專外網(wǎng)信息交互技術(shù)方案修正

專網(wǎng)與外網(wǎng)信息交互技術(shù)方案目錄一、 安全隔離與信息交換系統(tǒng)（網(wǎng)閘）解決方案 31.1 技術(shù)實(shí)現(xiàn) 31.2 功能描述 51.3 產(chǎn)品介紹 51.4 產(chǎn)品特性 51.5 解決方案 6二、 外網(wǎng)防火墻解決方案 101.1稅局需求說(shuō)明 101.2安全解決方案 10網(wǎng)絡(luò)拓?fù)鋱D 10網(wǎng)絡(luò)安全解決方案陳述 11安全隔離與信息交換系統(tǒng)（網(wǎng)閘）解決方案專網(wǎng)業(yè)務(wù)涉密網(wǎng)與辦公業(yè)務(wù)非涉密網(wǎng)間，根據(jù)業(yè)務(wù)及應(yīng)用特點(diǎn)，以需求為導(dǎo)向，以應(yīng)用為核心，以方便稅務(wù)人員為最終目的，利用先進(jìn)理念和技術(shù)，以提高工作效率，充分利用現(xiàn)有資源和技術(shù)力量，實(shí)現(xiàn)系統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)化處理和應(yīng)用，根據(jù)實(shí)際存在數(shù)據(jù)內(nèi)外網(wǎng)交換的需求和國(guó)家相關(guān)主管部門的要求，在充分做到安全保證的前提下，允許非涉密數(shù)據(jù)在兩個(gè)網(wǎng)絡(luò)間交換。技術(shù)實(shí)現(xiàn)安全隔離與信息交換系統(tǒng)（網(wǎng)閘）的工作基于人工信息交換的操作模式，即由內(nèi)外網(wǎng)主機(jī)模塊分別負(fù)責(zé)接收來(lái)自所連接網(wǎng)絡(luò)的訪問(wèn)請(qǐng)求，兩模塊間沒(méi)有直接的物理連接，形成一個(gè)物理隔斷，從而保證可信網(wǎng)和非可信網(wǎng)之間沒(méi)有數(shù)據(jù)包的交換，沒(méi)有網(wǎng)絡(luò)連接的建立。在此前提下，通過(guò)專有硬件實(shí)現(xiàn)網(wǎng)絡(luò)間信息的實(shí)時(shí)交換。這種交換并不是數(shù)據(jù)包的轉(zhuǎn)發(fā)，而是應(yīng)用層數(shù)據(jù)的靜態(tài)讀寫操作，因此可信網(wǎng)的用戶可以通過(guò)安全隔離與信息交換系統(tǒng)（網(wǎng)閘）放心的訪問(wèn)非可信網(wǎng)的資源，而不必?fù)?dān)心可信網(wǎng)的安全受到影響。信息通過(guò)網(wǎng)閘傳遞需經(jīng)過(guò)多個(gè)安全模塊的檢查，以驗(yàn)證被交換信息的合法性。當(dāng)訪問(wèn)請(qǐng)求到達(dá)內(nèi)外網(wǎng)主機(jī)模塊時(shí)，首先由網(wǎng)閘實(shí)現(xiàn)TCP連接的終結(jié)，確保TCP/IP協(xié)議不會(huì)直接或通過(guò)代理方式穿透網(wǎng)閘；然后，內(nèi)外網(wǎng)主機(jī)模塊會(huì)依據(jù)安全策略對(duì)訪問(wèn)請(qǐng)求進(jìn)行預(yù)處理，判斷是否符合訪問(wèn)控制策略，并依據(jù)RFC或定制策略對(duì)數(shù)據(jù)包進(jìn)行應(yīng)用層協(xié)議檢查和內(nèi)容過(guò)濾，檢驗(yàn)其有效載荷的合法性和安全性。一旦數(shù)據(jù)包通過(guò)了安全檢查，內(nèi)外網(wǎng)主機(jī)模塊會(huì)對(duì)數(shù)據(jù)包進(jìn)行格式化，將每個(gè)合法數(shù)據(jù)包的傳輸信息和傳輸數(shù)據(jù)分別轉(zhuǎn)換成專有格式數(shù)據(jù)，存放在緩沖區(qū)等待被隔離交換模塊處理。這種“靜態(tài)”的數(shù)據(jù)形態(tài)不可執(zhí)行，不依賴于任何通用協(xié)議，只能被網(wǎng)閘的內(nèi)部處理機(jī)制識(shí)別及處理，因此可避免遭受利用各種已知或未知網(wǎng)絡(luò)層漏洞的威脅。如圖5－51所示：圖示STYLEREF1\s一51安全隔離與信息交換系統(tǒng)（網(wǎng)閘）原理示意圖安全隔離與信息交換系統(tǒng)（網(wǎng)閘）通過(guò)專有的隔離交換卡實(shí)現(xiàn)內(nèi)外網(wǎng)主機(jī)模塊的緩沖區(qū)內(nèi)存映射功能，將指定區(qū)域的數(shù)據(jù)復(fù)制到對(duì)端相應(yīng)的區(qū)域，完成數(shù)據(jù)的交換。隔離交換卡內(nèi)嵌安全芯片，采用高速全雙工流水線設(shè)計(jì)，內(nèi)部吞吐速率達(dá)2Gbps，完全可以滿足高速數(shù)據(jù)交換的需要。隔離交換模塊固化控制邏輯，與內(nèi)外網(wǎng)模塊間只存在內(nèi)存緩沖區(qū)的讀寫操作，沒(méi)有任何網(wǎng)絡(luò)協(xié)議和數(shù)據(jù)包的轉(zhuǎn)發(fā)。隔離交換子系統(tǒng)采用互斥機(jī)制，在讀寫一端主機(jī)模塊的數(shù)據(jù)前先中止對(duì)另一端的操作，確保隔離交換系統(tǒng)不會(huì)同時(shí)對(duì)內(nèi)外網(wǎng)主機(jī)模塊的數(shù)據(jù)進(jìn)行處理，以保證在任意時(shí)刻可信網(wǎng)與非可信網(wǎng)間不存在鏈路層通路，實(shí)現(xiàn)網(wǎng)絡(luò)的安全隔離。當(dāng)內(nèi)外網(wǎng)主機(jī)模塊通過(guò)隔離交換模塊接收到來(lái)自另一端的格式化數(shù)據(jù)，可根據(jù)本端的安全策略進(jìn)行進(jìn)一步的應(yīng)用層安全檢查。經(jīng)檢驗(yàn)合格，則進(jìn)行逆向轉(zhuǎn)換，將格式化數(shù)據(jù)轉(zhuǎn)換成符合RFC標(biāo)準(zhǔn)的TCP/IP數(shù)據(jù)包，將數(shù)據(jù)包發(fā)送到目的計(jì)算機(jī)，完成數(shù)據(jù)的安全交換。功能描述本方案設(shè)計(jì)嚴(yán)格遵循總局內(nèi)外網(wǎng)中要求稅務(wù)專網(wǎng)與外界物理隔離的設(shè)計(jì)原則，同時(shí)為確保準(zhǔn)確性和及時(shí)性，我們采用稅局目前承載的天融信防火墻實(shí)現(xiàn)網(wǎng)閘功能，作為解決安全物理隔離解決方案。產(chǎn)品介紹防火墻做為內(nèi)部網(wǎng)絡(luò)安全的屏障，其主要目標(biāo)是保護(hù)內(nèi)部網(wǎng)絡(luò)資源，強(qiáng)化網(wǎng)絡(luò)安全策略；防止內(nèi)部信息泄露和外部入侵；提供對(duì)網(wǎng)絡(luò)資源的訪問(wèn)控制；提供對(duì)網(wǎng)絡(luò)活動(dòng)的審計(jì)、監(jiān)督等功能。產(chǎn)品特性采用自主版權(quán)的專用安全操作系統(tǒng)，保證了防火墻自身的安全性：一般建立在通用操作系統(tǒng)之上的防火墻，它的安全性很大程度上依賴操作系統(tǒng)本身的

安全，采用專用操作系統(tǒng)的防火墻，極大提高了防火墻自身和所保護(hù)網(wǎng)絡(luò)的

安全性。

模塊化結(jié)構(gòu)設(shè)計(jì)，可擴(kuò)展性好，方便用戶定制與升級(jí)：網(wǎng)絡(luò)衛(wèi)士防火墻使用模塊化設(shè)計(jì)，可依據(jù)用戶的特定安全需求定制。

采用面向?qū)ο蟮墓芾恚好嫦驅(qū)ο蟮墓芾矸绞?，極大的提高了管理的方便性和靈活性。

可選VPN模塊：防火墻擁有VPN模塊，可以更加安全地實(shí)現(xiàn)對(duì)企業(yè)網(wǎng)的保護(hù)。

全狀態(tài)檢測(cè)技術(shù)：狀態(tài)檢測(cè)技術(shù)是任何一個(gè)高性能防火墻必須采用的技術(shù)，能保證最高水平的網(wǎng)絡(luò)安全和性能。

采用獨(dú)創(chuàng)的透明路由混合工作模式，方便靈活接入和部署：網(wǎng)絡(luò)衛(wèi)士防火墻支持多種工作模式，可以透明接入與透明連接，不影響原有網(wǎng)絡(luò)設(shè)計(jì)和配置；也可以路由模式接入，提供路由功能；還有獨(dú)創(chuàng)的混合工作模式，使透明模式和路由模式同時(shí)工作，極大提高網(wǎng)絡(luò)應(yīng)用的靈活性。

高性能，高吞吐率：防火墻的接入不影響原來(lái)網(wǎng)絡(luò)的性能，消除了傳統(tǒng)防火墻的網(wǎng)絡(luò)帶寬瓶頸，有效的保證了用戶使用的高效性和安全性。

專用硬件設(shè)計(jì)：高集成度，高可靠性。

采用多接口設(shè)計(jì)，最大可擴(kuò)展12個(gè)接口模塊：防火墻的多接口設(shè)計(jì)一方面

可以靈活適用用戶網(wǎng)絡(luò)的改變，另一個(gè)更為重要的方面是可以形成多個(gè)網(wǎng)

絡(luò)，并將其中一個(gè)網(wǎng)絡(luò)作為SSN，即把這個(gè)網(wǎng)絡(luò)（一般是對(duì)外公共服務(wù)器網(wǎng)

絡(luò)）作為一個(gè)獨(dú)立網(wǎng)絡(luò)來(lái)處理。

SSN的方法提供的安全性要比傳統(tǒng)的“隔離區(qū)（DMZ）”方法好得多，因?yàn)镈MZ網(wǎng)絡(luò)只起到了將公共服務(wù)器與內(nèi)部網(wǎng)相分離的作用，并沒(méi)有起到隔離

子網(wǎng)的作用。而SSN更好的達(dá)到了一種保護(hù)子網(wǎng)的作用。對(duì)SSN上的主機(jī)

既可單獨(dú)管理，也可設(shè)置成通過(guò)等方式從內(nèi)部網(wǎng)上進(jìn)行管理。

多種安全靈活的管理方式，保證了管理的靈活性：本地、遠(yuǎn)程多種管理方式，安全策略的定義既有GUI模式、又可采用命令行的形式，保證了整個(gè)網(wǎng)絡(luò)高性能、可伸縮性和靈活的管理控制。在進(jìn)行遠(yuǎn)程管理時(shí)，管理機(jī)和防火墻之

間的通訊可進(jìn)行加密以保證安全，真正實(shí)現(xiàn)遠(yuǎn)程管理。

提供負(fù)載均衡功能，保證系統(tǒng)在安全的環(huán)境中達(dá)到最高的性能。

提供雙機(jī)熱備份功能，增加系統(tǒng)運(yùn)行中的安全性。解決方案針對(duì)我處大企業(yè)稅收管理平臺(tái)的網(wǎng)絡(luò)與業(yè)務(wù)系統(tǒng)的需求和特點(diǎn)，總局對(duì)網(wǎng)絡(luò)安全的要求,天融信防火墻提供了通過(guò)設(shè)置訪問(wèn)策略及映射的方法實(shí)現(xiàn)網(wǎng)閘功能來(lái)實(shí)現(xiàn)內(nèi)外網(wǎng)的安全交互解決方案，使外網(wǎng)用戶能夠通過(guò)INTERNET的指定端口訪問(wèn)內(nèi)網(wǎng)指定IP段的內(nèi)容。方案分析如方案圖所示，由天融信網(wǎng)閘為基礎(chǔ)防御體系保護(hù)著稅局專網(wǎng)網(wǎng)絡(luò)中的各個(gè)重要的應(yīng)用系統(tǒng)的運(yùn)行①。位于互聯(lián)網(wǎng)絡(luò)一側(cè)的稅務(wù)人員可以根據(jù)實(shí)際條件首先通過(guò)防火墻的安全認(rèn)證連接到處于外網(wǎng)的大企業(yè)稅收管理平臺(tái)的服務(wù)器然后，外網(wǎng)服務(wù)器再把業(yè)務(wù)請(qǐng)求發(fā)到數(shù)據(jù)中轉(zhuǎn)服務(wù)器，通過(guò)中轉(zhuǎn)服務(wù)器跟安全隔離網(wǎng)閘外部處理單元建立連接②，而稅務(wù)專網(wǎng)內(nèi)部的應(yīng)用數(shù)據(jù)庫(kù)服務(wù)器跟安全隔離網(wǎng)閘內(nèi)部處理單元建立連接，兩臺(tái)服務(wù)器通過(guò)網(wǎng)閘建立起通信管道，通過(guò)此管道交換消息③。稅務(wù)人員通過(guò)互聯(lián)網(wǎng)絡(luò)發(fā)送提交業(yè)務(wù)查詢等請(qǐng)求發(fā)送到處于互聯(lián)網(wǎng)方的應(yīng)用服務(wù)器，由此服務(wù)器通過(guò)中轉(zhuǎn)服務(wù)器來(lái)實(shí)現(xiàn)查詢及寫入，再通過(guò)安全隔離網(wǎng)閘遞交到位于安全隔離網(wǎng)閘內(nèi)網(wǎng)一側(cè)的應(yīng)用數(shù)據(jù)服務(wù)器，由此服務(wù)器將請(qǐng)求再發(fā)送給稅務(wù)大企業(yè)核心服務(wù)器，驗(yàn)證無(wú)誤后再把返回信息層層傳遞給外網(wǎng)稅務(wù)人員最終完成整個(gè)業(yè)務(wù)查詢或現(xiàn)場(chǎng)審計(jì)。本方案中涉及的技術(shù)原理如下：.防火墻通過(guò)訪問(wèn)控制模塊、認(rèn)證與授權(quán)模塊、安全服務(wù)網(wǎng)絡(luò)模塊（SSN）實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)環(huán)境的安全保護(hù)。在內(nèi)網(wǎng)日常運(yùn)用中，可以通過(guò)天融信防火墻的訪問(wèn)控制設(shè)置，實(shí)現(xiàn)不同人員對(duì)于不同網(wǎng)段的訪問(wèn)，通過(guò)認(rèn)證與授權(quán)，使內(nèi)網(wǎng)用戶可以按照設(shè)置的權(quán)限分門別類的對(duì)不同APP有不同的權(quán)限的訪問(wèn)。訪問(wèn)控制原理.通過(guò)屏蔽主機(jī)，防火墻作為網(wǎng)閘，實(shí)現(xiàn)了內(nèi)網(wǎng)與外網(wǎng)的分離，內(nèi)網(wǎng)與外網(wǎng)的交互只能通過(guò)特殊的通道，除此之外的一切請(qǐng)求將被屏蔽。對(duì)外只提供較少的服務(wù)，來(lái)自外部的連接也比較少，對(duì)內(nèi)部主機(jī)的安全性要求較高。屏蔽主機(jī)原理.通過(guò)屏蔽子網(wǎng)，外部路由器只允許外網(wǎng)對(duì)DMZ（不設(shè)防區(qū)）的訪問(wèn)，拒絕所有以內(nèi)部網(wǎng)絡(luò)地址為源地址的包進(jìn)入內(nèi)部網(wǎng)絡(luò)，拒絕所有不以內(nèi)部網(wǎng)絡(luò)地址為源地址的包離開(kāi)網(wǎng)絡(luò)。內(nèi)部路由器保護(hù)內(nèi)部網(wǎng)絡(luò)，使外網(wǎng)只能訪問(wèn)特定的主機(jī)。方案特點(diǎn)此安全解決方案建立在天融信防火墻安全體系之上，通過(guò)標(biāo)準(zhǔn)的、可擴(kuò)展的體系結(jié)構(gòu)，有機(jī)集成安全體系中100％產(chǎn)品和技術(shù)，如防火墻、VPN、IDS、防病毒、URL、認(rèn)證、審計(jì)等。構(gòu)建一個(gè)以防火墻為核心和執(zhí)行中心，多種安全技術(shù)和產(chǎn)品協(xié)同工作的高度集成的、高性能、穩(wěn)定可靠的、易于管理的、完整的、動(dòng)態(tài)的、可擴(kuò)充的解決方案，不但能最大程度的提高了網(wǎng)絡(luò)的安全性，保證各種應(yīng)用的安全進(jìn)行，而且便于管理和維護(hù)。外網(wǎng)防火墻解決方案1.1稅局需求說(shuō)明稅務(wù)人員能正常訪問(wèn)內(nèi)部大企業(yè)稅收平臺(tái)服務(wù)器。不允許病毒和攻擊行為進(jìn)入大企業(yè)稅收平臺(tái)服務(wù)器。不允許稅務(wù)服務(wù)器內(nèi)敏感信息外泄。不允許稅務(wù)服務(wù)器使用開(kāi)啟高帶寬的應(yīng)用程序，如P2P,IM。防火墻需要提供完全可視化并易于操作的管理界面。網(wǎng)絡(luò)安全部分需要優(yōu)良的兼容性、先進(jìn)性和可移植性。防火墻必須有自主的精簡(jiǎn)內(nèi)核，不使用linux等開(kāi)源操作系統(tǒng)。兼顧到以后可能發(fā)展的其他內(nèi)外網(wǎng)平臺(tái)的應(yīng)用模塊的擴(kuò)展。1.2安全解決方案網(wǎng)絡(luò)拓?fù)鋱D現(xiàn)提供如下圖的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)簡(jiǎn)單說(shuō)明：網(wǎng)絡(luò)安全解決方案陳述如上圖所示，稅務(wù)人員通過(guò)ISP鏈路接入到Internet中，他們通過(guò)天融信的(WAN)端口來(lái)訪問(wèn)服務(wù)器;防火墻對(duì)于用戶來(lái)說(shuō)是不可見(jiàn)的，既黑洞模式，應(yīng)用服務(wù)器連到天融信的端口上，這樣稅務(wù)就可以安全進(jìn)行預(yù)約操作了。預(yù)約服務(wù)器在接受請(qǐng)求后通過(guò)防火墻的端口連接到中轉(zhuǎn)應(yīng)用數(shù)據(jù)庫(kù)服務(wù)器上，通過(guò)該服務(wù)器把數(shù)據(jù)請(qǐng)求擺渡到隔離網(wǎng)閘另一端的數(shù)據(jù)庫(kù)服務(wù)器上完成整個(gè)操作。從性能上考慮，1G+Mbps的背板處理速率，不會(huì)成為網(wǎng)絡(luò)上的瓶頸；從安全性考慮，自主操作系統(tǒng)避免了公眾操作系統(tǒng)的漏洞成為侵入點(diǎn)的可能性，采用的全狀態(tài)檢測(cè)技術(shù)更是實(shí)現(xiàn)了對(duì)進(jìn)出數(shù)據(jù)包的雙重檢測(cè)，VPN通道的啟用，支持DES、3DES、RC4以及最新的AES加密技術(shù)，從真正意義上保證數(shù)據(jù)傳輸、互聯(lián)網(wǎng)訪問(wèn)的安全性，從操作簡(jiǎn)單化考慮，全圖形界面管理，并支持遠(yuǎn)程管理，大大簡(jiǎn)化管理員的管理程序。通過(guò)采用天融信中GAV(網(wǎng)關(guān)防病毒)功能讓病毒阻止到網(wǎng)關(guān)外，根本無(wú)法進(jìn)入到考試服務(wù)器中。管理人員通過(guò)其VPN功能可以安全地管理遠(yuǎn)程的考試服務(wù)器。天融信防火墻采用基于Web的管理界面，使得管理員管理網(wǎng)絡(luò)起來(lái)十分簡(jiǎn)單。天融信防火墻同時(shí)可以其它VPN設(shè)備建立VPN的連接，同時(shí)天融信防火墻采用多核處理技術(shù)大大提高了防火墻的性能。防火墻主要安全規(guī)則說(shuō)明

一、通過(guò)防火墻做NAT地址映射，