網(wǎng)絡(luò)隔離顯“身手”

引言：在網(wǎng)絡(luò)安全要求越來越高的今天，網(wǎng)絡(luò)隔離技術(shù)憑借既能隔離非法攻擊，又能安全交換數(shù)據(jù)等優(yōu)勢，深受各級網(wǎng)絡(luò)管理人員的推崇。為了讓網(wǎng)絡(luò)隔離功能大顯“身手”，本文就對不同隔離方式進行詳細介紹，希望大家能從中受到啟發(fā)。

在網(wǎng)絡(luò)安全要求越來越高的今天，網(wǎng)絡(luò)隔離技術(shù)憑借既能隔離非法攻擊，又能安全交換數(shù)據(jù)等優(yōu)勢，深受各級網(wǎng)絡(luò)管理人員的推崇。網(wǎng)絡(luò)隔離方式有很多，不同隔離方式適用于不同網(wǎng)絡(luò)環(huán)境。為了讓網(wǎng)絡(luò)隔離功能大顯“身手”，本文就對不同隔離方式進行詳細介紹，希望大家能從中受到啟發(fā)。

認(rèn)識網(wǎng)絡(luò)隔離

網(wǎng)絡(luò)隔離技術(shù)是指多個計算機或網(wǎng)絡(luò)在通信連接斷開的基礎(chǔ)上，達到信息共享或數(shù)據(jù)交換目的，換句話說，使用網(wǎng)絡(luò)隔離功能讓不同網(wǎng)絡(luò)在物理隔離的基礎(chǔ)上，實現(xiàn)安全交換數(shù)據(jù)的目的。正常來說網(wǎng)絡(luò)隔離功能以物理隔離為基礎(chǔ)，以訪問控制為策略，通過制定相關(guān)規(guī)則來確保網(wǎng)絡(luò)數(shù)據(jù)交換的安全。

截至目前，網(wǎng)絡(luò)隔離技術(shù)已經(jīng)經(jīng)歷了五代隔離技術(shù)，第一代隔離技術(shù)屬于完全的隔離，這種隔離技術(shù)雖然安全性高，但是會給日常的網(wǎng)絡(luò)運維帶來不小的麻煩；第二代隔離技術(shù)是通過硬件卡實現(xiàn)的，這種方式實現(xiàn)要求比較高，也存在不小的安全隱患；第三代隔離技術(shù)通過數(shù)據(jù)轉(zhuǎn)播方式實現(xiàn)的，但這種方式需要手工完成，不僅明顯地減緩了數(shù)據(jù)交換速度，更不支持常見的網(wǎng)絡(luò)應(yīng)用；第四代隔離技術(shù)通過使用單刀雙擲開關(guān)來進行數(shù)據(jù)交換的，但在性能和安全方面也有明顯不足；第五代隔離技術(shù)借助專業(yè)硬件和特殊安全協(xié)議等，實現(xiàn)不同網(wǎng)絡(luò)的隔離與數(shù)據(jù)交換，這種方式透明支持多種網(wǎng)絡(luò)應(yīng)用，成為當(dāng)前應(yīng)用頻率很高的一種隔離技術(shù)。

當(dāng)前的網(wǎng)絡(luò)隔離技術(shù)基本工作原理還是很簡單的，主要通過一些安全機制在不同網(wǎng)絡(luò)之間架構(gòu)起安全隔離網(wǎng)墻，使不同網(wǎng)絡(luò)中的應(yīng)用系統(tǒng)在空間上處于物理隔離狀態(tài)，同時又能對數(shù)據(jù)交換過程中的非法代碼內(nèi)容進行過濾，確保合法數(shù)據(jù)內(nèi)容在安全、可信狀態(tài)下進行共享訪問和交換傳輸，并在完善的身份認(rèn)證機制下達到用戶按需訪問的目的。

現(xiàn)在的網(wǎng)絡(luò)隔離技術(shù)按隔離方式來分可以包括物理網(wǎng)絡(luò)隔離、邏輯網(wǎng)絡(luò)隔離、虛擬局域網(wǎng)、虛擬路由和轉(zhuǎn)發(fā)、多協(xié)議標(biāo)簽交換以及虛擬交換機等類型，其中物理網(wǎng)絡(luò)隔離需要通過不少物理設(shè)備來將網(wǎng)絡(luò)分隔成多個部分，這種類型雖然很安全但非常昂貴，邏輯網(wǎng)絡(luò)隔離通過虛擬/邏輯設(shè)備，不需要物理設(shè)備就能隔離不同網(wǎng)段的訪問，它的安全性沒有物理隔離高。在交換機支持VLAN的場合下，可以采取虛擬局域網(wǎng)隔離的方式，通過使用VLAN標(biāo)簽將事先指定的交換端口保留在各自廣播區(qū)域中，從而實現(xiàn)邏輯隔離網(wǎng)絡(luò)目的。虛擬路由和轉(zhuǎn)發(fā)類型允許若干路由表同時共存在相同的一臺路由器設(shè)備中，它通過一臺路由器實現(xiàn)網(wǎng)絡(luò)的隔離目的。虛擬交換機的作用與物理交換機基本相同，都是用來轉(zhuǎn)發(fā)數(shù)據(jù)包，從而實現(xiàn)不同網(wǎng)絡(luò)之間數(shù)據(jù)傳輸?shù)母綦x，且不需要過多單獨的硬件投入。

巧用防火墻隔離

在實際工作中，一些網(wǎng)絡(luò)隔離的需求屬于應(yīng)急措施，在這種情形下，很多網(wǎng)絡(luò)管理員都會選用防火墻程序進行軟式網(wǎng)絡(luò)隔離，畢竟這種隔離措施不需要額外的投入，節(jié)省了開支。

例如，某單位網(wǎng)絡(luò)通過共享ADSL方式上網(wǎng)，所有上網(wǎng)終端與ADSL設(shè)備都連接到一臺48口交換機中，它們都位于同一個工作子網(wǎng)中，該子網(wǎng)使用32.177.0.2——32.177.0.254網(wǎng)段地址，網(wǎng)關(guān)使用32.177.0.1地址。現(xiàn)在單位新增加了四臺上網(wǎng)終端，要求在不投入硬件的情況下，既要讓新增的上網(wǎng)終端共享ADSL上網(wǎng)，又要與原來的終端計算機保持隔離，還要讓它們之間相互可以正常訪問。

圖1 屬性對話框

為了實現(xiàn)上述訪問的要求，網(wǎng)絡(luò)管理員找來一款處于閑置狀態(tài)的8口小交換機，將其連接到48口交換機，那些新增添的幾臺終端全部連到小交換機上，最后通過終端系統(tǒng)內(nèi)置的防火墻，達到軟式網(wǎng)絡(luò)隔離目的，不讓單位網(wǎng)絡(luò)中的其他上網(wǎng)終端訪問新終端系統(tǒng)。在將新終端接入單位網(wǎng)絡(luò)后，打開“網(wǎng)絡(luò)連接列表”窗口，選中“本地連接”圖標(biāo)，從其右鍵菜單中單擊“屬性”命令，切換到“本地連接屬性”設(shè)置框。勾選“Internet協(xié)議（TCP/IP）”選項，選擇“屬性”按鈕，彈出“TCP/IP協(xié)議屬性”對話框。選中如圖1所示界面中的“使用下面的IP地址”選項，將IP地址設(shè)置范圍為32.177.0.2—32.177.0.254，網(wǎng) 絡(luò) 掩 碼輸 入 為255.255.255.0，默認(rèn)網(wǎng)關(guān)地址調(diào)整為32.177.0.1，同時輸入好合適的首選DNS服務(wù)器地址，單擊“確定”按鈕保存設(shè)置操作，再重啟Windows系統(tǒng)，這樣新終端系統(tǒng)就能通過共享ADSL方式上網(wǎng)訪問了。

按照相同的操作步驟，配置好其他幾臺上網(wǎng)終端系統(tǒng)的網(wǎng)絡(luò)參數(shù)，讓它們都能正常上網(wǎng)。此時，新終端系統(tǒng)與其他終端系統(tǒng)同處一個子網(wǎng)，它們相互之間可以訪問，要想達到網(wǎng)絡(luò)隔離目的，還要啟用并設(shè)置終端系統(tǒng)自帶防火墻。在進行這種配置操作時，先逐一單擊“開始”、“設(shè)置”、“控制面板”，雙擊系統(tǒng)控制面板窗口中的“Windows防火墻”圖標(biāo)，展開系統(tǒng)防火墻配置對話框。選擇“常規(guī)”選項卡，勾選界面中的“啟用”選項，來啟動運行防火墻。之后進入“例外”選項設(shè)置頁面，勾選“文件和打印共享”復(fù)選項，單擊“編輯”按鈕，在其后界面中將“TCP 139”、“TCP 445”、“UDP 137”、“UDP 138”等端口選項都勾選起來，選擇“更改范圍”按鈕，選中“自定義列表”選項，將新添加的幾臺終端計算機IP地址填寫在這里，每個IP地址之間必須用逗號分隔開，并將網(wǎng)絡(luò)掩碼地址都設(shè)置為 255.255.255.0，例 如可以輸入“32.177.0.128，32.177.0.129，32.177.0.1 30，32.177.0.131/255.255.255.0 ”，確認(rèn)后保存設(shè)置操作。這個時候，單位網(wǎng)絡(luò)中的其他終端系統(tǒng)，因為受到防火墻程序的軟式隔離，將不能訪問新添加的終端系統(tǒng)，而開啟了防火墻例外功能的幾臺新添加終端系統(tǒng)是可以互相訪問的，如圖2所示。

巧用端口隔離

所謂端口隔離，就是在上網(wǎng)終端所連交換端口之間有足夠的隔離強度，確保一個上網(wǎng)終端不會接受到另外一個上網(wǎng)終端的數(shù)據(jù)信息。借助端口隔離措施，網(wǎng)絡(luò)管理員可以將需要管控的交換端口添加到隔離組中，達到端口在二層數(shù)據(jù)上的無法交換的目的；一旦采取了端口隔離措施后，交換端口之間就不會出現(xiàn)組播、廣播、單播現(xiàn)象，病毒木馬等威脅程序也不會輕易地在單位網(wǎng)絡(luò)中傳播擴散。

圖2 防火墻設(shè)置

圖3 交換端口視圖狀態(tài)

例如，單位的三臺重要計算機依次接入到H3C S3050交換機的 4、5、6端口上，為了保證網(wǎng)絡(luò)訪問安全，要求這三臺計算機之間不能相互訪問。要達到這個控制目的，只需要簡單地在它們所連的交換機后臺系統(tǒng)中，將4、5、6這三個交換端口分別配置為隔離端口，這樣在交換機內(nèi)部形成數(shù)據(jù)隔離組，在不影響網(wǎng)絡(luò)訪問的情況下，將廣播數(shù)據(jù)包和其他交換端口進行了有效的網(wǎng)絡(luò)隔離。在配置隔離端口時，先進入交換機后臺系統(tǒng)，使用“system-view”命令，切換到系統(tǒng)全局視圖模式狀態(tài)；接著執(zhí)行“interface e0/4”字符串命令，進入4交換端口視圖狀態(tài)（如圖3所示），輸入“port isolate”命令將當(dāng)前交換端口設(shè)置為隔離端口。之后依次執(zhí)行“quit”、“interface e0/5”、“port isolate”等命令，將5交換端口也設(shè)置為隔離端口。同樣地，將6交換端口設(shè)置為隔離端口后，再執(zhí)行字符串命令“display isolate port”，查看端口隔離組中究竟添加了哪些隔離端口，每個隔離端口的狀態(tài)怎么樣。倘若發(fā)現(xiàn)某個交換端口不需要被網(wǎng)絡(luò)隔離時，可以進入對應(yīng)交換端口視圖模式狀態(tài)，然后執(zhí)行字符串命令“undo port isolate”，就能夠取消目標(biāo)交換端口的網(wǎng)絡(luò)隔離功能。

上面的配置操作方法僅適合H3C系列交換機，如果交換機使用的是華為品牌的產(chǎn)品，可以在特定交換端口視圖狀態(tài)下，使用“port-isolate enable” 命令，來啟用對應(yīng)交換端口的網(wǎng)絡(luò)隔離功能。而思科型號的交換機，更是采用了“switchport protected”完全不同的命令，來啟用交換端口的網(wǎng)絡(luò)隔離功能，值得注意的是，protected交換端口可以正常訪問非protected交換端口。

巧用路由隔離

對網(wǎng)絡(luò)拓?fù)涫煜さ墓芾韱T都清楚，在組網(wǎng)過程中路由器的作用相當(dāng)關(guān)鍵，它實現(xiàn)了不同網(wǎng)絡(luò)的相互連接。隨著網(wǎng)絡(luò)應(yīng)用的不斷提高，越來越需要對這種網(wǎng)絡(luò)互連加以一定的限制，而路由器天生也具有一定的網(wǎng)絡(luò)隔離功能，它的隔離功能主要通過訪問控制技術(shù)來實現(xiàn)，通過制定訪問控制列表達到對數(shù)據(jù)報文轉(zhuǎn)發(fā)進行過濾和控制，只允許訪問控制列表中許可的報文通過路由器進行轉(zhuǎn)發(fā)。在手頭沒有路由器設(shè)備的情況下，大家也能巧妙地利用終端計算機系統(tǒng)自帶的Route命令，實現(xiàn)軟式路由隔離目的。

圖4 高級TCP/IP設(shè)置對話框

比如說，筆者主要負(fù)責(zé)管理單位內(nèi)網(wǎng)系統(tǒng)的運維工作，閑暇之余，會上外網(wǎng)查詢一些數(shù)據(jù)信息。以前，筆者通過筆記本電腦專門管理單位內(nèi)網(wǎng)，通過臺式計算機訪問單位外網(wǎng)。不過現(xiàn)在因為要用筆記本電腦進行移動辦公，筆者想在辦公桌上的臺式計算機中，可以同時訪問單位內(nèi)網(wǎng)和外網(wǎng)。

為了能夠?qū)崿F(xiàn)同時上網(wǎng)目的，筆者認(rèn)真檢查了臺式計算機的網(wǎng)絡(luò)走線，看到其與樓層交換機直接連接，恰好樓層交換機又與單位外網(wǎng)和單位內(nèi)網(wǎng)同時連接，為此筆者打算通過Windows系統(tǒng)內(nèi)置的Route命令，也就是使用路由隔離法，對單位內(nèi)網(wǎng)、外網(wǎng)的訪問進行軟式網(wǎng)絡(luò)隔離。假設(shè)，單位外網(wǎng)地址范圍為168.160.1.0-168.160.1.255，網(wǎng)關(guān)地址為168.160.1.1，掩 碼 地址 為 255.255.255.0，臺式計算機使用的地址為168.160.1.32；單 位 內(nèi) 網(wǎng)地址范圍為32.177.1.0-32.177.1.255，網(wǎng) 關(guān) 地 址為32.177.1.1，掩碼地址為255.255.255.0，臺式計算機使用的地址為32.177.1.10。現(xiàn)在，筆者登錄進入臺式計算機系統(tǒng)中，打開“TCP/IP協(xié)議屬性”設(shè)置框，單擊“高級”按鈕，切換到如圖4所示的“高級TCP/IP設(shè)置”對話框，在這里依次輸入好單位內(nèi)外網(wǎng)的IP地址、網(wǎng)關(guān)地址以及掩碼地址，然后單擊“確定”按鈕退出“設(shè)置”對話框。

接下來逐一點選“開始”、“運行”命令，展開系統(tǒng)運行文本框，在其中輸入“cmd”命令并回車，彈出MS-DOS命令行界面，在該界面命令行狀態(tài)下，輸入字符串命令“route add -p 168.160.1.0 mask 255.255.255.0 168.160.1.1”，添 加 好 訪問單位外網(wǎng)的路由記錄，再輸入字符串命令“route add -p 32.177.1.0 mask 255.255.255.0 32.177.1.1”，添加好訪問單位內(nèi)網(wǎng)的路由記錄，這樣臺式計算機就可以正常訪問單位內(nèi)外網(wǎng)了。

巧用VLAN隔離

基于VLAN隔離技術(shù)的網(wǎng)絡(luò)管控措施，在一些規(guī)模不大的單位局域網(wǎng)中得到廣泛的應(yīng)用。VLAN是對接入到二層交換機端口的邏輯分段，不受終端用戶的物理位置限制而按照上網(wǎng)需求進行網(wǎng)絡(luò)分段的。借助VLAN隔離功能，管理員能將一個單位局域網(wǎng)中很多的網(wǎng)絡(luò)設(shè)備分成不同虛擬的工作組，每個組之間的網(wǎng)絡(luò)設(shè)備在二層鏈路上相互隔離，形成不同的廣播域，將廣播流量限制在不同的廣播域。善于使用VLAN隔離方式，可以讓同一VLAN上的用戶互相訪問，不同VLAN的用戶之間不能相互訪問。

例如，某單位網(wǎng)絡(luò)中的甲交換機位于三樓，乙交換機位于五樓，該網(wǎng)絡(luò)中的有限幾個VLAN被合理劃分到這兩臺交換機中，它們使用光纖線路與單位局域網(wǎng)的核心路由交換機相連，同時通過該核心設(shè)備的路由功能進行共享上網(wǎng)。但后來因為某些方面的原因，單位管理者要求只能允許位于每個樓層的領(lǐng)導(dǎo)辦公室的所有上網(wǎng)終端可以訪問外網(wǎng)，而其他任何計算機都不允許通過核心路由交換機訪問Internet網(wǎng)絡(luò)。

圖5 字符串命令

為了實現(xiàn)領(lǐng)導(dǎo)要求的隔離目的，網(wǎng)絡(luò)管理員檢查了網(wǎng)絡(luò)原始資料，看到各個樓層領(lǐng)導(dǎo)辦公室的上網(wǎng)終端，分別被設(shè)置在不同的VLAN中，幸運的是這些上網(wǎng)終端數(shù)量不是很多，總共不到15臺。為了達到特定的網(wǎng)絡(luò)隔離目的，網(wǎng)絡(luò)管理員決定將所有領(lǐng)導(dǎo)辦公室的上網(wǎng)終端，依次設(shè)置到一個全新的VLAN中，接著在甲乙交換機的級聯(lián)端口中進行適當(dāng)設(shè)置，只讓新VLAN與核心設(shè)備保持連接，從而可以通過它順利訪問單位外網(wǎng)絡(luò)。進行一系列的手動設(shè)置，管理員在逐一將所有領(lǐng)導(dǎo)上網(wǎng)終端的連接端口設(shè)置到全新的VLAN 22中之后，為了讓甲乙交換機的級聯(lián)端口只允許VLAN 22通行，管理員登錄進入交換機后臺系統(tǒng)，通過“Interface”命令切換到特定交換端口視圖模式狀態(tài)，在該狀態(tài)下執(zhí)行如圖5所示的“port linktype access”字符串命令，強制級聯(lián)端口位于“access”訪問模式下，同時使用“port access vlan 22”命令，讓級聯(lián)端口只允許VLAN 22通行，其他VLAN中的上網(wǎng)終端自然就不能順利上網(wǎng)訪問了。

最后小結(jié)

隔離不同上網(wǎng)終端的相互通信，可以采取以上多種措施來實現(xiàn)，但是不同措施使用的環(huán)境和方法各不相同，因此在平時的工作實踐中，大家一定要靈活選用合適的網(wǎng)絡(luò)隔離措施，這樣才能達到有效地網(wǎng)絡(luò)隔離目的。