浅析电网公司计算机内网和外网的交互技术及应用

【摘要】在电网公司的办公大楼内局域网建设较早，大部分用户存在 “一机跨两网”的现象，给用户信息安全带采严重的隐患。通过对现有网络进行升级改造 ，在用户终端上实现内、外网物理隔离，开机后可根据需要自行选择进入内网还是进入外网，让用户的重要数据和外部的互联网没有物理上的连接，把用户可以上网的信息和不可以上网的信息隔离开来，让黑客无机可乘，确保内网信息安全可靠。

【关键词】内网 外网 交互 技术

一、NAT技术分类及特点

通常，NAT技术有3种类型：静态NAT（Static NAT），动态NAT（Pooled NAT）和端13NAT（Network Address PortTranslation，NAPT）。其中，静态NAT最为简单也最容易实现，它就是将每个内网IP地址永久映射成单独的外网IP地址。而动态NAT则是在外网中定义一系列IP地址，采用动态分配方法将某个外网IP地址映射为内网IP地址，当用户断开后，能够释放该外网IP地址供其它用户使用。NAPT则是把多个内网IP地址映射成为一个外网IP地址，采用不同的TCP和UDP端13来区分这些内网IP地址。一般，静态NAT常常被用于要求具有固定外网IP地址的主机（或网络）中，动态NAT主要应用于频繁连接的网络（例如，拨号网络），当用户连接成功后，动态NAT就分配一个外网IP地址，用户断开连接后，这个外网IP地址就会被自动释放，并留待其它用户使用。

二、PIX防火墙及NAT技术的主要特点

PIX防火墙通常有两个Ethernet接口：一个内部接13用于连接内网，另一个外部接口用于连接外网（一般连接外部路由器）。PIX的主要工作是实现内网与外网之间的数据链路层和IP网络层的通信，完成内网与外网之间的IP地址映射。对于一台配置好的PIX防火墙，从外部世界看来，内网主机就好象是直接连接在PIX的外部接口似的。由于PIX的外部接13和内部接口都是Ethernet接13，因此，向主机传送数据包时，必须用到数据链路层的MAC地址。为了使内网主机在数据链路层和IP网络层上看起来都好像是连接在外部接13上，PIX运行了ARP，该ARP给外网网络层的IP地址绑定内网主机的数据链路层MAC地址，这就使得内网主机看起来像是在数据链路层协议上的外部接口似的。

大多数情况下，与外网的通信是由内网发起的。由于PIX对数据包先进行拆包操作，然后再进行封包操作，而不是在应用过程级（服务器则采用该方法）进行拆包与封包，因此，PIX既可以跟踪UDP会话，也可以跟踪TCP连接。当一台内网主机希望同外网主机进行通信时，PIX先记录下内网主机的源IP地址，然后从外网的地址库中分配一个外网的源IP地址，再记录下所进行的IP地址转换。由于是内网与外网的IP地址一一对应，外网主机很容易发起同指定的内网主机进行通信。为了内网主机安全，通常要对目标IP地址和端口号进行过滤，一般按照服务器所提供的服务类型，选择应用层的相关协议，除非侵入PIX本身，外网用户仍然无法了解内网的网络结构，在不了解内网网络结构的情况下，恶意用户就无法向内网实施攻击。

三、内网和外网的交互需求及可行性

内外网实现物理隔离，确保内网信息安全可靠；所有用户终端通过软件切换既能上内网办公，又能上互联网处理业务；用户在内外网之间切换方便、快捷、操作简单。可根据网络现状，由于大楼内采用综合布线，楼内各区配线间均有一定的空间，可以增加部分设备。中心机房与各区配线间的主干线路均为光缆，各区配线间至办公室至少有一条网线。综合分析网络现状和改造目标，采用单网线隔离卡和网络隔离集线器相结合方法，能够实现在用户终端实现内外网物理隔离。操作简单，切换方便、快捷，系统性价比高，同时也能确保内网信息安全。采用当前的隔离技术能够实现，具有可行性。当然，物理隔离最彻底的方法当然是安装两套网络和计算机设备，一套对应内部办公环境，一套连结外部互联网，两套网络互相不干扰。工作人员在进行不同工作时，使用不同的网络和计算机，这样不需要特别的技术就达到了物理隔离的要求。但是，这种方法在具体实现当中，存在诸多的问题：首先是费用，无论是新建还是改造，该方案相当于做两个网络工程的费用，使得成本翻番，工程量大。其次，用户在两台计算机之间来回切换，非常麻烦，工作不方便，影响效率。

四、内网和外网的隔离方案

（1）隔离卡的安装。目前，隔离卡有IDE接口和SATA接口两种，其安装方法和步骤相似。IDE接口隔离卡安装过程：第一步，按方案要求设置隔离卡为单布线网络模式（具体在隔离卡背面有跳线图）；第二步，将隔离卡插入计算机的PCI插槽并固定；第三步，将两个硬盘安装好操作系统；第四步，将两个硬盘的跳线设为Master方式（硬盘出厂设置一般为Cable Select）；第五步，用IDE数据线将隔离卡上标有To PC记号的主IDE端口与主板Primary IDESN连（蓝色：主板；黑色：隔离卡），标有内网记号的IDE端口与内网硬盘相连（蓝色：隔离卡内网IDE；黑色：内网硬盘），标有外网记号的IDE端口与外网硬盘相连（蓝色：隔离卡外网IDEl黑色：外网硬盘）；第六步，用串行通信线将隔离卡的串行通讯口和计算机上的串行口相连接；第七步，用网卡连接线将隔离卡网卡的连接口（TO NIC）与计算机上的网卡相连；第八步，安装隔离卡驱动程序和切换软件，切换到另外一个系统，安装隔离卡驱动程序和切换软件。

（2）工作模式。用户终端装有两块硬盘和一块单网线隔离卡，采用双网隔离集线器隔离，两块硬盘分别安装内外网环境下的系统，和应用。进入内网时，断开外网，启动内网系统，使用内网硬盘；进入外网时，断开内网，启动外网系统，使用外网硬盘。双网隔离集线器的安装由于安装物理隔离卡的目的是可以连接内外两个网络，所以在正常情况下需要两条网线。但本单位网络不能再布设网线，只有一根网线到用户终端，这时需要双网隔离集线器来配合隔离卡工作。双网隔离集线器安装过程：第一步，固定网络隔离集线器于机架上；第二步，将来自安装隔离卡计算机的网线连接至网络隔离集线器中间的端口，并将相应序号的内、外网输出网线分别连接至内、外网交换机端口上。一定要注意网络隔离集线器缺省状态下为内网状态，所以在不插网线时，内网指示灯都亮，插上网线后指示灯根据隔离卡状态显示网络状态。

五、PIX防火墙及NAT技术的应用

PIX在进行NAT操作时，提供了另一个关键性的安全技术，它对数据包进行随机化的序列编号，以防止入侵者通过IP地址的电子欺骗控制住当前的TCP连接，然后采用该TCP连接向内网主机发送自己的数据包。经过PIX的NAT操作后，传输的数据包与通常直接传输的数据包不同，前者在初始化TCP连接时，大都采用一个相同的序列号来启动会话，入侵者很容易得到正确的数据包序列号，而PIX则使用数学算法来随机化序列号，这实际上使得攻击者已经非常难猜出TCP连接所使用的序列号，防止了入侵者控制住内网主机的数据包，使内网更加安全。