淺析電網(wǎng)公司計(jì)算機(jī)內(nèi)網(wǎng)和外網(wǎng)的交互技術(shù)及應(yīng)用

1、<p>　　淺析電網(wǎng)公司計(jì)算機(jī)內(nèi)網(wǎng)和外網(wǎng)的交互技術(shù)及應(yīng)用</p><p>　　【摘要】在電網(wǎng)公司的辦公大樓內(nèi)局域網(wǎng)建設(shè)較早，大部分用戶存在 “一機(jī)跨兩網(wǎng)”的現(xiàn)象，給用戶信息安全帶采嚴(yán)重的隱患。通過對(duì)現(xiàn)有網(wǎng)絡(luò)進(jìn)行升級(jí)改造 ，在用戶終端上實(shí)現(xiàn)內(nèi)、外網(wǎng)物理隔離，開機(jī)后可根據(jù)需要自行選擇進(jìn)入內(nèi)網(wǎng)還是進(jìn)入外網(wǎng)，讓用戶的重要數(shù)據(jù)和外部的互聯(lián)網(wǎng)沒有物理上的連接，把用戶可以上網(wǎng)的信息和不可以上網(wǎng)的信息隔離開來，讓黑客無

2、機(jī)可乘，確保內(nèi)網(wǎng)信息安全可靠。 </p><p>　　【關(guān)鍵詞】內(nèi)網(wǎng) 外網(wǎng) 交互 技術(shù) </p><p>　　一、NAT技術(shù)分類及特點(diǎn) </p><p>　　通常，NAT技術(shù)有3種類型：靜態(tài)NAT（Static NAT），動(dòng)態(tài)NAT（Pooled NAT）和端13NAT（Network Address PortTranslation，NAPT）。其中，靜態(tài)NAT最為

3、簡單也最容易實(shí)現(xiàn)，它就是將每個(gè)內(nèi)網(wǎng)IP地址永久映射成單獨(dú)的外網(wǎng)IP地址。而動(dòng)態(tài)NAT則是在外網(wǎng)中定義一系列IP地址，采用動(dòng)態(tài)分配方法將某個(gè)外網(wǎng)IP地址映射為內(nèi)網(wǎng)IP地址，當(dāng)用戶斷開后，能夠釋放該外網(wǎng)IP地址供其它用戶使用。NAPT則是把多個(gè)內(nèi)網(wǎng)IP地址映射成為一個(gè)外網(wǎng)IP地址，采用不同的TCP和UDP端13來區(qū)分這些內(nèi)網(wǎng)IP地址。一般，靜態(tài)NAT常常被用于要求具有固定外網(wǎng)IP地址的主機(jī)（或網(wǎng)絡(luò)）中，動(dòng)態(tài)NAT主要應(yīng)用于頻繁連接的網(wǎng)絡(luò)（例

4、如，撥號(hào)網(wǎng)絡(luò)），當(dāng)用戶連接成功后，動(dòng)態(tài)NAT就分配一個(gè)外網(wǎng)IP地址，用戶斷開連接后，這個(gè)外網(wǎng)IP地址就會(huì)被自動(dòng)釋放，并留待其它用戶使用。 </p><p>　　二、PIX防火墻及NAT技術(shù)的主要特點(diǎn) </p><p>　　PIX防火墻通常有兩個(gè)Ethernet接口：一個(gè)內(nèi)部接13用于連接內(nèi)網(wǎng)，另一個(gè)外部接口用于連接外網(wǎng)（一般連接外部路由器）。PIX的主要工作是實(shí)現(xiàn)內(nèi)網(wǎng)與外網(wǎng)之間的數(shù)據(jù)鏈路層

5、和IP網(wǎng)絡(luò)層的通信，完成內(nèi)網(wǎng)與外網(wǎng)之間的IP地址映射。對(duì)于一臺(tái)配置好的PIX防火墻，從外部世界看來，內(nèi)網(wǎng)主機(jī)就好象是直接連接在PIX的外部接口似的。由于PIX的外部接13和內(nèi)部接口都是Ethernet接13，因此，向主機(jī)傳送數(shù)據(jù)包時(shí)，必須用到數(shù)據(jù)鏈路層的MAC地址。為了使內(nèi)網(wǎng)主機(jī)在數(shù)據(jù)鏈路層和IP網(wǎng)絡(luò)層上看起來都好像是連接在外部接13上，PIX運(yùn)行了代理ARP，該代理ARP給外網(wǎng)網(wǎng)絡(luò)層的IP地址綁定內(nèi)網(wǎng)主機(jī)的數(shù)據(jù)鏈路層MAC地址，這就使

6、得內(nèi)網(wǎng)主機(jī)看起來像是在數(shù)據(jù)鏈路層協(xié)議上的外部接口似的。 </p><p>　　大多數(shù)情況下，與外網(wǎng)的通信是由內(nèi)網(wǎng)發(fā)起的。由于PIX對(duì)數(shù)據(jù)包先進(jìn)行拆包操作，然后再進(jìn)行封包操作，而不是在應(yīng)用過程級(jí)（代理服務(wù)器則采用該方法）進(jìn)行拆包與封包，因此，PIX既可以跟蹤UDP會(huì)話，也可以跟蹤TCP連接。當(dāng)一臺(tái)內(nèi)網(wǎng)主機(jī)希望同外網(wǎng)主機(jī)進(jìn)行通信時(shí)，PIX先記錄下內(nèi)網(wǎng)主機(jī)的源IP地址，然后從外網(wǎng)的地址庫中分配一個(gè)外網(wǎng)的源IP地址，再記

7、錄下所進(jìn)行的IP地址轉(zhuǎn)換。由于是內(nèi)網(wǎng)與外網(wǎng)的IP地址一一對(duì)應(yīng)，外網(wǎng)主機(jī)很容易發(fā)起同指定的內(nèi)網(wǎng)主機(jī)進(jìn)行通信。為了內(nèi)網(wǎng)主機(jī)安全，通常要對(duì)目標(biāo)IP地址和端口號(hào)進(jìn)行過濾，一般按照服務(wù)器所提供的服務(wù)類型，選擇應(yīng)用層的相關(guān)協(xié)議，除非侵入PIX本身，外網(wǎng)用戶仍然無法了解內(nèi)網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)，在不了解內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)的情況下，惡意用戶就無法向內(nèi)網(wǎng)實(shí)施攻擊。 </p><p>　　三、內(nèi)網(wǎng)和外網(wǎng)的交互需求及可行性 </p>&

8、lt;p>　　內(nèi)外網(wǎng)實(shí)現(xiàn)物理隔離，確保內(nèi)網(wǎng)信息安全可靠；所有用戶終端通過軟件切換既能上內(nèi)網(wǎng)辦公，又能上互聯(lián)網(wǎng)處理業(yè)務(wù)；用戶在內(nèi)外網(wǎng)之間切換方便、快捷、操作簡單。可根據(jù)網(wǎng)絡(luò)現(xiàn)狀，由于大樓內(nèi)采用綜合布線，樓內(nèi)各區(qū)配線間均有一定的空間，可以增加部分設(shè)備。中心機(jī)房與各區(qū)配線間的主干線路均為光纜，各區(qū)配線間至辦公室至少有一條網(wǎng)線。綜合分析網(wǎng)絡(luò)現(xiàn)狀和改造目標(biāo)，采用單網(wǎng)線隔離卡和網(wǎng)絡(luò)隔離集線器相結(jié)合方法，能夠?qū)崿F(xiàn)在用戶終端實(shí)現(xiàn)內(nèi)外網(wǎng)物理隔離。操

9、作簡單，切換方便、快捷，系統(tǒng)性價(jià)比高，同時(shí)也能確保內(nèi)網(wǎng)信息安全。采用當(dāng)前的隔離技術(shù)能夠?qū)崿F(xiàn)，具有可行性。當(dāng)然，物理隔離最徹底的方法當(dāng)然是安裝兩套網(wǎng)絡(luò)和計(jì)算機(jī)設(shè)備，一套對(duì)應(yīng)內(nèi)部辦公環(huán)境，一套連結(jié)外部互聯(lián)網(wǎng)，兩套網(wǎng)絡(luò)互相不干擾。工作人員在進(jìn)行不同工作時(shí)，使用不同的網(wǎng)絡(luò)和計(jì)算機(jī)，這樣不需要特別的技術(shù)就達(dá)到了物理隔離的要求。但是，這種方法在具體實(shí)現(xiàn)當(dāng)中，存在諸多的問題：首先是費(fèi)用，無論是新建還是改造，該方案相當(dāng)于做兩個(gè)網(wǎng)絡(luò)工程的費(fèi)用，使得成本翻

10、番，工程量大。其次，用戶在兩臺(tái)計(jì)算機(jī)之間來回切換，非常麻煩，工作不方便，影響效率。 </p><p>　　四、內(nèi)網(wǎng)和外網(wǎng)的隔離方案 </p><p>　?。?）隔離卡的安裝。目前，隔離卡有IDE接口和SATA接口兩種，其安裝方法和步驟相似。IDE接口隔離卡安裝過程：第一步，按方案要求設(shè)置隔離卡為單布線網(wǎng)絡(luò)模式（具體在隔離卡背面有跳線圖）；第二步，將隔離卡插入計(jì)算機(jī)的PCI插槽并固定；第三步

11、，將兩個(gè)硬盤安裝好操作系統(tǒng)；第四步，將兩個(gè)硬盤的跳線設(shè)為Master方式（硬盤出廠設(shè)置一般為Cable Select）；第五步，用IDE數(shù)據(jù)線將隔離卡上標(biāo)有To PC記號(hào)的主IDE端口與主板Primary IDESN連（藍(lán)色：主板；黑色：隔離卡），標(biāo)有內(nèi)網(wǎng)記號(hào)的IDE端口與內(nèi)網(wǎng)硬盤相連（藍(lán)色：隔離卡內(nèi)網(wǎng)IDE；黑色：內(nèi)網(wǎng)硬盤），標(biāo)有外網(wǎng)記號(hào)的IDE端口與外網(wǎng)硬盤相連（藍(lán)色：隔離卡外網(wǎng)IDEl黑色：外網(wǎng)硬盤）；第六步，用串行通信線將隔離卡

12、的串行通訊口和計(jì)算機(jī)上的串行口相連接；第七步，用網(wǎng)卡連接線將隔離卡網(wǎng)卡的連接口（TO NIC）與計(jì)算機(jī)上的網(wǎng)卡相連；第八步，安裝隔離卡驅(qū)動(dòng)程序和切換軟件，切換到另外一個(gè)系統(tǒng)，安裝隔離卡驅(qū)動(dòng)程序和切換軟件。 </p><p>　?。?）工作模式。用戶終端裝有兩塊硬盤和一塊單網(wǎng)線隔離卡，采用雙網(wǎng)隔離集線器隔離，兩塊硬盤分別安裝內(nèi)外網(wǎng)環(huán)境下的系統(tǒng)，和應(yīng)用。進(jìn)入內(nèi)網(wǎng)時(shí)，斷開外網(wǎng)，啟動(dòng)內(nèi)網(wǎng)系統(tǒng)，使用內(nèi)網(wǎng)硬盤；進(jìn)入外網(wǎng)時(shí)，斷

13、開內(nèi)網(wǎng)，啟動(dòng)外網(wǎng)系統(tǒng)，使用外網(wǎng)硬盤。雙網(wǎng)隔離集線器的安裝由于安裝物理隔離卡的目的是可以連接內(nèi)外兩個(gè)網(wǎng)絡(luò)，所以在正常情況下需要兩條網(wǎng)線。但本單位網(wǎng)絡(luò)不能再布設(shè)網(wǎng)線，只有一根網(wǎng)線到用戶終端，這時(shí)需要雙網(wǎng)隔離集線器來配合隔離卡工作。雙網(wǎng)隔離集線器安裝過程：第一步，固定網(wǎng)絡(luò)隔離集線器于機(jī)架上；第二步，將來自安裝隔離卡計(jì)算機(jī)的網(wǎng)線連接至網(wǎng)絡(luò)隔離集線器中間的端口，并將相應(yīng)序號(hào)的內(nèi)、外網(wǎng)輸出網(wǎng)線分別連接至內(nèi)、外網(wǎng)交換機(jī)端口上。一定要注意網(wǎng)絡(luò)隔離集線器

14、缺省狀態(tài)下為內(nèi)網(wǎng)狀態(tài)，所以在不插網(wǎng)線時(shí)，內(nèi)網(wǎng)指示燈都亮，插上網(wǎng)線后指示燈根據(jù)隔離卡狀態(tài)顯示網(wǎng)絡(luò)狀態(tài)。 </p><p>　　五、PIX防火墻及NAT技術(shù)的應(yīng)用 </p><p>　　PIX在進(jìn)行NAT操作時(shí)，提供了另一個(gè)關(guān)鍵性的安全技術(shù)，它對(duì)數(shù)據(jù)包進(jìn)行隨機(jī)化的序列編號(hào)，以防止入侵者通過IP地址的電子欺騙控制住當(dāng)前的TCP連接，然后采用該TCP連接向內(nèi)網(wǎng)主機(jī)發(fā)送自己的數(shù)據(jù)包。經(jīng)過PIX的NA