网络隔离边界安全接入技术

随着互联网与网络技术的不断发展与越来越广泛深入的应用，以及网络建设的复杂化，网络边界安全与边界接入越来越成为企业亟待解决的问题。

　　近年来，针对边界安全，国家各部门均制定过了制度和文件，如，公安部制定的等级保护的制度，保密局制定的分级保护标准，中国移动的安全域项目，电力行业的双网隔离要求等等，这些都是跟边界安全撇不开关系的。而在边界安全的项目中，会应用到网络隔离技术，一般情况下，而边界隔离往往又阻碍了边界接入带来的便捷性的发展，相反更增加日常工作的负担。

　　这里说一说目前应用较多的网络隔离边界安全的设备，网闸、防火墙、VPN、UTM等等。

　　网闸

　　首先我们说说网闸，说得通俗点，网闸就是采用双网络接口加开关机制，和外网通信时与内网的网络接口断开，来保证内网不暴露在外网;当需要的数据从外网上下载到内网，然后和内网通讯时，外网的网络接口断开，但这个产品是因政府的要求内外网必须物理隔离带来的具有中国社会主义特色的产品，网闸在内外网之间扮演着一种类似“信息渡船”的作用，网闸的本质也是逻辑隔离，更关健的是网闸的部署首先带来的就是牺牲网络性能，而不似防火墙能够保持比较良好的通信实时性。

　　防火墙与UTM

　　接下来我们谈谈防火墙与UTM，UTM我们可以简单的理解为，UTM是由入侵检测、防病毒、防火墙三个功能模块组合而成的一个产品，

　　不管是防火墙还是UTM，利用ACL+NAT的技术是可以很好的解决边界隔离与边界接入的问题的，不过很显然，这种技术是基于TCP/IP传输层和网络层的，很好的保障了传输层和网络层的安全，但对于应用层却是无能为力的，新型的UTM的入侵检测模块有部份应用层的功能，但其大部份还是对传输层的支持，且入侵检测模块对应用层的功能是属于检测和告警机制的支持，而对应用层的入侵阻断的支持是比较有限的，而对于应用层的一些业务，如应用发布、远程交互是没有这些功能的，这就使得外部用户对内部资源的访问不能提供一个便捷而安全的途径。

　　VPN

　　接下来我们再谈谈VPN设备，首先一般的防火墙和UTM是有VPN模块的，但随着VPN技术越来越广泛的应用，专业的VPN设备也随之而生了。首先来讲，专业的VPN设备解决了防火墙和UTM在应用发布和远程交互的无能为力的局面。且VPN在传输中采用的加密通道，安全性也是比较好的，但VPN 对应用发布的支持的力度还是非常欠缺的，一般的B/S的应用VPN是支持的，但支持不了B/S应用的代理登陆认证过程，对一些应用，如Outlook、 SMB文件共享也能够提供支持，而对广泛的C/S应用却支持不了，当然有些VPN厂商可以通过定制开发的形式对一些特殊的C/S应用提供有限支持，但因为 VPN技术的局限性，这种开发成本是非常大的，而且耗时也会超出一般企业的可承受范围。

　　那有什么产品既可以完美的解决边界接入的安全问题又能支持边界接入之后对应用发布和远程交互的跨网访问广泛支持度呢，答案是肯定的，深圳沟通科技最新研制的安全接入保垒机就当仁不让的扛起了这面大旗。

　　沟通科技安全接入堡垒机方案拓扑图

　　用户在低安全域环境下把键盘和鼠标指令信息通过沟通安全接入堡垒机上行到高安全域应用服务器，高安全域的屏幕变化信息下行到低安全域，但禁止其它实体数据信息流在两个安全域之间直接交换;由于没有其它实体信息流在两个安全域之间直接交换，因此，低安全域的键鼠指令信息，不会直接破坏高安全域的完整性，高安全域的高密级实体数据信息也不会泄漏到低安全域。

　　沟通科技安全接入堡垒机产品原理

　　采用虚拟化技术分离应用的表现与计算，实现虚拟应用交互、本地化应用体验，客户端与服务器之间只传递键盘、鼠标和荧屏变化等交互信息，没有实际的业务数据流到客户端，客户端看到的只是服务器上应用运行的显示映像，避免跨域传输实体数据，从而提升跨域访问的安全性。

　　实体静态数据传输建立专属文件安全传输通道，涉及静态文件跨安全域上传和下载，先通过网闸或其他数据同步传输设备从低安全域同步到高安全域，静态数据经过安全摆渡，避免由于上传静态文件携带病毒威胁高安全域的网络或数据安全。