天融信安全隔离与信息交换系统部署在不同的网络之间,或者同一网络的不同安全域之间,将天融信安全隔离与信息交换系统两端连接的网络隔离断开。通过阻断网络之间基于TCP/IP协议的直接连接,实现对所有已知和未知网络攻击的全面防御。
天融信安全隔离与信息交换系统部署在不同的网络之间,或者同一网络的不同安全域之间,将天融信安全隔离与信息交换系统两端连接的网络隔离断开。通过阻断网络之间基于TCP/IP协议的直接连接,实现对所有已知和未知网络攻击的全面防御。
方案一将应用服务器和数据库服务器都放在天融信安全隔离与信息交换系统内网,同时对应用和数据库进行保护。方案二将应用服务器放在天融信安全隔离与信息交换系统外网将数据库服务器放在天融信安全隔离与信息交换系统内网,只对数据库进行保护。无论方案一还是方案二所有来自网络的连接访问都在天融信安全隔离与信息交换系统外网机终止,不存在穿透天融信安全隔离与信息交换系统的TCP/IP连接,保证了天融信安全隔离与信息交换系统内网的安全。
从效率角度讲,方案一外部网络对应用服务器的访问数据全部要经过天融信安全隔离与信息交换系统,都需要通过天融信安全隔离与信息交换系统的数据摆渡机制进行数据摆渡,在外部网络访问量达到一定程度时会增加天融信安全隔离与信息交换系统的负载带来网络延迟。而方案二外部网络对应用服务器的访问数据大部分不经过天融信安全隔离与信息交换系统,一些大的图片及静态页面都是存放在应用服务器上,只有数据库中存放的数据和图片路径会通过天融信安全隔离与信息交换系统的数据摆渡机制进行传输,效率显然更高。
从安全性角度讲,方案一应用服务器位于天融信安全隔离与信息交换系统内网,为了支持外部网络对天融信安全隔离与信息交换系统内网应用服务器的访问,需要在天融信安全隔离与信息交换系统上开放很多的通信端口做很多的数据摆渡策略,这样必然带来更多的网络安全威胁。而方案二只有数据库的数据通过天融信安全隔离与信息交换系统进行传输,天融信安全隔离与信息交换系统只需要开放数据库端口做数据库数据的数据摆渡策略,相对的带来的网络安全威胁也会减少。即使应用服务器只是web网站仅开放80端口,那么针对web 80端口的网络攻击也要比针对数据库端口的攻击多很多,带来的安全威胁也更大。
方案一与方案二相比优点在于方案一提供了更大范围的安全保护。方案一中应用服务器和数据库服务器都在天融信安全隔离与信息交换系统内网,同时受到针对网络攻击的安全保护,而方案二中只有数据库服务器受到保护,应用服务器直接面临来自外部网络的安全威胁。所以说方案一方案二并没有绝对的好与不好,采用哪种方案具体还要看用户的网络情况包括外网访问量、应用服务器安全级别等等。
方案三增加了一台数据库服务器前置机,天融信安全隔离与信息交换系统部署在数据库服务器和前置机之间,通过天融信安全隔离与信息交换系统的数据库单向同步技术将数据库数据同步到前置机上。从效率方面讲提供了比方案一、方案二更高效的访问速度。外部网络对应用服务器的访问和数据交换过程不需要通过天融信安全隔离与信息交换系统,只有内网数据库服务器数据更新时才会通过天融信安全隔离与信息交换系统的数据摆渡机制传输到数据库前置机上。
从安全方面讲方案三提供了比方案二更高端的安全防护机制。天融信安全隔离与信息交换系统是隔离设备能够隔断所有的网络攻击,但是对裸数据里的病毒防护能力有限,不能完全抵御各种新病毒及变种病毒。对于方案二而言病毒存在一定的威胁,通过天融信安全隔离与信息交换系统数据摆渡机制传输到数据库服务器上的数据有可能含有病毒和恶意代码破坏数据库数据。但是方案三中的数据库单向同步机制隔断了网络攻击威胁,同时也杜绝了病毒和恶意代码的威胁。即使数据库前置机遭受网络攻击或者病毒感染,位于天融信安全隔离与信息交换系统内网的数据库也是安全的。
方案三综合考虑了效率和安全的问题,但是方案三带来了成本增加的问题。方案三更侧重于对用户核心数据的保护,将应用服务器和数据库前置机暴露在外部网络,无法防护应用服务器和前置机面临的网络攻击。此外方案三的适用范围有一定的局限性,如果用户的应用服务器不仅仅提供数据查询的功能还要向数据库提交数据,那么单向的数据库同步不能满足用户的全部需求。网络安全方案没有绝对的好与不好,根据用户网络实际需求选择的最适合用户的安全方案才是最合理的方案。
网友评论