甘寧

摘 要 防火墻技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域極為重要，電力系統(tǒng)的網(wǎng)絡(luò)安全也在使用防火墻技術(shù)。然而在網(wǎng)絡(luò)科技的迅猛發(fā)展勢(shì)頭下，面對(duì)一些網(wǎng)絡(luò)軟件或網(wǎng)絡(luò)應(yīng)用的缺陷，防火墻也鞭長(zhǎng)莫及。因此，一種網(wǎng)閘技術(shù)可以有效補(bǔ)充這一不足，而且能夠做到針對(duì)網(wǎng)絡(luò)安全和重要數(shù)據(jù)實(shí)施有效保護(hù)，網(wǎng)閘和防火墻相互配合，共建安全、穩(wěn)定的網(wǎng)絡(luò)技術(shù)。

關(guān)鍵詞 網(wǎng)絡(luò)安全 網(wǎng)閘 防火墻

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

當(dāng)我國(guó)信息化建設(shè)速度勢(shì)頭正猛，電力系統(tǒng)自身的網(wǎng)絡(luò)系統(tǒng)也呈現(xiàn)出越來(lái)越強(qiáng)的功能，然而網(wǎng)絡(luò)除了帶給人們便利和享受，也帶來(lái)了網(wǎng)絡(luò)安全隱患，并且日益嚴(yán)重。因此當(dāng)前網(wǎng)絡(luò)平臺(tái)建設(shè)過(guò)程中的主要目的之一就是要確保網(wǎng)絡(luò)應(yīng)用和信息數(shù)據(jù)的安全性，有效預(yù)防惡意攻擊。

1網(wǎng)閘和防火墻技術(shù)功能概述

1.1網(wǎng)閘技術(shù)

網(wǎng)閘即安全隔離與信息交換系統(tǒng)，運(yùn)行過(guò)程全部在透明狀態(tài)下進(jìn)行，數(shù)據(jù)處理即時(shí)動(dòng)態(tài)，能夠做到有效隔離來(lái)自操作系統(tǒng)外的各種安全威脅，以及基于TCP/IP網(wǎng)絡(luò)協(xié)議的安全威脅，借助應(yīng)用層的數(shù)據(jù)處理技術(shù)能夠完全斷開(kāi)內(nèi)網(wǎng)和外網(wǎng)間的網(wǎng)絡(luò)連接。網(wǎng)閘系統(tǒng)的各個(gè)應(yīng)用的設(shè)置都來(lái)自安全可靠的操作系統(tǒng)，系統(tǒng)中沒(méi)有TCP/IP網(wǎng)絡(luò)協(xié)議，不支持外界訪(fǎng)問(wèn)，控制部分也與內(nèi)外部網(wǎng)絡(luò)斷開(kāi)；系統(tǒng)中裝有自動(dòng)防侵入功能以及高效的控制訪(fǎng)問(wèn)功能，支持路由和透明橋工作模式，支持主機(jī)、網(wǎng)絡(luò)和網(wǎng)段等多種網(wǎng)絡(luò)對(duì)象，支持HTTP，F(xiàn)IP，MAIL等標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議，支持IP和MAC地址綁定功能，支持HTTP的URL和內(nèi)容的關(guān)鍵字過(guò)濾功能，還設(shè)置有支持?jǐn)?shù)據(jù)庫(kù)管理、自動(dòng)審查報(bào)警、防止應(yīng)用層攻擊功能；內(nèi)含優(yōu)良的安全處理驅(qū)動(dòng)，可以處理Dos系統(tǒng)和DDos系統(tǒng)的攻擊，磁盤(pán)緩沖區(qū)容量攻擊，黑客攻擊和存在應(yīng)用層等的洪水攻擊等。

1.2防火墻技術(shù)

隨著防火墻技術(shù)功能的日趨完善，防火墻已經(jīng)發(fā)展為現(xiàn)代網(wǎng)絡(luò)安全中應(yīng)用最廣泛的安全防護(hù)選擇，特別是在電力系統(tǒng)平臺(tái)的建設(shè)中也體現(xiàn)出來(lái)。當(dāng)系統(tǒng)處于網(wǎng)絡(luò)中時(shí)，位于終端網(wǎng)絡(luò)出口位置的防火墻主要是通過(guò)編寫(xiě)安全編碼來(lái)管理控制經(jīng)過(guò)的各項(xiàng)數(shù)據(jù)包。在現(xiàn)代的防火墻應(yīng)用中，實(shí)現(xiàn)這一訪(fǎng)問(wèn)控制主要有包過(guò)濾盒使用代理防火墻兩種技術(shù)。但不管是哪種技術(shù)都會(huì)遇到下面的情況：首先，對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行邏輯分割，通過(guò)限制網(wǎng)絡(luò)邊界的方式來(lái)禁止入侵者破壞網(wǎng)絡(luò)；其次，對(duì)沒(méi)有權(quán)限的用戶(hù)進(jìn)行限定，禁止連接內(nèi)網(wǎng)；再者，網(wǎng)絡(luò)端口開(kāi)放數(shù)量有限，通過(guò)這些提供技術(shù)服務(wù)；最后，在防護(hù)中進(jìn)行網(wǎng)絡(luò)監(jiān)測(cè)。

隨著防火墻技術(shù)應(yīng)用的范圍增大，很多網(wǎng)絡(luò)安全難題得到了解決，但網(wǎng)絡(luò)應(yīng)用也在不斷發(fā)展，電力系統(tǒng)平臺(tái)中的一些應(yīng)用也對(duì)網(wǎng)絡(luò)安全、數(shù)據(jù)真實(shí)性和信息加密提出了更高的要求。針對(duì)網(wǎng)絡(luò)中無(wú)處不在的安全漏洞，基于TCP/IP網(wǎng)絡(luò)協(xié)議的防火墻技術(shù)在防范各類(lèi)安全漏洞時(shí)，無(wú)法做到徹底地杜絕基于該網(wǎng)絡(luò)協(xié)議的安全漏洞；與此同時(shí)，安全攻擊技術(shù)也日趨提高，很多操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議的安全威脅被暴露，是攻擊者挑戰(zhàn)網(wǎng)絡(luò)安全的主要方面。

2網(wǎng)閘與防火墻技術(shù)的聯(lián)合運(yùn)用

要有效的根本杜絕防火墻技術(shù)的安全漏洞，可以在防火墻外面再安裝一個(gè)物理隔離網(wǎng)閘來(lái)為網(wǎng)絡(luò)安全保駕護(hù)航。二者在防護(hù)安全上的設(shè)計(jì)角度不同，防火墻技術(shù)的主要目的是在網(wǎng)絡(luò)暢通的前提下，為網(wǎng)絡(luò)安全運(yùn)行消除威脅，其余內(nèi)外網(wǎng)間的隔離方式是邏輯隔離，并沒(méi)有較高的安全性；物理隔離網(wǎng)閘則是在網(wǎng)絡(luò)安全運(yùn)行之外，盡最大可能來(lái)確保網(wǎng)絡(luò)暢通，其功能實(shí)現(xiàn)無(wú)需考慮操作系統(tǒng)和TCP/IP網(wǎng)絡(luò)協(xié)議，收發(fā)信息也通過(guò)純文本方式進(jìn)行，無(wú)程序接入運(yùn)行，還會(huì)自動(dòng)篩查信息內(nèi)容，借助加密標(biāo)識(shí)來(lái)控制管理流向外網(wǎng)的信息，保證內(nèi)外網(wǎng)間的物理隔離，確保網(wǎng)絡(luò)安全。

物理隔離網(wǎng)閘通常設(shè)置在內(nèi)外網(wǎng)之間，是一種物理的存儲(chǔ)介質(zhì)，一個(gè)簡(jiǎn)單的控制管理電路。一般狀態(tài)下，隔離網(wǎng)閘、內(nèi)網(wǎng)和外網(wǎng)相互之間是斷開(kāi)的，網(wǎng)絡(luò)也是完全斷開(kāi)的。只有在外網(wǎng)向內(nèi)網(wǎng)傳送數(shù)據(jù)時(shí)，外網(wǎng)的服務(wù)器馬上向隔離網(wǎng)閘發(fā)出非TCP/IP網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)傳輸請(qǐng)求，而隔離網(wǎng)閘則會(huì)把全部的協(xié)議進(jìn)行隔離，把原始信息讀入網(wǎng)閘。在不同的應(yīng)用需求下，還會(huì)采取必要措施來(lái)檢查數(shù)據(jù)的完整性和有效性，比如防止病毒侵入或偽碼攻擊等。只要數(shù)據(jù)被全部讀入網(wǎng)閘內(nèi)的介質(zhì)內(nèi)，隔離網(wǎng)閘就會(huì)斷開(kāi)與外網(wǎng)之間的連接，而與內(nèi)網(wǎng)之間再建立一個(gè)非TCP/IP協(xié)議的網(wǎng)絡(luò)連接。隔離網(wǎng)閘把介質(zhì)里的信息轉(zhuǎn)向內(nèi)網(wǎng)發(fā)送。內(nèi)網(wǎng)接著把傳來(lái)的數(shù)據(jù)做TCP/IP封裝以及應(yīng)用協(xié)議封裝，再傳送給應(yīng)用系統(tǒng)。當(dāng)隔離網(wǎng)閘確保數(shù)據(jù)進(jìn)行有效傳輸后，就會(huì)馬上斷開(kāi)與內(nèi)網(wǎng)的直接連接，此時(shí)隔離網(wǎng)閘、外網(wǎng)和內(nèi)網(wǎng)之間還是相互斷開(kāi)的。而當(dāng)內(nèi)網(wǎng)中的數(shù)據(jù)需要傳送到外網(wǎng)時(shí)，其數(shù)據(jù)的處理原理以此相同。由此可得，不管哪種方式的數(shù)據(jù)傳輸，隔離網(wǎng)閘都會(huì)執(zhí)行接收、存儲(chǔ)和傳送的處理過(guò)程；而且內(nèi)外網(wǎng)之間永遠(yuǎn)不會(huì)連接，二者在同一周期內(nèi)有且只有一個(gè)網(wǎng)絡(luò)會(huì)與隔離網(wǎng)閘之間進(jìn)行非TCP/IP協(xié)議的數(shù)據(jù)交換。

3結(jié)束語(yǔ)

在確保網(wǎng)絡(luò)安全方面，物理隔離網(wǎng)閘和防火墻兩種技術(shù)無(wú)法相互取代，二者工作原理不一樣，安全側(cè)重點(diǎn)也不一樣。如果說(shuō)防火墻是內(nèi)網(wǎng)與外圍之間的第一層安全保護(hù)的話(huà)，那么隔離網(wǎng)閘就是終端的第二層保護(hù)，主要維護(hù)操作系統(tǒng)和核心應(yīng)用的安全，并消除在防火墻技術(shù)所不能解決的根本難題。因此，要把二者結(jié)合起來(lái)使用，使二者有益補(bǔ)充，綜合發(fā)揮安全保障功能，才會(huì)起到最佳的保護(hù)作用。

參考文獻(xiàn)

[1] 許云明，李春生.物理隔離網(wǎng)閘原理及應(yīng)用[J].計(jì)算機(jī)安全，2005，12：26-29.

[2] 徐金友. 使用網(wǎng)閘與防火墻構(gòu)建電力系統(tǒng)網(wǎng)絡(luò)安全構(gòu)架[J].水利水電工程造價(jià)，2004，03：59-60.

[3] 陳征，劉剛杰.網(wǎng)閘在社保網(wǎng)絡(luò)安全防護(hù)中的應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2008，08：70-72.