一種基于DMZ原理的網(wǎng)絡(luò)邊界防護(hù)設(shè)計(jì)

◆薛 松

(中國(guó)電子科技集團(tuán)公司第二十八研究所 江蘇 210007)

一種基于DMZ原理的網(wǎng)絡(luò)邊界防護(hù)設(shè)計(jì)

◆薛 松

(中國(guó)電子科技集團(tuán)公司第二十八研究所 江蘇 210007)

對(duì)于不同安全等級(jí)的信息系統(tǒng)，其邊界需要采用符合要求的網(wǎng)絡(luò)隔離措施，該措施既要滿足低安全等級(jí)網(wǎng)絡(luò)向高安全等級(jí)網(wǎng)絡(luò)傳輸?shù)目尚拧⒖煽匦枨螅忠軌驖M足大數(shù)據(jù)量高效傳輸要求。本文基于原有DMZ設(shè)計(jì)思想，結(jié)合最新信息系統(tǒng)的安全防護(hù)要求，提出一種基于DMZ原理的邊界防護(hù)安全設(shè)計(jì)，解決了不同安全等級(jí)信息系統(tǒng)之間數(shù)據(jù)傳輸效率較低的問(wèn)題。

DMZ；網(wǎng)絡(luò)邊界防護(hù)

0 前言

近年來(lái)，信息系統(tǒng)的智能化程度越來(lái)越高，而這正是依賴于大量外部原始數(shù)據(jù)的采集與處理，為信息系統(tǒng)建立智能模型提供樣本依據(jù)。在對(duì)外部原始數(shù)據(jù)采集與處理的過(guò)程中，信息系統(tǒng)必然要面對(duì)來(lái)自外部的安全威脅。尤其在國(guó)防、公安、交通、電力等涉及國(guó)家安全的領(lǐng)域，一方面這些領(lǐng)域的信息系統(tǒng)需要更多的外部數(shù)據(jù)以提高分析評(píng)估能力，另一方面它們也成為外部安全威脅的首要目標(biāo)。因此，信息系統(tǒng)需要在邊界建立可控可信的安全防護(hù)措施，使得這種風(fēng)險(xiǎn)盡可能降低。

目前我國(guó)信息系統(tǒng)安全等級(jí)共有五級(jí)，按照要求不同安全等級(jí)的信息系統(tǒng)之間互聯(lián)互通必須采用合適的防護(hù)手段[1]。目前市場(chǎng)上比較成熟的解決方案，是根據(jù)不同的安全防護(hù)等級(jí)采用防火墻、IPS、UTM、病毒防護(hù)、網(wǎng)閘等設(shè)備中的一類或幾類進(jìn)行部署，以達(dá)到網(wǎng)絡(luò)邊界防護(hù)的目的[2]。雖然能夠起到一定的防護(hù)效果，但效率不高，某些設(shè)備不能符合最高等級(jí)防護(hù)要求。本文引入DMZ設(shè)計(jì)思想，在邊界防護(hù)區(qū)中建立DMZ，設(shè)置數(shù)據(jù)處理服務(wù)器，對(duì)來(lái)源于低安全等級(jí)信息系統(tǒng)的外部數(shù)據(jù)首先按照要求進(jìn)行初步分析處理，生成數(shù)據(jù)成果再傳輸至高安全等級(jí)信息系統(tǒng)，減少不必要的數(shù)據(jù)傳輸，提高網(wǎng)絡(luò)邊界防護(hù)的防護(hù)效率，并且能夠在應(yīng)用層建立防護(hù)措施。

1 基本思路

以傳統(tǒng)網(wǎng)絡(luò)邊界防護(hù)措施為例，如圖1所示，根據(jù)國(guó)家規(guī)定，低安全等級(jí)網(wǎng)絡(luò)的信息可以通過(guò)路由器、防火墻、單向網(wǎng)閘等邊界防護(hù)設(shè)備過(guò)濾后，到達(dá)高安全等級(jí)網(wǎng)絡(luò)[3]。其安全防護(hù)能力主要依賴于防火墻、單向網(wǎng)站等設(shè)備的性能。在實(shí)際應(yīng)用中，尤其在大容量數(shù)據(jù)傳輸應(yīng)用中，其傳輸效率與防護(hù)能力存在此消彼長(zhǎng)的聯(lián)系，即防護(hù)能力強(qiáng)的時(shí)候傳輸效率較低，而傳輸效率高時(shí)防護(hù)能力又受限。因此，為了提高傳輸效率，同時(shí)又保證防護(hù)能力不降低，一個(gè)有效的措施是對(duì)需要傳輸?shù)男畔?shù)據(jù)進(jìn)行篩選，精簡(jiǎn)數(shù)據(jù)內(nèi)容，使真正有用的信息傳輸，而將一些不必要的信息過(guò)濾掉。

為了實(shí)現(xiàn)上述數(shù)據(jù)處理過(guò)程，可考慮將DMZ引入邊界防護(hù)能力設(shè)計(jì)[4]，即在邊界防護(hù)區(qū)中設(shè)立DMZ，部署于防火墻與單向網(wǎng)閘之間。在DMZ內(nèi)設(shè)置數(shù)據(jù)篩選服務(wù)器，將通過(guò)防火墻的信息數(shù)據(jù)按照用戶定制要求進(jìn)行初步處理生成結(jié)果，再將數(shù)據(jù)結(jié)果通過(guò)單項(xiàng)網(wǎng)閘傳輸至高安全等級(jí)網(wǎng)絡(luò)內(nèi)，如圖2所示。

圖1 一般邊界防護(hù)

圖2 DMZ邊界防護(hù)

2 設(shè)計(jì)實(shí)施

下面以某信息系統(tǒng)建設(shè)（下文信息系統(tǒng)均指該信息系統(tǒng)）為例進(jìn)行分析。該信息系統(tǒng)安全防護(hù)等級(jí)較高，但其同時(shí)需要接入多路信息數(shù)據(jù)，例如視頻監(jiān)控信息、語(yǔ)音通話信息、其它行業(yè)應(yīng)用數(shù)據(jù)信息等等。按照相關(guān)規(guī)定要求，由于各行業(yè)信息系統(tǒng)安全等級(jí)不同，這些信息必須相互隔離傳輸，因此每一路信息數(shù)據(jù)均需要單獨(dú)配置實(shí)施邊界防護(hù)措施。如果采用傳統(tǒng)邊界防護(hù)設(shè)計(jì)，則面臨部署成本較高、大量數(shù)據(jù)傳輸效率低下的問(wèn)題，此時(shí)則可考慮采用DMZ邊界防護(hù)設(shè)計(jì)。

3 拓?fù)湓O(shè)計(jì)

如圖3所示，視頻、話音、行業(yè)數(shù)據(jù)等低安全等級(jí)網(wǎng)絡(luò)接入首先需經(jīng)過(guò)防火墻或UTM設(shè)備，進(jìn)入DMZ區(qū)進(jìn)行處理。DMZ區(qū)內(nèi)服務(wù)器接收到需要處理的數(shù)據(jù)后，按照用戶定制的要求對(duì)其進(jìn)行初步篩選分析，對(duì)視頻、話音等數(shù)據(jù)可直接轉(zhuǎn)發(fā)，對(duì)于行業(yè)應(yīng)用數(shù)據(jù)（如各種交通、氣象等）則進(jìn)行預(yù)先處理生成數(shù)據(jù)產(chǎn)品后再轉(zhuǎn)發(fā)。按照單向網(wǎng)閘的使用要求，DMZ區(qū)服務(wù)器轉(zhuǎn)發(fā)目的地址均為單向網(wǎng)閘的 IP地址，單向網(wǎng)閘接收到數(shù)據(jù)后再通過(guò)內(nèi)部隔離傳輸單元將數(shù)據(jù)傳輸至信息系統(tǒng)本地網(wǎng)絡(luò)（即高安全等級(jí)網(wǎng)絡(luò)）。

圖3 DMZ邊界防護(hù)拓?fù)湓O(shè)計(jì)

4 應(yīng)用設(shè)計(jì)

DMZ邊界防護(hù)由于加入了數(shù)據(jù)篩選處理環(huán)節(jié)，因此需要在DMZ區(qū)服務(wù)器上部署相關(guān)數(shù)據(jù)處理應(yīng)用，這些數(shù)據(jù)處理應(yīng)用軟件設(shè)計(jì)應(yīng)滿足信息系統(tǒng)需求，與信息系統(tǒng)軟件設(shè)計(jì)采用一致標(biāo)準(zhǔn)進(jìn)行，確保其與信息系統(tǒng)連通。其主要數(shù)據(jù)應(yīng)用包括：

（1）數(shù)據(jù)類型分析，對(duì)接收到的數(shù)據(jù)進(jìn)行分析判別分類，將接收到的數(shù)據(jù)按照內(nèi)容進(jìn)行劃分，分為視頻數(shù)據(jù)、音頻數(shù)據(jù)、應(yīng)用數(shù)據(jù)、其它數(shù)據(jù)；

（2）數(shù)據(jù)內(nèi)容解析，由于數(shù)據(jù)來(lái)源較多，需要按照每一種數(shù)據(jù)格式對(duì)其進(jìn)行解析，獲取數(shù)據(jù)內(nèi)容，對(duì)于視頻、音頻數(shù)據(jù)則直接轉(zhuǎn)發(fā)；

（3）數(shù)據(jù)格式編碼，按照信息系統(tǒng)要求的格式對(duì)獲取到的數(shù)據(jù)內(nèi)容進(jìn)行編碼，編碼方式應(yīng)采用加密算法，增強(qiáng)安全防護(hù)能力。

其它應(yīng)用設(shè)計(jì)還包括了數(shù)據(jù)接收發(fā)送、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)查詢統(tǒng)計(jì)等，可根據(jù)信息系統(tǒng)的要求進(jìn)行設(shè)計(jì)開(kāi)發(fā)，這些均屬于通用類軟件設(shè)計(jì)，這里就不詳細(xì)述說(shuō)了。

5 總結(jié)

本文通過(guò)在網(wǎng)絡(luò)邊界防護(hù)設(shè)計(jì)里引入DMZ設(shè)計(jì)，增加了數(shù)據(jù)篩選分析處理，精簡(jiǎn)了數(shù)據(jù)傳輸內(nèi)容，大大減輕了其它邊界防護(hù)設(shè)備數(shù)據(jù)處理的壓力，在不降低邊界防護(hù)能力的同時(shí)，提高了網(wǎng)絡(luò)邊界防護(hù)整體執(zhí)行效率。同時(shí)，本文提到的某信息系統(tǒng)建設(shè)中采用DMZ邊界防護(hù)設(shè)計(jì)減少了需要部署的單向網(wǎng)閘數(shù)量，節(jié)約了建設(shè)成本，達(dá)到了良好的經(jīng)濟(jì)效益。

[1]姜斌,許桂明.指揮信息系統(tǒng)安全防護(hù)工程化設(shè)計(jì)[J].指揮信息系統(tǒng)與技術(shù)，2014.

[2]岳陽(yáng). 信息系統(tǒng)應(yīng)用區(qū)域邊界安全隔離技術(shù)[J].指揮信息系統(tǒng)與技術(shù), 2014.

[3]黃智勇.網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].成都：電子科學(xué)技術(shù)大學(xué)工程計(jì)算機(jī)技術(shù)，2011.

[4]陳衛(wèi)平.DMZ區(qū)安全建設(shè)模型初探[J].現(xiàn)代電視技術(shù)，2013.