戶顯，蛋應用搶代理其必須輩具有辱緩存軟的功廈能。葬應用邀網關相可以命防止勺隱蔽瑞隧道陣的攻框擊。亮應用刺網關轟工作曉在第叔七層兩，與怖具體淚的應幅用相其關，寺應用磚協議挖規定毛了所恨有的腔規程納，因及此，貝較為費容易徒設計茫過濾詳規則孤。應冶用代薯理要顯比包育過濾單更容僑易配奶置和妻管理繳。宏通過灘檢查引完整鼓的包冠，應焦用網覆關是羞目前誰最安麥全的筒防火腹墻。鐘優點瀉：

陵l再通過莫支持體SM腰P和牛多C折PU沫，應逐用網秋關對偏網絡焰性能諸影響賣是完痛全可章以接減受的

旗l旦禁止帥直接捷連接倍，消醫除隧蹈道攻顫擊的捉危害

森l芽檢查音協議猾信息提，消通除了蓬內存安溢出桑攻擊

穴l湖最高嗎的安截全性臺缺點

材l迎如果瞞系統犬實現送不好茅，性狀能很句差

定l贊對程擾序的魯質量貨要求極很高

忍l道應用躁支持左有限

籌l糕對操災作系巧統有情依賴襪性章狀態排檢測漁包過億濾農狀態瘦檢測跪組合線了很浩多動悼態包雄過濾跌、電李路網匯關和弟應用好網關弦的功伯能。昏狀態邁檢測薄包過沖濾有濕一個啞根本崇的能欄力，矮即檢枕查所填有O咳SI遍七層摔的信猴息。飾但主尤要是咐工作江OS遙I的灣第三原層即查網絡隔層，括而且袍主要江是采怕用動夏態包狂過濾撞工作寫模式沾。句狀態蘭檢測笨包過預濾也播能像皇電路釣網關倍那樣投工作昆，決丘定在稿一個肢會話兼中的希包是蕉否是磚正常居的。尊狀態他檢測圾也能廳作為優一個鍛最小龍化的霞應用耍網關哲，對羽某些拔內容暗進行余檢查湖。就銅像應雀用網協關一服樣，鉛一旦財采用蠟這些廉功能提，防愿火墻筍的性生能也睬是直失線下示降。泡從很艷大程鏡度上招來講煌，狀算態檢仰測防灶火墻氏的成煙功，搶不完譽全是碎一個拾技術爭上的從成功鮮，而認是一運個市郊場概氣念的德成功戒。狀獲態檢犯測對瘡很多慶技術睛進行拌了簡斗化，榆然后封進行團組合尊。狀他態檢喘測從羞技術醬上并相沒有仰克服踐技術立上的黨局限值性。館主要壘表現怒在以肢下幾榜個方舊面：進高安父全性慘和性化能的還矛盾言并沒剃有解矛決。俯絕大吼部分累狀態化檢測上防火扯墻都墳是配時置工躺作在烘動態途包過曬濾模篇式，鬧取得醋了很鬧高的幻性能戀，但泡安全回性并咸不高水。過一旦啟決定躲采用集較高遮安全碰性模顆式，怒性能旅立即罷下降揪。淚應用鞏網關況中斷播網絡街的直礎接連醒接，年創造遺兩個百連接澤，在便兩個附連接龍之間桂，進叉行數測據的至復制歸，檢款查和祖轉發勒。不宗像應踏用網析關那患樣，貝狀態扎檢測戶技術溝并不年中斷緒網絡漫的直的接連嶺接。順這就餐是最騎著名坊的狀怪態檢堅測和功應用挺網關糞之爭豆。宿這里怪面反庫映了掌防火橋墻的搏哲學敞之爭路：能蓮做和堤做了暑是兩懸碼事芬。擠狀態身檢測遷防火糾墻滿進足了拘用戶償對高率性能利和高修安全腦性同今時需悠求的有矛盾雀心理您，它抗給用裂戶一塵種合霉理的供可信悶心里隊，我拔可以冶通過窮配置繼部分服實現遙第七拴層得烏到高慎安全鑰性，馬但現斬在我赴實際左在使憂用的慕是第瞞三層蒼高性申能的柜動態星包過音濾。血優點央：

果l諒提供剛檢測忙所有院OS狂I七趙層的遲能力

抄l著不改虎變目世前的地直接稀連接島模式

蛇l鳳提供宗完整買的動削態包托過濾曉功能

淺l械動態注包過剪濾提餐供較儀快的惜速度捷缺點

趙l攔單線兵程的占狀態部檢測波對性另能有扯很大倡的影片響，妨因此牛用戶曠多在鹿工作突動態坑包過興濾模輛式

煩l揮直接桿連接養對高賭安全倉性是由不合狠適的

挑l匹依賴纖于操號作系姑統的逝安全柴性

洞l診工作支在動程態包倉過濾兆模式想并沒躬有很慌高的噴安全華性謙切換碰代理晨竹切換媽代理衰是動老態包確過濾菠和電游路代瓦理的爸一種邊混合睜型防目火墻聞。簡簡單地風講，書切換虜代理塵首先特作為駛一個練電路尺代理宅來執錯行R幸FC顫規定嘴的三軍次握莊手和警任何川認證查要求監，然吐后切變換代錯動態裕包過課濾模折式上色。因陽此，撇剛開鉗始他轉工作捷在網守絡的水會話卷層，獨即O建SI辰的第第五層攤，在棒認證渠完成退并建電立連虹接之雄后，上轉到零網絡止層即騾OS糠I的磚第三腫層。鄰有時絨候，溝切換給代理咬又稱翅自適幕應防鴉火墻扯。很多明顯賄，要免用會典話層矛的安干全性褲和網聲絡層考的高繳效率削。料知道紙了切搭換代償理能胃干什候么，艷但最檔重要鼓的是亂要知倚道他魚沒有底干什秒么。網切換灶代理唇不是董傳統漫的電編路代局理，畢他沒勿有中務斷電稼路的巡直接唐連接具。我哀們注烘意到兼切換爺代理架提供悔了某滑種程吊度上德關于務安全逢性和策效率粉之間扇的平籃衡。益我委們相攜信，鍋所有甜的防朽火墻術架構院在互湖聯網影安全灘上都赤有他嘩自己柳的位猛置。傍假如訊您的紹安全撫政策吵，要曾求訪粱問認繁證，曠檢查纖三次巡握手這機制味，并當不要造求中新斷直宿接連跡接，健切換膽代理糞是一朝個很青好的滅選擇珠。但替是，雖用戶屋應該伏明白喂，切想換代仆理不姑是電押路代縣理，縣直接略連接刻并沒并有中曬斷。除優點后：

低l雨比傳蹲統的理電路胖代理塌對網暗絡性喇能的凱影響溉更小

慮l腸三次醬握手晃檢查石機制摟減小姨了I福P假州冒和棕欺騙轟的可柔能性超缺點孝：

女l涌不是妻電路倆代理

晶l話還是往存在貓動態掠包過逐濾的年缺點

追l添不檢秋查數旋據，茄提供吳較低豬的安鄉全性

雄l腐設計掌規則狗困難叨新思運路：射物理混隔離尊在防舍火墻輛的發列展過腫程中呢，人天們最冒終意慮識到娛防火踐墻在泡安全粥方面鍬的局圖限性夜。高記性能損，高遺安全酸性，拍易用拼性方宅面的建矛盾足并沒瓦有很讓好的飯解決開。防犁火墻欺體系痕架構馳在高冤安全牽性方蠅面的筆缺陷鞋，驅臘使人伶們追得求更良高安倍全性賣的解幕決方漆案，遞人們鑒期望六更安避全的倍技術出手段賞，物極理隔充離技識術應陳運而規生。梅物理害隔離場是安慶全市紗場上構的一賴匹黑冰馬。站在經成過漫兵長的此市場書概念馬澄清性和馬寸拉松債式技宵術演刑變進幸步之擦后，否市場筑最終脈接受強物理互隔離今具有營最高蓮安全換性。帥人們殊把高舍安全潮性的惠所有脊要求及都集假中在撇物理偽隔離柔上，奔中斷袋直接獲連接燕，不習光檢叛查所怕有的殖協議求，還鞏把協桿議給勒剝離懷掉，脾直接嘩還原訴成最列原始源的數投據，泉對數屆據可音以檢呼查和悠掃描嚴，防件止惡速意代駝碼和歡病毒否，甚粘至對腿數據短的屬筍性進短行要偷求，永不支粉持T漁CP崗/I誘P，矛不依主賴操精作系喇統，釋一句宣話，勇對O投SI寒的七聽層進歪行全幅面檢顛查，名在異朱構介掛質上萌重組值所有斑的數葛據（稼第七辟層之柜上，孔八層太？）貿。揭物理寬隔離希在技帳術上秧取得拒了很婚大的冤突破撤。首膊先在幫性能幼上，右物理孔隔離良利用皺SC堡SI份可以季達到晶32糊0M振Bp酒s的攏速度斬，利世用實勝時交元換可襯以達臣到1突00朱0M乳bp課s的船速度躍。在闊安全單性上瘦，目慢前存析在的來安全障問題搭，對扭物理千隔離寧而言吩在理反論上杜都不忠存在螞。這趨就是歪各國旨政府香和軍牧方都印強制流推行誘物理年隔離印的主纏要原擺因。載優點舉：

免l松中斷邊直接殿連接

害l貝強大獸的檢王查機篩制

蘆l熄最高稱的安帥全性須印缺點枯：

補l皂對協情議不妄透明秧，對敏每一徹種協較議都諸要一怪種具導體的桃實現煮逮物理袋隔離磚：與蛙互聯鞭網斷丹開

報定位消物理介隔離些技術鹽，不踐是要池替代鍋防火怠墻，轟入侵師檢測貨，漏躁洞掃祝描和篩防病番毒系智統，濃相反老，它攜是用耕戶"蓮深度拼防御屠"的擊安全乏策略拘的另塑外一筐塊基墻石。穴物理圍隔離丙技術課，是窩絕對競要解均決互劑聯網造的安筋全問爛題，柳而不午是什抹么其猶它的奧問題速。

械物理液隔離雕要解姑決的秘問題序解決趴目前石防火抄墻存燭在的暖根本品問題茂：

蘇l規防火跌墻對蛋操作秒系統卡的依賭賴，什因為末操作依系統嶼也有滔漏洞

婦l歉TC部P/間IP敢的協押議漏脾洞：烤不用綢TC順P/穴IP

狠l境防火包墻、胃內網拿和D臭MZ枯同時羞直接暴連接榴，

私l褲應用貨協議跳的漏灰洞，膝因為晴命令崇和指甜令可趴能是姜非法患的

與l虜文件蛋帶有汁病毒梅和惡懇意代評碼：闊不支劑持M速IM石E，菊只支娘持T新XT查，或輸殺病彎毒軟密件，覺或惡溜意代墓碼檢群查軟除件代物理叼隔離踢的指櫻導思鋒想與撤防火潤墻有行很大運的不室同：誼（1蔬）防全火墻織的思希路是雁在保銀障互舌聯互鉆通的鬧前提禽下，惡盡可狗能安含全，鏈而（已2）認物理辟隔離麻的思逐路是彼在保瓶證必慰須安示全的蔬前提磨下，詢盡可收能互他聯互別通。期操作怨系統袋的漏袋洞：

沉操作錦系統雀是一伍個平熊臺，紀要支勝持各聯種各績樣的評應用史，O選S有努下列紡特點鼓：

形l議功能嗚越多蠶，漏受洞越愧多

贈l馬應用塑越新度，漏崇洞越腦多

哪l漆用的畜人越罪多，海找出牲漏洞臘的可舍能性扔越大

面l卵用的勢越廣檔泛，紀漏洞欣曝光隔的幾討率就蓋越大去黑客批攻防秀火墻似，一右般都子是先番攻操恨作系睛統。叨控制裕了操埋作系侄統就拉控制輕了防督火墻阿。膊TC宏P/鏡IP驢的漏魂洞：

撫TC俘P/您IP思是冷濾戰時強期的野產物案，目好標是棉要保孤證通等達，秧保證癥傳輸值的粗軌曠性裕。通類過來狼回確猶認來芽保證煉數據堡的完堂整性伸，不套確認晚則要撥重傳四。T煎CP頌/I念P沒燦有內民在的趟控制釀機制牽，來點支持情源地制址的滿鑒別麗，來快證實鍬IP顫從哪迫兒來其。這甲就是桐TC叮P/饞IP酸漏洞鳴的根監本原箭因。乒黑客誕利用汗TC增P/烘IP拒的這罷個漏濾洞，矩可以累使用該偵聽字的方嫩式來袋截獲媽數據墳，能調對數掙據進鐮行檢輸查，宇推測培TC麗P的躲系列進號，堅修改酸傳輸遮路由蹈，修朋改鑒槍別過鑄程，星插入火黑客讀的數寺據流培。莫死里斯那病毒咐就是提利用孤這一鏡點，傷給互矮聯網格造成趕巨大露的危哀害。魯防火典墻的湖漏洞驚：

夠防火損墻要球保證逼服務疾，必刑須開開放相宜應的幼端口配。防僚火墻弓要準悼許H憲TT揪P服秀務，似就必猾須開聯放8倍0端介口，漏要提閉供M甜AI蹈L服且務，袍就必衰須開擋放2暫5端紗口等松。對爪開放怨的端皺口進趕行攻極擊，揮防火也墻不富能防賢止。滾利用防DO飽S或摸DD絹OS民，對目開放消的端項口進絹行攻存擊，檢防火跪墻無身法禁岸止。早利用境開放更服務浪流入鎮的數憑據來揀攻擊規，防懶火墻朝無法萍防止蒙。利臭用開屈放服檢務的裙數據囑隱蔽盼隧道修進行純攻擊改，防招火墻拿無法護防止康。攻途擊開久放服續務的讓軟件牢缺陷糾，防竟火墻侄無法亂防止蹲。癥防火揉墻不雀能防律止對擠自己訂的攻沉擊，結只能藍強制征對抗確。防拉火墻做本身權是一宿種被伸動防床衛機于制，襯不是確主動良安全撫機制鈴。防日火墻好不能挎干涉誘還沒秩有到支達防屑火墻偶的包注，如歷果這綿個包們是攻遺擊防籃火墻冶的，農只有示已經減發生塘了攻但擊，撫防火邪墻才黃可以互對抗怖，根女本不耀能防鼠止。攀目前選還沒抱有一殘種技策術可事以解倍決所常有的父安全稼問題今，但第是防寸御的論深度粉愈深凳，網統絡愈月安全哨。物寧理安缸全是破目前感唯一炎能解劈決上走述問寧題的鞋安全黑設備穗。妖物理捉隔離濕的技英術路檢線梯目前姑物理漏隔離識的技慶術路鎮線有每三種昨：網堤絡開擱關（掌Ne監tw侄or旦k待Sw鬧it琴ch撥er主），嫩實時難交換夠（R鞠ea信l-告ti泡me態S耀wi鵝tc欺h）推和單渡向連場接（伴On軟e懷Wa示y意Li背nk繳）。無網絡膨開關比是比怠較容給易理蝶解的杠一種肺。在率一個茅系統巾里安撇裝兩仇套虛逆擬系愈統和岔一個棕數據案系統西，數畢據被鋸寫入羅到一煎個虛寧擬系妻統，迅然后蓋交換田到數磨據系覽統，下再交泰換到漆另一碰個虛磁擬系票統。諒實時怠交換不，相猴當于忽在兩銳個系妹統之剖間，系共用血一個牛交換北設備新，交恭換設朗備連陜接到黨網絡勤A，宋得到饑數據少，然底后交奸換到兔網絡李B。賣單向炭連接括，早