内外网络物理隔离在电厂的应用

内外网络物理隔离在电厂的应用

刘蕾

大唐河北发电有限公司马头热电分公司，河北省 邯郸市 056108

[摘要] 随着网络开放性、互连性、共享性程度的扩大，Internet技术的发展，企业网络环境的日趋成熟，网络的重要性和对社会的影响也越来越大，网络的安全问题也变得越来越重要，网络安全威胁趋势日益严峻。本文介绍了内外网物理隔离技术在某电厂的实施和应用，提高了企业内部网络的安全稳定性。

[关键词] 内外网；物理隔离；网络安全

一、引言

某电厂局域网络系统采用以太网技术，网络区域内用户通过上网行为管理、防火墙、运营商公司光缆通道接入互联网，内网外网公用一台主机进行内外网业务访问，网络系统会遭到一些别有用心的人破坏或感染病毒，泄密情况严重，严重威胁企业网络安全。按照公安部《信息安全等级保护管理办法》及国家有关部门等的有关规定，企业要实现内外网的物理隔离，真正有效地保护企业内部网络的信息安全。何为内外网络物理隔离？内外网络物理隔离是指通过物理手段，使得内部网络不直接或间接地连接互联网。内外网物理隔离的目的是保护内部终端、网络服务器等硬件实体与通信链路免受人为破坏、信息窃取攻击，保证企业内部信息网络不受互联网黑客攻击，增强网络可控性。

二、某电厂网络现状

某电厂内部网络系统采用主干道冗余光缆、超五类双绞线、千兆以太网电接口及光接口模块网络核心交换机、接入交换机连接至用户终端。核心交换机采用双电源模块，配置双CPU引擎，重分保证网络可靠性和高性能。

连接互联网的网络区域为外网，内网用户通过企业配备的安全防护设备接入互联网，进行对外业务，收发邮件。

三、内外网物理隔离实施

1.技术选择

（1）层次化设计

网络结构是网络吞吐能力、可管理性、稳定性等的基础，一个优秀的网络结构有助于增强网络的性能、使网络更易于管理及实现等。在互联网协议的设计中，采用了分层参考模型，使用这种OSI的层次模型简化了两台计算机设备的通信过程，使网络协议能够更好地实现。同样，分层的思想也适用于网络互连的结构设计，其基本原理就是在每一网络层选用适合的设备，集中实现特定的功能，并采用模块化方式进行设计。这样的层次设计模型有许多优点：

1. 由于不同层次根据需要实现不同的功能需求，因此在网络设备、带宽线路等投资上，可进行针对性选择使用，节省了费用。

2. 采用模块化思想，使每个功能实现要素都尽量简单，有助于对网络的理解，并使网络的管理职责分散到网络的不同层上，有助于控制网络的管理成本。

3. 模块化设计允许创建可重复的设计要素，譬如一个区域网络，使网络扩展更加方便。当网络的特性等设计要素变化时，影响只限制在一个小范围内。同时，对于故障的处理、隔离等也可以在网络的小范围内进行定位，因此有助于识别网络故障点。

二、高可用性选择

针对连续运行（即使在发生系统或者电力故障的情况下）而设计的网络被称为高可用性系统。精心设计的高可用性系统具有冗余硬件，冗余软件特性和用于在发生故障时重新设置网络路径的自动步骤，高度可用的网络应当没有任何由于关键连接或系统中断而导致的单点故障，而且应当以一种对用户透明的方式进行故障恢复，即切换到备用系统或者其他路径。

高可用性应当设计到多个层中，通过一个健全的设计，可以轻松地实现网络稳定性，简化排障，以及减少人为错误。以下三个层次提供了高可用性的保障：

第一层：冗余连接和硬件可以在网络中提供另外一条物理途径。

第二/三层：生成树、VRRP和其他路由协议可以支持备用路径感知和快速收敛，以及最新的虚拟交换机技术（IRF2、CSS、VSS）。

2.网络架构

遵循层次设计的思想，网络拓扑层次设计通常网络设计分为三层：

（1）核心层：提供网络节点之间的最佳传输通道；

（2）汇聚层：提供基于策略的连接控制；

（3）接入层：提供用户接入网络的通道。

每一层都为网络提供了特定而必要的功能，通过各层功能的配合，从而构建一个功能完善的IP网，这些层功能都可在路由器或交换机里实现。

3.网络拓扑

结合企业实际组建一整套独立的无线网络系统作为企业外网，实现室内无线网络覆盖。外网特定用户终端通过无线接入方式访问Internet，通过网络分离建设，形成内外两套网络系统。

4.内网建设：原有局域网转换为单一的内网，从原来的混合网络中剥离出来，网络结构基本不变，在原来的网络出口进行修改和调整，新增桌面管理及内网网络准入系统保证内网安全。

5.外网建设

整个外网系统全部新建，利用原有的互联网出口。将整个外网系统划分为不同的区域，包括无线终端接入区、网络核心交换区、外联网接入区、DMZ安全区。

（1）无线终端接入区

该区域是无线终端用户接入区域，用户采用专用的外网终端访问互联网资源，并通过无线控制、认证系统等进行安全防护。每个楼层部署无线AP信号发射设备。

企业通过在各办公区域铺设光纤，在楼层安装POE接入交换机，楼道顶部或房间内部署无线AP设备，实现网络的无线覆盖。

为保证高带宽和远距离传输，所有的接入交换机全部采用千兆光纤链路与核心交换机进行连接。

同时需要安装部署网管软件，通过其无线管理组件和终端准入控制组件，对无线网络的接入访问进行管理。

（2）网络核心交换区

核心交换机是整个网络的核心，所有的数据都经过核心交换机转发。核心交换机的性能决定了整个网络的性能。核心层配置设备承担的任务主要是整体网络各单位间信息的交流和分发与管理，因此核心层设备是整个网络的中心枢纽，应具有强大的交换能力，保证不会发生信息拥塞，应该具有非常高的背板吞吐能力。

为确保外网网络核心交换区的稳定，建议购置一台高性能路由交换机作为外网的核心，同时为了实现外网的无线接入，在该汇聚交换机上配置无线业务插卡，实现有线无线一体化，便于管理和节省用户的投资。

（3）外联网接入区

用于连接Internet接入，实现互联网用户对外网（互联网）的访问需求。

在企业信息网互联网出口边界配置一台高性能防火墙，实施边界控制与安全防范，保证互联网出口的安全。

防火墙是指设置在不同网络（如可信任的内部网和不可信任的网络）或网络安全域之间的一系列部件的组合，目的是为了保障“可信任的”网络安全并且维护“可信任的”网络与“不可信任的”网络之间通讯的方便。防火墙被设置在被保护网络和外部网络之间，以防止发生不可预测的、潜在破坏性的侵入。

防火墙集成入侵检测和防病毒功能，设备用于连接Internet线路，进行安全的过滤,它可通过监测、限制跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络和安全域边界的安全保护。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了网络间的任何活动，保证了内部网络的安全。

6.内外网物理隔离改造后的预期成果及综合效益

企业以原有网络转为内网网络，以无线覆盖方式新建外网网络，新增基础必要的网络安全设备，实现内外网分离；实现内外网实现分离后，访问终端完全独立，既满足企业用户对互联网的访问需要，同时保障了内部信息安全。

7.结论

某电厂自实施内外网络物理隔离以来，局域网络运行稳定，内部网络也划定了明确的安全边界，使得网络的可控性增强，内部管理便捷，网络运行安全稳定。