基于網閘技術構建內外網一體化門戶

王慶凱

近年來,電子政務發展迅速,體現在社會生活的各個方面,如工商注冊申報、網上報稅、網上報關、基金項目申報等等。電子政務與國家和個人的利益密切相關,在我國電子政務系統建設中,外部網絡連接著廣大民眾,內部網絡連接著政府公務員桌面辦公系統,專網連接著各級政府的信息系統,而在外網、內網、專網之間交換信息是基本要求。如何在保證內網和專網資源安全的前提下,實現從民眾到政府的網絡暢通、資源共享、方便快捷是電子政務系統建設中必須解決的技術問題。

關于網閘

物理隔離網閘是使用帶有多種控制功能的固態開關讀寫介質連接兩個獨立主機系統的信息安全設備。由于物理隔離網閘所連接的兩個獨立主機系統之間,不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協議,不存在依據協議的信息包轉發,只有數據文件的無協議“擺渡”,且對固態存儲介質只有“讀”和“寫”兩個命令,所以,物理隔離網閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接,使“黑客“無法入侵、無法攻擊、無法破壞,實現了真正的安全。

網閘模型設計一般分三個基本部分組成:一是內網處理單元:包括內網接口單元與內網數據緩沖區。二是外網處理單元:與內網處理單元功能相同,但處理的是外網連接。三是隔離與交換控制控制單元:是網閘隔離控制的擺渡控制,控制交換通道的開啟與關閉。

網閘的主要功能有:阻斷網絡的直接物理連接和邏輯連接;數據傳輸機制的不可編程性;安全審查;原始數據無危害性;管理和控制功能;根據需要提供定制安全策略和傳輸策略的功能;支持定時/實時文件交換;支持Web方式;支持數據庫同步。

政府網絡中物理隔離技術的應用

在政府網絡中,內部網上有著大量高度機密的數據和信息,一旦網絡安全得不到保證,可能造成政治、經濟等各方面的巨大損失,因此網絡安全必須放在首位。在政府工作不斷地實現信息化、高效便捷的同時,安全保護成了亟待解決的問題。

面對網絡安全的威脅,現在常用的安全防護方法主要有:

軟件解決方案:現在正在廣泛應用的是許多復雜的軟件及部分硬件技術,如用防火墻、代理服務器、入侵探測器、通道控制等手段來降低來自Internet的危險。

法規和行政命令:法規和行政命令對安全工作是絕對必須的,嚴格的工作紀律是安全防護的重要保證。

物理隔離方案:采用硬件物理隔離方案,即將內部涉密網與外部網徹底地物理隔離開,沒有任何線路連接。這樣可以保證網上黑客無法連接內部涉密網,具有極高的安全性。

其中,物理隔離解決方案在政府網絡中的應用主要有一下四種:

一是涉密網與非涉密網之間:

二是局域網與互聯網之間(內網與外網之間):

在政府辦公網絡的局域網絡中,涉及政府敏感信息,有時需要與互聯網在物理上斷開,用物理隔離網閘是一個最常用的辦法。

三是辦公網與業務網之間:

由于許多政府的辦公網絡與業務網絡的信息敏感程度不同,例如,地稅、國稅局的辦公網絡和稅收業務網絡就是很典型的信息敏感程度不同的兩類網絡。為了提高工作效率,辦公網絡有時需要與業務網絡交換信息。為解決業務網絡的安全,比較好的辦法就是在辦公網與業務網之間使用物理隔離網閘,實現兩類網絡的物理隔離。

四是電子政務的內網與專網之間:

在電子政務系統建設中要求政府內網與外網之間用邏輯隔離,在政府專網與內網之間用物理隔離。現常用的方法是用物理隔離網閘來實現。

網閘技術構建政府內外網門戶網站

1、政府門戶內外網統一需求簡述

內網的功能概述:政府與企業將內部公務內網定位為企業或政府內部工作網,與其它網絡物理隔離,傳輸不涉及國家秘密或企業商業機密的內部信息。根據國家涉密應用需求和與機要網的協調情況,以及內網加密設施的完善程度等方面的情況,一定程度上界定是否將內部機密信息在內網上傳輸。

外網的功能概述:外網定位為國家機關或企事業單位對社會公眾與商業機構服務的業務網,與互聯網通過網絡安全系統邏輯相連。國家機構或企業以門戶網站為外網形式在互聯網上運行,并且要采取必需的安全防護措施。門戶網站辦事欄目,主要體現政府或企事業單位各個職能部門的網絡窗口并負責建設和維護,逐步形成一個統一網絡信息體系。

內外網統一的目的:外網和內網物理斷開,政府用戶通過外部網站的申請、表格無法傳輸到內網的申批系統中來,給門戶網站的服務帶來了很大的局限性,使網站無法給政府用戶帶來方便、快捷的服務。

同時外部網站無法從政府內網中獲取數據,需要的數據無法共享給外部。

統一的內外網平臺,可以提供數據交換和整合功能,支持跨平臺操作,支持各種不同數據庫,實現數據的實時獲取、轉換、傳輸、交換、整合等,實現信息資源共享。同時,通過統一出口,方便與社會各界、企業、個人等實現數據交換;通過網閘的信息交換功能可以讓政府門戶內外網達到統一的需求目的。

2、網閘技術實現內外網信息交換

物理隔離網閘隔離、阻斷了網絡的所有連接,實際上就是隔離、阻斷了網絡的連通。網絡被隔離、阻斷后,兩個獨立主機系統之間如何進行信息交換?在互聯網時代以前,信息照樣進行交換,如數據文件復制(拷貝)、數據擺渡、數據鏡像、數據反射等等,物理隔離網閘就是使用數據“擺渡”的方式實現兩個網絡之間的信息交換。

網絡的外部主機系統通過物理隔離網閘與網絡的內部主機系統“連接”起來,物理隔離網閘將外部主機的TCP/IP協議全部剝離,將原始數據通過存儲介質,以“擺渡”的方式導入到內部主機系統,實現信息的交換。物理隔離網閘的原始數據“擺渡”機制是原始數據通過存儲介質的存儲(寫入)和轉發(讀出)。

物理隔離網閘在網絡的第七層將數據還原為原始數據文件,然后以“擺渡文件”的形式來傳遞原始數據。任何形式的數據包、信息傳輸命令和TCP/IP協議都不可能穿透物理隔離網閘。

當內網與外網之間無信息交換時,物理隔離網閘與內網,物理隔離網閘與外網,內網與外網之間是完全斷開的,即三者之間不存在物理連接和邏輯連接,如圖1所示。

當內網數據需要傳輸到外網時,物理隔離網閘主動向內網服務器數據交換代理發起非TCP/IP協議的數據連接請求,并發出“寫”命令,將寫入開關合上,并把所有的協議剝離,將原始數據寫入存儲介質。在此過程中,外網服務器與物理隔離網閘始終處于斷開狀態。

一旦數據完全寫入物理隔離網閘的存儲介質,開關立即打開,中斷與內網的連接。轉而發起對外網的非TCP/IP協議的數據連接請求,當外網服務器收到請求后,發出“讀取”命令,將物理隔離網閘存儲介質內的數據導向外網服務器。外網服務器收到數據后,按TCP/IP協議重新封裝接收到的數據,交給應用系統,完成了內網到外網的信息交換。詳見圖3所示。

至于從外網到內網的信息交換,與上述類似,只是方向相反。

由上不難看出:每一次數據交換,物理隔離網閘都經歷了數據的寫入、數據讀出兩個過程;內網與外網永不連接;內網和外網在同一時刻最多只有一個同物理隔離網閘建立非TCP/IP協議的數據連接。

大漢網絡基于網閘技術構建內外網統一門戶的案例

1.項目案例背景

項目為XX省XX局的的內外門戶平臺省級集中建設和改造。主要的關鍵點如下:

1)內外門戶平臺建設包括內部網站和外部網站,兩網站之間物理隔離。內部網站定位為綜合辦公平臺,外部網站定位為業務服務平臺。項目內外網站的管理維護工作將在同一套網站管理系統下運行,除實時交互類內容外,其它全部的管理維護工作都在內部網絡環境里完成,數據能夠同步到外部網站,同時要保證安全的最大化。

2)針對網絡內外物理隔離的實際,借鑒我們為其它政務網站解決物理隔離和維護工作量矛盾的成功經驗,制定了成熟而合理的解決方案。在此項目中內容管理及數據庫服務器采用集群方式確保系統高可用性和可靠性;外網網站的靜態發布文件通過內網前置機上的網閘同步軟件發送到外網的前置機,再轉發至外網WEB服務器;外網網站的數據庫也由網閘的數據庫同步軟件實時把內網的數據庫同步到外網來,實時交互類的除外。

2.網絡拓撲結構

3.項目應用部署

內網服務器共9臺,1臺網閘前置機,兩臺數據庫及兩臺應用制作服務器分別做了集群,都將數據文件存放在磁盤陣列上。內網所有服務器都采用的是RedHat AS4 的操作系統。

外網服務器共10臺,1臺網閘前置機,數據庫、防篡改等不被直接訪問的服務器放在外網的安全區內,網站WEB、互動及應用模塊需要供外部訪問的服務器都放在DMZ區,外網DMZ區與安全區內設有防火墻保證了一定的安全性。

內外網的前置機操作系統都為WINDOWS 2003 SERVER,并安裝了網閘提供的文件同步及數據庫同步軟件。

4.技術實現步驟

此項目硬件環境較復雜,內網服務器8臺,外網服務器10臺,內外網網閘前置機各1臺,網閘2臺(一臺作為冷備),內網建設環境在內部局域網中相對較安全,所以只在與內部局域網連接設立防火墻即可,并有入侵檢測和病毒防護等防護措施。外網環境相對較復雜,數據庫、防篡改等不被直接訪問的服務器放在外網的安全區內,網站WEB、互動及應用模塊需要供外部訪問的服務器都放在DMZ區,外網DMZ區與安全區內設有防火墻保證了一定的安全性。網閘設備就在外網與內網之間,內外兩段分別連接內外網絡,當有信息交換時通過網閘中間段將內或外部需要傳輸的信息發送到另一端。

外網與內網的門戶網站都在內網的內容管理平臺統一進行管理,內容管理制作服務器將外部網站的網頁靜態文件打包壓縮發送至內網的網閘前置機,再由內網前置機通過網閘的文件同步軟件,將文件發送至外網的網閘前置機,最終由網閘前置機把文件傳送到WEB服務器,其中間傳輸的文件都為經程序打包壓縮成的PKG包,即傳輸的過程中保證了文件的安全性。

外網的數據庫也同樣通過內網前置機設置了數據庫同步通道,網閘的數據庫同步軟件在內外網的數據庫中分別設置了“增加”、“刪除”、“更新”的觸發器,當對數據庫執行相應操作時,觸發器會把數據庫執行的操作作為命令方式傳輸通過網閘,再到另一端的數據庫中執行相應的命令操作,有效地保證了數據庫的準確性與實時性。

不論是從內向外,還是從外向內,文件同步與數據庫同步的方式都是一樣的,但需要遵循兩點條件:一、文件同步需要支持一對多和多對一的多層文件夾同步模式;二、數據庫同步需要支持可設置到數據庫中具體的某一張表的某一個字段同步。

由于網閘的同步畢竟還是物理隔離的,對安全性有了很大的保障,但同時也就不能要求太高的實時性了。

政府網絡安全是國家網絡安全的基石,也是針對未來的信息戰來加強國防建設的重要基礎。對于政府部門來說,就需要對網絡中需保護的信息和數據進行詳細的經濟性評估,決定投資強度。利用有效的網絡安全設備,從而保證政府網絡的安全性是目前最為有效的一種手段,也是構建新時代網絡環境的必備條件。

展望未來的網絡發展趨勢,我們都需要提前做好準備。學習新技能,應用新技術,是我們最愿意也是最擅長做的事情,秉承我們多年來對政府門戶構建的經驗,我們已讓網閘技術較好的為政府部門提供安全保障,并時刻都在關注著它的發展,將與網絡新時代共成長。