《浅析内外网隔离方案》由会员分享,可在线阅读,更多相关《浅析内外网隔离方案(3页珍藏版)》请在金锄头文库上搜索。
1、浅析内外网隔离方案 王明刚 赵军国家广电总局916台 随着信息化技术的发展,网络技术得到了广泛的应 用。网络基础建设已成为网络技术安全维护的重点和难 点;现在许多机关都有自己的内网 是以办公自动化、在 线教育、内部运行管理系统等应用提供的基础网络环境。 极大的提高了办公效率实现信息的实时传输是内部信 息传输及共享的专用网络。外网即Internet,主要应用于 对外界信息资料的了解及学习查找相关的技术资料的 有效途径这样就形成了两个网络。双网(内外网)共存, 为了预防内网保密资料的泄密和保证内外网络系统的安 全运行,同时也带来了新的问题双网隔离。 针对双网隔离问题,通过学习和查找相关资料归纳 出
2、以下几种解决方案:双网双布线双电脑隔离模式、双网 双布线硬盘隔离卡隔离模式、双网单布线隔离交换机隔 离模式、双网双布线网络主机隔离模式、双网单布线一分 二隔离模式。各种方案都有自己的优缺点,以下将对各种 方案进行分析、探讨。 1双网双布线双电脑隔离模式 双网双布线双电脑隔离模式也就是两个网络分别通过 独立布线接入两台电脑的模式,这种模式只要做到综合 布线完全独立分开双网分别使用独立的机柜和独立的 接人交换机完全实现纯物理隔离。能够安全方便的在内 外网上查找所需的资料,具体连线图如图1所示。 这种方案完全可以解决双网物理隔离问题,但对一个 较小的办公室不仅存在空间问题而且还会浪费较多的 资源。
3、2双网双布线硬盘隔离卡隔离模式 双网双布线硬盘隔离卡隔离模式就是在一台电脑上安 装一块硬盘隔离卡和两块硬盘,通过双硬盘隔离卡将两 个硬盘隔离保证每块硬盘上的数据不会进入到另外一 块硬盘上,从物理上将两块硬盘隔离,保证了内网和外网 的安全。若有一块硬盘出现故障,不会影响到另外一块硬 盘的正常工作。现在方正推出了一款电脑通过主板将内 存隔离通过硬盘隔离卡将硬盘和网络完全隔离保证系 统的稳定安全运行。 这种方案适合大中型机关的局域网布局,某机关内的 网络分为内部涉密网和公共网,其中公共网(即Internet) 通过网络提供商提供的集中出口连接Internet(视需要也 要安装防火墙、入侵检测及防病毒
4、等措施)部分计算机 视需要能够接入该网络。还有一些机关的网络由于内部 功能的划分本身就有几个分离的网络采用硬盘隔离卡 方案能更好地把这些网络整合在一起,变为一个全范围 内网 辫1双嘲 双布线双电蠢隔离模式 0曩 j08广播与电视技术 2009年第4期 内部网络 外部网络 j 量凰基 外网服务器 丁作拈 图2双喇双布线硬盘隔卡隔离模式 圈3双网苹布线隔离交换机隔离模式 公共网加上几个内部安全子网的多网互动的有效网络格 局。还能很好的完成一台电脑既上内网又上外网的安全 布局。这种方案的连接图如图2所示。 隔离卡的特点: (1)内外网绝对隔离:双硬盘网络隔离卡,隔离内存。 (2)完全控制:双硬盘网络
5、隔离卡通过硬件对硬盘数 据通道和网络接口的直接控制实现内网操作系统、应用 软件及对应的网络接口与外网操作系统、应用软件及对 应的网络接口隔离。以物理方式将一台电脑虚拟为两部 电脑,实现工作站的双重状态,既可在安全状态(内网), 又可在公共状态(外网)两种状态是完全隔离的从而 使一部电脑可在完全隔离状态下连接内外网。网络安全 隔离卡实际是被设置在电脑中最低的物理层上,通过卡 上中间的IDE总线连接主板,两边分别连接相应的IDE硬 盘内、外网的连接均须通过硬盘安全隔离卡电脑将两 块硬盘物理分隔成为两个区域,在IDE总线物理层上,在 硬件中控制磁盘通道,在内存中将物理地址分区使用,在 任何时候数据只
6、能通往一个系统。 曝 Transmission Network (3)转换自如:用户可根据需要在任何时 间任何系统中方便自如地进行内部网和外部 网之间的转换。 (4)两种切换方式:硬切(按钮切换)和 软切(软件切换)。 【5)应用广泛:不依赖于操作系统,可以 应用于所有使用IDEATA硬盘的电脑系统。 可以适用于局域网 拨号上网、ISDN、宽带等 不同的网络环境。 (6)对网络技术、协议完全透明。 (7)安装方便 操作简单,不需要用户进 行专门的维护。 这种方案可以很好的解决办公室空间问 题还能很好的解决各种资源的充分利用,达 到一种完美的隔离效果。 3双网单布线隔离交换机隔离模式 双网单布线
7、隔离交换机隔离模式就是两个 网络通过隔离交换机将内、外网分开,然后通 过一根线传输到连接电脑,即桌面电脑同一 时间只能连接到一个网络。此种方案需要配 合安装了硬盘隔离卡的电脑使用,才可以满 足单布线的要求即如果用户因某种原因无 法使用双网双布线时,可采用此方案。此方案 的连接图如图3所示。 在安装了网络安全隔离卡的电脑上,实际上存在着内 网与外网两种状态当电脑通过网络安全隔离交换机连 接内外网时 若电脑需要连接外网时,通过硬盘隔离卡上 的网卡提供的信号连接到隔离交换机的外网接口只能连 接到外部网,若电脑需要连接内网时通过硬盘隔离卡上 的网卡提供的信号连接到隔离交换机的内网接口只能连 接到内部网
8、。网络安全隔离交换机对以太网信号的减弱 可以忽略不计(与电缆的长度相比小于30cm)。连接于现 有交换机开关与LAN之间的网络电缆通过网络安全隔离 交换机与数据安全保护器控制以太网快速以太网)进 行排线。在网线(TX与RX对)增加一个”超带 DC(直 流)电压信号,能够可靠地控制两个不同网络问的转换。 信号的极性可以测定哪一个网络通过网络安全隔离交换 机与电脑连接。网络安全隔离交换机与数据安全保护器 抹去DC元素,并用清晰、标准的EEE8023信号将网络 端口呈现在 背面”。所有以太网参数同样适用于快速以 太网。网络隔离交换机的工作原理如图4所示。 2009年第4期 广播与电视技术jD9 凰一
9、 凰一 恩一 安全网络 公共网络 l毒I用户i Windows XP l;|用户2 ;用户3 圈4安全隔离交换机工作原理 撕算 嘴 一、 用户1 用户2 用户3 用户3O 路由器交换机 图5网络主机连接圈 如果没有检测到DC电流,两个网络都会被全部切断, 这样减小了安全区工作站被错误地连接到未分类网络的 风险。 这种网络安全隔离交换机与数据安全保护器的设置允 许用户顺利地进行内外网络切换工作避免了向桌面铺 设新电缆的问题,所有的附属设施被连接在通信机箱与 后面的中枢上。此外,数据安全隔离交换机操作是全透明 的 无需维修,且对以太网快速以太网的标准通信没有 任何影响。 那些对安全要求高的机关一方
10、面寻求向他们的用户提 供Internet连接另一方面保证内部数据的安全。这样的 话,这些机构只需在桌面工作站内安装数据安全保护器 然后添加普通的商业Internet访问解决方案即可。 这种方案可以更好的解决由于综合布线带来的一些难 题同时可以充分利用现有资源,解决桌面双网办公问 题,能够很好的僻决隔离。 4双网双布线网络主机隔离模式 双网双布线网络主机隔离模式就是其中一个网络通 过一条布线连接到电脑,进行网络工作的模式 另一个 网络通过在服务器上安装网络主机软件,将网络主机通 过综合布线连接到交换机 然后再将办公桌上的显示器、 以太网 100m 现时检测l I PC机桌面 以太网 f直流信号
11、l 鍪凛 PC机 键盘和鼠标连接到网络主 机实现一拖32台网络主机 上网的模式。这样就可以实 现双网双布线网络主机隔离 模式。 网络主机的工作原理: 现在服务器变得如此强大 特别是系统的可利用资源。 为了更分地利用这种技术资 源每个网络主机可有效的访问服务器。每一个网络主 机都可做为独立的电脑终端运行而不会影响到其它的终 端及整体运行,为每一个用户创造了独立和安全的使用 环境。 根据网络主机的使用数量的最大配置,即连接32台 电脑时,服务器的配置需求:主机的CPU要求4个四核 2OG以上CPU;主机内存要求4G以上主机硬盘使用SCSI 硬盘,操作系统要求Wi ndOW S 2000SERVER
12、或者 Windows2OO3Server,但是不支持网上电影和网络游戏。 能够满足于网上办公,网上聊天网上视频等正常使用。 此种方案的网络主机连接图如图5所示。 这种方案适合用于正常办公,但又不影响查找相关的 资料 能够较全面的解决现实办公自动化而充分利用现 有资源,有效地解决了资金不足和办公室狭小等问题带 来上网困难的问题。 5双网单布线一分二隔离模式 双网单布线一分二隔离模式也就是将一根网线的8芯 线分成两组每组4芯线来使用分别接入内外网实现双 网隔离的模式 因为现在大多数使用的是超5类网络线。 一根网线内有8芯每二芯线互绕合在一起,现有网络中 只用到网线中的4芯线,所以可将一根网线分成两组分别 接入内外网来使用,达到隔离的模式。此种方案虽然可以 解决能双网上网,又可以充分利用资源,但是由于应用的 是同一根网线双网会出现相互干扰的现象建议不采用 此种方案来解决双网隔离的模式。 6小结 本文中提到的五种解决方案,只是一些典型的例子 有些能够解决现存的双网隔离问题但会带来其它的影 响,有些虽然可以解决双网上网问题,但隔离上还存在缺 陷 五种方案也可以结合起来使用。由于我们水平有限, 论述和分析的不够深刻,有不足之处尽请批评指正。圆 10广播与电视技术 2009年第4期
