内外网络切换与隔离技术应用研究
来源:用户上传
作者:
摘要:本文以徐州市邮区中心局网络结构为背景,介绍了内外网络拓扑结构及其关键网络设备的配置策略,阐述了逻辑网络隔离的部署和实现,即可以根据工作需要选择切换内外网络,并进一步根据网络安全新的要求,实现了从逻辑网络隔离到物理网络隔离的调整。
关键词:内外网络;逻辑隔离;物理隔离;网络安全;网闸
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2019)12-0074-02
0 引言
外网是一个安全等级比较低的网络,它是开放的精彩的丰富的,有很多用户很多数据很多资源,而且有很多的病毒、木马和攻击,相对于内网它是一个不安全的网络;内网是企事业单位生产、办公、监控等专用网络,保密性和安全性要求更高。传统组网思路是按照内外网络单独建网,此方案使得内外网络处于信息孤岛状态,虽然可以完全实现内网外网物理隔离,拓扑结构简单,可以充分保证内网的安全性,但是一个用户需要两台终端设备分别访问内网和外网对应的业务,在不考虑冗余的情况下,需要至少部署两套链路和网络设备,造成一定程度上的投资浪费,增加了维护运行成本,而且同时在两台终端设备上办公,给信息交流和使用带来了极大的不便。所以有必要对两套网络的整合进行研究,使整合后的不同安全等级的网络之间加以访问控制和隔离,以更方便更安全地为企业生产、办公服务。目前一般的网络隔离技术都是以逻辑隔离(访问控制思想)为策略,以物理隔离(协议落地重装)为基础,并制定相关的策略和机制来保障内外网络的安全。
1 内外网络拓扑结构
内外网络采用两台防火墙背靠背结構,两台防火墙建议最好用不同品牌(本例中实际都是采用的天融信NGFW4000),不同品牌可以大大增加入侵难度,攻击者对一种品牌防火墙深入研究后可能攻破,但是要同时攻破两种不同品牌的防火墙就非常难了。生产区域是从核心交换机华三S5560所引两根不同运营商的专线连接到市信息中心,两根专线根据设置的COST值分别作为主用备用,该区域包括生产、监控和OA等应用系统;办公区域是思科3560交换机通过内网防火墙连接到生产网核心交换机,从办公网交换机连接到外网防火墙,外网防火墙作为网关出口连接电信提供的Internet,并通过NAT代理员工访问Internet,所以连接思科3560交换机的每一台终端可以便捷的通过内外网切换软件(例如netsetman)根据工作需要分别访问办公系统和Internet。生产区域和办公区域可以通过内外网络拓扑结构图(图1)体现。
2 逻辑网络隔离
逻辑网络隔离即修桥策略,被隔离的两端仍然存在物理上的连接,共用一个通道,但通过技术手段保证被隔离的两端在不被允许的情况下没有数据交互,即逻辑上的隔离。本例我们采用防火墙作为内外网络逻辑隔离设备,它工作在路由模式,进行数据包转发,能有效地监控内部网络和外部网络之间的活动,保证内部网络的安全。它部署在内外网络出口边界,防止越权访问、实施严格的访问行为控制,也可对目前的勒索病毒传播端口进行封堵,降低被外部感染的可能性。
在生产区域,它涉及生产和监控,安全等级最高为100。内网防火墙建议最好采用软件防火墙,它能对数据包具有灵活的控制功能,控制的力度也比较大,可以对进出内网的数据流有一个全方位的严格控制,控制策略配置为默认拒绝所有,除非允许,所有没有明确允许的都被拒绝,例如可以允许办公区域个别PC访问生产网个别web网站、登录生产系统telnet服务和查阅监控等。
在办公区域,涉及办公业务和对Internet的访问,安全等级相对较低为50,外网防火墙建议采用硬件防火墙,实现数据的高速转发,控制策略配置为允许所有,除非拒绝。当通过切换软件netsetman切换到10.130.157.X网段时,可以对OA系统进行访问,有时为了工作需要,办公网络需要与生产网络交互数据,这些都可以通过相应配置策略实现。当切换到192.168.80.X网段时,通过NAT访问Internet。
3 物理网络隔离
逻辑网络隔离适合安全保护等级不高的企业,对于大型重点企业,根据国家新的网络安全要求,真正意义上的隔离需要做到自身要具备高度的安全性,至少要在理论上和实践上要比防火墙高一个安全级别,把外网接口和内网接口进行分离,内外网之间不可路由协议,且永不连接。为此我们采用物理隔离来作为实现网络安全的方案,经过比较,决定用网闸(GAP)实现物理隔离,本例网闸工作在主机模式,所有交互数据需要协议落地转换。它的思想是内外网隔开,但分时对一独立存储设备写与读,间接实现内外网络信息交换,内外网之间不能建立网络连接,不能通过网络协议进行访问。到目前为止,网闸是既可以实现网络物理隔离,又安全地在内外网之间交换数据最为成熟的网络设备。
网闸好像摆渡船,对内外网络数据进行迁移,它一般包括:一个内部服务器、一个外部服务器、一个独立的固态存储介质和一个调度控制台。它和防火墙的部署完全一样,在内外网之间部署,配置也和防火墙类似,只是功能原理不同。以天御6000为例,串接在内外网络之间,内外网络从物理上完全分离,当外网需要有数据到达内网时,比如发送一个数据包,外部的服务器立即发起对隔离设备的非TCP/IP协议的数据连接,隔离设备将所有的协议剥离,将原始的数据写入独立的固态存储介质,一旦数据完全写入独立的固态存储介质,调度控制台立即中断隔离设备与外网的连接,转而发起对内网的非TCP/IP协议的数据连接,隔离设备将独立的固态存储介质内的数据推向内网,内网收到数据后,立即进行TCP/IP的封装和应用协议的封装,并最终交给相关应用系统,当收到完整的交换数据后,调度控制台随即切断隔离设备与内网的直接连接。如果当内网需要传输数据到达外网时,过程是一样的。每次内外网数据交互,网闸都要经历接收、存储和转发三个过程。
可见通过网闸可以有效地隔离内外网络,通过网闸安全的内外网络数据摆渡机制,可以在内外网之间物理隔离的情况下,进行数据交互。因为大部分的攻击需要建立连接并进行通信,而网闸从原理实现上就切断网络之间的通信协议连接。网闸只传输暂存纯数据,因此可以防止未知和已知的攻击。从而保证内外网的独立性、安全性和完成数据交互的时效性。 4 結语
本文论述了逻辑网络隔离和物理网络隔离的应用机制,但隔离设备的存在只能对外部网络进行检查和隔离,无法阻止内部的攻击,为此部署入侵检测系统,旁挂在核心交换机镜像端口,与隔离设备联动,对数据流进行分析,并在网络遭受攻击时进行报警和响应,甚至一定程度的反击,这样就可以有效阻止内外部的入侵,从而为日常生产、办公、监控提供稳定的网络支撑。
参考文献
[1] 王茂钢.内外网隔离中ACL技术的运用[J].网络安全技术与应用,2019(04):15-16.
[2] 俞华.医院内外网融合的网络架构配置实践[J].中国数字医学,2017,12(03):94-96.
Research on Application of Internal and External Network Switching and Isolation Technology
LI Rui
(Xuzhou Branch of China Post Group Corporation, Xuzhou Jiangsu 221000)
Abstract:Based on the network structure of Xuzhou post District Central Bureau,this article introduces the internal and external network topology and the configuration strategy of the key network equipment,and expounds the deployment and implementation of logical network isolation,that is,the internal and external network can be switched according to the work needs,and further according to the new requirements of network security,the adjustment from logical network isolation to physical network isolation is realized.
Key words:internal and external network;logical isolation;physical isolation;network security;GAP
转载注明来源:https://www.xzbu.com/8/view-15141125.htm