李飛

隨著計算機網(wǎng)絡的不斷普及和發(fā)展，傳統(tǒng)的網(wǎng)絡防御技術(shù)如防火墻、UTM、入侵檢測等，面對外網(wǎng)的各種威脅，其安全效能正在下降，為確保內(nèi)網(wǎng)的數(shù)據(jù)安全，最安全的方式就是實行內(nèi)外網(wǎng)物理隔離。但是，網(wǎng)絡的物理隔離，給內(nèi)外網(wǎng)數(shù)據(jù)的交換帶來很多不便。因此，就需要在內(nèi)、外網(wǎng)之間建立一個既符合物理隔離安全要求，又能進行數(shù)據(jù)交換的解決方案，這就誕生了網(wǎng)閘技術(shù)。

網(wǎng)閘全稱安全隔離網(wǎng)閘。安全隔離網(wǎng)閘是一種帶有多種控制功能的專用硬件，在電路上切斷網(wǎng)絡之間的鏈路層連接，并能夠在網(wǎng)絡間進行安全適度的應用數(shù)據(jù)交換。通用的網(wǎng)閘模型一般分三個基本部分：內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元、隔離與交換控制單元。如下圖：

數(shù)據(jù)交換區(qū)就是數(shù)據(jù)交換中的擺渡船，數(shù)據(jù)交換區(qū)與內(nèi)外網(wǎng)在任意時刻都不同時連接，實現(xiàn)物理隔離。網(wǎng)閘直接處理網(wǎng)絡間的應用層數(shù)據(jù)，利用存儲轉(zhuǎn)發(fā)的方法進行應用數(shù)據(jù)的交換，在交換的同時，對數(shù)據(jù)進行的各種安全檢查。

下面以網(wǎng)御星云網(wǎng)閘為例，談談網(wǎng)閘產(chǎn)品在內(nèi)外網(wǎng)隔離中的具體應用。

網(wǎng)御星云網(wǎng)閘基于“2+1”系統(tǒng)架構(gòu)，面板網(wǎng)絡接口分為兩排，上面一排為內(nèi)網(wǎng)接口，下面一排為外網(wǎng)接口。

一、部署方式：

內(nèi)網(wǎng)與外網(wǎng)在不同網(wǎng)段，網(wǎng)閘在其中起到隔離和路由的作用。服務器部署在內(nèi)網(wǎng)，其他終端電腦通過網(wǎng)閘訪問服務器，網(wǎng)絡拓撲如下圖。

二、配置要求：

外網(wǎng)客戶端PC與內(nèi)網(wǎng)服務器192.168.1.200的22334號TCP端口通信。要達到通過訪問網(wǎng)閘外網(wǎng)業(yè)務口22334端口實現(xiàn)訪問內(nèi)網(wǎng)服務器22334端口的效果。

三、配置流程：

首先保證外網(wǎng)客戶端PC到網(wǎng)閘外網(wǎng)業(yè)務口能通，網(wǎng)閘內(nèi)網(wǎng)業(yè)務口到內(nèi)網(wǎng)服務器能通；配置內(nèi)網(wǎng)-定制訪問-服務端配置；配置外網(wǎng)-定制訪問-客戶端配置。

四、配置步驟：

（1）登錄網(wǎng)閘內(nèi)網(wǎng)管理系統(tǒng)，網(wǎng)閘服務端任務配置：服務端-定制訪問-TCP訪問，輸入服務端任務號（注意定制訪問TCP任務號必須唯一）。

（2）登錄網(wǎng)閘外網(wǎng)管理系統(tǒng)，網(wǎng)閘客戶端任務配置：客戶端-定制訪問-TCP普通訪問，輸入服務端任務號（注意：必須和服務端保持一致）。

這樣，外網(wǎng)客戶端PC就可以通過訪問網(wǎng)閘外網(wǎng)業(yè)務口10.1.5.254的22334端口來訪問內(nèi)網(wǎng)服務器192.168.1.200的22334端口。同樣，內(nèi)網(wǎng)PC客戶端要訪問外網(wǎng)服務器，只要將外網(wǎng)服務器設(shè)置為服務端，內(nèi)網(wǎng)設(shè)置成客戶端，訪問內(nèi)網(wǎng)業(yè)務口192.168.1.1即可實現(xiàn)。

以上就是網(wǎng)閘設(shè)備在內(nèi)外網(wǎng)隔離中的簡單應用，這樣既保證了內(nèi)外網(wǎng)的安全隔離，又能夠?qū)崿F(xiàn)內(nèi)外網(wǎng)實時、高速的數(shù)據(jù)交換，提高了工作效率。endprint