周 全 榮東明 何 遠

[摘要]隨著網(wǎng)絡用戶的增加,網(wǎng)絡的不斷發(fā)展,企業(yè)信息安全問題也越來越嚴重。從企業(yè)的安全現(xiàn)狀分析,網(wǎng)絡隔離技術的發(fā)展及改進三個方面進行論述,并對改進后的網(wǎng)絡隔離在實際應用中的注意事項做說明。

[關鍵詞]防火墻木馬網(wǎng)絡隔離

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)1110071-01

2008年上半年《中國互聯(lián)網(wǎng)網(wǎng)絡安全報告》指出國家互聯(lián)網(wǎng)應急中心(CNCERT)接收和自主監(jiān)測的各種網(wǎng)絡安全事件數(shù)量與2007年上半年同期相比有較為顯著的增加。網(wǎng)絡攻擊的頻次、種類和復雜性均比往年大幅增加,遭入侵和受控計算機數(shù)量巨大,潛在威脅和攻擊力繼續(xù)增長,信息數(shù)據(jù)安全問題日益突出,網(wǎng)絡安全形勢依舊嚴峻。

一、一般企業(yè)的網(wǎng)絡安全措施及現(xiàn)狀

企業(yè)一般為了自己的應用需要建立了很多的網(wǎng)絡,由企業(yè)內部局域網(wǎng)組成,我們通常叫做內網(wǎng)。另一個是現(xiàn)在我們普遍使用的互聯(lián)網(wǎng),它是一個全球性的網(wǎng)絡,通常被叫做外網(wǎng)。網(wǎng)絡安全是從外網(wǎng)安全和內網(wǎng)安全兩部分來講,企業(yè)更關注的還是內網(wǎng)的安全,因為內網(wǎng)里有企業(yè)的信息,內網(wǎng)信息一旦泄露了,那么重要的企業(yè)信息也就泄露了,這對企業(yè)來說是很危險的。

企業(yè)一般通過ADSL或光纖等接入外網(wǎng),然后通過路由器與內網(wǎng)相連,其主要安全措施是防火墻。使用的防火墻大體分為3種:包過濾防火墻、狀態(tài)檢測包過濾防火墻、應用層代理防火墻。防火墻在網(wǎng)絡安全方面確實能起到一定的保護作用,但仍有不少缺陷。主要表現(xiàn)為:包過濾防火墻不能防御IP欺騙攻擊、D0S拒絕服務攻擊、分片攻擊、木馬攻擊;狀態(tài)檢測包過濾防火墻不能防御協(xié)議隧道攻擊和繞過防火墻認證的攻擊;應用層代理防火墻只能防御已知病毒的攻擊,而對新的攻擊無法及時預防。

二、網(wǎng)絡隔離的發(fā)展與不足

網(wǎng)絡隔離的思想是絕對的隔離就有絕對的安全(這排除內部“間諜”和電磁分析等),是指把兩個或兩個以上可路由網(wǎng)絡(如TCP/IP網(wǎng)絡)的直接連接從物理上斷開,通過隔離保護內部網(wǎng)絡的安全,使信息不致外泄或免受外部網(wǎng)絡的攻擊。隔離概念的出現(xiàn),是為了保護高安全度的網(wǎng)絡環(huán)境。網(wǎng)絡隔離產(chǎn)品發(fā)展至今共經(jīng)歷了五代:

第一代隔離技術:完全的隔離。采用完全獨立的設備、存儲和線路來訪問不同的網(wǎng)絡,做到了完全的物理隔離,但需要多套網(wǎng)絡和系統(tǒng),建設和維護成本較高。

第二代隔離技術:硬件卡隔離。通過硬件卡控制獨立存儲和分時共享設備與線路來實現(xiàn)對不同網(wǎng)絡的訪問,它仍然存在使用不便、可用性差等問題,有的設計上還存在較大的安全隱患。

第三代隔離技術:數(shù)據(jù)轉播隔離。利用轉播系統(tǒng)分時復制文件的途徑來實現(xiàn)隔離,切換時間較長,甚至需要手工完成,不僅大大降低了訪問速度,更不支持常見的網(wǎng)絡應用,只能完成特定的基于文件的數(shù)據(jù)交換。

第四代隔離技術:空氣開關隔離。該技術是通過使用單刀雙擲開關,通過內外部網(wǎng)絡分時訪問臨時緩存器來完成數(shù)據(jù)交換的,但存在支持網(wǎng)絡應用少、傳輸速度慢和硬件故障率高等問題,往往成為網(wǎng)絡的瓶頸。

第五代隔離技術:安全通道隔離。此技術通過專用通信硬件和專有交換協(xié)議等安全機制,來實現(xiàn)網(wǎng)絡間的隔離和數(shù)據(jù)交換,不僅解決了以往隔離技術存在的問題,并且在網(wǎng)絡隔離的同時實現(xiàn)高效的內外網(wǎng)數(shù)據(jù)的安全交換,它透明地支持多種網(wǎng)絡應用,成為當前隔離技術的發(fā)展方向。

雖然第五代隔離技術是當前的發(fā)展方向,但它還存在應用協(xié)議的代理模塊不能適應更多的應用環(huán)境、各模塊算法實現(xiàn)的效率較低、系統(tǒng)的性能瓶頸、對木馬和僵尸網(wǎng)絡的防御能力不足等問題。想達到更安全的效果還是需要第一代隔離技術。

三、第一代隔離技術實用化的改進

第一代隔離技術因為實現(xiàn)了物理上的完全隔離,所以其安全性能要比其它的高很多,病毒、網(wǎng)絡攻擊等都被網(wǎng)絡隔離而無法在內網(wǎng)實施破壞。其實用性不強主要表現(xiàn)在需要多套獨立的設備和多套獨立布線,所以對其進行改進從而達到實用化是技術的關鍵。以下是具體改進方案:

通過在終端上插一塊網(wǎng)絡隔離卡以及兩塊硬盤,通過選用不同的硬盤和網(wǎng)絡接口,使一臺終端拆分出兩臺終端。在兩臺終端分別安裝操作系統(tǒng),設定不同的IP地址,通過重啟系統(tǒng)切換到不同的網(wǎng)絡,從而實現(xiàn)網(wǎng)絡隔離的目的。這樣只使用了一套終端,而實現(xiàn)了2套獨立終端的功能,實用性大大加強。

也可以通過修改隔離卡支持單塊硬盤切分技術,實現(xiàn)類似兩塊硬盤的功能。通過使用DM等硬盤工具來劃分硬盤分區(qū),不同的網(wǎng)絡使用不同的分區(qū),使用內網(wǎng)時外網(wǎng)分區(qū)是隱藏的,內網(wǎng)無法通過操作系統(tǒng)訪問到外網(wǎng)分區(qū),反之亦然。連接隔離卡的跳線開關,使其變?yōu)榭捎洃洜顟B(tài),隔離卡記錄了分區(qū)信息后,斷開跳線開關。啟動時選擇不同的網(wǎng)絡就選擇了與之對應的分區(qū)和操作系統(tǒng),進一步降低了硬件成本。

對于網(wǎng)絡布線,盡量使用單位原有的線路資源,保持原來的網(wǎng)絡拓撲。通過網(wǎng)絡隔離卡的網(wǎng)卡接口設計,使其接口的1,2,3,6條線對應內網(wǎng),4,5,7,8對應外網(wǎng),這樣就能充分利用原有的布線和網(wǎng)絡資源,只需在配線間增加網(wǎng)絡隔離集線器即可。具體如圖1所示,虛線部分為網(wǎng)絡隔離集線器,內、外網(wǎng)分別連接到相應的網(wǎng)絡,但不同的網(wǎng)絡仍然保持物理上的隔離。

其工作原理為:以物理方式將一臺終端拆分為兩個終端,實現(xiàn)終端的雙重狀態(tài),即可在安全狀態(tài)(內網(wǎng)),又可在公共狀態(tài)(外網(wǎng)),兩個狀態(tài)是完全隔離的。網(wǎng)絡隔離卡通過PCI插槽與主板相連,通過網(wǎng)絡隔離卡上的電源設計分別對內、外網(wǎng)的硬盤供電,或者由啟動時控制不同的分區(qū)。在任何時候內、外網(wǎng)只能與自己的硬盤或分區(qū)交換數(shù)據(jù)。在使用不同網(wǎng)絡