基于防火墻技術(shù)的網(wǎng)絡(luò)信息安全技術(shù)防護(hù)模式
1、基于防火墻的網(wǎng)絡(luò)安全防護(hù)模式構(gòu)建意義
隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,以及網(wǎng)絡(luò)規(guī)模的持續(xù)擴(kuò)大,帶來(lái)了多樣化的網(wǎng)絡(luò)安全攻擊行為。網(wǎng)絡(luò)安全威脅主要包括人為因素和自然因素兩個(gè)方面,人為因素指的是操作不當(dāng)、安全意識(shí)差等問(wèn)題帶來(lái)的網(wǎng)絡(luò)安全威脅;自然因素指的是由于受到意外自然災(zāi)害而帶來(lái)的網(wǎng)絡(luò)安全威脅。網(wǎng)絡(luò)安全攻擊也分為主動(dòng)攻擊和被動(dòng)攻擊兩種,主動(dòng)攻擊包括非法入侵、惡意連接等;被動(dòng)攻擊包括網(wǎng)絡(luò)協(xié)議缺失、數(shù)據(jù)信息丟失等。因此,本文基于防火墻技術(shù)提出的網(wǎng)絡(luò)信息安全防護(hù)模式可以降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、禁止非法攻擊的入侵,同時(shí)加強(qiáng)用戶訪問(wèn)控制,以提高網(wǎng)絡(luò)的安全性和穩(wěn)定性。
2、網(wǎng)絡(luò)信息安全面臨的威脅與挑戰(zhàn)
2.1 特洛伊木馬攻擊
特洛伊木馬可以直接植入到計(jì)算機(jī)終端,對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行破壞。一般情況下,特洛伊木馬可以偽裝成為用戶運(yùn)行程序和目標(biāo)文件,包括電子郵件附件、游戲運(yùn)行程序等,一旦用戶啟動(dòng)運(yùn)行程序,特洛伊木馬則會(huì)隱藏到系統(tǒng)程序中,當(dāng)用戶與外部網(wǎng)絡(luò)連接時(shí),非法攻擊者可以收到偽裝程序的通知,利用偽裝程序隨意修改計(jì)算機(jī)配置參數(shù)、查看和控制硬盤數(shù)據(jù)等。
2.2 電子郵件攻擊
電子郵件已經(jīng)成為人們廣泛使用的主流通信方式,發(fā)起電子郵件攻擊的攻擊者經(jīng)常使用CGI 程序或郵件炸彈程序等,向特定目標(biāo)電子郵箱發(fā)送垃圾郵件,最終導(dǎo)致郵箱容量過(guò)大而無(wú)法正常使用,甚至帶來(lái)電子郵件系統(tǒng)的癱瘓。電子郵件攻擊與其他網(wǎng)絡(luò)攻擊方法相比更加簡(jiǎn)單、攻擊速度快。
2.3 網(wǎng)絡(luò)節(jié)點(diǎn)攻擊
當(dāng)外部非法攻擊者突破了一臺(tái)計(jì)算機(jī)終端之后,攻擊者可以將其作為基礎(chǔ)對(duì)網(wǎng)絡(luò)系統(tǒng)中的其他計(jì)算機(jī)終端發(fā)起攻擊。攻擊手段包括網(wǎng)絡(luò)監(jiān)聽和IP 欺騙兩種,目的都是攻擊其他計(jì)算機(jī)終端。
2.4 網(wǎng)絡(luò)監(jiān)聽攻擊
在計(jì)算機(jī)終端處于網(wǎng)絡(luò)監(jiān)聽模式下,無(wú)論數(shù)據(jù)信息發(fā)送方與接收方物理信道中的全部數(shù)據(jù)信息都可以被獲取。當(dāng)用戶進(jìn)行密碼校驗(yàn)時(shí),如果通信信道沒有采取任何加密措施,攻擊者可以在端間實(shí)現(xiàn)密碼竊取,從而獲得用戶個(gè)人信息資源。
3、基于防火墻的網(wǎng)絡(luò)安全防護(hù)模式構(gòu)建
3.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)
基于防火墻技術(shù)的網(wǎng)絡(luò)安全防護(hù)模式包括辦公網(wǎng)和生產(chǎn)網(wǎng)兩個(gè)組成部分。其中,辦公網(wǎng)負(fù)責(zé)支持企業(yè)日常辦公運(yùn)行,生產(chǎn)網(wǎng)主要為企業(yè)核心業(yè)務(wù)提供服務(wù),其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1 所示:
圖1 中,核心層包括兩臺(tái)交換機(jī),以防火墻模塊作為網(wǎng)絡(luò)安全模塊,負(fù)責(zé)執(zhí)行防火墻相關(guān)功能,網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)采用了防火墻和VPN 認(rèn)證雙重防護(hù)措施,辦公用戶模塊與計(jì)算機(jī)終端的連接由交換機(jī)支持。
3.2 辦公網(wǎng)安全防護(hù)措施
辦公網(wǎng)主要包括四個(gè)功能模塊,分別是用戶模塊、核心模塊、DMZ 模塊和Internet 接入模塊,辦公網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖2 所示:
圖2 中,核心模塊負(fù)責(zé)與生產(chǎn)網(wǎng)模塊和其他子模塊連接,用戶模塊主要負(fù)責(zé)支持計(jì)算機(jī)終端接入網(wǎng)絡(luò)功能,DMZ 模塊包括對(duì)外服務(wù)器,Internet 接入模塊可以提供企業(yè)內(nèi)網(wǎng)與外部網(wǎng)絡(luò)的連接。辦公網(wǎng)采用以上功能模塊劃分結(jié)構(gòu),可以形成清晰的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),具有良好的安全性和可擴(kuò)展性。
3.3 生產(chǎn)網(wǎng)安全防護(hù)措施
生產(chǎn)網(wǎng)主要包括四個(gè)功能區(qū)域,分別是核心區(qū)、Extranet 區(qū)、生產(chǎn)區(qū)和管理區(qū),生產(chǎn)網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3 所示:
核心區(qū)是生產(chǎn)網(wǎng)的關(guān)鍵組成部分,提供高速率數(shù)據(jù)傳輸和轉(zhuǎn)發(fā)連接等功能。本文提出的基于防火墻技術(shù)的網(wǎng)絡(luò)信息安全防火模式采用三層交換機(jī)架構(gòu),確保核心區(qū)性能較高,同時(shí)避免對(duì)數(shù)據(jù)傳輸和處理速度造成影響的訪問(wèn)列表定義。
Extranet 區(qū)負(fù)責(zé)實(shí)現(xiàn)企業(yè)業(yè)務(wù)與外部Internet 網(wǎng)絡(luò)的連接。
生產(chǎn)區(qū)的作用是為企業(yè)各種辦公業(yè)務(wù)、日常業(yè)務(wù)服務(wù)器提供網(wǎng)絡(luò)接入服務(wù)。對(duì)于不同的網(wǎng)絡(luò)應(yīng)用程序來(lái)說(shuō),其安全特性和功能特性各不相同,因此,可以根據(jù)實(shí)際業(yè)務(wù)的需求劃分不同類別,包括辦公系統(tǒng)類、日常業(yè)務(wù)類和系統(tǒng)管理類等。管理區(qū)是整個(gè)網(wǎng)絡(luò)的核心區(qū)域,負(fù)責(zé)提供IT 服務(wù),其中,服務(wù)器可以提供多種管理功能。
3.4 辦公網(wǎng)和生產(chǎn)網(wǎng)的防火墻部署
本文提出的基于防火墻技術(shù)的網(wǎng)絡(luò)信息安全防護(hù)模式在辦公網(wǎng)和生產(chǎn)網(wǎng)之間部署了兩層防火墻,也就是屏蔽子防火墻技術(shù),辦公網(wǎng)與生產(chǎn)網(wǎng)的防火墻拓?fù)浣Y(jié)構(gòu)如圖4 所示:
根據(jù)屏蔽子防火墻的特性來(lái)看,由辦公網(wǎng)流入到生產(chǎn)網(wǎng)的數(shù)據(jù)信息會(huì)全部被防火墻拒絕,如果需要將辦公網(wǎng)與生產(chǎn)網(wǎng)之間進(jìn)行連接,管理員必須在防火墻部署相應(yīng)策略,指定哪些數(shù)據(jù)信息可以穿越防火墻,防火墻的默認(rèn)設(shè)置是拒絕一切沒有允許通過(guò)的網(wǎng)絡(luò)流量。
評(píng)論