浅谈网闸在内外网隔离中的应用

李飞

随着计算机网络的不断普及和发展，传统的网络防御技术如防火墙、UTM、入侵检测等，面对外网的各种威胁，其安全效能正在下降，为确保内网的数据安全，最安全的方式就是实行内外网物理隔离。但是，网络的物理隔离，给内外网数据的交换带来很多不便。因此，就需要在内、外网之间建立一个既符合物理隔离安全要求，又能进行数据交换的解决方案，这就诞生了网闸技术。

网闸全称安全隔离网闸。安全隔离网闸是一种带有多种控制功能的专用硬件，在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换。通用的网闸模型一般分三个基本部分：内网处理单元、外网处理单元、隔离与交换控制单元。如下图：

数据交换区就是数据交换中的摆渡船，数据交换区与内外网在任意时刻都不同时连接，实现物理隔离。网闸直接处理网络间的应用层数据，利用存储转发的方法进行应用数据的交换，在交换的同时，对数据进行的各种安全检查。

下面以网御星云网闸为例，谈谈网闸产品在内外网隔离中的具体应用。

网御星云网闸基于“2+1”系统架构，面板网络接口分为两排，上面一排为内网接口，下面一排为外网接口。

一、部署方式：

内网与外网在不同网段，网闸在其中起到隔离和路由的作用。服务器部署在内网，其他终端电脑通过网闸访问服务器，网络拓扑如下图。

二、配置要求：

外网客户端PC与内网服务器192.168.1.200的22334号TCP端口通信。要达到通过访问网闸外网业务口22334端口实现访问内网服务器22334端口的效果。

三、配置流程：

首先保证外网客户端PC到网闸外网业务口能通，网闸内网业务口到内网服务器能通；配置内网-定制访问-服务端配置；配置外网-定制访问-客户端配置。

四、配置步驟：

（1）登录网闸内网管理系统，网闸服务端任务配置：服务端-定制访问-TCP访问，输入服务端任务号（注意定制访问TCP任务号必须唯一）。

（2）登录网闸外网管理系统，网闸客户端任务配置：客户端-定制访问-TCP普通访问，输入服务端任务号（注意：必须和服务端保持一致）。

这样，外网客户端PC就可以通过访问网闸外网业务口10.1.5.254的22334端口来访问内网服务器192.168.1.200的22334端口。同样，内网PC客户端要访问外网服务器，只要将外网服务器设置为服务端，内网设置成客户端，访问内网业务口192.168.1.1即可实现。

以上就是网闸设备在内外网隔离中的简单应用，这样既保证了内外网的安全隔离，又能够实现内外网实时、高速的数据交换，提高了工作效率。endprint