搭建內外網安全前置機

■

應用需求

財務部門原本建有獨立的專用局域網，運行財務系統處理全部財務相關事務，長期以來，工作人員都未能接入園區網（以下成為外網），在接收信息、與其他部門人員溝通等方面存在極大的不便。與此同時，受限于財務內網的封閉，文件的接收一旦使用U盤，常常遇到病毒侵襲，且在內網安裝的殺毒軟件無法升級，也無法有效抵御病毒。

基于上述客觀問題，原計劃采用桌面虛擬化或應用虛擬化的方式將財務內網封閉起來，通過USBKey的安全接入能夠在網絡可達的任意位置開展財務管理工作，每個人只使用自己的一臺電腦就能兼顧財務辦公和外網接入。但財務部門經過慎重考慮，還是繼續堅持內網物理隔離的方式，為每個工作人員增配一臺電腦專門接入外網用于上網，原有的電腦用于財務內網辦公，同時也能避免工作人員在缺乏現場監督的情況下使用財務系統。

在此情形下，內網病毒查殺的問題依然存在，文件如何不通過U盤能夠安全地在內網和外網之間傳遞也是日常使用必須面對的。假設通過光盤刻錄的方式，不僅是資源的浪費，在操作上也存在極大不便。

對策分析

在互聯網絡無限延伸的今天，想要保持一張局域網相對的獨立已是越來越難，對財務的工作人員而言，需要與外界交換信息、交換文件或交換數據；對財務的服務器端，也需要與在線交易平臺、在線支付平臺、在線查詢平臺等多種媒介連通。因此，安全的連接是解決這些需求最根本的出發點，單純的隔離已解決不了安全的問題。結合每個工作人員兩臺電腦分別連接外網和財務內網的實際，我們選用前置機的方式溝通內外網交互。

在前置機自身操作系統的選擇上優先考慮Linux，不僅是其自身相對安全，還可以根據需求安裝最小的運行環境，能夠更好地避免自身缺陷所帶來的安全短板。

文件和信息的交換，其實重點在于文件，畢竟在接入外網后，工作人員可以使用常規的QQ或RTX等工具。針對文件的交互，首先以安全的名義排除DTP方式，因為FTP相對容易被監聽和攻擊。既然是安全前置機，就要避免用不夠安全的組件，結合財務辦公全部使用Windows桌面的情況，選用Samba作為文件交換的基礎服務，一方面它是非常成熟且較少有安全漏洞的服務，另一方面是其能夠映射為網絡磁盤方便使用。在文件交互的規則上，定義外網和財務內網都只能進行單向寫操作，即內網可寫的共享目錄，在外網只能讀取，不能寫入，反之，在外網有寫權限的共享目錄，在內網則具有只讀權限，此規則目的在于任何一臺中毒的電腦都不能通過共享目錄主動傳播病毒到另一個網絡區域。

文件在內外網之間傳送另一個最大的風險就是文件本身可能有病毒，殺毒軟件在外網可以更新病毒庫，相對來說可以從使用習慣上約定從外網共享到內網的文件經過查殺后是安全的，但內網的文件若中毒在先，共享給外網時，受限于只讀共享也不能查殺，因此內網也必須解決殺毒軟件更新問題，解決辦法就是定向代理。在安全前置機上啟用基于Squid的網絡代理，從財務內網到外網方向僅代理殺毒軟件升級服務器，從而在保持內網隔離的前提下，又保證殺毒軟件的及時更新。

技術實施

Linux服務對資源的消耗很小，財務工作人員在20人左右，因此分配虛擬機一個，不少于 1vCPU，2Gram，50GB磁盤即可，安裝最新的Oracle Linux 6.6的32位版，兩個網卡分別設置內外網IP。

1.部署文件服務

首先安裝Samba4及其依賴包，配置其開機自動啟動。

接著在/opt目錄創建兩個目錄，f_in_to_out目錄定義為內網用戶可讀寫，外網用戶只讀；f_out_to_in目錄定義為外網用戶可讀寫，內網用戶只讀。并將此兩個目錄配置為SELinux策略允許

在上述定義中，整個文件共享配置為免密碼共享，因為財務人員并不算多，共享文件原本就為了方便文件傳遞，在限定訪問IP的前提下，增加用戶登錄只會使操作更麻煩，且在財務部門內部，如果有文件不希望別人看到，則可通過文件加密的方式來簡單避免。

在內網的每個工作電腦上，映射兩個網絡驅動器，分別為“內網寫入文件”和“內網讀取外網文件”，在外網的每個工作電腦上，也映射兩個網絡驅動器，分別為“外網寫入文件”和“外網讀取內網文件”，工作人員就可以像操作本地磁盤一樣在自己的兩臺內外網電腦，或與同事之間傳遞與交換文件了。

2.部署代理功能

在實際場景中，殺毒軟件也有兩種選擇，分別是網絡版殺毒軟件和單機版殺毒軟件。網絡版殺毒軟件在外網中就有升級服務器，代理服務器只需指向外網的升級IP即可。單機版殺毒軟件的升級服務器在互聯網中，需要先找到升級服務器IP，再定義到代理服務。相比之下，本案選擇單機版殺毒軟件，因為網絡版殺毒軟件功能相對單一，缺少輔助工具，而在不能上網的財務內網，具備如垃圾清理、電腦加速等便捷小工具的單機版可以給內網PC維護帶來便捷。

安裝并配置Squid3.1服務：

這部分定義是基于默認的配置基礎上添加的，分別定義了代理服務顯示的名稱，定義了一組目的域名，這組域名就是單機版殺毒軟件升級服務器的域名，同時設置除這組域名之外的訪問均禁止。啟動服務后，在殺毒軟件的設置項中添加本代理服務的IP和端口，點殺毒軟件升級就能實時保持最新了，而利用此代理去訪問其他網站，都是無法訪問的。

3.鞏固和提升

前置機同時存在于外網和內網，放開了SSH、Squid、Samba等三項服務，雖然服務自身都定義了訪問控制列表，但依賴服務去抵御潛在的攻擊還是不夠的，最好的辦法就是配合防火墻策略，讓防火墻丟棄無關的來源IP包以提升前置機自身的安全和運行效率。

如此定義IPtables上放行了Samba服務的138和445端口僅限財務內網和財務所用的外網IP使用，Squid代理和主機SSH服務僅限在內網使用，這樣最大程度縮小了此前置機在網絡中開放的范圍，使安全落到實處。

除此之外，前置機還配置了DNS和NTP服務，DNS用于內網服務器中少量的解析需求，配置其轉發解析請求到外網DNS上，NTP用于內網所有服務端或終端的網絡校時，尤其對于財務系統所需記錄的每筆業務處理時間特別實用。

經驗總結

安全從來就是相對的，物理隔離的內網脫離了各種安全機制，同樣無法做到安全。我們不僅要在技術層面阻攔各種安全風險，更重要的是從管理制度和使用習慣層面去規避低級的安全漏洞。比如，任何一款殺毒軟件都不能查殺所有的病毒，未經查殺的文件放置到共享目錄，在另一個網絡區域盡管只讀也同樣有機會引入病毒。因此，安全前置機的搭建，僅僅提供的是適應本案的技術層面的相對安全，全面的信息化安全需要我們用更多的管理智慧去不斷鞏固。