■

應(yīng)用需求

財務(wù)部門原本建有獨(dú)立的專用局域網(wǎng)，運(yùn)行財務(wù)系統(tǒng)處理全部財務(wù)相關(guān)事務(wù)，長期以來，工作人員都未能接入園區(qū)網(wǎng)（以下成為外網(wǎng)），在接收信息、與其他部門人員溝通等方面存在極大的不便。與此同時，受限于財務(wù)內(nèi)網(wǎng)的封閉，文件的接收一旦使用U盤，常常遇到病毒侵襲，且在內(nèi)網(wǎng)安裝的殺毒軟件無法升級，也無法有效抵御病毒。

基于上述客觀問題，原計劃采用桌面虛擬化或應(yīng)用虛擬化的方式將財務(wù)內(nèi)網(wǎng)封閉起來，通過USBKey的安全接入能夠在網(wǎng)絡(luò)可達(dá)的任意位置開展財務(wù)管理工作，每個人只使用自己的一臺電腦就能兼顧財務(wù)辦公和外網(wǎng)接入。但財務(wù)部門經(jīng)過慎重考慮，還是繼續(xù)堅持內(nèi)網(wǎng)物理隔離的方式，為每個工作人員增配一臺電腦專門接入外網(wǎng)用于上網(wǎng)，原有的電腦用于財務(wù)內(nèi)網(wǎng)辦公，同時也能避免工作人員在缺乏現(xiàn)場監(jiān)督的情況下使用財務(wù)系統(tǒng)。

在此情形下，內(nèi)網(wǎng)病毒查殺的問題依然存在，文件如何不通過U盤能夠安全地在內(nèi)網(wǎng)和外網(wǎng)之間傳遞也是日常使用必須面對的。假設(shè)通過光盤刻錄的方式，不僅是資源的浪費(fèi)，在操作上也存在極大不便。

對策分析

在互聯(lián)網(wǎng)絡(luò)無限延伸的今天，想要保持一張局域網(wǎng)相對的獨(dú)立已是越來越難，對財務(wù)的工作人員而言，需要與外界交換信息、交換文件或交換數(shù)據(jù)；對財務(wù)的服務(wù)器端，也需要與在線交易平臺、在線支付平臺、在線查詢平臺等多種媒介連通。因此，安全的連接是解決這些需求最根本的出發(fā)點(diǎn)，單純的隔離已解決不了安全的問題。結(jié)合每個工作人員兩臺電腦分別連接外網(wǎng)和財務(wù)內(nèi)網(wǎng)的實(shí)際，我們選用前置機(jī)的方式溝通內(nèi)外網(wǎng)交互。

在前置機(jī)自身操作系統(tǒng)的選擇上優(yōu)先考慮Linux，不僅是其自身相對安全，還可以根據(jù)需求安裝最小的運(yùn)行環(huán)境，能夠更好地避免自身缺陷所帶來的安全短板。

文件和信息的交換，其實(shí)重點(diǎn)在于文件，畢竟在接入外網(wǎng)后，工作人員可以使用常規(guī)的QQ或RTX等工具。針對文件的交互，首先以安全的名義排除DTP方式，因?yàn)镕TP相對容易被監(jiān)聽和攻擊。既然是安全前置機(jī)，就要避免用不夠安全的組件，結(jié)合財務(wù)辦公全部使用Windows桌面的情況，選用Samba作為文件交換的基礎(chǔ)服務(wù)，一方面它是非常成熟且較少有安全漏洞的服務(wù)，另一方面是其能夠映射為網(wǎng)絡(luò)磁盤方便使用。在文件交互的規(guī)則上，定義外網(wǎng)和財務(wù)內(nèi)網(wǎng)都只能進(jìn)行單向?qū)懖僮?，即?nèi)網(wǎng)可寫的共享目錄，在外網(wǎng)只能讀取，不能寫入，反之，在外網(wǎng)有寫權(quán)限的共享目錄，在內(nèi)網(wǎng)則具有只讀權(quán)限，此規(guī)則目的在于任何一臺中毒的電腦都不能通過共享目錄主動傳播病毒到另一個網(wǎng)絡(luò)區(qū)域。

文件在內(nèi)外網(wǎng)之間傳送另一個最大的風(fēng)險就是文件本身可能有病毒，殺毒軟件在外網(wǎng)可以更新病毒庫，相對來說可以從使用習(xí)慣上約定從外網(wǎng)共享到內(nèi)網(wǎng)的文件經(jīng)過查殺后是安全的，但內(nèi)網(wǎng)的文件若中毒在先，共享給外網(wǎng)時，受限于只讀共享也不能查殺，因此內(nèi)網(wǎng)也必須解決殺毒軟件更新問題，解決辦法就是定向代理。在安全前置機(jī)上啟用基于Squid的網(wǎng)絡(luò)代理，從財務(wù)內(nèi)網(wǎng)到外網(wǎng)方向僅代理殺毒軟件升級服務(wù)器，從而在保持內(nèi)網(wǎng)隔離的前提下，又保證殺毒軟件的及時更新。

技術(shù)實(shí)施

Linux服務(wù)對資源的消耗很小，財務(wù)工作人員在20人左右，因此分配虛擬機(jī)一個，不少于 1vCPU，2Gram，50GB磁盤即可，安裝最新的Oracle Linux 6.6的32位版，兩個網(wǎng)卡分別設(shè)置內(nèi)外網(wǎng)IP。

1.部署文件服務(wù)

首先安裝Samba4及其依賴包，配置其開機(jī)自動啟動。

接著在/opt目錄創(chuàng)建兩個目錄，f_in_to_out目錄定義為內(nèi)網(wǎng)用戶可讀寫，外網(wǎng)用戶只讀；f_out_to_in目錄定義為外網(wǎng)用戶可讀寫，內(nèi)網(wǎng)用戶只讀。并將此兩個目錄配置為SELinux策略允許

在上述定義中，整個文件共享配置為免密碼共享，因?yàn)樨攧?wù)人員并不算多，共享文件原本就為了方便文件傳遞，在限定訪問IP的前提下，增加用戶登錄只會使操作更麻煩，且在財務(wù)部門內(nèi)部，如果有文件不希望別人看到，則可通過文件加密的方式來簡單避免。

在內(nèi)網(wǎng)的每個工作電腦上，映射兩個網(wǎng)絡(luò)驅(qū)動器，分別為“內(nèi)網(wǎng)寫入文件”和“內(nèi)網(wǎng)讀取外網(wǎng)文件”，在外網(wǎng)的每個工作電腦上，也映射兩個網(wǎng)絡(luò)驅(qū)動器，分別為“外網(wǎng)寫入文件”和“外網(wǎng)讀取內(nèi)網(wǎng)文件”，工作人員就可以像操作本地磁盤一樣在自己的兩臺內(nèi)外網(wǎng)電腦，或與同事之間傳遞與交換文件了。

2.部署代理功能

在實(shí)際場景中，殺毒軟件也有兩種選擇，分別是網(wǎng)絡(luò)版殺毒軟件和單機(jī)版殺毒軟件。網(wǎng)絡(luò)版殺毒軟件在外網(wǎng)中就有升級服務(wù)器，代理服務(wù)器只需指向外網(wǎng)的升級IP即可。單機(jī)版殺毒軟件的升級服務(wù)器在互聯(lián)網(wǎng)中，需要先找到升級服務(wù)器IP，再定義到代理服務(wù)。相比之下，本案選擇單機(jī)版殺毒軟件，因?yàn)榫W(wǎng)絡(luò)版殺毒軟件功能相對單一，缺少輔助工具，而在不能上網(wǎng)的財務(wù)內(nèi)網(wǎng)，具備如垃圾清理、電腦加速等便捷小工具的單機(jī)版可以給內(nèi)網(wǎng)PC維護(hù)帶來便捷。

安裝并配置Squid3.1服務(wù)：

這部分定義是基于默認(rèn)的配置基礎(chǔ)上添加的，分別定義了代理服務(wù)顯示的名稱，定義了一組目的域名，這組域名就是單機(jī)版殺毒軟件升級服務(wù)器的域名，同時設(shè)置除這組域名之外的訪問均禁止。啟動服務(wù)后，在殺毒軟件的設(shè)置項(xiàng)中添加本代理服務(wù)的IP和端口，點(diǎn)殺毒軟件升級就能實(shí)時保持最新了，而利用此代理去訪問其他網(wǎng)站，都是無法訪問的。

3.鞏固和提升

前置機(jī)同時存在于外網(wǎng)和內(nèi)網(wǎng)，放開了SSH、Squid、Samba等三項(xiàng)服務(wù)，雖然服務(wù)自身都定義了訪問控制列表，但依賴服務(wù)去抵御潛在的攻擊還是不夠的，最好的辦法就是配合防火墻策略，讓防火墻丟棄無關(guān)的來源IP包以提升前置機(jī)自身的安全和運(yùn)行效率。

如此定義IPtables上放行了Samba服務(wù)的138和445端口僅限財務(wù)內(nèi)網(wǎng)和財務(wù)所用的外網(wǎng)IP使用，Squid代理和主機(jī)SSH服務(wù)僅限在內(nèi)網(wǎng)使用，這樣最大程度縮小了此前置機(jī)在網(wǎng)絡(luò)中開放的范圍，使安全落到實(shí)處。

除此之外，前置機(jī)還配置了DNS和NTP服務(wù)，DNS用于內(nèi)網(wǎng)服務(wù)器中少量的解析需求，配置其轉(zhuǎn)發(fā)解析請求到外網(wǎng)DNS上，NTP用于內(nèi)網(wǎng)所有服務(wù)端或終端的網(wǎng)絡(luò)校時，尤其對于財務(wù)系統(tǒng)所需記錄的每筆業(yè)務(wù)處理時間特別實(shí)用。

經(jīng)驗(yàn)總結(jié)

安全從來就是相對的，物理隔離的內(nèi)網(wǎng)脫離了各種安全機(jī)制，同樣無法做到安全。我們不僅要在技術(shù)層面阻攔各種安全風(fēng)險，更重要的是從管理制度和使用習(xí)慣層面去規(guī)避低級的安全漏洞。比如，任何一款殺毒軟件都不能查殺所有的病毒，未經(jīng)查殺的文件放置到共享目錄，在另一個網(wǎng)絡(luò)區(qū)域盡管只讀也同樣有機(jī)會引入病毒。因此，安全前置機(jī)的搭建，僅僅提供的是適應(yīng)本案的技術(shù)層面的相對安全，全面的信息化安全需要我們用更多的管理智慧去不斷鞏固。