網(wǎng)絡(luò )隔離邊界安全接入技術(shù)

隨著(zhù)互聯(lián)網(wǎng)與網(wǎng)絡(luò )技術(shù)的不斷發(fā)展與越來(lái)越廣泛深入的應用，以及網(wǎng)絡(luò )建設的復雜化，網(wǎng)絡(luò )邊界安全與邊界接入越來(lái)越成為企業(yè)亟待解決的問(wèn)題。

　　近年來(lái)，針對邊界安全，國家各部門(mén)均制定過(guò)了制度和文件，如，公安部制定的等級保護的制度，保密局制定的分級保護標準，中國移動(dòng)的安全域項目，電力行業(yè)的雙網(wǎng)隔離要求等等，這些都是跟邊界安全撇不開(kāi)關(guān)系的。而在邊界安全的項目中，會(huì )應用到網(wǎng)絡(luò )隔離技術(shù)，一般情況下，而邊界隔離往往又阻礙了邊界接入帶來(lái)的便捷性的發(fā)展，相反更增加日常工作的負擔。

　　這里說(shuō)一說(shuō)目前應用較多的網(wǎng)絡(luò )隔離邊界安全的設備，網(wǎng)閘、防火墻、VPN、UTM等等。

　　網(wǎng)閘

　　首先我們說(shuō)說(shuō)網(wǎng)閘，說(shuō)得通俗點(diǎn)，網(wǎng)閘就是采用雙網(wǎng)絡(luò )接口加開(kāi)關(guān)機制，和外網(wǎng)通信時(shí)與內網(wǎng)的網(wǎng)絡(luò )接口斷開(kāi)，來(lái)保證內網(wǎng)不暴露在外網(wǎng);當需要的數據從外網(wǎng)上下載到內網(wǎng)，然后和內網(wǎng)通訊時(shí)，外網(wǎng)的網(wǎng)絡(luò )接口斷開(kāi)，但這個(gè)產(chǎn)品是因政府的要求內外網(wǎng)必須物理隔離帶來(lái)的具有中國社會(huì )主義特色的產(chǎn)品，網(wǎng)閘在內外網(wǎng)之間扮演著(zhù)一種類(lèi)似“信息渡船”的作用，網(wǎng)閘的本質(zhì)也是邏輯隔離，更關(guān)健的是網(wǎng)閘的部署首先帶來(lái)的就是犧牲網(wǎng)絡(luò )性能，而不似防火墻能夠保持比較良好的通信實(shí)時(shí)性。

　　防火墻與UTM

　　接下來(lái)我們談?wù)劮阑饓εcUTM，UTM我們可以簡(jiǎn)單的理解為，UTM是由入侵檢測、防病毒、防火墻三個(gè)功能模塊組合而成的一個(gè)產(chǎn)品，

　　不管是防火墻還是UTM，利用ACL+NAT的技術(shù)是可以很好的解決邊界隔離與邊界接入的問(wèn)題的，不過(guò)很顯然，這種技術(shù)是基于TCP/IP傳輸層和網(wǎng)絡(luò )層的，很好的保障了傳輸層和網(wǎng)絡(luò )層的安全，但對于應用層卻是無(wú)能為力的，新型的UTM的入侵檢測模塊有部份應用層的功能，但其大部份還是對傳輸層的支持，且入侵檢測模塊對應用層的功能是屬于檢測和告警機制的支持，而對應用層的入侵阻斷的支持是比較有限的，而對于應用層的一些業(yè)務(wù)，如應用發(fā)布、遠程交互是沒(méi)有這些功能的，這就使得外部用戶(hù)對內部資源的訪(fǎng)問(wèn)不能提供一個(gè)便捷而安全的途徑。

　　VPN

　　接下來(lái)我們再談?wù)刅PN設備，首先一般的防火墻和UTM是有VPN模塊的，但隨著(zhù)VPN技術(shù)越來(lái)越廣泛的應用，專(zhuān)業(yè)的VPN設備也隨之而生了。首先來(lái)講，專(zhuān)業(yè)的VPN設備解決了防火墻和UTM在應用發(fā)布和遠程交互的無(wú)能為力的局面。且VPN在傳輸中采用的加密通道，安全性也是比較好的，但VPN 對應用發(fā)布的支持的力度還是非常欠缺的，一般的B/S的應用VPN是支持的，但支持不了B/S應用的代理登陸認證過(guò)程，對一些應用，如Outlook、 SMB文件共享也能夠提供支持，而對廣泛的C/S應用卻支持不了，當然有些VPN廠(chǎng)商可以通過(guò)定制開(kāi)發(fā)的形式對一些特殊的C/S應用提供有限支持，但因為 VPN技術(shù)的局限性，這種開(kāi)發(fā)成本是非常大的，而且耗時(shí)也會(huì )超出一般企業(yè)的可承受范圍。

　　那有什么產(chǎn)品既可以完美的解決邊界接入的安全問(wèn)題又能支持邊界接入之后對應用發(fā)布和遠程交互的跨網(wǎng)訪(fǎng)問(wèn)廣泛支持度呢，答案是肯定的，深圳溝通科技最新研制的安全接入保壘機就當仁不讓的扛起了這面大旗。

　　溝通科技安全接入堡壘機方案拓撲圖

　　用戶(hù)在低安全域環(huán)境下把鍵盤(pán)和鼠標指令信息通過(guò)溝通安全接入堡壘機上行到高安全域應用服務(wù)器，高安全域的屏幕變化信息下行到低安全域，但禁止其它實(shí)體數據信息流在兩個(gè)安全域之間直接交換;由于沒(méi)有其它實(shí)體信息流在兩個(gè)安全域之間直接交換，因此，低安全域的鍵鼠指令信息，不會(huì )直接破壞高安全域的完整性，高安全域的高密級實(shí)體數據信息也不會(huì )泄漏到低安全域。

　　溝通科技安全接入堡壘機產(chǎn)品原理

　　采用虛擬化技術(shù)分離應用的表現與計算，實(shí)現虛擬應用交互、本地化應用體驗，客戶(hù)端與服務(wù)器之間只傳遞鍵盤(pán)、鼠標和熒屏變化等交互信息，沒(méi)有實(shí)際的業(yè)務(wù)數據流到客戶(hù)端，客戶(hù)端看到的只是服務(wù)器上應用運行的顯示映像，避免跨域傳輸實(shí)體數據，從而提升跨域訪(fǎng)問(wèn)的安全性。

　　實(shí)體靜態(tài)數據傳輸建立專(zhuān)屬文件安全傳輸通道，涉及靜態(tài)文件跨安全域上傳和下載，先通過(guò)網(wǎng)閘或其他數據同步傳輸設備從低安全域同步到高安全域，靜態(tài)數據經(jīng)過(guò)安全擺渡，避免由于上傳靜態(tài)文件攜帶病毒威脅高安全域的網(wǎng)絡(luò )或數據安全。