工业控制系统信息安全技术与方案部署
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
代理服务技术是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点 是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”, 由两个终止代理服务器上的“链接”来实现,外部计算机的网络链路只能到达代理服务器,从 而起到了隔离防火墙内外计算机系统的作用。此外,代理服务也对过往的数据包进行分析、注 册登记,形成报告,当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。它具有 更好的性能和安全性,但有一定的附加部分和延时,影响性能。
设施上建立安全、独占、自治的逻辑网络技术。它不仅可以保护网络的边界安全, 同时也是一种网络互连的方式。 2.虚拟专用网技术的优点
1)容易扩展 2)方便与合作伙伴的联系 3)完全控制主动权 4)成本较低
-14-
14
3.2.2 虚拟专用网的分类
1.按VPN应用模式分类 1)远程访问虚拟专用网(Access VPN) 2)企业内部虚拟网(Intranet VPN) 3)企业扩展虚拟专用网(Extranet VPN)
1.加密技术 2.安全隧道技术 3.用户身份认证技术 4.访问控制技术
-18-
18
3.2.5 虚拟专用网的协议
1.常见虚拟专用网的协议 1)点对点隧道协议 2)第二层隧道协议 3)第三层隧道协议
-19-
19
3.2.5 虚拟专用网的协议
2.IPSec体系 1)IPSec协议简介 2)IPSec优点 3)IPSec体系结构
数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好。 “白名单” “黑名单” 数据包过滤防火墙适用于工业控制,早期市场中已普遍使用,但其缺陷也慢慢显现出来。
-5-
5
3.1.2 工业防火墙技术
2.状态包检测(Stateful Inspection)技术
状态包检测防火墙采用基于会话连接的状态检测机制,将属于同一连接的所有数据包作为 一个整体的数据流看待,构成动态连接状态表,通过访问控制列表与连接状态表的共同配合, 不仅可以对数据包进行简单的包过滤(也就是对源地址、目标地址和端口号进行控制),而且 还对状态表中的各个连接状态因素加以识别,检测此次会话连接的每个数据包是否符合此次会 话的状态,能够根据此次会话前面的数据包进行基于历史相关的访问控制。
大家好
1
《工业控制系统信息安全》
第3章 工业控制系统信息安全技术与方案部署
-2-
2
第3章工业控制系统信息安全技术与方案部署
3.1 工业防火墙技术 3.2 虚拟专用网(VPN)技术 3.3 控制网络逻辑分隔 3.4 网络隔离 3.5 纵深防御架构
-3-
3
3.1.1 防火墙的定义
-4-
4
3.1.2 工业防火墙技术
中任何一台计算机不配置安全控制,将带来威胁。为防止这种威胁,除防 火墙外,任何系统不可以延伸公司网与工业控制网。公司管理网络与工业 控制系统网络之间连接,必须通过防火墙。
-25-
25
3.4 网络隔离
2.防火墙位于公司网与控制网间 在工业控制网和公司网络之间增
加一个简单的两个口的防火墙,极大 地提高了控制系统信息安全。进行合 理配置后,防火墙就可以进一步减少 控制网外来攻击的机会。
代理服务网关防火墙不太适用于工业控制,但也有不计较延时情况的应用。
-7-
7
3.1.3 工业防火墙技术发展方向
1.透明接入技术 2.分布式防火墙技术 3.智能型防火墙技术
-8-
8
3.1.4 工业防火墙与一般IT防火墙区别
数据包过滤防火墙与一般IT防火墙的区别主要表现在以下几点: (1)支持基于白名单策略的访问控制,包括网络层和应用层。 (2)工业控制协议过滤,应具备深度包检测功能,支持主流的工控协议的格式检查机制、 功能码与寄存器检查机制。 (3)支持动态开放OPC协议端口。 (4)防火墙应支持多种工作模式,保证防火墙区分部署和工作过程以实现对被防护系统的 最小影响。例如,学习模式,防火墙记录运行过程中经过防火墙的所有策略、资产等信息, 形成白名单策略集;验证模式或测试模式,该模式下防火墙对白名单策略外的行为做告警, 但不拦截;工作模式,防火墙的正常工作模式,严格按照防护策略进行过滤等动作保护。 (5)防火墙应具有高可靠性,包括故障自恢复、在一定负荷下72小时正常运行、无风扇、 支持导轨式或机架式安装等。
-12-
12
第3章工业控制系统信息安全技术与方案部署
3.1 工业防火墙技术 3.2 虚拟专用网(VPN)技术 3.3 控制网络逻辑分隔 3.4 网络隔离 3.5 纵深防御架构
-13-
13
3.2.1 虚拟专用网技术的定义
1.虚拟专用网技术的定义 虚拟专用网(VPN)技术是一种采用加密、认证等安全机制,在公共网络基础
-9-
9
3.1.5 工业防火墙具体服务规则
1.域名解析系统(DNS) DNS主要用于域名和IP地址之间的翻译。 2.超文本传输协议(HTTP) HTTP是在互联网进行Web浏览服务的协议。 3.文件传输协议(FTP)和一般的文件传输协议(TFTP) FTP和TFTP用于设备之间的文件传输。 4.用于远程联接服务的标准协议(Telnet) Telnet协议在用户端和主机端之间定义一个互动的、以文本为基础的通信。
-20-
20
第3章工业控制系统信息安全技术与方案部署
3.1 工业防火墙技术 3.2 虚拟专用网(VPN)技术 3.3 控制网络逻辑分隔 3.4 网络隔离 3.5 纵深防御架构
-21-
21
3.3 控制网络逻辑分隔
工业控制系统网络至少应通过具有物理分隔网络设备,与公司管理网进行逻辑 分隔。公司管理网络与工业控制系统网络有连接要求时,应该做到以下几点: (1)公司管理网络与工业控制系统网络的连接必须有文件记载,且尽量采用最少的 访问点。如有冗余的访问点,也必须有文件记载。 (2)公司管理网络与工业控制系统网络之间宜安装状态包检测防火墙,只允许明确 授权的信息访问流量,对其他未授权的信息访问流量一概拒绝。 (3)防火墙的规则不仅要提供传输控制协议(TCP)和用户数据报协议(UDP)端口 的过滤、网间控制报文协议(ICMP)类型和代码过滤,还要提供源端和目的地端的 过滤。
-30-
30
3.5 纵深防御架构
单个安全产 品、技术和解决 方案不能足够保 护控制系统。一 个涉及两种或多 种重叠安全机理 的多层策略,技 术上称为纵深防 护,是普遍需要 的。
-31-
31
3.5 纵深防御架构
这个纵深防御架构包括为工业控制系统所需的防火墙、DMZ使用和入侵检 测能力。其中多个DMZ的使用为功能分开和访问权限分开,而且已证实对有多 个网络和不同运作要求的大架构非常有效。
-10-
10
3.1.5 工业防火墙具体服务规则
5.简单邮件传输协议(SMTP) SMTP是互联网上主要的邮件传输协议。 6.简单网络管理协议(SNMP) SNMP用于在中央管理控制台与网络设备之间的网络管理服务。 7.分布式组件对象模型(DCOM) DCOM是OPC和Profinet的基本传输协议。 8.SCADA与工业网络协议 SCADA和一些工业网络协议,诸如Modbus/TCP、EtherNet/IP等,对于多数控制设备之间的通信 是很关键的。只是这些协议设计时没有安全考虑,且不需要任何验证对控制设备远程发出执行 命令。因此,这些协议只允许用于控制网,而不允许过渡到公司网。
--加快数据包的处理速度 --具有更好的性能和安全性
状态包检测防火墙虽然成本高一点,对管理员要求复杂一点,但它能提供比数据包过滤防 火墙更高的安全性和更好的性能,因而在工业控制中应用越来越多。
-6-
6
3.1.2 工业防火墙技术
3.代理服务(Proxy Service)技术
代理服务(Proxy Service)又称为链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels),也有人将它归于应用级网关一类。
1.数据包过滤(Packet Filtering)技术 数据包过滤技术是在OSI第3层网络层对数据包进行选择,选择的依据是系统内设置的过滤
逻辑,称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、 目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。
-11-
11
3.1.6 工业防火墙争论问题
1.数据历史服务器 数据历史服务器放在公司网,那么一些不安全的协议,如Modbus/TCP或DCOM,必须穿过防火墙 向数据历史服务器汇报,而出现在公司网。同样,数据历史服务器放在控制网,那么一些有问 题的协议,如HTTP或SQL,必须穿过防火墙向数据历史服务器汇报,而出现在控制网。 因此,最好的办法是不用两区系统,采用三区系统,即控制网区、DMZ和公司网。在控制网区收 集数据,数据历史服务器放在DMZ。然而,若很多公司网用户访问历史服务器,将加重防火墙的 负担。这可以采用安装两台服务器来解决: 第一台放置在控制网收集数据,第二台放置在公司 网,镜像第一台服务器,同时支持用户询问,并做好两台服务器的时间同步。 2.远程支持访问 用户或供应商需通过远程访问进入控制网,则需通过验证。 控制组可以在DMZ建立远程访问系统,也可以由IT部门用已有的系统。 远程支持人员必须采用VPN技术访问控制设备。 3.多点广播数据流 多点广播数据流,提高了网络的效率,但也带来了防火墙的复杂问题。
通常,一个隧道是由隧道启动器、路由网络、隧道交换机和一个或多个隧道 终结器等基本组成的。来自不同的数据源的网络业务经过不同的隧道在相同的体 系结构中传输,并且允许网络协议穿越不兼容的体系结构,还可以区分来自不同 数据源的业务,因而可以将该业务发往指定的目的地,同时接受指定的等级服务。
-17-
17
3.2.4 虚拟专用网的关键技术
-15-
15
3.2.2 虚拟专用网的分类
2.按构建者所采用的安全协议分类 1)IPSec VPN 2)MPLS VPN 3)L2TP VPN 4)SSL VPN
-16-
16
3.2.3 虚拟专用网的工作原理
VPN连接,表面上看是一种专用连接,实际上是在公共网络的基础上的连接。 它通过使用被称为“隧道”的技术,建立点对点的连接,实现数据包在公共网络 上的专用“隧道”内的传输。
-22-
22
3.3 控制网络逻辑分隔
公司管理网络与工业控制系统网络之间的通信,一个可接受的方法是在两者之 间建立一个中间非军事化区(DMZ)网络。这个非军事化区(DMZ)应连接至防火墙, 以确保定制的通信仅在公司管理网络与非军事化区(DMZ)之间、工业控制系统网络 与非军事化区(DMZ)之间进行。公司管理网络与工业控制系统网络之间不可以直接 相互通信。这个方法将在下一节中详细介绍。
-26-
26
3.4 网络隔离
3.防火墙与路由器 位于公司网与 控制网间 更成熟的架构设计是采用路由器与 防火墙组合,如图3-6所示。路由 器安装在防火墙前面,进行基本的 包过滤,而防火墙将采用状态包检 测技术或代理网管技术处理较复杂 的问题。
-27-
27
3.4 网络隔离
4.防火墙带DMZ位于公司网与控制 网间
同时,应该看到,随着这些年的信息技术的发展和应用,这个纵深防御架 构中的Modem由于不安全而不采用,已越来越多地由VPN的成熟技术所取代。
-32-
32
更进一步的设计架构是使用的 防火墙ห้องสมุดไป่ตู้在控制网和公司网之间建 立非军事区(DMZ)。
-28-
28
3.4 网络隔离
5.双防火墙位于公司网与控制网 间
对前面架构稍加变化,就出现 采用双防火墙的架构。
-29-
29
第3章工业控制系统信息安全技术与方案部署
3.1 工业防火墙技术 3.2 虚拟专用网(VPN)技术 3.3 控制网络逻辑分隔 3.4 网络隔离 3.5 纵深防御架构
工业控制系统网络与公司外部网络之间通信,应采用虚拟专用网络(VPN)技术。
-23-
23
第3章工业控制系统信息安全技术与方案部署
3.1 工业防火墙技术 3.2 虚拟专用网(VPN)技术 3.3 控制网络逻辑分隔 3.4 网络隔离 3.5 纵深防御架构
-24-
24
3.4 网络隔离
1.双宿主计算机 双宿主计算机能把网络信息流量从一个网络传到另一个网络。如果其
设施上建立安全、独占、自治的逻辑网络技术。它不仅可以保护网络的边界安全, 同时也是一种网络互连的方式。 2.虚拟专用网技术的优点
1)容易扩展 2)方便与合作伙伴的联系 3)完全控制主动权 4)成本较低
-14-
14
3.2.2 虚拟专用网的分类
1.按VPN应用模式分类 1)远程访问虚拟专用网(Access VPN) 2)企业内部虚拟网(Intranet VPN) 3)企业扩展虚拟专用网(Extranet VPN)
1.加密技术 2.安全隧道技术 3.用户身份认证技术 4.访问控制技术
-18-
18
3.2.5 虚拟专用网的协议
1.常见虚拟专用网的协议 1)点对点隧道协议 2)第二层隧道协议 3)第三层隧道协议
-19-
19
3.2.5 虚拟专用网的协议
2.IPSec体系 1)IPSec协议简介 2)IPSec优点 3)IPSec体系结构
数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好。 “白名单” “黑名单” 数据包过滤防火墙适用于工业控制,早期市场中已普遍使用,但其缺陷也慢慢显现出来。
-5-
5
3.1.2 工业防火墙技术
2.状态包检测(Stateful Inspection)技术
状态包检测防火墙采用基于会话连接的状态检测机制,将属于同一连接的所有数据包作为 一个整体的数据流看待,构成动态连接状态表,通过访问控制列表与连接状态表的共同配合, 不仅可以对数据包进行简单的包过滤(也就是对源地址、目标地址和端口号进行控制),而且 还对状态表中的各个连接状态因素加以识别,检测此次会话连接的每个数据包是否符合此次会 话的状态,能够根据此次会话前面的数据包进行基于历史相关的访问控制。
大家好
1
《工业控制系统信息安全》
第3章 工业控制系统信息安全技术与方案部署
-2-
2
第3章工业控制系统信息安全技术与方案部署
3.1 工业防火墙技术 3.2 虚拟专用网(VPN)技术 3.3 控制网络逻辑分隔 3.4 网络隔离 3.5 纵深防御架构
-3-
3
3.1.1 防火墙的定义
-4-
4
3.1.2 工业防火墙技术
中任何一台计算机不配置安全控制,将带来威胁。为防止这种威胁,除防 火墙外,任何系统不可以延伸公司网与工业控制网。公司管理网络与工业 控制系统网络之间连接,必须通过防火墙。
-25-
25
3.4 网络隔离
2.防火墙位于公司网与控制网间 在工业控制网和公司网络之间增
加一个简单的两个口的防火墙,极大 地提高了控制系统信息安全。进行合 理配置后,防火墙就可以进一步减少 控制网外来攻击的机会。
代理服务网关防火墙不太适用于工业控制,但也有不计较延时情况的应用。
-7-
7
3.1.3 工业防火墙技术发展方向
1.透明接入技术 2.分布式防火墙技术 3.智能型防火墙技术
-8-
8
3.1.4 工业防火墙与一般IT防火墙区别
数据包过滤防火墙与一般IT防火墙的区别主要表现在以下几点: (1)支持基于白名单策略的访问控制,包括网络层和应用层。 (2)工业控制协议过滤,应具备深度包检测功能,支持主流的工控协议的格式检查机制、 功能码与寄存器检查机制。 (3)支持动态开放OPC协议端口。 (4)防火墙应支持多种工作模式,保证防火墙区分部署和工作过程以实现对被防护系统的 最小影响。例如,学习模式,防火墙记录运行过程中经过防火墙的所有策略、资产等信息, 形成白名单策略集;验证模式或测试模式,该模式下防火墙对白名单策略外的行为做告警, 但不拦截;工作模式,防火墙的正常工作模式,严格按照防护策略进行过滤等动作保护。 (5)防火墙应具有高可靠性,包括故障自恢复、在一定负荷下72小时正常运行、无风扇、 支持导轨式或机架式安装等。
-12-
12
第3章工业控制系统信息安全技术与方案部署
3.1 工业防火墙技术 3.2 虚拟专用网(VPN)技术 3.3 控制网络逻辑分隔 3.4 网络隔离 3.5 纵深防御架构
-13-
13
3.2.1 虚拟专用网技术的定义
1.虚拟专用网技术的定义 虚拟专用网(VPN)技术是一种采用加密、认证等安全机制,在公共网络基础
-9-
9
3.1.5 工业防火墙具体服务规则
1.域名解析系统(DNS) DNS主要用于域名和IP地址之间的翻译。 2.超文本传输协议(HTTP) HTTP是在互联网进行Web浏览服务的协议。 3.文件传输协议(FTP)和一般的文件传输协议(TFTP) FTP和TFTP用于设备之间的文件传输。 4.用于远程联接服务的标准协议(Telnet) Telnet协议在用户端和主机端之间定义一个互动的、以文本为基础的通信。
-20-
20
第3章工业控制系统信息安全技术与方案部署
3.1 工业防火墙技术 3.2 虚拟专用网(VPN)技术 3.3 控制网络逻辑分隔 3.4 网络隔离 3.5 纵深防御架构
-21-
21
3.3 控制网络逻辑分隔
工业控制系统网络至少应通过具有物理分隔网络设备,与公司管理网进行逻辑 分隔。公司管理网络与工业控制系统网络有连接要求时,应该做到以下几点: (1)公司管理网络与工业控制系统网络的连接必须有文件记载,且尽量采用最少的 访问点。如有冗余的访问点,也必须有文件记载。 (2)公司管理网络与工业控制系统网络之间宜安装状态包检测防火墙,只允许明确 授权的信息访问流量,对其他未授权的信息访问流量一概拒绝。 (3)防火墙的规则不仅要提供传输控制协议(TCP)和用户数据报协议(UDP)端口 的过滤、网间控制报文协议(ICMP)类型和代码过滤,还要提供源端和目的地端的 过滤。
-30-
30
3.5 纵深防御架构
单个安全产 品、技术和解决 方案不能足够保 护控制系统。一 个涉及两种或多 种重叠安全机理 的多层策略,技 术上称为纵深防 护,是普遍需要 的。
-31-
31
3.5 纵深防御架构
这个纵深防御架构包括为工业控制系统所需的防火墙、DMZ使用和入侵检 测能力。其中多个DMZ的使用为功能分开和访问权限分开,而且已证实对有多 个网络和不同运作要求的大架构非常有效。
-10-
10
3.1.5 工业防火墙具体服务规则
5.简单邮件传输协议(SMTP) SMTP是互联网上主要的邮件传输协议。 6.简单网络管理协议(SNMP) SNMP用于在中央管理控制台与网络设备之间的网络管理服务。 7.分布式组件对象模型(DCOM) DCOM是OPC和Profinet的基本传输协议。 8.SCADA与工业网络协议 SCADA和一些工业网络协议,诸如Modbus/TCP、EtherNet/IP等,对于多数控制设备之间的通信 是很关键的。只是这些协议设计时没有安全考虑,且不需要任何验证对控制设备远程发出执行 命令。因此,这些协议只允许用于控制网,而不允许过渡到公司网。
--加快数据包的处理速度 --具有更好的性能和安全性
状态包检测防火墙虽然成本高一点,对管理员要求复杂一点,但它能提供比数据包过滤防 火墙更高的安全性和更好的性能,因而在工业控制中应用越来越多。
-6-
6
3.1.2 工业防火墙技术
3.代理服务(Proxy Service)技术
代理服务(Proxy Service)又称为链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels),也有人将它归于应用级网关一类。
1.数据包过滤(Packet Filtering)技术 数据包过滤技术是在OSI第3层网络层对数据包进行选择,选择的依据是系统内设置的过滤
逻辑,称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、 目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。
-11-
11
3.1.6 工业防火墙争论问题
1.数据历史服务器 数据历史服务器放在公司网,那么一些不安全的协议,如Modbus/TCP或DCOM,必须穿过防火墙 向数据历史服务器汇报,而出现在公司网。同样,数据历史服务器放在控制网,那么一些有问 题的协议,如HTTP或SQL,必须穿过防火墙向数据历史服务器汇报,而出现在控制网。 因此,最好的办法是不用两区系统,采用三区系统,即控制网区、DMZ和公司网。在控制网区收 集数据,数据历史服务器放在DMZ。然而,若很多公司网用户访问历史服务器,将加重防火墙的 负担。这可以采用安装两台服务器来解决: 第一台放置在控制网收集数据,第二台放置在公司 网,镜像第一台服务器,同时支持用户询问,并做好两台服务器的时间同步。 2.远程支持访问 用户或供应商需通过远程访问进入控制网,则需通过验证。 控制组可以在DMZ建立远程访问系统,也可以由IT部门用已有的系统。 远程支持人员必须采用VPN技术访问控制设备。 3.多点广播数据流 多点广播数据流,提高了网络的效率,但也带来了防火墙的复杂问题。
通常,一个隧道是由隧道启动器、路由网络、隧道交换机和一个或多个隧道 终结器等基本组成的。来自不同的数据源的网络业务经过不同的隧道在相同的体 系结构中传输,并且允许网络协议穿越不兼容的体系结构,还可以区分来自不同 数据源的业务,因而可以将该业务发往指定的目的地,同时接受指定的等级服务。
-17-
17
3.2.4 虚拟专用网的关键技术
-15-
15
3.2.2 虚拟专用网的分类
2.按构建者所采用的安全协议分类 1)IPSec VPN 2)MPLS VPN 3)L2TP VPN 4)SSL VPN
-16-
16
3.2.3 虚拟专用网的工作原理
VPN连接,表面上看是一种专用连接,实际上是在公共网络的基础上的连接。 它通过使用被称为“隧道”的技术,建立点对点的连接,实现数据包在公共网络 上的专用“隧道”内的传输。
-22-
22
3.3 控制网络逻辑分隔
公司管理网络与工业控制系统网络之间的通信,一个可接受的方法是在两者之 间建立一个中间非军事化区(DMZ)网络。这个非军事化区(DMZ)应连接至防火墙, 以确保定制的通信仅在公司管理网络与非军事化区(DMZ)之间、工业控制系统网络 与非军事化区(DMZ)之间进行。公司管理网络与工业控制系统网络之间不可以直接 相互通信。这个方法将在下一节中详细介绍。
-26-
26
3.4 网络隔离
3.防火墙与路由器 位于公司网与 控制网间 更成熟的架构设计是采用路由器与 防火墙组合,如图3-6所示。路由 器安装在防火墙前面,进行基本的 包过滤,而防火墙将采用状态包检 测技术或代理网管技术处理较复杂 的问题。
-27-
27
3.4 网络隔离
4.防火墙带DMZ位于公司网与控制 网间
同时,应该看到,随着这些年的信息技术的发展和应用,这个纵深防御架 构中的Modem由于不安全而不采用,已越来越多地由VPN的成熟技术所取代。
-32-
32
更进一步的设计架构是使用的 防火墙ห้องสมุดไป่ตู้在控制网和公司网之间建 立非军事区(DMZ)。
-28-
28
3.4 网络隔离
5.双防火墙位于公司网与控制网 间
对前面架构稍加变化,就出现 采用双防火墙的架构。
-29-
29
第3章工业控制系统信息安全技术与方案部署
3.1 工业防火墙技术 3.2 虚拟专用网(VPN)技术 3.3 控制网络逻辑分隔 3.4 网络隔离 3.5 纵深防御架构
工业控制系统网络与公司外部网络之间通信,应采用虚拟专用网络(VPN)技术。
-23-
23
第3章工业控制系统信息安全技术与方案部署
3.1 工业防火墙技术 3.2 虚拟专用网(VPN)技术 3.3 控制网络逻辑分隔 3.4 网络隔离 3.5 纵深防御架构
-24-
24
3.4 网络隔离
1.双宿主计算机 双宿主计算机能把网络信息流量从一个网络传到另一个网络。如果其