基于防火墻技術(shù)的網(wǎng)絡(luò)信息安全技術(shù)防護(hù)模式

　　1、基于防火墻的網(wǎng)絡(luò)安全防護(hù)模式構(gòu)建意義

　　隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，以及網(wǎng)絡(luò)規(guī)模的持續(xù)擴(kuò)大，帶來了多樣化的網(wǎng)絡(luò)安全攻擊行為。網(wǎng)絡(luò)安全威脅主要包括人為因素和自然因素兩個方面，人為因素指的是操作不當(dāng)、安全意識差等問題帶來的網(wǎng)絡(luò)安全威脅;自然因素指的是由于受到意外自然災(zāi)害而帶來的網(wǎng)絡(luò)安全威脅。網(wǎng)絡(luò)安全攻擊也分為主動攻擊和被動攻擊兩種，主動攻擊包括非法入侵、惡意連接等;被動攻擊包括網(wǎng)絡(luò)協(xié)議缺失、數(shù)據(jù)信息丟失等。因此，本文基于防火墻技術(shù)提出的網(wǎng)絡(luò)信息安全防護(hù)模式可以降低網(wǎng)絡(luò)安全風(fēng)險、禁止非法攻擊的入侵，同時加強(qiáng)用戶訪問控制，以提高網(wǎng)絡(luò)的安全性和穩(wěn)定性。

　　2、網(wǎng)絡(luò)信息安全面臨的威脅與挑戰(zhàn)

　　2.1 特洛伊木馬攻擊

　　特洛伊木馬可以直接植入到計(jì)算機(jī)終端，對整個網(wǎng)絡(luò)系統(tǒng)進(jìn)行破壞。一般情況下，特洛伊木馬可以偽裝成為用戶運(yùn)行程序和目標(biāo)文件，包括電子郵件附件、游戲運(yùn)行程序等，一旦用戶啟動運(yùn)行程序，特洛伊木馬則會隱藏到系統(tǒng)程序中，當(dāng)用戶與外部網(wǎng)絡(luò)連接時，非法攻擊者可以收到偽裝程序的通知，利用偽裝程序隨意修改計(jì)算機(jī)配置參數(shù)、查看和控制硬盤數(shù)據(jù)等。

　　2.2 電子郵件攻擊

　　電子郵件已經(jīng)成為人們廣泛使用的主流通信方式，發(fā)起電子郵件攻擊的攻擊者經(jīng)常使用CGI 程序或郵件炸彈程序等，向特定目標(biāo)電子郵箱發(fā)送垃圾郵件，最終導(dǎo)致郵箱容量過大而無法正常使用，甚至帶來電子郵件系統(tǒng)的癱瘓。電子郵件攻擊與其他網(wǎng)絡(luò)攻擊方法相比更加簡單、攻擊速度快。

　　2.3 網(wǎng)絡(luò)節(jié)點(diǎn)攻擊

　　當(dāng)外部非法攻擊者突破了一臺計(jì)算機(jī)終端之后，攻擊者可以將其作為基礎(chǔ)對網(wǎng)絡(luò)系統(tǒng)中的其他計(jì)算機(jī)終端發(fā)起攻擊。攻擊手段包括網(wǎng)絡(luò)監(jiān)聽和IP 欺騙兩種，目的都是攻擊其他計(jì)算機(jī)終端。

　　2.4 網(wǎng)絡(luò)監(jiān)聽攻擊

　　在計(jì)算機(jī)終端處于網(wǎng)絡(luò)監(jiān)聽模式下，無論數(shù)據(jù)信息發(fā)送方與接收方物理信道中的全部數(shù)據(jù)信息都可以被獲取。當(dāng)用戶進(jìn)行密碼校驗(yàn)時，如果通信信道沒有采取任何加密措施，攻擊者可以在端間實(shí)現(xiàn)密碼竊取，從而獲得用戶個人信息資源。

　　3、基于防火墻的網(wǎng)絡(luò)安全防護(hù)模式構(gòu)建

　　3.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

　　基于防火墻技術(shù)的網(wǎng)絡(luò)安全防護(hù)模式包括辦公網(wǎng)和生產(chǎn)網(wǎng)兩個組成部分。其中，辦公網(wǎng)負(fù)責(zé)支持企業(yè)日常辦公運(yùn)行，生產(chǎn)網(wǎng)主要為企業(yè)核心業(yè)務(wù)提供服務(wù)，其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1 所示：

　　圖1 中，核心層包括兩臺交換機(jī)，以防火墻模塊作為網(wǎng)絡(luò)安全模塊，負(fù)責(zé)執(zhí)行防火墻相關(guān)功能，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)采用了防火墻和VPN 認(rèn)證雙重防護(hù)措施，辦公用戶模塊與計(jì)算機(jī)終端的連接由交換機(jī)支持。

　　3.2 辦公網(wǎng)安全防護(hù)措施

　　辦公網(wǎng)主要包括四個功能模塊，分別是用戶模塊、核心模塊、DMZ 模塊和Internet 接入模塊，辦公網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖2 所示：

　　圖2 中，核心模塊負(fù)責(zé)與生產(chǎn)網(wǎng)模塊和其他子模塊連接，用戶模塊主要負(fù)責(zé)支持計(jì)算機(jī)終端接入網(wǎng)絡(luò)功能，DMZ 模塊包括對外服務(wù)器，Internet 接入模塊可以提供企業(yè)內(nèi)網(wǎng)與外部網(wǎng)絡(luò)的連接。辦公網(wǎng)采用以上功能模塊劃分結(jié)構(gòu)，可以形成清晰的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，具有良好的安全性和可擴(kuò)展性。

　　3.3 生產(chǎn)網(wǎng)安全防護(hù)措施

　　生產(chǎn)網(wǎng)主要包括四個功能區(qū)域，分別是核心區(qū)、Extranet 區(qū)、生產(chǎn)區(qū)和管理區(qū)，生產(chǎn)網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3 所示：

　　核心區(qū)是生產(chǎn)網(wǎng)的關(guān)鍵組成部分，提供高速率數(shù)據(jù)傳輸和轉(zhuǎn)發(fā)連接等功能。本文提出的基于防火墻技術(shù)的網(wǎng)絡(luò)信息安全防火模式采用三層交換機(jī)架構(gòu)，確保核心區(qū)性能較高，同時避免對數(shù)據(jù)傳輸和處理速度造成影響的訪問列表定義。

　　Extranet 區(qū)負(fù)責(zé)實(shí)現(xiàn)企業(yè)業(yè)務(wù)與外部Internet 網(wǎng)絡(luò)的連接。

　　生產(chǎn)區(qū)的作用是為企業(yè)各種辦公業(yè)務(wù)、日常業(yè)務(wù)服務(wù)器提供網(wǎng)絡(luò)接入服務(wù)。對于不同的網(wǎng)絡(luò)應(yīng)用程序來說，其安全特性和功能特性各不相同，因此，可以根據(jù)實(shí)際業(yè)務(wù)的需求劃分不同類別，包括辦公系統(tǒng)類、日常業(yè)務(wù)類和系統(tǒng)管理類等。管理區(qū)是整個網(wǎng)絡(luò)的核心區(qū)域，負(fù)責(zé)提供IT 服務(wù)，其中，服務(wù)器可以提供多種管理功能。

　　3.4 辦公網(wǎng)和生產(chǎn)網(wǎng)的防火墻部署

　　本文提出的基于防火墻技術(shù)的網(wǎng)絡(luò)信息安全防護(hù)模式在辦公網(wǎng)和生產(chǎn)網(wǎng)之間部署了兩層防火墻，也就是屏蔽子防火墻技術(shù)，辦公網(wǎng)與生產(chǎn)網(wǎng)的防火墻拓?fù)浣Y(jié)構(gòu)如圖4 所示：

　　根據(jù)屏蔽子防火墻的特性來看，由辦公網(wǎng)流入到生產(chǎn)網(wǎng)的數(shù)據(jù)信息會全部被防火墻拒絕，如果需要將辦公網(wǎng)與生產(chǎn)網(wǎng)之間進(jìn)行連接，管理員必須在防火墻部署相應(yīng)策略，指定哪些數(shù)據(jù)信息可以穿越防火墻，防火墻的默認(rèn)設(shè)置是拒絕一切沒有允許通過的網(wǎng)絡(luò)流量。