基于防火墻技術(shù)的網(wǎng)絡(luò )信息安全技術(shù)防護模式

　　1、基于防火墻的網(wǎng)絡(luò )安全防護模式構建意義

　　隨著(zhù)網(wǎng)絡(luò )技術(shù)的飛速發(fā)展，以及網(wǎng)絡(luò )規模的持續擴大，帶來(lái)了多樣化的網(wǎng)絡(luò )安全攻擊行為。網(wǎng)絡(luò )安全威脅主要包括人為因素和自然因素兩個(gè)方面，人為因素指的是操作不當、安全意識差等問(wèn)題帶來(lái)的網(wǎng)絡(luò )安全威脅;自然因素指的是由于受到意外自然災害而帶來(lái)的網(wǎng)絡(luò )安全威脅。網(wǎng)絡(luò )安全攻擊也分為主動(dòng)攻擊和被動(dòng)攻擊兩種，主動(dòng)攻擊包括非法入侵、惡意連接等;被動(dòng)攻擊包括網(wǎng)絡(luò )協(xié)議缺失、數據信息丟失等。因此，本文基于防火墻技術(shù)提出的網(wǎng)絡(luò )信息安全防護模式可以降低網(wǎng)絡(luò )安全風(fēng)險、禁止非法攻擊的入侵，同時(shí)加強用戶(hù)訪(fǎng)問(wèn)控制，以提高網(wǎng)絡(luò )的安全性和穩定性。

　　2、網(wǎng)絡(luò )信息安全面臨的威脅與挑戰

　　2.1 特洛伊木馬攻擊

　　特洛伊木馬可以直接植入到計算機終端，對整個(gè)網(wǎng)絡(luò )系統進(jìn)行破壞。一般情況下，特洛伊木馬可以偽裝成為用戶(hù)運行程序和目標文件，包括電子郵件附件、游戲運行程序等，一旦用戶(hù)啟動(dòng)運行程序，特洛伊木馬則會(huì )隱藏到系統程序中，當用戶(hù)與外部網(wǎng)絡(luò )連接時(shí)，非法攻擊者可以收到偽裝程序的通知，利用偽裝程序隨意修改計算機配置參數、查看和控制硬盤(pán)數據等。

　　2.2 電子郵件攻擊

　　電子郵件已經(jīng)成為人們廣泛使用的主流通信方式，發(fā)起電子郵件攻擊的攻擊者經(jīng)常使用CGI 程序或郵件炸彈程序等，向特定目標電子郵箱發(fā)送垃圾郵件，最終導致郵箱容量過(guò)大而無(wú)法正常使用，甚至帶來(lái)電子郵件系統的癱瘓。電子郵件攻擊與其他網(wǎng)絡(luò )攻擊方法相比更加簡(jiǎn)單、攻擊速度快。

　　2.3 網(wǎng)絡(luò )節點(diǎn)攻擊

　　當外部非法攻擊者突破了一臺計算機終端之后，攻擊者可以將其作為基礎對網(wǎng)絡(luò )系統中的其他計算機終端發(fā)起攻擊。攻擊手段包括網(wǎng)絡(luò )監聽(tīng)和IP 欺騙兩種，目的都是攻擊其他計算機終端。

　　2.4 網(wǎng)絡(luò )監聽(tīng)攻擊

　　在計算機終端處于網(wǎng)絡(luò )監聽(tīng)模式下，無(wú)論數據信息發(fā)送方與接收方物理信道中的全部數據信息都可以被獲取。當用戶(hù)進(jìn)行密碼校驗時(shí)，如果通信信道沒(méi)有采取任何加密措施，攻擊者可以在端間實(shí)現密碼竊取，從而獲得用戶(hù)個(gè)人信息資源。

　　3、基于防火墻的網(wǎng)絡(luò )安全防護模式構建

　　3.1 網(wǎng)絡(luò )拓撲結構

　　基于防火墻技術(shù)的網(wǎng)絡(luò )安全防護模式包括辦公網(wǎng)和生產(chǎn)網(wǎng)兩個(gè)組成部分。其中，辦公網(wǎng)負責支持企業(yè)日常辦公運行，生產(chǎn)網(wǎng)主要為企業(yè)核心業(yè)務(wù)提供服務(wù)，其網(wǎng)絡(luò )拓撲結構如圖1 所示：

　　圖1 中，核心層包括兩臺交換機，以防火墻模塊作為網(wǎng)絡(luò )安全模塊，負責執行防火墻相關(guān)功能，網(wǎng)絡(luò )拓撲結構采用了防火墻和VPN 認證雙重防護措施，辦公用戶(hù)模塊與計算機終端的連接由交換機支持。

　　3.2 辦公網(wǎng)安全防護措施

　　辦公網(wǎng)主要包括四個(gè)功能模塊，分別是用戶(hù)模塊、核心模塊、DMZ 模塊和Internet 接入模塊，辦公網(wǎng)網(wǎng)絡(luò )拓撲結構如圖2 所示：

　　圖2 中，核心模塊負責與生產(chǎn)網(wǎng)模塊和其他子模塊連接，用戶(hù)模塊主要負責支持計算機終端接入網(wǎng)絡(luò )功能，DMZ 模塊包括對外服務(wù)器，Internet 接入模塊可以提供企業(yè)內網(wǎng)與外部網(wǎng)絡(luò )的連接。辦公網(wǎng)采用以上功能模塊劃分結構，可以形成清晰的網(wǎng)絡(luò )拓撲結構，具有良好的安全性和可擴展性。

　　3.3 生產(chǎn)網(wǎng)安全防護措施

　　生產(chǎn)網(wǎng)主要包括四個(gè)功能區域，分別是核心區、Extranet 區、生產(chǎn)區和管理區，生產(chǎn)網(wǎng)網(wǎng)絡(luò )拓撲結構如圖3 所示：

　　核心區是生產(chǎn)網(wǎng)的關(guān)鍵組成部分，提供高速率數據傳輸和轉發(fā)連接等功能。本文提出的基于防火墻技術(shù)的網(wǎng)絡(luò )信息安全防火模式采用三層交換機架構，確保核心區性能較高，同時(shí)避免對數據傳輸和處理速度造成影響的訪(fǎng)問(wèn)列表定義。

　　Extranet 區負責實(shí)現企業(yè)業(yè)務(wù)與外部Internet 網(wǎng)絡(luò )的連接。

　　生產(chǎn)區的作用是為企業(yè)各種辦公業(yè)務(wù)、日常業(yè)務(wù)服務(wù)器提供網(wǎng)絡(luò )接入服務(wù)。對于不同的網(wǎng)絡(luò )應用程序來(lái)說(shuō)，其安全特性和功能特性各不相同，因此，可以根據實(shí)際業(yè)務(wù)的需求劃分不同類(lèi)別，包括辦公系統類(lèi)、日常業(yè)務(wù)類(lèi)和系統管理類(lèi)等。管理區是整個(gè)網(wǎng)絡(luò )的核心區域，負責提供IT 服務(wù)，其中，服務(wù)器可以提供多種管理功能。

　　3.4 辦公網(wǎng)和生產(chǎn)網(wǎng)的防火墻部署

　　本文提出的基于防火墻技術(shù)的網(wǎng)絡(luò )信息安全防護模式在辦公網(wǎng)和生產(chǎn)網(wǎng)之間部署了兩層防火墻，也就是屏蔽子防火墻技術(shù)，辦公網(wǎng)與生產(chǎn)網(wǎng)的防火墻拓撲結構如圖4 所示：

　　根據屏蔽子防火墻的特性來(lái)看，由辦公網(wǎng)流入到生產(chǎn)網(wǎng)的數據信息會(huì )全部被防火墻拒絕，如果需要將辦公網(wǎng)與生產(chǎn)網(wǎng)之間進(jìn)行連接，管理員必須在防火墻部署相應策略，指定哪些數據信息可以穿越防火墻，防火墻的默認設置是拒絕一切沒(méi)有允許通過(guò)的網(wǎng)絡(luò )流量。