內外網絡切換與隔離技術應用研究

李瑞

摘要：本文以徐州市郵區中心局網絡結構為背景，介紹了內外網絡拓撲結構及其關鍵網絡設備的配置策略，闡述了邏輯網絡隔離的部署和實現，即可以根據工作需要選擇切換內外網絡，并進一步根據網絡安全新的要求，實現了從邏輯網絡隔離到物理網絡隔離的調整。

關鍵詞：內外網絡;邏輯隔離;物理隔離;網絡安全;網閘

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2019）12-0074-02

0 引言

外網是一個安全等級比較低的網絡，它是開放的精彩的豐富的，有很多用戶很多數據很多資源，而且有很多的病毒、木馬和攻擊，相對于內網它是一個不安全的網絡;內網是企事業單位生產、辦公、監控等專用網絡，保密性和安全性要求更高。傳統組網思路是按照內外網絡單獨建網，此方案使得內外網絡處于信息孤島狀態，雖然可以完全實現內網外網物理隔離，拓撲結構簡單，可以充分保證內網的安全性，但是一個用戶需要兩臺終端設備分別訪問內網和外網對應的業務，在不考慮冗余的情況下，需要至少部署兩套鏈路和網絡設備，造成一定程度上的投資浪費，增加了維護運行成本，而且同時在兩臺終端設備上辦公，給信息交流和使用帶來了極大的不便。所以有必要對兩套網絡的整合進行研究，使整合后的不同安全等級的網絡之間加以訪問控制和隔離，以更方便更安全地為企業生產、辦公服務。目前一般的網絡隔離技術都是以邏輯隔離（訪問控制思想）為策略，以物理隔離（協議落地重裝）為基礎，并制定相關的策略和機制來保障內外網絡的安全。

1 內外網絡拓撲結構

內外網絡采用兩臺防火墻背靠背結構，兩臺防火墻建議最好用不同品牌（本例中實際都是采用的天融信NGFW4000），不同品牌可以大大增加入侵難度，攻擊者對一種品牌防火墻深入研究后可能攻破，但是要同時攻破兩種不同品牌的防火墻就非常難了。生產區域是從核心交換機華三S5560所引兩根不同運營商的專線連接到市信息中心，兩根專線根據設置的COST值分別作為主用備用，該區域包括生產、監控和OA等應用系統;辦公區域是思科3560交換機通過內網防火墻連接到生產網核心交換機，從辦公網交換機連接到外網防火墻，外網防火墻作為網關出口連接電信提供的Internet，并通過NAT代理員工訪問Internet，所以連接思科3560交換機的每一臺終端可以便捷的通過內外網切換軟件（例如netsetman）根據工作需要分別訪問辦公系統和Internet。生產區域和辦公區域可以通過內外網絡拓撲結構圖（圖1）體現。

2 邏輯網絡隔離

邏輯網絡隔離即修橋策略，被隔離的兩端仍然存在物理上的連接，共用一個通道，但通過技術手段保證被隔離的兩端在不被允許的情況下沒有數據交互，即邏輯上的隔離。本例我們采用防火墻作為內外網絡邏輯隔離設備，它工作在路由模式，進行數據包轉發，能有效地監控內部網絡和外部網絡之間的活動，保證內部網絡的安全。它部署在內外網絡出口邊界，防止越權訪問、實施嚴格的訪問行為控制，也可對目前的勒索病毒傳播端口進行封堵，降低被外部感染的可能性。

在生產區域，它涉及生產和監控，安全等級最高為100。內網防火墻建議最好采用軟件防火墻，它能對數據包具有靈活的控制功能，控制的力度也比較大，可以對進出內網的數據流有一個全方位的嚴格控制，控制策略配置為默認拒絕所有，除非允許，所有沒有明確允許的都被拒絕，例如可以允許辦公區域個別PC訪問生產網個別web網站、登錄生產系統telnet服務和查閱監控等。

在辦公區域，涉及辦公業務和對Internet的訪問，安全等級相對較低為50，外網防火墻建議采用硬件防火墻，實現數據的高速轉發，控制策略配置為允許所有，除非拒絕。當通過切換軟件netsetman切換到10.130.157.X網段時，可以對OA系統進行訪問，有時為了工作需要，辦公網絡需要與生產網絡交互數據，這些都可以通過相應配置策略實現。當切換到192.168.80.X網段時，通過NAT訪問Internet。

3 物理網絡隔離

邏輯網絡隔離適合安全保護等級不高的企業，對于大型重點企業，根據國家新的網絡安全要求，真正意義上的隔離需要做到自身要具備高度的安全性，至少要在理論上和實踐上要比防火墻高一個安全級別，把外網接口和內網接口進行分離，內外網之間不可路由協議，且永不連接。為此我們采用物理隔離來作為實現網絡安全的方案，經過比較，決定用網閘（GAP）實現物理隔離，本例網閘工作在主機模式，所有交互數據需要協議落地轉換。它的思想是內外網隔開，但分時對一獨立存儲設備寫與讀，間接實現內外網絡信息交換，內外網之間不能建立網絡連接，不能通過網絡協議進行訪問。到目前為止，網閘是既可以實現網絡物理隔離，又安全地在內外網之間交換數據最為成熟的網絡設備。

網閘好像擺渡船，對內外網絡數據進行遷移，它一般包括：一個內部服務器、一個外部服務器、一個獨立的固態存儲介質和一個調度控制臺。它和防火墻的部署完全一樣，在內外網之間部署，配置也和防火墻類似，只是功能原理不同。以天御6000為例，串接在內外網絡之間，內外網絡從物理上完全分離，當外網需要有數據到達內網時，比如發送一個數據包，外部的服務器立即發起對隔離設備的非TCP/IP協議的數據連接，隔離設備將所有的協議剝離，將原始的數據寫入獨立的固態存儲介質，一旦數據完全寫入獨立的固態存儲介質，調度控制臺立即中斷隔離設備與外網的連接，轉而發起對內網的非TCP/IP協議的數據連接，隔離設備將獨立的固態存儲介質內的數據推向內網，內網收到數據后，立即進行TCP/IP的封裝和應用協議的封裝，并最終交給相關應用系統，當收到完整的交換數據后，調度控制臺隨即切斷隔離設備與內網的直接連接。如果當內網需要傳輸數據到達外網時，過程是一樣的。每次內外網數據交互，網閘都要經歷接收、存儲和轉發三個過程。

可見通過網閘可以有效地隔離內外網絡，通過網閘安全的內外網絡數據擺渡機制，可以在內外網之間物理隔離的情況下，進行數據交互。因為大部分的攻擊需要建立連接并進行通信，而網閘從原理實現上就切斷網絡之間的通信協議連接。網閘只傳輸暫存純數據，因此可以防止未知和已知的攻擊。從而保證內外網的獨立性、安全性和完成數據交互的時效性。

4 結語

本文論述了邏輯網絡隔離和物理網絡隔離的應用機制，但隔離設備的存在只能對外部網絡進行檢查和隔離，無法阻止內部的攻擊，為此部署入侵檢測系統，旁掛在核心交換機鏡像端口，與隔離設備聯動，對數據流進行分析，并在網絡遭受攻擊時進行報警和響應，甚至一定程度的反擊，這樣就可以有效阻止內外部的入侵，從而為日常生產、辦公、監控提供穩定的網絡支撐。

參考文獻

[1] 王茂鋼.內外網隔離中ACL技術的運用[J].網絡安全技術與應用，2019（04）：15-16.

[2] 俞華.醫院內外網融合的網絡架構配置實踐[J].中國數字醫學，2017，12（03）：94-96.

Research on Application of? Internal and External Network Switching and Isolation Technology

LI Rui

（Xuzhou Branch of? China Post Group Corporation， Xuzhou? Jiangsu? 221000）

Abstract：Based on the network structure of Xuzhou post District Central Bureau，this article introduces the internal and external network topology and the configuration strategy of the key network equipment，and expounds the deployment and implementation of logical network isolation，that is，the internal and external network can be switched according to the work needs，and further according to the new requirements of network security，the adjustment from logical network isolation to physical network isolation is realized.

Key words：internal and external network;logical isolation;physical isolation;network security;GAP