企业网络安全隔离技术分析研究

华建祥

（福建林业职业技术学院，福建 南平 353000）

企业网络安全隔离技术分析研究

华建祥

（福建林业职业技术学院，福建 南平 353000）

本文分析了企业网络面临的安全威胁及网络安全隔离技术对网络安全威胁的防范作用，并在分析研究了几种常用的网络安全隔离技术之后，结合企业网络的具体应用需求，提出了3种企业网络应用环境下的网络安全隔离方案。

网络安全；网络隔离；物理隔离

引言

随着计算机网络技术和信息技术的飞速发展，现代企业信息化程度也越来越高，企业信息化的基础是企业网络，企业网络的应用为企业全面推进信息化提供了可靠保障，但同时，由于计算机网络的开放性、通信协议（TCP/IP）缺乏安全保障机制、黑客攻击泛滥网络等因素也给企业信息资源安全带来了威胁。根据美国FBI的调查，美国每年因为网络安全造成的经济损失超过1.7亿美元，75%的公司报告财政损失是由计算机系统的安全问题造成的[1]。计算机是构成企业网络的基本单元，为了保证企业网络中计算机系统的安全，一些企业禁止企业内网与Internet互联，以此求得企业内部网络的安全。但是企业网络建设的目的就是为了互通，为了信息的共享和交换，要实现安全互联，网络隔离技术[2]就显得格外重要了，充分了解网络隔离技术的特点，针对企业网络不同应用需求，制定不同网络隔离方案，将有助于企业保证信息资源的安全，规避互联网带来的风险，同时又能充分地利用互联网的资源。

1 网络面临的安全威胁和风险

根据企业网络系统的网络结构和受攻击情况，企业网络安全威胁可分为来自外部公共网的安全威胁、来自企业网内部的安全威胁、网络互联设备的安全风险、病毒感染和高级持续威胁。

1.1 来自外部公共网的安全威胁

企业网络与公共网互连，由于公共网络覆盖范围广，用户连接复杂，攻击者每天都在尝试侵入内部网络节点，获取企业涉密信息。假如内部网络的关键结点一旦被攻陷，攻击者很有可能获取企业大量机密信息，并可以这一结点为平台扩展此次攻击范围，造成更大范围的企业损失。因此，如果企业内部网络与外部网络间不采取一定的安全隔离措施，内部网络将很容易受到外部网络的入侵攻击。

1.2 来自企业网内部的安全威胁

据调查大概70%的网络安全攻击事件来自于企业的内部网络[1]，这些威胁包括：内部工作人员有意或无意泄漏机密信息、关键数据；关键存储区域随意使用移动存储设备；内网桌面机使用P2P软件、即时通信软件和下载工具等。

1.3 网络互联设备的安全隐患

在整个数据通信链路上包括很多网络互联设备如交换机、路由器、防火墙、入侵检测系统、上网行为检测系统等，它们有些设置相对比较复杂，可能由于管理人员的配置不到位，这些设备能用但安全防范功能却不佳。

1.4 病毒感染

据统计，目前计算机病毒、木马和蠕虫等仍是互联网上计算机受感染的主要方式。用户计算机一旦感染这些恶意代码，轻则造成网络拥塞，重则重要数据受到破坏或泄露，严重影响机密数据的安全存储和应用程序的正常执行。

1.5 高级持续威胁（APT）

高级持续威胁（APT）是指针对特定部门获取特定数据的网络攻击，其危害性巨大，一旦突破防火墙，将在内网中到处收集关键系统的机密信息，继而利用这些信息来访问关键信息，窃取敏感数据，而且其隐蔽性很强，企业可能会在很长时候后才发现自己受到了攻击。

2 网络隔离技术对网络安全威胁的防范作用

网络之所以不安全，是因为其基础协议（TCP/IP）缺乏安全保障机制。互联网通信的基础是TCP/IP协议，几乎所有的网络攻击都可归结为对TCP/IP某一层或某几层的攻击，而网络隔离技术可以有效阻断网络间直接TCP/IP连接，使直接基于TCP/IP的网络攻击无法到达内网，对内网起到了有效的隔离保护作用[2]。

3 网络隔离技术

网络隔离（Network Isolation）技术的目标[6]是隔离有害网络攻击，在保障内部信息不外泄的前提下，在可信网络和不可信网络之间完成数据的安全交换。有多种形式的网络隔离，如逻辑隔离、物理隔离、协议隔离等，不论采用何种形式的隔离，其实质都是数据或信息的隔离。

3.1 逻辑隔离

逻辑隔离[5]是指外部网络和内部网络在物理上是连通的，但通过技术手段保证它们在逻辑上是隔离的，包括防火墙、多重安全网关、分布式防火墙、交换网络等技术。

3.1.1 防火墙

防火墙是目前企业网与外网隔离常用的一种网间逻辑隔离器，从技术上来下定义，防火墙是一个以隔离为目的的安全网关设备，是可信区域与不可信区域之间信息的唯一出入口，能根据内网的安全策略对出入网络的信息流施加控制，且本身具有较强的抗攻击能力，是实现网络和信息安全的基础设施。

根据功能和应用层次的不同，可将防火墙分为包过滤型防火墙、状态检测防火墙和代理服务型防火墙三种类型。前两种有一个共同的特征就是依靠特定的逻辑判定来决定数据包是否通过，预先设定的规则一旦满足，防火墙内外的计算机系统就会直接建立联系，外部用户便有可能直接进入防火墙内部，有利于非法访问和攻击的实施。

代理服务型防火墙能将跨过它的网络通信链路分为两段，两段之间的计算机系统不能直接建立通信，要完成通信过程都要通过代理服务型防火墙的中转连接。外部计算机的网络链路只能到达代理服务型防火墙，进不了内网，从而达到了隔离内外计算机系统的目的，但速度相对较慢是代理服务型防火墙最大的缺点，尤其是在用户内外部网络通信量较大时，代理服务型防火墙很容易在内外通信链路上形成瓶颈。

3.1.2 多重安全网关

多重安全网关比防火墙提供了更完全的安全保护，这种技术对OSI七层模型中描述的所有层次内容进行处理，其性能超过了深度包检测技术和状态检测技术，在千兆网络环境下能实时将网络层数据负载重组为应用层对象，而且重组之后的应用层对象可以通过动态更新病毒和蠕虫特征来进行扫描和分析。多重安全网关还可探测各种威胁，包括不良WEB内容、垃圾邮件、间谍软件和网络钓鱼欺骗等，为企业信息提供了良好的安全防护。

3.1.3 分布式防火墙技术

分布式防火墙[3]由网络防火墙、主机防火墙和中心管理系统三部分构成，可以解决传统边界防火墙的不足，能将防火墙的安全防护系统拓展到网络中的各台主机和终端桌面机。分布式防火墙以驻留主机为信任单位，主机以外全部不信任，因此可以针对主机应用设定针对性极强的安全策略，使得安全策略不仅仅停留在网络与网络之间，而是推广延伸到网络末端。另外，主机防火墙的安全监测核心引擎是嵌入操作系统内核的，它能直接掌控网卡，对所有数据包进行检查后才提交操作系统使用，而且主机防火墙的安全策略由系统管理员统一配置，这不但能有效保护桌面机，而且也能对桌面机的对外访问加以限制，并且这种安全机制对桌面机的使用者来说是透明的。

实际应用中，并不要求对网络中每台主机都要安装主机防火墙这样的系统，这样会严重影响网络的通信性能。它一般用于保护企业内网中的关键主机和关键数据存储区域。

3.1.4 交换网络

交换网络[4]是在两个需要隔离的网络之间建立起来的一个网络交换区域，负责可信网络和不可信网络之间的数据交换。在交换网络与内外网接入处即可以采用多重安全网关，也可以采用网闸，在交换网络内部可以采用监控、审计等安全技术，从而在整体上形成一个立体的安全防护体系。

在交换网络的设计模型[6]中，可以把交换网分成接入缓冲区和业务缓冲区两个区域。外网与交换网络接入处采用多重安全网关，主要针对黑客攻击、病毒入侵等，接入缓冲区中采用IDS对网络入侵行为和异常流量进行监控，业务缓冲区采用IDS和网络审计系统，业务缓冲区与内网连接处采用网闸，利用网闸的摆渡特性来隔离网络，若内网业务对实时性有一定的要求，此处也可采用多重安全网关。

交换网络从网络安全、业务安全的角度审视与非安全网络的互联，其安全性大大加强，是一种比较安全的网络隔离技术。

3.2 物理隔离

网络隔离的重点是物理隔离。物理隔离的特点就是外网和内网之间不直接相连接，内网和外网之间要交换数据，必须经过中间的隔离设备，要交换数据的一方先与隔离设备建立非TCP/IP连接，完成后再断开，由隔离设备再与交换数据的另一方建立非TCP/IP连接，最终在相互隔离的内外网之间完成数据的安全交换。

物理隔离的基本原理是利用中间隔离设备来交换数据，数据的每一次交换，都需要经过写入数据和读出数据两个步骤，它的物理实现是通过单刀双掷开关，在内外处理单元之间进行分时存取，通过共享存储设备完成数据交换。从软件层面来讲是通过对应用层数据的提取与安全审查，以达到杜绝基于协议层的攻击和增强应用层安全的效果。

在所有隔离技术中，物理隔离对信息资源的保护最有效，一般用来保护用户的核心数据和资源，物理隔离技术的指导思想与逻辑隔离有显著的不同，逻辑隔离是在保障网络互通的前提下尽可能实现数据的安全交换，而物理隔离是在保证数据安全的前提下，尽可能实现网络的互联互通。

由物理隔离的原理可知其数据传输机制是存储和转发，因此其在数据的传输过程中不可避免地会产生延迟，故不适合于对实时性要求较高的网络应用。

4 企业网络应用对网络隔离技术的需求

4.1 企业机密数据的安全存储需求

网络安全的实质就是数据安全，企业机密数据的安全性对于企业来说是至关重要的，因此存储有企业机密数据的计算机和网络应该采用物理隔离方案，同时应该制定严格的管理制度，并安排专人按照管理制度进行严格管理，以保证其安全性。

4.2 企业对外服务器的安全保证需求

企业为了满足业务发展的需求，一般都会架构对外提供服务的服务器，如WEB服务器、DNS服务器、FTP服务器、数据库服务器等等，由于这类服务器的工作依赖于Internet，并且对实时性有一定的要求，因此在实际应用中对此类服务器一般不采用物理隔离方式，而采用逻辑隔离，根据企业对安全的要求等级和投入的成本从高到低依次可采用交换网络技术、多重网关和防火墙技术。

4.3 企业对内部办公网络和桌面机的安全需求

企业内部网络和桌面机的安全保证一直是企业很关心的一个问题，在现有的网络隔离技术中，要保证内部网络和桌面机的安全可以采用逻辑隔离的分布式防火墙技术，分布式防火墙体系结构中的网络防火墙可以用于内部网与外部网之间和内部网各子网间的防护，主机防火墙可以对网络中的服务器和桌面机进行防护。

5 结语

由于网络安全是企业网络正常运行的前提，而企业网络的建设是实现企业信息化的基础和保证，没有安全的防范技术，企业网络的安全将无从谈起。而网络安全隔离技术分别从逻辑上和物理上对网络实行了隔离，实现了对网络的安全保护，企业网络是为企业应用服务的，企业网络隔离方案的制订应该根据企业实际的应用需求来确定，当然企业网络的安全并不单单靠安全隔离技术就能实现的，同时还应辅助以严格的安全管理制度。

[1]韩慧莲,徐力,龚清勇等.基于企业的计算机网络安全方案的设计与实现[J].华北工学院学报,2005，26（3）：187-192.

[2]廖永松.企业网络隔离方案探讨[J].武钢技术，2006，44（6）：32-35.

[3]赵兵，孙梅.分布线防火墙技术的分析与研究[J].软件导刊，2010，9（3）：126-127.

[4]翟胜军.数据交换网：全方位保障业务安全性[J].中国电信业，2008：68-69.

[5]黄传河，杜瑞颖.网络安全[M].武汉：武汉大学出版社，2004.

[6]胡道元，阂京华.网络安全[M].北京：清华大学出版社，2004.

Research on Network Isolation Technology of Intranet

HUA Jianxiang

(Fujian Forestry Vocational&Technical College,Nanping,Fujian 353000)

The thesis analyzes security threats in enterprise network and the preventative effects of network isolation technology on the network risk.It also studies on several major isolation technologies,combines with enterprise network requirements and puts forward three security isolation applications.

Network Security;Network Isolation;Physical Isolation

TP393.08

A

1674－2109(2011)05－0025－04

2010-09-01

华建祥（1982-），男，汉族，工程师，硕士，主要研究方向：计算机网络技术、网络安全。