李飞
随着计算机网络的不断普及和发展,传统的网络防御技术如防火墙、UTM、入侵检测等,面对外网的各种威胁,其安全效能正在下降,为确保内网的数据安全,最安全的方式就是实行内外网物理隔离。但是,网络的物理隔离,给内外网数据的交换带来很多不便。因此,就需要在内、外网之间建立一个既符合物理隔离安全要求,又能进行数据交换的解决方案,这就诞生了网闸技术。
网闸全称安全隔离网闸。安全隔离网闸是一种带有多种控制功能的专用硬件,在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换。通用的网闸模型一般分三个基本部分:内网处理单元、外网处理单元、隔离与交换控制单元。如下图:
数据交换区就是数据交换中的摆渡船,数据交换区与内外网在任意时刻都不同时连接,实现物理隔离。网闸直接处理网络间的应用层数据,利用存储转发的方法进行应用数据的交换,在交换的同时,对数据进行的各种安全检查。
下面以网御星云网闸为例,谈谈网闸产品在内外网隔离中的具体应用。
网御星云网闸基于“2+1”系统架构,面板网络接口分为两排,上面一排为内网接口,下面一排为外网接口。
一、部署方式:
内网与外网在不同网段,网闸在其中起到隔离和路由的作用。服务器部署在内网,其他终端电脑通过网闸访问服务器,网络拓扑如下图。
二、配置要求:
外网客户端PC与内网服务器192.168.1.200的22334号TCP端口通信。要达到通过访问网闸外网业务口22334端口实现访问内网服务器22334端口的效果。
三、配置流程:
首先保证外网客户端PC到网闸外网业务口能通,网闸内网业务口到内网服务器能通;配置内网-定制访问-服务端配置;配置外网-定制访问-客户端配置。
四、配置步驟:
(1)登录网闸内网管理系统,网闸服务端任务配置:服务端-定制访问-TCP访问,输入服务端任务号(注意定制访问TCP任务号必须唯一)。
(2)登录网闸外网管理系统,网闸客户端任务配置:客户端-定制访问-TCP普通访问,输入服务端任务号(注意:必须和服务端保持一致)。
这样,外网客户端PC就可以通过访问网闸外网业务口10.1.5.254的22334端口来访问内网服务器192.168.1.200的22334端口。同样,内网PC客户端要访问外网服务器,只要将外网服务器设置为服务端,内网设置成客户端,访问内网业务口192.168.1.1即可实现。
以上就是网闸设备在内外网隔离中的简单应用,这样既保证了内外网的安全隔离,又能够实现内外网实时、高速的数据交换,提高了工作效率。endprint