楊杰

摘 要：文章將詳細(xì)分析內(nèi)外網(wǎng)隔離技術(shù)的原理、主要功能及特點(diǎn)，還提出了內(nèi)外網(wǎng)隔離狀態(tài)下的辦公解決方案。

關(guān)鍵詞：內(nèi)網(wǎng)；外網(wǎng)；郵件轉(zhuǎn)發(fā)；辦公解決方案

1 概述

信息化發(fā)展的速度越來越快，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)也得到越來越廣泛地應(yīng)用。如今，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)需要進(jìn)行安全維護(hù)的重點(diǎn)和難點(diǎn)是網(wǎng)絡(luò)基礎(chǔ)建設(shè)?，F(xiàn)在很多的企業(yè)、學(xué)校都擁有了自己內(nèi)部的網(wǎng)絡(luò)，而這種內(nèi)網(wǎng)是進(jìn)行內(nèi)部的信息共享及傳輸?shù)膶Ｓ镁W(wǎng)絡(luò)，它能夠提供辦公自動(dòng)化、內(nèi)部運(yùn)行管理系統(tǒng)、在線教育等應(yīng)用的基礎(chǔ)網(wǎng)絡(luò)環(huán)境。內(nèi)網(wǎng)的設(shè)置大大地提高了工作人員的辦公效率，同時(shí)，還實(shí)現(xiàn)了信息的實(shí)時(shí)傳輸，例如郵件的轉(zhuǎn)發(fā)。

2 內(nèi)外網(wǎng)隔離技術(shù)的原理及其主要功能

2.1 基本原理

有線網(wǎng)廣泛地運(yùn)用了雙網(wǎng)隔離技術(shù)，而這種技術(shù)可以解決公安、金融、電子政務(wù)系統(tǒng)等有關(guān)專用網(wǎng)絡(luò)與公共網(wǎng)絡(luò)相互轉(zhuǎn)換的問題。

內(nèi)外網(wǎng)隔離技術(shù)的基本原理是通過將不同網(wǎng)絡(luò)的通用協(xié)議的連接截?cái)?，分解外網(wǎng)的IP數(shù)據(jù)包后，再對(duì)其進(jìn)行重組，從而構(gòu)成靜態(tài)數(shù)據(jù)包。內(nèi)外網(wǎng)隔離技術(shù)還需要檢查靜態(tài)數(shù)據(jù)包的安全性，其中，包括檢查各個(gè)網(wǎng)絡(luò)協(xié)議以及掃描代碼進(jìn)等具體步驟。該技術(shù)最后一步是在確認(rèn)靜態(tài)數(shù)據(jù)的安全后，將IP數(shù)據(jù)包傳送到內(nèi)網(wǎng)，其中，內(nèi)網(wǎng)（專用網(wǎng)）的用戶必須通過身份驗(yàn)證才能得到所需數(shù)據(jù)。

公用網(wǎng)絡(luò)是通過像隔離網(wǎng)閘此類的網(wǎng)絡(luò)隔離設(shè)備，連接專用網(wǎng)絡(luò)。隔離網(wǎng)閘將先按照TCP/IP協(xié)議將由公用網(wǎng)絡(luò)傳送的IP數(shù)據(jù)包全部剝離出去，再將原始數(shù)據(jù)包放入存儲(chǔ)的介質(zhì)中，最后通過“擺渡”將這些數(shù)據(jù)傳送到內(nèi)部的主機(jī)系統(tǒng)中，以達(dá)到實(shí)現(xiàn)信息的交換的目的。“擺渡”指的是在任何時(shí)候，隔離網(wǎng)閘只能和一個(gè)網(wǎng)絡(luò)的主機(jī)進(jìn)行非TCP/IP協(xié)議的數(shù)據(jù)連接的建立，也就是說，當(dāng)隔離網(wǎng)閘與外部的主機(jī)連接時(shí)，它就必須斷開與內(nèi)部主機(jī)的連接；反之，當(dāng)隔離網(wǎng)閘與內(nèi)部主機(jī)相連接時(shí)，就必須斷開與外部主機(jī)的連接，必須確保專用網(wǎng)絡(luò)、公用網(wǎng)絡(luò)不能同時(shí)連接在隔離網(wǎng)閘上。數(shù)據(jù)“擺渡”的機(jī)制將實(shí)現(xiàn)原始數(shù)據(jù)在存儲(chǔ)介質(zhì)中的存儲(chǔ)和轉(zhuǎn)發(fā)。

在網(wǎng)絡(luò)的第七層中，隔離網(wǎng)閘將IP數(shù)據(jù)包轉(zhuǎn)換成原始數(shù)據(jù)后，通過“擺渡文件”來傳送原始數(shù)據(jù)。同時(shí)，隔離網(wǎng)閘不允許通過任何形式的信息傳輸命令、數(shù)據(jù)包，甚至TCP/IP協(xié)議。

2.2 簡述雙網(wǎng)隔離技術(shù)的功能

內(nèi)外網(wǎng)隔離技術(shù)解決的主要問題是專用網(wǎng)和公用網(wǎng)之間的數(shù)據(jù)交換，從內(nèi)外網(wǎng)共享的數(shù)據(jù)類型以及速度的需要出發(fā)，總結(jié)了幾個(gè)內(nèi)外網(wǎng)隔離技術(shù)的功能。

能夠進(jìn)行文件交換，就是說，用戶不僅可以在專用網(wǎng)絡(luò)的服務(wù)器上進(jìn)行實(shí)時(shí)或是定時(shí)的單向或者雙向的文件隔離交換，還可以在公用網(wǎng)絡(luò)的服務(wù)器上進(jìn)行這些操作。能夠進(jìn)行郵件交換。因?yàn)閮?nèi)外網(wǎng)的郵件服務(wù)器之間進(jìn)行了郵件隔離交換，所以用戶可以安全地收發(fā)郵件。能夠進(jìn)行安全瀏覽，并且支持非透明以及透明模式的安全上網(wǎng)。還有就是能夠防護(hù)病毒。該技術(shù)可以檢查交換的數(shù)據(jù)中是否存在病毒，從而及時(shí)防止用戶遭受未知或者已知病毒的攻擊。能夠通過用戶名、口令等對(duì)用戶進(jìn)行身份驗(yàn)證。

3 內(nèi)外網(wǎng)隔離狀態(tài)下的辦公解決方案

3.1 安全接入體系

終端加固指的是通過設(shè)置硬件密碼來對(duì)終端的安全進(jìn)行加固，從而更加安全地控制終端計(jì)算的環(huán)境、網(wǎng)絡(luò)訪問以及信息資源。信道加密則是指采用加密算法對(duì)從移動(dòng)終端傳送到安全隔離區(qū)端（或者反向）的通信數(shù)據(jù)進(jìn)行加密，以此來確保在傳輸過程中專用網(wǎng)的數(shù)據(jù)以及信息能夠保持它們的完整性以及機(jī)密性，同時(shí)，該加密信道應(yīng)該是建立在通信運(yùn)營商提供的VPN專線中的。安全隔離區(qū)與移動(dòng)終端接入的不同設(shè)備之間的雙向身份認(rèn)證是通過認(rèn)證接入來實(shí)現(xiàn)的，只有合法的身份證書才能通過身份驗(yàn)證，并且將移動(dòng)終端接入安全隔離區(qū)中。訪問控制則是控制只有已授權(quán)的移動(dòng)終端才能訪問專用網(wǎng)的數(shù)據(jù)信息資源，除此之外，還必須阻斷可能出現(xiàn)的異常訪問。網(wǎng)閘隔離非常好地實(shí)現(xiàn)了專用網(wǎng)與公用網(wǎng)之間的隔離，對(duì)內(nèi)網(wǎng)中輸入、輸出的信息、數(shù)據(jù)進(jìn)行協(xié)議剝奪和內(nèi)容過濾。

雙網(wǎng)隔離技術(shù)中對(duì)安全性不同的網(wǎng)絡(luò)之間進(jìn)行數(shù)據(jù)交換，采用的是專用安全協(xié)議、通信硬件、加密驗(yàn)證機(jī)制及提取、鑒別和認(rèn)證應(yīng)用層數(shù)據(jù)的技術(shù)，以此來阻斷專用網(wǎng)和公用網(wǎng)之間的直接網(wǎng)絡(luò)協(xié)議連接，除此之外，對(duì)內(nèi)外網(wǎng)之間的通信設(shè)置了嚴(yán)格的內(nèi)容過濾、身份驗(yàn)證、安全審計(jì)等等的安全防護(hù)機(jī)制，以確保內(nèi)外網(wǎng)數(shù)據(jù)交換的安全性和可控性，同時(shí)，避免出現(xiàn)因操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議自身的漏洞攜帶來的風(fēng)險(xiǎn)。

3.2 采用虛擬專用網(wǎng)絡(luò)技術(shù)解決雙網(wǎng)隔離下的郵件轉(zhuǎn)發(fā)

3.2.1 虛擬專用網(wǎng)絡(luò)

在公用網(wǎng)絡(luò)上創(chuàng)建專用網(wǎng)絡(luò)的技術(shù)就是虛擬專用網(wǎng)絡(luò)（Virtual Private Network，簡稱VPN）技術(shù)。具體來說，VPN實(shí)際上是遠(yuǎn)程訪問技術(shù)，在公用網(wǎng)絡(luò)的傳輸鏈路上創(chuàng)建專用網(wǎng)絡(luò)。一個(gè)機(jī)構(gòu)要構(gòu)建自己的VPN就必須為它的每一個(gè)場所購買專門的硬件和軟件，并進(jìn)行配置，使每一個(gè)場所的VPN系統(tǒng)都知道其他場所的地址。

VPN是通過IP隧道技術(shù)實(shí)現(xiàn)的。IP隧道技術(shù)就是先對(duì)專用網(wǎng)不同網(wǎng)點(diǎn)之間需要傳送的內(nèi)部數(shù)據(jù)報(bào)加密后，再通過因特網(wǎng)的隧道，最后將數(shù)據(jù)報(bào)傳送到目的網(wǎng)點(diǎn)。

3.2.2 具體實(shí)例

隨著科技的發(fā)展，VPN的技術(shù)也日漸成熟，同時(shí)還發(fā)展了更多的種類。因此，我們可以從實(shí)際需求出發(fā)，利用SSL VPN來實(shí)現(xiàn)雙網(wǎng)隔離狀態(tài)下的移動(dòng)辦公。如果用戶采用SSL VPN發(fā)布一些應(yīng)用，就能避免專用網(wǎng)服務(wù)器直接連接在公用網(wǎng)上可能會(huì)產(chǎn)生的風(fēng)險(xiǎn)。如果外出時(shí)，用戶需要連接公司內(nèi)部的專用網(wǎng)絡(luò)，可以直接通過瀏覽器打開網(wǎng)頁完成SSL VPN的登錄，同時(shí)建立起相應(yīng)的安全隧道。這些操作就和登錄網(wǎng)銀、支付寶一樣特別容易上手。因?yàn)镾SL協(xié)議在網(wǎng)絡(luò)協(xié)議中的安全等級(jí)較高，所以現(xiàn)在的網(wǎng)上銀行一般都是采用 SSL協(xié)議對(duì)數(shù)據(jù)傳輸?shù)陌踩M(jìn)行保護(hù)，同時(shí)，采用標(biāo)準(zhǔn)的AES、RC4等加密算法來加密數(shù)據(jù)的傳輸過程和內(nèi)容，提高了數(shù)據(jù)傳輸?shù)陌踩浴?/p>

3.3 移動(dòng)辦公網(wǎng)絡(luò)組網(wǎng)方案

從移動(dòng)辦公安全體系架構(gòu)出發(fā)，建立一個(gè)以內(nèi)外網(wǎng)隔離技術(shù)為基礎(chǔ)的端到端的移動(dòng)辦公解決方案。該方案中將辦公網(wǎng)絡(luò)分為3個(gè)部分，分別為外網(wǎng)、內(nèi)網(wǎng)、安全隔離區(qū)。

整個(gè)隔離區(qū)設(shè)置了IPS、審計(jì)安全、評(píng)估鑒別、身份認(rèn)證等有關(guān)的安全防護(hù)措施，并且，連接移動(dòng)終端與專用網(wǎng)之前需要防護(hù)相應(yīng)的安全。除此之外，網(wǎng)絡(luò)隔離技術(shù)的相關(guān)設(shè)備已經(jīng)從物理鏈路上斷開了專用網(wǎng)和公用網(wǎng)之間的直接連接。因此，網(wǎng)絡(luò)隔離區(qū)足夠解決有關(guān)移動(dòng)辦公的安全問題，也能保證內(nèi)網(wǎng)的信息資源遭到非法竊取。

4 結(jié)束語

進(jìn)入21世紀(jì)以來，計(jì)算機(jī)網(wǎng)路技術(shù)一直在迅猛發(fā)展，并且滲透到社會(huì)的各個(gè)行業(yè)。為了確保企業(yè)的應(yīng)用系統(tǒng)能夠正常、安全地運(yùn)行，企業(yè)內(nèi)部的信息資源不被泄露，也為了避免遭受外網(wǎng)對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的攻擊，必須采用內(nèi)外網(wǎng)隔離技術(shù)。而在內(nèi)網(wǎng)隔離狀態(tài)下，引入VPN或者采用移動(dòng)辦公網(wǎng)絡(luò)組網(wǎng)的方案都可以使得辦公的數(shù)據(jù)、信息能夠安全地傳遞。

參考文獻(xiàn)

[1]王明剛，趙軍.淺析內(nèi)外網(wǎng)隔離方案[J].傳輸網(wǎng)絡(luò)，2009（04）：108-110.

[2]孫慶和，劉道群.網(wǎng)絡(luò)隔離技術(shù)在3G移動(dòng)辦公中的應(yīng)用探討[J].計(jì)算機(jī)科學(xué)，2013（06）：381-383.