出處：chinaitlab

一、背景

網(wǎng)絡(luò)的物理隔離是很多網(wǎng)絡(luò)設(shè)計(jì)者都不愿意的選擇，網(wǎng)絡(luò)上要承載專用的業(yè)務(wù)，其安全性一定要得到保障。然而網(wǎng)絡(luò)的建設(shè)就是為了互通的，沒有數(shù)據(jù)的共享，網(wǎng)絡(luò)的作用也縮水了不少，因此網(wǎng)絡(luò)隔離與數(shù)據(jù)交換是天生的一對矛盾，如何解決好網(wǎng)絡(luò)的安全，又方便地實(shí) <script src="http://www.net130.com/CMS/JS/newsad.js" language="javascript" type="text/javascript"></script> 現(xiàn)數(shù)據(jù)的交換是很多網(wǎng)絡(luò)安全技術(shù)人員在一直探索的。

網(wǎng)絡(luò)要隔離的原因很多，通常說的有下面兩點(diǎn)：

1、 涉密的網(wǎng)絡(luò)與低密級的網(wǎng)絡(luò)互聯(lián)是不安全的，尤其來自不可控制網(wǎng)絡(luò)上的入侵與攻擊是無法定位管理的。互聯(lián)網(wǎng)是世界級的網(wǎng)絡(luò)，也是安全上難以控制的網(wǎng)絡(luò)，又要 連通提供公共業(yè)務(wù)服務(wù)，又要防護(hù)各種攻擊與病毒。要有隔離，還要數(shù)據(jù)交換是各企業(yè)、政府等網(wǎng)絡(luò)建設(shè)的首先面對的問題。
2 安全防護(hù)技術(shù)永遠(yuǎn)落后于攻擊技術(shù)，先有了矛，可以刺傷敵人，才有了盾，可以防護(hù)被敵人刺傷。攻擊技術(shù)不斷變化升級，門檻降低、漏洞出現(xiàn)周期變短、病毒傳播 技術(shù)成了木馬的運(yùn)載工具…而防護(hù)技術(shù)好象總是打不完的補(bǔ)丁，目前互聯(lián)網(wǎng)上的“黑客”已經(jīng)產(chǎn)業(yè)化，有些象網(wǎng)絡(luò)上的“黑社會”，雖然有時(shí)也做些殺富濟(jì)貧的“義 舉”，但為了生存，不斷專研新型攻擊技術(shù)也是必然的。在一種新型的攻擊出現(xiàn)后，防護(hù)技術(shù)要遲后一段時(shí)間才有應(yīng)對的辦法，這也是網(wǎng)絡(luò)安全界的目前現(xiàn)狀。

因此網(wǎng)絡(luò)隔離就是先把網(wǎng)絡(luò)與非安全區(qū)域劃開，當(dāng)然最好的方式就是在城市周圍挖的護(hù)城河，然后再建幾個(gè)可以控制的“吊橋”，保持與城外的互通。數(shù)據(jù)交換技術(shù)的發(fā)展就是研究“橋”上的防護(hù)技術(shù)。

目前數(shù)據(jù)交換有幾種技術(shù)：

修橋策略：業(yè)務(wù)協(xié)議直接通過，數(shù)據(jù)不重組，對速度影響小，安全性弱
防火墻FW：網(wǎng)絡(luò)層的過濾
多重安全網(wǎng)關(guān)：從網(wǎng)絡(luò)層到應(yīng)用層的過濾，多重關(guān)卡策略
渡船策略：業(yè)務(wù)協(xié)議不直接通過，數(shù)據(jù)要重組，安全性好
網(wǎng)閘：協(xié)議落地，安全檢測依賴于現(xiàn)有安全技術(shù)
交換網(wǎng)絡(luò)：建立交換緩沖區(qū)，立體化安全監(jiān)控與防護(hù)
人工策略：不做物理連接，人工用移動(dòng)介質(zhì)交換數(shù)據(jù)，安全性做好。

二、數(shù)據(jù)交換技術(shù)

1、 防火墻

防火墻是最常用的網(wǎng)絡(luò)隔離手段，主要是通過網(wǎng)絡(luò)的 路由 控制，也就是訪問控制列表(ACL)技術(shù)，網(wǎng)絡(luò)是一種包交換技術(shù)，數(shù)據(jù)包是通過路由交換到達(dá)目的地的，所以控制了路由，就能控制通訊的線路，控制了數(shù)據(jù)包的流向，所以早期的網(wǎng)絡(luò)安全控制方面基本上是使用防火墻。很多互聯(lián)網(wǎng)服務(wù)網(wǎng)站的“標(biāo)準(zhǔn)設(shè)計(jì)”都是采用三區(qū)模式的防火墻。

但是，防火墻有一個(gè)很顯著的缺點(diǎn)：就是防火墻只能做網(wǎng)絡(luò)四層以下的控制，對于應(yīng)用層內(nèi)的病毒、蠕蟲都沒有辦法。對于訪問互聯(lián)網(wǎng)的小網(wǎng)絡(luò)隔離是可以的，但對于需要雙向訪問的業(yè)務(wù)網(wǎng)絡(luò)隔離就顯得不足了。

另外值得一提的是防火墻中的NAT技術(shù)，地址翻譯可以隱藏內(nèi)網(wǎng)的IP地址，很多人把它當(dāng)作一種安全的防護(hù)，認(rèn)為沒有路由就是足夠安全的。地址翻譯其實(shí)是代理 服務(wù)器 技 術(shù)的一種，不讓業(yè)務(wù)訪問直接通過是比防火墻的安全前進(jìn)了一步，但代理服務(wù)本身沒有很好的安全防護(hù)與控制，主要是靠操作系統(tǒng)級的安全策略，對于目前的網(wǎng)絡(luò)攻 擊技術(shù)顯然是脆弱的。目前很多攻擊技術(shù)是針對NAT的，尤其防火墻對于應(yīng)用層沒有控制，方便了木馬的進(jìn)入，進(jìn)入到內(nèi)網(wǎng)的木馬看到的是內(nèi)網(wǎng)地址，直接報(bào)告給 外網(wǎng)的攻擊者，地址隱藏的作用就不大了。

2、多重安全網(wǎng)關(guān)

防火墻是在“橋”上架設(shè)的一道關(guān)卡，只能做到類似“護(hù)照”的檢查，多重安全網(wǎng)關(guān)的方法就是架設(shè)多道關(guān)卡，有檢查行李的、有檢查人的。多重安全網(wǎng)關(guān)也有一個(gè) 統(tǒng)一的名字：UTM(統(tǒng)一威脅管理)。實(shí)現(xiàn)為一個(gè)設(shè)備，還是多個(gè)設(shè)備只是設(shè)備本身處理能力的不同，重要的是進(jìn)行從網(wǎng)絡(luò)層到應(yīng)用層的全面檢查。
^
流量整形 |
內(nèi)容過濾 |
防攻擊 |
防病毒AV |
防入侵IPS |
防火墻FW |

防火墻與多重安全網(wǎng)關(guān)都是“架橋”的策略，主要是采用安全檢查的方式，對應(yīng)用的協(xié)議不做更改，所以速度快，流量大，可以過“汽車”業(yè)務(wù)，從客戶應(yīng)用上來看，沒有不同。

3、網(wǎng)閘

網(wǎng)閘的設(shè)計(jì)是“代理+擺渡”。不在河上架橋，可以設(shè)擺渡船，擺渡船不直接連接兩岸，安全性當(dāng)然要比橋好，即使是攻擊，也不可能一下就進(jìn)入，在船上總要受到 管理者的各種控制。另外，網(wǎng)閘的功能有代理，這個(gè)代理不只是協(xié)議代理，而是數(shù)據(jù)的“拆卸”，把數(shù)據(jù)還原成原始的部分，拆除各種通訊協(xié)議添加的“包頭包 尾”，很多攻擊是通過對數(shù)據(jù)的拆裝來隱藏自己的，沒有了這些“通訊管理”，攻擊的入侵就很難進(jìn)入。

網(wǎng)閘的安全理念是：

網(wǎng)絡(luò)隔離---“過河用船不用橋”：用“擺渡方式”來隔離網(wǎng)絡(luò)
協(xié)議隔離---“禁止采用集裝箱運(yùn)輸”：通訊協(xié)議落地，用專用協(xié)議、單向通道技術(shù)、 存儲 等方式阻斷業(yè)務(wù)的連接，用代理方式支持上層業(yè)務(wù)

網(wǎng)閘是很多安全網(wǎng)絡(luò)隔離的選擇，但網(wǎng)閘代理業(yè)務(wù)的方式不同，協(xié)議隔離的概念不斷變化，所以在在選擇網(wǎng)閘的時(shí)候要注意網(wǎng)閘的具體實(shí)現(xiàn)方式。

4、交換網(wǎng)絡(luò)

交換網(wǎng)絡(luò)的模型來源于銀行系統(tǒng)的Clark-Wilson模型，主要是通過業(yè)務(wù)代理與雙人審計(jì)的思路保護(hù)數(shù)據(jù)的完整性。交換網(wǎng)絡(luò)是在兩個(gè)隔離的網(wǎng)絡(luò)之間建 立一個(gè)網(wǎng)絡(luò)交換區(qū)域，負(fù)責(zé)數(shù)據(jù)的交換。交換網(wǎng)絡(luò)的兩端可以采用多重網(wǎng)關(guān)，也可以采用網(wǎng)閘。在交換網(wǎng)絡(luò)內(nèi)部采用監(jiān)控、審計(jì)等安全技術(shù)，整體上形成一個(gè)立體的 交換網(wǎng)安全防護(hù)體系。

交換網(wǎng)絡(luò)的核心也是業(yè)務(wù)代理，客戶業(yè)務(wù)要經(jīng)過接入緩沖區(qū)的申請代理，到業(yè)務(wù)緩沖區(qū)的業(yè)務(wù)代理，才能進(jìn)入生產(chǎn)網(wǎng)絡(luò)。

網(wǎng)閘與交換網(wǎng)絡(luò)技術(shù)都是采用渡船策略，延長數(shù)據(jù)通訊“里程”，增加安全保障措施。

三、數(shù)據(jù)交換技術(shù)的比較

不同的業(yè)務(wù)網(wǎng)絡(luò)根據(jù)自己的安全需求，選擇不同的數(shù)據(jù)交換技術(shù)，主要是看數(shù)據(jù)交換的量大小、實(shí)時(shí)性要求、業(yè)務(wù)服務(wù)方式的要求。

數(shù)據(jù)交換技術(shù)	安全性	適合場合
人工方式	安全性最好，物理隔離	適合臨時(shí)的小數(shù)量的數(shù)據(jù)交換
數(shù)據(jù)交換網(wǎng)	物理上連接，采用完整安全保障體系的深層次防護(hù) ( 防護(hù)、監(jiān)控、審計(jì) ) ，安全程度依賴當(dāng)前安全技術(shù)	適合提供大數(shù)據(jù)服務(wù)或時(shí)時(shí)的網(wǎng)絡(luò)服務(wù)，支持多業(yè)務(wù)平臺建設(shè)
網(wǎng)閘	物理上不同時(shí)連接，對攻擊防護(hù)好，但協(xié)議的代理對病毒防護(hù)依賴當(dāng)前技術(shù)	適合定期的批量數(shù)據(jù)交換，但不適合多應(yīng)用的穿透
多重安全網(wǎng)關(guān)	從網(wǎng)絡(luò)層到應(yīng)用層的防護(hù)	不適合涉密網(wǎng)絡(luò)與非涉密網(wǎng)絡(luò)數(shù)據(jù)交換。適合辦公網(wǎng)絡(luò)與互聯(lián)網(wǎng)的隔離，也適合涉密網(wǎng)絡(luò)之間的隔離
防火墻	網(wǎng)絡(luò)層的安全防護(hù)	適合網(wǎng)絡(luò)的安全區(qū)域的隔離，適合同安全級別的網(wǎng)絡(luò)隔離

網(wǎng)絡(luò)隔離下的幾種數(shù)據(jù)交換技術(shù)比較