楊杰

摘 要：文章將詳細分析內外網隔離技術的原理、主要功能及特點，還提出了內外網隔離狀態(tài)下的辦公解決方案。

關鍵詞：內網；外網；郵件轉發(fā)；辦公解決方案

1 概述

信息化發(fā)展的速度越來越快，計算機網絡技術也得到越來越廣泛地應用。如今，計算機網絡技術需要進行安全維護的重點和難點是網絡基礎建設。現(xiàn)在很多的企業(yè)、學校都擁有了自己內部的網絡，而這種內網是進行內部的信息共享及傳輸?shù)膶Ｓ镁W絡，它能夠提供辦公自動化、內部運行管理系統(tǒng)、在線教育等應用的基礎網絡環(huán)境。內網的設置大大地提高了工作人員的辦公效率，同時，還實現(xiàn)了信息的實時傳輸，例如郵件的轉發(fā)。

2 內外網隔離技術的原理及其主要功能

2.1 基本原理

有線網廣泛地運用了雙網隔離技術，而這種技術可以解決公安、金融、電子政務系統(tǒng)等有關專用網絡與公共網絡相互轉換的問題。

內外網隔離技術的基本原理是通過將不同網絡的通用協(xié)議的連接截斷，分解外網的IP數(shù)據包后，再對其進行重組，從而構成靜態(tài)數(shù)據包。內外網隔離技術還需要檢查靜態(tài)數(shù)據包的安全性，其中，包括檢查各個網絡協(xié)議以及掃描代碼進等具體步驟。該技術最后一步是在確認靜態(tài)數(shù)據的安全后，將IP數(shù)據包傳送到內網，其中，內網（專用網）的用戶必須通過身份驗證才能得到所需數(shù)據。

公用網絡是通過像隔離網閘此類的網絡隔離設備，連接專用網絡。隔離網閘將先按照TCP/IP協(xié)議將由公用網絡傳送的IP數(shù)據包全部剝離出去，再將原始數(shù)據包放入存儲的介質中，最后通過“擺渡”將這些數(shù)據傳送到內部的主機系統(tǒng)中，以達到實現(xiàn)信息的交換的目的。“擺渡”指的是在任何時候，隔離網閘只能和一個網絡的主機進行非TCP/IP協(xié)議的數(shù)據連接的建立，也就是說，當隔離網閘與外部的主機連接時，它就必須斷開與內部主機的連接；反之，當隔離網閘與內部主機相連接時，就必須斷開與外部主機的連接，必須確保專用網絡、公用網絡不能同時連接在隔離網閘上。數(shù)據“擺渡”的機制將實現(xiàn)原始數(shù)據在存儲介質中的存儲和轉發(fā)。

在網絡的第七層中，隔離網閘將IP數(shù)據包轉換成原始數(shù)據后，通過“擺渡文件”來傳送原始數(shù)據。同時，隔離網閘不允許通過任何形式的信息傳輸命令、數(shù)據包，甚至TCP/IP協(xié)議。

2.2 簡述雙網隔離技術的功能

內外網隔離技術解決的主要問題是專用網和公用網之間的數(shù)據交換，從內外網共享的數(shù)據類型以及速度的需要出發(fā)，總結了幾個內外網隔離技術的功能。

能夠進行文件交換，就是說，用戶不僅可以在專用網絡的服務器上進行實時或是定時的單向或者雙向的文件隔離交換，還可以在公用網絡的服務器上進行這些操作。能夠進行郵件交換。因為內外網的郵件服務器之間進行了郵件隔離交換，所以用戶可以安全地收發(fā)郵件。能夠進行安全瀏覽，并且支持非透明以及透明模式的安全上網。還有就是能夠防護病毒。該技術可以檢查交換的數(shù)據中是否存在病毒，從而及時防止用戶遭受未知或者已知病毒的攻擊。能夠通過用戶名、口令等對用戶進行身份驗證。

3 內外網隔離狀態(tài)下的辦公解決方案

3.1 安全接入體系

終端加固指的是通過設置硬件密碼來對終端的安全進行加固，從而更加安全地控制終端計算的環(huán)境、網絡訪問以及信息資源。信道加密則是指采用加密算法對從移動終端傳送到安全隔離區(qū)端（或者反向）的通信數(shù)據進行加密，以此來確保在傳輸過程中專用網的數(shù)據以及信息能夠保持它們的完整性以及機密性，同時，該加密信道應該是建立在通信運營商提供的VPN專線中的。安全隔離區(qū)與移動終端接入的不同設備之間的雙向身份認證是通過認證接入來實現(xiàn)的，只有合法的身份證書才能通過身份驗證，并且將移動終端接入安全隔離區(qū)中。訪問控制則是控制只有已授權的移動終端才能訪問專用網的數(shù)據信息資源，除此之外，還必須阻斷可能出現(xiàn)的異常訪問。網閘隔離非常好地實現(xiàn)了專用網與公用網之間的隔離，對內網中輸入、輸出的信息、數(shù)據進行協(xié)議剝奪和內容過濾。

雙網隔離技術中對安全性不同的網絡之間進行數(shù)據交換，采用的是專用安全協(xié)議、通信硬件、加密驗證機制及提取、鑒別和認證應用層數(shù)據的技術，以此來阻斷專用網和公用網之間的直接網絡協(xié)議連接，除此之外，對內外網之間的通信設置了嚴格的內容過濾、身份驗證、安全審計等等的安全防護機制，以確保內外網數(shù)據交換的安全性和可控性，同時，避免出現(xiàn)因操作系統(tǒng)和網絡協(xié)議自身的漏洞攜帶來的風險。

3.2 采用虛擬專用網絡技術解決雙網隔離下的郵件轉發(fā)

3.2.1 虛擬專用網絡

在公用網絡上創(chuàng)建專用網絡的技術就是虛擬專用網絡（Virtual Private Network，簡稱VPN）技術。具體來說，VPN實際上是遠程訪問技術，在公用網絡的傳輸鏈路上創(chuàng)建專用網絡。一個機構要構建自己的VPN就必須為它的每一個場所購買專門的硬件和軟件，并進行配置，使每一個場所的VPN系統(tǒng)都知道其他場所的地址。

VPN是通過IP隧道技術實現(xiàn)的。IP隧道技術就是先對專用網不同網點之間需要傳送的內部數(shù)據報加密后，再通過因特網的隧道，最后將數(shù)據報傳送到目的網點。

3.2.2 具體實例

隨著科技的發(fā)展，VPN的技術也日漸成熟，同時還發(fā)展了更多的種類。因此，我們可以從實際需求出發(fā)，利用SSL VPN來實現(xiàn)雙網隔離狀態(tài)下的移動辦公。如果用戶采用SSL VPN發(fā)布一些應用，就能避免專用網服務器直接連接在公用網上可能會產生的風險。如果外出時，用戶需要連接公司內部的專用網絡，可以直接通過瀏覽器打開網頁完成SSL VPN的登錄，同時建立起相應的安全隧道。這些操作就和登錄網銀、支付寶一樣特別容易上手。因為SSL協(xié)議在網絡協(xié)議中的安全等級較高，所以現(xiàn)在的網上銀行一般都是采用 SSL協(xié)議對數(shù)據傳輸?shù)陌踩M行保護，同時，采用標準的AES、RC4等加密算法來加密數(shù)據的傳輸過程和內容，提高了數(shù)據傳輸?shù)陌踩浴?/p>

3.3 移動辦公網絡組網方案

從移動辦公安全體系架構出發(fā)，建立一個以內外網隔離技術為基礎的端到端的移動辦公解決方案。該方案中將辦公網絡分為3個部分，分別為外網、內網、安全隔離區(qū)。

整個隔離區(qū)設置了IPS、審計安全、評估鑒別、身份認證等有關的安全防護措施，并且，連接移動終端與專用網之前需要防護相應的安全。除此之外，網絡隔離技術的相關設備已經從物理鏈路上斷開了專用網和公用網之間的直接連接。因此，網絡隔離區(qū)足夠解決有關移動辦公的安全問題，也能保證內網的信息資源遭到非法竊取。

4 結束語

進入21世紀以來，計算機網路技術一直在迅猛發(fā)展，并且滲透到社會的各個行業(yè)。為了確保企業(yè)的應用系統(tǒng)能夠正常、安全地運行，企業(yè)內部的信息資源不被泄露，也為了避免遭受外網對企業(yè)內部網絡的攻擊，必須采用內外網隔離技術。而在內網隔離狀態(tài)下，引入VPN或者采用移動辦公網絡組網的方案都可以使得辦公的數(shù)據、信息能夠安全地傳遞。

參考文獻

[1]王明剛，趙軍.淺析內外網隔離方案[J].傳輸網絡，2009（04）：108-110.

[2]孫慶和，劉道群.網絡隔離技術在3G移動辦公中的應用探討[J].計算機科學，2013（06）：381-383.