2、改造氣象網絡隔離技術的方案

安全隔離網閘即GAP技術，是一種通過專用硬件使兩個或者兩個以上的網絡在不連通的情況下，實現安全數據傳輸和資源共享的技術。在網絡中安裝帶有多種控制功能的固態開關讀寫介質連接兩個獨立主機系統的信息安全設備，使得兩個網絡在不連通的情況下進行網絡數據傳輸和資源共享，使用高速安全隔離電子開關，只支持單向網絡連接，保證內外網在物理鏈路層上是完全斷開的，不存在通信上的物理連接、邏輯連接、信息傳輸命令、信息傳輸協議，不存在依據協議的信息包轉發，只有數據文件的無協議“擺渡”，且對固態存儲介質只有“讀”和“寫”兩個命令。該方案實現在保持內外網絡物理隔離的前提下，進行適度的、可控的內外網絡的數據交換；增加了網絡狀態檢測等功能；同時只需要一套布線即可解決網絡連接問題，能夠適應氣象網絡的發展需求。

安全隔離網閘方案作為氣象網絡的隔離方案，需要對原有的網絡稍做調整。根據氣象業務實際需求的劃分，把用于處理氣象業務的計算機歸在內網中，辦公使用的計算機放在外網中。這樣劃分的好處是外網用戶不需要換線就可以訪問內網，但必須經過安全隔離網閘“擺渡”到內網，從安全角度來說，多了一道檢測防線；內網用戶也可以經過安全網閘，訪問外網。通過安全網閘不僅實現了內外網的物理隔離，還能滿足內外網之間進行實時的、適度的、可控的內外網絡的數據交換和應用服務，比如：電子文件交換、數據庫的數據交換、網站的數據更新、HTTP/HTTPS標準訪問、資料下載處理等。

把安全隔離網閘設備放在內網交換機和外網交換機中間，取消原局域網的兩條網絡線接入，對于業務中使用的機器，就直接接在內網交換機上，需要與外界溝通的計算機就接在外網交換機上，兩個網絡通過網閘可以相互訪問，比起原來兩套布線方案可以節省一半的智能布線接口。具體的網絡拓撲圖如圖一所示：

安全隔離網閘的配置比較簡單，根據實際業務需要，只要在內外網中進行文件共享、TCP傳輸、NOTES郵件、數據庫等相應的模塊配置即可。但在配置之前要合理規劃，為了避免網絡改造后修改計算機的網絡和程序配置，整理內、外網用戶所需互相訪的地址，并綁定到網閘對應的外、內網絡端口。涉及跨網段訪問時，在綁定地址后，需要調整網絡路由配置，將訪問路由指向網閘。例如，為實現市局（172.21.136.*網段）訪問省局某服務器172.42.129.3，需要在外網路由器上添加一條路由指令：ip route 172.42.129.3 255.255.255.255 172.21.136.16指向網閘。這樣，在完成后所有計算機用戶在內外網訪問時，不需要做任何修改及可實現。

3、網閘隔離方案的優勢

采用基于安全網閘的隔離方案對氣象網絡進行改造，可以看出用戶在操作上比以前的雙布線隔離方法更加簡單方便，無須再手工更換內外網線、網關。技術安全上又增加了這幾方面的優勢：

（1）網絡狀態檢測功能，可以判斷用戶是否處在安全狀態，并進行相應的處理；
（2）訪問身份驗證功能，通過驗證機制，防止非法用戶通過客戶端進入內網；
（3）提供訪問日志，使網管對用戶的訪問有記錄可查，在這基礎上對用戶日志進行監督，及時發現隱患。

4、小結

本文分析了氣象網絡自身的特點，把安全隔離網閘應用于氣象網絡。經實踐分析發現，該方案能很好的解決網絡隔離與信息實時交換的問題。但是，解決網絡間數據交換的安全問題是一個系統工程，安全隔離網閘只是一個擔負重要任務的關鍵設備。作為數據安全交換的解決方案，網閘也不是萬能的，還需要先進的技術和管理經驗。不過與傳統的物理隔離方案相比，網閘具有不可比擬的優越性，有一定的應用前景。