淺談防火墻技術(shù)在氣象信息網(wǎng)絡(luò)中的應(yīng)用

摘要：本文以網(wǎng)絡(luò)安全設(shè)備在市氣象局局域網(wǎng)中的應(yīng)用為例，介紹了防火墻技術(shù)原理，闡述了如何利用硬件防火墻技術(shù)實(shí)現(xiàn)氣象信息網(wǎng)絡(luò)與電子政務(wù)外網(wǎng)的互通，從而提高氣象信息網(wǎng)絡(luò)的安全性、穩(wěn)定性、實(shí)用性。

關(guān)鍵詞：局域網(wǎng);電子政務(wù)外網(wǎng);防火墻技術(shù);穩(wěn)定性

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2020）27-0061-02

開放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

電子政務(wù)網(wǎng)是各級(jí)政府為了加強(qiáng)信息化建設(shè)，通過互聯(lián)網(wǎng)專線的方式把下屬委、辦、局以及下一級(jí)政府單位的局域網(wǎng)進(jìn)行互聯(lián)的網(wǎng)絡(luò)。為了讓外單位用戶通過電子政務(wù)外網(wǎng)訪問登陸國家突發(fā)事件預(yù)警信息發(fā)布系統(tǒng)地市級(jí)管理平臺(tái)并發(fā)布預(yù)警信息，利用防火墻技術(shù)在氣象局本局域網(wǎng)與外單位互聯(lián)的出口上部署一臺(tái)天清漢馬USG防火墻，通過對(duì)天清漢馬防火墻安全策略，網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）等相關(guān)配置，防止來自其他單位的入侵攻擊等威脅，從而實(shí)現(xiàn)氣象信息網(wǎng)絡(luò)與電子政務(wù)外網(wǎng)的互通，提高氣象信息網(wǎng)的實(shí)用性和安全性。

1 防火墻技術(shù)原理

1.1什么是防火墻

“防火墻技術(shù)”是指一種將單位內(nèi)部局域網(wǎng)和外部互聯(lián)網(wǎng)或?qū)＞W(wǎng)邏輯上分開的現(xiàn)代網(wǎng)絡(luò)通信隔離技術(shù)，通過網(wǎng)絡(luò)安全設(shè)備，實(shí)現(xiàn)隔離有害通信，阻斷網(wǎng)絡(luò)攻擊的一種應(yīng)用性安全技術(shù)，大多數(shù)應(yīng)用于局域網(wǎng)與其他外部網(wǎng)的互聯(lián)環(huán)境之中。通過在計(jì)算機(jī)信息網(wǎng)絡(luò)中應(yīng)用防火墻技術(shù)，優(yōu)化防火墻設(shè)置，充分發(fā)揮防火墻技術(shù)的優(yōu)勢(shì)特點(diǎn)，確保信息網(wǎng)絡(luò)的安全性。通過防火墻技術(shù)的運(yùn)用，可以隔絕那些外部危險(xiǎn)的連接和攻擊行為，從而使本單位內(nèi)部網(wǎng)絡(luò)的整體風(fēng)險(xiǎn)降低。

防火墻是一種最重要的網(wǎng)絡(luò)防護(hù)設(shè)備。在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間設(shè)置的一系列部件的組合，在這些網(wǎng)絡(luò)之間實(shí)施訪問控制的一組組件集合就是防火墻。防火墻較強(qiáng)的抗攻擊能力，能提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，它能允許你“同意”的用戶和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)也能把你的用戶和數(shù)據(jù)拒之門外，根據(jù)單位的部署安全控制策略（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，最大限度地阻止攻擊你的網(wǎng)絡(luò)中的黑客。所以在邏輯上，防火墻就是一個(gè)網(wǎng)絡(luò)訪問控制器，內(nèi)部網(wǎng)和外部網(wǎng)之間的任何活動(dòng)能有效地被實(shí)時(shí)監(jiān)控，從而保證內(nèi)部網(wǎng)絡(luò)的安全性。

1.2 防火墻的主要功能

防火墻的基本功能是防止未授權(quán)的訪問進(jìn)出計(jì)算機(jī)網(wǎng)絡(luò)，篩選屏蔽通信網(wǎng)絡(luò)，簡(jiǎn)單的概括就是，對(duì)外部網(wǎng)絡(luò)訪問行為進(jìn)行防御控制。它將計(jì)算機(jī)的硬件和軟件相結(jié)合，在不同網(wǎng)絡(luò)之間建立起一個(gè)安全網(wǎng)關(guān)，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的入侵和惡意攻擊。

（1）網(wǎng)絡(luò)安全的屏障

防火墻能極大地提高電腦網(wǎng)絡(luò)的安全性，一些不安全的網(wǎng)絡(luò)訪問被過濾攔截，從而提高電腦的安全性。一些不被允許通過的用戶和服務(wù)會(huì)被它阻止，這樣內(nèi)部網(wǎng)絡(luò)環(huán)境就會(huì)變得更加安全。

（2）強(qiáng)化網(wǎng)絡(luò)安全策略

通過以防火墻為中心的安全配置方案，能在防火墻上配置所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）。和將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。各種安全措施通過防火墻的有機(jī)結(jié)合，對(duì)網(wǎng)絡(luò)安全性能起到有效加強(qiáng)作用。

（3）審計(jì)網(wǎng)絡(luò)訪問

防火墻是外部網(wǎng)絡(luò)和受保護(hù)網(wǎng)絡(luò)之間的唯一通道，可以監(jiān)控審計(jì)內(nèi)、外部網(wǎng)絡(luò)存取和訪問。只要有訪問行為經(jīng)過防火墻，那么它就能記錄下這些訪問并進(jìn)行日志記錄。根據(jù)防火墻的日志可以掌握網(wǎng)絡(luò)的使用情況，這就為網(wǎng)絡(luò)管理人員提供非常重要的安全管理信息。

2 防火墻技術(shù)在氣象信息網(wǎng)中的應(yīng)用

國家突發(fā)事件預(yù)警信息發(fā)布系統(tǒng)地市級(jí)管理平臺(tái)主要分為國家突發(fā)公共事件預(yù)警信息監(jiān)控平臺(tái)及發(fā)布平臺(tái)兩個(gè)部分，分別有兩個(gè)服務(wù)器（A01和B01）運(yùn)行維護(hù)。通過電子政務(wù)外網(wǎng)的接人和天清漢USG馬防火墻的部署，實(shí)現(xiàn)外單位用戶訪問國家突發(fā)事件預(yù)警信息發(fā)布系統(tǒng)的發(fā)布平臺(tái)（BOI）并發(fā)布預(yù)警信息。

2.1 防火墻的部署

USG防火墻實(shí)現(xiàn)局域網(wǎng)與電子政務(wù)外網(wǎng)邏輯隔離，并在防火墻下劃分出電子政務(wù)外網(wǎng)區(qū)，用于部署政務(wù)外網(wǎng)區(qū)服務(wù)器，為地市電子政務(wù)外網(wǎng)提供信息發(fā)布系統(tǒng)的人機(jī)交互服務(wù)。防火墻內(nèi)網(wǎng)口連接至氣象局局域網(wǎng)核心交換機(jī)，外網(wǎng)口連接至電子政務(wù)外網(wǎng)接入線路。為防火墻內(nèi)網(wǎng)口分配內(nèi)網(wǎng)IP地址172.18.122.29;外網(wǎng)口IP地址采用政府電子政務(wù)外網(wǎng)接人管理部門所分配的電子政務(wù)外網(wǎng)地址10.25.144.5。因電子政務(wù)外網(wǎng)所部署服務(wù)器需提供地市級(jí)政府部門訪問，還需為其分配一個(gè)電子政務(wù)外網(wǎng)的地址段，由防火墻將國突服務(wù)器BOI實(shí)地址（172.18.122.122）翻譯為電子政務(wù)外網(wǎng)地址后提供訪問服務(wù)，下面是烏蘭察布市氣象局內(nèi)部局域網(wǎng)與電子政務(wù)外網(wǎng)連接的網(wǎng)絡(luò)拓?fù)鋱D：

2.2 防火墻的配置

（1）端口配置

Web方式登陸天清漢馬USG防火墻，對(duì)連接防火墻的電子政務(wù)外網(wǎng)的端口eth3配置IP地址和子網(wǎng)掩碼10.25 .144.5/24，為了防止外部用戶遠(yuǎn)程登錄防火墻行為，eth3端口只開啟http和ping訪問方式，連接內(nèi)網(wǎng)核心路由器的端口ethl配置IP地址和子網(wǎng)掩碼172.18.122.29/24，此端口開啟http .telnet、ping.ssh、集中監(jiān)控訪問方式。

（2）NAT轉(zhuǎn)換

源地址的NAT轉(zhuǎn)換：氣象局域網(wǎng)內(nèi)用戶通過端口eth3訪問政務(wù)外網(wǎng)本市各委辦局網(wǎng)絡(luò)地址時(shí)，將內(nèi)網(wǎng)源地址172.18.0.0轉(zhuǎn)換成目標(biāo)地址any，對(duì)于政務(wù)外網(wǎng).訪問全部來自經(jīng)過防火墻轉(zhuǎn)換后的地址，并不認(rèn)為是來自內(nèi)網(wǎng)的某個(gè)地址，可以隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，減少對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊。

目的地址的NAT轉(zhuǎn)換：本市各委辦局訪問氣象局域網(wǎng)內(nèi)國家突發(fā)事件預(yù)警信息發(fā)布系統(tǒng)即國突服務(wù)器B01向外部提供服務(wù)時(shí)，將外部源地址any映射成目的地址172.18.122.122，這樣能有效隱藏內(nèi)部服務(wù)器BOI的信息，保護(hù)服務(wù)器不被攻擊。

（3）配置安全策略

根據(jù)氣象內(nèi)網(wǎng)與電子政務(wù)外網(wǎng)互通的兩種訪問要求，建立兩種允許的安全策略動(dòng)作，一是內(nèi)網(wǎng)用戶訪問政務(wù)外網(wǎng)時(shí)即ethl→eth3，源地址和目的地址可以是上面NAT轉(zhuǎn)換設(shè)置的任何地址;二是政務(wù)外網(wǎng)用戶訪問氣象內(nèi)網(wǎng)時(shí)即eth3→ethl，源地址可以是NAT轉(zhuǎn)換的任何地址，而目的地址只能是國突服務(wù)器BOI的地址172.18.122.122。

（4）路由表配置

在路由表中添加靜態(tài)路由目的地址0.0.0.0下一跳為電子政務(wù)外網(wǎng)路由器的地址10.25.144.254，直連路由目的地址10.25.144.0通過出接口eth3、目的地址172.18.122.0通過出接口ethl。 通過上訴防火墻的配置步驟完成對(duì)氣象局內(nèi)網(wǎng)和電子政務(wù)外網(wǎng)的互通，這樣氣象局內(nèi)部用戶訪問國家突發(fā)事件預(yù)警信息發(fā)布系統(tǒng)平臺(tái)發(fā)布預(yù)警信息時(shí)，登錄內(nèi)網(wǎng)網(wǎng)址http：//172.18.122.122：8080/AMP，電子政務(wù)外網(wǎng)用戶訪問國家突發(fā)事件預(yù)警信息發(fā)布系統(tǒng)平臺(tái)時(shí)，則通過登陸防火墻映射好的網(wǎng)址http：//10.25.144.5：8080/AMP發(fā)布預(yù)警信息。

3 結(jié)束語

通過防火墻技術(shù)在氣象信息網(wǎng)中的應(yīng)用，烏蘭察布市氣象局已通過電子政務(wù)網(wǎng)和外部單位成功對(duì)接，目前市環(huán)保局與應(yīng)急管理局已成功登陸國家突發(fā)事件預(yù)警信息發(fā)布系統(tǒng)平臺(tái)（國突內(nèi)網(wǎng)服務(wù)器BOI）發(fā)布預(yù)警信息，從中看出防火墻在實(shí)現(xiàn)氣象局域網(wǎng)與電子政務(wù)外網(wǎng)的互通中起到了至關(guān)重要的作用，也保障了市氣象信息網(wǎng)絡(luò)能夠安全穩(wěn)定的運(yùn)行。

參考文獻(xiàn)：

[1]陸玉陽，王海云.防火墻在企業(yè)網(wǎng)絡(luò)中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（5）：127-128.

[2]楊東曉，張鋒，熊瑛.防火墻技術(shù)及應(yīng)用[M].北京：清華大學(xué)出版社，2019.

[3]駱兵.計(jì)算機(jī)網(wǎng)絡(luò)信息安全中防火墻技術(shù)的有效運(yùn)用分析[J].信息與電腦，2016（6）.

【通聯(lián)編輯：梁書】

作者簡(jiǎn)介：白艷萍（1981-），烏蘭察布市氣象局工作，工程師，從事信息網(wǎng)絡(luò)管理工作。