安装中网X-GAP物理隔离网闸 建立安全石化网络

资源类型:pdf 资源大小:342.00KB 文档分类:工业技术 上传者:吕卓

文档信息

【作者】 范宏宇 

【出版日期】2005-04-05

【刊名】计算机安全

全文阅读

中国石化集团国际石油勘探开发有限公司(英文简称:SIPC)是中国石化集团从事上游海外投资经营的惟一专业化公司,是对中石化集团承担海外投资和经营双重责任的利润中心。其基础网络系统承担着海内外生产运营数据、财务资产数据等重要信息的传递任务,因此网络安全至关重要。为防止SIPC信息系统受到来自国际互联网的侵犯,提高SIPC的商业信息在全球传输、存储和应用过程的安全保密性,经过慎密的筛选,SIPC选用中网公司的物理隔离网闸(X-GAP)建立了与国际互联网完全物理隔离的计算机信息网络安全系统。一、网络描述目前SIPC基础网络分为内部网络和外部专网。内部网络是SIPC自建的连接海外的主干网,由SIPC总部内部局域网及海外分(子)公司企业内部网络组成,主要作为SIPC总部及海外分支机构进行内部信息(公司的商业秘密、商业机密)传输的主通道,其上运行内部项目资料、办公自动化系统等具有保密要求的系统。外部专网是指与集团公司主干网络连接的SIPC总部内部非保密要求局域网,主要作为与集团公司总部进行内部信息传输的主通道,通过防火墙与Internet相连。是SIPC对外邮件系统、网站系统及电子商务系统等服务器主机的网络载体,同时建立SIPC总部与海外分支机构非保密网络互联的虚拟专用网(VPN)。内部涉密网与外部专网之间以网闸进行物理隔离。二、网闸功能简介隔离网闸X-GAP由两个主机、一个基于独立的控制电路控制的固体存储介质和一个SCSI控制电路组成。工作时,隔离网闸首先断开TCP/IP的OSI数据模型的所有层,由此消除目前TCP/IP网络存在的攻击,在此基础上再考虑如何安全地实现数据交换的问题,双主机之间的数据交换是通过拷贝、镜像、反射等借助第三方非网络方式来完成。其功能主要有两部分:1.协议剥离物理层和链路层的断开是通过SCSI控制系统来实现的。网络层的断开是通过剥离所有的IP协议。因为剥离了IP,就不会基于IP包来暴露内部的网络结构,就没有真假IP地址之说,也没有IP碎片,就消除了所有基于IP协议的攻击,传输层的断开是通过剥离TCP或UDP协议,消除基于TCP或UDP的攻击。会话层的断开实际上是断开一个应用会话的连接,消除交互式的应用会话,从而避免攻击者通过窃取合法用户的会话信息,然后冒充该用户,以达到非授权访问的目的,或窃取合法用户的权限和信息。表现层的断开,就是剥离表现层的编码或协议,对于目前最为严重的应用层的攻击,应用层断开就是消除或剥离所有的应用协议。2.数据交换隔离设备存在一个独立的纯粹的存储介质和一个单纯的调度和控制电路。当外网需要有数据到达内网的时候,隔离设备的外部主机先接受数据,并发起对隔离设备的非TCP/IP协议的数据连接,隔离设备将所有的协议剥离,将原始的数据写入存储介质。根据不同的应用,可能有必要对数据进行完整性和安全性检查,如防病毒和恶意代码等。一旦数据完全写入隔离设备的存储介质,隔离设备立即中断与外网的连接。转而发起对内网的非TCP/IP协议的数据连接。隔离设备将存储介质内的数据推向内网。内网收到数据后,立即进行TCP/IP的封装和应用协议的封装,并交给应用系统。三、配置软件功能出于安全考虑,X-GAP使用了专有协议和客户端配置软件进行管理和配置。如图所示的管理工具界面中显示对系统资源利用率和当前会话等状态的监控。图1 网闸管理界面“外出访问服务”就是在允许可信的内网访问不可信的外网时,网闸所提供的各种应用代理服务,如HTTP、FTP、POP3、SMPT等,使可信内网的用户能够通过这些应用代理访问不可信外网的各种资源和应用服务,并可进行内容过滤和访问控制。“外出访问服务”准许内部用户外出访问,但禁止外部用户访问内部。“准出交换服务”除支持HTTP代理服务、SMTP代理服务、POP3代理服务、FTP[(\264\372\300\355\267\376\316\361\243\254)52.6(\273\271\277\311\322\324\266\250\326\306)]TCP代理服务、定制UDP代理服务、ORACLE数据库代理服务等。通过对各代理服务的配置,在内、外网之间建立一对一或一对多的地址对应关系。“准入交换服务”就是在允许不可信的外网访问可信的内网时,隔离网闸所提供的由外向内的各种代理服务,使不可信外网的用户能够通过这些代理安全访问内部可信任网中的各种资源和应用,这里支持定制TCP准入交换服务、FTP准入交换服务、Oracle数据库准入交换服务和定制UDP准入交换服务等,这些服务均是一对一的服务。[(\313\304\241\242)(\310\337\323\340\261\270\267\335)]上述网络中存在一个缺陷就是网闸本身是个单断点。为此我们进行了双机热备:主网闸和从网闸的内端机和外端机除了要设置真IP地址外,还必须为主网闸和从网闸内端机的热备份网口设置一个相同的虚IP地址,外网口同样如此。启动双机热备后,主网闸添加虚IP为其相应网口的别名,从网闸不作处理。如果主网闸失效,从网闸将添加虚IP为其相应网口的别名。主网闸恢复后,从网闸取消IP别名的设置,主网闸再次添加虚IP为其相应网口的别名。这样网络中始终只[(\323\320\322\273\270\366\323\320\320\247\265\304\315\342\315\370\277\332\\320\351)52.5(IP)]和内网口虚IP。这样就有效地避免了一个网闸因防范病毒入侵而阻断它引起的网络阻断。目前X-GAP还有两个重要功能没有被启用:认证管理和数据库同步管理,我们将结合下一步的工作需要考虑启用这些功能。2005年2月经北京市信息安全测评中心的全面测试,安装网闸后的网络,内网中的病毒及攻击数明显减少,极大地保证了网络数据和设备的安全。S安装中网X-GAP物理隔离网闸 建立安全石化网络$中国石化集团国际石油勘探开发有限公司信息部@范宏宇

1

问答

我要提问