内外网双网隔离方案浅析.docx

檵檵檵檵檵檵檵檵檵计 算 机 应 用檵檵檵檵檵檵檵檵檵内 外 网 双 网 隔 离 方 案 浅 析纪 兆 琳( 大连机车研究所有限公司，辽宁 大连 116021)摘要: 随着我国网络基础设施和应用建设的逐步完善，网络与信息安全问题日益突出，对目前比较常见的内外网双网隔离技术进行分析，为今后内外网隔离工作的开展提供参考。关键词: 内外网; 物理隔离; 隔离卡; 虚拟桌面中图分类号:TP309． 2文献标识码: B文章编号:1003-1820( 2011) 09-0032-03展而逐渐成熟完善的，目前主要采用的隔离技术有以下 5 种方案。2． 1完全的物理隔离建设两个独立的网络，一个是内部网络，用 于 存储、处理、传输 涉 密 信 息; 一个是外部网络，与 互联网相连。两个网络之间如果需要数据交换，则采用人工操作( 移动硬盘、磁带等) 的方式。该方案内部网络和外部网络为两套网络，采用 完全独立的设备、存储和线路来访问不同的网络，做到了完全的物理 隔 离。但是这种隔离技术使得 网络处于信息孤岛状态，若想从互联网获取信息则 需要另一台能够连接互联网的电脑，如此两套网络和系统不仅造成信息交流的不便和成本的提高，同时也给维护和使用带来了极大的不便。随着无线技术的发展，完全的物理隔离有了新 的技术方案，即有线网加无线网双网布置方案。内网采用有线网络形成一定范围的局域网，外网采用无线网络连接到互联网。对于既有网络，这种方案 还是具有明显优势的，一是无线网络能够减少大量的布线工程，对现有系统改变最小; 二是节省成本，相对于有线网络较高的原材料和人工成本，采用无 线网络能够节省大量资金。1前言随着互联网技术的飞速发展，信息产业发展速度不断升级，大大提高了我们的工作效率，但 在 给我们带来极大便利的同时也带来了严重的安全问 题，尤其是病毒破坏、黑客入侵，甚至系统内部的泄 密，给企业和个人造成的危害越来越大。尽管我们 正在广泛地使用各种复杂的软件技术，如 防 火 墙、 代理服务器、入侵检测器、通道控制机制，来提高系 统的安全性和抗攻击能力，但是由于这些技术大多 都是基于软件的保 护，是一种逻辑机制，这 对 于 逻 辑实体( 黑客或内部用户) 而 言 是 可 能 被 操 纵 的， 无法满足政府、企业等部门对数据安全的要求。2解决方案网络的安全风险主要存在于以下 3 个方面: 应用层、网络层 和 物 理 层。其 中，基于物理层的攻击 较少，基于网络层的 攻 击 较 多，而基于应用层的攻 击最多。因此，物理隔离措施是一个最有效、彻底、 安全的解决方案。网络隔离技术的发展是跟随互联网技术的发 2． 2硬件隔离卡隔离在客户端增加一块隔离卡，客户端硬盘或其他收稿日期: 2011-05-16作者简介: 纪兆琳 ( 1978—) ，男，辽宁盘锦人，工程师。存储设备首先连接 到 该 卡，然后再转接到主板上，第 9 期( 总第 451 期)纪兆琳: 内外网双网隔离方案浅析33且对于既有网络，采用该方案还需要对每一台终端重新安装硬件和操作系统，对于终端较多的企业来 说，工作量非常大。通过该卡能控制客户端硬盘或其他存储设备。在选择不同 的 硬 盘 ( 或 分 区) 时，同 时 选 择 了 该 卡 上 不同的网络接口，连接到不同的网络。因为隔离卡 通过选择 不 同 硬 盘 ( 或 分 区) 连 接 到 不 同 网 络，所 以也被称为硬盘隔离技术。根据其工作环境和工作介质的不同，硬件隔离 卡大致可以分为单硬盘隔离卡和双硬盘隔离卡两 种。单硬盘隔离卡是针对只有一块硬盘的计算机 设计的，客户端只需增加一块隔离卡，将 存 储 器 通 过隔离卡连接到主板，网卡也通过隔离卡引出两个 网络接口。它把一台普通的计算机分隔成两台虚 拟计算机，分别拥有独立的磁盘空间，分 别 对 应 内 外网，使两个网络间实现物 理 隔 离，见 图 1。各 网 络间没有物理连接途径，从而实现环境间的绝对隔 离，满足用户对数据安全和获取信息的多重要求， 保护信息及机密数 据 免 受 威 胁。单硬盘隔离方案 具有最大限度节约 软 硬 件 资 源、切换方便等特点， 此外，它还可以存在一个数据共享区，以 方 便 用 户 进行内外网文件传输。2． 3安全隔离选择器方案在硬件隔离卡的基础上加上隔离选择器，借助隔离选择器在不增加布线的情况下，利用现有的网络布线实现双网物理隔离，见图 2。隔离选择器是 一个类似于集线器的多路开关切换设备，在隔离选 择器和隔离卡之间 进 行 通 讯。它只采用一个网络 接口，通过网线将不同的网络选择信号传递到隔离 选择器，根据不同的 选 择 信 号，选择不同的网络连 接。当用户处于内网状态时，这条网线固定传送内 网信息，与外网是物 理 隔 离 的; 当用户切换到外网 状态时，这