企業(yè)網(wǎng)絡安全隔離技術研究

楊林海，何斌穎，顧東虎

(云南工商學院機電信息學院，昆明，651700)

企業(yè)網(wǎng)絡安全隔離技術研究

楊林海，何斌穎，顧東虎

(云南工商學院機電信息學院，昆明，651700)

網(wǎng)絡極大提高了企業(yè)效率的同時，網(wǎng)絡系統(tǒng)也成為安全威脅的首要目標，網(wǎng)絡安全面臨著前所未有的威脅，網(wǎng)絡的安全需求不斷提高，網(wǎng)絡的攻擊方式不斷發(fā)展，對傳統(tǒng)的網(wǎng)絡安全機制提出了挑戰(zhàn)；新提出的網(wǎng)絡隔離技術，與傳統(tǒng)的數(shù)據(jù)交換與路由技術完全不同，隔離技術是在保證物理隔離的條件下，實現(xiàn)對數(shù)據(jù)的安全轉發(fā)。

網(wǎng)絡安全；隔離；數(shù)據(jù)交換

0 引言

隨著網(wǎng)絡技術的發(fā)展國家信息化建設水平不斷提高，社會生活的各個方面對網(wǎng)絡的依賴性不斷增加，逐漸使網(wǎng)絡成為個人和企業(yè)運營不可或缺的一部分。網(wǎng)絡極大提高了企業(yè)效率的同時，網(wǎng)絡系統(tǒng)也成為安全威脅的首要目標，網(wǎng)絡安全面臨著前所未有的威脅。網(wǎng)絡安全的影響有很多方面，有來自網(wǎng)絡的攻擊，也有來自內部人員的攻擊，自然環(huán)境對網(wǎng)絡安全的影響因素也很大，現(xiàn)在的主要問題是如何在保證網(wǎng)絡安全的前提下，實現(xiàn)網(wǎng)絡的安全交換。

1 網(wǎng)絡隔離技術

1.1概述

網(wǎng)絡的安全需求的不斷提高，網(wǎng)絡的攻擊方式不斷發(fā)展，對傳統(tǒng)的網(wǎng)絡安全機制提出了挑戰(zhàn)，需求在傳統(tǒng)防火墻策略的基礎上，進一步提高安全性能，從物理上實現(xiàn)對數(shù)據(jù)安全隔離，同時要求數(shù)據(jù)的適時性，“網(wǎng)絡隔離技術”應運而生了，這種機制是從傳統(tǒng)的網(wǎng)絡安全中而來，采用隔離機制，對開方式協(xié)議的安全應用是一個很好的補充。

1.2隔離技術的發(fā)展

網(wǎng)絡隔離是在數(shù)據(jù)安全交換過程中，在保證物理鏈路斷開的前提下，實現(xiàn)安全交換和資源共享。物理斷開的目的是把網(wǎng)絡中有害的安全威脅隔離開。當前的網(wǎng)絡安全訪問主要是通過策略的控制思想，通過定義規(guī)則和約束的方式來保障網(wǎng)絡的安全。

2 網(wǎng)絡資源隔離技術

2.1安全區(qū)域

安全區(qū)域(SZ)是一個物理或者邏輯組織的資源集合,信息安全的目標就是在可以接受的安全機制下，采用現(xiàn)在的安全手段，將網(wǎng)絡的安全風險和隱患盡量降低。要實現(xiàn)這一目標，不僅僅要考慮防火墻、IDS和其它安全設備，更是需要綜合考慮如何在現(xiàn)有網(wǎng)絡架構上安裝何種安全設備才能發(fā)揮最大的作用。安全區(qū)域的區(qū)分不是傳統(tǒng)意義上的網(wǎng)絡隔離持術，指的是對網(wǎng)絡硬件資源的軟件資源的分類分區(qū)域管理。

2.1.1 安全區(qū)域方式 在安全區(qū)域劃分后，相同區(qū)域內的資源性質類似，所面臨的威脅也相似，有利于采取統(tǒng)一策略實現(xiàn)安全保護，在保證網(wǎng)絡正常數(shù)據(jù)交換的前提下，保證敏感資源的安全性。在現(xiàn)實網(wǎng)絡中，根據(jù)企業(yè)對網(wǎng)絡的不同安全需求，一般將企業(yè)網(wǎng)絡劃分為網(wǎng)絡外部域、網(wǎng)絡接入域、網(wǎng)絡核心域3類安全域。

1)網(wǎng)絡外部域。一般指企業(yè)網(wǎng)絡的外網(wǎng)接入系統(tǒng)部分，包括互聯(lián)網(wǎng)的接入、各分公司網(wǎng)絡及其他有可能的接入網(wǎng)絡。

2)網(wǎng)絡接入域。是指企業(yè)中心機房網(wǎng)絡之外的網(wǎng)絡系統(tǒng)與企業(yè)進行通信的接入?yún)^(qū)域。依據(jù)對端網(wǎng)絡可信度的不同，網(wǎng)絡接入域進一步分為：互聯(lián)網(wǎng)接入域、外聯(lián)網(wǎng)接入域、管理用戶域、備份網(wǎng)絡接入域。

3)網(wǎng)絡核心域。是指網(wǎng)絡的核心交換部分，主要由網(wǎng)絡中的核心設備組成，是網(wǎng)絡中數(shù)據(jù)交換最集中、可靠度要求最高的部分，是整個網(wǎng)絡互聯(lián)的核心，包括了核心計算域、備份核心計算域、安全支撐域。

2.2資源隔離

資源隔離對網(wǎng)絡的多個業(yè)務共享的網(wǎng)絡環(huán)境下，提出了一種新的網(wǎng)絡資源管理技術方案，主要是為了滿足不同用戶對網(wǎng)絡的服務質量要求[1]，資源隔離可以保證在不同網(wǎng)絡正常共享網(wǎng)絡高速通道的同時，保證各自區(qū)域的安全防護能力。

目前集中在2個方面：1)網(wǎng)絡互聯(lián)：即企業(yè)內部，企業(yè)內外進行安全、可靠的通信；2)業(yè)務隔離：即網(wǎng)絡的不同業(yè)務間用不同的安全機制，保證不同業(yè)務的獨立運行。

2.2.1 網(wǎng)絡中的資源 計算機網(wǎng)絡結構不斷完美，在網(wǎng)絡的劃分中，一般把數(shù)據(jù)通信交換部分和節(jié)點服務進行分開，在網(wǎng)絡的定義中分別叫通信子網(wǎng)和資源子網(wǎng)。通信子網(wǎng)主要是包括通信介質、交換設備和協(xié)議等，資源子網(wǎng)情況要相對復雜得多，包括所有的數(shù)據(jù)、應用節(jié)點、程序和服務等，可以分為以下3大類：1)物理設備：網(wǎng)絡路由交換設備、服務器主機設備、手持設備等；2)應用和程序：IIS服務器，OA服務器，DNS服務器等；3)數(shù)據(jù)：文檔、數(shù)據(jù)庫等。

2.2.2 資源隔離的實現(xiàn) 1)子網(wǎng)隔離：網(wǎng)絡的規(guī)模不斷擴大，通信量可能會超出介質的實際通信能力，這會使網(wǎng)絡性能開始下降，這使得我們在網(wǎng)絡的通信研究中，必須減少不必要的網(wǎng)絡通信。2)主機隔離：網(wǎng)絡中的主機中，不同主機類型進行分開。3)服務隔離：網(wǎng)絡中的服務一般分類訪問接入和后臺數(shù)據(jù)處理，可以根據(jù)服務類型的不同，將接入和后臺的數(shù)據(jù)處理進行隔離，提高安全性。4)用戶隔離：用不同的用戶身份進行隔離管理。5)數(shù)據(jù)隔離：網(wǎng)絡中對不同敏感度的數(shù)據(jù)進行分隔，進行區(qū)域的安全劃分。

3 網(wǎng)絡物理隔離

基于傳統(tǒng)防火墻為核心的網(wǎng)絡邊界防御體系，在應用中只能夠滿足企業(yè)信息化建設的一般性安全需求。國家保密局在《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》第二章第六條中規(guī)定“涉及國家秘密的計算機信息系統(tǒng)，不得直接或間接地與國際互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡相聯(lián)接，必須實行物理隔離”[8]。斷開了在一定程度上就安全的。但是，網(wǎng)絡的斷開了也影響了業(yè)務信息系統(tǒng)的運行，造成了應用與數(shù)據(jù)的脫節(jié)，影響了數(shù)據(jù)的實際交換效率。

3.1隔離網(wǎng)關的思想起源

網(wǎng)閘技術思想得益于輪渡的工作機理，采用的是協(xié)議的剝離和重建技術，對協(xié)議數(shù)據(jù)包用“擺渡”，后實現(xiàn)兩網(wǎng)斷開網(wǎng)絡之間的安全數(shù)據(jù)交換。基本原理如圖1。

圖1 網(wǎng)閘數(shù)據(jù)交換原理圖

3.2物理隔離技術的安全因素分析

3.2.1 設備要具有高度的自身安全性 物理隔離技術除了保證傳統(tǒng)的網(wǎng)絡安全性外，要做到把安全交換數(shù)據(jù)從兩套系統(tǒng)中剝離出來[2]，在雙邊接口，一個用于內網(wǎng)接口，一個用于外網(wǎng)接口，設備本身具有較高的安全性。

3.2.2 確保網(wǎng)絡之間是隔離的 網(wǎng)絡隔離的關鍵是網(wǎng)絡包不可路由到對方網(wǎng)絡，也就是說，不使用通用的開放式協(xié)議，互相不進行協(xié)議數(shù)據(jù)包轉發(fā)，不能發(fā)現(xiàn)對方網(wǎng)絡結構。傳統(tǒng)的防火墻進行的是數(shù)據(jù)包的轉發(fā)，通過策略機制，實現(xiàn)端到端的連接，只起到安全驗證作用，沒有隔離效果。

3.2.3 保證網(wǎng)間交換的只是應用數(shù)據(jù) 網(wǎng)絡中傳輸數(shù)據(jù)包和數(shù)據(jù)幀是分斷的，在轉發(fā)過程中，也許片斷沒有任何意義，但是如果根據(jù)協(xié)議重組之后就有可能對安全產生威脅。因此，要做到對數(shù)據(jù)的隔離，就要求對數(shù)據(jù)進行分析，完成應用層數(shù)據(jù)的提取，再進行數(shù)據(jù)的安全交換，這樣就可以把SYNFlood等網(wǎng)絡攻擊包發(fā)現(xiàn)并盡早阻隔，從而增強網(wǎng)絡的安全性。

3.2.4 對網(wǎng)間的訪問進行嚴格的控制和檢查 網(wǎng)絡數(shù)據(jù)交換過程中，每次交換的都是應用數(shù)據(jù)，對所有的數(shù)據(jù)都進行安全認證和審查，這樣，雖然時間有一定的滯后，但保證所有數(shù)據(jù)都是可靠可信和可控的[3]。

3.3網(wǎng)絡隔離的關鍵技術分析

網(wǎng)絡隔離第3代和第4代產品在速度和透明支持上很難再進行突破，如果要進行改進，也需求有更大的成本付出。

3.3.1 雙機雙網(wǎng) 這種技術方案在一個系統(tǒng)中分別有2臺主機實現(xiàn)，分別接主機的內網(wǎng)和外網(wǎng)，如果有數(shù)據(jù)交換，用第3方介質來實現(xiàn)。這種方式在實現(xiàn)過程中，相對復雜，不能滿足對網(wǎng)絡速度和適時性的需求。

3.3.2 雙硬盤隔離 這種方案的實現(xiàn)方式是在主機中安裝雙硬盤和雙系統(tǒng)，通過不同的啟動順序來實現(xiàn)隔離，在啟動的主機過程中，就要求要有2個或2個以上的硬盤，對于配置較高的主機就造成了一定的浪費，同時硬盤之間的切換容易造成系統(tǒng)故障。

3.3.3 單硬盤隔離 方案的實現(xiàn)方式中，主要通過雙系統(tǒng)來實現(xiàn)，在一臺主機硬盤中裝有2個系統(tǒng)來隔離，在訪問過程中，有一定的擴展性，但對數(shù)據(jù)的安全性上，沒有起到真正的隔離作用，存在數(shù)據(jù)是否安全界定困難、不能同時訪問內外2個網(wǎng)絡等缺陷。

3.3.4 控制器隔離 這種方案的實現(xiàn)方式是通過控制器的方式內網(wǎng)和外網(wǎng)之間進行切換，其中主機只有1個網(wǎng)絡接口，在外圍實現(xiàn)網(wǎng)絡的切換。

3.3.5 服務器端隔離 方案的主要實現(xiàn)方式是通過第3方的存儲介質，分時進行訪問，同時進行數(shù)據(jù)的快速傳遞。其主要通過軟件和硬件的方式對數(shù)據(jù)信息審查和過濾，以達到隔離的目的。

3.4物理隔離卡

物理隔離卡主要是指內網(wǎng)和外網(wǎng)之間用隔離卡切換，其主要的實現(xiàn)方式是通過在主機主板上安裝2張隔離卡。一般會安裝2個硬盤，但是在同一個時間只能接通一個網(wǎng)絡，主要是通過用戶來切換，在切換過程中。2個網(wǎng)絡之間完全是隔離開的，隔離卡之間的切換主要是通過電源控制方法實現(xiàn)。

4 網(wǎng)閘隔離技術研究

根據(jù)OSI 7層參考模型，把網(wǎng)絡分為通信子網(wǎng)和資源子網(wǎng)，通信主要在通信子網(wǎng)中，工作底3層。軟件數(shù)據(jù)轉換，數(shù)據(jù)相對較慢，網(wǎng)絡中要通過硬件的方式來輔助實現(xiàn)數(shù)據(jù)的高速交換。網(wǎng)閘主要通過斷開數(shù)據(jù)層鏈路的方式，隔離網(wǎng)絡之間直接連接。第2代網(wǎng)閘主要是通過專用交換通道，通過高速的硬件卡和安全審查協(xié)議機制，提高網(wǎng)絡的高速數(shù)據(jù)交換，能夠滿足復雜網(wǎng)絡對隔離的需求。

4.1安全隔離網(wǎng)閘原理

網(wǎng)絡安全互聯(lián)過程，主要考慮可靠和安全兩個因素，現(xiàn)在網(wǎng)絡中主要是采用開放式的TCP/IP機制。因此，當前的網(wǎng)絡攻擊主要也是基于TCP/IP協(xié)議的，基于網(wǎng)絡OSI 7層數(shù)據(jù)通信模型的一層或多層。如果斷開通信過程中的直接連接，網(wǎng)絡通過連接的攻擊就可以被消除。網(wǎng)閘正是利用斷開原理實現(xiàn)了信息安全傳遞，提高了網(wǎng)絡系統(tǒng)的安全性[4]。

網(wǎng)閘工作的原理是通過隔離的方式，中斷網(wǎng)絡兩邊的連接，把原來數(shù)據(jù)中的網(wǎng)絡協(xié)議剝離出來并把數(shù)據(jù)還原為應用數(shù)據(jù)，通過安全審查和全面分析后，在內部重新封裝后進行數(shù)據(jù)的安全交換。

4.2網(wǎng)閘物理結構

網(wǎng)閘一般是由軟件和硬件組成，在很多情況下，網(wǎng)絡的安全隔離不是把內網(wǎng)和外網(wǎng)直接斷開，而是通過第3方的存儲介質和控制電路實現(xiàn)調度，如圖2。

圖2 網(wǎng)閘結構圖

如果有外網(wǎng)訪問請求時，通過外部服務器實現(xiàn)對第3方介質發(fā)起訪問請求，這個請求是非開放式互聯(lián)協(xié)議的，設備會把所有的開放式協(xié)議進行剝離，將原始的數(shù)據(jù)寫入存儲介質中。在第3方的存儲介質中，要求數(shù)據(jù)的安全性和完整性要進行檢查，如圖3。

圖3 外網(wǎng)數(shù)據(jù)請求示意圖

要數(shù)據(jù)寫入第3方的存儲中，數(shù)據(jù)寫入完成即中斷對網(wǎng)絡連接，開始對網(wǎng)絡的另一端進行連接，但這個連接是非TCP/IP的開放式數(shù)據(jù)連接。通過第3方處理系統(tǒng)安全審查驗證的數(shù)據(jù)將推向內網(wǎng)。內網(wǎng)對數(shù)據(jù)進行重新封裝，并交給相應的應用系統(tǒng)[5]，見圖4。

圖4 網(wǎng)閘數(shù)據(jù)推送圖

在每次數(shù)據(jù)交換完成后，控制臺會收到一個信號，第3方的隔離系統(tǒng)立即切斷與內網(wǎng)的直接連接。見圖5。

圖5 網(wǎng)閘連接斷開示意圖

4.3安全隔離網(wǎng)閘安裝

大部份網(wǎng)絡隔離設備在安裝配置過程中，與路由器防火墻等網(wǎng)絡設備一樣，主要是通過瀏覽器進行配置和管理的，不需求要安裝特定的客戶端。網(wǎng)閘處于安全考慮，不允許通過遠程進行配置管理。

4.4安全隔離網(wǎng)閘數(shù)據(jù)轉發(fā)

安全隔離網(wǎng)閘不使用開放式的網(wǎng)絡互聯(lián)協(xié)議，所以在網(wǎng)絡數(shù)據(jù)轉發(fā)過程中，不會對網(wǎng)絡中的IP數(shù)據(jù)包直接進行轉發(fā)，其會將所有的網(wǎng)絡鏈路進行斷開，將所有的數(shù)據(jù)進行應用層還原，對應用層數(shù)據(jù)進行檢查和控制，在網(wǎng)絡中，所有數(shù)據(jù)都是應用層數(shù)據(jù)。在開放式互聯(lián)網(wǎng)中轉發(fā)的數(shù)據(jù)一般都是IP數(shù)據(jù)包，單個IP數(shù)據(jù)包一般不會有特定的含意，所以也就無法進行檢查和控制。

4.5安全隔離網(wǎng)閘與防火墻

安全隔離網(wǎng)閘主要是通過電路對網(wǎng)絡互聯(lián)進行控制，斷開直接連接，對數(shù)據(jù)進行應用交換。網(wǎng)閘中專用的硬件芯片模塊一包括：訪問控制、身份認證、協(xié)議轉、換安全隔離和審計等。

防火墻(firewall)在網(wǎng)絡中主要是通過策略對數(shù)據(jù)進出進行控制，一般要求提前規(guī)定好規(guī)則[9]。防火墻分為硬件防火墻和軟件防火墻，網(wǎng)絡互聯(lián)過程中，防火墻一般部署在內網(wǎng)和外網(wǎng)的連接之間，所有進出的數(shù)據(jù)都要通過防火墻。如果外網(wǎng)中有入侵，也必須通過防火墻，才能達到內網(wǎng)中的主機。防火墻在數(shù)據(jù)轉發(fā)過程中，主要是通過預先定義好的策略，通過開放式協(xié)議，對IP數(shù)據(jù)進行轉發(fā)和處理，可以說主要是對開放式的控制過程，對進出數(shù)據(jù)的內容不進行檢查。

4.6物理隔離網(wǎng)閘開關技術

4.6.1 物理隔離網(wǎng)閘的開關技術 安全隔離網(wǎng)閘在數(shù)據(jù)的交換過程中，主要是通過開關技術來實現(xiàn)對鏈路的通和斷，主要是利用SCSI技術來實現(xiàn)，SCSI是一種智能的通用接口標準，不是開放式通信協(xié)議，它是各種計算機與外部設備之間的接口標準，是一個用于主機向存儲外設讀寫的協(xié)議。通過2個主機連接一個存儲設備。如圖6。

圖6 SCSI開關數(shù)據(jù)交換圖

在網(wǎng)絡通信過程中，中間是有一個文件交換系統(tǒng)。但中間介質有個特點，就是每次中受理一個請求，同時要將另一邊的數(shù)據(jù)鏈斷開，通過第3方介質實現(xiàn)擺渡。這看起來是一個簡單的開關原理，但實現(xiàn)起來技術問題很復雜。廠商要解決存在的時鐘問題、效率問題、同步問題、可靠性問題、阻塞問題等一系列問題，才可能實現(xiàn)基于SCSI的開關技術。SCSI主要是通過電氣控制來實現(xiàn)開關技術，不通過編程接口，可能很好的斷開網(wǎng)絡中的開放式協(xié)議，有很高的可靠性和穩(wěn)定性。

4.6.2 網(wǎng)閘不采用USB、火線和以太來實現(xiàn)軟開關的原因分析 當前開放式網(wǎng)絡和系統(tǒng)中，主要是通過USB、火線和以太線來實現(xiàn)的，但這幾種實現(xiàn)方式都是通信協(xié)議，其原理與防火墻相同，很容易增加編程控制，不能很好的起到斷開作用。基于開放式協(xié)議的開關技術，沒有在物理上實現(xiàn)隔離，在鏈路上沒有真正的斷開。網(wǎng)絡中的USB，火線和以太線開關，不具備物理隔離網(wǎng)閘要求的安全特性。

4.7物理隔離網(wǎng)閘的開關的速度分析

網(wǎng)絡隔離網(wǎng)閘在數(shù)據(jù)交換過程中，交換的速度很受關注。一個33 MHz的32 bit的總線bus的PCI能提供的帶寬為33 M*32 bit=132 MB/s，即1 056 Mbit/s。一個66 MHz的64 bit的總線的PCI能提供的帶寬為66 M*64 bit=528 MB/s，即4 224 Mbit/s[7]。采用雙通道的320 MB/s的SCSI，可以取得的總帶寬為640 MB/s，即5 120 Mbit/s。

4.8物理隔離網(wǎng)閘數(shù)據(jù)交換技術

4.8.1 物理隔離網(wǎng)閘在會話層的工作分析 物理隔離網(wǎng)閘在數(shù)據(jù)交換過程，針對網(wǎng)絡鏈接有可能有多層，其中第5層主要進程間的會話，通過工作在會話層，來中斷TCP會話，將所有的數(shù)據(jù)在連接過程中，剝離協(xié)議后還原成應用數(shù)據(jù)包基于TCP協(xié)議的攻擊，在還原后在網(wǎng)閘審查中，就全部被去掉，如圖7。

4.8.2 網(wǎng)閘在OSI模型應用層工作分析 安全隔離網(wǎng)閘在數(shù)據(jù)交換過程中，主要是對內外網(wǎng)之間的數(shù)據(jù)交換起到一個中間代理的作用，數(shù)據(jù)無法不通過代理進行交換。在中間代理過程中，只有提供相關的應用代理服務，在剝離TCP/IP基礎之上，才能將應用協(xié)議“剝離”，屏蔽應用協(xié)議可能的漏洞，保證安全性。所有的數(shù)據(jù)在代理過程中，都將被還原出原意，審查通過后再進行“擺渡”。

圖7 會話斷開數(shù)據(jù)“擺渡”圖

4.8.3 協(xié)議轉換與物理隔離分析 協(xié)議轉換是對當前通信規(guī)則進行轉換，在數(shù)據(jù)轉發(fā)過程中，沒有起到隔離作用，能通過協(xié)議攻擊的數(shù)據(jù)，在經(jīng)過轉換后一樣具有危害性。如果不使用網(wǎng)絡通信協(xié)議，就不存在基于協(xié)議的攻擊了。

4.8.4 入侵了網(wǎng)閘的外部主機，也無法入侵內部主機 物理隔離使網(wǎng)絡之間根據(jù)約定來進行簡單的動作，不通過對話來進行數(shù)據(jù)交換。在網(wǎng)絡整個通信過程中，攻擊者也許可以通過向中間第3方寫入數(shù)據(jù)的方式來實現(xiàn)攻擊，但中間的安全第3方拿到這些數(shù)據(jù)后，在安全審查過程中，發(fā)現(xiàn)這些數(shù)據(jù)與內外網(wǎng)之間安全交換的數(shù)據(jù)不符或不能理解數(shù)據(jù)的含意，不對數(shù)據(jù)其進行轉發(fā)，因此，也無法進行到內部主機中。

4.8.5 物理隔離網(wǎng)閘的安全性是最高的 在網(wǎng)絡安全研究過程中，當前的網(wǎng)絡攻擊，有基于應用協(xié)議漏洞的，有基于開放式協(xié)議的，也有基于命令式的等，網(wǎng)絡安全研究也主要是基于這幾個方面的。安全隔離網(wǎng)閘從根本上解決了這些類型的攻擊，提供最高的安全性，保護系統(tǒng)免受來自外網(wǎng)的攻擊。

5 物理隔離網(wǎng)閘企業(yè)應用

5.1數(shù)據(jù)庫安全同步解決方案

現(xiàn)在很多網(wǎng)站都是動態(tài)的，前臺服務器一般都是為公網(wǎng)用戶訪問服務的，在服務器訪問中，允許公眾通過外網(wǎng)提交服務申請并查詢結果[6]。但是在訪問過程中，重要的數(shù)據(jù)主要是在數(shù)據(jù)庫中，如果允許外網(wǎng)用戶對數(shù)據(jù)庫進行訪問，則用戶可能穿透防火墻直接侵入后臺數(shù)據(jù)庫，嚴重威脅到數(shù)據(jù)庫的安全，如圖8。

圖8 網(wǎng)閘核心數(shù)據(jù)庫保護圖

在網(wǎng)絡安全訪問過程中，采用物理網(wǎng)閘信息交換系統(tǒng)，其主要目的是保證數(shù)據(jù)正確訪問的前題下，把核心數(shù)據(jù)庫進行隔離開。安全隔離網(wǎng)閘只接受前臺WEB服務器的數(shù)據(jù)請求，這種方式強化了應用層的安全控制，同時對后臺數(shù)據(jù)庫起到最大的保護作用。也許會有人提出為什么不把前臺的WEB服務器也列入安全隔離網(wǎng)閘的保護之列，這樣的結果雖然安全性會有一定的增強，但在大量外網(wǎng)數(shù)據(jù)訪問中將受到影響。網(wǎng)絡的安全保護也要兼顧數(shù)據(jù)的適時性。

5.2安全郵件收發(fā)解決方案

在很多的企事業(yè)單位中，都有內部的郵件服務系統(tǒng)，一般情況下，企業(yè)一般不允許對外網(wǎng)進行訪問，但根據(jù)業(yè)務需要必須通過電子郵件與外界進行信息交流。如果是通過人工的方式對數(shù)據(jù)進行轉發(fā)，通過移動存儲介質對數(shù)據(jù)進行轉發(fā)，這樣嚴重影響了數(shù)據(jù)的交換效率，同時很多數(shù)據(jù)得不到及時處理，如果直接接入外網(wǎng)，內網(wǎng)的郵件服務器的安全又得不到保證。在這種條件下，可以通過安全隔離網(wǎng)閘的方式實現(xiàn)對內網(wǎng)郵件服務器的保護，如圖9。

圖9 網(wǎng)閘內網(wǎng)郵件服務器保護圖

在這里部署的安全隔離網(wǎng)閘既可以保證內網(wǎng)的正常郵件交換，又可以保證可信內網(wǎng)與外網(wǎng)之間的安全隔離。內外網(wǎng)之間沒有直接的鏈路連接，沒有直接的數(shù)據(jù)包或數(shù)據(jù)幀的交換，因此外網(wǎng)用戶也就無法通過郵件系統(tǒng)對內網(wǎng)攻擊。安全網(wǎng)閘對每個用戶制定一個郵件交換策略，對郵件的應用層數(shù)據(jù)進行通信控制，從而保證內網(wǎng)安全地收發(fā)郵件，保證安全的郵件處理。

5.3安全網(wǎng)絡訪問解決方案

網(wǎng)絡訪問一般分為企業(yè)內網(wǎng)和外網(wǎng)，很多企業(yè)都有自己的內網(wǎng)訪問系統(tǒng)，在對外網(wǎng)的訪問過程中，會因為系統(tǒng)漏洞、不良的上網(wǎng)習慣等原因，對內網(wǎng)造成安全威脅。在安全內網(wǎng)保護過程中，有防火墻、防病毒軟件、入侵檢測系統(tǒng)等安全產品。但是這幾種產品都有一定的局限性，不同廠家的產品的安全的理解也不會完全一樣，如果采用多種不相兼容的產品的情況下，會嚴重影響到網(wǎng)絡之間的通信問題，各種功能的相互影響都會導致總體維護成本的增加，安全保障等級的降低，甚至整個方案的失敗，如圖10。

圖10 網(wǎng)閘內網(wǎng)安全訪問保護圖

在企業(yè)內網(wǎng)和外網(wǎng)之間通信過程中，為保證內網(wǎng)用戶到外網(wǎng)用戶之間的正常安全訪問，可以在內外網(wǎng)之間部署一個安全隔離網(wǎng)閘，進行安全的數(shù)據(jù)交換，通過安全隔離網(wǎng)閘先進的安全隔離功能和內容檢查技術使用戶的網(wǎng)絡訪問得到安全保證。同時，安全網(wǎng)閘還可以提供強大的審計功能，使管理員及時發(fā)現(xiàn)網(wǎng)絡出現(xiàn)的異常情況并及時進行處理，提高網(wǎng)絡的可靠性。

6 隔離技術的未來發(fā)展方向

安全隔離網(wǎng)閘的出現(xiàn)，對網(wǎng)絡安全隔離第3代和第4代產品的補充和完善，完美的解決了第3代和第4代隔離產品的瓶頸問題，同時，采用全新的隔離手段，提高了數(shù)據(jù)交換的適時性。第5代安全隔離網(wǎng)閘中，含有專用的通信設備、專用的安全協(xié)議和特有的加密驗證機制，在數(shù)據(jù)加密過程中，對象是應用數(shù)據(jù)，對數(shù)據(jù)加入了還原提取和鑒別審查認證技術，徹底阻斷了網(wǎng)絡間的直接連接，隔離了通過連接、協(xié)議及數(shù)據(jù)包的攻擊，從而保證了網(wǎng)間數(shù)據(jù)交換的可靠和安全，隔離了基于協(xié)議連接和數(shù)據(jù)包安全的風險。

7 總結

傳統(tǒng)的安全產品在一定程度上提高了當前網(wǎng)絡的安全性，但不同的網(wǎng)絡安全產品都有一定的局限性，現(xiàn)有的安全產品主要是基于開放式協(xié)議的，不能從內容上起到安全隔離作用。安全隔離網(wǎng)閘的出現(xiàn)為網(wǎng)絡安全提出了一個全新的概念。網(wǎng)絡安全隔離網(wǎng)閘切斷了信息泄漏的途徑，從安全交換到內容審查等多種安全功能為一體，可以通過不同安全級別的防護，部署于不同安全等級的網(wǎng)絡間，實現(xiàn)網(wǎng)絡安全物理隔離和適時的數(shù)據(jù)交換。由于網(wǎng)閘的主要功能是要實現(xiàn)物理上鏈接的斷開，提高網(wǎng)絡安全性保障，所以就不能要求太高的實時性了。

[1] 華為技術有限公司資源隔離VPN技術白皮書[R].華為技術有限公司,2007:2-3.

[2]劉建斌,乎延念超,林洪科. 計算機系統(tǒng)的網(wǎng)絡隔離技術[J].經(jīng)濟技術協(xié)作信息,2007(16):76-76.

[3]張繼永.網(wǎng)絡隔離技術與信息安全[J].中國信息界,2010(9):25-26.

[4]何鵬,劉小飛.網(wǎng)閘技術在公路客戶信息服務系統(tǒng)中的應用[J].電子設計工程,2009,17(10):69-71.

[5]劉亞杰,周學廣.基于物理隔離技術數(shù)據(jù)安全轉發(fā)的模型[J].計算機與數(shù)字工程,2006,34(11):164-166.

[6]鄒韻飛.網(wǎng)絡不良通信行為的研究[J].江西科學,2010,28(6):849-854.

[7]楊林海,潘毅,徐剛.基于爭用型以太網(wǎng)的數(shù)據(jù)幀長研究[J].江西科學,2014,31(3):364-415.

[8]計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定[P].江西電子信息產業(yè)門戶,2012.

[9]Vijay Bollapragada Mohamed Khalid Scott Wainner.IPsec VPN設計[M].人民郵電出版社,2012:125-126.

ResearchofEnterpriseNetworkSecurityIsolationTechnology

YANG Linhai,HE Binying,GU Donghu

(Yunnan Technology and Business University,651700,Kunming,PRC)

Network has been greatly improving the efficiency running an enterprise,at the same time,network security is becoming the primary objective preventing from the network attacks.Our network security is facing many unprecedented threats than before.The more varied ways of attacking under constantly improved technology,the more requirements to network security.The traditional network security mechanisms will confront great challenges from network threats.The lately developed network isolation technology,differed from and traditional data switching and routing technologies,will achieve the realization of the security of data transmitting on condition that ensure the physical isolation of conditions.

network security;isolation;data exchange

2014-07-10;

2014-08-12

楊林海(1982-)，男，白族，云南大理人，碩士研究生，講師/高級工程師，主要從事數(shù)據(jù)通信和網(wǎng)絡安全研究。

10.13990/j.issn1001-3679.2014.05.028

TN915.08；TN918.91

A

1001-3679(2014)05-0704-07