计算机内网和外网的交互技术及应用-计算机论文发表

计算机内网和外网的交互技术及应用西安市产品质量监督检验站张勇【摘要】目前单位的办公大楼内局域网建设较早,大部分用户存在"一机跨两网"的现象,给用户信息安全带采严重的隐患.
通过对现有网络进行升级改造,在用户终端上实现内、外网物理隔离,开机后可根据需要自行选择进入内网还是进入外网,让用户的重要数据和外部的互联网没有物理上的连接,把用户可以上网的信息和不可以上网的信息隔离开来,让黑客无机可乘,确保内网信息安全可靠.
【关键词】内网外网交互技术现在很多单位的办公大楼内局域网建设较早,大楼内尽管采用了综合布线,但信息点数量有限.
随着网络办公系统等业务的推广应用,大部分用户存在"一机跨两网"的现象,给用户信息安全带采严重的隐患.
为此,要求对现有网络进行升级改造,在用户终端上实现内、外网物理隔离,开机后可根据需要自行选择进入内网还是进入外网,让用户的重要数据和外部的互联网没有物理上的连接,把用户可以上网的信息和不可以上网的信息隔离开来,让黑客无机可乘,确保内网信息安全可靠.
在Internet中,内网和外网分别采用各自的IP地址,每个lP地址对应一台主机.
内网主机被限制在内网中,同样外网主机被限制在外网中,它们之间难以相互访问,仅仅当某个内网IP地址被映射为一个外网IP地址后,才可实现内网与外网之间的相互访问.
1、NAT技术分类及特点通常,NAT技术有3种类型:静态NAT(StaticNAT),动态NAT(PooledNAT)和端13NAT(NetworkAddressPortTranslation,NAPT).
其中,静态NAT最为简单也最容易实现,它就是将每个内网IP地址永久映射成单独的外网IP地址.
而动态NAT则是在外网中定义一系列IP地址,采用动态分配方法将某个外网IP地址映射为内网IP地址,当用户断开后,能够释放该外网IP地址供其它用户使用.
NAPT则是把多个内网IP地址映射成为一个外网IP地址,采用不同的TCP和UDP端13来区分这些内网IP地址.
一般,静态NAT常常被用于要求具有固定外网IP地址的主机(或网络)中,动态NAT主要应用于频繁连接的网络(例如,拨号网络),当用户连接成功后,动态NAT就分配一个外网IP地址,用户断开连接后,这个外网IP地址就会被自动释放,并留待其它用户使用.
NAPT普遍应用于用户主机群,NAPT与动态NAT不同,它将多个内网IP地址映射为一个外网IP地址.
当从内网到外网进行IP地址转换时,NAPT将在含有该外网lP地址的数据包中加入一个由NAT设备选定的TCP(或UDP)端口号,使得这些数据包在外网中都来源于同一个IP地址;当从外网到内网进行IP地址转换时,根据外网数据包中的TCP(或UDP)端口号,NAPT把这些数据包转换为含不同内网IP地址的数据包,即生成不同内网主机能够接收的数据包.

2、PIX防火墙及NAT技术的主要特点PIX防火墙通常有两个Ethernet接口:一个内部接13用于连接内网,另一个外部接口用于连接外网(一般连接外部路由器).
PIX的主要工作是实现内网与外网之间的数据链路层和IP网络层的通信,完成内网与外网之间的IP地址映射.
对于一台配置好的PIX防火墙,从外部世界看来,内网主机就好象是直接连接在PIX的外部接口似的.
由于PIX的外部接13和内部接口都是Ethernet接13,因此,向主机传送数据包时,必须用到数据链路层的MAC地址.
为了使内网主机在数据链路层和IP网络层上看起来都好像是连接在外部接13上,PIX运行了代理ARP,该代理ARP给外网网络层的IP地址绑定内网主机的数据链路层MAC地址,这就使得内网主机看起来像是在数据链路层协议上的外部接口似的.

大多数情况下,与外网的通信是由内网发起的.
由于PIX对数据包先进行拆包操作,然后再进行封包操作,而不是在应用过程级(代理服务器则采用该方法)进行拆包与封包,因此,PIX既可以跟踪UDP会话,也可以跟踪TCP连接.
当一台内网主机希望同外网主机进行通信时,PIX先记录下内网主机的源IP地址,然后从外网的地址库中分配一个外网的源IP地址,再记录下所进行的IP地址转换.
由于是内网与外网的IP地址一一对应,外网主机很容易发起同指定的内网主机进行通信.
为了内网主机安全,通常要对目标IP地址和端口号进行过滤,一般按照服务器所提供的服务类型,选择应用层的相关协议,除非侵入PIX本身,外网用户仍然无法了解内网的网络结构,在不了解内网网络结构的情况下,恶意用户就无法向内网实施攻击.
3、内网和外网的交互需求及可行性内外网实现物理隔离,确保内网信息安全可靠;所有用户终端通过软件切换既能上内网办公,又能上互联网处理业务;用户在内外网之间切换方便、快捷、操作简单.
可根据网络现状,由于大楼内采用综合布线,楼内各区配线间均有一定的空间,可以增加部分设备.
中心机房与各区配线间的主干线路均为光缆,各区配线间至办公室至少有一条网线.
综合分析网络现状和改造目标,采用单网线隔离卡和网络隔离集线器相结合方法,能够实现在用户终端实现内外网物理隔离.
操作简单,切换方便、快捷,系统性价比高,同时也能确保内网信息安全.
采用当前的隔离技术能够实现,具有可行性.
当然,物理隔离最彻底的方法当然是安装两套网络和计算机设备,一套对应内部办公环境,一套连结外部互联网,两套网络互相不干扰.
工作人员在进行不同工作时,使用不同的网络和计算机,这样不需要特别的技术就达到了物理隔离的要求.
但是,这种方法在具体实现当中,存在诸多的问题:首先是费用,无论是新建还是改造,该方案相当于做两个网络工程的费用,使得成本翻番,工程量大.
其次,用户在两台计算机之间来回切换,非常麻烦,工作不方便,影响效率.
4、内网和外网的隔离方案目前,物理隔离的实现模型,一般是包括客户端选择设备和网络选择器.
客户端选择设备包括单网线隔离卡和双网线1/2隔离卡,用户或通过开关设备,或通过键盘选择,控制客户端选择不同的存储介质.
采用单网线隔离卡提供单网线布线的安全解决方案,需要加装双网隔离集线器配合实施,即在用户终端上安装一块单网线隔离卡和两块硬盘,在接入层上安装双网隔离集线器.
同时,对中心机房至各区配线间光缆干线电路进行分离,将单模双芯光电收发器改为单模单芯光电收发器基于单网线的安全隔离卡技术实现原理:即客户端依然采用类似双网线安全隔离卡的技术,不同的是,它只采用一个网络接口,而通过网线传递不同的电平信号到网络选择端,在网络选择端安装网络选择器,根据不同的电平信号,选择不同的网络连接,有效利用现有的单网线网络环境,符合网络现状.