網絡隔離技術在局域網中的應用

李 喬/中國聯合網絡通信有限公司四平市分公司

?

網絡隔離技術在局域網中的應用

李 喬/中國聯合網絡通信有限公司四平市分公司

【摘 要】網絡隔離技術是隨著新型網絡攻擊的出現和對信息安全的更高要求而出現的。本文通過分析網絡隔離技術，結合實際，介紹公司所采用的物理隔離與邏輯隔離的方案，同時對比兩種方案的效果和優缺點。

【關鍵詞】物理隔離；邏輯隔離；隔離卡

隨著新型網絡攻擊的出現和對信息安全的更高要求，網絡隔離技術應運而生。

網絡隔離的目的是隔離有害的安全威脅，網絡隔離技術，是指兩個或兩個以上的網絡在斷開連接的基礎上，實現信息交換和資源共享，也就是說，通過網絡隔離技術既可以使兩個網絡實現物理上的隔離，又能在安全的網絡環境下進行數據交換。

網絡隔離分為邏輯隔離和物理隔離。網絡系統在邏輯隔離和物理隔離的方面有著非常大的差異，其物理隔離主要是為了保證系統能夠安全運作，不連接網絡。而邏輯隔離主要是保證網絡能夠正常運行，并保證整個過程的安全性。這兩種具有本質上的差異。

一、物理隔離

物理隔離的思路，主要是兩臺計算機沒有相連，使用者要通過介質進行數據的拷貝。這個過程也被稱為數據擺渡，兩臺計算機沒有明確的連接方式，所以不會遭到網絡的攻擊，這個過程的簡單形式如下圖所示。

工作人員要掌握物理隔離的特點，選取有效的技術，保證系統的安全性。在系統操作中，整個過程都需要保證內部網絡與外部網絡沒有連接。由此，工作人員要將網絡系統內部的主機和外部主機進行連接，并通過固定的存儲介質實現，從而建立固定的IP協議連接。這個功能能夠通過物理隔離器和物理隔離卡實現，其中物理隔離器要安裝在交換機之前，然后通過網絡選取器進行設備的開關，由物理隔離卡進行有效監督。物理隔離卡要在用戶客戶端上，插一塊隔離卡或是兩塊硬盤，經過不同的接口，達到不同網絡連接的目的。工作人員還應進行兩套網絡布線，合理區分不同的網絡。

圖2　控制臺與內網連接的示意圖

在公司的實際實施情況是通過DM軟件把單塊硬盤切分，實現類似2塊硬盤的功能，但硬盤空間在實際使用時只有原來的一半。隔離卡上固定了切換程序和啟動程序。從LAN啟動后，就可以切換不同的網絡，相當于一臺電腦模擬出2臺電腦，一臺單獨上內網，一臺單獨上外網，從而達到隔離的目的。這種隔離需要兩套網絡布線，在具體實施中，利用網線只用4根線的特點，由隔離卡實現切換，既實現了兩套網絡的目的又不需重新布線，節約了成本。每個控制臺都需要安裝兩套系統，內、外網的數據不能共享，需通過傳輸介質“數據擺渡”。互通性不好，當對不同的網絡進行訪問時，就要重新啟動PC機。

二、邏輯隔離

邏輯隔離與物理隔離不同，其主要也是在物理上進行連接的，但其在體系結構中實現的是物理層以上的隔離。在技術上，實現邏輯隔離的方式有很多，最常見的是防火墻[9]。工作人員要使用防火墻進行有效的防護，并對其流通的通道進行掃描，及時掌握這種事件的發展。通過這種方式，能夠較好的避開一些惡性攻擊發，降低目標計算機上的盲目操作。防火墻還能夠將一些不常使用的端口關閉，降低病毒進入的可能性。最后，它可以實現阻止來自特殊站點的訪問，從而保證網絡系統的安全運行。

三、方案比較

1.物理隔離。

網絡系統的雙網物理隔離，顧名思義其就是基于物理層的。這一方案能夠保證公網系統與涉密網絡系統內部的信息數據不會儲存在同一介質上，而且能夠劃分其物理鏈路。與此同時，對于二兩個網絡系統的服務器、交換機來說，進行物理隔離方案并沒有連接上相關的網絡系統安全防范內容。

工程實施的優點：

（1）如果物理隔離卡在工作站上合理配置，就能較好的起到內置卡的作用。針對內置卡在主機箱外的設置，幾乎稍有其他附加設備，幾乎不會占有空間資源。

（2）物理隔離的應用成本較為低廉。網絡系統的用戶能夠利用原有的局域網，而不是進行重新布線。這就極大的節約了網絡建設的投資成本，而且還能夠縮短系統改造的時間。

（3）改造成本低廉：安裝一塊物理隔離卡和二塊硬盤，就可以起到兩臺PC機的功能。

（4）當隔離網絡系統安裝完畢后，系統用戶就能夠共享除了硬盤外的信息數據資源。

2.邏輯隔離。

防火墻主要是通過對特殊站點的訪問控制、包過濾技術，來監測和預警數據包的。其除了具有隔離功能外，還具有克服物理隔離的缺陷的特點。然而，由于互聯網系統的使用開放性，邏輯隔離也存在著一些無法解決的問題。具體內容如下：

（1）如果受到保護的網絡系統內部不受限制的向外進行撥號，那么這些內部系統用戶就能夠與Internet進行有效連接。這種情況，就繞過了防火墻，從而使網絡系統形成了一個潛在的后門，非常容易受到攻擊。

（2）對于數據驅動式的攻擊防火墻很難發揮作用。

（3）對于系統內部駐存病毒的攻擊，像是特洛依木馬等，防火墻技術則不能發揮作用。

四、四平聯通的網絡隔離方案

(一)物理隔離方案

四平聯通采用雙網線物理隔離卡，安裝在客戶端PC的PCI槽上。客戶端PC的硬盤通過軟件修改硬盤內部物理地址標志，并通過隔離卡識別其標志，使其不同物理分區分別對應內外網絡，不可重用。

這種情況表示，在接入內網之后，工作人員要斷開外部網絡的連接，然后直接啟動內網的系統，并進行激活，從而實現一些操作。在外部網絡的分配中，同時也要斷開內部的網絡連接，開啟外網系統，進行分區。整個工程的效率，相當于模擬2臺電腦，一臺能夠獨立上網，一臺能夠進行外部網絡隔離。

圖3　安裝物理隔離卡的PC的開機界面

(二)邏輯隔離方案

四平聯通的邏輯隔離，部署的是網絡防火墻，具體網絡結構見圖4。

圖4　四平聯通網絡防火墻連接示意圖

防火墻實施的安全策略：

1.內網中的指定用戶（如10.62.30.8）可以訪問Internet和DMZ中的WEB服務器（如133.200.124.254）。并且內網所有用戶都可訪問DMZ區域服務器。

2.外網的用戶可以訪問DMZ區的Web平臺（133.200.124.254）。

3.DMZ區的WEB服務器可以訪問內網中的ORACLE數據庫服務器和外網中的其它服務器。

事實證明，物理隔離與邏輯隔離的防火墻能夠各有優勢，且能互為補充。在通過建立DCN網絡并制定隔離方案的過程中，對于兩個密級不同的網絡系統業務要利用物理隔離將其斷開。這里說的兩個密級不同的網絡系統是指，公共網絡和含有機密文件資料內部局域網，換句話說就是涉密網。保障各級涉密信息均能夠安全地在涉密網內應用，并為有效地防御來自公司其他網絡直接或者間接的破壞。在物理隔離的基礎上加裝防火墻，這樣一來就可以有效的提高涉密網絡連接的安全性。同時針對病毒和惡意入侵等，增加了病毒服務模塊。如果能夠增加網絡系統的域管理，就可以使網絡系統的安全性進一步得到強化。物理隔離有效阻止了內、外網的交叉感染，同時防止了通過INTERNET的惡意攻擊。病毒查殺模塊對進出隔離系統的靜態數據進行檢查，為用戶消除了木馬程序與病毒帶來的隱患。

通過以上措施，公司網絡的安全性有較好的保障，經過實踐證明效果是明顯的。但安全管理是網絡系統用戶和網絡管理人員的一種思維意識，僅通過科學技術是很難將其的效果發揮完全的，比如有的員工為圖使用方便，在內網通過ADSL與外網連通，整個物理隔離性能就大打折扣了。所以安全不僅僅從技術角度出發，還要加強安全意識，才能真正保障安全。

參考文獻：

[1]李志紅 計算機網絡隔離技術淺析 數字技術與應用 2012-11-15.

[2]周進，熊建武，戴小鵬 高校圖書館網絡安全隱患及其防范 中國西部科技 2013-02-15.

作者簡介：

李喬（1982.4），男，吉林四平人，碩士研究生，工程師，研究方向為信息安全。