李 喬/中國聯(lián)合網(wǎng)絡(luò)通信有限公司四平市分公司

?

網(wǎng)絡(luò)隔離技術(shù)在局域網(wǎng)中的應(yīng)用

李 喬/中國聯(lián)合網(wǎng)絡(luò)通信有限公司四平市分公司

【摘 要】網(wǎng)絡(luò)隔離技術(shù)是隨著新型網(wǎng)絡(luò)攻擊的出現(xiàn)和對信息安全的更高要求而出現(xiàn)的。本文通過分析網(wǎng)絡(luò)隔離技術(shù)，結(jié)合實際，介紹公司所采用的物理隔離與邏輯隔離的方案，同時對比兩種方案的效果和優(yōu)缺點(diǎn)。

【關(guān)鍵詞】物理隔離；邏輯隔離；隔離卡

隨著新型網(wǎng)絡(luò)攻擊的出現(xiàn)和對信息安全的更高要求，網(wǎng)絡(luò)隔離技術(shù)應(yīng)運(yùn)而生。

網(wǎng)絡(luò)隔離的目的是隔離有害的安全威脅，網(wǎng)絡(luò)隔離技術(shù)，是指兩個或兩個以上的網(wǎng)絡(luò)在斷開連接的基礎(chǔ)上，實現(xiàn)信息交換和資源共享，也就是說，通過網(wǎng)絡(luò)隔離技術(shù)既可以使兩個網(wǎng)絡(luò)實現(xiàn)物理上的隔離，又能在安全的網(wǎng)絡(luò)環(huán)境下進(jìn)行數(shù)據(jù)交換。

網(wǎng)絡(luò)隔離分為邏輯隔離和物理隔離。網(wǎng)絡(luò)系統(tǒng)在邏輯隔離和物理隔離的方面有著非常大的差異，其物理隔離主要是為了保證系統(tǒng)能夠安全運(yùn)作，不連接網(wǎng)絡(luò)。而邏輯隔離主要是保證網(wǎng)絡(luò)能夠正常運(yùn)行，并保證整個過程的安全性。這兩種具有本質(zhì)上的差異。

一、物理隔離

物理隔離的思路，主要是兩臺計算機(jī)沒有相連，使用者要通過介質(zhì)進(jìn)行數(shù)據(jù)的拷貝。這個過程也被稱為數(shù)據(jù)擺渡，兩臺計算機(jī)沒有明確的連接方式，所以不會遭到網(wǎng)絡(luò)的攻擊，這個過程的簡單形式如下圖所示。

工作人員要掌握物理隔離的特點(diǎn)，選取有效的技術(shù)，保證系統(tǒng)的安全性。在系統(tǒng)操作中，整個過程都需要保證內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)沒有連接。由此，工作人員要將網(wǎng)絡(luò)系統(tǒng)內(nèi)部的主機(jī)和外部主機(jī)進(jìn)行連接，并通過固定的存儲介質(zhì)實現(xiàn)，從而建立固定的IP協(xié)議連接。這個功能能夠通過物理隔離器和物理隔離卡實現(xiàn)，其中物理隔離器要安裝在交換機(jī)之前，然后通過網(wǎng)絡(luò)選取器進(jìn)行設(shè)備的開關(guān)，由物理隔離卡進(jìn)行有效監(jiān)督。物理隔離卡要在用戶客戶端上，插一塊隔離卡或是兩塊硬盤，經(jīng)過不同的接口，達(dá)到不同網(wǎng)絡(luò)連接的目的。工作人員還應(yīng)進(jìn)行兩套網(wǎng)絡(luò)布線，合理區(qū)分不同的網(wǎng)絡(luò)。

圖2　控制臺與內(nèi)網(wǎng)連接的示意圖

在公司的實際實施情況是通過DM軟件把單塊硬盤切分，實現(xiàn)類似2塊硬盤的功能，但硬盤空間在實際使用時只有原來的一半。隔離卡上固定了切換程序和啟動程序。從LAN啟動后，就可以切換不同的網(wǎng)絡(luò)，相當(dāng)于一臺電腦模擬出2臺電腦，一臺單獨(dú)上內(nèi)網(wǎng)，一臺單獨(dú)上外網(wǎng)，從而達(dá)到隔離的目的。這種隔離需要兩套網(wǎng)絡(luò)布線，在具體實施中，利用網(wǎng)線只用4根線的特點(diǎn)，由隔離卡實現(xiàn)切換，既實現(xiàn)了兩套網(wǎng)絡(luò)的目的又不需重新布線，節(jié)約了成本。每個控制臺都需要安裝兩套系統(tǒng)，內(nèi)、外網(wǎng)的數(shù)據(jù)不能共享，需通過傳輸介質(zhì)“數(shù)據(jù)擺渡”?；ネㄐ圆缓茫?dāng)對不同的網(wǎng)絡(luò)進(jìn)行訪問時，就要重新啟動PC機(jī)。

二、邏輯隔離

邏輯隔離與物理隔離不同，其主要也是在物理上進(jìn)行連接的，但其在體系結(jié)構(gòu)中實現(xiàn)的是物理層以上的隔離。在技術(shù)上，實現(xiàn)邏輯隔離的方式有很多，最常見的是防火墻[9]。工作人員要使用防火墻進(jìn)行有效的防護(hù)，并對其流通的通道進(jìn)行掃描，及時掌握這種事件的發(fā)展。通過這種方式，能夠較好的避開一些惡性攻擊發(fā)，降低目標(biāo)計算機(jī)上的盲目操作。防火墻還能夠?qū)⒁恍┎怀Ｊ褂玫亩丝陉P(guān)閉，降低病毒進(jìn)入的可能性。最后，它可以實現(xiàn)阻止來自特殊站點(diǎn)的訪問，從而保證網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。

三、方案比較

1.物理隔離。

網(wǎng)絡(luò)系統(tǒng)的雙網(wǎng)物理隔離，顧名思義其就是基于物理層的。這一方案能夠保證公網(wǎng)系統(tǒng)與涉密網(wǎng)絡(luò)系統(tǒng)內(nèi)部的信息數(shù)據(jù)不會儲存在同一介質(zhì)上，而且能夠劃分其物理鏈路。與此同時，對于二兩個網(wǎng)絡(luò)系統(tǒng)的服務(wù)器、交換機(jī)來說，進(jìn)行物理隔離方案并沒有連接上相關(guān)的網(wǎng)絡(luò)系統(tǒng)安全防范內(nèi)容。

工程實施的優(yōu)點(diǎn)：

（1）如果物理隔離卡在工作站上合理配置，就能較好的起到內(nèi)置卡的作用。針對內(nèi)置卡在主機(jī)箱外的設(shè)置，幾乎稍有其他附加設(shè)備，幾乎不會占有空間資源。

（2）物理隔離的應(yīng)用成本較為低廉。網(wǎng)絡(luò)系統(tǒng)的用戶能夠利用原有的局域網(wǎng)，而不是進(jìn)行重新布線。這就極大的節(jié)約了網(wǎng)絡(luò)建設(shè)的投資成本，而且還能夠縮短系統(tǒng)改造的時間。

（3）改造成本低廉：安裝一塊物理隔離卡和二塊硬盤，就可以起到兩臺PC機(jī)的功能。

（4）當(dāng)隔離網(wǎng)絡(luò)系統(tǒng)安裝完畢后，系統(tǒng)用戶就能夠共享除了硬盤外的信息數(shù)據(jù)資源。

2.邏輯隔離。

防火墻主要是通過對特殊站點(diǎn)的訪問控制、包過濾技術(shù)，來監(jiān)測和預(yù)警數(shù)據(jù)包的。其除了具有隔離功能外，還具有克服物理隔離的缺陷的特點(diǎn)。然而，由于互聯(lián)網(wǎng)系統(tǒng)的使用開放性，邏輯隔離也存在著一些無法解決的問題。具體內(nèi)容如下：

（1）如果受到保護(hù)的網(wǎng)絡(luò)系統(tǒng)內(nèi)部不受限制的向外進(jìn)行撥號，那么這些內(nèi)部系統(tǒng)用戶就能夠與Internet進(jìn)行有效連接。這種情況，就繞過了防火墻，從而使網(wǎng)絡(luò)系統(tǒng)形成了一個潛在的后門，非常容易受到攻擊。

（2）對于數(shù)據(jù)驅(qū)動式的攻擊防火墻很難發(fā)揮作用。

（3）對于系統(tǒng)內(nèi)部駐存病毒的攻擊，像是特洛依木馬等，防火墻技術(shù)則不能發(fā)揮作用。

四、四平聯(lián)通的網(wǎng)絡(luò)隔離方案

(一)物理隔離方案

四平聯(lián)通采用雙網(wǎng)線物理隔離卡，安裝在客戶端PC的PCI槽上。客戶端PC的硬盤通過軟件修改硬盤內(nèi)部物理地址標(biāo)志，并通過隔離卡識別其標(biāo)志，使其不同物理分區(qū)分別對應(yīng)內(nèi)外網(wǎng)絡(luò)，不可重用。

這種情況表示，在接入內(nèi)網(wǎng)之后，工作人員要斷開外部網(wǎng)絡(luò)的連接，然后直接啟動內(nèi)網(wǎng)的系統(tǒng)，并進(jìn)行激活，從而實現(xiàn)一些操作。在外部網(wǎng)絡(luò)的分配中，同時也要斷開內(nèi)部的網(wǎng)絡(luò)連接，開啟外網(wǎng)系統(tǒng)，進(jìn)行分區(qū)。整個工程的效率，相當(dāng)于模擬2臺電腦，一臺能夠獨(dú)立上網(wǎng)，一臺能夠進(jìn)行外部網(wǎng)絡(luò)隔離。

圖3　安裝物理隔離卡的PC的開機(jī)界面

(二)邏輯隔離方案

四平聯(lián)通的邏輯隔離，部署的是網(wǎng)絡(luò)防火墻，具體網(wǎng)絡(luò)結(jié)構(gòu)見圖4。

圖4　四平聯(lián)通網(wǎng)絡(luò)防火墻連接示意圖

防火墻實施的安全策略：

1.內(nèi)網(wǎng)中的指定用戶（如10.62.30.8）可以訪問Internet和DMZ中的WEB服務(wù)器（如133.200.124.254）。并且內(nèi)網(wǎng)所有用戶都可訪問DMZ區(qū)域服務(wù)器。

2.外網(wǎng)的用戶可以訪問DMZ區(qū)的Web平臺（133.200.124.254）。

3.DMZ區(qū)的WEB服務(wù)器可以訪問內(nèi)網(wǎng)中的ORACLE數(shù)據(jù)庫服務(wù)器和外網(wǎng)中的其它服務(wù)器。

事實證明，物理隔離與邏輯隔離的防火墻能夠各有優(yōu)勢，且能互為補(bǔ)充。在通過建立DCN網(wǎng)絡(luò)并制定隔離方案的過程中，對于兩個密級不同的網(wǎng)絡(luò)系統(tǒng)業(yè)務(wù)要利用物理隔離將其斷開。這里說的兩個密級不同的網(wǎng)絡(luò)系統(tǒng)是指，公共網(wǎng)絡(luò)和含有機(jī)密文件資料內(nèi)部局域網(wǎng)，換句話說就是涉密網(wǎng)。保障各級涉密信息均能夠安全地在涉密網(wǎng)內(nèi)應(yīng)用，并為有效地防御來自公司其他網(wǎng)絡(luò)直接或者間接的破壞。在物理隔離的基礎(chǔ)上加裝防火墻，這樣一來就可以有效的提高涉密網(wǎng)絡(luò)連接的安全性。同時針對病毒和惡意入侵等，增加了病毒服務(wù)模塊。如果能夠增加網(wǎng)絡(luò)系統(tǒng)的域管理，就可以使網(wǎng)絡(luò)系統(tǒng)的安全性進(jìn)一步得到強(qiáng)化。物理隔離有效阻止了內(nèi)、外網(wǎng)的交叉感染，同時防止了通過INTERNET的惡意攻擊。病毒查殺模塊對進(jìn)出隔離系統(tǒng)的靜態(tài)數(shù)據(jù)進(jìn)行檢查，為用戶消除了木馬程序與病毒帶來的隱患。

通過以上措施，公司網(wǎng)絡(luò)的安全性有較好的保障，經(jīng)過實踐證明效果是明顯的。但安全管理是網(wǎng)絡(luò)系統(tǒng)用戶和網(wǎng)絡(luò)管理人員的一種思維意識，僅通過科學(xué)技術(shù)是很難將其的效果發(fā)揮完全的，比如有的員工為圖使用方便，在內(nèi)網(wǎng)通過ADSL與外網(wǎng)連通，整個物理隔離性能就大打折扣了。所以安全不僅僅從技術(shù)角度出發(fā)，還要加強(qiáng)安全意識，才能真正保障安全。

參考文獻(xiàn)：

[1]李志紅 計算機(jī)網(wǎng)絡(luò)隔離技術(shù)淺析 數(shù)字技術(shù)與應(yīng)用 2012-11-15.

[2]周進(jìn)，熊建武，戴小鵬 高校圖書館網(wǎng)絡(luò)安全隱患及其防范 中國西部科技 2013-02-15.

作者簡介：

李喬（1982.4），男，吉林四平人，碩士研究生，工程師，研究方向為信息安全。