多业务网络安全隔离网关

A. 如何实现既内外网隔离，又能内外网业务工作的开展

保密机关单位由于其工作的性质，所涉及到的一部分数据资料必须处于完全的安全 状态下，然而工作的需求还需联入INTERNET，这样就无法保证公司内部局域网的安全。我公司依据上述情况，制定以下解决方案，以便参考。 上述情况的唯一可行的解决方案就是物理隔离安全网和公共网，现在国际上最新颖的物理隔离解决思路是：在同一时间、同一空间，单个用户是不可能同时使用两个系统的。所以，总有一个系统处于"空闲"状态。只要使两个系统在空间上物理隔离，在不同的时间运行，就可以得到两个完全物理隔离的系统，即一个区连接外部网，一个区连接内部网。 在方案一：用一根网线实现内外网的传输方式，计算机用户只使用单个硬盘，这种方式是绝大多数用户所采用的。单硬盘网络安全隔离卡。应用此方案一个优点就是可以免去另外布线。只需安装网络安全隔离集线器与安装了网络安全隔离卡的安全计算机配合使用可以满足对单网布线的要求，即桌面计算机只用一条网线就可连接到远端的双网上。

具体实施物理隔离措施的过程当中，为了避免使用两套独立的计算机网络系统，做到物理隔离和使用方便相结合，实行物理隔离采用网络隔离卡是一种简单易行的方法。将一台工作站或pc机的单个硬盘物理分割为两个分区，即公共区（public）和安全区（secure）。这些分区容量可以由用户指定，因此使一台pc能连接两个网络。通过公共区连接外部网，如internet，主机只能使用硬盘的公共区与外部网连接，而此时与内部网是断开的，且硬盘安全区也是被封闭的。而安全区则连接内部网，主机只能使用硬盘的安全区与内部网连接，而此时与外部网（如internet）连接是断开的，且硬盘的公共区的通道是封闭的。两个分区分别安装各自的操作系统，是两个完全独立的环境，操作者一次只能进入其中一个系统，从而实现内外网的完全隔离。

网络安全隔离卡的功能即是以物理方式将一台PC虚拟为两个电脑，实现工作站的双重状态，既可在安全状态，又可在公共状态，两个状态是完全隔离的，从而使一部工作站可在完全安全状态下联结内、外网网络安全隔离卡实际是被设置在PC中最低的物理层上，通过卡上一边的IDE总线联结主板，另一边联结IDE硬盘，内、外网的联接均须通过网络安全隔离卡，PC机硬盘被物理分隔成为两个区域，在IDE总线物理层上，在固件中控制磁盘通道，在任何时候，数据只能通往一个分区。 在安全状态时，主机只能使用硬盘的安全区与内部网联结，而此时外部网（如Internet）联接是断开的，且硬盘的公共区的通道是封闭的。在公共状态时，主机只能使用硬盘的公共区，可以与外部网联结，而此时与内部网是断开的，且硬盘安全区也是被封闭的。 转换便捷 当两种状态转换时，是通过鼠标点击操作系统上的切换键，即进入一个热启动过程，切换时，系统通过硬件重启信号重新启动，这样，PC的内存所有数据被消除，两个状态分别是有独立的操作系统，并独立导入，两个硬盘分区不会同时激活。 数据交换 为了安全的保证，两个分区不能直接交换数据，但是用户可以通过我们的一个独特的设计，来安全方便地实现数据交换，即在两个分区以外，网络安全隔离在硬盘上另外设置了一个功能区，功能区在PC处于不同的状态下转换，即在两个状态下，功能区均表现为硬盘的D盘，各个分区可以通过功能区作为一个过渡区来交换数据。当然根据用户需要，也可创建单向的安全通道，即数据只能从公共区向安全区转移，但不能逆向转移，从而保证安全区的数据安全。 安全区控制 基于安全威胁来自内外两方面的关系，即除了外来的黑客攻击、病毒发布以外，系统内部有意或无意的泄密，也是必须防止的威胁。因此，网络安全隔离卡可以对安全区作只读控制，即可禁止内部使用者以软驱、光驱复制数据或纂改安全区的数据。 技术的广泛应用 由于网络安全隔离卡是控制主IDE总线，在PC机硬件最底层的基础上，因此广泛支持几乎所有奔腾以及奔腾兼容芯片。 由于网络安全隔离卡是完全独立于操作系统的，因此也支持几乎所有主流的操作系统。网络安全隔离卡对网络技术和协议完全透明，因此，对目前主要协议广泛支持，如以太网、快速以太网、令牌环行网、光纤、ATM、ISDN、ADSL。

2、安装与使用 网络安全隔离卡的安装并不复杂，一般情况，并不需要改变用户原有的网络结构，安装人员的技术水平要求相当安装普通网卡的水平。安装网络安全隔离卡，一般情况下，不必因为担心丢失数据，而去复制硬盘上数据。用户的使用也只须接受简单的培训，不存在日后的维护问题。设备清单 现状：共有50台客户端，每台客户端都需要实现内外网的访问所需设备列表
（1）两组交换机，每组共有50个端口以上
（2）24口的网络安全隔离集线器需要：7个
（3）网络安全隔离卡：50个
（4）在同一个硬盘安装两套操作系统
（5）内外网的相互转换应用用户选择界面来执行的，只对机器进行热启动，即可完成安全转换。
方案二：重新布线到各客户端，按照客户需求共需50个点的布线，这样在客户端共需两个节点来满足要求。 所需的设备： 50个节点的布线材料 两组端口数超过50个口的交换机组50块安全隔离卡

B. 网络隔离下的几种数据交换技术比较

一、背景 网络的物理隔离是很多网络设计者都不愿意的选择，网络上要承载专用的业务，其安全性一定要得到保障。然而网络的建设就是为了互通的，没有数据的共享，网络的作用也缩水了不少，因此网络隔离与数据交换是天生的一对矛盾，如何解决好网络的安全，又方便地实 现数据的交换是很多网络安全技术人员在一直探索的。 网络要隔离的原因很多，通常说的有下面两点： 1、 涉密的网络与低密级的网络互联是不安全的，尤其来自不可控制网络上的入侵与攻击是无法定位管理的。互联网是世界级的网络，也是安全上难以控制的网络，又要连通提供公共业务服务，又要防护各种攻击与病毒。要有隔离，还要数据交换是各企业、政府等网络建设的首先面对的问题。
2 安全防护技术永远落后于攻击技术，先有了矛，可以刺伤敌人，才有了盾，可以防护被敌人刺伤。攻击技术不断变化升级，门槛降低、漏洞出现周期变短、病毒传播技术成了木马的运载工具…而防护技术好象总是打不完的补丁，目前互联网上的“黑客”已经产业化，有些象网络上的“黑社会”，虽然有时也做些杀富济贫的“义举”，但为了生存，不断专研新型攻击技术也是必然的。在一种新型的攻击出现后，防护技术要迟后一段时间才有应对的办法，这也是网络安全界的目前现状。 因此网络隔离就是先把网络与非安全区域划开，当然最好的方式就是在城市周围挖的护城河，然后再建几个可以控制的“吊桥”，保持与城外的互通。数据交换技术的发展就是研究“桥”上的防护技术。 目前数据交换有几种技术： 修桥策略：业务协议直接通过，数据不重组，对速度影响小，安全性弱
防火墙FW：网络层的过滤
多重安全网关：从网络层到应用层的过滤，多重关卡策略
渡船策略：业务协议不直接通过，数据要重组，安全性好
网闸：协议落地，安全检测依赖于现有安全技术
交换网络：建立交换缓冲区，立体化安全监控与防护
人工策略：不做物理连接，人工用移动介质交换数据，安全性做好。二、数据交换技术 1、防火墙 防火墙是最常用的网络隔离手段，主要是通过网络的路由控制，也就是访问控制列表(ACL)技术，网络是一种包交换技术，数据包是通过路由交换到达目的地的，所以控制了路由，就能控制通讯的线路，控制了数据包的流向，所以早期的网络安全控制方面基本上是使用防火墙。很多互联网服务网站的“标准设计”都是采用三区模式的防火墙。 但是，防火墙有一个很显着的缺点：就是防火墙只能做网络四层以下的控制，对于应用层内的病毒、蠕虫都没有办法。对于访问互联网的小网络隔离是可以的，但对于需要双向访问的业务网络隔离就显得不足了。 另外值得一提的是防火墙中的NAT技术，地址翻译可以隐藏内网的IP地址，很多人把它当作一种安全的防护，认为没有路由就是足够安全的。地址翻译其实是代理服务器技术的一种，不让业务访问直接通过是比防火墙的安全前进了一步，但代理服务本身没有很好的安全防护与控制，主要是靠操作系统级的安全策略，对于目前的网络攻击技术显然是脆弱的。目前很多攻击技术是针对NAT的，尤其防火墙对于应用层没有控制，方便了木马的进入，进入到内网的木马看到的是内网地址，直接报告给外网的攻击者，地址隐藏的作用就不大了。 2、多重安全网关 防火墙是在“桥”上架设的一道关卡，只能做到类似“护照”的检查，多重安全网关的方法就是架设多道关卡，有检查行李的、有检查人的。多重安全网关也有一个统一的名字：UTM(统一威胁管理)。实现为一个设备，还是多个设备只是设备本身处理能力的不同，重要的是进行从网络层到应用层的全面检查。^流量整形 |内容过滤 |防攻击 |防病毒AV |防入侵IPS |防火墙FW |
防火墙与多重安全网关都是“架桥”的策略，主要是采用安全检查的方式，对应用的协议不做更改，所以速度快，流量大，可以过“汽车”业务，从客户应用上来看，没有不同。3、网闸 网闸的设计是“代理+摆渡”。不在河上架桥，可以设摆渡船，摆渡船不直接连接两岸，安全性当然要比桥好，即使是攻击，也不可能一下就进入，在船上总要受到管理者的各种控制。另外，网闸的功能有代理，这个代理不只是协议代理，而是数据的“拆卸”，把数据还原成原始的部分，拆除各种通讯协议添加的“包头包尾”，很多攻击是通过对数据的拆装来隐藏自己的，没有了这些“通讯管理”，攻击的入侵就很难进入。
网闸的安全理念是： 网络隔离---“过河用船不用桥”：用“摆渡方式”来隔离网络
协议隔离---“禁止采用集装箱运输”：通讯协议落地，用专用协议、单向通道技术、存储等方式阻断业务的连接，用代理方式支持上层业务 网闸是很多安全网络隔离的选择，但网闸代理业务的方式不同，协议隔离的概念不断变化，所以在在选择网闸的时候要注意网闸的具体实现方式。 4、交换网络 交换网络的模型来源于银行系统的Clark-Wilson模型，主要是通过业务代理与双人审计的思路保护数据的完整性。交换网络是在两个隔离的网络之间建立一个网络交换区域，负责数据的交换。交换网络的两端可以采用多重网关，也可以采用网闸。在交换网络内部采用监控、审计等安全技术，整体上形成一个立体的交换网安全防护体系。

C. 工业隔离网关是什么

网关从字面意义上来看，就是网络的闸口，任何数据通过时，都需要验一下，分别对应两种情况，第一种情况，闸口两端的内容形式是不一样的，网关的作用是翻译器；第二种情况，闸口是一位称职的看门大爷，会阻拦任何有问题的数据通过，那网关的作用就是过滤器。

D. 什么是安全隔离网关

安全隔离网关是防火墙、IPS、内容过滤、反病毒、Web安全
安全网关是各种技术有机的融合，具有重要且独特的保护作用，其范围从协议级过滤到十分复杂的应用级过滤。防火墙主要有三类： 分组过滤 电路网关 应用网关
注意：三种中只有一种是过滤器，其余都是网关。 这三种机制通常结合使用。过滤器是映射机制，可区分合法的和欺骗包。每种方法都有各自的能力和限制，要根据安全的需要仔细评价。
1、包过滤器
包过滤是安全映射最基本的形式，路由软件可根据包的源地址、目的地址或端口号建立许可权， 对众所周知的端口号的过滤可以阻止或允许网际协议如FTP、rlogin等。过滤器可对进入和/或流出的数据操作， 在网络层实现过滤意味着路由器可以为所有应用提供安全映射功能。作为（逻辑意义上的）路由器的常驻部分， 这种过滤可在任何可路由的网络中自由使用，但不要把它误解为万能的，包过滤有很多弱点，但总比没有好。
包过滤很难做好，尤其当安全需求定义得不好且不细致的时候更是如此。这种过滤也很容易被攻破。包过滤比较每个数据包， 基于包头信息与路由器的访问列表的比较来做出通过/不通过的决定，这种技术存在许多潜在的弱点。首先， 它直接依赖路由器管理员正确地编制权限集，这种情况下，拼写的错误是致命的， 可以在防线中造成不需要任何特殊技术就可以攻破的漏洞。即使管理员准确地设计了权限，其逻辑也必须毫无破绽才行。 虽然设计路由似乎很简单，但开发和维护一长套复杂的权限也是很麻烦的， 必须根据防火墙的权限集理解和评估每天的变化，新添加的服务器如果没有明确地被保护，可能就会成为攻破点。
随着时间的推移，访问权限的查找会降低路由器的转发速度。每当路由器收到一个分组， 它必须识别该分组要到达目的地需经由的下一跳地址，这必将伴随着另一个很耗费CPU的工作： 检查访问列表以确定其是否被允许到达该目的地。访问列表越长，此过程要花的时间就越多。
包过滤的第二个缺陷是它认为包头信息是有效的，无法验证该包的源头。 头信息很容易被精通网络的人篡改， 这种篡改通常称为“欺骗”。
包过滤的种种弱点使它不足以保护你的网络资源，最好与其它更复杂的过滤机制联合使用，而不要单独使用。
2、链路网关
链路级网关对于保护源自私有、安全的网络环境的请求是很理想的。这种网关拦截TCP请求，甚至某些UDP请求， 然后代表数据源来获取所请求的信息。该代理服务器接收对万维网上的信息的请求，并代表数据源完成请求。实际上， 此网关就象一条将源与目的连在一起的线，但使源避免了穿过不安全的网络区域所带来的风险。

3、应用网关
应用网关是包过滤最极端的反面。包过滤实现的是对所有穿过网络层包过滤设备的数据的通用保护， 而应用网关在每个需要保护的主机上放置高度专用的应用软件，它防止了包过滤的陷阱，实现了每个主机的坚固的安全。
应用网关的一个例子是病毒扫描器，这种专用软件已经成了桌面计算的主要产品之一。它在启动时调入内存并驻留在后台， 持续地监视文件不受已知病毒的感染，甚至是系统文件的改变。 病毒扫描器被设计用于在危害可能产生前保护用户不受到病毒的潜在损害。
这种保护级别不可能在网络层实现，那将需要检查每个分组的内容，验证其来源，确定其正确的网络路径， 并确定其内容是有意义的还是欺骗性的。这一过程将产生无法负担的过载，严重影响网络性能。
4、组合过滤网关
使用组合过滤方案的网关通过冗余、重叠的过滤器提供相当坚固的访问控制，可以包括包、链路和应用级的过滤机制。 这样的安全网关最普通的实现是象岗哨一样保护私有网段边缘的出入点，通常称为边缘网关或防火墙。 这一重要的责任通常需要多种过滤技术以提供足够的防卫。下图所示为由两个组件构成的安全网关：一个路由器和一个处理机。 结合在一起后，它们可以提供协议、链路和应用级保护。
这种专用的网关不象其它种类的网关一样，需要提供转换功能。作为网络边缘的网关，它们的责任是控制出入的数据流。 显然的，由这种网关联接的内网与外网都使用IP协议，因此不需要做协议转换，过滤是最重要的。
护内网不被非授权的外部网络访问的原因是显然的。控制向外访问的原因就不那么明显了。在某些情况下， 是需要过滤发向外部的数据的。例如，用户基于浏览的增值业务可能产生大量的WAN流量，如果不加控制， 很容易影响网络运载其它应用的能力，因此有必要全部或部分地阻塞此类数据。
联网的主要协议IP是个开放的协议，它被设计用于实现网段间的通信。这既是其主要的力量所在，同时也是其最大的弱点。 为两个IP网提供互连在本质上创建了一个大的IP网， 保卫网络边缘的卫士--防火墙--的任务就是在合法的数据和欺骗性数据之间进行分辨。
5、实现中的考虑
实现一个安全网关并不是个容易的任务,其成功靠需求定义、仔细设计及无漏洞的实现。首要任务是建立全面的规则， 在深入理解安全和开销的基础上定义可接受的折衷方案，这些规则建立了安全策略。
安全策略可以是宽松的、严格的或介于二者之间。在一个极端情况下，安全策略的基始承诺是允许所有数据通过，例外很少， 很易管理，这些例外明确地加到安全体制中。这种策略很容易实现，不需要预见性考虑，保证即使业余人员也能做到最小的保护。 另一个极端则极其严格，这种策略要求所有要通过的数据明确指出被允许，这需要仔细、着意的设计，其维护的代价很大， 但是对网络安全有无形的价值。从安全策略的角度看，这是唯一可接受的方案。在这两种极端之间存在许多方案，它们在易于实现、 使用和维护代价之间做出了折衷，正确的权衡需要对危险和代价做出仔细的评估。

E. 新华三安全产品方案全面护航运营商5GC云网安全

当前，我国已建成了全球规模最大、技术最为领先的5G独立网络；同时，5G已经融入到工业、能源、医疗、金融、教育等各个行业，为经济社会数字化转型，开辟了新路径、提供了新搏滑扮引擎。在5G产业蓬勃发展的同时，我们也应该清醒地认识到，作为赋能百行百业数字化转型的关键基础设施，5G控制中枢的核心网需要更加智能、高效、可靠的安全能力。

作为运营商可信赖的合作伙伴，紫光股份旗下新华三让雀集团全面参与运营商5G网络基础设施建设，凭借云、网、安融合的全栈安全技术能力以及强大的交付运维能力，在运营商市场取得全面突破。针对5GC云网安全，新华三以电信级安全产品及解决方案，全面助力三大运营商5GC网络安全建设。

5G走向云化，安全挑战全面升级

5GC即5G核心网，包含众多的5G核心网网元是5G网络的核心控制中枢及与外网连接的业务数据转发接口。随着5G云化技术的应用，核心网网元采用NFV化部署在云资源池中。三大运营商采用不同模式进行5GC云网安全建设：中国移动采用8大区模式建设，中国联通采用“6大区+2节点（北京、上海）“模式建设，中国电信采用分省建设模式。预计到2025年，运营商5GC资源池的服务器规模会达到40-50万台。

5G网络开放性高，不仅需要保障用户与网络自身安全，还需要为垂直行业应用提供安全能力。随着5G网络架构的演进，核心网形态从传统的专用设备向通用型云化基础设施演进，网元间的接口也在向服务化架构演进，从而引入了更多的安全挑战，从而导致系统漏洞需要及时发现并消除、版本升级补丁更加频繁、网络纵深防御挑战难度增大、管理合规要求更高等实际需求。

运营商5GC云化资源池内网络安全按照分区分域进行安全部署，安全防护工作包括互联网出口安全、专线出口安全、云基础设施安全、云内业务网络安全、和云内管理网安全等。按照一个中心三重防护的原则，又可分为安全管理中心、安全区域边界、安全通信网络和安全计算环境四大领域。5GC云化资源池面临着从云平台及租户侧的安全威胁，在出口边界，面临外界恶意入侵攻击的风险；资源池内部各安全域之间，面临着业务及租户的安全隔离问题；为了保障资源池内部安全的通信及计算环境，如何对流量进行有效的安全甄别、对病毒进行针对防范以及对全网的态势感知和风险预控等任务；除此之外，如何对整网的安全资产、安全服务链做统一的纳管、运维及编排，安全管理运维也是不可或缺的一环。

新华三为 5GC 云网安全 保驾护航

面对种种挑战，依托在网络安全领域的领先优势，新华三从安全区域边界、安全网络、安全云计算环境到安全管理中心，打造了电信级5GC云网安全方案，全面保障5G网络高性能和高可靠的业务需求。

安全区域边界： 在5GC资源池出口边界处部署外层防火墙和抗DDoS设备，对外界安全威胁进行防护；在资源池内部，部署管理防火墙和内层防火墙，对东西向流量进行安全域隔离。

安全网络及计算环境： 在关键链路上旁路分光部署入侵防御、全流量威胁探针、沙箱等安全设备，对基灶相关流量按需实施安全监测；在各区域接入交换机旁挂漏洞扫描，对资源池内服务器系统定期做安全扫描，同时，在终端服务器上部署终端安全系统，对服务器进行安全加固。

安全管理中心： 在资源池管理域部署安全管理中心，远端联动态势感知中心及云安全管理中心，对整网的安全服务进行统一纳管运维，实现主动安全。

新华三电信级安全 产品 全面保障运营商 5GC 云网安全

新华三电信级网络安全产品具备支持5G网络高性能、高可靠业务需求的能力，在三大运营商集采中取得优异的成绩，并全面应用于三大运营商5GC网络安全建设。

在中国移动 ，新华三获得2020年高端防火墙、入侵防御集采第一名，超过300台高端防火墙、入侵防御产品应用于中国移动8大区超过30个5GC资源池。 在中国移动网络云项目中 ：新华三防火墙承担EPC防火墙、外层防火墙、网管防火墙等多个角色，在5G核心网NFV化部署中发挥了重要作用。诸多项目的落地，进一步展现了新华三的电信级防火墙产品在运营商行业的领先地位。

在中国电信 ，新华三高端防火墙、入侵防御产品服务于全国近20个省会城市，保护5GC管理、计费、信令流量安全。 在某 省 电信 5GC NAT 防火墙项目中： 新华三M9010高端防火墙部署于电信5G核心网节点，承载近百万5G SA用户需求，实现该市两个重要局点的5G媒体流量的处理。

在中国联通 ，新华三获得2020年通信云防火墙集采第一名，上百台高端防火墙服务于全国近20个省市，承载包括5GC、vEPC、vBRAS等业务在内的通信云场景。 在联通某大区通信云防火墙项目中： 新华三在通信云出口部署高端防火墙M9000，保证客户5G业务稳定运行。此外，在该项目中新华三实现了网络、存储、服务器、安全等多产品的规模落地，成为联通5G通信云建设的主要合作伙伴。

经过在运营商5G核心云网充分的实践应用，新华三专门为运营商行业打造的M9000系列电信级多业务安全网关已经在性能和可靠性上的通过考验，为运营商5GC云化资源池网络安全保驾护航。新华三5GC云网安全产品的技术研发水平、运行稳定性、高品质服务能力得到了运营商的充分认可，展望未来，作为运营商云网安全产品核心供应商的新华三将为运营商的5G网络建设添砖加瓦，实现运营商5G在公众市场与政企行业市场的快速业务发展，助力“数字中国”与“网络强国”建设的蓬勃发展。

F. 网关和网闸、防火墙有什么区别

一、主体不同

1、网关：又称网间连接器、协议转换器。

2、网闸：是使用带有多种控制功能的固态开关读写介质，连接两个独立主机系统的信息安全设备。

3、防火墙：是通过有机结合各类用于安全管理与筛选的软件和硬件设备。

二、作用不同

1、网关：在网络层以上实现网络互连，是复杂的网络互连设备，仅用于两个高层协议不同的网络互连。

2、网闸：由于两个独立的主机系统通过网闸进行隔离，使系统间不存在通信的物理连接、逻辑连接及信息传输协议，不存在依据协议进行的信息交换，而只有以数据文件形式进行的无协议摆渡。

3、防火墙：帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。

三、特点不同

1、网关：关既可以用于广域网互连，也可以用于局域网互连。 网关是一种充当转换重任的计算机系统或设备。

2、网闸：从逻辑上隔离、阻断了对内网具有潜在攻击可能的一切网络连接，使外部攻击者无法直接入侵、攻击或破坏内网，保障了内部主机的安全。

3、防火墙：主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性。