網(wǎng)絡隔離邊界安全接入技術

隨著互聯(lián)網(wǎng)與網(wǎng)絡技術的不斷發(fā)展與越來越廣泛深入的應用，以及網(wǎng)絡建設的復雜化，網(wǎng)絡邊界安全與邊界接入越來越成為企業(yè)亟待解決的問題。

　　近年來，針對邊界安全，國家各部門均制定過了制度和文件，如，公安部制定的等級保護的制度，保密局制定的分級保護標準，中國移動的安全域項目，電力行業(yè)的雙網(wǎng)隔離要求等等，這些都是跟邊界安全撇不開關系的。而在邊界安全的項目中，會應用到網(wǎng)絡隔離技術，一般情況下，而邊界隔離往往又阻礙了邊界接入帶來的便捷性的發(fā)展，相反更增加日常工作的負擔。

　　這里說一說目前應用較多的網(wǎng)絡隔離邊界安全的設備，網(wǎng)閘、防火墻、VPN、UTM等等。

　　網(wǎng)閘

　　首先我們說說網(wǎng)閘，說得通俗點，網(wǎng)閘就是采用雙網(wǎng)絡接口加開關機制，和外網(wǎng)通信時與內(nèi)網(wǎng)的網(wǎng)絡接口斷開，來保證內(nèi)網(wǎng)不暴露在外網(wǎng);當需要的數(shù)據(jù)從外網(wǎng)上下載到內(nèi)網(wǎng)，然后和內(nèi)網(wǎng)通訊時，外網(wǎng)的網(wǎng)絡接口斷開，但這個產(chǎn)品是因政府的要求內(nèi)外網(wǎng)必須物理隔離帶來的具有中國社會主義特色的產(chǎn)品，網(wǎng)閘在內(nèi)外網(wǎng)之間扮演著一種類似“信息渡船”的作用，網(wǎng)閘的本質(zhì)也是邏輯隔離，更關健的是網(wǎng)閘的部署首先帶來的就是犧牲網(wǎng)絡性能，而不似防火墻能夠保持比較良好的通信實時性。

　　防火墻與UTM

　　接下來我們談談防火墻與UTM，UTM我們可以簡單的理解為，UTM是由入侵檢測、防病毒、防火墻三個功能模塊組合而成的一個產(chǎn)品，

　　不管是防火墻還是UTM，利用ACL+NAT的技術是可以很好的解決邊界隔離與邊界接入的問題的，不過很顯然，這種技術是基于TCP/IP傳輸層和網(wǎng)絡層的，很好的保障了傳輸層和網(wǎng)絡層的安全，但對于應用層卻是無能為力的，新型的UTM的入侵檢測模塊有部份應用層的功能，但其大部份還是對傳輸層的支持，且入侵檢測模塊對應用層的功能是屬于檢測和告警機制的支持，而對應用層的入侵阻斷的支持是比較有限的，而對于應用層的一些業(yè)務，如應用發(fā)布、遠程交互是沒有這些功能的，這就使得外部用戶對內(nèi)部資源的訪問不能提供一個便捷而安全的途徑。

　　VPN

　　接下來我們再談談VPN設備，首先一般的防火墻和UTM是有VPN模塊的，但隨著VPN技術越來越廣泛的應用，專業(yè)的VPN設備也隨之而生了。首先來講，專業(yè)的VPN設備解決了防火墻和UTM在應用發(fā)布和遠程交互的無能為力的局面。且VPN在傳輸中采用的加密通道，安全性也是比較好的，但VPN 對應用發(fā)布的支持的力度還是非常欠缺的，一般的B/S的應用VPN是支持的，但支持不了B/S應用的代理登陸認證過程，對一些應用，如Outlook、 SMB文件共享也能夠提供支持，而對廣泛的C/S應用卻支持不了，當然有些VPN廠商可以通過定制開發(fā)的形式對一些特殊的C/S應用提供有限支持，但因為 VPN技術的局限性，這種開發(fā)成本是非常大的，而且耗時也會超出一般企業(yè)的可承受范圍。

　　那有什么產(chǎn)品既可以完美的解決邊界接入的安全問題又能支持邊界接入之后對應用發(fā)布和遠程交互的跨網(wǎng)訪問廣泛支持度呢，答案是肯定的，深圳溝通科技最新研制的安全接入保壘機就當仁不讓的扛起了這面大旗。

　　溝通科技安全接入堡壘機方案拓撲圖

　　用戶在低安全域環(huán)境下把鍵盤和鼠標指令信息通過溝通安全接入堡壘機上行到高安全域應用服務器，高安全域的屏幕變化信息下行到低安全域，但禁止其它實體數(shù)據(jù)信息流在兩個安全域之間直接交換;由于沒有其它實體信息流在兩個安全域之間直接交換，因此，低安全域的鍵鼠指令信息，不會直接破壞高安全域的完整性，高安全域的高密級實體數(shù)據(jù)信息也不會泄漏到低安全域。

　　溝通科技安全接入堡壘機產(chǎn)品原理

　　采用虛擬化技術分離應用的表現(xiàn)與計算，實現(xiàn)虛擬應用交互、本地化應用體驗，客戶端與服務器之間只傳遞鍵盤、鼠標和熒屏變化等交互信息，沒有實際的業(yè)務數(shù)據(jù)流到客戶端，客戶端看到的只是服務器上應用運行的顯示映像，避免跨域傳輸實體數(shù)據(jù)，從而提升跨域訪問的安全性。

　　實體靜態(tài)數(shù)據(jù)傳輸建立專屬文件安全傳輸通道，涉及靜態(tài)文件跨安全域上傳和下載，先通過網(wǎng)閘或其他數(shù)據(jù)同步傳輸設備從低安全域同步到高安全域，靜態(tài)數(shù)據(jù)經(jīng)過安全擺渡，避免由于上傳靜態(tài)文件攜帶病毒威脅高安全域的網(wǎng)絡或數(shù)據(jù)安全。

　　溝通科技安全接入堡壘機方案技術特點

　　1. 跨域安全訪問保障

　　溝通科技安全接入堡壘機方案基于可信路徑(TrustedPath)技術、強制訪問控制技術、高等級的保障技術，是一種可證明的安全技術

　　2. 文件安全傳輸通道

　　在移動辦公訪問相關應用系統(tǒng)的時候,會涉及到把本地的文件傳到應用系統(tǒng)中,比如發(fā)送郵件的時候,需要帶上附件,鑒于安全考慮,必須對上傳的文件進行相關的審核,針對這一情況,在低安全域設置一臺從文件服務器，在高安全域增加一臺主文件服務器,并對文件服務器進行策略設置,使移動辦公人員只能看到自己的文件夾，溝通安全接入堡壘機僅調(diào)用高安全域的主文件服務器。

　　3. 訪問控制

　　訪問控制：基于角色、權限分配，設置細粒度訪問控制策略，達到非法用戶不能訪問，合法用戶不能越權訪問的目的

　　4. 權限管理

　　可以根據(jù)邊界接入的需要，設置角色，指定相應的資源訪問權限，防止非授權訪問和越權訪問

　　5. 安全審計管理

　　審計服務：記錄終端用戶在其安全接入堡壘機平臺上運行的各部件的有關事件，包括用戶登錄、驗證、數(shù)據(jù)傳輸?shù)?，審計信息可以通過WEB界面查詢。

　　6. 應用集中管理

　　應用集中于溝通安全接入堡壘機平臺統(tǒng)一管理和部署，低安全域用戶無需關注應用的升級維護和部署，實現(xiàn)了應用的集中管控和統(tǒng)一部署。

　　7. 登陸認證管理

　　SSLVPN認證系統(tǒng):只有擁有SSLVPN客戶端以及賬號和密碼才能夠撥入

　　通過溝通安全接入堡壘機策略,對客戶端身份進行雙因子認證

　　通過溝通安全接入堡壘機策略,綁定移動辦公人員PC的硬件信息

　　專有的溝通安全接入堡壘機客戶端控件

　　8. 安全接入堡壘機安全策略

　　配置管理平臺有自己獨有的管理賬號,負責添加用戶(所創(chuàng)建的用戶,全分布在虛擬應用服務器上)、設置用戶策略、應用策略以及發(fā)布應用

　　用戶權限管理,實行權限分立，加強溝通安全接入堡壘機安全可靠性

　　配置管理實行了三權分立，不存在超級權限的管理員，管理員分為三角色，

　　配置管理員、操作系統(tǒng)管理員、審計管理員;

　　移動辦公人員的賬號創(chuàng)建在虛擬應用服務器上，且為匿名用戶;

　　堡壘機沒有移動辦公人員賬號，只有配置管理員、操作系統(tǒng)用戶

　　堡壘機配置管理認證需通過配置管理員和操作系統(tǒng)兩層身份認證;

　　應用系統(tǒng)用戶(如OA協(xié)同辦公系統(tǒng))是內(nèi)部網(wǎng)管理，完全與溝通安全接入堡壘機的用戶無關，且溝通安全接入堡壘機與內(nèi)部網(wǎng)有網(wǎng)閘進行隔離，使移動辦公人員無法通過溝通安全接入堡壘機篡改應用系統(tǒng)用戶權限。

　　通過集群技術，實現(xiàn)的高可靠性，防止單點故障

　　操作系統(tǒng)安全加固

　　系統(tǒng)最小化安裝，除安裝最基本的系統(tǒng)組件與本應用平臺組件，不安裝任何其它組件與模塊

　　系統(tǒng)最小化服務，最對外僅提供應用平臺一個服務，不對外提供任何其它服務，包括任何其它TCP/IP服務和端口