通过网闸核心技术实现内外网隔离Word文档格式.docx

通过网闸核心技术实现内外网隔离Word文档格式.docx

《通过网闸核心技术实现内外网隔离Word文档格式.docx》由会员分享，可在线阅读，更多相关《通过网闸核心技术实现内外网隔离Word文档格式.docx（9页珍藏版）》请在冰豆网上搜索。

由于物理隔离网闸所连接两个独立主机系统之间，不存在通信物理连接、逻辑连接、信息传播命令、信息传播合同，不存在根据合同信息包转发，只有数据文献无合同“摆渡”，且对固态存储介质只有“读”和“写”两个命令。

因此，物理隔离网闸从物理上隔离、阻断了具备潜在袭击也许一切连接，使“黑客“无法入侵、无法袭击、无法破坏，实现了真正安全。

2、网闸构成

　　网闸模型设计普通分三个基本某些构成：

　　·

内网解决单元：

涉及内网接口单元与内网数据缓冲区。

外网解决单元：

与内网解决单元功能相似，但解决是外网连接。

隔离与互换控制控制单元：

是网闸隔离控制摆渡控制，控制互换通道启动与关闭。

3、网闸重要功能

∙·

阻断网络直接物理连接和逻辑连接

数据传播机制不可编程性

安全审查

原始数据无危害性

管理和控制功能

依照需要提供定制安全方略和传播方略功能

支持定期/实时文献互换

支持Web方式

支持数据库同步

三、政府网络中物理隔离技术应用

1、国内网络信息安全现状

随着政府上网、海关上网、电子商务等一系列网络应用蓬勃发展，Internet正在逐渐融入到社会各个方面。

安全保障能力是新世纪一种国家综合国力、经济竞争实力和生存能力重要构成某些。

这个问题解决不好，将全方位地危及国内政治、军事、经济、文化、社会生活各个方面，使国家处在信息战和高度经济金融风险威胁之中。

在政府网络中，内部网络上有着大量高度机密数据和信息，网络安全是放在首位。

如果网络安全得不到保证，那么将会给国家、社会及网络顾客带来严重威胁，也许导致政治、经济等各方面巨大损失。

在政府工作不断地实现信息化、高效便捷同步，安全保护成了亟待解决问题。

2、既有网络安全解决方案

面对网络安全威胁，当前惯用安全防护办法重要有：

软件解决方案

当前正在广泛应用是许多复杂软件及某些硬件技术，如用防火墙、代理服务器、入侵探测器、通道控制等手段来减少来自Internet危险。

法规和行政命令

法规和行政命令对安全工作是绝对必要，严格工作纪律是安全防护重要保证。

物理隔离方案

采用硬件物理隔离方案，即将内部涉密网与外部网彻底地物理隔离开，没有任何线路连接。

这样可以保证网上黑客无法连接内部涉密网，具备极高安全性。

3、物理隔离解决方案在政府网络中应用

涉密网与非涉密网之间：

局域网与互联网之间（内网与外网之间）：

在政府办公网络局域网络中，涉及政府敏感信息，有时需要与互联网在物理上断开，用物理隔离网闸是一种最惯用办法。

办公网与业务网之间：

由于许多政府办公网络与业务网络信息敏感限度不同，例如，地税、国税局办公网络和税收业务网络就是很典型信息敏感限度不同两类网络。

为了提高工作效率，办公网络有时需要与业务网络互换信息。

为解决业务网络安全，比较好办法就是在办公网与业务网之间使用物理隔离网闸，实现两类网络物理隔离。

电子政务内网与专网之间：

在电子政务系统建设中规定政府内网与外网之间用逻辑隔离，在政府专网与内网之间用物理隔离。

现惯用办法是用物理隔离网闸来实现。

四、网闸技术构建政府内外网门户网站

1、政府门户内外网统一需求简述

内网功能概述：

政府与公司将内部公务内网定位为公司或政府内部工作网，与其他网络物理隔离，传播不涉及国家秘密或公司商业机密内部信息。

依照国家涉密应用需求和与机要网协调状况，以及内网加密设施完善限度等方面状况,一定限度上界定与否将内部机密信息在内网上传播。

外网功能概述：

外网定位为国家机关或企事业单位对社会公众与商业机构服务业务网，与互联网通过网络安全系统逻辑相连。

国家机构或公司以门户网站为外网形式在互联网上运营，并且要采用必须安全防护办法。

门户网站办事栏目，重要体现政府或企事业单位各个职能部门网络窗口并负责建设和维护，逐渐形成一种统一网络信息体系。

内外网统一目：

外网和内网物理断开，政府顾客通过外部网站申请、表格无法传播到内网申批系统中来，给门户网站服务带来了很大局限性，使网站无法给政府顾客带来以便、快捷服务。

同步外部网站无法从政府内网中获取数据，需要数据无法共享给外部。

统一内外网平台，可以提供数据互换和整合功能，支持跨平台操作，支持各种不同数据库，实现数据实时获取、转换、传播、互换、整合等，实现信息资源共享。

同步，通过统一出口，以便与社会各界、公司、个人等实现数据互换；

通过网闸信息互换功能可以让政府门户内外网达到统一需求目。

2、网闸技术实现内外网信息互换

物理隔离网闸既然隔离、阻断了网络所有连接，事实上就是隔离、阻断了网络连通。

网络被隔离、阻断后，两个独立主机系统之间如何进行信息互换？

在互联网时代此前，信息照样进行互换，如数据文献复制（拷贝）、数据摆渡，数据镜像，数据反射等等，物理隔离网闸就是使用数据“摆渡”方式实现两个网络之间信息互换。

网络外部主机系统通过物理隔离网闸与网络内部主机系统“连接”起来，物理隔离网闸将外部主机TCP/IP合同所有剥离，将原始数据通过存储介质，以“摆渡”方式导入到内部主机系统，实现信息互换。

物理隔离网闸原始数据“摆渡”机制是原始数据通过存储介质存储（写入）和转发（读出）。

物理隔离网闸在网络第七层将数据还原为原始数据文献，然后以“摆渡文献”形式来传递原始数据。

任何形式数据包、信息传播命令和TCP/IP合同都不也许穿透物理隔离网闸。

当内网与外网之间无信息互换时，物理隔离网闸与内网，物理隔离网闸与外网，内网与外网之间是完全断开，即三者之间不存在物理连接和逻辑连接，如图1所示。

当内网数据需要传播到外网时，物理隔离网闸积极向内网服务器数据互换代理发起非TCP/IP合同数据连接祈求，并发出“写”命令，将写入开关合上，并把所有合同剥离，将原始数据写入存储介质。

在此过程中，外网服务器与物理隔离网闸始终处在断开状态。

一旦数据完全写入物理隔离网闸存储介质，开关及时打开，中断与内网连接。

转而发起对外网非TCP/IP合同数据连接祈求，当外网服务器收到祈求后，发出“读取”命令，将物理隔离网闸存储介质内数据导向外网服务器。

外网服务器收到数据后，按TCP/IP合同重新封装接受到数据，交给应用系统，完毕了内网到外网信息互换。

详见图3所示。

至于从外网到内网信息互换，与上述类似，只是方向相反。

由上不难看出：

每一次数据互换，物理隔离网闸都经历了数据写入、数据读出两个过程；

内网与外网永不连接；

内网和外网在同一时刻最多只有一种同物理隔离网闸建立非TCP/IP合同数据连接。

3、网闸技术构建内外网统一门户案例

项目案例背景

项目为XX省XX局内外门户平台省级集中建设和改造。

重要核心点如下：

1）内外门户平台建设涉及内部网站和外部网站，两网站之间物理隔离。

内部网站定位为综合办公平台，外部网站定位为业务服务平台。

项目内外网站管理维护工作将在同一套网站管理系统下运营，除实时交互类内容外，其他所有管理维护工作都在内部网络环境里完毕，数据可以同步到外部网站，同步要保证安全最大化。

2）针对网络内外物理隔离实际，借鉴咱们为其他政务网站解决物理隔离和维护工作量矛盾成功经验，制定了成熟而合理解决方案。

在此项目中内容管理及数据库服务器采用集群方式保证系统高可用性和可靠性；

外网网站静态发布文献通过内网前置机上网闸同步软件发送到外网前置机，再转发至外网WEB服务器；

外网网站数据库也由网闸数据库同步软件实时把内网数据库同步到外网来，实时交互类除外。

网络拓扑构造

项目应用布置

内网服务器共9台，1台网闸前置机，两台数据库及两台应用制作服务器分别做了集群，都将数据文献存储在磁盘阵列上。

内网所有服务器都采用是RedHatAS4操作系统。

外网服务器共10台，1台网闸前置机，数据库、防篡改等不被直接访问服务器放在外网安全区内，网站WEB、互动及应用模块需要供外部访问服务器都放在DMZ区，外网DMZ区与安全区内设有防火墙保证了一定安全性。

内外网前置机操作系统都为WINDOWSSERVER，并安装了网闸提供文献同步及数据库同步软件。

技术实现环节

此项目硬件环境较复杂，内网服务器8台，外网服务器10台，内外网网闸前置机各1台，网闸2台（一台作为冷备），内网建设环境在内部局域网中相对较安全，因此只在与内部局域网连接设立防火墙即可，并有入侵检测和病毒防护等防护办法。

外网环境相对较复杂，数据库、防篡改等不被直接访问服务器放在外网安全区内，网站WEB、互动及应用模块需要供外部访问服务器都放在DMZ区，外网DMZ区与安全区内设有防火墙保证了一定安全性。

网闸设备就在外网与内网之间，内外两段分别连接内外网络，当有信息互换时通过网闸中间段将内或外部需要传播信息发送到另一端。

外网与内网门户网站都在内网内容管理平台统一进行管理，内容管理制作服务器将外部网站网页静态文献打包压缩发送至内网网闸前置机，再由内网前置机通过网闸文献同步软件，将文献发送至外网网闸前置机，最后由网闸前置机把文献传送到WEB服务器，其中间传播文献都为经程序打包压缩成PKG包，即传播过程中保证了文献安全性。

外网数据库也同样通过内网前置机设立了数据库同步通道，网闸数据库同步软件在内外网数据库中分别设立了“增长”、“删除”、“更新”触发器，当对数据库执行相应操作时，触发器会把数据库执行操作作为命令方式传播通过网闸，再到另一端数据库中执行相应命令操作，有效保证了数据库精确性与实时性。

无论是从内向外，还是从外向内，文献同步与数据库同步方式都是同样，但需要遵循两点条件：

一、文献同步需要支持一对多和多对一多层文献夹同步模式；

二、数据库同步需要支持可设立到数据库中详细某一张表某一种字段同步。

由于网闸同步毕竟还是物理隔离，对安全性有了很大保障，但同步也就不能规定太高实时性了。

五、结束语

政府网络安全是国家网络安全基石，也是针对将来信息战来加强国防建设重要基本。

对于政府部门来说，就需要对网络中需保护信息和数据进行详细经济性评估，决定投资强度。

运用有效网络安全设备，从而保证政府网络安全性是当前最为有效一种手段，也是构建新时代网络环境必备条件。

展望将来网络发展趋势，咱们都需要提前做好准备。

学习新技能，应用新技术，是咱们最乐意也是最擅长做事情，秉承咱们近年来对政府门户构建经验，咱们已让网闸技术较好为政府部门提供安全保障，并时刻都在关注着它发展，将与网络新时代共成长。