内外网实施方案

自2011年10月网络改造以来，我集团网络基本运行平稳，鉴于前期网络架构及其他因素致使内、外网并网运行，为集团计算机数据安全埋下隐患。此次调研本着节约成本为前提，数据安全为原则，适用为向导，并能充分利用网络拓扑资源，特拟写此方案。

截止8月中旬，集团在册登记外网连接（不包含服务器）数量共计159台，其中77台通过内、外网并网方式连接，剩余82台为ADSL方式连接。下述两种技术与两种方式，除使用ADSL方式外，其余三种使用其中任何一种都可实现集团所有ADSL用户都可改变外网上网方式，每年可节省ADSL上网费用大约5万元，且该费用还在逐年上涨。四种方式当中个人趋向于网闸的应用。

内、外网实现隔离的两种技术与两种方式：技术一、网闸（GAP）全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。技术二、物理隔离卡，在每台电脑中通过主板插槽安装物理隔离卡，把一台普通计算机分成两台虚拟计算机，实现物理隔离。方式一：从布线的角度讲就是完全的物理隔离，内网与外网分别自成系统。方式二：独立的ADSL上网。 一、安全隔离网闸 1、网闸的工作原理

切断网络之间的通用协议连接；将数据包进行分解或重组为静态数据；对静态数据进行安全审查，包括网络协议检查和代码扫描等；确认后的安全数据流入内部单元；内部用户通过严格的身份认证机制获取所需数据。 2、网闸的特点

对网络地隔离是通过网闸隔离硬件实现两个网络在链路层断开，但是为了交换数据，通过设计的隔离硬件在两个网络对应的上进行切换，通过对硬件上的存储芯片的读写，完成数据的交换。

安装了相应的应用模块之后，安全隔离网闸可以在保证安全的前提下，使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据，并可以在网络之间交换定制的文件。 二、物理隔离卡

1、物理隔离卡技术

在一台电脑上增加一个硬盘，通过控制硬盘及切换网线，在内、外网的环境中使一个硬盘仅对应一个网络有效，其网络物理连线上是完全分离的且不存在公用存储信息，从而实现单机在两个网络之间真正的物理隔离，单台电脑低成本实现了传统两台电脑才能实现的网络物理隔离的信息安全功能，一机两用，极大地提高了计算机系统的资源利用率。 2、双硬盘物理隔离卡

工作原理是在现有的计算机中增加一个硬盘，通过隔离卡上的控制和开关电路，实现工作站在内、外网双重工作状态，两个状态是完全物理隔离。当一个硬盘工作时，另一个硬盘处于断电不工作状态。内网硬盘工作时，只有内网网线接入；外网硬盘工作时，只有外网网线接入。这样，内网数据与外网数据不存在电气通道，相互完全物理隔离。 使用时，开机前通过一个选择开关，选定进入“内”或“外”工作方式，开机后，将相应启动“内”或“外”硬盘，并接入对应的“内”或“外”网线。使用中需要切换“内”或“外”工作方式时，则应正常退出关闭电源，再行选定选择开关，重新开机。 3、单硬盘物理隔离卡

工作原理是通过对单个硬盘上磁道的读写控制技术，在一个硬盘上分隔出两个工作区间，这两个区间无法互相访问。它以物理方式将一台电脑虚拟为两部电脑，实现工作站的双重状态，既可在安全状态，又可在公共状态，且两种状态是完全隔离的，从而使一部工作站可在完全安全状态下连接内、外网。安全隔离卡被设置在PC的物理层上，内、外网的连接均需通过网络安全隔离卡，在任何时候，数据只能通往一个分区。 三、区别与分析

区别：安全隔离网闸能够实现两个网络间的自动的安全适度的信息交换，而物理隔离卡只能提供一台计算机在两个网之间切换，并且需要手动操作，大部分的隔离卡还要求系统重新启动以便切换硬盘。

网闸分析：1、网闸网络报价在10万元左右；2、使用时集团网络拓扑需要调整，达到内网与外网布线的独立。3、需购进若干单、双芯收发器，交换机可使用思科或者普通。4、应用上网闸可使用代理技术实现OA与其他应用软件的

内、外网共享应用。5、如网闸模式可行，可为工业自动化网与集团办公网的连接作为鉴借。6、在外网与内网华为核心之间加入网闸，（可华为备用交换机或思科交换机作为外网核心交换机使用），（详见拓扑对比图）。

隔离卡分析：1、物理隔离卡网络报价400元左右，500G硬盘网络报价400元左右。2、当前需要购进77个隔离卡，***硬盘。3、所有外网计算机都要需要安装隔离卡，部分安装硬盘，并重做系统。4、内、外网切换需要重启，且维护繁琐。5、OA等部分应用软件网络连接模式不变更或设备不增加的情况下，难以实现内、外网完全隔离。

布线独立分析：1、费用最少，只需要少量购进收发器，交换机使用思科或普通交换机，并重新调整网络拓扑，达到内、外网完全隔离。2、OA等应用软件内、外网无法共享访问。

ADSL分析：当前内外网模式不曾改变，费用也增加。 拓扑对比图

Internet当前集团内外网网拓扑深信服上网行为加入网闸内外网网拓扑深信服上网行为InternetrouterrouterFire wallFire wall思科或S9306BS9306AS9306BS9306A安全隔离网闸ServerAServerF内网内外网ServerAServerF内网内网外网外网