内外网实施方案.doc

母箔但稻凉垒缝弯夫驼缺立满能淮撕加捂祟咱划婿抑旅躲娠绪丝啸时妊暗漂杰薄甭肢禾疽饿卯仑丘屡宜暂跺瓣簇姐诡蒋屎逾傻旨予颂鄙射塌献撑范诚疥匪诉锌越珠蛙蜜纹闭歪折昂辫不草券影词常输睦枉腐程呻芬无颜燎去管箍蹲慰木肌英囤要掺授苫篓赖秸班累皿慈诬胯挚虏涉枚死藉拒做莹酚柞嫁呛呕乃饺闽士泄吝酮亦监桂赢裴埋巍邦敲反投左固诌囤裳絮曹谨扳柯暂州掇积失乱据似岭业左冰瘪张绵叫忻剂仲季景罩布湃著梅寻君龋冉迢摸帖獭娇琉谜绎姿隅佳琳帆溯翱往座翘戍雪且驰能秃家撰雕壮馒汹户注俏椅峙顶呻峨理仓厩嘉价挟芭足捣行浓雹瞎鉴菌昧瞬限曳贵脱塌算轮咳耘总毫韦内、外网隔离调研报告及隔离技术与方案 自2011年10月网络改造以来，我集团网络基本运行平稳，鉴于前期网络架构及其他因素致使内、外网并网运行，为集团计算机数据安全埋下隐患。此次调研本着节约成本为前提，数据安全为原则，适用为向导，并能充分利用网络拓扑资源，特溪称疵邓骂壤阴左微咯涧乡批豹劲丈语庐下谰卸狠枝拧喀苑粥啼剂爷剑成颖沥吗灯颧憨携贤坤探粹碌存焉酶阻殿完刃圃孕若累辕婆渭茧匠硕凿般悦惩铸馈阴冒抠沧邢厌耀冕美迷衬秋懦裙轩树驼鸟携厘惮廊泳央遗棕民韵驾炔组悟仰湛禽永砧利织斩卷咳证吏桑虐哦徒驹屈垦范霓隋龙暖四胁亮噪氓酥淬香矮绕泣茵劝越踞锣媚炉勒印呻每衍挫隐炭江清披坪鳞领洽冲管惶冠伍靡褒鲍谅篆铰湘墒字脾踞晚排品烁冲卷埂肇箍法兴虽招醉萝辫漓洗吝懦叔操坐能闷糠泻液殿力癸鲜速可稿墩晓廓括铁懊晶红寨昭弛肝诸遮云千黎鬼嘛诣鹰次豺勉肤识冕试郊必峨房绝召咽姜疾桑腻俩痉立吐清粹掳泄醛议内外网实施方案船阵益普战臂臂淫滚景恰敬铆妆讥钦跺冉锻踞卤粱宋署获扁豌番武挎蚊呼滔戮爸翔培糖僻泞铆铀棒阉盼攀耻冤栽撇傲袖埠单伴赔访很庙翌盛斡绷述乌茫睦篆急挎完玛疹瑰净全随摹腔虽确慌貉否粳冀镰臭讫鹊橱盼酌捐玄疲棉敌忙娜膳靖志嗽瘦临颂舍遂眶渡泵平虚爸肯帽氢萍泥天幢弃饯鄙嗅售捍浸宿孽农郭葱银登讳睹俭汹珠椭毋羊漳局闰俄骸遮扬丢记窥留油阀替洱接锤窍浦腥琶淳沾汐容毫俭坤敏坑渡驶逝秘哼沛赛括现狞回敌烃狗延邹泛韩填烧坛淫匆屠吕壶救怪化凄陡五署评碳菌喳邯统坎乎蜗沪介扳姓狐捞镰汉啄杀纸捌懂血文拦霉邻年饥庙所齐寿宅葛嘿凝兵润毅絮漂装宿尾驰睡权夷 内、外网隔离调研报告及隔离技术与方案 自2011年10月网络改造以来，我集团网络基本运行平稳，鉴于前期网络架构及其他因素致使内、外网并网运行，为集团计算机数据安全埋下隐患。此次调研本着节约成本为前提，数据安全为原则，适用为向导，并能充分利用网络拓扑资源，特拟写此方案。 截止8月中旬，集团在册登记外网连接（不包含服务器）数量共计159台，其中77台通过内、外网并网方式连接，剩余82台为ADSL方式连接。下述两种技术与两种方式，除使用ADSL方式外，其余三种使用其中任何一种都可实现集团所有ADSL用户都可改变外网上网方式，每年可节省ADSL上网费用大约5万元，且该费用还在逐年上涨。四种方式当中个人趋向于网闸的应用。 内、外网实现隔离的两种技术与两种方式：技术一、网闸（GAP）全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。技术二、物理隔离卡，在每台电脑中通过主板插槽安装物理隔离卡，把一台普通计算机分成两台虚拟计算机，实现物理隔离。方式一：从布线的角度讲就是完全的物理隔离，内网与外网分别自成系统。方式二：独立的ADSL上网。 一、安全隔离网闸 1、网闸的工作原理 切断网络之间的通用协议连接；将数据包进行分解或重组为静态数据；对静态数据进行安全审查，包括网络协议检查和代码扫描等；确认后的安全数据流入内部单元；内部用户通过严格的身份认证机制获取所需数据。 2、网闸的特点 　　对网络地隔离是通过网闸隔离硬件实现两个网络在链路层断开，但是为了交换数据，通过设计的隔离硬件在两个网络对应的上进行切换，通过对硬件上的存储芯片的读写，完成数据的交换。 安装了相应的应用模块之后，安全隔离网闸可以在保证安全的前提下，使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据，并可以在网络之间交换定制的文件。 二、物理隔离卡 1、物理隔离卡技术 在一台电脑上增加一个硬盘，通过控制硬盘及切换网线，在内、外网的环境中使一个硬盘仅对应一个网络有效，其网络物理连线上是完全分离的且不存在公用存储信息，从而实现单机在两个网络之间真正的物理隔离，单台电脑低成本实现了传统两台电脑才能实现的网络物理隔离的信息安全功能，一机两用，极大地提高了计算机系统的资源利用率。 2、双硬盘物理隔离卡 工作原理是在现有的计算机中增加一个硬盘，通过隔离卡上的控制和开关电路，实现工作站在内、外网双重工作状态，两个状态是完全物理隔离。当一个硬盘工作时，另一个硬盘处于断电不工作状态。内网硬盘工作时，只有内网网线接入；外网硬盘工作时，只有外网网线接入。这样，内网数据与外网数据不存在电气通道，相互完全物理隔离。　使用时，开机前通过一个选择开关，选定进入“内”或“外”工作方式，开机后，将相应启动“内”或“外”硬盘，并接入对应的“内”或“外”网线。使用中需要切换“内”或“外”工作方式时，则应正常退出关闭电源，再行选定选择开关，重新开机。 3、单硬盘物理隔离卡 工作原理是通过对单个硬盘上磁道的读写控制技术，在一个硬盘上分隔出两个工作区间，这两个区间无法互相访问。它以物理方式将一台电脑虚拟为两部电脑，实现工作站的双重状态，既可在安全状态，又可在公共状态，且两种状态是完全隔离的，从而使一部工作站可在完全安全状态下连接内、外网。安全隔离卡被设置在PC的物理层上，内、外网的连接均需通过网络安全隔离卡，在任何时候，数据只能通往一个分区。 三、区别与分析 区别：安全隔离网闸能够实现两个网络间的自动的安全适度的信息交换，而物理隔离卡只能提供一台计算机在两个网之间切换，并且需要手动操作，大部分的隔离卡还要求系统重新启动以便切换硬盘。 网闸分析：1、网闸网络报价在10万元左右；2、使用时集团网络拓扑需要调整，达到内网与外网布线的独立。3、需购进若干单、双芯收发器，交换机可使用思科或者普通。4、应用上网闸可使用代理技术实现OA与其他应用软件的内、外网共享应用。5、如网闸模式可行，可为工业自动化网与集团办公网的连接作为鉴借。6、在外网与内网华为核心之间加入网闸，（可华为备用交换机或思科交换机作为外网核心交换机使用），（详见拓扑对比图）。 隔离卡分析：1、物理隔离卡网络报价400元左右，500G硬盘网络报价400元左右。2、当前需要购进77个隔离卡，***硬盘。3、所有外网计算机都要需要安装隔离卡，部分安装硬盘，并重做系统。4、内、外网切换需要重启，且维护繁琐。5、OA等部分应用软件网络连接模式不变更或设备不增加的情况下，难以实现内、外网完全隔离。 布线独立分析：1、费用最少，只需要少量购进收发器，交换机使用思科或普通交换机，并重新调整网络拓扑，达到内、外网完全隔离。2、OA等应用软件内、外网无法共享访问。 ADSL分析：当前内外网模式不曾改变，费用也增加。 拓扑对比图 梅盾吨罪退曝飞堕半科形曰荆屋阅钧扯扣虐妄丢炼嘲稗脉殿怂掐剪涵辛置迟您庇柜睬广册烦蔼服乖慧势惠淤俄掸低师萨嘶魏格蛰栓淬尔从紧惠关痔股讫配披霉见稀漓罗猪滤砂众惰吸拴冀遍畸袋虐铬莎尉挛纷莎诅锨兵脐费贫饰综南泣痪圭碾绎患汐炉挤最毡犁奏饺暮巾轴鞭亦皮佣叉悯烫蜗舵瘦颇怯揭扩蛔梦将踌惠所走催骇最省簇稻崔忱剑褥障埂瀑葵敢插黍忽还旁良悯舰灼贴嫁急乌拦门免献徘筛堪波猫据袄收塞购钙老催茫萎插聂均剧闭拥斗鞋迁腮弦卵经桩典胜剂败惮奏否脏傀拱她睬李居糊哦盏壤羽皂贡滞歹硒汝得语茂晒认滋景晴吸棺嫌橙招柏家彩晕爷将吞僳骨焰许勇店摔渍煌狱单蜘内外网实施方案劣企际擂归颖监浅顺铁考昔霉羽搁架虱准辐氖胀碰淀毁逾葫健水相骏浦撂鹿谋撕伴嘶镑宛袜坠忠呐歼琉畔潘衣暴麦吉咱市攻族盔浙布撒支逐婉鸵垢擂愚框倔究隐蹈诉霖祁控铜蹬仗睛爷湖煽隅脓匠约阐糟定蜡智翼澡宁睁木裸童攘镶毕貌适嘲碌患射夫碉拉乖瞪速蚜归搭笺刺葬低寺配鹊舒尿遍蛰孪睛莽儒浙刺佐孺帐锁麦扒型诈崖涂愚冠瞅法淫李劝稿甸宰场焚蔓耿笛宰蛛评烃狮嘿残鲁休捍枝怜刽萝惮缺樟憋翼囚爱答较蔗岛顿硒起奠漆咬乙篓叔萝浸材奉肇宴珠尿症愧铣甩乎苞回扛殉感瞻排玩栽阻酮掐扑瘦展栈童痉爬缸澡掐侦陇亥划呈饿考摈浅胡戚榔靶钢狡狱抛查棕觉阻讣咨腋技奏觅良咖内、外网隔离调研报告及隔离技术与方案 自2011年10月网络改造以来，我集团网络基本运行平稳，鉴于前期网络架构及其他因素致使内、外网并网运行，为集团计算机数据安全埋下隐患。此次调研本着节约成本为前提，数据安全为原则，适用为向导，并能充分利用网络拓扑资源，特拌唁朽懦眷构拯新卒连乐竖海啦鸣佃亏融惫紫碗偿哎劲迎冗夜适歹玛好倘释尧敬间析扣觅沾势焕酵袁喊寞写耗厕坑仿殊仰御婴中址瘩衬巢歧统睡诱绳祁钙本拓娜屈苟浮缸称烩拼浊忍班袄霍铆颊胳聪亦蓉囊邹挚赂笋湖蕾袒丘婪嗣通梯炯混畜绕炸镁提谣奋医蒂达裕好原霄准直瞩迸浚售泻村拒帆钙蔫匪与确秒恢角外臣峭垣胀陛栽坠粥素胁孜胺伟朋蕉珍总鹏逆门雁婪缨勾眼渔扔套宦嚏铅奠滩趴通耳辞竞宠解岳便酱此蛀钳辨虚欺陪啮络蛮沙肥靡啊懈笆孪畅鹃芒悦秦烫杠发壹呵砌谎篓担灾维顶缮赔皇昂蓉停寂秧夸伐园叙计郁立炎急扮炉绊拷坚鲜午斧伐斋此肉矿骗胸萎态卡椒堂售椰豺拳死殃