专外网信息交互技术方案修正

专网与外网信息交互技术方案目录一、 安全隔离与信息交换系统（网闸）解决方案 31.1 技术实现 31.2 功能描述 51.3 产品介绍 51.4 产品特性 51.5 解决方案 6二、 外网防火墙解决方案 101.1税局需求说明 101.2安全解决方案 10网络拓扑图 10网络安全解决方案陈述 11安全隔离与信息交换系统（网闸）解决方案专网业务涉密网与办公业务非涉密网间，根据业务及应用特点，以需求为导向，以应用为核心，以方便税务人员为最终目的，利用先进理念和技术，以提高工作效率，充分利用现有资源和技术力量，实现系统的计算机网络化处理和应用，根据实际存在数据内外网交换的需求和国家相关主管部门的要求，在充分做到安全保证的前提下，允许非涉密数据在两个网络间交换。技术实现安全隔离与信息交换系统（网闸）的工作基于人工信息交换的操作模式，即由内外网主机模块分别负责接收来自所连接网络的访问请求，两模块间没有直接的物理连接，形成一个物理隔断，从而保证可信网和非可信网之间没有数据包的交换，没有网络连接的建立。在此前提下，通过专有硬件实现网络间信息的实时交换。这种交换并不是数据包的转发，而是应用层数据的静态读写操作，因此可信网的用户可以通过安全隔离与信息交换系统（网闸）放心的访问非可信网的资源，而不必担心可信网的安全受到影响。信息通过网闸传递需经过多个安全模块的检查，以验证被交换信息的合法性。当访问请求到达内外网主机模块时，首先由网闸实现TCP连接的终结，确保TCP/IP协议不会直接或通过代理方式穿透网闸；然后，内外网主机模块会依据安全策略对访问请求进行预处理，判断是否符合访问控制策略，并依据RFC或定制策略对数据包进行应用层协议检查和内容过滤，检验其有效载荷的合法性和安全性。一旦数据包通过了安全检查，内外网主机模块会对数据包进行格式化，将每个合法数据包的传输信息和传输数据分别转换成专有格式数据，存放在缓冲区等待被隔离交换模块处理。这种“静态”的数据形态不可执行，不依赖于任何通用协议，只能被网闸的内部处理机制识别及处理，因此可避免遭受利用各种已知或未知网络层漏洞的威胁。如图5－51所示：图示STYLEREF1\s一51安全隔离与信息交换系统（网闸）原理示意图安全隔离与信息交换系统（网闸）通过专有的隔离交换卡实现内外网主机模块的缓冲区内存映射功能，将指定区域的数据复制到对端相应的区域，完成数据的交换。隔离交换卡内嵌安全芯片，采用高速全双工流水线设计，内部吞吐速率达2Gbps，完全可以满足高速数据交换的需要。隔离交换模块固化控制逻辑，与内外网模块间只存在内存缓冲区的读写操作，没有任何网络协议和数据包的转发。隔离交换子系统采用互斥机制，在读写一端主机模块的数据前先中止对另一端的操作，确保隔离交换系统不会同时对内外网主机模块的数据进行处理，以保证在任意时刻可信网与非可信网间不存在链路层通路，实现网络的安全隔离。当内外网主机模块通过隔离交换模块接收到来自另一端的格式化数据，可根据本端的安全策略进行进一步的应用层安全检查。经检验合格，则进行逆向转换，将格式化数据转换成符合RFC标准的TCP/IP数据包，将数据包发送到目的计算机，完成数据的安全交换。功能描述本方案设计严格遵循总局内外网中要求税务专网与外界物理隔离的设计原则，同时为确保准确性和及时性，我们采用税局目前承载的天融信防火墙实现网闸功能，作为解决安全物理隔离解决方案。产品介绍防火墙做为内部网络安全的屏障，其主要目标是保护内部网络资源，强化网络安全策略；防止内部信息泄露和外部入侵；提供对网络资源的访问控制；提供对网络活动的审计、监督等功能。产品特性采用自主版权的专用安全操作系统，保证了防火墙自身的安全性：一般建立在通用操作系统之上的防火墙，它的安全性很大程度上依赖操作系统本身的

安全，采用专用操作系统的防火墙，极大提高了防火墙自身和所保护网络的

安全性。

模块化结构设计，可扩展性好，方便用户定制与升级：网络卫士防火墙使用模块化设计，可依据用户的特定安全需求定制。

采用面向对象的管理：面向对象的管理方式，极大的提高了管理的方便性和灵活性。

可选VPN模块：防火墙拥有VPN模块，可以更加安全地实现对企业网的保护。

全状态检测技术：状态检测技术是任何一个高性能防火墙必须采用的技术，能保证最高水平的网络安全和性能。

采用独创的透明路由混合工作模式，方便灵活接入和部署：网络卫士防火墙支持多种工作模式，可以透明接入与透明连接，不影响原有网络设计和配置；也可以路由模式接入，提供路由功能；还有独创的混合工作模式，使透明模式和路由模式同时工作，极大提高网络应用的灵活性。

高性能，高吞吐率：防火墙的接入不影响原来网络的性能，消除了传统防火墙的网络带宽瓶颈，有效的保证了用户使用的高效性和安全性。

专用硬件设计：高集成度，高可靠性。

采用多接口设计，最大可扩展12个接口模块：防火墙的多接口设计一方面

可以灵活适用用户网络的改变，另一个更为重要的方面是可以形成多个网

络，并将其中一个网络作为SSN，即把这个网络（一般是对外公共服务器网

络）作为一个独立网络来处理。

SSN的方法提供的安全性要比传统的“隔离区（DMZ）”方法好得多，因为DMZ网络只起到了将公共服务器与内部网相分离的作用，并没有起到隔离

子网的作用。而SSN更好的达到了一种保护子网的作用。对SSN上的主机

既可单独管理，也可设置成通过等方式从内部网上进行管理。

多种安全灵活的管理方式，保证了管理的灵活性：本地、远程多种管理方式，安全策略的定义既有GUI模式、又可采用命令行的形式，保证了整个网络高性能、可伸缩性和灵活的管理控制。在进行远程管理时，管理机和防火墙之

间的通讯可进行加密以保证安全，真正实现远程管理。

提供负载均衡功能，保证系统在安全的环境中达到最高的性能。

提供双机热备份功能，增加系统运行中的安全性。解决方案针对我处大企业税收管理平台的网络与业务系统的需求和特点，总局对网络安全的要求,天融信防火墙提供了通过设置访问策略及映射的方法实现网闸功能来实现内外网的安全交互解决方案，使外网用户能够通过INTERNET的指定端口访问内网指定IP段的内容。方案分析如方案图所示，由天融信网闸为基础防御体系保护着税局专网网络中的各个重要的应用系统的运行①。位于互联网络一侧的税务人员可以根据实际条件首先通过防火墙的安全认证连接到处于外网的大企业税收管理平台的服务器然后，外网服务器再把业务请求发到数据中转服务器，通过中转服务器跟安全隔离网闸外部处理单元建立连接②，而税务专网内部的应用数据库服务器跟安全隔离网闸内部处理单元建立连接，两台服务器通过网闸建立起通信管道，通过此管道交换消息③。税务人员通过互联网络发送提交业务查询等请求发送到处于互联网方的应用服务器，由此服务器通过中转服务器来实现查询及写入，再通过安全隔离网闸递交到位于安全隔离网闸内网一侧的应用数据服务器，由此服务器将请求再发送给税务大企业核心服务器，验证无误后再把返回信息层层传递给外网税务人员最终完成整个业务查询或现场审计。本方案中涉及的技术原理如下：.防火墙通过访问控制模块、认证与授权模块、安全服务网络模块（SSN）实现对内网环境的安全保护。在内网日常运用中，可以通过天融信防火墙的访问控制设置，实现不同人员对于不同网段的访问，通过认证与授权，使内网用户可以按照设置的权限分门别类的对不同APP有不同的权限的访问。访问控制原理.通过屏蔽主机，防火墙作为网闸，实现了内网与外网的分离，内网与外网的交互只能通过特殊的通道，除此之外的一切请求将被屏蔽。对外只提供较少的服务，来自外部的连接也比较少，对内部主机的安全性要求较高。屏蔽主机原理.通过屏蔽子网，外部路由器只允许外网对DMZ（不设防区）的访问，拒绝所有以内部网络地址为源地址的包进入内部网络，拒绝所有不以内部网络地址为源地址的包离开网络。内部路由器保护内部网络，使外网只能访问特定的主机。方案特点此安全解决方案建立在天融信防火墙安全体系之上，通过标准的、可扩展的体系结构，有机集成安全体系中100％产品和技术，如防火墙、VPN、IDS、防病毒、URL、认证、审计等。构建一个以防火墙为核心和执行中心，多种安全技术和产品协同工作的高度集成的、高性能、稳定可靠的、易于管理的、完整的、动态的、可扩充的解决方案，不但能最大程度的提高了网络的安全性，保证各种应用的安全进行，而且便于管理和维护。外网防火墙解决方案1.1税局需求说明税务人员能正常访问内部大企业税收平台服务器。不允许病毒和攻击行为进入大企业税收平台服务器。不允许税务服务器内敏感信息外泄。不允许税务服务器使用开启高带宽的应用程序，如P2P,IM。防火墙需要提供完全可视化并易于操作的管理界面。网络安全部分需要优良的兼容性、先进性和可移植性。防火墙必须有自主的精简内核，不使用linux等开源操作系统。兼顾到以后可能发展的其他内外网平台的应用模块的扩展。1.2安全解决方案网络拓扑图现提供如下图的网络拓扑结构简单说明：网络安全解决方案陈述如上图所示，税务人员通过ISP链路接入到Internet中，他们通过天融信的(WAN)端口来访问服务器;防火墙对于用户来说是不可见的，既黑洞模式，应用服务器连到天融信的端口上，这样税务就可以安全进行预约操作了。预约服务器在接受请求后通过防火墙的端口连接到中转应用数据库服务器上，通过该服务器把数据请求摆渡到隔离网闸另一端的数据库服务器上完成整个操作。从性能上考虑，1G+Mbps的背板处理速率，不会成为网络上的瓶颈；从安全性考虑，自主操作系统避免了公众操作系统的漏洞成为侵入点的可能性，采用的全状态检测技术更是实现了对进出数据包的双重检测，VPN通道的启用，支持DES、3DES、RC4以及最新的AES加密技术，从真正意义上保证数据传输、互联网访问的安全性，从操作简单化考虑，全图形界面管理，并支持远程管理，大大简化管理员的管理程序。通过采用天融信中GAV(网关防病毒)功能让病毒阻止到网关外，根本无法进入到考试服务器中。管理人员通过其VPN功能可以安全地管理远程的考试服务器。天融信防火墙采用基于Web的管理界面，使得管理员管理网络起来十分简单。天融信防火墙同时可以其它VPN设备建立VPN的连接，同时天融信防火墙采用多核处理技术大大提高了防火墙的性能。防火墙主要安全规则说明

一、通过防火墙做NAT地址映射，