安全隔离网闸解决方案

安全隔离网闸解决方案

安全隔离网闸解决方案

目录

1前言 (1)

2需求理解 (2)

2.1网络现状 (2)

2.2常规业务所面临的主要问题 (2)

2.3若直接连接内部、外部网络的安全隐患 (2)

2.4网络安全需求分析 (3)

2.5业务安全目标 (3)

2.5.1短期目标 (3)

2.5.2长期目标 (3)

3解决方案 (4)

3.1设计目标 (4)

3.2解决方案 (4)

3.2.1解决方案一 (4)

3.2.2解决方案二 (5)

3.2.3基本功能实 (5)

3.3安全隔离网闸技术特色 (6)

3.3.1技术特点 (6)

3.3.2安全隔离网闸功能特性 (7)

1 前言

lnternet作为覆盖面最广、集聚人员最多的虚拟空间，形成了一个巨大的市场。中国互联网络信息中心(CNNIC)在2002年7月的“中国互联网络发展状况统计报告”中指出，目前我国上网用户总数己经达到4580万人，而且一直呈现稳定、快速上升趋势。面对如此众多的上网用户，为商家提供了无限商机。同时，若通过lnternet中进行传统业务，将大大节约运行成本。据统计，网上银行一次资金交割的成本只有柜台交割的13％。

面对lnternet如此巨大的市场，以及大大降低运行成本的诱惑，各行各业迫切需要利用lnternet这种新的运作方式，以适应面临的剧烈竞争。为了迎接WT0的挑战，实现“以客户为中心”的经营理念，各行各业最直接的应用就是建立“网上营业厅”。

但是作为基于lnternet的业务，如何防止黑客的攻击和病毒的破坏，如何保障自身的业务网运行的安全就迫在眉睫了。对于一般的防火墙、入侵检测、病毒扫描等等网络安全技术的安全性，在人们心中还有很多疑虑，因为很多网络安全技术都是事后技术，即只有在遭受到黑客攻击或发生了病毒感染之后才作出相应的反应。防火墙技术虽然是一种主动防护的网络安全技术，它的作用是在用户的局域网和不可信的互联网之间提供一道保护屏障，但它自身却常常被黑客攻破，成为直接威胁用户局域网的跳板。造成这种现象的主要原因是传统的网络安全设备只是基于逻辑的安全检测，不提供基于硬件隔离的安全手段。

所谓“道高一尺，魔高一丈”，面对病毒的泛滥，黑客的横行，我们必须采用更先进的办法来解决这些问题。目前，出现了一种新的网络安全产品一一联想安全隔离网闸，该系统的主要功能是在两个独立的网络之间，在物理层的隔离状态下，以应用层的安全检测为保障，提供高安全的信息交流服务。

2 需求理解

2.1 网络现状

常规业务数据交换网络拓扑

常规业务网络拓扑图

2.2 常规业务所面临的主要问题

常规业务所面临的主要问题：

1、实时性差

2、工作量大

3、容易造成人为的失误

4、运行费用高

5、很难实现7（天）×24（小时）的不间断服务

6、业务扩展困难

2.3 若直接连接内部、外部网络的安全隐患

若直接将两个网络连接起来，将出现以下安全隐患：

1、来自网络外部非法用户的攻击和越权访问等。

2、网络病毒的破坏。

3、来自内部网络合法用户的无意泄密。

2.4 网络安全需求分析

1、防止内网的主机遭受非法用户的非授权访问或恶意攻击。

2、加强对各种交流信息的检测，其中包括：检测来自内部和外部的数据内容。

3、加强对各种交流信息的病毒扫描和清除，其中包括：检测来自内部和外部的数据内容。

4、加强对各种交流信息的日志审计。

2.5 业务安全目标

业务量越来越大，业务种类越来越多，对业务的性能要求越来越高，为了更好的、更有效的、更方便、更安全地提供网络业务服务，是实现业务的目标。实施网络安全系统项目，整体规划网络安全系统，作好以下几个方面的规划和实施：保密性、安全性、完整性、可用性。

2.5.1 短期目标

目前迫在眉睫的工作是保护整个系统的网络完整性、系统的完整性及系统可用性，建立安全的网络逻辑结构，为今后的实施保密性奠定基础。网络完整性主要是对网络系统的保护，通过设置安全隔离网闸等保证通讯安全，保证系统资源受控可用；系统的完整性是信息系统的保护主要有防病毒、风险评估、入侵检测。

2.5.2 长期目标

全面部署整体安全防御系统，巩固和完善网络安全及管理系统，使网络业务更好的行使职能。

3 解决方案

3.1 设计目标

1、将内部网与其它外部网络安全隔离，拒绝非法访问，恶意攻击，保护网络边界的安全。

2、抵挡木马攻击、蠕虫攻击、后门攻击、利用漏洞攻击和拒绝服务攻击。

3、强化对网络的控制，确保关键业务的网络带宽。

3.2 解决方案

3.2.1 解决方案一

该方案使用安全隔离网闸的数据库同步方式，实现业务数据库和业务数据库副本之间的同步，使这两个数据库部分或全部内容实时地保持一致，从而实现业务数据的共享。对己有的业务系统进行改造是一个非常好的方案。

3.2.2 解决方案二

该方案使用安全隔离网闸的文件交流方式，web服务器将接收到的请求转换成文件，通过安全隔离网闸传输到业务网，业务网处理完该数据后，再将结果转换成文件通过安全隔离网闸传输给web服务器，从而实现业务处理。该方案比方案一成本低，但业务系统必须针对安全隔离网闸进行开发。对于新建的网上营业厅也是一种很好的方案。

3.2.3 基本功能实

为保证网络系统安全可靠的运行，保障系统资源受控合法的使用，安全隔离网闸应具有或实现以下功能：

1、物理层安全隔离：在业务网和互联网之间必须实现严格的物理层安全隔离。防止通过安全隔离网闸从互联网直接与业务网相连。因此选用的安全隔离网闸产品必须具有严格的物理层隔离功能。

2、关键字过滤：对通过安全隔离网闸的数据，必须经过内容检测，保证进出内外网信息的合法性。因此选用的安全隔离网闸产品必须具有严格的关键字过滤功能。

3、查杀病毒：为了防止病毒通过安全隔离网闸从互联网扩散到业务网中，必须对经过安全隔离网闸的数据进行病毒的扫描和清除。因此选用的安全隔离网闸产品必须具有扫描和清除病毒的功能。