网络隔离技术-网络隔离技术的概念-网络隔离技术的概念

aizixun8

各类产品的优缺点

互联网和网络技术在不断发展且应用越来越广泛深入，同时网络建设也变得更加复杂，在这样的情况下，网络边界安全以及边界接入逐渐成为企业急需解决的问题。

近年来，国家各部门针对边界安全都制定了相关制度和文件。比如，公安部制定了等级保护制度，保密局制定了分级保护标准，中国移动有安全域项目，电力行业有双网隔离要求等。这些制度、标准、项目和要求都与边界安全有着紧密的联系。在边界安全的项目里会用到网络隔离技术。通常来说，边界隔离会阻碍边界接入所带来的便捷性的发展，并且会增加日常工作的负担。

目前应用较多的网络隔离边界安全设备有网闸，还有防火墙，以及虚拟专用网络，另外还有 UTM 等等。

网闸

首先说说网闸。通俗来讲，网闸采用双网络接口并加开关机制。在与外网通信时，会断开与内网的网络接口，以此保证内网不暴露在外网。当需要将数据从外网上下载到内网并与内网通讯时，外网的网络接口会断开。这个产品是因政府要求内外网必须物理隔离而产生的，具有中国社会主义特色。网闸在内外网之间扮演着类似“信息渡船”的作用。网闸的本质是逻辑隔离。更关键的是，网闸的部署首先会牺牲网络性能，而不像防火墙能够保持较好的通信实时性。

防火墙与UTM

接下来我们谈谈防火墙与 UTM。我们可以简单地理解，UTM 是一个由入侵检测、防病毒、防火墙这三个功能模块组合而成的产品。

防火墙和 UTM 都可以利用 ACL + NAT 技术很好地解决边界隔离与边界接入问题。然而，这种技术基于 TCP/IP 传输层和网络层，能很好地保障传输层和网络层的安全，但对应用层却无能为力。新型 UTM 的入侵检测模块有部分应用层功能，但其大部分还是支持传输层。并且，入侵检测模块对应用层的功能属于检测和告警机制的支持，对应用层的入侵阻断支持比较有限。对于应用层的一些业务，如应用发布、远程交互，它没有这些功能，这导致外部用户对内部资源的访问无法提供便捷且安全的途径。

虚拟专用网络

接下来我们谈谈虚拟专用网络设备。一般来说，防火墙和 UTM 是有虚拟专用网络模块的。随着虚拟专用网络技术的广泛应用，专业的虚拟专用网络设备也出现了。专业的虚拟专用网络设备解决了防火墙和 UTM 在应用发布以及远程交互方面无能为力的问题。虚拟专用网络在传输时采用的是加密通道，其安全性较好。然而，虚拟专用网络对应用发布的支持力度严重欠缺。一般的 B/S 应用，虚拟专用网络是可以支持的，但却无法支持 B/S 应用的代理登陆认证过程。对于一些应用，如 SMB 文件共享，虚拟专用网络能够提供支持，但对于广泛的 C/S 应用，它却无法支持。当然，有些虚拟专用网络厂商可以通过定制开发的形式对一些特殊的 C/S 应用提供有限支持。但由于虚拟专用网络技术的局限性，这种开发成本非常大，并且耗时也会超出一般企业的可承受范围。

有什么产品能够既完美地解决边界接入的安全问题，又能对边界接入之后的应用发布以及远程交互的跨网访问提供广泛支持呢？答案是肯定的。深圳沟通科技最新研制的安全接入堡垒机，毫无疑问地扛起了这面大旗。

沟通科技安全接入堡垒机方案拓扑图

用户在低安全域环境下，将键盘和鼠标的指令信息通过沟通安全接入堡垒机上行至高安全域应用服务器，同时高安全域的屏幕变化信息下行至低安全域。并且禁止其他实体数据信息流在两个安全域之间进行直接交换。因为不存在其他实体信息流在两个安全域之间的直接交换，所以低安全域的键鼠指令信息不会直接对高安全域的完整性造成破坏，高安全域的高密级实体数据信息也不会泄漏到低安全域。

沟通科技安全接入堡垒机产品原理

采用虚拟化技术将应用的表现与计算相分离，以此实现虚拟应用的交互以及本地化应用的体验。在客户端与服务器之间，仅仅传递键盘、鼠标和荧屏变化等交互信息，而没有实际的业务数据流传输至客户端。客户端所看到的仅仅是服务器上应用运行所产生的显示映像，这样就避免了跨域传输实体数据，进而提升了跨域访问的安全性。

实体静态数据传输会建立专属的文件安全传输通道。这个通道涉及静态文件在不同安全域之间的上传和下载。首先，会通过网闸或其他数据同步传输设备，将静态文件从低安全域同步到高安全域。接着，静态数据会经过安全摆渡，这样就能避免因为上传静态文件而携带病毒，从而威胁到高安全域的网络或数据安全。

沟通科技安全接入堡垒机方案技术特点

1. 跨域安全访问保障

沟通科技安全接入堡垒机方案依靠可信路径技术、强制访问控制技术以及高等级的保障技术，它是一种能够被证明的安全技术。

2. 文件安全传输通道

移动办公访问相关应用系统时，会有把本地文件传到应用系统中的情况，像发送邮件需带附件。出于安全考虑，必须对上传的文件进行审核。针对此情况，在低安全域设置了一台从文件服务器，在高安全域增加了一台主文件服务器，还对文件服务器进行了策略设置，让移动办公人员只能看到自己的文件夹，沟通安全接入堡垒机仅调用高安全域的主文件服务器。

3. 访问控制

访问控制通过基于角色和权限分配的方式，设置细粒度的访问控制策略，以此实现非法用户无法访问，合法用户不能越权访问的目标。

4. 权限管理

能够依据边界接入的需求，对角色进行设置，并且指定与之对应的资源访问权限，以此来避免未经授权的访问以及越权访问的情况发生。

5. 安全审计管理

审计服务会记录终端用户在其安全接入堡垒机平台上运行的各个部件的相关事件，其中包含用户的登录事件、验证事件以及数据传输事件等。并且，审计信息能够通过 WEB 界面进行查询。

6. 应用集中管理

应用主要集中在沟通安全接入方面，通过堡垒机平台进行统一管理和部署。低安全域的用户不需要操心应用的升级、维护以及部署等事宜，这样就实现了对应用的集中管控以及统一部署。

7. 登陆认证管理

认证系统:只有拥有客户端以及账号和密码才能够拨入

通过沟通安全接入堡垒机策略,对客户端身份进行双因子认证

通过沟通安全接入堡垒机策略,绑定移动办公人员PC的硬件信息

专有的沟通安全接入堡垒机客户端控件

8. 安全接入堡垒机安全策略

配置管理平台拥有独特的管理账号，此账号负责进行以下操作：添加用户，这些用户是所创建的用户，且全部分布在虚拟应用服务器上；设置用户策略；应用策略；发布应用。

用户的权限管理采取权限分立的方式，并且加强了沟通方面的安全接入，以提升堡垒机的安全可靠性。

配置管理实施了三权分立的制度。其中不存在拥有超级权限的管理员。管理员被划分成了三个不同的角色。

配置管理员、操作系统管理员、审计管理员;

移动办公人员的账号创建在虚拟应用服务器上，且为匿名用户;

堡垒机没有移动办公人员账号，只有配置管理员、操作系统用户

堡垒机配置管理认证需通过配置管理员和操作系统两层身份认证;

这样一来，移动办公人员就无法通过沟通安全接入堡垒机来篡改应用系统用户的权限。

通过集群技术，实现的高可靠性，防止单点故障

操作系统安全加固

系统进行最小化安装，仅仅安装最为基本的系统组件以及本应用平台的组件，不会安装任何其他的组件和模块。

系统将服务最小化，其对外仅提供应用平台这一个服务，不会对外提供任何其他的服务，诸如任何其他的 TCP/IP 服务以及端口。

欢迎转载，本文来自电子发烧友网()

配制自动的系统灾难备份与恢复检查机制