內(nèi)外網(wǎng)絡(luò)切換與隔離技術(shù)應(yīng)用研究

李瑞

摘要：本文以徐州市郵區(qū)中心局網(wǎng)絡(luò)結(jié)構(gòu)為背景，介紹了內(nèi)外網(wǎng)絡(luò)拓撲結(jié)構(gòu)及其關(guān)鍵網(wǎng)絡(luò)設(shè)備的配置策略，闡述了邏輯網(wǎng)絡(luò)隔離的部署和實現(xiàn)，即可以根據(jù)工作需要選擇切換內(nèi)外網(wǎng)絡(luò)，并進一步根據(jù)網(wǎng)絡(luò)安全新的要求，實現(xiàn)了從邏輯網(wǎng)絡(luò)隔離到物理網(wǎng)絡(luò)隔離的調(diào)整。

關(guān)鍵詞：內(nèi)外網(wǎng)絡(luò);邏輯隔離;物理隔離;網(wǎng)絡(luò)安全;網(wǎng)閘

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2019）12-0074-02

0 引言

外網(wǎng)是一個安全等級比較低的網(wǎng)絡(luò)，它是開放的精彩的豐富的，有很多用戶很多數(shù)據(jù)很多資源，而且有很多的病毒、木馬和攻擊，相對于內(nèi)網(wǎng)它是一個不安全的網(wǎng)絡(luò);內(nèi)網(wǎng)是企事業(yè)單位生產(chǎn)、辦公、監(jiān)控等專用網(wǎng)絡(luò)，保密性和安全性要求更高。傳統(tǒng)組網(wǎng)思路是按照內(nèi)外網(wǎng)絡(luò)單獨建網(wǎng)，此方案使得內(nèi)外網(wǎng)絡(luò)處于信息孤島狀態(tài)，雖然可以完全實現(xiàn)內(nèi)網(wǎng)外網(wǎng)物理隔離，拓撲結(jié)構(gòu)簡單，可以充分保證內(nèi)網(wǎng)的安全性，但是一個用戶需要兩臺終端設(shè)備分別訪問內(nèi)網(wǎng)和外網(wǎng)對應(yīng)的業(yè)務(wù)，在不考慮冗余的情況下，需要至少部署兩套鏈路和網(wǎng)絡(luò)設(shè)備，造成一定程度上的投資浪費，增加了維護運行成本，而且同時在兩臺終端設(shè)備上辦公，給信息交流和使用帶來了極大的不便。所以有必要對兩套網(wǎng)絡(luò)的整合進行研究，使整合后的不同安全等級的網(wǎng)絡(luò)之間加以訪問控制和隔離，以更方便更安全地為企業(yè)生產(chǎn)、辦公服務(wù)。目前一般的網(wǎng)絡(luò)隔離技術(shù)都是以邏輯隔離（訪問控制思想）為策略，以物理隔離（協(xié)議落地重裝）為基礎(chǔ)，并制定相關(guān)的策略和機制來保障內(nèi)外網(wǎng)絡(luò)的安全。

1 內(nèi)外網(wǎng)絡(luò)拓撲結(jié)構(gòu)

內(nèi)外網(wǎng)絡(luò)采用兩臺防火墻背靠背結(jié)構(gòu)，兩臺防火墻建議最好用不同品牌（本例中實際都是采用的天融信NGFW4000），不同品牌可以大大增加入侵難度，攻擊者對一種品牌防火墻深入研究后可能攻破，但是要同時攻破兩種不同品牌的防火墻就非常難了。生產(chǎn)區(qū)域是從核心交換機華三S5560所引兩根不同運營商的專線連接到市信息中心，兩根專線根據(jù)設(shè)置的COST值分別作為主用備用，該區(qū)域包括生產(chǎn)、監(jiān)控和OA等應(yīng)用系統(tǒng);辦公區(qū)域是思科3560交換機通過內(nèi)網(wǎng)防火墻連接到生產(chǎn)網(wǎng)核心交換機，從辦公網(wǎng)交換機連接到外網(wǎng)防火墻，外網(wǎng)防火墻作為網(wǎng)關(guān)出口連接電信提供的Internet，并通過NAT代理員工訪問Internet，所以連接思科3560交換機的每一臺終端可以便捷的通過內(nèi)外網(wǎng)切換軟件（例如netsetman）根據(jù)工作需要分別訪問辦公系統(tǒng)和Internet。生產(chǎn)區(qū)域和辦公區(qū)域可以通過內(nèi)外網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖（圖1）體現(xiàn)。

2 邏輯網(wǎng)絡(luò)隔離

邏輯網(wǎng)絡(luò)隔離即修橋策略，被隔離的兩端仍然存在物理上的連接，共用一個通道，但通過技術(shù)手段保證被隔離的兩端在不被允許的情況下沒有數(shù)據(jù)交互，即邏輯上的隔離。本例我們采用防火墻作為內(nèi)外網(wǎng)絡(luò)邏輯隔離設(shè)備，它工作在路由模式，進行數(shù)據(jù)包轉(zhuǎn)發(fā)，能有效地監(jiān)控內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的活動，保證內(nèi)部網(wǎng)絡(luò)的安全。它部署在內(nèi)外網(wǎng)絡(luò)出口邊界，防止越權(quán)訪問、實施嚴格的訪問行為控制，也可對目前的勒索病毒傳播端口進行封堵，降低被外部感染的可能性。

在生產(chǎn)區(qū)域，它涉及生產(chǎn)和監(jiān)控，安全等級最高為100。內(nèi)網(wǎng)防火墻建議最好采用軟件防火墻，它能對數(shù)據(jù)包具有靈活的控制功能，控制的力度也比較大，可以對進出內(nèi)網(wǎng)的數(shù)據(jù)流有一個全方位的嚴格控制，控制策略配置為默認拒絕所有，除非允許，所有沒有明確允許的都被拒絕，例如可以允許辦公區(qū)域個別PC訪問生產(chǎn)網(wǎng)個別web網(wǎng)站、登錄生產(chǎn)系統(tǒng)telnet服務(wù)和查閱監(jiān)控等。

在辦公區(qū)域，涉及辦公業(yè)務(wù)和對Internet的訪問，安全等級相對較低為50，外網(wǎng)防火墻建議采用硬件防火墻，實現(xiàn)數(shù)據(jù)的高速轉(zhuǎn)發(fā)，控制策略配置為允許所有，除非拒絕。當通過切換軟件netsetman切換到10.130.157.X網(wǎng)段時，可以對OA系統(tǒng)進行訪問，有時為了工作需要，辦公網(wǎng)絡(luò)需要與生產(chǎn)網(wǎng)絡(luò)交互數(shù)據(jù)，這些都可以通過相應(yīng)配置策略實現(xiàn)。當切換到192.168.80.X網(wǎng)段時，通過NAT訪問Internet。

3 物理網(wǎng)絡(luò)隔離

邏輯網(wǎng)絡(luò)隔離適合安全保護等級不高的企業(yè)，對于大型重點企業(yè)，根據(jù)國家新的網(wǎng)絡(luò)安全要求，真正意義上的隔離需要做到自身要具備高度的安全性，至少要在理論上和實踐上要比防火墻高一個安全級別，把外網(wǎng)接口和內(nèi)網(wǎng)接口進行分離，內(nèi)外網(wǎng)之間不可路由協(xié)議，且永不連接。為此我們采用物理隔離來作為實現(xiàn)網(wǎng)絡(luò)安全的方案，經(jīng)過比較，決定用網(wǎng)閘（GAP）實現(xiàn)物理隔離，本例網(wǎng)閘工作在主機模式，所有交互數(shù)據(jù)需要協(xié)議落地轉(zhuǎn)換。它的思想是內(nèi)外網(wǎng)隔開，但分時對一獨立存儲設(shè)備寫與讀，間接實現(xiàn)內(nèi)外網(wǎng)絡(luò)信息交換，內(nèi)外網(wǎng)之間不能建立網(wǎng)絡(luò)連接，不能通過網(wǎng)絡(luò)協(xié)議進行訪問。到目前為止，網(wǎng)閘是既可以實現(xiàn)網(wǎng)絡(luò)物理隔離，又安全地在內(nèi)外網(wǎng)之間交換數(shù)據(jù)最為成熟的網(wǎng)絡(luò)設(shè)備。

網(wǎng)閘好像擺渡船，對內(nèi)外網(wǎng)絡(luò)數(shù)據(jù)進行遷移，它一般包括：一個內(nèi)部服務(wù)器、一個外部服務(wù)器、一個獨立的固態(tài)存儲介質(zhì)和一個調(diào)度控制臺。它和防火墻的部署完全一樣，在內(nèi)外網(wǎng)之間部署，配置也和防火墻類似，只是功能原理不同。以天御6000為例，串接在內(nèi)外網(wǎng)絡(luò)之間，內(nèi)外網(wǎng)絡(luò)從物理上完全分離，當外網(wǎng)需要有數(shù)據(jù)到達內(nèi)網(wǎng)時，比如發(fā)送一個數(shù)據(jù)包，外部的服務(wù)器立即發(fā)起對隔離設(shè)備的非TCP/IP協(xié)議的數(shù)據(jù)連接，隔離設(shè)備將所有的協(xié)議剝離，將原始的數(shù)據(jù)寫入獨立的固態(tài)存儲介質(zhì)，一旦數(shù)據(jù)完全寫入獨立的固態(tài)存儲介質(zhì)，調(diào)度控制臺立即中斷隔離設(shè)備與外網(wǎng)的連接，轉(zhuǎn)而發(fā)起對內(nèi)網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)連接，隔離設(shè)備將獨立的固態(tài)存儲介質(zhì)內(nèi)的數(shù)據(jù)推向內(nèi)網(wǎng)，內(nèi)網(wǎng)收到數(shù)據(jù)后，立即進行TCP/IP的封裝和應(yīng)用協(xié)議的封裝，并最終交給相關(guān)應(yīng)用系統(tǒng)，當收到完整的交換數(shù)據(jù)后，調(diào)度控制臺隨即切斷隔離設(shè)備與內(nèi)網(wǎng)的直接連接。如果當內(nèi)網(wǎng)需要傳輸數(shù)據(jù)到達外網(wǎng)時，過程是一樣的。每次內(nèi)外網(wǎng)數(shù)據(jù)交互，網(wǎng)閘都要經(jīng)歷接收、存儲和轉(zhuǎn)發(fā)三個過程。

可見通過網(wǎng)閘可以有效地隔離內(nèi)外網(wǎng)絡(luò)，通過網(wǎng)閘安全的內(nèi)外網(wǎng)絡(luò)數(shù)據(jù)擺渡機制，可以在內(nèi)外網(wǎng)之間物理隔離的情況下，進行數(shù)據(jù)交互。因為大部分的攻擊需要建立連接并進行通信，而網(wǎng)閘從原理實現(xiàn)上就切斷網(wǎng)絡(luò)之間的通信協(xié)議連接。網(wǎng)閘只傳輸暫存純數(shù)據(jù)，因此可以防止未知和已知的攻擊。從而保證內(nèi)外網(wǎng)的獨立性、安全性和完成數(shù)據(jù)交互的時效性。

4 結(jié)語

本文論述了邏輯網(wǎng)絡(luò)隔離和物理網(wǎng)絡(luò)隔離的應(yīng)用機制，但隔離設(shè)備的存在只能對外部網(wǎng)絡(luò)進行檢查和隔離，無法阻止內(nèi)部的攻擊，為此部署入侵檢測系統(tǒng)，旁掛在核心交換機鏡像端口，與隔離設(shè)備聯(lián)動，對數(shù)據(jù)流進行分析，并在網(wǎng)絡(luò)遭受攻擊時進行報警和響應(yīng)，甚至一定程度的反擊，這樣就可以有效阻止內(nèi)外部的入侵，從而為日常生產(chǎn)、辦公、監(jiān)控提供穩(wěn)定的網(wǎng)絡(luò)支撐。

參考文獻

[1] 王茂鋼.內(nèi)外網(wǎng)隔離中ACL技術(shù)的運用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（04）：15-16.

[2] 俞華.醫(yī)院內(nèi)外網(wǎng)融合的網(wǎng)絡(luò)架構(gòu)配置實踐[J].中國數(shù)字醫(yī)學，2017，12（03）：94-96.

Research on Application of? Internal and External Network Switching and Isolation Technology

LI Rui

（Xuzhou Branch of? China Post Group Corporation， Xuzhou? Jiangsu? 221000）

Abstract：Based on the network structure of Xuzhou post District Central Bureau，this article introduces the internal and external network topology and the configuration strategy of the key network equipment，and expounds the deployment and implementation of logical network isolation，that is，the internal and external network can be switched according to the work needs，and further according to the new requirements of network security，the adjustment from logical network isolation to physical network isolation is realized.

Key words：internal and external network;logical isolation;physical isolation;network security;GAP