基于隔离网闸的双网分离方案研究与实现

李永超 周丽丽

大连市气象信息中心 辽宁 大连 116001

引言

随着我国气象信息化技术的迅速发展，某地级市单位内网用户的电脑终端数量越来越多，服务器、虚拟化资源池、路由器、交换机等设备也在不断增加，各业务系统和用户在访问内网实现通信的同时，也需要在互联网进行上网浏览、网站发布、外部访问等等。与此同时，来自互联网的安全威胁如影随形，时刻威胁着单位用户的信息安全。信息安全威胁方面，本单位网络通信过程中，业务系统运行稳定性、实况数据、预报产品、决策产品等真实性和时效性要求很高，一旦被黑客修改或删除影响很大。在网络防护方面，该地级市单位信息中心人员组成上具备较高的专业素质，部署了较为完备的网络安全防护设备。按照国家网络安全管理规定，要求本单位进行内、外网分离，以便有效降低来自互联网的攻击行为，保护业务系统稳定运行和信息安全。经过技术人员对本单位网络状况和技术现状认真研究分析，本单位考虑采用设置网闸等物理设备对现有网络结构进行隔离改造。

1 网络现状

本项目研究的是某地级市单位，目前拥有电脑终端200余台、服务器35台、核心网络设备包括防火墙、上网行为管理、WAF，同时还使用VPN设备。作为整个网络中心的核心交换机和路由器，连接到省级单位和县级内网单位，采用万兆骨干网络交换冗余备份连接。支持双电源、双引擎冗余的高可靠性网络交换机，提供高速接入服务[1]。结合 VLAN 技术，根据各业务部门将一个大的局域网划分成许多不同的广播域，并通过ACL（访问控制列表）技术、Sinfor 网络监控、防火墙等软件对用户群进行内网与外网的逻辑隔离。

用户访问需求方面，核心网络连接本地接入层交换机到达各部门VLAN，相互间可以访问内网业务系统和平台，用户之间通过FTP、SMB、远程桌面等方式进行数据传输和共享，同时网络交换机端口1-65535全部开放，即内网之间用户没有启用限制访问策略。安全管理方面，按照以下几点部署设置[2]：①部署了探针和安全感知系统实时监控内网机器运行状态；②安装火绒杀毒软件服务器和客户端，要求所有内网用户安装并定期更新；③部署网络设备监控平台，通过配置SNMP协议对管辖网络终端进行实时监控，发现不在线等异常情况立即通过声光和短信平台报警。为满足业务需求，用户和业务平台可以通过核心交换机访问内网和互联网，通过防火墙配置对互联网的双向访问进行控制和攻击防御。本单位内、外网分离前的网络拓扑结构如图1所示。

图1 双网分离前的网络拓扑结构

2 双网分离方案

内、外网分离的前期准备阶段，经过详细梳理，根据各部门业务用途不同，整理得出本单位网络访问方式主要分为三类：①省、市、县三级业务人员和系统通过专网通信；②采集内网数据并实现对外发布的业务平台，如官网APP和网站；③部分内网业务系统访问需要访问互联网接口或平台。为实现双网分离并保证重要业务系统正常运行，经研究决定采用隔离网闸（GAP）进行分离并实现重要业务系统的双向访问。

2.1 GAP工作原理

安全隔离技术的基本原理是将带有多种控制功能的固态开关读写介质连接两个独立的主机系统，通过模拟人工技术在两个隔离网络之间的信息交换。隔离技术的实质是两个独立主机系统之间，取消了通信的物理连接和逻辑连接，在不依赖于TCP/IP协议的信息包转发的基础上，只有格式化数据块的无协议“摆渡”。

被隔离网络之间的数据传递方式采用完全的独立方式，不具备任何通用性。安全隔离与信息交换系统两侧网络之间所有的TCP/IP连接在其主机系统上都要进行完全的应用协议还原，还原后的应用层信息根据用户的策略进行强制检查后，以格式化数据块的方式通过隔离交换矩阵进行单向交换，在另外一端的主机系统上通过自身建立的安全会话进行最终的数据通信，即实现“协议落地、内容检测”[3]。这样，既从物理上隔离、阻断了具有潜在攻击可能的一切连接，又进行了强制内容检测，从而实现最高级别的安全。

安全隔离与信息交换系统通过专有隔离交换模块实现基于硬件的安全隔离，芯片将数据块转化为自有协议格式的数据包，交换芯片的开关控制系统使得两个网络之间没有任何的物理连接，没有任何的网络协议可以直接穿透，从而建立了一个安全可靠的安全隔离硬件体系及安全隔离区域。

2.2 网络分离的实施

在满足分离后的网络安全性、高性能、适用性、可靠性和易管理的要求下，实现“一对一、一对多、多对一”的网络隔离。内、外网分离的实施过程分为5个步骤：

步骤一：省、市、县内网用户通过核心交换机和路由器实现正常通信，不需要整改操作；

步骤二：断开原互联网连接方式，部署GAP 。将GAP接入核心交换机和出口防火墙之间，通过配置调试上、下行访问；

步骤三：将部分需要发布的业务系统迁移到公有云，用户通过GAP将内网数据同步到云服务器；

步骤四：将其他需要外网访问的业务系统迁移至DMZ区服务器，防火墙地址转换进行调整，原指向内网变为指向DMZ区IP；

步骤五：部署NAS存储系统，并通过网闸进行数据同步。

双网分离后的网络拓扑结构如图2所示。

图2 双网分离后的网络拓扑结构

网络连接测试。经过一段时间的运行测试，网闸能够起到预期的作用，达到了隔离访问的目的。网闸采用白名单模式限制不符合条件的用户访问外网区域。白名单用户通过透明代理模式从内闸到达外闸并访问到防火墙，再通过防火墙限制公网的访问。因此，在有限制的情况下，白名单IP地址用户能够访问部分互联网地址，同时部分业务系统也能够通过地址转换的方式在有端口和策略限制的状态下被外部地址访问。

3 结束语

双网分离后，管理员在内网架设了火绒防护软件的服务器端，用户机器安装客户端，并进行实时监控。经过3个月的测试运行，得出GAP的接入应用能够在很大程度上降低互联网黑客对内网进行恶意攻击的风险，各业务系统运行稳定，数据“摆渡”安全稳定，实现了内、外网主机系统真正的隔离交换。