正向网络隔离装置要点分析

一个网络隔离装置(作为阻塞点、控制点)能极大地提高一个监控系统的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过网络隔离装置，所以网络环境变得更安全。如网络隔离装置可以禁止不安全的NFS协议进出保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击监控系统。网络隔离装置同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。网络隔离装置应该可以拒绝所有以上类型攻击的报文并通知网络隔离装置管理员。

通过以网络隔离装置为中心的安全方案配置，能将所有安全策略配置在网络隔离装置上。与将网络安全问题分散到各个主机上相比，网络隔离装置的集中安全管理更方便可靠。例如在网络访问时，监控系统通过加密口令/身份认证方式与其它信息系统通信，在电力监控系统基本上不可行，它意味监控系统要重新测试，因此用网络隔离装置集中控制，无需修改双端应用程序是*佳的选择。

如果所有的访问都经过网络隔离装置，那么，网络隔离装置就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，网络隔离装置能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。

通过网络隔离装置对监控系统及其它信息系统的划分，实现监控系统重点网段的隔离，一个监控系统中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴露了监控系统的某些安全漏洞。使用网络隔离装置就可以隐蔽那些透漏内部细节，例如网络隔离装置可以进行网络地址转换(NAT)，这样一台主机IP地址就不会被外界所了解,不会为外部攻击创造条件。