防火墻和交換機(jī)如何實現(xiàn)內(nèi)外網(wǎng)隔離

防火墻和交換機(jī)如何實現(xiàn)內(nèi)外網(wǎng)隔離

防火墻和交換機(jī)還是比較常用的，于是筆者研究了一下防火墻和交換機(jī)如何實現(xiàn)內(nèi)外網(wǎng)隔離，在這里拿出來和大家分享一下，希望對大家有用。隨著網(wǎng)絡(luò)技術(shù)和因特網(wǎng)技術(shù)的成熟和高速發(fā)展，越來越多的企事業(yè)單位開始組建網(wǎng)絡(luò)來實現(xiàn)辦公自動化和共享因特網(wǎng)的信息。但是，安全問題也突現(xiàn)出來，iMaxNetworks(記憶網(wǎng)絡(luò)公司)根據(jù)電子政務(wù)網(wǎng)絡(luò)的特點提出了以交換機(jī)、防火墻和交換機(jī)相結(jié)合實現(xiàn)內(nèi)外網(wǎng)隔離的解決方案。

方案一：交換機(jī)實現(xiàn)內(nèi)外網(wǎng)的物理隔離

網(wǎng)絡(luò)系統(tǒng)由內(nèi)部局域網(wǎng)和外部因特網(wǎng)兩個相對獨立又相互關(guān)聯(lián)的部分組成，均采用星形拓?fù)浣Y(jié)構(gòu)和100M交換式快速以太網(wǎng)技術(shù)。內(nèi)部網(wǎng)與外部網(wǎng)之間不存在物理上的連接，使來自Internet的入侵者無法通過計算機(jī)從外部網(wǎng)進(jìn)入內(nèi)部網(wǎng)，從而最有效地保障了內(nèi)部網(wǎng)重要數(shù)據(jù)的安全，內(nèi)部局域網(wǎng)和外部因特網(wǎng)實現(xiàn)物理隔離。

iMaxNetworks終端提供了經(jīng)濟(jì)安全的內(nèi)外網(wǎng)物理隔離功能，它通過物理開關(guān)進(jìn)行內(nèi)外網(wǎng)的切換，在物理上信息終端只與其中一個網(wǎng)絡(luò)連通，所以黑客即使侵入其中一個網(wǎng)絡(luò)也無法越過物理屏障侵入另一個網(wǎng)絡(luò)。建立內(nèi)外網(wǎng)隔離方案需要在內(nèi)網(wǎng)和外網(wǎng)各安裝至少一臺終端服務(wù)器。

方案二：防火墻和交換機(jī)結(jié)合，實現(xiàn)內(nèi)外網(wǎng)隔離

VLAN隔離內(nèi)外網(wǎng)：電子政務(wù)網(wǎng)絡(luò)中存在多種業(yè)務(wù)，要實現(xiàn)多網(wǎng)的統(tǒng)一互聯(lián)，同時又要保證各個網(wǎng)絡(luò)的安全，除了在應(yīng)用層上通過加密、簽名等手段避免數(shù)據(jù)泄漏和篡改外，在局域網(wǎng)的交換機(jī)上采用VLAN技術(shù)進(jìn)行，將不同業(yè)務(wù)網(wǎng)的設(shè)備放置在不同的VLAN中進(jìn)行物理隔離，徹底避免各網(wǎng)之間的不必要的任意相互訪問。在實現(xiàn)VLAN的技術(shù)中，以基于以太網(wǎng)交換機(jī)端口的VLAN(IEEE 802.1Q)最為成熟和安全，防火墻訪問控制保證。

網(wǎng)絡(luò)核心安全：為了網(wǎng)絡(luò)構(gòu)建簡單，避免采用太多的設(shè)備使管理復(fù)雜化，從而降低網(wǎng)絡(luò)的安全性，可以放置一個高速防火墻，通過這個這個防火墻和交換機(jī)，對所有出入中心的數(shù)據(jù)包進(jìn)行安全控制及過濾，保證訪問核心的安全。另外，為保證業(yè)務(wù)主機(jī)及數(shù)據(jù)的安全，不允許辦公網(wǎng)及業(yè)務(wù)網(wǎng)間的無控制互訪，應(yīng)在進(jìn)行VLAN劃分的三層交換機(jī)內(nèi)設(shè)置ACL。數(shù)據(jù)加密傳輸：對于通過公網(wǎng)(寬帶城域網(wǎng))進(jìn)行傳輸?shù)臄?shù)據(jù)及互聯(lián)，數(shù)據(jù)加密是必須的，在對關(guān)鍵業(yè)務(wù)做加密時，可以考慮采用更強的加密算法。

設(shè)置DMZ區(qū)進(jìn)行外部訪問：通常對于外部網(wǎng)絡(luò)的接入，必須采取的安全策略是拒絕所有接受特殊的原則。即對所有的外部接入，缺省認(rèn)為都是不安全的，需要完全拒絕，只有一些特別的經(jīng)過認(rèn)證和允許的才能進(jìn)入網(wǎng)絡(luò)內(nèi)部。與網(wǎng)絡(luò)中心及其它內(nèi)部局域網(wǎng)之間的互連采用停火區(qū)(DMZ)，設(shè)置集中認(rèn)證點對接入用戶進(jìn)行安全認(rèn)證，認(rèn)證及相關(guān)服務(wù)器位于停火區(qū)，業(yè)務(wù)通過代理服務(wù)器進(jìn)行交換，不允許外部網(wǎng)絡(luò)直接訪問內(nèi)部系統(tǒng)。

(晴一)