防火墙和交换机还是比较常用的,于是我研究了一下防火墙和交换机如何实现内外网隔离 ,在这里拿出来和大家分享一下,希望对大家有用。随着网络技术和因特网技术的成熟和高速发展,越来越多的企事业单位开始组建网络来实现办公自动化和共享因特网的信息。但是, 安全问题也突现出来,iMaxNetworks(记忆网络公司)根据电子政务网络的特点提出了以交换机、防火墙和交换机相结合实现内外网隔离的解决方案。
方案一:交换机实现内外网的物理隔离
网络系统由内部局域网和外部因特网两个相对独立又相互关联的部分组成,均采用星形拓扑结构和100M交换式快速以太网技术。内部网与外部网之间不存在物理上的连接,使来自Internet的入侵者无法通过计算机从外部网进入内部网,从而最有效地保障了内部网重要数据的安全,内部局域网和外部因特网实现物理隔离。
imaxnetworks终端提供了经济安全的内外网物理隔离功能,它通过物理开关进行内外网的切换,在物理上信息终端只与其中一个网络连通,所以黑客即使侵入其中一个网络也无法越过物理屏障侵入另一个网络。建立内外网隔离方案需要在内网和外网各安装至少一台终端服务器。
方案二:防火墙和交换机结合,实现内外网隔离
VLAN隔离内外网:电子政务网络中存在多种业务,要实现多网的统一互联,同时又要保证各个网络的安全,除了在应用层上通过加密、签名等手段避免数据泄漏和篡改外,在局域网的交换机上采用VLAN技术进行,将不同业务网的设备放置在不同的VLAN中进行物理隔离,彻底避免各网之间的不必要的任意相互访问。在实现VLAN的技术中,以基于以太网交换机端口的VLAN(IEEE 802.1Q)最为成熟和安全,防火墙访问控制保证。
网络核心安全:为了网络构建简单,避免采用太多的设备使管理复杂化,从而降低网络的安全性,可以放置一个高速防火墙,通过这个这个防火墙和交换机,对所有出入中心的数据包进行安全控制及过滤,保证访问核心的安全。另外,为保证业务主机及数据的安全,不允许办公网及业务网间的无控制互访,应在进行VLAN划分的三层交换机内设置ACL。数据加密传输:对于通过公网(宽带城域网)进行传输的数据及互联,数据加密是必须的,在对关键业务做加密时,可以考虑采用更强的加密算法。
设置DMZ区进行外部访问:通常对于外部网络的接入,必须采取的安全策略是拒绝所有接受特殊的原则。即对所有的外部接入,缺省认为都是不安全的,需要完全拒绝,只有一些特别的经过认证和允许的才能进入网络内部。与网络中心及其它内部局域网之间的互连采用停火区(DMZ),设置集中认证点对接入用户进行安全认证,认证及相关服务器位于停火区,业务通过代理服务器进行交换,不允许外部网络直接访问内部系统。