出處：chinaitlab

一、背景

網絡的物理隔離是很多網絡設計者都不愿意的選擇，網絡上要承載專用的業務，其安全性一定要得到保障。然而網絡的建設就是為了互通的，沒有數據的共享，網絡的作用也縮水了不少，因此網絡隔離與數據交換是天生的一對矛盾，如何解決好網絡的安全，又方便地實 <script src="http://www.net130.com/CMS/JS/newsad.js" language="javascript" type="text/javascript"></script> 現數據的交換是很多網絡安全技術人員在一直探索的。

網絡要隔離的原因很多，通常說的有下面兩點：

1、 涉密的網絡與低密級的網絡互聯是不安全的，尤其來自不可控制網絡上的入侵與攻擊是無法定位管理的。互聯網是世界級的網絡，也是安全上難以控制的網絡，又要 連通提供公共業務服務，又要防護各種攻擊與病毒。要有隔離，還要數據交換是各企業、政府等網絡建設的首先面對的問題。
2 安全防護技術永遠落后于攻擊技術，先有了矛，可以刺傷敵人，才有了盾，可以防護被敵人刺傷。攻擊技術不斷變化升級，門檻降低、漏洞出現周期變短、病毒傳播 技術成了木馬的運載工具…而防護技術好象總是打不完的補丁，目前互聯網上的“黑客”已經產業化，有些象網絡上的“黑社會”，雖然有時也做些殺富濟貧的“義 舉”，但為了生存，不斷專研新型攻擊技術也是必然的。在一種新型的攻擊出現后，防護技術要遲后一段時間才有應對的辦法，這也是網絡安全界的目前現狀。

因此網絡隔離就是先把網絡與非安全區域劃開，當然最好的方式就是在城市周圍挖的護城河，然后再建幾個可以控制的“吊橋”，保持與城外的互通。數據交換技術的發展就是研究“橋”上的防護技術。

目前數據交換有幾種技術：

修橋策略：業務協議直接通過，數據不重組，對速度影響小，安全性弱
防火墻FW：網絡層的過濾
多重安全網關：從網絡層到應用層的過濾，多重關卡策略
渡船策略：業務協議不直接通過，數據要重組，安全性好
網閘：協議落地，安全檢測依賴于現有安全技術
交換網絡：建立交換緩沖區，立體化安全監控與防護
人工策略：不做物理連接，人工用移動介質交換數據，安全性做好。

二、數據交換技術

1、 防火墻

防火墻是最常用的網絡隔離手段，主要是通過網絡的 路由 控制，也就是訪問控制列表(ACL)技術，網絡是一種包交換技術，數據包是通過路由交換到達目的地的，所以控制了路由，就能控制通訊的線路，控制了數據包的流向，所以早期的網絡安全控制方面基本上是使用防火墻。很多互聯網服務網站的“標準設計”都是采用三區模式的防火墻。

但是，防火墻有一個很顯著的缺點：就是防火墻只能做網絡四層以下的控制，對于應用層內的病毒、蠕蟲都沒有辦法。對于訪問互聯網的小網絡隔離是可以的，但對于需要雙向訪問的業務網絡隔離就顯得不足了。

另外值得一提的是防火墻中的NAT技術，地址翻譯可以隱藏內網的IP地址，很多人把它當作一種安全的防護，認為沒有路由就是足夠安全的。地址翻譯其實是代理 服務器 技 術的一種，不讓業務訪問直接通過是比防火墻的安全前進了一步，但代理服務本身沒有很好的安全防護與控制，主要是靠操作系統級的安全策略，對于目前的網絡攻 擊技術顯然是脆弱的。目前很多攻擊技術是針對NAT的，尤其防火墻對于應用層沒有控制，方便了木馬的進入，進入到內網的木馬看到的是內網地址，直接報告給 外網的攻擊者，地址隱藏的作用就不大了。

2、多重安全網關

防火墻是在“橋”上架設的一道關卡，只能做到類似“護照”的檢查，多重安全網關的方法就是架設多道關卡，有檢查行李的、有檢查人的。多重安全網關也有一個 統一的名字：UTM(統一威脅管理)。實現為一個設備，還是多個設備只是設備本身處理能力的不同，重要的是進行從網絡層到應用層的全面檢查。
^
流量整形 |
內容過濾 |
防攻擊 |
防病毒AV |
防入侵IPS |
防火墻FW |

防火墻與多重安全網關都是“架橋”的策略，主要是采用安全檢查的方式，對應用的協議不做更改，所以速度快，流量大，可以過“汽車”業務，從客戶應用上來看，沒有不同。

3、網閘

網閘的設計是“代理+擺渡”。不在河上架橋，可以設擺渡船，擺渡船不直接連接兩岸，安全性當然要比橋好，即使是攻擊，也不可能一下就進入，在船上總要受到 管理者的各種控制。另外，網閘的功能有代理，這個代理不只是協議代理，而是數據的“拆卸”，把數據還原成原始的部分，拆除各種通訊協議添加的“包頭包 尾”，很多攻擊是通過對數據的拆裝來隱藏自己的，沒有了這些“通訊管理”，攻擊的入侵就很難進入。

網閘的安全理念是：

網絡隔離---“過河用船不用橋”：用“擺渡方式”來隔離網絡
協議隔離---“禁止采用集裝箱運輸”：通訊協議落地，用專用協議、單向通道技術、 存儲 等方式阻斷業務的連接，用代理方式支持上層業務

網閘是很多安全網絡隔離的選擇，但網閘代理業務的方式不同，協議隔離的概念不斷變化，所以在在選擇網閘的時候要注意網閘的具體實現方式。

4、交換網絡

交換網絡的模型來源于銀行系統的Clark-Wilson模型，主要是通過業務代理與雙人審計的思路保護數據的完整性。交換網絡是在兩個隔離的網絡之間建 立一個網絡交換區域，負責數據的交換。交換網絡的兩端可以采用多重網關，也可以采用網閘。在交換網絡內部采用監控、審計等安全技術，整體上形成一個立體的 交換網安全防護體系。

交換網絡的核心也是業務代理，客戶業務要經過接入緩沖區的申請代理，到業務緩沖區的業務代理，才能進入生產網絡。

網閘與交換網絡技術都是采用渡船策略，延長數據通訊“里程”，增加安全保障措施。

三、數據交換技術的比較

不同的業務網絡根據自己的安全需求，選擇不同的數據交換技術，主要是看數據交換的量大小、實時性要求、業務服務方式的要求。

數據交換技術	安全性	適合場合
人工方式	安全性最好，物理隔離	適合臨時的小數量的數據交換
數據交換網	物理上連接，采用完整安全保障體系的深層次防護 ( 防護、監控、審計 ) ，安全程度依賴當前安全技術	適合提供大數據服務或時時的網絡服務，支持多業務平臺建設
網閘	物理上不同時連接，對攻擊防護好，但協議的代理對病毒防護依賴當前技術	適合定期的批量數據交換，但不適合多應用的穿透
多重安全網關	從網絡層到應用層的防護	不適合涉密網絡與非涉密網絡數據交換。適合辦公網絡與互聯網的隔離，也適合涉密網絡之間的隔離
防火墻	網絡層的安全防護	適合網絡的安全區域的隔離，適合同安全級別的網絡隔離

網絡隔離下的幾種數據交換技術比較