网闸应用案例 -湖北中网科技有限公司 体彩220期开奖直播

解决方案

  网络安全解决方案
        电子政务
        电力行业
        教育行业
        保险行业
        企业系统
        税务行业
        网闸应用案例
        网闸应用测试
        政府门户网站安全方案
  软件解决方案
        门户解决方案
        协同管理解决方案
        中网IT调度综合管理系统
        经济数据分析解决方案
        仲裁行业解决方案
        在线交易管理解决方案
        应急指挥解决方案
        数据整合解决方案
 
    电话:027-87367829
    邮箱:support@hbzw.net

  地址:

湖北省武汉市中北路1号楚天都市花园B座16楼
   
   

您的当前位置:首页 > 解决方案 > 网络安全解决方案

网闸应用案例

 网闸在社保网络安全防护中的应用研究

 

      摘要:网闸是新一代高安全性的网络隔离产品,已经成为继防火墙之后最受关注的安全产品。网闸很好地解决了隔离断开和数据交换的难题,在保证两个网络完全断开和协议中止的情况下,以非网络方式实现了数据交换。同时网闸还提供高速度、高稳定性的数据交换能力,能够满足用户对高安全、高性能、高可靠性的应用需要。本文结合社保网络实际应用,提出了采用网闸来隔离社保网不同安全域,并设置策略保护核心服务器区域。这?#25351;?#31163;保护措施可操作性强,安全防护效果明显。      关键词:网闸;社保网;安全防护

 

      0 前言

各级社保网络信息系统经过多年的建设,已经初具规模。社保网络上?#24615;?#25110;运行着医疗险、养老险、失业险等信息系统。社保网联接下属劳动保障经办单位、定点医院、药店、银行、社区服务中心等相关单位。另外为了方便对社会提供服务和移动办公需要,社保网还需要与互联网相联。

根据业务性质要求及数据高安全性的需要,社保网络应具备高效、完整的安全体系,能提供7*24小时不间?#31995;?#26381;务。

传统的安全保护措施是以防火墙、入侵检测、杀病毒为核心的安全防御体系,这些措施虽然起到了一定的作用,但其隔离防护效果还不尽如人意,而网闸弥补了这些不足,尤其是网闸近似于物理隔离的特性,使得其安全保护性能?#23545;?#36229;过了防火墙。

1 传统隔离措施及存在的问题

传统的网络安全是通过边界控制、执行安全政策来完成的。内网和外网,专网和公网,涉密网和非涉密网,互联网和内联网,大体上反应了这样一种划分。这种二元逻辑划分,有时候过于简单,人们采用非战区(DMZ )或安全服务子网(SSN)的办法进行补充。通过限制边界,改善了网络的安全状况。

根据社保网络应用结构和各信息系统的性质,我们将其划分为五大安全域和三大安全防护边界。

五大安全域?#27721;?#24515;服务器区域(安全级别最高)、网络安全管理区域、内部办公区域、对外服务的DMZ区域、二级单位及横向联网单位接入区域。

五大安全区域相互之间有多个网络边界,其中需要重点布防的边界是:互联网边界(安全威胁最高),二级单位医保/银行/税务接入边界、DMZ区域与核心服务器区域边界。传统的措施是在这些边界处部署防火墙进行隔离。区域划分及防火墙部署示意图如图1所?#23613;?/span>

1 采用防火墙进行隔离示意图

 

上述隔离办法存在的主要问题是:

l         由于核心服务器区域的安全级别?#23545;?#39640;于其它区域,在DMZ区域与核心服务器区域边界仅仅部署防火墙隔离,而防火墙是逻辑隔离设备,其隔离强度和安全检查策略不能满足此处高安全性的要求;

l         在互联网边界已有防火墙进行隔离,再在DMZ区域与核心服务器区域边界又部署防火墙隔离,虽然两处策略不尽相同,但还是存在同质化的疑虑,即黑客如果攻破了第一道防火墙,那么照样可以攻破第二道防火墙。

 

2 网闸工作原理

网闸是新一代的高安全性的隔离技术产品。网闸采用“2+1”的结构,即由?#25945;?#21333;边计算机主机(外部主机、内部主机)和一套固态介质存储系统的隔离开关组成。由外部主机、内部主机和开关系统组成。

外部的单边计算机主机,只有外网卡,没有内网卡。?#24357;?#26426;安装有代理软件:Agent。这个“Agent”不是内网的一部分,而是外网的一部分。“ Agent”代理内网去外网获取信息,然后放在指定的地方。

内部的计算机主机,只有内网卡,没有外网卡。?#24357;?#26426;是网闸在内网的连接点,属于内网的一部分。所有内网的主机需要得到外网?#31995;?#20449;息,?#24613;?#39035;通过这台主机来代办。这台主机并不是简单的代理所有的请求,而是执行严格的安全政策,内容审查,防泄密,批准或是不批准访?#26159;?#27714;。它从固定的地方取回请求的文件信息,检查请求回来的数据是否安全,建立内部的TCP/IP网络连接,将文件数据发回给请求者。

基于固态存储介质的网络开关,是网络隔离的核心。外部单边计算机主机与内部单边计算机主机是永远断开的。隔离开关逻辑上由两个开关组成,一个开关处在外部单边计算机主机和固态存储介质之间,我们称之为K1,另一个开关处在内部单边计算机主机和固态存储介质之间,我们称之为K2K1K2在任何时候至少有一个是断开的,即K1*K2=0,这是物理上固定的,不受任何控制系统的控制。因此,只有三种情况,K1=1K2=0K1=0K2=1K1=0K2=0。如图2所?#23613;?/span>

怎样在两个网络完全断开的情况下,实?#20013;?#24687;的交换,是网闸的关键。外部单边计算机主机,在K1=1K2=0状态下,将文件信息交给固态存储介质,类似于交给银行的保险箱。内部单边计算机主机,在K1=0K2=1的状态下,将文件信息从固态存储介质中取回,相当于从银行保险箱中取走文件。两种状况下,K1*K2=0,即两个主机是完全断开的。在K1=0K2=0状态下,没有任何信息交换,也是断开的。

 

2 网闸开关原理

网闸从网络第一层一直工作到网络第七层,网闸断开了两个网络,中止了所有的协议,在网络的第七层将包还原为原始数据或文件,然后以“摆渡文件”的形式来传递和交换数据,没有任何包、命令和TCP/IP协议(包括UDPICMP)可以穿透网闸。

 3网闸在社保网络中的部署

前面讨论了防火墙隔离措施存在的问题,在图1中,将DMZ区域与核心服务器区域边界的防火墙,替换为网闸设备,其隔离强度和安全检查策略就可满足此处高安全性的要求。同时考虑到此处边界的重要性和高可用性要求,此处可采用双机热备的方式部署网闸,以免出现单点?#25910;稀?/span>

将网闸的外部主机连接DMZ区交换机,内部主机核心服务器区交换机,外部主机包含外部单边代理(软件模块)、内部主机包含内部单边代理(软件模块),内外网主机代理之间的文件交换均通过网闸的开关系统来摆渡数据,部署示意图如图3所?#23613;?/span>

3:网闸隔离部署示意图

 4 网闸的安全保护作用

1)网闸消除了来自外网对内网的攻击

部署了网闸后,由于外网(DMZ区及Internet)与内网(核心服务器区)是永远断开的,加上采用单边计算机主机模式,中断了TCP/IP,中断了应用连接,屏蔽了内部的网络拓扑结构,屏蔽了内部直接的操作系统漏洞,?#22815;?#20110;网络的攻击无处可乘。部署网闸使得外网:

l         无法ping涉密网的任何主机;

l         无法穿透网闸来追踪路由(traceroute);

l         无法扫描内部网络,因?#23435;?#27861;发现内网的主机信息、操作系统信息、应用信息;

l         无法发现内网主机的漏洞、应用的漏洞;

l         无法同内网的主机建立通信连接;

l         无法向内网发送IP包;

l         无法同内网的人格任何主机建立TCP/UDP/ICMP连接;

l         无法同内网的任何主机建立应用连接(C/SB/S)。

2)网闸消除了对自身攻击的威胁和风险

用于对外访问的网闸的外部主机,本身不对外提供任何服务,也不向外开放任何端口,只主动向外请求服务。因此,外网?#31995;?#35745;算机不能对网闸外部主机的任何端口进行连接,从而无法进行攻击。任何主动向网闸发起的连接?#24613;?#25298;绝。

网闸主机采用了?#26500;?#20987;内核的技术,完全屏蔽了外部主机的存在,因?#23435;?#27861;攻击。

网闸的双主机结构消除了网闸的操作系统漏洞的威?#30149;?#21452;主机之间的开关,是一个完全的硬件介质,没有操作系统没有软件,没有状态,没有任何控制单元,因此,完全无法攻击。这既保证了?#35789;?#36864;一万步,外部主机的操作系统的漏洞被曝光,也无法对内网的内部主机进行刺探,因为开关是完全无法进行攻击的。

在最坏的情况下,外部主机的操作系统漏洞被曝光,黑客所能做的最坏的结果是,向开关发送无效的数据,这个我们不用担心,因为内网的内部主机的鉴别和过滤程序会拒绝这些数据;破坏操作系统并关闭外部主机,这个我们也不担心,因为网闸在这种情况下,还是物理断开的。因为网络隔离的安全侦测是,如果不能保证安全就断开。

3)网闸采用了内容过滤和检查机制来防信息泄露

l         URL进行格式过滤、内容过滤和控制;

l         URL执行白名单或黑名单过滤;

l         GET进行格式过滤、内容过滤和控制;

l         GET的文件类型进行限制;

l         POST进行内容过滤;

l         POST进行类型、格式控制;

l         对交换的数据进行防病毒检查、进行防恶意代码检查;

l         对交换数据包含的命令、协议进行检查;

l         对重定向进行限制;

l         通过应用代理来执行严格的应用规?#37117;?#26597;。

4)网闸可建立单向信息流入政策

网闸在内网中执行的是一种单向信息流入的服务政策,即内网可以访问外网,但外网不能访问内网。如在DMZ区部署前置机,通过网闸将社保核心服务器?#31995;?#25968;据摆渡到前置机上,供Internet?#31995;?#29992;户进行查询,但Internet?#31995;?#29992;户不?#24066;?#30452;接访?#23454;?#26680;心服务器上。

另外还可在 DMZ区部署前置服务器,收集和接收Internet上用户(如社区用户通过Internet)上传过来的信息,经过加工处理再通过网闸单向传递给核心服务器,供内部使用。

同时在此基础上,网闸还采取多重措施,严防泄密。这些措施包括:身份认证、格式控制机制、关键词过滤机制、访问控制技术等措施。

 5 结束语

在实际应用中,我们采用?#25945;?#20013;网网闸X-GAP8500(双机热备)来隔离社保网核心服务器区域与DMZ区域。经过收发包测试,发包计算机所发数据包?#25442;?#30452;接通过TCP协议栈到达收包计算机,在网闸的内外端机采用应用代理进行协议终止,并在应用层进行协议过滤,未知协议不能通过网闸。网闸的安全强度大大高于防火墙,安全防护效果明显,并?#20197;?#34892;稳定。类似的网闸应用还可推广到网上税务、网上财政、网上银行、网上证券、网上工商、网?#31995;?#21147;营销等系统。

体彩220期开奖直播 体彩云南时时彩开奖 二肖中特期期10o 吉林11选5几点开始 西甲皇马赢巴萨 搞挖机干什么活赚钱 重庆幸运农场首页 3d分析器 安卓单机捕鱼海底捞 浙江体彩6加1号码预测 线上娱乐平台有哪些