内外网分离解决方案

内外网分离解决方案（精选3篇）

内外网分离解决方案 篇1

内外网分离解决方案

随着计算机在报社的普及，对互联网的广泛使用，网络病毒的泛滥，以严重干扰了采编工作。面对目前乃至以后计算机的发展，病毒与反病毒将会在很长的时间内共存，是一对不可克服的矛盾。网络更为病毒的传播带来了无比的便利。防毒软件滞后于病毒的出现是客观存在的问题，至少短时间内还看不到可以智能区分病毒与正常程序的防毒软件会出现。这是计算机领域的一个研究方向，应该短时间内不会有很大的突破。为解决病毒干扰采编工作的问题，在部分报社（如泉州晚报）已经实施了内外网分离，为了保障采编工作正常的运作，建议我社采用内外网分离的网络方案。

内外网隔离方案：

1、在技术部机房配备数据交换服务器，该服务器内网，外网均可访问。服务器上安装防病毒软件。对通过服务器交换的数据文件进行病毒检测。开发专用文件接收软件和文件发送软件，限制通过服务器交换的文件类型。只包括如下类型：文字内容用 txt文件，图片使用 jpg文件。（该软件的复杂度不是很高，功能也比较单一，开发费用应该不高）

2、加强制度管理。不允许在办公电脑上使用任何外来设备（移动硬盘，U盘，磁盘），任何外来的数据都必须通过上网电脑传递。

3、除了上网电脑外，其他电脑不能以任何方式接入互联网。

4、由于违反规定造成的病毒感染，要追究违规者责任。

对于接入互联网的电脑可采用以下方案：

方案一：设立独立的数据交换中心

方案优点：不需要大规模的布线，设备集中便于维护和管理，同时也便于提高设备的使用率。

方案缺点：需要独立的地点（不知道是否还能腾出地方），需要取稿的话需要离开办公室。

方案二：每个需要上网的科室设立独立的上网电脑

方案优点：由于上网电脑分布在各个科室，相对上网取稿件比较方便，不需要离开办公室。

方案缺点：要求每个需要上网的科室都要有独立的网线（目前有的科室的网线已经用完，需要增加网线的工作量比较大），设备分布到各个科室，带来了管理上的困难。同时由于上网电脑的分散，不利于提高设备的利用率，会造成上网电脑有的科室闲置，有的科室不够用。

方案三：采用隔离卡。

如果能够彻底隔离的话，该方案是一个比较好的一个解决方案。但由于没接触过物理隔离卡，具体效果不清楚。

内外网分离解决方案 篇2

南车戚墅堰机车车辆工艺研究所有限公司 (以下简称戚所公司) 原来的办公网络体系, 内网与外网共用1条线路, 这使得来自因特网的网络攻击可以直达内网, 同时内网对于移动存储介质的管理也较困难, 维护成本很高。根据中国南车总部信息化总体要求, 戚所公司决定采用物理隔离的方式对企业现有的网络结构进行改造, 确保整个公司网络的安全与稳定。

1 内网与外网的概念

内网一般指的是局域网LAN网, 像网吧、校园网、单位办公网等都是比较典型的内网网络;外网通俗地说就是与因特网相通的WAN广域网, 即Internet网络。内网中的计算机使用的是Inetnet上的保留地址, 该保留地址有如下3种形式[1]:

10.x.x.x;

172.16.x.x至172.31.x.x;

192.168.x.x。

内网的计算机以NAT (网络地址转换) 协议, 通过一个公共网关访问Internet, 所以内网和外网是相对而言的。一般来说, 用户在内网中也同样可以访问外网的资源, 内网是外网的子网。

2 内外网分离架构

戚所公司目前拥有电脑终端1 500多台, 整个有线网络系统配置2台HP8212zl核心交换机互为冗余备份, 作为整个网络中心的核心交换平台, HP8212zl万兆骨干网络交换冗余备份连接, 支持双电源、双引擎冗余的高可靠性网络交换机, 提供高速接入服务。结合VLAN技术, 根据部门或是应用将一个大的局域网划分成许多不同的广播域, 并通过ACL (访问控制列表) 技术、Sinfor网络监控、防火墙等软件对用户群进行内网与外网的逻辑隔离。

原网络系统的内外网隔离技术具有灵活、易管理、易操作等优点, 但同时也存在如下安全隐患:

(1) 传统的内外网隔离只是逻辑上的隔离, 尽管采用了防火墙和上网行为监控等软件进行管理, 但内网与外网始终共用1条线路, 黑客依然可以通过多种手段侵入内网;

(2) 虽然通过网络管理软件对企业内部员工上外网的权限进行管控, 并建立了种种管理制度, 但无法从根本上解决网络混用的问题。随着拥有上网权限的电脑不断增多, 内网用户访问外网资源时, 错误的客户端配置、未打补丁的系统, 甚至不良的上网习惯都会给内部网络的安全造成威胁。加之互联网网络环境复杂多变, 木马病毒泛滥, 外网的开启无疑为病毒、黑客入侵打开了方便之门, 一旦某台网络混用的办公电脑在访问外网时感染了病毒, 便会迅速向内网扩散;

(3) 外来人员移动电脑及移动存储设备的管理也存在诸多问题, 这些设备中携带病毒的可能性极高, 且没有设置终端准入管理, 无法管控企业外部人员的上网行为以及系统、应用、数据等操作, 给企业的信息安全带来极大的隐患。

随着生产规模不断扩大, 戚所公司对信息安全提出了更高的要求, 按照戚所公司信息保密的要求, 内网和外网必须进行物理隔离。外网主要承担戚所公司与外部供应商的信息交流、邮件的往来等;而内网主要承担公司内部的资源共享, 及一些对内业务系统数据交换。

内外网具体实施方案如下:

采用完全物理隔离的方式划分内外网络, 将现有的网络体系结构作为内网使用, 并引入桌面终端联网软件管理系统 (以下简称联软) , 对内网用户进行准入管理;外网则重新采购包括核心、汇聚、接入在内的一整套网络设备, 并在各个办公节点配置公用外网电脑终端, 通过架设无线服务器ruckus, 采用无线的方式, 使用与域集成的用户名和口令, 单独组建一个外部网络, 彻底将2套网络分离。

利用DMZ (隔离区) 技术, 将需要对外的服务器例如邮件服务器、OA办公等集中放在DMZ区, 然后在内网核心与外网核心之间通过网闸设备相连。网闸包括外网主机模块、内网主机模块和隔离交换模块, 通过内嵌的安全芯片完成内外网主机模块间数据的安全交换。内外网主机模块间不存在任何网络连接, 因此不存在基于网络协议的数据转发;隔离交换模块是内外网主机模块间数据交换的唯一通道, 本身没有操作系统和应用编程接口。在极端情况下, 即使黑客攻破了外网主机模块, 但由于不了解隔离交换模块的工作机制, 无法进行渗透, 因此内网系统的安全仍然可以保障[2]。内外网分离后的网络拓扑如图1所示。

3 内外网实现的功能

3.1 软硬件管理

(1) 硬件资产统计。内网中所有终端计算机通过联软客户端程序, 可以将变更信息及时上报服务器, 服务器系统能够全面监视终端硬件设备变更情况 (硬盘、内存容量的变化等) , 生成报警信息并保存变更日志。

(2) 硬件设备管理。联软可对终端计算机的USB口进行针对性的控制, 所有首次连入内网的外接存储设备都需要填写注册信息, 提交到服务器, 由服务器审核通过后, 方可成功连入内网, 并对其在内网的行为进行审计。还可以监测未经允许的无线网卡设备, 发现非法外联设备将在10 s内自动禁用网卡, 同时记录相应违规信息。通过终端准入和非法联网管理相结合的方式, 可以从根本上消除内网外联的问题。

(3) 软件的管理及审计。联软自动收集每台计算机上的软件安装情况并进行汇总, 服务器端可查询客户端安装的软件信息, 并根据黑白名单策略, 管理软件的非法安装。

3.2 内网准入管理

为了防止终端计算机未经许可接入企业内网, 采用动态IP与联软系统管理相结合的技术, 主要有3点: (1) 所有连接网络的终端计算机必须进入企业内部域中, 必须安装联软客户端程序, 即保证所有接入网络的终端都是可控的; (2) 联软提供了802.1x认证功能, 对于安装了桌面终端管理系统客户端程序的终端计算机, 必须输入正确的域帐号及密码, 才能获取相对应部门VLAN的IP地址接入办公网络; (3) 对于已通过认证的终端计算机, 还需要做安全性检查, 如是否安装了企业规定的防病毒软件Mcafee、是否安装文件加密客户端等, 只有通过该项安全检查的终端才可正常入网。

以上3条只要一条不满足, 终端计算机都将被判定为非法, 只可获取来宾VLAN中的IP, 仅允许与安全认证服务器通信, 只有登录安全认证服务器站点, 通过向导按步骤安装所需客户端或软件, 检测通过获取到自己对应部门VLAN中的IP后, 才可正常进入内网, 不仅提高了进入内网的终端计算机的安全等级, 也使内网更稳定、更安全。

3.3 外网使用管理

(1) 外网的接入。外网通过无线方式与因特网进行连接, 戚所公司集中采购了一批台式计算机放置于各部门, 并统一配备PCI-E接口的内置板卡式无线网卡, 该网卡拥有难拆卸且信号强等优点, 作为外网公用计算机使用。由于笔记本电脑自带双网卡, 为便于管理, 所有笔记本电脑都不得进入内网办公, 对于此前在内网中使用过的笔记本, 统一进行退域配置, 删除一切与内网有关的程序及文件。

(2) 外网的准入。根据用户身份, 采用不同的无线信号部署对外网进行管理, 根据戚所公司厂区布置划分出多条VLAN (见表1) , 用户则根据所处位置只能接收到相对应的无线信号, 方便了管理。

4 内外网分离后的现状分析

分离后的内网和外网具备很高的安全控制能力:内部员工的工作计算机首先需加入域, 通过联软的环境检测后才可正常联入内部网络, 软硬件的管理功能保证了内网的安全稳定;外网则通过ruckus无线服务器与域账户集成的认证系统, 结合防火墙技术进行准入审计, 对于来宾群体, 也可通过具有时效性的动态密码设定并绑定MAC地址达到管控的目的。

5 结论

在网络病毒日益肆虐的今天, 每一种安全产品都有其局限性, 产品自身的安全性也因厂商对安全的理解不同而不同, 一个完整的解决方案应该是多种安全产品的有机结合。内外网的完全物理隔离必定会给企业各部门尤其是对外部门的日常工作带来许多不便, 但却保证了企业的信息安全, 在复杂的市场竞争环境下为企业稳定、健康地发展起到了保驾护航的作用。

摘要：随着企业生产规模的不断扩大, 对网络的依赖越来越强。原有的办公网络体系中, 内网与外网共用一条线路, 安全性低, 维护成本很高。通过采用物理隔离的方式对网络结构进行改造、优化和改善, 确保了公司网络的安全与稳定。

关键词：网络安全,内网,外网,物理隔离

参考文献

[1]沈文涛.内网与外网[Z].百度文库, 2010.

内外网分离解决方案 篇3

交换机实现内外网的物理隔离

网络系统由内部局域网和外部因特网两个相对独立又相互关联的部分组成，均采用星形拓 扑结构和100M交换式快速以太网技术。内部网与外部网之间不存在物理上的连接，使来自Internet的入侵者无法通过计算机从外部网进入内部网，从而 最有效地保障了内部网重要数据的安全，内部局域网和外部因特网实现物理隔离。

imaxnetworks终端提供了经济安全的内外网物理隔离功能，它通过物理开关 进行内外网的切换，在物理上信息终端只与其中一个网络连通，所以 即使侵入其中一个网络也无法越过物理屏障侵入另一个网络。建立内外网隔离方案需要在内 网和外网各安装至少一台终端服务器。

防火墙和交换机结合，实现内外网隔离VLAN隔离内外网：电子政务网络中存在多种业务，要实现多网的统一互联，同时又要 保证各个网络的安全，除了在应用层上通过加密、签名等手段避免数据泄漏和篡改外，在局域网的交换机上采用VLAN技术进行，将不同业务网的设备放置在不同 的VLAN中进行物理隔离，彻底避免各网之间的不必要的任意相互访问，

在实现VLAN的技术中，以基于以太网交换机端口的VLAN(IEEE 802.1Q)最为成熟和安全。防火墙访问控制保证。

网络核心安全：为了网络构建简单，避免采用太多的设备使管理复杂化，从而降低网络的 安全性，可以放置一个高速防火墙，如图所示，通过这个这个防火墙，对所有出入中心的数据包进行安全控制及过滤，保证访问核心的安全。另外，为保证业务主机 及数据的安全，不允许办公网及业务网间的无控制互访，应在进行VLAN划分的三层交换机内设置ACL。

数据加密传输：对于通过公网(宽带城域网)进行传输的数据及互联，数据加密是必须的，在对关键业务做加密时，可以考虑采用更强的加密算法。