目前,網絡安全已經成為了社會廣泛關注的問題,現代社會的發展步入了信息化時代,網絡安全對提高人們生活質量、促進社會改革發展起著重要作用,只有充分保證網絡安全穩定運營才能使企業重要數據信息不被非法入侵者破壞和竊取,確保網絡不間斷服務。
1、基于防火墻的網絡安全防護模式構建意義
隨著網絡技術的飛速發展,以及網絡規模的持續擴大,帶來了多樣化的網絡安全攻擊行為。網絡安全威脅主要包括人為因素和自然因素兩個方面,人為因素指的是操作不當、安全意識差等問題帶來的網絡安全威脅;自然因素指的是由于受到意外自然災害而帶來的網絡安全威脅。網絡安全攻擊也分為主動攻擊和被動攻擊兩種,主動攻擊包括非法入侵、惡意連接等;被動攻擊包括網絡協議缺失、數據信息丟失等。因此,本文基于防火墻技術提出的網絡信息安全防護模式可以降低網絡安全風險、禁止非法攻擊的入侵,同時加強用戶訪問控制,以提高網絡的安全性和穩定性。
2、網絡信息安全面臨的威脅與挑戰
2.1 特洛伊木馬攻擊
特洛伊木馬可以直接植入到計算機終端,對整個網絡系統進行破壞。一般情況下,特洛伊木馬可以偽裝成為用戶運行程序和目標文件,包括電子郵件附件、游戲運行程序等,一旦用戶啟動運行程序,特洛伊木馬則會隱藏到系統程序中,當用戶與外部網絡連接時,非法攻擊者可以收到偽裝程序的通知,利用偽裝程序隨意修改計算機配置參數、查看和控制硬盤數據等。
2.2 電子郵件攻擊
電子郵件已經成為人們廣泛使用的主流通信方式,發起電子郵件攻擊的攻擊者經常使用CGI 程序或郵件炸彈程序等,向特定目標電子郵箱發送垃圾郵件,最終導致郵箱容量過大而無法正常使用,甚至帶來電子郵件系統的癱瘓。電子郵件攻擊與其他網絡攻擊方法相比更加簡單、攻擊速度快。
2.3 網絡節點攻擊
當外部非法攻擊者突破了一臺計算機終端之后,攻擊者可以將其作為基礎對網絡系統中的其他計算機終端發起攻擊。攻擊手段包括網絡監聽和IP 欺騙兩種,目的都是攻擊其他計算機終端。
2.4 網絡監聽攻擊
在計算機終端處于網絡監聽模式下,無論數據信息發送方與接收方物理信道中的全部數據信息都可以被獲取。當用戶進行密碼校驗時,如果通信信道沒有采取任何加密措施,攻擊者可以在端間實現密碼竊取,從而獲得用戶個人信息資源。
3、基于防火墻的網絡安全防護模式構建
3.1 網絡拓撲結構
基于防火墻技術的網絡安全防護模式包括辦公網和生產網兩個組成部分。其中,辦公網負責支持企業日常辦公運行,生產網主要為企業核心業務提供服務,其網絡拓撲結構如圖1 所示:
圖1 中,核心層包括兩臺交換機,以防火墻模塊作為網絡安全模塊,負責執行防火墻相關功能,網絡拓撲結構采用了防火墻和VPN 認證雙重防護措施,辦公用戶模塊與計算機終端的連接由交換機支持。
3.2 辦公網安全防護措施
辦公網主要包括四個功能模塊,分別是用戶模塊、核心模塊、DMZ 模塊和Internet 接入模,核心模塊負責與生產網模塊和其他子模塊連接,用戶模塊主要負責支持計算機終端接入網絡功能,DMZ 模塊包括對外服務器,Internet 接入模塊可以提供企業內網與外部網絡的連接。辦公網采用以上功能模塊劃分結構,可以形成清晰的網絡拓撲結構,具有良好的安全性和可擴展性。
3.3 生產網安全防護措施
生產網主要包括四個功能區域,分別是核心區、Extranet 區、生產區和管理區,生產網網絡拓撲結構如圖3 所示:
核心區是生產網的關鍵組成部分,提供高速率數據傳輸和轉發連接等功能。本文提出的基于防火墻技術的網絡信息安全防火模式采用三層交換機架構,確保核心區性能較高,同時避免對數據傳輸和處理速度造成影響的訪問列表定義。
Extranet 區負責實現企業業務與外部Internet 網絡的連接。
生產區的作用是為企業各種辦公業務、日常業務服務器提供網絡接入服務。對于不同的網絡應用程序來說,其安全特性和功能特性各不相同,因此,可以根據實際業務的需求劃分不同類別,包括辦公系統類、日常業務類和系統管理類等。管理區是整個網絡的核心區域,負責提供IT 服務,其中,服務器可以提供多種管理功能。
3.4 辦公網和生產網的防火墻部署
本文提出的基于防火墻技術的網絡信息安全防護模式在辦公網和生產網之間部署了兩層防火墻,也就是屏蔽子防火墻技術,辦公網與生產網的防火墻拓撲結構如圖4 所示:
根據屏蔽子防火墻的特性來看,由辦公網流入到生產網的數據信息會全部被防火墻拒絕,如果需要將辦公網與生產網之間進行連接,管理員必須在防火墻部署相應策略,指定哪些數據信息可以穿越防火墻,防火墻的默認設置是拒絕一切沒有允許通過的網絡流量。
京公網安備 11010502049343號