李飛

隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷普及和發(fā)展，傳統(tǒng)的網(wǎng)絡(luò)防御技術(shù)如防火墻、UTM、入侵檢測等，面對外網(wǎng)的各種威脅，其安全效能正在下降，為確保內(nèi)網(wǎng)的數(shù)據(jù)安全，最安全的方式就是實(shí)行內(nèi)外網(wǎng)物理隔離。但是，網(wǎng)絡(luò)的物理隔離，給內(nèi)外網(wǎng)數(shù)據(jù)的交換帶來很多不便。因此，就需要在內(nèi)、外網(wǎng)之間建立一個(gè)既符合物理隔離安全要求，又能進(jìn)行數(shù)據(jù)交換的解決方案，這就誕生了網(wǎng)閘技術(shù)。

網(wǎng)閘全稱安全隔離網(wǎng)閘。安全隔離網(wǎng)閘是一種帶有多種控制功能的專用硬件，在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接，并能夠在網(wǎng)絡(luò)間進(jìn)行安全適度的應(yīng)用數(shù)據(jù)交換。通用的網(wǎng)閘模型一般分三個(gè)基本部分：內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元、隔離與交換控制單元。如下圖：

數(shù)據(jù)交換區(qū)就是數(shù)據(jù)交換中的擺渡船，數(shù)據(jù)交換區(qū)與內(nèi)外網(wǎng)在任意時(shí)刻都不同時(shí)連接，實(shí)現(xiàn)物理隔離。網(wǎng)閘直接處理網(wǎng)絡(luò)間的應(yīng)用層數(shù)據(jù)，利用存儲轉(zhuǎn)發(fā)的方法進(jìn)行應(yīng)用數(shù)據(jù)的交換，在交換的同時(shí)，對數(shù)據(jù)進(jìn)行的各種安全檢查。

下面以網(wǎng)御星云網(wǎng)閘為例，談?wù)劸W(wǎng)閘產(chǎn)品在內(nèi)外網(wǎng)隔離中的具體應(yīng)用。

網(wǎng)御星云網(wǎng)閘基于“2+1”系統(tǒng)架構(gòu)，面板網(wǎng)絡(luò)接口分為兩排，上面一排為內(nèi)網(wǎng)接口，下面一排為外網(wǎng)接口。

一、部署方式：

內(nèi)網(wǎng)與外網(wǎng)在不同網(wǎng)段，網(wǎng)閘在其中起到隔離和路由的作用。服務(wù)器部署在內(nèi)網(wǎng)，其他終端電腦通過網(wǎng)閘訪問服務(wù)器，網(wǎng)絡(luò)拓?fù)淙缦聢D。

二、配置要求：

外網(wǎng)客戶端PC與內(nèi)網(wǎng)服務(wù)器192.168.1.200的22334號TCP端口通信。要達(dá)到通過訪問網(wǎng)閘外網(wǎng)業(yè)務(wù)口22334端口實(shí)現(xiàn)訪問內(nèi)網(wǎng)服務(wù)器22334端口的效果。

三、配置流程：

首先保證外網(wǎng)客戶端PC到網(wǎng)閘外網(wǎng)業(yè)務(wù)口能通，網(wǎng)閘內(nèi)網(wǎng)業(yè)務(wù)口到內(nèi)網(wǎng)服務(wù)器能通；配置內(nèi)網(wǎng)-定制訪問-服務(wù)端配置；配置外網(wǎng)-定制訪問-客戶端配置。

四、配置步驟：

（1）登錄網(wǎng)閘內(nèi)網(wǎng)管理系統(tǒng)，網(wǎng)閘服務(wù)端任務(wù)配置：服務(wù)端-定制訪問-TCP訪問，輸入服務(wù)端任務(wù)號（注意定制訪問TCP任務(wù)號必須唯一）。

（2）登錄網(wǎng)閘外網(wǎng)管理系統(tǒng)，網(wǎng)閘客戶端任務(wù)配置：客戶端-定制訪問-TCP普通訪問，輸入服務(wù)端任務(wù)號（注意：必須和服務(wù)端保持一致）。

這樣，外網(wǎng)客戶端PC就可以通過訪問網(wǎng)閘外網(wǎng)業(yè)務(wù)口10.1.5.254的22334端口來訪問內(nèi)網(wǎng)服務(wù)器192.168.1.200的22334端口。同樣，內(nèi)網(wǎng)PC客戶端要訪問外網(wǎng)服務(wù)器，只要將外網(wǎng)服務(wù)器設(shè)置為服務(wù)端，內(nèi)網(wǎng)設(shè)置成客戶端，訪問內(nèi)網(wǎng)業(yè)務(wù)口192.168.1.1即可實(shí)現(xiàn)。

以上就是網(wǎng)閘設(shè)備在內(nèi)外網(wǎng)隔離中的簡單應(yīng)用，這樣既保證了內(nèi)外網(wǎng)的安全隔離，又能夠?qū)崿F(xiàn)內(nèi)外網(wǎng)實(shí)時(shí)、高速的數(shù)據(jù)交換，提高了工作效率。endprint