基于隔離網閘的雙網分離方案研究與實現

李永超 周麗麗

大連市氣象信息中心 遼寧 大連 116001

引言

隨著我國氣象信息化技術的迅速發展，某地級市單位內網用戶的電腦終端數量越來越多，服務器、虛擬化資源池、路由器、交換機等設備也在不斷增加，各業務系統和用戶在訪問內網實現通信的同時，也需要在互聯網進行上網瀏覽、網站發布、外部訪問等等。與此同時，來自互聯網的安全威脅如影隨形，時刻威脅著單位用戶的信息安全。信息安全威脅方面，本單位網絡通信過程中，業務系統運行穩定性、實況數據、預報產品、決策產品等真實性和時效性要求很高，一旦被黑客修改或刪除影響很大。在網絡防護方面，該地級市單位信息中心人員組成上具備較高的專業素質，部署了較為完備的網絡安全防護設備。按照國家網絡安全管理規定，要求本單位進行內、外網分離，以便有效降低來自互聯網的攻擊行為，保護業務系統穩定運行和信息安全。經過技術人員對本單位網絡狀況和技術現狀認真研究分析，本單位考慮采用設置網閘等物理設備對現有網絡結構進行隔離改造。

1 網絡現狀

本項目研究的是某地級市單位，目前擁有電腦終端200余臺、服務器35臺、核心網絡設備包括防火墻、上網行為管理、WAF，同時還使用VPN設備。作為整個網絡中心的核心交換機和路由器，連接到省級單位和縣級內網單位，采用萬兆骨干網絡交換冗余備份連接。支持雙電源、雙引擎冗余的高可靠性網絡交換機，提供高速接入服務[1]。結合 VLAN 技術，根據各業務部門將一個大的局域網劃分成許多不同的廣播域，并通過ACL（訪問控制列表）技術、Sinfor 網絡監控、防火墻等軟件對用戶群進行內網與外網的邏輯隔離。

用戶訪問需求方面，核心網絡連接本地接入層交換機到達各部門VLAN，相互間可以訪問內網業務系統和平臺，用戶之間通過FTP、SMB、遠程桌面等方式進行數據傳輸和共享，同時網絡交換機端口1-65535全部開放，即內網之間用戶沒有啟用限制訪問策略。安全管理方面，按照以下幾點部署設置[2]：①部署了探針和安全感知系統實時監控內網機器運行狀態；②安裝火絨殺毒軟件服務器和客戶端，要求所有內網用戶安裝并定期更新；③部署網絡設備監控平臺，通過配置SNMP協議對管轄網絡終端進行實時監控，發現不在線等異常情況立即通過聲光和短信平臺報警。為滿足業務需求，用戶和業務平臺可以通過核心交換機訪問內網和互聯網，通過防火墻配置對互聯網的雙向訪問進行控制和攻擊防御。本單位內、外網分離前的網絡拓撲結構如圖1所示。

圖1 雙網分離前的網絡拓撲結構

2 雙網分離方案

內、外網分離的前期準備階段，經過詳細梳理，根據各部門業務用途不同，整理得出本單位網絡訪問方式主要分為三類：①省、市、縣三級業務人員和系統通過專網通信；②采集內網數據并實現對外發布的業務平臺，如官網APP和網站；③部分內網業務系統訪問需要訪問互聯網接口或平臺。為實現雙網分離并保證重要業務系統正常運行，經研究決定采用隔離網閘（GAP）進行分離并實現重要業務系統的雙向訪問。

2.1 GAP工作原理

安全隔離技術的基本原理是將帶有多種控制功能的固態開關讀寫介質連接兩個獨立的主機系統，通過模擬人工技術在兩個隔離網絡之間的信息交換。隔離技術的實質是兩個獨立主機系統之間，取消了通信的物理連接和邏輯連接，在不依賴于TCP/IP協議的信息包轉發的基礎上，只有格式化數據塊的無協議“擺渡”。

被隔離網絡之間的數據傳遞方式采用完全的獨立方式，不具備任何通用性。安全隔離與信息交換系統兩側網絡之間所有的TCP/IP連接在其主機系統上都要進行完全的應用協議還原，還原后的應用層信息根據用戶的策略進行強制檢查后，以格式化數據塊的方式通過隔離交換矩陣進行單向交換，在另外一端的主機系統上通過自身建立的安全會話進行最終的數據通信，即實現“協議落地、內容檢測”[3]。這樣，既從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，又進行了強制內容檢測，從而實現最高級別的安全。

安全隔離與信息交換系統通過專有隔離交換模塊實現基于硬件的安全隔離，芯片將數據塊轉化為自有協議格式的數據包，交換芯片的開關控制系統使得兩個網絡之間沒有任何的物理連接，沒有任何的網絡協議可以直接穿透，從而建立了一個安全可靠的安全隔離硬件體系及安全隔離區域。

2.2 網絡分離的實施

在滿足分離后的網絡安全性、高性能、適用性、可靠性和易管理的要求下，實現“一對一、一對多、多對一”的網絡隔離。內、外網分離的實施過程分為5個步驟：

步驟一：省、市、縣內網用戶通過核心交換機和路由器實現正常通信，不需要整改操作；

步驟二：斷開原互聯網連接方式，部署GAP 。將GAP接入核心交換機和出口防火墻之間，通過配置調試上、下行訪問；

步驟三：將部分需要發布的業務系統遷移到公有云，用戶通過GAP將內網數據同步到云服務器；

步驟四：將其他需要外網訪問的業務系統遷移至DMZ區服務器，防火墻地址轉換進行調整，原指向內網變為指向DMZ區IP；

步驟五：部署NAS存儲系統，并通過網閘進行數據同步。

雙網分離后的網絡拓撲結構如圖2所示。

圖2 雙網分離后的網絡拓撲結構

網絡連接測試。經過一段時間的運行測試，網閘能夠起到預期的作用，達到了隔離訪問的目的。網閘采用白名單模式限制不符合條件的用戶訪問外網區域。白名單用戶通過透明代理模式從內閘到達外閘并訪問到防火墻，再通過防火墻限制公網的訪問。因此，在有限制的情況下，白名單IP地址用戶能夠訪問部分互聯網地址，同時部分業務系統也能夠通過地址轉換的方式在有端口和策略限制的狀態下被外部地址訪問。

3 結束語

雙網分離后，管理員在內網架設了火絨防護軟件的服務器端，用戶機器安裝客戶端，并進行實時監控。經過3個月的測試運行，得出GAP的接入應用能夠在很大程度上降低互聯網黑客對內網進行惡意攻擊的風險，各業務系統運行穩定，數據“擺渡”安全穩定，實現了內、外網主機系統真正的隔離交換。