网络隔离安全接入技术.doc

网络隔离边界安全接入技术 时间：2010-10-12 14:59:07 来源:作者： 随着互联网与网络技术的不断发展与越来越广泛深入的丿应用，以及网络建设的复杂化, 网络边界安全与边界接入越来越成为企业亟待解决的问题。 近年来，针对边界安全，国家各部门均制定过了制度和文件，如，公安部制定的 等级保护的制度，必威体育官网网址局制定的分级保护标准，屮国移动的安全域项目，电力行业的双网隔 离要求等等，这些都是跟边界安全撇不开关系的。而在边界安全的项目屮，会应用到网络隔 离技术，一般情况下，而边界隔离往往乂阻碍了边界接入带来的便捷性的发展，相反更增加 日常工作的负担。 这里说一说目前应用较多的网络隔离边界安全的设备，网闸、防火墙、VPN、UTM 寺寺0 网闸 首先我们说说网闸，说得通俗点，网闸就是采用双网络接口加开关机制，和外网 通信时与内网的网络接口断开，来保证内网不暴露在外网；当需要的数据从外网上下载到内 网，然后和内网通讯时，外网的网络接口断开，但这个产品是因政府的要求内外网必须物理 隔离带来的具有屮国社会主义特色的产品，网闸在内外网Z间扮演着一种类似“信息渡船” 的作用，网闸的木质也是逻辑隔离，更关健的是网闸的部署首先带来的就是牺牲网络性能, 而不似防火墙能够保持比较良好的通信实时性。 防火墙与UTM 接下来我们谈谈防火墙与UTM, UTM我们可以简单的理解为，UTM是由入侵检 测、防病毒、防火墙三个功能模块组合而成的一个产品， 不管是防火墙还是UTM,利用ACL+ NAT的技术是可以很好的解决边界隔离与边 界接入的问题的，不过很显然，这种技术是基于TCP/1 P传输层和网络层的，很好的保障了 传输层和网络层的安全，但对于应用层却是无能为力的，新型的UTM的入侵检测模块有部 份应用层的功能，但其大部份还是对传输层的支持，且入侵检测模块对应用层的功能是属于 检测和告警机制的支持，而对应用层的入侵阻断的支持是比较有限的，而对于应用层的一些 业务，如应用发布、远稈交互是没有这些功能的，这就使得外部用户对内部资源的访问不能 提供一个便捷而安全的途径。 VPN 接下来我们再谈谈VPN设备，首先一般的防火墙和UTM是有VPN模块的，但随 着VPN技术越来越广泛的应用，专业的VPN设备也随Z而生了。首先来讲，专业的VPN 设备解决了防火墙和UTM在应用发布和远程交互的无能为力的局血。且VPN在传输屮采 用的加密通道，安全性也是比校好的，但VPN对应用发布的支持的力度还是非常欠缺的， 一般的B/S的应用VPN是支持的，但支持不了 B/S应用的代理登陆认证过程，对一些应 用，如Outlook. SMB文件共享也能够提供支持，而对广泛的C/S应用却支持不了，当 然有些VPN厂商可以通过定制开发的形式对一些特殊的C/S应用提供有限支持，但因为 VPN技术的局限性，这种开发成木是非常大的，而且耗时也会超出一般企业的可承受范围。 那有什么产品既可以完美的解决边界接入的安全问题又能支持边界接入Z后对应 用发布和远稈交互的跨网访问广泛支持度呢，答案是肯定的，深圳沟通科技必威体育精装版研制的安全 接入保垒机就当仁不让的扛起了这血大旗。 沟通科技安全接入堡垒机方案拓扑图 用户在低安全域环境下把键盘和鼠标指令信息通过沟通安全接入堡垒机上行到高 安全域应用服务器，高安全域的屏幕变化信息下行到低安全域，但禁止其它实体数据信息流 在两个安全域Z间直接交换;由于没有其它实体信息流在两个安全域Z间直接交换,因此， 低安全域的键鼠指令信息，不会直接破坏高安全域的完報性，高安全域的高密级实体数据信 息也不会泄漏到低安全域。 沟通科技安全接入堡垒机产品原理 采用虚拟化技术分离应用的表现与计算，实现虚拟应用交互、木地化应用体验， 客户端与服务器之间只传递键盘、鼠标和荧屏变化等交互信息，没有实际的业务数据流到客 户端，客户端看到的只是服务器上应用运行的显示映像，避免跨域传输实体数据，从而提升 跨域访问的安全性。 实体静态数据传输建立专属文件安全传输通道，涉及静态文件跨安全域上传和下 载，先通过网闸或其他数据同步传输设备从低安全域同步到高安全域，静态数据经过安全摆 渡，避免由于上传静态文件携带病毒威胁高安全域的网络或数据安全。 沟通科技安全接入堡垒机方案技术特点 1 ?跨域安全访问保障 沟通科技安全接入堡垒机方案基于可信路径(TrustedPath)技术、强制访问控制 技术、高等级的保障技术，是一种可证明的安全技术 文件安全传输通道 在移动办公访问相关应用系统的时候，会涉及到把本地的文件传到应用系统屮，比 如发送邮件的时候,需要带上附件，鉴于安全考虑,必须对上传的文件进行相关的审核，针对这 一情况，在低安全域设置一台从文件服务器，在高安全域增加一台主文件服务器，并对文件服 务器进行策略设置，使移动办公人员