论文部分内容阅读
摘 要:通过网络防火墙在地市级气象信息网络构架中的应用实例,介绍了如何利用网络防火墙技术加强气象信息网络之间、气象信息网络与公共网络之间的安全互通,以提高气象信息网络的安全性,保证气象信息网络的稳定运行。
关键词:气象信息;防火墙技术;安全互通
中图分类号:TP311.52
随着计算机网络技术和应用的迅猛发展,湖北省地市级气象网络系统呈现出多样性、复杂性、开放性、分散性等特点,使气象信息网络存在很多安全隐患。为了保证气象信息传输和处理的高可靠性和高安全性,应用重要的网络安全设备(防火墙设备)来加强气象信息网络安全是一个行之有效方案。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。
1 防火墙的功能与应用架构
防火墙是设置在不同网络(如Internet和内部网)之间的部件,是不同网络之间信息的安全出入口,用户可以根据安全需要设定安全规则,并通过防火墙来实现安全规划以控制出入网络的信息流。它是提供信息安全服务,实现网络和信息安全的基础设施。
以湖北省地市气象信息网络系统中应用的北京天融信公司的网络卫士防火墙为实例,介绍防火墙的基本配置,该产品采用了目前流行的多种网络安全机制,如多端口结构、NAT、端口和地址映射、用户认证、过滤策略、应用程序识别、入侵防御、VPN接入等等。本实际案例仅介绍多端口结构、NAT、端口和地址映射等应用。
防火墙将业务网络划分为局域网、DMZ区、电子政务外网三个分区,三个分区之间需实施严格的访问控制,同时为满足系统通信需要,需开通相关访问权限。
2 防火墙的应用配置
该防火墙的基本配置有两种方式,即串口管理和Web管理;串口管理可完成最基本的接口、路由等配置任务;Web管理是利用防火墙提供的WEB服务方式来配置访问规则、安全政策等,天融信防火墙的默认管理地址为https://192.168.1.254。
2.1 业务应用策略要求
应用策略要求描述如下:
防火墙共使用三个接口分别连接局域网(内网口)、电子政务外网(外网口)、DMZ区,其中防火墙内网口、DMZ区默认安全策略必须配置为禁止;服务器A01(局域网)要求能够主动访问服务器B01(DMZ区)进行通信;预警发布用户A02(局域网)要求能够对服务器B01(DMZ区)进行系统登录。市政务用户A03(局域网内)要求能够对市政务服务器C01(电子政务外网)进行系统登录;服务器B01(DMZ区)要求能与NTP服务器D01进行NTP校时服务;市预警发布用户C02(市级电子政务外网)要求能访问服务器B01(DMZ区);VPN发布用户E01(基于INTERNET)要求能访问服务器B01(DMZ区))。
总的业务应用策略整理如表1实例应用策略要求表
表1
2.2 防火墙资源管理
在网络卫士防火墙中,用户可定义的资源的类型包括:地址资源、属性资源、区域资源、时间资源、服务资源等。地址资源:包括主机资源、地址范围资源、子网资源和地址组。根据业务实际的逻辑要求,对防火墙资源进行初始化设置。
其中地址管理中的主机资源主要定义了服务器A01、服务器B01、Dnat_Map、NTP服务器D01、市政务服务器C01等等,具体设置为:1)主机资源设置:服务器A01(172.20.X..X);服务器B01(192.168.2.X);Dnat_Map(A1.B1.C1.62);NTP服务器D01(10.104.2.X);市政务服务器C01(A1.B1.C1.195)。(为了安全,IP地址作了相关处理)2)地址管理中的地址范围资源主要定义了市政务用户A03群和Any用户群,具体设置:Any(起始地址:0.0.0.0;终止地址:255.255.255.255);市政务用户A03(起始地址:172.20.26.X;终止地址:172.20.26.Y)。3)地址管理中的子网资源设置主要定义了局域网(设置值为:IP地址:172.20.X.0)和VPN客户(设置值为:IP地址:172.20.Y.0)等网段。
在服务管理的自定义服务中将端口Port01-04组中的所有业务需要端口进行了定义,再通过服务管理的服务组管理功能将定义的各端口划分Ca服务、应用服务、业务服务三个端口组,便于在策略应用中引用。
另外还在区域定义中,定义了area_eth0、area_政务外网、area_ DMZ、area_局域网四个区域,并绑定防火墙对应的eth端口(每个eth端口对应不同的子网地址),且权限为允许,便于在策略应用和地址转换中引用。
2.3 防火墙配置安全策略
在各类资源定义完毕后,根据应用策略要求(如2.1业务应用策略要求),通过防火墙的访问控制功能对应用策略进行了设置。其中策略ID(8097)完成策略号为6的策略,策略ID(8102)完成策略号为4的策略,策略ID(8103)完成策略号为1的策略,策略ID(8104)完成策略号为2的策略,策略ID(8108)为默认的安全禁止策略;策略ID(8107)完成策略号为3的策略等等,其它不一一阐述了。
2.4 防火墙地址转换配置
为了实现市政务用户A03(局域网内)对市政务服务器C01(电子政务外网)的访问和市预警发布用户C02(市级电子政务外网)对服务器B01(DMZ区)的访问。在资源定义的基础上,通过地址转换的目的转换完成市预警发布用户C02对服务器B01的访问(“类型”为目的转换;“源”为区域:area_政务外网,“目的”为地址:dnat_map,“服务”为业务服务,“转换”为目的:服务器B01),通过地址转换的源转换实现市政务用户A03对市政务服务器C01的访问(“类型”为源转换;“源”为区域:area_局域网,“目的”为区域:area_政务外网,转换”为源:dnat_map)。
2.5 路由设置
为了保证该应用实例网络的互连互通,还需参照防火墙在市气象信息网络中的结构图中所示的路由表,分别在防火墙和核心交换机设备上设置相关的互连路由。
3 防火墙的实际应用效果
通过设置和检测,只有应用策略定义的服务访问才可通过防火墙,达到了应用策略安全要求,并有效地防御的网络攻击,确保了整个网络业务系统正常运行,大大提高了网络的安全性。
参考文献:
[1]柏枫.网络防火墙在气象信息网络系统中的应用[J].气象与减灾,2011.
[2]郭晓佳.NetEye FW4016防火墙在气象网络安全上的应用[J].网络安全技术与应用,2009(10).
作者简介:鲁霞(1972.2-),女,湖北荆门人,本科,工程师,从事气象信息技术方面工作。
作者单位:荆门市气象局,湖北荆门 448000;荆州市气象局,湖北荆州 434020
关键词:气象信息;防火墙技术;安全互通
中图分类号:TP311.52
随着计算机网络技术和应用的迅猛发展,湖北省地市级气象网络系统呈现出多样性、复杂性、开放性、分散性等特点,使气象信息网络存在很多安全隐患。为了保证气象信息传输和处理的高可靠性和高安全性,应用重要的网络安全设备(防火墙设备)来加强气象信息网络安全是一个行之有效方案。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。
1 防火墙的功能与应用架构
防火墙是设置在不同网络(如Internet和内部网)之间的部件,是不同网络之间信息的安全出入口,用户可以根据安全需要设定安全规则,并通过防火墙来实现安全规划以控制出入网络的信息流。它是提供信息安全服务,实现网络和信息安全的基础设施。
以湖北省地市气象信息网络系统中应用的北京天融信公司的网络卫士防火墙为实例,介绍防火墙的基本配置,该产品采用了目前流行的多种网络安全机制,如多端口结构、NAT、端口和地址映射、用户认证、过滤策略、应用程序识别、入侵防御、VPN接入等等。本实际案例仅介绍多端口结构、NAT、端口和地址映射等应用。
防火墙将业务网络划分为局域网、DMZ区、电子政务外网三个分区,三个分区之间需实施严格的访问控制,同时为满足系统通信需要,需开通相关访问权限。
2 防火墙的应用配置
该防火墙的基本配置有两种方式,即串口管理和Web管理;串口管理可完成最基本的接口、路由等配置任务;Web管理是利用防火墙提供的WEB服务方式来配置访问规则、安全政策等,天融信防火墙的默认管理地址为https://192.168.1.254。
2.1 业务应用策略要求
应用策略要求描述如下:
防火墙共使用三个接口分别连接局域网(内网口)、电子政务外网(外网口)、DMZ区,其中防火墙内网口、DMZ区默认安全策略必须配置为禁止;服务器A01(局域网)要求能够主动访问服务器B01(DMZ区)进行通信;预警发布用户A02(局域网)要求能够对服务器B01(DMZ区)进行系统登录。市政务用户A03(局域网内)要求能够对市政务服务器C01(电子政务外网)进行系统登录;服务器B01(DMZ区)要求能与NTP服务器D01进行NTP校时服务;市预警发布用户C02(市级电子政务外网)要求能访问服务器B01(DMZ区);VPN发布用户E01(基于INTERNET)要求能访问服务器B01(DMZ区))。
总的业务应用策略整理如表1实例应用策略要求表
表1
2.2 防火墙资源管理
在网络卫士防火墙中,用户可定义的资源的类型包括:地址资源、属性资源、区域资源、时间资源、服务资源等。地址资源:包括主机资源、地址范围资源、子网资源和地址组。根据业务实际的逻辑要求,对防火墙资源进行初始化设置。
其中地址管理中的主机资源主要定义了服务器A01、服务器B01、Dnat_Map、NTP服务器D01、市政务服务器C01等等,具体设置为:1)主机资源设置:服务器A01(172.20.X..X);服务器B01(192.168.2.X);Dnat_Map(A1.B1.C1.62);NTP服务器D01(10.104.2.X);市政务服务器C01(A1.B1.C1.195)。(为了安全,IP地址作了相关处理)2)地址管理中的地址范围资源主要定义了市政务用户A03群和Any用户群,具体设置:Any(起始地址:0.0.0.0;终止地址:255.255.255.255);市政务用户A03(起始地址:172.20.26.X;终止地址:172.20.26.Y)。3)地址管理中的子网资源设置主要定义了局域网(设置值为:IP地址:172.20.X.0)和VPN客户(设置值为:IP地址:172.20.Y.0)等网段。
在服务管理的自定义服务中将端口Port01-04组中的所有业务需要端口进行了定义,再通过服务管理的服务组管理功能将定义的各端口划分Ca服务、应用服务、业务服务三个端口组,便于在策略应用中引用。
另外还在区域定义中,定义了area_eth0、area_政务外网、area_ DMZ、area_局域网四个区域,并绑定防火墙对应的eth端口(每个eth端口对应不同的子网地址),且权限为允许,便于在策略应用和地址转换中引用。
2.3 防火墙配置安全策略
在各类资源定义完毕后,根据应用策略要求(如2.1业务应用策略要求),通过防火墙的访问控制功能对应用策略进行了设置。其中策略ID(8097)完成策略号为6的策略,策略ID(8102)完成策略号为4的策略,策略ID(8103)完成策略号为1的策略,策略ID(8104)完成策略号为2的策略,策略ID(8108)为默认的安全禁止策略;策略ID(8107)完成策略号为3的策略等等,其它不一一阐述了。
2.4 防火墙地址转换配置
为了实现市政务用户A03(局域网内)对市政务服务器C01(电子政务外网)的访问和市预警发布用户C02(市级电子政务外网)对服务器B01(DMZ区)的访问。在资源定义的基础上,通过地址转换的目的转换完成市预警发布用户C02对服务器B01的访问(“类型”为目的转换;“源”为区域:area_政务外网,“目的”为地址:dnat_map,“服务”为业务服务,“转换”为目的:服务器B01),通过地址转换的源转换实现市政务用户A03对市政务服务器C01的访问(“类型”为源转换;“源”为区域:area_局域网,“目的”为区域:area_政务外网,转换”为源:dnat_map)。
2.5 路由设置
为了保证该应用实例网络的互连互通,还需参照防火墙在市气象信息网络中的结构图中所示的路由表,分别在防火墙和核心交换机设备上设置相关的互连路由。
3 防火墙的实际应用效果
通过设置和检测,只有应用策略定义的服务访问才可通过防火墙,达到了应用策略安全要求,并有效地防御的网络攻击,确保了整个网络业务系统正常运行,大大提高了网络的安全性。
参考文献:
[1]柏枫.网络防火墙在气象信息网络系统中的应用[J].气象与减灾,2011.
[2]郭晓佳.NetEye FW4016防火墙在气象网络安全上的应用[J].网络安全技术与应用,2009(10).
作者简介:鲁霞(1972.2-),女,湖北荆门人,本科,工程师,从事气象信息技术方面工作。
作者单位:荆门市气象局,湖北荆门 448000;荆州市气象局,湖北荆州 434020