駱 慧 勇

(中國人民銀行泰州市中心支行 江蘇 泰州 225300)

0 引 言

網絡隔離技術是常用的保護企業(yè)內部網絡信息安全的手段，傳統實現主要有防火墻和網閘技術，防火墻的核心功能是基于預設規(guī)則匹配響應數據包，并過濾非法數據包[1]。網閘一般采用禁止協議通信和數據文件的無協議“擺渡”等手段實現網絡的隔離方法[2]。兩種技術各有千秋，但都面臨著無法靈活調整配置、易對業(yè)務產生影響等問題。在一些安全要求較高的企事業(yè)單位，由于業(yè)務需求需對內網進行延伸，存在需將部分業(yè)務終端布放于外部機構工作區(qū)域實現業(yè)務終端外聯的需求。通過傳統網絡隔離技術存在實現成本較大、信息安全對硬件依賴較高、上線及調整不便等問題。針對該需求，本文結合云桌面[3]的應用實踐，梳理企業(yè)在網絡安全隔離、客戶端管理中的信息安全需求和業(yè)務需求；通過傳統方式構架網絡，分析其技術重點；利用云桌面技術重新規(guī)劃整個外聯業(yè)務體系，與現有內網低成本融合；通過傳統安全手段對比，梳理云桌面技術在實現業(yè)務需求時的優(yōu)點；通過硬件防火墻、虛擬網絡服務[4]、磁盤映射控制、USB Key認證[5]、CAS[6]等技術的綜合應用，進一步確保云桌面在網絡安全隔離中應用的信息安全。

1 云桌面網絡總體規(guī)劃

1.1 需求分析

業(yè)務需求與信息安全經常存在著一定的沖突，各類安全技術也在兩者的平衡中發(fā)展。在實際工作中，業(yè)務人員需要業(yè)務系統沒有過多限制，能夠實時訪問內外部的網絡，且能夠快速簡易切換，但信息安全可能會對業(yè)務工作的及時性、便捷性產生一定影響，在信息化過程中往往需要綜合考慮業(yè)務與信息安全兩方面。

信息安全涉及網絡、客戶端、制度等多個方面，與業(yè)務終端相關主要為網絡層的安全防護，其次為終端自身的安全防護。外聯業(yè)務終端由于布放環(huán)境處于相對不可控狀態(tài)，網絡本身的可靠性也是業(yè)務連續(xù)性的重要因素，因此構建安全的網絡是傳統網絡結構中重點關注的對象。部分企事業(yè)對內聯網也有較為細化的規(guī)定，如虛網的劃分、重要業(yè)務終端網絡地址段、服務器網絡地址段等，在重新構造網絡時也需要重點考慮構架的合規(guī)性。

從安全運維角度考慮，網絡構架除了關注業(yè)務需求、信息安全需求，還需要考慮網絡的維護成本。合理的網絡架構應能夠在業(yè)務調整、拓展時實現較為便捷的調整，同時需要有效規(guī)避外聯業(yè)務終端的不可控性，即業(yè)務調整不對業(yè)務終端的配置有過多強制要求。

1.2 傳統網絡組網邏輯架構

為更好闡述傳統網絡架構，本文按照需求分析結果，采用當前主流技術構建較為經典的網絡結構。按照網絡無單點故障的要求，傳統網絡采用雙線路連接外聯機構，利用目前廣泛采用的MSTP線路可以實現交換機的直連，外聯業(yè)務終端從網絡架構上仍可視為內網終端，因此無需路由器進行數據包轉發(fā)。為滿足信息安全需求，分別利用傳統網絡安全設備，如防火墻、上網行為管理器等進行安全控制，形成外聯區(qū)域與內聯網的中間區(qū)。傳統經典網絡邏輯架構如圖1所示。

圖1 傳統經典網絡邏輯架構

外部區(qū)域業(yè)務終端按照內網業(yè)務需求統一配置網絡地址，外部區(qū)域交換機使用虛擬化技術形成邏輯組，避免單點故障。防火墻使用透明模式，安全策略按照業(yè)務網址和端口嚴格配置內網訪問規(guī)則，上網行為管理器的補充能夠更好地記錄各業(yè)務終端的訪問內容，同時根據實際工作時間邏輯開關線路。防火墻與上網行為管理器均通過心跳線、同步線等方式避免單點故障。傳統網絡架構使用的安全技術內容如表1所示。

表1 傳統安全技術應用

1.3 云桌面隔離組網邏輯架構

應用云桌面技術組網的網絡基本結構不變，在防火墻DMZ區(qū)[7]建設云桌面用于內外網互訪。為避免單點故障，云桌面服務器可與兩臺防火墻DMZ區(qū)接口連接，配置相應網絡地址。與傳統經典組網方式不同的是物理終端可以根據需要自行配置網絡地址，防火墻根據外部區(qū)域、外聯服務區(qū)、內聯網的網絡地址規(guī)范進行地址轉換。基于云桌面隔離組網邏輯架構如圖2所示。

圖2 云桌面網絡邏輯架構

外部區(qū)域業(yè)務用機可以按照業(yè)務及維護需求，通過軟件方式或瘦客戶端[8]方式連接云桌面服務器。防火墻通過配置安全策略，僅允許指定網絡終端訪問云桌面服務器，過濾非法訪問，保護云桌面服務器，同時通過安全策略限制虛擬桌面對內聯網資源的訪問。相關的訪問邏輯關系如圖3所示。

圖3 云桌面業(yè)務訪問邏輯

外部終端與虛擬桌面之間只傳桌面圖像[9]及固定的服務請求，帶寬需求較為明確，流量峰值相對固定，便于估算帶寬需求。傳輸的數據包單一，出入端口較為明確，安全把控更為簡單。防火墻的安全策略相對簡單，在業(yè)務新增、調整時能夠簡化配置。另外信息安全管理也從物理終端管控轉變?yōu)樵谱烂娣掌?、虛擬桌面管控。這樣能夠提高網絡安全性，規(guī)避網絡不斷調整的問題。

云桌面組網構架的最大特點在于嚴格的網絡限制對于終端用戶是透明的。服務器中的虛擬操作系統承載各自的業(yè)務工作，完全不受傳統隔離技術帶來的地址轉換、端口限制等因素的影響，用戶連入云桌面服務器后享受的是各自網絡中的完全服務，對內網的依賴和影響大大降低。

2 云桌面隔離組網安全措施

云桌面隔離組網通過外聯機構間接連入，將原有直接訪問通過云桌面實現間接訪問，可以從物理網絡、云桌面服務器平臺、云桌面訪問控制三層對安全進行進一步強化。

通過物理防火墻進一步強化云桌面主機安全，內外網隔離的規(guī)則可以有所不同。內網實施更嚴格的配置，只允許指定網絡地址訪問指定服務器。外網簡化配置，非禁止接入的地址網段都是允許接入。云桌面專用網可以采用傳統網絡安全技術提高安全性，如通過劃分虛網實現分級管理。

利用云桌面服務器管理平臺，參考傳統網絡設備對虛擬網絡進行統一配置，可以及時處理虛擬桌面異常提高業(yè)務連續(xù)性，夜間或業(yè)務低峰階段可以強制關閉部分虛擬桌面提高安全性，構建高可用性平臺系統，實現桌面級數據安全管控。

虛擬桌面是信息安全管控重點，為避免虛擬桌面成為攻擊內網的跳板，云桌面終端可采用無本地存儲功能的終端，終端可以采用USB Key方式認證，禁止外部終端磁盤映射，避免存儲信息泄露?？蛇x擇安全技術如表2所示。

表2 云桌面網絡架構可選安全技術

3 基于云桌面隔離組網優(yōu)勢

3.1 獨立性

云桌面服務器相對獨立，平臺部署于防火墻DMZ區(qū)，雙網口通過防火墻分別與內外網互連。云桌面虛擬網絡管理相對獨立，原單位業(yè)務網規(guī)劃無需考慮外聯機構的網絡，如原有網絡上增加新虛網，只要調整云桌面虛擬交換機配置，無需更改外聯區(qū)域終端相關的交換機配置。云桌面網絡架構相對獨立，對原有內網安全規(guī)則無破壞性，不需修改防火墻、交換機原有配置，方便網絡架構調整和過渡。

3.2 互利性

安全管理作用范圍一般小于控制范圍，外聯區(qū)域處于外部機構的控制范圍，對于外聯區(qū)域仍然按照內聯網要求管理多為不便。外聯區(qū)域作為原有內聯網的外延，應盡量滿足內聯網以及外部機構的雙重管理需求。通過云桌面隔離組網的方式實現外聯區(qū)域的相對獨立，外聯區(qū)域的網址分配、虛網劃分、網絡管理、客戶端安全軟件可以按照外部機構的管理要求進行配置。

3.3 便捷化

外聯終端的安全管控在傳統網絡架構下需要通過多種網絡、安全設備進行配置和管控，如需要對防火墻進行端口級細粒度的安全控制，更為復雜。安全策略的配置以及未來由于內部業(yè)務的新增、變更，調整復雜性將成倍提高。采用云桌面方式組網后通過云桌面隔離組網方式，只要做好硬件防火墻中針對云桌面服務器的網絡地址及相應端口開放權限即可，只涉及少量網絡地址，安全規(guī)則數量壓縮，終端調整也不需要對安全規(guī)則進行復雜調整。操作系統云化后，終端維護大為減輕，提高了可用性和易維護性[10-11]。

3.4 可擴展

傳統網絡設備、安全設備由于其固化的硬件，一般只能用于設定的專用場景。隨著虛擬化的產生，通過軟件模擬硬件可以實現各類功能。云桌面隔離組網網絡的方式將原有依賴各層硬件的安全管理轉變?yōu)楦鶕谱烂娣掌鞯能浖芾矸绞娇梢詭頂U展性的提高，如通過云桌面服務器審計登錄網絡地址、記錄對外訪問的信息，針對反復登錄、異常網絡地址登錄及時報警，通過靈活的規(guī)則定時暫停服務器、定制更為復雜的網絡和終端安全規(guī)則等。

3.5 多元化

從傳統硬件安全設備應用到硬件網絡設備、虛擬網絡設備、云桌面平臺管控系統多方控制的安全控制。傳統組網方式仍只能通過傳統接入層綁定、認證技術實現基本的控制，通過云桌面隔離組網，能夠將安全管理重心從物理網絡安全設備轉移到云桌面管控中，實現了從硬件到軟件管理方式的轉變。軟件方式具有極大的靈活性，如可以根據網絡地址限制終端登錄、設置賬戶訪問權限限制虛擬終端磁盤映射等。

4 結 語

本文圍繞內聯網需要向外部機構擴展的典型需求，對相關業(yè)務需求、安全需求進行分析。按照傳統經典網絡架構思路實現相關需求，對比分析通過云桌面技術實現，分析應用的網絡架構，細化外聯終端訪問內網的邏輯關系，最終實現在滿足信息安全的基礎上，實現更為靈活的業(yè)務需求。對云桌面技術實現的隔離組網可選安全技術進行列舉，最終達到更好的信息安全。