隔离网段的计算机上的文件也是不加密的。当数据从隔离网段向涉密网段传输,如果从涉密客户机上操作,secWall的安全区域策略会迫使数据到达客户机时被加密。但如果从隔离网段的计算机上操作,由于隔离网段的计算机上没有加密系统,操作不受加密系统的控制,数据到达目标计算机时也就不会加密。因此,应该通过IP筛选器阻止从隔离网段发起的对隔离网段之外的数据传输,这可以通过设置IP筛选器的出站筛选器完成。
有了入站筛选器对客户机身份鉴别的基础,隔离网段的计算机只能与通过身份认证的加密客户机通信。通过设置出站筛选器,可以做到数据传输只能由涉密客户机发起,而不能由隔离网段的计算机发起。
在路由器连接涉密网段的网络适配器上设置出站筛选,新建一条记录,协议指定为TCP(已建立的)。
为了不阻止ICMP包,可以添加一条记录开放所有出站的ICMP协议。这样允许使用ping测试网络的连接性。
关联文档
苏公网安备 32021302000919号
