功率放大器设计的关键:输出匹配电路的性能

2010-09-29 08:13:00来源: 互联网

         一、背景

  网络隔离是很多专用网络的没有办法的办法,网络上承载专用的业务,其安全性一定要得到保障,然而网络的建设就是为了互通的,没有数据的共享,网络的作用也缩水了不少,因此网络隔离与数据共享交换本身就是天生的一对矛盾,如何解决好网络的安全,又方便地实现数据的交换是很多网络安全技术人员在一直探索的。

  网络要隔离的原因很多,通常说的有下面两点:

  1、涉密的网络与低密级的网络互联是不安全的,尤其来自不可控制网络上的入侵与攻击是无法定位管理的。互联网是世界级的网络,也是安全上难以控制的网络,又要连通提供公共业务服务,又要防护各种攻击与*。要有隔离,还要数据交换是各企业、政府等网络建设的首先面对的问题。

  2、安全防护技术永远落后于攻击技术,先有了矛,可以刺伤敌人,才有了盾,可以防护被敌人刺伤。攻击技术不断变化升级,门槛降低、漏洞出现周期变短、*传播技术成了木马的运载工具...而防护技术好象总是打不完的补丁,目前互联网上的"黑客"已经产业化,有些象网络上的"黑社会",虽然有时也做些杀富济贫的"义举",但为了生存,不断专研新型攻击技术也是必然的。在一种新型的攻击出现后,防护技术要迟后一段时间才有应对的办法,这也是网络安全界的目前现状。

  因此网络隔离就是先把网络与非安全区域划开,当然最好的方式就是在城市周围挖的护城河,然后再建几个可以控制的"吊桥",保持与城外的互通。数据交换技术的发展就是研究"桥"上的防护技术。

  关于隔离与数据交换,启明星辰公司有比较的安全策略研究,总结起来有下面几种安全策略:

  修桥策略:业务协议直接通过,数据不重组,对速度影响小,安全性弱

  ◆防火墙FW:网络层的过滤

  ◆多重安全网关:从网络层到应用层的过滤,多重关卡策略

  渡船策略:业务协议不直接通过,数据要重组,安全性好

  ◆网闸:协议落地,安全检测依赖于现有的安全技术

  ◆交换网络:建立交换缓冲区,采用防护、监控与审计多方位的安全防护

  人工策略:不做物理连接,人工用移动介质交换数据,安全性最好。

  二、数据交换技术

  1、防火墙

  防火墙是最常用的网络隔离手段,主要是通过网络的路由控制,也就是访问控制列表(ACL)技术,网络是一种包交换技术,数据包是通过路由交换到达目的地的,所以控制了路由,就能控制通讯的线路,控制了数据包的流向,早期的网络安全控制方面基本上是防火墙。国内影响较大的厂商有天融信、启明星辰、联想网御等。

  但是,防火墙有一个很显著的缺点:就是防火墙只能做网络四层以下的控制,对于应用层内的*、蠕虫都没有办法。对于安全要求初级的隔离是可以的,但对于需要深层次的网络隔离就显得不足了。

  值得一提的是防火墙中的NAT技术,地址翻译可以隐藏内网的IP地址,很多人把它当作一种安全的防护,认为没有路由就是足够安全的。地址翻译其实是代理服务器技术的一种,不让业务访问直接通过是在安全上前进了一步,但目前应用层的绕过NAT技术很普遍,隐藏地址只是相对的。目前很多攻击技术是针对防火墙的,尤其防火墙对于应用层没有控制,方便了木马的进入,进入到内网的木马看到的是内网地址,直接报告给外网的攻击者,NAT的安全作用就不大了。

  2、多重安全网关(也称新一代防火墙)

  防火墙是在"桥"上架设的一道关卡,只能做到类似"护照"的检查,多重安全网关的方法就是架设多道关卡,有检查行李的、有检查人的。多重安全网关也有一个统一的名字:UTM(统一威胁管理)。设计成一个设备,还是多个设备只是设备本身处理能力的不同,重要的是进行从网络层到应用层的全面检查。国内推出UTM的厂家很多,如天融信、启明星辰等。

  多重安全网关的检查分几个层次:

  FW:网络层的ACL

  IPS:防入侵行为

  AV:防*入侵

  可扩充功能:自身防DOS攻击、内容过滤、流量整形...

  防火墙与多重安全网关都是"架桥"的策略,主要是采用安全检查的方式,对应用的协议不做更改,所以速度快,流量大,可以过"汽车"业务,从客户应用上来看,没有不同。

  3、网闸

  网闸的设计是"代理+摆渡"。不在河上架桥,可以设摆渡船,摆渡船不直接连接两岸,安全性当然要比桥好,即使是攻击,也不可能一下就进入,在船上总要受到管理者的各种控制。另外,网闸的功能有代理,这个代理不只是协议代理,而是数据的"拆卸",把数据还原成原始的面貌,拆除各种通讯协议添加的"包头包尾",很多攻击是通过对数据的拆装来隐藏自己的,没有了这些"通讯外衣",攻击者就很难藏身了。

  网闸的安全理念是:

  网络隔离---"过河用船不用桥":用"摆渡方式"来隔离网络

  协议隔离---"禁止采用集装箱运输":通讯协议落地,用专用协议或存储等方式阻断通讯协议的连接,用代理方式支持上层业务


  按国家安全要求是需要涉密网络与非涉密网络互联的时候,要采用网闸隔离,若非涉密网络与互联网连通时,采用单向网闸,若非涉密网络与互联网不连通时,采用双向网闸。

  4、交换网络

  交换网络的模型来源于银行系统的Clark-WilsON模型,主要是通过业务代理与双人审计的思路保护数据的完整性。交换网络是在两个隔离的网络之间建立一个数据交换区域,负责业务数据交换(单向或双向)。交换网络的两端可以采用多重网关,也可以采用网闸。在交换网络内部采用监控、审计等安全技术,整体上形成一个立体的交换网安全防护体系。

  交换网络的核心也是业务代理,客户业务要经过接入缓冲区的申请代理,到业务缓冲区的业务代理,才能进入生产网络。

  网闸与交换网络技术都是采用渡船策略,延长数据通讯"里程",增加安全保障措施。

  三、数据交换技术的比较

  不同的业务网络根据自己的安全需求,选择不同的数据交换技术,主要是看数据交换的量大小、实时性要求、业务服务方式的要求。

关键字:功率放大器  电路  网络

编辑:金海 引用地址:http://www.eeworld.com.cn/mndz/2010/0929/article_2579.html
本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。
论坛活动 E手掌握
微信扫一扫加关注
论坛活动 E手掌握
芯片资讯 锐利解读
微信扫一扫加关注
芯片资讯 锐利解读
推荐阅读
全部
功率放大器
电路
网络

小广播

独家专题更多

富士通铁电随机存储器FRAM主题展馆
富士通铁电随机存储器FRAM主题展馆
馆内包含了 纵览FRAM、独立FRAM存储器专区、FRAM内置LSI专区三大部分内容。 
走,跟Molex一起去看《中国电子消费品趋势》!
走,跟Molex一起去看《中国电子消费品趋势》!
 
带你走进LED王国——Microchip LED应用专题
带你走进LED王国——Microchip LED应用专题
 
电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2016 EEWORLD.com.cn, Inc. All rights reserved