基于云桌面实现网络安全隔离的应用

骆 慧 勇

(中国人民银行泰州市中心支行 江苏 泰州 225300)

0 引 言

网络隔离技术是常用的保护企业内部网络信息安全的手段，传统实现主要有防火墙和网闸技术，防火墙的核心功能是基于预设规则匹配响应数据包，并过滤非法数据包[1]。网闸一般采用禁止协议通信和数据文件的无协议“摆渡”等手段实现网络的隔离方法[2]。两种技术各有千秋，但都面临着无法灵活调整配置、易对业务产生影响等问题。在一些安全要求较高的企事业单位，由于业务需求需对内网进行延伸，存在需将部分业务终端布放于外部机构工作区域实现业务终端外联的需求。通过传统网络隔离技术存在实现成本较大、信息安全对硬件依赖较高、上线及调整不便等问题。针对该需求，本文结合云桌面[3]的应用实践，梳理企业在网络安全隔离、客户端管理中的信息安全需求和业务需求；通过传统方式构架网络，分析其技术重点；利用云桌面技术重新规划整个外联业务体系，与现有内网低成本融合；通过传统安全手段对比，梳理云桌面技术在实现业务需求时的优点；通过硬件防火墙、虚拟网络服务[4]、磁盘映射控制、USB Key认证[5]、CAS[6]等技术的综合应用，进一步确保云桌面在网络安全隔离中应用的信息安全。

1 云桌面网络总体规划

1.1 需求分析

业务需求与信息安全经常存在着一定的冲突，各类安全技术也在两者的平衡中发展。在实际工作中，业务人员需要业务系统没有过多限制，能够实时访问内外部的网络，且能够快速简易切换，但信息安全可能会对业务工作的及时性、便捷性产生一定影响，在信息化过程中往往需要综合考虑业务与信息安全两方面。

信息安全涉及网络、客户端、制度等多个方面，与业务终端相关主要为网络层的安全防护，其次为终端自身的安全防护。外联业务终端由于布放环境处于相对不可控状态，网络本身的可靠性也是业务连续性的重要因素，因此构建安全的网络是传统网络结构中重点关注的对象。部分企事业对内联网也有较为细化的规定，如虚网的划分、重要业务终端网络地址段、服务器网络地址段等，在重新构造网络时也需要重点考虑构架的合规性。

从安全运维角度考虑，网络构架除了关注业务需求、信息安全需求，还需要考虑网络的维护成本。合理的网络架构应能够在业务调整、拓展时实现较为便捷的调整，同时需要有效规避外联业务终端的不可控性，即业务调整不对业务终端的配置有过多强制要求。

1.2 传统网络组网逻辑架构

为更好阐述传统网络架构，本文按照需求分析结果，采用当前主流技术构建较为经典的网络结构。按照网络无单点故障的要求，传统网络采用双线路连接外联机构，利用目前广泛采用的MSTP线路可以实现交换机的直连，外联业务终端从网络架构上仍可视为内网终端，因此无需路由器进行数据包转发。为满足信息安全需求，分别利用传统网络安全设备，如防火墙、上网行为管理器等进行安全控制，形成外联区域与内联网的中间区。传统经典网络逻辑架构如图1所示。

图1 传统经典网络逻辑架构

外部区域业务终端按照内网业务需求统一配置网络地址，外部区域交换机使用虚拟化技术形成逻辑组，避免单点故障。防火墙使用透明模式，安全策略按照业务网址和端口严格配置内网访问规则，上网行为管理器的补充能够更好地记录各业务终端的访问内容，同时根据实际工作时间逻辑开关线路。防火墙与上网行为管理器均通过心跳线、同步线等方式避免单点故障。传统网络架构使用的安全技术内容如表1所示。

表1 传统安全技术应用

1.3 云桌面隔离组网逻辑架构

应用云桌面技术组网的网络基本结构不变，在防火墙DMZ区[7]建设云桌面用于内外网互访。为避免单点故障，云桌面服务器可与两台防火墙DMZ区接口连接，配置相应网络地址。与传统经典组网方式不同的是物理终端可以根据需要自行配置网络地址，防火墙根据外部区域、外联服务区、内联网的网络地址规范进行地址转换。基于云桌面隔离组网逻辑架构如图2所示。

图2 云桌面网络逻辑架构

外部区域业务用机可以按照业务及维护需求，通过软件方式或瘦客户端[8]方式连接云桌面服务器。防火墙通过配置安全策略，仅允许指定网络终端访问云桌面服务器，过滤非法访问，保护云桌面服务器，同时通过安全策略限制虚拟桌面对内联网资源的访问。相关的访问逻辑关系如图3所示。

图3 云桌面业务访问逻辑

外部终端与虚拟桌面之间只传桌面图像[9]及固定的服务请求，带宽需求较为明确，流量峰值相对固定，便于估算带宽需求。传输的数据包单一，出入端口较为明确，安全把控更为简单。防火墙的安全策略相对简单，在业务新增、调整时能够简化配置。另外信息安全管理也从物理终端管控转变为云桌面服务器、虚拟桌面管控。这样能够提高网络安全性，规避网络不断调整的问题。

云桌面组网构架的最大特点在于严格的网络限制对于终端用户是透明的。服务器中的虚拟操作系统承载各自的业务工作，完全不受传统隔离技术带来的地址转换、端口限制等因素的影响，用户连入云桌面服务器后享受的是各自网络中的完全服务，对内网的依赖和影响大大降低。

2 云桌面隔离组网安全措施

云桌面隔离组网通过外联机构间接连入，将原有直接访问通过云桌面实现间接访问，可以从物理网络、云桌面服务器平台、云桌面访问控制三层对安全进行进一步强化。

通过物理防火墙进一步强化云桌面主机安全，内外网隔离的规则可以有所不同。内网实施更严格的配置，只允许指定网络地址访问指定服务器。外网简化配置，非禁止接入的地址网段都是允许接入。云桌面专用网可以采用传统网络安全技术提高安全性，如通过划分虚网实现分级管理。

利用云桌面服务器管理平台，参考传统网络设备对虚拟网络进行统一配置，可以及时处理虚拟桌面异常提高业务连续性，夜间或业务低峰阶段可以强制关闭部分虚拟桌面提高安全性，构建高可用性平台系统，实现桌面级数据安全管控。

虚拟桌面是信息安全管控重点，为避免虚拟桌面成为攻击内网的跳板，云桌面终端可采用无本地存储功能的终端，终端可以采用USB Key方式认证，禁止外部终端磁盘映射，避免存储信息泄露。可选择安全技术如表2所示。

表2 云桌面网络架构可选安全技术

3 基于云桌面隔离组网优势

3.1 独立性

云桌面服务器相对独立，平台部署于防火墙DMZ区，双网口通过防火墙分别与内外网互连。云桌面虚拟网络管理相对独立，原单位业务网规划无需考虑外联机构的网络，如原有网络上增加新虚网，只要调整云桌面虚拟交换机配置，无需更改外联区域终端相关的交换机配置。云桌面网络架构相对独立，对原有内网安全规则无破坏性，不需修改防火墙、交换机原有配置，方便网络架构调整和过渡。

3.2 互利性

安全管理作用范围一般小于控制范围，外联区域处于外部机构的控制范围，对于外联区域仍然按照内联网要求管理多为不便。外联区域作为原有内联网的外延，应尽量满足内联网以及外部机构的双重管理需求。通过云桌面隔离组网的方式实现外联区域的相对独立，外联区域的网址分配、虚网划分、网络管理、客户端安全软件可以按照外部机构的管理要求进行配置。

3.3 便捷化

外联终端的安全管控在传统网络架构下需要通过多种网络、安全设备进行配置和管控，如需要对防火墙进行端口级细粒度的安全控制，更为复杂。安全策略的配置以及未来由于内部业务的新增、变更，调整复杂性将成倍提高。采用云桌面方式组网后通过云桌面隔离组网方式，只要做好硬件防火墙中针对云桌面服务器的网络地址及相应端口开放权限即可，只涉及少量网络地址，安全规则数量压缩，终端调整也不需要对安全规则进行复杂调整。操作系统云化后，终端维护大为减轻，提高了可用性和易维护性[10-11]。

3.4 可扩展

传统网络设备、安全设备由于其固化的硬件，一般只能用于设定的专用场景。随着虚拟化的产生，通过软件模拟硬件可以实现各类功能。云桌面隔离组网网络的方式将原有依赖各层硬件的安全管理转变为根据云桌面服务器的软件管理方式可以带来扩展性的提高，如通过云桌面服务器审计登录网络地址、记录对外访问的信息，针对反复登录、异常网络地址登录及时报警，通过灵活的规则定时暂停服务器、定制更为复杂的网络和终端安全规则等。

3.5 多元化

从传统硬件安全设备应用到硬件网络设备、虚拟网络设备、云桌面平台管控系统多方控制的安全控制。传统组网方式仍只能通过传统接入层绑定、认证技术实现基本的控制，通过云桌面隔离组网，能够将安全管理重心从物理网络安全设备转移到云桌面管控中，实现了从硬件到软件管理方式的转变。软件方式具有极大的灵活性，如可以根据网络地址限制终端登录、设置账户访问权限限制虚拟终端磁盘映射等。

4 结 语

本文围绕内联网需要向外部机构扩展的典型需求，对相关业务需求、安全需求进行分析。按照传统经典网络架构思路实现相关需求，对比分析通过云桌面技术实现，分析应用的网络架构，细化外联终端访问内网的逻辑关系，最终实现在满足信息安全的基础上，实现更为灵活的业务需求。对云桌面技术实现的隔离组网可选安全技术进行列举，最终达到更好的信息安全。