2022年通过网闸技术实现内外网隔离 .pdf

《2022年通过网闸技术实现内外网隔离 .pdf》由会员分享，可在线阅读，更多相关《2022年通过网闸技术实现内外网隔离 .pdf（9页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网闸技术构建内外网一体化门户一、序言近年来，随着我国信息化建设步伐的加快，“电子政务”应运而生，并以前所未有的速度发展。 电子政务体现在社会生活的各个方面：工商注册申报、 网上报税、网上报关、基金项目申报等等。电子政务与国家和个人的利益密切相关，在我国电子政务系统建设中， 外部网络连接着广大民众， 内部网络连接着政府公务员桌面办公系统，专网连接着各级政府的信息系统，在外网、内网、专网之间交换信息是基本要求。 如何在保证内网和专网资源安全的前提下，实现从民众到政府的网络畅通、 资源共享、方便快捷是电子政务系统建设中必须解决的技术问题。一般采取的方法是在内网与外网之间实行防火墙的逻辑隔离，在内网与

2、专网之间实行物理隔离。 本文将介绍大汉网络公司基于网闸技术构建内外网一体化门户的案例。二、网闸的概述1、网闸的定义物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议 “摆渡”， 且对固态存储介质只有 “读”和“写”两个命令。所以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接， 使“黑客“无法入侵、无法攻击、无法破坏，实现了真正的安全。2、网闸的组成网闸模型设计一般分三个基本部分组成：内网处理

3、单元：包括内网接口单元与内网数据缓冲区。外网处理单元：与内网处理单元功能相同，但处理的是外网连接。隔离与交换控制控制单元： 是网闸隔离控制的摆渡控制，控制交换通道的开启与关闭。3、网闸的主要功能阻断网络的直接物理连接和逻辑连接数据传输机制的不可编程性安全审查名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 9 页 - - - - - - - - - 原始数据无危害性管理和控制功能根据需要提供定制安全策略和传输策略的功能支持定时 / 实时文件交换支持 Web方式支持数据库同步

4、三、政府网络中物理隔离技术的应用1、我国网络信息安全现状随着政府上网、海关上网、电子商务等一系列网络应用的蓬勃发展，Internet 正在逐渐融入到社会的各个方面。安全保障能力是新世纪一个国家综合国力、经济竞争实力和生存能力的重要组成部分。这个问题解决不好， 将全方位地危及我国的政治、军事、经济、文化、社会生活的各个方面，使国家处于信息战和高度经济金融风险的威胁之中。在政府网络中， 内部网络上有着大量高度机密的数据和信息，网络安全是放在首位的。 如果网络安全得不到保证， 那么将会给国家、 社会及网络用户带来严重威胁，可能造成政治、 经济等各方面的巨大损失。 在政府工作不断地实现信息化、高效便捷

5、的同时，安全保护成了亟待解决的问题。2、现有的网络安全解决方案面对网络安全的威胁，现在常用的安全防护方法主要有：软件解决方案现在正在广泛应用的是许多复杂的软件及部分硬件技术，如用防火墙、 代理服务器、入侵探测器、通道控制等手段来降低来自Internet的危险。法规和行政命令法规和行政命令对安全工作是绝对必须的，严格的工作纪律是安全防护的重要保证。物理隔离方案采用硬件物理隔离方案， 即将内部涉密网与外部网彻底地物理隔离开，没有任何线路连接。这样可以保证网上黑客无法连接内部涉密网，具有极高的安全性。3、物理隔离解决方案在政府网络中的应用名师资料总结 - - -精品资料欢迎下载 - - - - -

6、- - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 9 页 - - - - - - - - - 涉密网与非涉密网之间：局域网与互联网之间（内网与外网之间）：在政府办公网络的局域网络中， 涉及政府敏感信息， 有时需要与互联网在物理上断开，用物理隔离网闸是一个最常用的办法。办公网与业务网之间：由于许多政府的办公网络与业务网络的信息敏感程度不同，例如，地税、国税局的办公网络和税收业务网络就是很典型的信息敏感程度不同的两类网络。为了提高工作效率， 办公网络有时需要与业务网络交换信息。为解决业务网络的安全，比较好的办法就是在办公网与业务网之间使用

7、物理隔离网闸，实现两类网络的物理隔离。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 9 页 - - - - - - - - - 电子政务的内网与专网之间：在电子政务系统建设中要求政府内网与外网之间用逻辑隔离，在政府专网与内网之间用物理隔离。现常用的方法是用物理隔离网闸来实现。四、网闸技术构建政府内外网门户网站1、政府门户内外网统一需求简述名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - -

8、 - - - - - 第 4 页，共 9 页 - - - - - - - - - 内网的功能概述：政府与企业将内部公务内网定位为企业或政府内部工作网，与其它网络物理隔离， 传输不涉及国家秘密或企业商业机密的内部信息。根据国家涉密应用需求和与机要网的协调情况，以及内网加密设施的完善程度等方面的情况, 一定程度上界定是否将内部机密信息在内网上传输。外网的功能概述：外网定位为国家机关或企事业单位对社会公众与商业机构服务的业务网， 与互联网通过网络安全系统逻辑相连。国家机构或企业以门户网站为外网形式在互联网上运行， 并且要采取必需的安全防护措施。门户网站办事栏目，主要体现政府或企事业单位各个职能部门的

9、网络窗口并负责建设和维护，逐步形成一个统一网络信息体系。内外网统一的目的： 外网和内网物理断开，政府用户通过外部网站的申请、表格无法传输到内网的申批系统中来，给门户网站的服务带来了很大的局限性，使网站无法给政府用户带来方便、快捷的服务。同时外部网站无法从政府内网中获取数据，需要的数据无法共享给外部。统一的内外网平台， 可以提供数据交换和整合功能，支持跨平台操作， 支持各种不同数据库，实现数据的实时获取、转换、传输、交换、整合等，实现信息资源共享。同时，通过统一出口， 方便与社会各界、 企业、个人等实现数据交换；通过网闸的信息交换功能可以让政府门户内外网达到统一的需求目的。2、网闸技术实现内外网

10、信息交换物理隔离网闸既然隔离、 阻断了网络的所有连接， 实际上就是隔离、 阻断了网络的连通。网络被隔离、阻断后，两个独立主机系统之间如何进行信息交换？在互联网时代以前，信息照样进行交换，如数据文件复制（拷贝）、数据摆渡，数据镜像，数据反射等等，物理隔离网闸就是使用数据“摆渡”的方式实现两个网络之间的信息交换。网络的外部主机系统通过物理隔离网闸与网络的内部主机系统“连接”起来，物理隔离网闸将外部主机的TCP/IP 协议全部剥离，将原始数据通过存储介质，以“摆渡”的方式导入到内部主机系统，实现信息的交换。物理隔离网闸的原始数据“摆渡”机制是原始数据通过存储介质的存储（写入）和转发（读出）。名师资料

11、总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 9 页 - - - - - - - - - 物理隔离网闸在网络的第七层将数据还原为原始数据文件，然后以“摆渡文件”的形式来传递原始数据。任何形式的数据包、信息传输命令和TCP/IP 协议都不可能穿透物理隔离网闸。当内网与外网之间无信息交换时，物理隔离网闸与内网， 物理隔离网闸与外网，内网与外网之间是完全断开的，即三者之间不存在物理连接和逻辑连接，如图 1 所示。当内网数据需要传输到外网时， 物理隔离网闸主动向内网服务器数据交换代理发

12、起非 TCP/IP 协议的数据连接请求， 并发出“写”命令，将写入开关合上，并把所有的协议剥离， 将原始数据写入存储介质。 在此过程中， 外网服务器与物理隔离网闸始终处于断开状态。一旦数据完全写入物理隔离网闸的存储介质，开关立即打开， 中断与内网的连接。转而发起对外网的非TCP/IP 协议的数据连接请求，当外网服务器收到请求后，发出 “读取”命令，将物理隔离网闸存储介质内的数据导向外网服务器。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 9 页 - - - - - -

13、- - - 外网服务器收到数据后， 按 TCP/IP 协议重新封装接收到的数据， 交给应用系统，完成了内网到外网的信息交换。详见图3 所示。至于从外网到内网的信息交换，与上述类似，只是方向相反。由上不难看出： 每一次数据交换， 物理隔离网闸都经历了数据的写入、数据读出两个过程； 内网与外网永不连接； 内网和外网在同一时刻最多只有一个同物理隔离网闸建立非TCP/IP 协议的数据连接。3、网闸技术构建内外网统一门户的案例项目案例背景项目为 XX省 XX局的的内外门户平台省级集中建设和改造。主要的关键点如下：1）内外门户平台建设包括内部网站和外部网站，两网站之间物理隔离。内部网站定位为综合办公平台，

14、 外部网站定位为业务服务平台。 项目内外网站的管理维护工作将在同一套网站管理系统下运行，除实时交互类内容外， 其它全部的管理维护工作都在内部网络环境里完成，数据能够同步到外部网站， 同时要保证安全的最大化。2）针对网络内外物理隔离的实际，借鉴我们为其它政务网站解决物理隔离和维护工作量矛盾的成功经验， 制定了成熟而合理的解决方案。 在此项目中内容管理及数据库服务器采用集群方式确保系统高可用性和可靠性；外网网站的静态发布文件通过内网前置机上的网闸同步软件发送到外网的前置机，再转发至外网WEB 服务器；外网网站的数据库也由网闸的数据库同步软件实时把内网的数据库同步到外网来，实时交互类的除外。名师资料

15、总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 9 页 - - - - - - - - - 网络拓扑结构项目应用部署内网服务器共 9 台，1 台网闸前置机，两台数据库及两台应用制作服务器分别做了集群，都将数据文件存放在磁盘阵列上。内网所有服务器都采用的是RedHat AS4 的操作系统。外网服务器共 10 台，1 台网闸前置机，数据库、防篡改等不被直接访问的服务器放在外网的安全区内，网站WEB 、互动及应用模块需要供外部访问的服务器都放在 DMZ 区，外网 DMZ 区与安全区内设

16、有防火墙保证了一定的安全性。内外网的前置机操作系统都为WINDOWS 2003 SERVER，并安装了网闸提供的文件同步及数据库同步软件。技术实现步骤此项目硬件环境较复杂，内网服务器8 台，外网服务器 10 台，内外网网闸前置机各 1 台，网闸 2 台（一台作为冷备），内网建设环境在内部局域网中相对较安全，所以只在与内部局域网连接设立防火墙即可，并有入侵检测和病毒防护等防护措施。 外网环境相对较复杂， 数据库、防篡改等不被直接访问的服务器放在外网的安全区内，网站WEB 、互动及应用模块需要供外部访问的服务器都放在名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - -

17、- - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 9 页 - - - - - - - - - DMZ 区，外网 DMZ 区与安全区内设有防火墙保证了一定的安全性。网闸设备就在外网与内网之间， 内外两段分别连接内外网络， 当有信息交换时通过网闸中间段将内或外部需要传输的信息发送到另一端。外网与内网的门户网站都在内网的内容管理平台统一进行管理，内容管理制作服务器将外部网站的网页静态文件打包压缩发送至内网的网闸前置机，再由内网前置机通过网闸的文件同步软件，将文件发送至外网的网闸前置机，最终由网闸前置机把文件传送到WEB 服务器，其中间传输的文件都为经程序打包压

18、缩成的PKG 包，即传输的过程中保证了文件的安全性。外网的数据库也同样通过内网前置机设置了数据库同步通道，网闸的数据库同步软件在内外网的数据库中分别设置了“增加”、“删除”、“更新”的触发器，当对数据库执行相应操作时， 触发器会把数据库执行的操作作为命令方式传输通过网闸， 再到另一端的数据库中执行相应的命令操作，有效的保证了数据库的准确性与实时性。不论是从内向外，还是从外向内，文件同步与数据库同步的方式都是一样的，但需要遵循两点条件： 一、文件同步需要支持一对多和多对一的多层文件夹同步模式；二、数据库同步需要支持可设置到数据库中具体的某一张表的某一个字段同步。由于网闸的同步毕竟还是物理隔离的，

19、对安全性有了很大的保障， 但同时也就不能要求太高的实时性了。五、结束语政府网络安全是国家网络安全的基石，也是针对未来的信息战来加强国防建设的重要基础。 对于政府部门来说， 就需要对网络中需保护的信息和数据进行详细的经济性评估， 决定投资强度。 利用有效的网络安全设备， 从而保证政府网络的安全性是目前最为有效的一种手段，也是构建新时代网络环境的必备条件。展望未来的网络发展趋势， 我们都需要提前做好准备。 学习新技能， 应用新技术，是我们最愿意也是最擅长做的事情，秉承我们多年来对政府门户构建的经验，我们已让网闸技术较好的为政府部门提供安全保障，并时刻都在关注着它的发展，将与网络新时代共成长。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 9 页 - - - - - - - - -