1、企业网络安全隔离 针对敏感部门的保护,可以有几种解决方案,一是在 网管员必读 超级网管经验谈 一书中介绍的子网掩码子网划分方法,另一个就是在 网管员必读 网络应用 一书中介绍的 VLAN组划分方法。还有一种就是本章将要介绍的网络隔离方法,它是通过网络物理来进行的。本章重点如下:u 物理隔离原理u 物理隔离卡技术及应用u 物理隔离网闸技术及应用u 网络隔离技术 5.1 隔离技术 隔离技术是网络安全技术的一个大门类。随着隔离技术的近几年飞速发展,目前的隔离技术已比较完善,涵盖了几乎所有级别用户的网络隔离需求。在许多文章中把这种用于网络隔离的安全技术统称为 “网络隔离 ”。5.1.1 隔离技术基础网
2、络中的 “隔离 ”一词与现实生活中的 “隔离 ”存在某种认识上的区别,从传统意义来理解 “隔离 ”使两个网络真正分开,但这样来谈网络安全是没有任何意义的。事实上,网络安全中的 “隔离 ”后的两个网络并非完全没有联系,还是需要有正常的应用层数据交换的。 目前可以采用的隔离方法主要有以下三类:u 物理隔离:通过一定软、硬件方法使得访问内、外网的设备、线路、存储均相对独立。u 网络隔离:利用协议转换进行网间的数据交换。u 安全隔离:利用专用设备实现仅在应用层进行数据交换。2. 网络隔离技术的发展历程到目前为止,整个网络隔离技术的发展经历了以下五代:u 第一代隔离技术 完全的隔离u第二代隔离技术 硬件
3、卡隔离u第三代隔离技术 网络协议隔离u第四代隔离技术 空气开关网闸隔离u第五代隔离技术 安全网闸隔离3. 网间不同层次的主安全威胁网间的安全威胁主要来自来以下三个层次:u 物理层:电气攻击、线路侦听、线路破坏等。u 网络层:拒绝服务攻击、地址欺骗、碎片攻击等。u 应用层:恶意代码、垃圾邮件等。 本节详细内容参见书本 P156P157页。 5.1.2 物理隔离原理 物理隔离可解决目前防火墙中存在的以下根本问题:u 防火墙对操作系统的依赖,因为操作系统也有漏洞,而物理隔离技术不依赖于操作系统。u TCP/IP协议存在漏洞,而物理隔离不需要 TCP/IP协议。u 防火墙、内网和 DMZ同时直接连接,
4、安全威胁仍然存在,而物理隔离不采用直接连接。u 应用协议的漏洞,因为命令和指令可能是非法的,而物理隔离只允许进行数据交换,而不能运行程序。u 文件带有病毒和恶意代码,而物理隔离不支持 MIME,只支持 TXT,或杀病毒软件,或恶意代码检查软件。物理隔离的指导思想与防火墙有很大的不同:防火墙的思路是在保障互联互通的前提下,尽可能安全,而物理隔离的思路是在保证必须安全的前提下,尽可能互联互通。但它们的隔离原理却基本上一样, 具体配置方法参见书本P158P159页。5.1.3 物理隔离产品的应用方式 根据具体的网络环境和所使用的网络隔离设备可以有如下几种应用方案:u 主机隔离解决方案该方案属于终端隔
5、离解决方案,所采用的隔离产品是物理隔离卡产品。u 通道隔离方案该方案属于信道隔离方案,所采用的安全隔离产品是网络线路选择器,当然物理隔离卡也是必不可少的。u 主机 -信道双网隔离解决方案该方案属于混合隔离模式,所采用的隔离设备也有物理隔离卡和网络线路选择器。u 主机 -信道多网隔离解决方案该方案与上一方案其实差不多,只不过此处隔离的不仅是两个网络。所采用的设备同样有物理隔离卡、网络线路选择器和网闸三类。 本节详细内容参见书本 P160页。5.2 物理隔离卡产品及应用 物理隔离卡技术是整个网络物理隔离技术一个重要分支,也是目前应用最广的一种网络隔离技术。目前最常见的物理隔离产品就是各种各样的隔离
6、卡、网络线路选择器和网闸等。 5.2.1 认识物理隔离卡目前的物理隔离卡产品非常多样,不同品牌或型号的隔离卡产品,与客户端硬盘存储设备的连接控制方式可能不同。有的是采用电源控制法,就是在隔离卡上提供两个硬盘电源接口,把硬盘的电源连接在隔离卡的不同接口上,如图 5-1所示;而有些采取的是采用电源 +数据线控制法,就是在隔离卡是同时提供两个硬盘电源和数据电缆接口,把硬盘的电源和数据电缆连接在隔离卡的不同电源和数据电缆接口上,如图 5-2所示。从这两个图中可以看出,在隔离卡上还提供一个用于与主板硬盘接口连接的硬盘数据电缆接口和一个电源接口。图 5-1: 仅带硬盘接口的隔离卡图 5-2:同时带有硬盘接
7、口和硬盘电源接口的隔离卡但要注意,有的隔离卡采用了 PCI结构,直接插到主板的 PCI插槽中,所以无需另外提供电源,也就没有这样一个电源接口了,如图 5-3所示。尽管隔离卡的磁盘接口和主机可能不一样,但却通常都提供双网络接口,用于连接内、外网网络。当然也有一些型号隔离卡产品虽然提供了双网络接口,但同时适用于单网线隔离模式。 本节详细内容参见书本 P160P162页。图 5-3 PCI主机接口隔离卡5.2.2 主要 物理隔离模式 目前主流的隔离模式有以下几种:u双网 /双机模式u双硬盘 /双网线模式u双硬盘 /单网线模式u单硬盘 /双网线模式以上各种隔离模式的具体配置方案和网络结构参见书本 P162P164页。5.2.3 图文网络安全物理隔离器 图文网络安全物理隔离器目前主要有四种型号产品:u 隔离器 I型隔离器 I型(如图 5-4所示)是一种通过外置物理开关来控制双硬盘电源及双网切换的隔离器,通常用于双网线布线(即内网、外网分开布线)网络。u隔离器 型隔离器 型(如图 5-5所示)是一种通过外置物理开关来控制双硬盘电源及双网切换的物理隔离器。它具备 型隔离器的全部功能,同时增加了单、双网线的跳线设置,单、双网线环境通用,通过隔离卡上的跳线区分单、双网线,使用更灵活、更方便。u隔离器 型