分组交换中的介质访问策略有哪些?有什么优缺点?
分组交换仍采用存储转发传输方式,但将一个长报文先分割为若干个较短的分组,然后把这些分组(携带源、目的地址和编号信息)逐个地发送出去,因此分组交换除了具有报文的优点外,与报文交换相比有以下优缺点:
优点:
①加速了数据在网络中的传输。因为分组是逐个传输,可以使后一个分组的存储操作与前一个分组的转发操作并行,这种流水线式传输方式减少了报文的传输时间。此外,传输一个分组所需的缓冲区比传输一份报文所需的缓冲区小得多,这样因缓冲区不足而等待发送的机率及等待的时间也必然少得多。
②简化了存储管理。因为分组的长度固定,相应的缓冲区的大小也固定,在交换结点中存储器的管理通常被简化为对缓冲区的管理,相对比较容易。
③减少了出错机率和重发数据量。因为分组较短,其出错机率必然减少,每次重发的数据量也就大大减少,这样不仅提高了可靠性,也减少了传输时延。
④由于分组短小,更适用于采用优先级策略,便于及时传送一些紧急数据,因此对于计算机之间的突发式的数据通信,分组交换显然更为合适些。
缺点:
①尽管分组交换比报文交换的传输时延少,但仍存在存储转发时延,而且其结点交换机必须具有更强的处理能力。
②分组交换与报文交换一样,每个分组都要加上源、目的地址和分组编号等信息,使传送的信息量大约增大5%~10%,一定程度上降低了通信效率,增加了处理的时间,使控制复杂,时延增加。
③当分组交换采用数据报服务时,可能出现失序、丢失或重复分组,分组到达目的结点时,要对分组按编号进行排序等工作,增加了麻烦。若采用虚电路服务,虽无失序问题,但有呼叫建立、数据传输和虚电路释放三个过程。
总之,若要传送的数据量很大,且其传送时间远大于呼叫时间,则采用电路交换较为合适;当端到端的通路有很多段的链路组成时,采用分组交换传送数据较为合适。从提高整个网络的信道利用率上看,报文交换和分组交换优于电路交换,其中分组交换比报文交换的时延小,尤其适合于计算机之间的突发式的数据通信。
关于内外网数据交换的问题?怎么解决?
使用UniNXG能有效解决您所遇到的情况,UniNXG是专为解决两个以上物理或罗伊隔离网络间的数据安全交换而设计,它巧妙采用虚拟化技术及主机隔离通信技术有效解决隔离网络间的安全、高效、快捷数据交换问题。
1.能对交换的文件,自动审计用户名、终端IP地址、交换文件名、路径、文件大小、文件校验码、文件备份路径等,同时将交换的文件压缩备份到文件服务器;
2.敏感内容检测:自动识别敏感文档,拒绝交换不可识别的文档;
3对交换的文件进行杀毒安全检查,防止将病毒、木马文件交换到内网;
4.实现集中管控,包括设备管控、用户帐号管控、磁盘配额管控等;
优势:
1.不降低网络的安全性,每个授权员工都可在两个网络不同终端间的安全地交换数据,工作效率大幅提高;
2.审计信息完整、有效,确保事后追查时,不会因员工采用文件加密等方式,逃避责任;
3.无论是购置成本还是运营成本(电力、维护),都远胜网闸类产品;
4.可分布式部署、能实现集中管控特别适合包含大量分支机构的用户。
作为联软的主打产品之一,已经在在国信证券开始应用了。品质值得信赖。
网络隔离下的几种数据交换技术比较
一、背景 网络的物理隔离是很多网络设计者都不愿意的选择,网络上要承载专用的业务,其安全性一定要得到保障。然而网络的建设就是为了互通的,没有数据的共享,网络的作用也缩水了不少,因此网络隔离与数据交换是天生的一对矛盾,如何解决好网络的安全,又方便地实 现数据的交换是很多网络安全技术人员在一直探索的。 网络要隔离的原因很多,通常说的有下面两点: 1、 涉密的网络与低密级的网络互联是不安全的,尤其来自不可控制网络上的入侵与攻击是无法定位管理的。互联网是世界级的网络,也是安全上难以控制的网络,又要连通提供公共业务服务,又要防护各种攻击与病毒。要有隔离,还要数据交换是各企业、政府等网络建设的首先面对的问题。2 安全防护技术永远落后于攻击技术,先有了矛,可以刺伤敌人,才有了盾,可以防护被敌人刺伤。攻击技术不断变化升级,门槛降低、漏洞出现周期变短、病毒传播技术成了木马的运载工具…而防护技术好象总是打不完的补丁,目前互联网上的“黑客”已经产业化,有些象网络上的“黑社会”,虽然有时也做些杀富济贫的“义举”,但为了生存,不断专研新型攻击技术也是必然的。在一种新型的攻击出现后,防护技术要迟后一段时间才有应对的办法,这也是网络安全界的目前现状。 因此网络隔离就是先把网络与非安全区域划开,当然最好的方式就是在城市周围挖的护城河,然后再建几个可以控制的“吊桥”,保持与城外的互通。数据交换技术的发展就是研究“桥”上的防护技术。 目前数据交换有几种技术: 修桥策略:业务协议直接通过,数据不重组,对速度影响小,安全性弱防火墙FW:网络层的过滤多重安全网关:从网络层到应用层的过滤,多重关卡策略渡船策略:业务协议不直接通过,数据要重组,安全性好网闸:协议落地,安全检测依赖于现有安全技术交换网络:建立交换缓冲区,立体化安全监控与防护人工策略:不做物理连接,人工用移动介质交换数据,安全性做好。二、数据交换技术 1、防火墙 防火墙是最常用的网络隔离手段,主要是通过网络的路由控制,也就是访问控制列表(ACL)技术,网络是一种包交换技术,数据包是通过路由交换到达目的地的,所以控制了路由,就能控制通讯的线路,控制了数据包的流向,所以早期的网络安全控制方面基本上是使用防火墙。很多互联网服务网站的“标准设计”都是采用三区模式的防火墙。 但是,防火墙有一个很显著的缺点:就是防火墙只能做网络四层以下的控制,对于应用层内的病毒、蠕虫都没有办法。对于访问互联网的小网络隔离是可以的,但对于需要双向访问的业务网络隔离就显得不足了。 另外值得一提的是防火墙中的NAT技术,地址翻译可以隐藏内网的IP地址,很多人把它当作一种安全的防护,认为没有路由就是足够安全的。地址翻译其实是代理服务器技术的一种,不让业务访问直接通过是比防火墙的安全前进了一步,但代理服务本身没有很好的安全防护与控制,主要是靠操作系统级的安全策略,对于目前的网络攻击技术显然是脆弱的。目前很多攻击技术是针对NAT的,尤其防火墙对于应用层没有控制,方便了木马的进入,进入到内网的木马看到的是内网地址,直接报告给外网的攻击者,地址隐藏的作用就不大了。 2、多重安全网关 防火墙是在“桥”上架设的一道关卡,只能做到类似“护照”的检查,多重安全网关的方法就是架设多道关卡,有检查行李的、有检查人的。多重安全网关也有一个统一的名字:UTM(统一威胁管理)。实现为一个设备,还是多个设备只是设备本身处理能力的不同,重要的是进行从网络层到应用层的全面检查。^流量整形 |内容过滤 |防攻击 |防病毒AV |防入侵IPS |防火墙FW |防火墙与多重安全网关都是“架桥”的策略,主要是采用安全检查的方式,对应用的协议不做更改,所以速度快,流量大,可以过“汽车”业务,从客户应用上来看,没有不同。3、网闸 网闸的设计是“代理+摆渡”。不在河上架桥,可以设摆渡船,摆渡船不直接连接两岸,安全性当然要比桥好,即使是攻击,也不可能一下就进入,在船上总要受到管理者的各种控制。另外,网闸的功能有代理,这个代理不只是协议代理,而是数据的“拆卸”,把数据还原成原始的部分,拆除各种通讯协议添加的“包头包尾”,很多攻击是通过对数据的拆装来隐藏自己的,没有了这些“通讯管理”,攻击的入侵就很难进入。网闸的安全理念是: 网络隔离---“过河用船不用桥”:用“摆渡方式”来隔离网络协议隔离---“禁止采用集装箱运输”:通讯协议落地,用专用协议、单向通道技术、存储等方式阻断业务的连接,用代理方式支持上层业务 网闸是很多安全网络隔离的选择,但网闸代理业务的方式不同,协议隔离的概念不断变化,所以在在选择网闸的时候要注意网闸的具体实现方式。 4、交换网络 交换网络的模型来源于银行系统的Clark-Wilson模型,主要是通过业务代理与双人审计的思路保护数据的完整性。交换网络是在两个隔离的网络之间建立一个网络交换区域,负责数据的交换。交换网络的两端可以采用多重网关,也可以采用网闸。在交换网络内部采用监控、审计等安全技术,整体上形成一个立体的交换网安全防护体系。