一種基于DMZ原理的網絡邊界防護設計

◆薛 松

(中國電子科技集團公司第二十八研究所 江蘇 210007)

一種基于DMZ原理的網絡邊界防護設計

◆薛 松

(中國電子科技集團公司第二十八研究所 江蘇 210007)

對于不同安全等級的信息系統，其邊界需要采用符合要求的網絡隔離措施，該措施既要滿足低安全等級網絡向高安全等級網絡傳輸的可信、可控需求，又要能夠滿足大數據量高效傳輸要求。本文基于原有DMZ設計思想，結合最新信息系統的安全防護要求，提出一種基于DMZ原理的邊界防護安全設計，解決了不同安全等級信息系統之間數據傳輸效率較低的問題。

DMZ；網絡邊界防護

0 前言

近年來，信息系統的智能化程度越來越高，而這正是依賴于大量外部原始數據的采集與處理，為信息系統建立智能模型提供樣本依據。在對外部原始數據采集與處理的過程中，信息系統必然要面對來自外部的安全威脅。尤其在國防、公安、交通、電力等涉及國家安全的領域，一方面這些領域的信息系統需要更多的外部數據以提高分析評估能力，另一方面它們也成為外部安全威脅的首要目標。因此，信息系統需要在邊界建立可控可信的安全防護措施，使得這種風險盡可能降低。

目前我國信息系統安全等級共有五級，按照要求不同安全等級的信息系統之間互聯互通必須采用合適的防護手段[1]。目前市場上比較成熟的解決方案，是根據不同的安全防護等級采用防火墻、IPS、UTM、病毒防護、網閘等設備中的一類或幾類進行部署，以達到網絡邊界防護的目的[2]。雖然能夠起到一定的防護效果，但效率不高，某些設備不能符合最高等級防護要求。本文引入DMZ設計思想，在邊界防護區中建立DMZ，設置數據處理服務器，對來源于低安全等級信息系統的外部數據首先按照要求進行初步分析處理，生成數據成果再傳輸至高安全等級信息系統，減少不必要的數據傳輸，提高網絡邊界防護的防護效率，并且能夠在應用層建立防護措施。

1 基本思路

以傳統網絡邊界防護措施為例，如圖1所示，根據國家規定，低安全等級網絡的信息可以通過路由器、防火墻、單向網閘等邊界防護設備過濾后，到達高安全等級網絡[3]。其安全防護能力主要依賴于防火墻、單向網站等設備的性能。在實際應用中，尤其在大容量數據傳輸應用中，其傳輸效率與防護能力存在此消彼長的聯系，即防護能力強的時候傳輸效率較低，而傳輸效率高時防護能力又受限。因此，為了提高傳輸效率，同時又保證防護能力不降低，一個有效的措施是對需要傳輸的信息數據進行篩選，精簡數據內容，使真正有用的信息傳輸，而將一些不必要的信息過濾掉。

為了實現上述數據處理過程，可考慮將DMZ引入邊界防護能力設計[4]，即在邊界防護區中設立DMZ，部署于防火墻與單向網閘之間。在DMZ內設置數據篩選服務器，將通過防火墻的信息數據按照用戶定制要求進行初步處理生成結果，再將數據結果通過單項網閘傳輸至高安全等級網絡內，如圖2所示。

圖1 一般邊界防護

圖2 DMZ邊界防護

2 設計實施

下面以某信息系統建設（下文信息系統均指該信息系統）為例進行分析。該信息系統安全防護等級較高，但其同時需要接入多路信息數據，例如視頻監控信息、語音通話信息、其它行業應用數據信息等等。按照相關規定要求，由于各行業信息系統安全等級不同，這些信息必須相互隔離傳輸，因此每一路信息數據均需要單獨配置實施邊界防護措施。如果采用傳統邊界防護設計，則面臨部署成本較高、大量數據傳輸效率低下的問題，此時則可考慮采用DMZ邊界防護設計。

3 拓撲設計

如圖3所示，視頻、話音、行業數據等低安全等級網絡接入首先需經過防火墻或UTM設備，進入DMZ區進行處理。DMZ區內服務器接收到需要處理的數據后，按照用戶定制的要求對其進行初步篩選分析，對視頻、話音等數據可直接轉發，對于行業應用數據（如各種交通、氣象等）則進行預先處理生成數據產品后再轉發。按照單向網閘的使用要求，DMZ區服務器轉發目的地址均為單向網閘的 IP地址，單向網閘接收到數據后再通過內部隔離傳輸單元將數據傳輸至信息系統本地網絡（即高安全等級網絡）。

圖3 DMZ邊界防護拓撲設計

4 應用設計

DMZ邊界防護由于加入了數據篩選處理環節，因此需要在DMZ區服務器上部署相關數據處理應用，這些數據處理應用軟件設計應滿足信息系統需求，與信息系統軟件設計采用一致標準進行，確保其與信息系統連通。其主要數據應用包括：

（1）數據類型分析，對接收到的數據進行分析判別分類，將接收到的數據按照內容進行劃分，分為視頻數據、音頻數據、應用數據、其它數據；

（2）數據內容解析，由于數據來源較多，需要按照每一種數據格式對其進行解析，獲取數據內容，對于視頻、音頻數據則直接轉發；

（3）數據格式編碼，按照信息系統要求的格式對獲取到的數據內容進行編碼，編碼方式應采用加密算法，增強安全防護能力。

其它應用設計還包括了數據接收發送、數據存儲、數據查詢統計等，可根據信息系統的要求進行設計開發，這些均屬于通用類軟件設計，這里就不詳細述說了。

5 總結

本文通過在網絡邊界防護設計里引入DMZ設計，增加了數據篩選分析處理，精簡了數據傳輸內容，大大減輕了其它邊界防護設備數據處理的壓力，在不降低邊界防護能力的同時，提高了網絡邊界防護整體執行效率。同時，本文提到的某信息系統建設中采用DMZ邊界防護設計減少了需要部署的單向網閘數量，節約了建設成本，達到了良好的經濟效益。

[1]姜斌,許桂明.指揮信息系統安全防護工程化設計[J].指揮信息系統與技術，2014.

[2]岳陽. 信息系統應用區域邊界安全隔離技術[J].指揮信息系統與技術, 2014.

[3]黃智勇.網絡安全防護系統設計與實現[J].成都：電子科學技術大學工程計算機技術，2011.

[4]陳衛平.DMZ區安全建設模型初探[J].現代電視技術，2013.