隔离内外网要的是安全

隔离内外网要的是安全

欧太太快把欧主管逼疯了。

十一前夕，欧主管工作特别忙，天天深更半夜回家不说，连双休日都没个休息。欧太太不但没体贴照顾，还急催着欧主管联系I博士、钱经理，要他在节前安排个小聚会。目的是给她出一套“隔离”建议。

谁让欧主管“妻管严”呢？迫于威逼的压力，9月25日下午，把人招呼到自己家。

隔离内外网要的是安全

确切定义网闸技术应该是：通过专用硬件，使两个或者两个以上的网络在不连通的情况下，实现安全数据传输和资源共享的技术。

欧太太一身素装，温文尔雅地坐入沙发中，显出不少妩媚。让平时无话不说、玩笑中带荤腥味儿的三哥们儿略显拘束。

欧太太轻声细语地开始了她的倾述。

增节点还是配双网卡？

“我们是家股份制银行，银行信息化建设时间不长，从建设之初，就对安全考虑不充分，内外网一直没有完全分开。前不久，兄弟单位的下属单位发生了安全事件，给我们敲响了警钟。我们很担心内网的办公机密、用户账户等信息流入外网，进而被黑客盗取。”

欧太太接着说，“目前，我们当务之急是分开内外网。由于网络建设比较完善，如果现在分开内外网，工作量很大。”

比如，当前每个人只有一个节点，要分开内外网，有一种办法是给每个人再配一个节点。对于1000多人的银行，这是一个不小的工作重负。建行就是这么做的，一人两台机器，一台用于内网办公，一台用于外网访问。办公极为不方便，还占用了大量的工作空间。

还有一种办法是在单机上安装双网卡、双硬盘。这意味着计算机要升级。升级计算机不仅提高了投入成本，同样也增大了工作量。

“今天请大家来，是想让大家帮忙出出主意，分析一下采用哪种方法更好，也就是说，哪种方法更容易实现，投入更小。”话一口气说完，娇小的欧太太脸上泛起红晕。

这个问题难住了钱经理，爱说的他闭口无言。欧太太将目光略过欧主管，投向了满脸书卷气的i博士。她知道，在这个问题上，欧主管是个外行。

隔离内外网，网闸有高招儿

i博士明白她的眼神，接着她的话表了自己的态，“我看，哪种方法都不可取。原因你已经分析得很清楚了。我倒有个新方案——网闸。”

“网闸？”欧太太睁大了眼睛，看来她从没听说过这个词儿。欧主管这方面的知识似乎也略显欠缺，他倾听的热情亦是高涨。

网闸是将内网、外网全面隔离开来的一种技术。它为网络提供了更高层次的安全防护能力，增强了网络的抗攻击能力，也可以有效地防范信息外泄事件的发生。

“这个技术听起来不错，只是，它真的能把内、外网的连接切断吗？”欧太太有些疑惑。

“当然，真正意义上的网闸是能够做到不仅物理隔离(像断开的桥一样)，还有通信隔离(断开的桥两端可有无线通信的连接，而网闸是能够连通信都切断的)。”i博士回答。

网闸安全吗？

“那么，使用网闸的安全度有多高呢？我们银行用了不少的安全产品，我发现有些安全产品本身就存在安全隐患，网闸会不会也是这样呢？”欧太太忧心重重。

i博士赞赏地看着欧太太，说：“你的问题提得非常好，我可以肯定地告诉你，网闸是安全的。”接着，i博士开始论证这个观点。

网闸采用了专门定制的安全操作系统，所有不需要的功能全被裁减掉，完全为网闸量身定制，具有很高的安全性。同时，操作系统存放在DOM(一种IDE硬盘)中，不能被随意修改；而经常读写的日志系统则存放在大容量的硬盘中，把操作系统和日志系统存储设计分开，使得网闸的系统结构比较安全。

最为重要的是，网闸通过专有隔离交换卡，进行基于硬件的安全隔离，这让两个网络之间没有任何的网络物理连接，没有任何的网络协议可以直接穿透。

从技术角度讲，网闸工作在网络OSI模型的每一层(共7层)，所以，经过它隔离的内网和外网之间无通信连接、无命令传输、无协议交换、无TCP/IP连接、无应用连接、无包转发功能。只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。网闸达到的安全效果是：对于内网，病毒与黑客无法攻击，无法入侵，无法破坏。

尽管网闸阻断了所有的连接，但是，交换信息还是可以进行的。计算机连网是为了信息交换和共享，交换信息有很多种形式，连网只是其中的一种。在没有互联网的时代，信息照样交换。阻断了连接，完全可以通过其他形式继续进行信息交换。

大家比较能理解的方式是，从一台连网的计算机中，将数据拷贝复制，继续检查后，再拷贝复制到另外一台计算机中。其他的形式还有复制(拷贝)、数据摆渡、镜像和反射等。

v1.0升级到v2.0

看着欧太太信服的神情，i博士顺势介绍了网闸发展状况以及它能应对的攻击，进一步说服欧太太选用网闸技术。

网闸技术最早起源于以色列，通常在物理隔离的情况下，要在外网和内网之间进行数据交换的话，一般是通过磁盘或其他存储设备进行人工的数据交换，而通过自动方式来模拟这种数据交换过程，其实就是网闸的雏形。

第一代网闸利用单刀双掷开关，让内外网的处理单元分时存取共享存储设备，以完成空气隔离(可视为物理隔离)下的数据交换。其安全数据交换过程是：先提取出网络包中的应用数据，经安全审查后，再完成数据交换。

相对于人工交换而言，整个过程是由软件自动完成的，并且增加了安全审查的过程，从而大大提高了交换效率。但是，这种网闸让内外网共用了存储设备，不能够满足物理隔离的要求。

第二代网闸创造性地利用全新理念的专用交换通道PET(Private Exchange Tunnel)技术，在不降低安全性的前提下能够完成内外网之间高速的数据交换。其安全数据交换是通过专用硬件通信卡、私有通信协议和加密签名机制实现。

由于采用了专用高速硬件通信卡，使得处理能力大大提高，达到第一代网闸的几十倍之多；而私有通信协议和加密签名机制，保证了内外处理单元之间数据交换的机密性、完整性和可信性。

总之，网闸可以帮助企业内网应对以下一些威胁：操作系统漏洞、非法网络入侵、基于TCP/IP漏洞的攻击、基于协议漏洞的攻击、木马程序、基于隧道的攻击和基于文件的攻击(可选)等。这些都是互联网目前面临的主要攻击。

比如，由于双主机之间是网络隔离的，无连接的，黑客不可能穿透网闸去扫描内部网络所有主机的操作系统漏洞，无法攻击内部，包括网闸的内部主机；

又如，网闸的外部主机把TCP/IP协议全部剥离，以原始数据方式进行“摆渡”，因此，无法经过网闸进行基于TCP/IP漏洞的攻击，同样，也无法进行基于UDP、ICMP、ARP等