您现在的位置: 通信界 >> 接入系统 >> 技术正文  
 
接入网边界安全技术
[ 通信界 / 胡联望 / www.cntxj.net / 2010/7/19 19:49:40 ]
 

各类产品的优缺点

  随着互联网与网络技术的不断发展与越来越广泛深入的应用,以及网络建设的复杂化,网络边界安全与边界接入越来越成为企业亟待解决的问题。

  近年来,针对边界安全,国家各部门均制定过了制度和文件,如,公安部制定的等级保护的制度,保密局制定的分级保护标准,中国移动的安全域项目,电力行业的双网隔离要求等等,这些都是跟边界安全撇不开关系的。而在边界安全的项目中,会应用到网络隔离技术,一般情况下,而边界隔离往往又阻碍了边界接入带来的便捷性的发展,相反更增加日常工作的负担。

  这里说一说目前应用较多的网络隔离边界安全的设备,网闸、防火墙、VPN、UTM等等。

网闸

  首先我们说说网闸,说得通俗点,网闸就是采用双网络接口加开关机制,和外网通信时与内网的网络接口断开,来保证内网不暴露在外网;当需要的数据从外网上下载到内网,然后和内网通讯时,外网的网络接口断开,但这个产品是因政府的要求内外网必须物理隔离带来的具有中国社会主义特色的产品,网闸在内外网之间扮演着一种类似“信息渡船”的作用,网闸的本质也是逻辑隔离,更关健的是网闸的部署首先带来的就是牺牲网络性能,而不似防火墙能够保持比较良好的通信实时性。

防火墙与UTM

  接下来我们谈谈防火墙与UTM,UTM我们可以简单的理解为,UTM是由入侵检测、防病毒、防火墙三个功能模块组合而成的一个产品。

  不管是防火墙还是UTM,利用ACL+NAT的技术是可以很好的解决边界隔离与边界接入的问题的,不过很显然,这种技术是基于TCP/IP传输层和网络层的,很好的保障了传输层和网络层的安全,但对于应用层却是无能为力的,新型的UTM的入侵检测模块有部份应用层的功能,但其大部份还是对传输层的支持,且入侵检测模块对应用层的功能是属于检测和告警机制的支持,而对应用层的入侵阻断的支持是比较有限的,而对于应用层的一些业务,如应用发布、远程交互是没有这些功能的,这就使得外部用户对内部资源的访问不能提供一个便捷而安全的途径。

VPN

  接下来我们再谈谈VPN设备,首先一般的防火墙和UTM是有VPN模块的,但随着VPN技术越来越广泛的应用,专业的VPN设备也随之而生了。首先来讲,专业的VPN设备解决了防火墙和UTM在应用发布和远程交互的无能为力的局面。且VPN在传输中采用的加密通道,安全性也是比较好的,但VPN对应用发布的支持的力度还是非常欠缺的,一般的B/S的应用VPN是支持的,但支持不了B/S应用的代理登陆认证过程,对一些应用,如Outlook、SMB文件共享也能够提供支持,而对广泛的C/S应用却支持不了,当然有些VPN厂商可以通过定制开发的形式对一些特殊的C/S应用提供有限支持,但因为VPN技术的局限性,这种开发成本是非常大的,而且耗时也会超出一般企业的可承受范围。

  那有什么产品既可以完美的解决边界接入的安全问题又能支持边界接入之后对应用发布和远程交互的跨网访问广泛支持度呢,答案是肯定的,深圳沟通科技最新研制的安全接入保垒机就当仁不让的扛起了这面大旗。

 

沟通科技安全接入堡垒机方案拓扑图

  用户在低安全域环境下把键盘和鼠标指令信息通过沟通安全接入堡垒机上行到高安全域应用服务器,高安全域的屏幕变化信息下行到低安全域,但禁止其它实体数据信息流在两个安全域之间直接交换;由于没有其它实体信息流在两个安全域之间直接交换,因此,低安全域的键鼠指令信息,不会直接破坏高安全域的完整性,高安全域的高密级实体数据信息也不会泄漏到低安全域。

沟通科技安全接入堡垒机产品原理

  采用虚拟化技术分离应用的表现与计算,实现虚拟应用交互、本地化应用体验,客户端与服务器之间只传递键盘、鼠标和荧屏变化等交互信息,没有实际的业务数据流到客户端,客户端看到的只是服务器上应用运行的显示映像,避免跨域传输实体数据,从而提升跨域访问的安全性。

  实体静态数据传输建立专属文件安全传输通道,涉及静态文件跨安全域上传和下载,先通过网闸或其他数据同步传输设备从低安全域同步到高安全域,静态数据经过安全摆渡,避免由于上传静态文件携带病毒威胁高安全域的网络或数据安全。
沟通科技安全接入堡垒机方案技术特点

1. 跨域安全访问保障

  沟通科技安全接入堡垒机方案基于可信路径(TrustedPath)技术、强制访问控制技术、高等级的保障技术,是一种可证明的安全技术

2. 文件安全传输通道

  在移动办公访问相关应用系统的时候,会涉及到把本地的文件传到应用系统中,比如发送邮件的时候,需要带上附件,鉴于安全考虑,必须对上传的文件进行相关的审核,针对这一情况,在低安全域设置一台从文件服务器,在高安全域增加一台主文件服务器,并对文件服务器进行策略设置,使移动办公人员只能看到自己的文件夹,沟通安全接入堡垒机仅调用高安全域的主文件服务器。

3. 访问控制

  访问控制:基于角色、权限分配,设置细粒度访问控制策略,达到非法用户不能访问,合法用户不能越权访问的目的

4. 权限管理

  可以根据边界接入的需要,设置角色,指定相应的资源访问权限,防止非授权访问和越权访问

5. 安全审计管理

  审计服务:记录终端用户在其安全接入堡垒机平台上运行的各部件的有关事件,包括用户登录、验证、数据传输等,审计信息可以通过WEB界面查询。

6. 应用集中管理

  应用集中于沟通安全接入堡垒机平台统一管理和部署,低安全域用户无需关注应用的升级维护和部署,实现了应用的集中管控和统一部署。

7. 登陆认证管理

  SSLVPN认证系统:只有拥有SSLVPN客户端以及账号和密码才能够拨入

  通过沟通安全接入堡垒机策略,对客户端身份进行双因子认证

  通过沟通安全接入堡垒机策略,绑定移动办公人员PC的硬件信息

  专有的沟通安全接入堡垒机客户端控件

8. 安全接入堡垒机安全策略

  配置管理平台有自己独有的管理账号,负责添加用户(所创建的用户,全分布在虚拟应用服务器上)、设置用户策略、应用策略以及发布应用

  用户权限管理,实行权限分立,加强沟通安全接入堡垒机安全可靠性

  配置管理实行了三权分立,不存在超级权限的管理员,管理员分为三角色,

  配置管理员、操作系统管理员、审计管理员;

  移动办公人员的账号创建在虚拟应用服务器上,且为匿名用户;

  堡垒机没有移动办公人员账号,只有配置管理员、操作系统用户

  堡垒机配置管理认证需通过配置管理员和操作系统两层身份认证;

  应用系统用户(如OA协同办公系统)是内部网管理,完全与沟通安全接入堡垒机的用户无关,且沟通安全接入堡垒机与内部网有网闸进行隔离,使移动办公人员无法通过沟通安全接入堡垒机篡改应用系统用户权限。

  通过集群技术,实现的高可靠性,防止单点故障。

  操作系统安全加固。

  系统最小化安装,除安装最基本的系统组件与本应用平台组件,不安装任何其它组件与模块。

  系统最小化服务,最对外仅提供应用平台一个服务,不对外提供任何其它服务,包括任何其它TCP/IP服务和端口。

  配制自动的系统灾难备份与恢复检查机制。

 

 

 

作者:胡联望 合作媒体:专网通信世界-中国电力通信网 编辑:顾北

 

 

 
 热点技术
普通技术 “5G”,真的来了!牛在哪里?
普通技术 5G,是伪命题吗?
普通技术 云视频会议关键技术浅析
普通技术 运营商语音能力开放集中管理方案分析
普通技术 5G网络商用需要“无忧”心
普通技术 面向5G应运而生的边缘计算
普通技术 简析5G时代四大关键趋势
普通技术 国家网信办就《数据安全管理办法》公开征求意见
普通技术 《车联网(智能网联汽车)直连通信使用5905-5925MHz频段管理规定(
普通技术 中兴通讯混合云解决方案,满足5G多元业务需求
普通技术 大规模MIMO将带来更多无线信道,但也使无线信道易受攻击
普通技术 蜂窝车联网的标准及关键技术及网络架构的研究
普通技术 4G与5G融合组网及互操作技术研究
普通技术 5G中CU-DU架构、设备实现及应用探讨
普通技术 无源光网络承载5G前传信号可行性的研究概述
普通技术 面向5G中传和回传网络承载解决方案
普通技术 数据中心布线系统可靠性探讨
普通技术 家庭互联网终端价值研究
普通技术 鎏信科技CEO刘舟:从连接层构建IoT云生态,聚焦CMP是关键
普通技术 SCEF引入需求分析及部署应用
  版权与免责声明: ① 凡本网注明“合作媒体:通信界”的所有作品,版权均属于通信界,未经本网授权不得转载、摘编或利用其它方式使用。已经本网授权使用作品的,应在授权范围内使用,并注明“来源:通信界”。违反上述声明者,本网将追究其相关法律责任。 ② 凡本网注明“合作媒体:XXX(非通信界)”的作品,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。 ③ 如因作品内容、版权和其它问题需要同本网联系的,请在一月内进行。
通信视界
华为余承东:Mate30总体销量将会超过两千万部
赵随意:媒体融合需积极求变
普通对话 苗圩:建设新一代信息基础设施 加快制造业数字
普通对话 华为余承东:Mate30总体销量将会超过两千万部
普通对话 赵随意:媒体融合需积极求变
普通对话 韦乐平:5G给光纤、光模块、WDM光器件带来新机
普通对话 安筱鹏:工业互联网——通向知识分工2.0之路
普通对话 库克:苹果不是垄断者
普通对话 华为何刚:挑战越大,成就越大
普通对话 华为董事长梁华:尽管遇到外部压力,5G在商业
普通对话 网易董事局主席丁磊:中国正在引领全球消费趋
普通对话 李彦宏:无人乘用车时代即将到来 智能交通前景
普通对话 中国联通研究院院长张云勇:双轮驱动下,工业
普通对话 “段子手”杨元庆:人工智能金句频出,他能否
普通对话 高通任命克里斯蒂安诺·阿蒙为公司总裁
普通对话 保利威视谢晓昉:深耕视频技术 助力在线教育
普通对话 九州云副总裁李开:帮助客户构建自己的云平台
通信前瞻
杨元庆:中国制造高质量发展的未来是智能制造
对话亚信科技CTO欧阳晔博士:甘为桥梁,携"电
普通对话 杨元庆:中国制造高质量发展的未来是智能制造
普通对话 对话亚信科技CTO欧阳晔博士:甘为桥梁,携"电
普通对话 对话倪光南:“中国芯”突围要发挥综合优势
普通对话 黄宇红:5G给运营商带来新价值
普通对话 雷军:小米所有OLED屏幕手机均已支持息屏显示
普通对话 马云:我挑战失败心服口服,他们才是双11背后
普通对话 2018年大数据产业发展试点示范项目名单出炉 2
普通对话 陈志刚:提速又降费,中国移动的两面精彩
普通对话 专访华为终端何刚:第三代nova已成为争夺全球
普通对话 中国普天陶雄强:物联网等新经济是最大机遇
普通对话 人人车李健:今年发力金融 拓展汽车后市场
普通对话 华为万飚:三代出贵族,PC产品已走在正确道路
普通对话 共享退潮单车入冬 智享单车却走向盈利
普通对话 Achronix发布新品单元块 推动eFPGA升级
普通对话 金柚网COO邱燕:天吴系统2.0真正形成了社保管