網(wǎng)絡(luò)隔離顯“身手”

引言：在網(wǎng)絡(luò)安全要求越來越高的今天，網(wǎng)絡(luò)隔離技術(shù)憑借既能隔離非法攻擊，又能安全交換數(shù)據(jù)等優(yōu)勢，深受各級(jí)網(wǎng)絡(luò)管理人員的推崇。為了讓網(wǎng)絡(luò)隔離功能大顯“身手”，本文就對(duì)不同隔離方式進(jìn)行詳細(xì)介紹，希望大家能從中受到啟發(fā)。

在網(wǎng)絡(luò)安全要求越來越高的今天，網(wǎng)絡(luò)隔離技術(shù)憑借既能隔離非法攻擊，又能安全交換數(shù)據(jù)等優(yōu)勢，深受各級(jí)網(wǎng)絡(luò)管理人員的推崇。網(wǎng)絡(luò)隔離方式有很多，不同隔離方式適用于不同網(wǎng)絡(luò)環(huán)境。為了讓網(wǎng)絡(luò)隔離功能大顯“身手”，本文就對(duì)不同隔離方式進(jìn)行詳細(xì)介紹，希望大家能從中受到啟發(fā)。

認(rèn)識(shí)網(wǎng)絡(luò)隔離

網(wǎng)絡(luò)隔離技術(shù)是指多個(gè)計(jì)算機(jī)或網(wǎng)絡(luò)在通信連接斷開的基礎(chǔ)上，達(dá)到信息共享或數(shù)據(jù)交換目的，換句話說，使用網(wǎng)絡(luò)隔離功能讓不同網(wǎng)絡(luò)在物理隔離的基礎(chǔ)上，實(shí)現(xiàn)安全交換數(shù)據(jù)的目的。正常來說網(wǎng)絡(luò)隔離功能以物理隔離為基礎(chǔ)，以訪問控制為策略，通過制定相關(guān)規(guī)則來確保網(wǎng)絡(luò)數(shù)據(jù)交換的安全。

截至目前，網(wǎng)絡(luò)隔離技術(shù)已經(jīng)經(jīng)歷了五代隔離技術(shù)，第一代隔離技術(shù)屬于完全的隔離，這種隔離技術(shù)雖然安全性高，但是會(huì)給日常的網(wǎng)絡(luò)運(yùn)維帶來不小的麻煩；第二代隔離技術(shù)是通過硬件卡實(shí)現(xiàn)的，這種方式實(shí)現(xiàn)要求比較高，也存在不小的安全隱患；第三代隔離技術(shù)通過數(shù)據(jù)轉(zhuǎn)播方式實(shí)現(xiàn)的，但這種方式需要手工完成，不僅明顯地減緩了數(shù)據(jù)交換速度，更不支持常見的網(wǎng)絡(luò)應(yīng)用；第四代隔離技術(shù)通過使用單刀雙擲開關(guān)來進(jìn)行數(shù)據(jù)交換的，但在性能和安全方面也有明顯不足；第五代隔離技術(shù)借助專業(yè)硬件和特殊安全協(xié)議等，實(shí)現(xiàn)不同網(wǎng)絡(luò)的隔離與數(shù)據(jù)交換，這種方式透明支持多種網(wǎng)絡(luò)應(yīng)用，成為當(dāng)前應(yīng)用頻率很高的一種隔離技術(shù)。

當(dāng)前的網(wǎng)絡(luò)隔離技術(shù)基本工作原理還是很簡單的，主要通過一些安全機(jī)制在不同網(wǎng)絡(luò)之間架構(gòu)起安全隔離網(wǎng)墻，使不同網(wǎng)絡(luò)中的應(yīng)用系統(tǒng)在空間上處于物理隔離狀態(tài)，同時(shí)又能對(duì)數(shù)據(jù)交換過程中的非法代碼內(nèi)容進(jìn)行過濾，確保合法數(shù)據(jù)內(nèi)容在安全、可信狀態(tài)下進(jìn)行共享訪問和交換傳輸，并在完善的身份認(rèn)證機(jī)制下達(dá)到用戶按需訪問的目的。

現(xiàn)在的網(wǎng)絡(luò)隔離技術(shù)按隔離方式來分可以包括物理網(wǎng)絡(luò)隔離、邏輯網(wǎng)絡(luò)隔離、虛擬局域網(wǎng)、虛擬路由和轉(zhuǎn)發(fā)、多協(xié)議標(biāo)簽交換以及虛擬交換機(jī)等類型，其中物理網(wǎng)絡(luò)隔離需要通過不少物理設(shè)備來將網(wǎng)絡(luò)分隔成多個(gè)部分，這種類型雖然很安全但非常昂貴，邏輯網(wǎng)絡(luò)隔離通過虛擬/邏輯設(shè)備，不需要物理設(shè)備就能隔離不同網(wǎng)段的訪問，它的安全性沒有物理隔離高。在交換機(jī)支持VLAN的場合下，可以采取虛擬局域網(wǎng)隔離的方式，通過使用VLAN標(biāo)簽將事先指定的交換端口保留在各自廣播區(qū)域中，從而實(shí)現(xiàn)邏輯隔離網(wǎng)絡(luò)目的。虛擬路由和轉(zhuǎn)發(fā)類型允許若干路由表同時(shí)共存在相同的一臺(tái)路由器設(shè)備中，它通過一臺(tái)路由器實(shí)現(xiàn)網(wǎng)絡(luò)的隔離目的。虛擬交換機(jī)的作用與物理交換機(jī)基本相同，都是用來轉(zhuǎn)發(fā)數(shù)據(jù)包，從而實(shí)現(xiàn)不同網(wǎng)絡(luò)之間數(shù)據(jù)傳輸?shù)母綦x，且不需要過多單獨(dú)的硬件投入。

巧用防火墻隔離

在實(shí)際工作中，一些網(wǎng)絡(luò)隔離的需求屬于應(yīng)急措施，在這種情形下，很多網(wǎng)絡(luò)管理員都會(huì)選用防火墻程序進(jìn)行軟式網(wǎng)絡(luò)隔離，畢竟這種隔離措施不需要額外的投入，節(jié)省了開支。

例如，某單位網(wǎng)絡(luò)通過共享ADSL方式上網(wǎng)，所有上網(wǎng)終端與ADSL設(shè)備都連接到一臺(tái)48口交換機(jī)中，它們都位于同一個(gè)工作子網(wǎng)中，該子網(wǎng)使用32.177.0.2——32.177.0.254網(wǎng)段地址，網(wǎng)關(guān)使用32.177.0.1地址?，F(xiàn)在單位新增加了四臺(tái)上網(wǎng)終端，要求在不投入硬件的情況下，既要讓新增的上網(wǎng)終端共享ADSL上網(wǎng)，又要與原來的終端計(jì)算機(jī)保持隔離，還要讓它們之間相互可以正常訪問。

圖1 屬性對(duì)話框

為了實(shí)現(xiàn)上述訪問的要求，網(wǎng)絡(luò)管理員找來一款處于閑置狀態(tài)的8口小交換機(jī)，將其連接到48口交換機(jī)，那些新增添的幾臺(tái)終端全部連到小交換機(jī)上，最后通過終端系統(tǒng)內(nèi)置的防火墻，達(dá)到軟式網(wǎng)絡(luò)隔離目的，不讓單位網(wǎng)絡(luò)中的其他上網(wǎng)終端訪問新終端系統(tǒng)。在將新終端接入單位網(wǎng)絡(luò)后，打開“網(wǎng)絡(luò)連接列表”窗口，選中“本地連接”圖標(biāo)，從其右鍵菜單中單擊“屬性”命令，切換到“本地連接屬性”設(shè)置框。勾選“Internet協(xié)議（TCP/IP）”選項(xiàng)，選擇“屬性”按鈕，彈出“TCP/IP協(xié)議屬性”對(duì)話框。選中如圖1所示界面中的“使用下面的IP地址”選項(xiàng)，將IP地址設(shè)置范圍為32.177.0.2—32.177.0.254，網(wǎng) 絡(luò) 掩 碼輸 入 為255.255.255.0，默認(rèn)網(wǎng)關(guān)地址調(diào)整為32.177.0.1，同時(shí)輸入好合適的首選DNS服務(wù)器地址，單擊“確定”按鈕保存設(shè)置操作，再重啟Windows系統(tǒng)，這樣新終端系統(tǒng)就能通過共享ADSL方式上網(wǎng)訪問了。

按照相同的操作步驟，配置好其他幾臺(tái)上網(wǎng)終端系統(tǒng)的網(wǎng)絡(luò)參數(shù)，讓它們都能正常上網(wǎng)。此時(shí)，新終端系統(tǒng)與其他終端系統(tǒng)同處一個(gè)子網(wǎng)，它們相互之間可以訪問，要想達(dá)到網(wǎng)絡(luò)隔離目的，還要啟用并設(shè)置終端系統(tǒng)自帶防火墻。在進(jìn)行這種配置操作時(shí)，先逐一單擊“開始”、“設(shè)置”、“控制面板”，雙擊系統(tǒng)控制面板窗口中的“Windows防火墻”圖標(biāo)，展開系統(tǒng)防火墻配置對(duì)話框。選擇“常規(guī)”選項(xiàng)卡，勾選界面中的“啟用”選項(xiàng)，來啟動(dòng)運(yùn)行防火墻。之后進(jìn)入“例外”選項(xiàng)設(shè)置頁面，勾選“文件和打印共享”復(fù)選項(xiàng)，單擊“編輯”按鈕，在其后界面中將“TCP 139”、“TCP 445”、“UDP 137”、“UDP 138”等端口選項(xiàng)都勾選起來，選擇“更改范圍”按鈕，選中“自定義列表”選項(xiàng)，將新添加的幾臺(tái)終端計(jì)算機(jī)IP地址填寫在這里，每個(gè)IP地址之間必須用逗號(hào)分隔開，并將網(wǎng)絡(luò)掩碼地址都設(shè)置為 255.255.255.0，例 如可以輸入“32.177.0.128，32.177.0.129，32.177.0.1 30，32.177.0.131/255.255.255.0 ”，確認(rèn)后保存設(shè)置操作。這個(gè)時(shí)候，單位網(wǎng)絡(luò)中的其他終端系統(tǒng)，因?yàn)槭艿椒阑饓Τ绦虻能浭礁綦x，將不能訪問新添加的終端系統(tǒng)，而開啟了防火墻例外功能的幾臺(tái)新添加終端系統(tǒng)是可以互相訪問的，如圖2所示。

巧用端口隔離

所謂端口隔離，就是在上網(wǎng)終端所連交換端口之間有足夠的隔離強(qiáng)度，確保一個(gè)上網(wǎng)終端不會(huì)接受到另外一個(gè)上網(wǎng)終端的數(shù)據(jù)信息。借助端口隔離措施，網(wǎng)絡(luò)管理員可以將需要管控的交換端口添加到隔離組中，達(dá)到端口在二層數(shù)據(jù)上的無法交換的目的；一旦采取了端口隔離措施后，交換端口之間就不會(huì)出現(xiàn)組播、廣播、單播現(xiàn)象，病毒木馬等威脅程序也不會(huì)輕易地在單位網(wǎng)絡(luò)中傳播擴(kuò)散。

圖2 防火墻設(shè)置

圖3 交換端口視圖狀態(tài)

例如，單位的三臺(tái)重要計(jì)算機(jī)依次接入到H3C S3050交換機(jī)的 4、5、6端口上，為了保證網(wǎng)絡(luò)訪問安全，要求這三臺(tái)計(jì)算機(jī)之間不能相互訪問。要達(dá)到這個(gè)控制目的，只需要簡單地在它們所連的交換機(jī)后臺(tái)系統(tǒng)中，將4、5、6這三個(gè)交換端口分別配置為隔離端口，這樣在交換機(jī)內(nèi)部形成數(shù)據(jù)隔離組，在不影響網(wǎng)絡(luò)訪問的情況下，將廣播數(shù)據(jù)包和其他交換端口進(jìn)行了有效的網(wǎng)絡(luò)隔離。在配置隔離端口時(shí)，先進(jìn)入交換機(jī)后臺(tái)系統(tǒng)，使用“system-view”命令，切換到系統(tǒng)全局視圖模式狀態(tài)；接著執(zhí)行“interface e0/4”字符串命令，進(jìn)入4交換端口視圖狀態(tài)（如圖3所示），輸入“port isolate”命令將當(dāng)前交換端口設(shè)置為隔離端口。之后依次執(zhí)行“quit”、“interface e0/5”、“port isolate”等命令，將5交換端口也設(shè)置為隔離端口。同樣地，將6交換端口設(shè)置為隔離端口后，再執(zhí)行字符串命令“display isolate port”，查看端口隔離組中究竟添加了哪些隔離端口，每個(gè)隔離端口的狀態(tài)怎么樣。倘若發(fā)現(xiàn)某個(gè)交換端口不需要被網(wǎng)絡(luò)隔離時(shí)，可以進(jìn)入對(duì)應(yīng)交換端口視圖模式狀態(tài)，然后執(zhí)行字符串命令“undo port isolate”，就能夠取消目標(biāo)交換端口的網(wǎng)絡(luò)隔離功能。

上面的配置操作方法僅適合H3C系列交換機(jī)，如果交換機(jī)使用的是華為品牌的產(chǎn)品，可以在特定交換端口視圖狀態(tài)下，使用“port-isolate enable” 命令，來啟用對(duì)應(yīng)交換端口的網(wǎng)絡(luò)隔離功能。而思科型號(hào)的交換機(jī)，更是采用了“switchport protected”完全不同的命令，來啟用交換端口的網(wǎng)絡(luò)隔離功能，值得注意的是，protected交換端口可以正常訪問非protected交換端口。

巧用路由隔離

對(duì)網(wǎng)絡(luò)拓?fù)涫煜さ墓芾韱T都清楚，在組網(wǎng)過程中路由器的作用相當(dāng)關(guān)鍵，它實(shí)現(xiàn)了不同網(wǎng)絡(luò)的相互連接。隨著網(wǎng)絡(luò)應(yīng)用的不斷提高，越來越需要對(duì)這種網(wǎng)絡(luò)互連加以一定的限制，而路由器天生也具有一定的網(wǎng)絡(luò)隔離功能，它的隔離功能主要通過訪問控制技術(shù)來實(shí)現(xiàn)，通過制定訪問控制列表達(dá)到對(duì)數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)進(jìn)行過濾和控制，只允許訪問控制列表中許可的報(bào)文通過路由器進(jìn)行轉(zhuǎn)發(fā)。在手頭沒有路由器設(shè)備的情況下，大家也能巧妙地利用終端計(jì)算機(jī)系統(tǒng)自帶的Route命令，實(shí)現(xiàn)軟式路由隔離目的。

圖4 高級(jí)TCP/IP設(shè)置對(duì)話框

比如說，筆者主要負(fù)責(zé)管理單位內(nèi)網(wǎng)系統(tǒng)的運(yùn)維工作，閑暇之余，會(huì)上外網(wǎng)查詢一些數(shù)據(jù)信息。以前，筆者通過筆記本電腦專門管理單位內(nèi)網(wǎng)，通過臺(tái)式計(jì)算機(jī)訪問單位外網(wǎng)。不過現(xiàn)在因?yàn)橐霉P記本電腦進(jìn)行移動(dòng)辦公，筆者想在辦公桌上的臺(tái)式計(jì)算機(jī)中，可以同時(shí)訪問單位內(nèi)網(wǎng)和外網(wǎng)。

為了能夠?qū)崿F(xiàn)同時(shí)上網(wǎng)目的，筆者認(rèn)真檢查了臺(tái)式計(jì)算機(jī)的網(wǎng)絡(luò)走線，看到其與樓層交換機(jī)直接連接，恰好樓層交換機(jī)又與單位外網(wǎng)和單位內(nèi)網(wǎng)同時(shí)連接，為此筆者打算通過Windows系統(tǒng)內(nèi)置的Route命令，也就是使用路由隔離法，對(duì)單位內(nèi)網(wǎng)、外網(wǎng)的訪問進(jìn)行軟式網(wǎng)絡(luò)隔離。假設(shè)，單位外網(wǎng)地址范圍為168.160.1.0-168.160.1.255，網(wǎng)關(guān)地址為168.160.1.1，掩 碼 地址 為 255.255.255.0，臺(tái)式計(jì)算機(jī)使用的地址為168.160.1.32；單 位 內(nèi) 網(wǎng)地址范圍為32.177.1.0-32.177.1.255，網(wǎng) 關(guān) 地 址為32.177.1.1，掩碼地址為255.255.255.0，臺(tái)式計(jì)算機(jī)使用的地址為32.177.1.10。現(xiàn)在，筆者登錄進(jìn)入臺(tái)式計(jì)算機(jī)系統(tǒng)中，打開“TCP/IP協(xié)議屬性”設(shè)置框，單擊“高級(jí)”按鈕，切換到如圖4所示的“高級(jí)TCP/IP設(shè)置”對(duì)話框，在這里依次輸入好單位內(nèi)外網(wǎng)的IP地址、網(wǎng)關(guān)地址以及掩碼地址，然后單擊“確定”按鈕退出“設(shè)置”對(duì)話框。

接下來逐一點(diǎn)選“開始”、“運(yùn)行”命令，展開系統(tǒng)運(yùn)行文本框，在其中輸入“cmd”命令并回車，彈出MS-DOS命令行界面，在該界面命令行狀態(tài)下，輸入字符串命令“route add -p 168.160.1.0 mask 255.255.255.0 168.160.1.1”，添 加 好 訪問單位外網(wǎng)的路由記錄，再輸入字符串命令“route add -p 32.177.1.0 mask 255.255.255.0 32.177.1.1”，添加好訪問單位內(nèi)網(wǎng)的路由記錄，這樣臺(tái)式計(jì)算機(jī)就可以正常訪問單位內(nèi)外網(wǎng)了。

巧用VLAN隔離

基于VLAN隔離技術(shù)的網(wǎng)絡(luò)管控措施，在一些規(guī)模不大的單位局域網(wǎng)中得到廣泛的應(yīng)用。VLAN是對(duì)接入到二層交換機(jī)端口的邏輯分段，不受終端用戶的物理位置限制而按照上網(wǎng)需求進(jìn)行網(wǎng)絡(luò)分段的。借助VLAN隔離功能，管理員能將一個(gè)單位局域網(wǎng)中很多的網(wǎng)絡(luò)設(shè)備分成不同虛擬的工作組，每個(gè)組之間的網(wǎng)絡(luò)設(shè)備在二層鏈路上相互隔離，形成不同的廣播域，將廣播流量限制在不同的廣播域。善于使用VLAN隔離方式，可以讓同一VLAN上的用戶互相訪問，不同VLAN的用戶之間不能相互訪問。

例如，某單位網(wǎng)絡(luò)中的甲交換機(jī)位于三樓，乙交換機(jī)位于五樓，該網(wǎng)絡(luò)中的有限幾個(gè)VLAN被合理劃分到這兩臺(tái)交換機(jī)中，它們使用光纖線路與單位局域網(wǎng)的核心路由交換機(jī)相連，同時(shí)通過該核心設(shè)備的路由功能進(jìn)行共享上網(wǎng)。但后來因?yàn)槟承┓矫娴脑?，單位管理者要求只能允許位于每個(gè)樓層的領(lǐng)導(dǎo)辦公室的所有上網(wǎng)終端可以訪問外網(wǎng)，而其他任何計(jì)算機(jī)都不允許通過核心路由交換機(jī)訪問Internet網(wǎng)絡(luò)。

圖5 字符串命令

為了實(shí)現(xiàn)領(lǐng)導(dǎo)要求的隔離目的，網(wǎng)絡(luò)管理員檢查了網(wǎng)絡(luò)原始資料，看到各個(gè)樓層領(lǐng)導(dǎo)辦公室的上網(wǎng)終端，分別被設(shè)置在不同的VLAN中，幸運(yùn)的是這些上網(wǎng)終端數(shù)量不是很多，總共不到15臺(tái)。為了達(dá)到特定的網(wǎng)絡(luò)隔離目的，網(wǎng)絡(luò)管理員決定將所有領(lǐng)導(dǎo)辦公室的上網(wǎng)終端，依次設(shè)置到一個(gè)全新的VLAN中，接著在甲乙交換機(jī)的級(jí)聯(lián)端口中進(jìn)行適當(dāng)設(shè)置，只讓新VLAN與核心設(shè)備保持連接，從而可以通過它順利訪問單位外網(wǎng)絡(luò)。進(jìn)行一系列的手動(dòng)設(shè)置，管理員在逐一將所有領(lǐng)導(dǎo)上網(wǎng)終端的連接端口設(shè)置到全新的VLAN 22中之后，為了讓甲乙交換機(jī)的級(jí)聯(lián)端口只允許VLAN 22通行，管理員登錄進(jìn)入交換機(jī)后臺(tái)系統(tǒng)，通過“Interface”命令切換到特定交換端口視圖模式狀態(tài)，在該狀態(tài)下執(zhí)行如圖5所示的“port linktype access”字符串命令，強(qiáng)制級(jí)聯(lián)端口位于“access”訪問模式下，同時(shí)使用“port access vlan 22”命令，讓級(jí)聯(lián)端口只允許VLAN 22通行，其他VLAN中的上網(wǎng)終端自然就不能順利上網(wǎng)訪問了。

最后小結(jié)

隔離不同上網(wǎng)終端的相互通信，可以采取以上多種措施來實(shí)現(xiàn)，但是不同措施使用的環(huán)境和方法各不相同，因此在平時(shí)的工作實(shí)踐中，大家一定要靈活選用合適的網(wǎng)絡(luò)隔離措施，這樣才能達(dá)到有效地網(wǎng)絡(luò)隔離目的。