通过网闸技术实现内外网隔离.docx

上传人:b****9 文档编号:24954643 上传时间:2023-06-03 格式:DOCX 页数:10 大小:202.34KB
下载 相关 举报
通过网闸技术实现内外网隔离.docx_第1页
第1页 / 共10页
通过网闸技术实现内外网隔离.docx_第2页
第2页 / 共10页
通过网闸技术实现内外网隔离.docx_第3页
第3页 / 共10页
通过网闸技术实现内外网隔离.docx_第4页
第4页 / 共10页
通过网闸技术实现内外网隔离.docx_第5页
第5页 / 共10页
点击查看更多>>
下载资源
资源描述

通过网闸技术实现内外网隔离.docx

《通过网闸技术实现内外网隔离.docx》由会员分享,可在线阅读,更多相关《通过网闸技术实现内外网隔离.docx(10页珍藏版)》请在冰豆网上搜索。

通过网闸技术实现内外网隔离.docx

通过网闸技术实现内外网隔离

网闸技术构建外网一体化门户

一、序言

近年来,随着我国信息化建设步伐的加快,“电子政务”应运而生,并以前所未有的速度发展。

电子政务体现在社会生活的各个方面:

工商注册申报、网上报税、网上报关、基金项目申报等等。

电子政务与国家和个人的利益密切相关,在我国电子政务系统建设中,外部网络连接着广大民众,部网络连接着政府公务员桌面办公系统,专网连接着各级政府的信息系统,在外网、网、专网之间交换信息是基本要求。

如何在保证网和专网资源安全的前提下,实现从民众到政府的网络畅通、资源共享、方便快捷是电子政务系统建设中必须解决的技术问题。

一般采取的方法是在网与外网之间实行防火墙的逻辑隔离,在网与专网之间实行物理隔离。

本文将介绍大汉网络公司基于网闸技术构建外网一体化门户的案例。

二、网闸的概述

1、网闸的定义

物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。

由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。

所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客“无法入侵、无法攻击、无法破坏,实现了真正的安全。

2、网闸的组成

  网闸模型设计一般分三个基本部分组成:

  ·网处理单元:

包括网接口单元与网数据缓冲区。

  ·外网处理单元:

与网处理单元功能相同,但处理的是外网连接。

  ·隔离与交换控制控制单元:

是网闸隔离控制的摆渡控制,控制交换通道的开启与关闭。

3、网闸的主要功能

 ∙·阻断网络的直接物理连接和逻辑连接

 ∙·数据传输机制的不可编程性

 ∙·安全审查

 ∙·原始数据无危害性

 ∙·管理和控制功能

 ∙·根据需要提供定制安全策略和传输策略的功能

 ∙·支持定时/实时文件交换

 ∙·支持Web方式

 ∙·支持数据库同步

三、政府网络中物理隔离技术的应用

1、我国网络信息安全现状

随着政府上网、海关上网、电子商务等一系列网络应用的蓬勃发展,Internet正在逐渐融入到社会的各个方面。

安全保障能力是新世纪一个国家综合国力、经济竞争实力和生存能力的重要组成部分。

这个问题解决不好,将全方位地危及我国的政治、军事、经济、文化、社会生活的各个方面,使国家处于信息战和高度经济金融风险的威胁之中。

在政府网络中,部网络上有着大量高度的数据和信息,网络安全是放在首位的。

如果网络安全得不到保证,那么将会给国家、社会及网络用户带来严重威胁,可能造成政治、经济等各方面的巨大损失。

在政府工作不断地实现信息化、高效便捷的同时,安全保护成了亟待解决的问题。

2、现有的网络安全解决方案

面对网络安全的威胁,现在常用的安全防护方法主要有:

软件解决方案

现在正在广泛应用的是许多复杂的软件及部分硬件技术,如用防火墙、代理服务器、入侵探测器、通道控制等手段来降低来自Internet的危险。

法规和行政命令

法规和行政命令对安全工作是绝对必须的,严格的工作纪律是安全防护的重要保证。

物理隔离方案

采用硬件物理隔离方案,即将部涉密网与外部网彻底地物理隔离开,没有任何线路连接。

这样可以保证网上黑客无法连接部涉密网,具有极高的安全性。

3、物理隔离解决方案在政府网络中的应用

涉密网与非涉密网之间:

局域网与互联网之间(网与外网之间):

在政府办公网络的局域网络中,涉及政府敏感信息,有时需要与互联网在物理上断开,用物理隔离网闸是一个最常用的办法。

办公网与业务网之间:

由于许多政府的办公网络与业务网络的信息敏感程度不同,例如,地税、国税局的办公网络和税收业务网络就是很典型的信息敏感程度不同的两类网络。

为了提高工作效率,办公网络有时需要与业务网络交换信息。

为解决业务网络的安全,比较好的办法就是在办公网与业务网之间使用物理隔离网闸,实现两类网络的物理隔离。

电子政务的网与专网之间:

在电子政务系统建设中要求政府网与外网之间用逻辑隔离,在政府专网与网之间用物理隔离。

现常用的方法是用物理隔离网闸来实现。

四、网闸技术构建政府外网门户

1、政府门户外网统一需求简述

网的功能概述:

政府与企业将部公务网定位为企业或政府部工作网,与其它网络物理隔离,传输不涉及国家秘密或企业商业的部信息。

根据国家涉密应用需求和与机要网的协调情况,以及网加密设施的完善程度等方面的情况,一定程度上界定是否将部信息在网上传输。

外网的功能概述:

外网定位为国家机关或企事业单位对社会公众与商业机构服务的业务网,与互联网通过网络安全系统逻辑相连。

国家机构或企业以门户为外网形式在互联网上运行,并且要采取必需的安全防护措施。

门户办事栏目,主要体现政府或企事业单位各个职能部门的网络窗口并负责建设和维护,逐步形成一个统一网络信息体系。

外网统一的目的:

外网和网物理断开,政府用户通过外部的申请、表格无法传输到网的申批系统中来,给门户的服务带来了很大的局限性,使无法给政府用户带来方便、快捷的服务。

同时外部无法从政府网中获取数据,需要的数据无法共享给外部。

统一的外网平台,可以提供数据交换和整合功能,支持跨平台操作,支持各种不同数据库,实现数据的实时获取、转换、传输、交换、整合等,实现信息资源共享。

同时,通过统一出口,方便与社会各界、企业、个人等实现数据交换;通过网闸的信息交换功能可以让政府门户外网达到统一的需求目的。

2、网闸技术实现外网信息交换

     物理隔离网闸既然隔离、阻断了网络的所有连接,实际上就是隔离、阻断了网络的连通。

网络被隔离、阻断后,两个独立主机系统之间如何进行信息交换?

在互联网时代以前,信息照样进行交换,如数据文件复制(拷贝)、数据摆渡,数据镜像,数据反射等等,物理隔离网闸就是使用数据“摆渡”的方式实现两个网络之间的信息交换。

     网络的外部主机系统通过物理隔离网闸与网络的部主机系统“连接”起来,物理隔离网闸将外部主机的TCP/IP协议全部剥离,将原始数据通过存储介质,以“摆渡”的方式导入到部主机系统,实现信息的交换。

物理隔离网闸的原始数据“摆渡”机制是原始数据通过存储介质的存储(写入)和转发(读出)。

     物理隔离网闸在网络的第七层将数据还原为原始数据文件,然后以“摆渡文件”的形式来传递原始数据。

任何形式的数据包、信息传输命令和TCP/IP协议都不可能穿透物理隔离网闸。

当网与外网之间无信息交换时,物理隔离网闸与网,物理隔离网闸与外网,网与外网之间是完全断开的,即三者之间不存在物理连接和逻辑连接,如图1所示。

     当网数据需要传输到外网时,物理隔离网闸主动向网服务器数据交换代理发起非TCP/IP协议的数据连接请求,并发出“写”命令,将写入开关合上,并把所有的协议剥离,将原始数据写入存储介质。

在此过程中,外网服务器与物理隔离网闸始终处于断开状态。

     一旦数据完全写入物理隔离网闸的存储介质,开关立即打开,中断与网的连接。

转而发起对外网的非TCP/IP协议的数据连接请求,当外网服务器收到请求后,发出“读取”命令,将物理隔离网闸存储介质的数据导向外网服务器。

外网服务器收到数据后,按TCP/IP协议重新封装接收到的数据,交给应用系统,完成了网到外网的信息交换。

详见图3所示。

     至于从外网到网的信息交换,与上述类似,只是方向相反。

     由上不难看出:

每一次数据交换,物理隔离网闸都经历了数据的写入、数据读出两个过程;网与外网永不连接;网和外网在同一时刻最多只有一个同物理隔离网闸建立非TCP/IP协议的数据连接。

3、网闸技术构建外网统一门户的案例

项目案例背景

项目为XX省XX局的的外门户平台省级集中建设和改造。

主要的关键点如下:

1)外门户平台建设包括部和外部,两之间物理隔离。

部定位为综合办公平台,外部定位为业务服务平台。

项目外的管理维护工作将在同一套管理系统下运行,除实时交互类容外,其它全部的管理维护工作都在部网络环境里完成,数据能够同步到外部,同时要保证安全的最大化。

2)针对网络外物理隔离的实际,借鉴我们为其它政务解决物理隔离和维护工作量矛盾的成功经验,制定了成熟而合理的解决方案。

在此项目中容管理及数据库服务器采用集群方式确保系统高可用性和可靠性;外网的静态发布文件通过网前置机上的网闸同步软件发送到外网的前置机,再转发至外网WEB服务器;外网的数据库也由网闸的数据库同步软件实时把网的数据库同步到外网来,实时交互类的除外。

网络拓扑结构

项目应用部署

网服务器共9台,1台网闸前置机,两台数据库及两台应用制作服务器分别做了集群,都将数据文件存放在磁盘阵列上。

网所有服务器都采用的是RedHatAS4的操作系统。

外网服务器共10台,1台网闸前置机,数据库、防篡改等不被直接访问的服务器放在外网的安全区,WEB、互动及应用模块需要供外部访问的服务器都放在DMZ区,外网DMZ区与安全区设有防火墙保证了一定的安全性。

外网的前置机操作系统都为WINDOWS2003SERVER,并安装了网闸提供的文件同步及数据库同步软件。

技术实现步骤

此项目硬件环境较复杂,网服务器8台,外网服务器10台,外网网闸前置机各1台,网闸2台(一台作为冷备),网建设环境在部局域网中相对较安全,所以只在与部局域网连接设立防火墙即可,并有入侵检测和病毒防护等防护措施。

外网环境相对较复杂,数据库、防篡改等不被直接访问的服务器放在外网的安全区,WEB、互动及应用模块需要供外部访问的服务器都放在DMZ区,外网DMZ区与安全区设有防火墙保证了一定的安全性。

网闸设备就在外网与网之间,外两段分别连接外网络,当有信息交换时通过网闸中间段将或外部需要传输的信息发送到另一端。

外网与网的门户都在网的容管理平台统一进行管理,容管理制作服务器将外部的网页静态文件打包压缩发送至网的网闸前置机,再由网前置机通过网闸的文件同步软件,将文件发送至外网的网闸前置机,最终由网闸前置机把文件传送到WEB服务器,其中间传输的文件都为经程序打包压缩成的PKG包,即传输的过程中保证了文件的安全性。

外网的数据库也同样通过网前置机设置了数据库同步通道,网闸的数据库同步软件在外网的数据库中分别设置了“增加”、“删除”、“更新”的触发器,当对数据库执行相应操作时,触发器会把数据库执行的操作作为命令方式传输通过网闸,再到另一端的数据库中执行相应的命令操作,有效的保证了数据库的准确性与实时性。

不论是从向外,还是从外向,文件同步与数据库同步的方式都是一样的,但需要遵循两点条件:

一、文件同步需要支持一对多和多对一的多层文件夹同步模式;二、数据库同步需要支持可设置到数据库中具体的某一表的某一个字段同步。

由于网闸的同步毕竟还是物理隔离的,对安全性有了很大的保障,但同时也就不能要求太高的实时性了。

五、结束语

政府网络安全是国家网络安全的基石,也是针对未来的信息战来加强国防建设的重要基础。

对于政府部门来说,就需要对网络中需保护的信息和数据进行详细的经济性评估,决定投资强度。

利用有效的网络安全设备,从而保证政府网络的安全性是目前最为有效的一种手段,也是构建新时代网络环境的必备条件。

展望未来的网络发展趋势,我们都需要提前做好准备。

学习新技能,应用新技术,是我们最愿意也是最擅长做的事情,秉承我们多年来对政府门户构建的经验,我们已让网闸技术较好的为政府部门提供安全保障,并时刻都在关注着它的发展,将与网络新时代共成长。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 初中教育 > 理化生

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1