甘寧

摘 要 防火墻技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域極為重要，電力系統(tǒng)的網(wǎng)絡(luò)安全也在使用防火墻技術(shù)。然而在網(wǎng)絡(luò)科技的迅猛發(fā)展勢頭下，面對一些網(wǎng)絡(luò)軟件或網(wǎng)絡(luò)應(yīng)用的缺陷，防火墻也鞭長莫及。因此，一種網(wǎng)閘技術(shù)可以有效補充這一不足，而且能夠做到針對網(wǎng)絡(luò)安全和重要數(shù)據(jù)實施有效保護，網(wǎng)閘和防火墻相互配合，共建安全、穩(wěn)定的網(wǎng)絡(luò)技術(shù)。

關(guān)鍵詞 網(wǎng)絡(luò)安全 網(wǎng)閘 防火墻

中圖分類號：TP393 文獻標識碼：A

當(dāng)我國信息化建設(shè)速度勢頭正猛，電力系統(tǒng)自身的網(wǎng)絡(luò)系統(tǒng)也呈現(xiàn)出越來越強的功能，然而網(wǎng)絡(luò)除了帶給人們便利和享受，也帶來了網(wǎng)絡(luò)安全隱患，并且日益嚴重。因此當(dāng)前網(wǎng)絡(luò)平臺建設(shè)過程中的主要目的之一就是要確保網(wǎng)絡(luò)應(yīng)用和信息數(shù)據(jù)的安全性，有效預(yù)防惡意攻擊。

1網(wǎng)閘和防火墻技術(shù)功能概述

1.1網(wǎng)閘技術(shù)

網(wǎng)閘即安全隔離與信息交換系統(tǒng)，運行過程全部在透明狀態(tài)下進行，數(shù)據(jù)處理即時動態(tài)，能夠做到有效隔離來自操作系統(tǒng)外的各種安全威脅，以及基于TCP/IP網(wǎng)絡(luò)協(xié)議的安全威脅，借助應(yīng)用層的數(shù)據(jù)處理技術(shù)能夠完全斷開內(nèi)網(wǎng)和外網(wǎng)間的網(wǎng)絡(luò)連接。網(wǎng)閘系統(tǒng)的各個應(yīng)用的設(shè)置都來自安全可靠的操作系統(tǒng)，系統(tǒng)中沒有TCP/IP網(wǎng)絡(luò)協(xié)議，不支持外界訪問，控制部分也與內(nèi)外部網(wǎng)絡(luò)斷開；系統(tǒng)中裝有自動防侵入功能以及高效的控制訪問功能，支持路由和透明橋工作模式，支持主機、網(wǎng)絡(luò)和網(wǎng)段等多種網(wǎng)絡(luò)對象，支持HTTP，F(xiàn)IP，MAIL等標準網(wǎng)絡(luò)協(xié)議，支持IP和MAC地址綁定功能，支持HTTP的URL和內(nèi)容的關(guān)鍵字過濾功能，還設(shè)置有支持數(shù)據(jù)庫管理、自動審查報警、防止應(yīng)用層攻擊功能；內(nèi)含優(yōu)良的安全處理驅(qū)動，可以處理Dos系統(tǒng)和DDos系統(tǒng)的攻擊，磁盤緩沖區(qū)容量攻擊，黑客攻擊和存在應(yīng)用層等的洪水攻擊等。

1.2防火墻技術(shù)

隨著防火墻技術(shù)功能的日趨完善，防火墻已經(jīng)發(fā)展為現(xiàn)代網(wǎng)絡(luò)安全中應(yīng)用最廣泛的安全防護選擇，特別是在電力系統(tǒng)平臺的建設(shè)中也體現(xiàn)出來。當(dāng)系統(tǒng)處于網(wǎng)絡(luò)中時，位于終端網(wǎng)絡(luò)出口位置的防火墻主要是通過編寫安全編碼來管理控制經(jīng)過的各項數(shù)據(jù)包。在現(xiàn)代的防火墻應(yīng)用中，實現(xiàn)這一訪問控制主要有包過濾盒使用代理防火墻兩種技術(shù)。但不管是哪種技術(shù)都會遇到下面的情況：首先，對網(wǎng)絡(luò)節(jié)點進行邏輯分割，通過限制網(wǎng)絡(luò)邊界的方式來禁止入侵者破壞網(wǎng)絡(luò)；其次，對沒有權(quán)限的用戶進行限定，禁止連接內(nèi)網(wǎng)；再者，網(wǎng)絡(luò)端口開放數(shù)量有限，通過這些提供技術(shù)服務(wù)；最后，在防護中進行網(wǎng)絡(luò)監(jiān)測。

隨著防火墻技術(shù)應(yīng)用的范圍增大，很多網(wǎng)絡(luò)安全難題得到了解決，但網(wǎng)絡(luò)應(yīng)用也在不斷發(fā)展，電力系統(tǒng)平臺中的一些應(yīng)用也對網(wǎng)絡(luò)安全、數(shù)據(jù)真實性和信息加密提出了更高的要求。針對網(wǎng)絡(luò)中無處不在的安全漏洞，基于TCP/IP網(wǎng)絡(luò)協(xié)議的防火墻技術(shù)在防范各類安全漏洞時，無法做到徹底地杜絕基于該網(wǎng)絡(luò)協(xié)議的安全漏洞；與此同時，安全攻擊技術(shù)也日趨提高，很多操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議的安全威脅被暴露，是攻擊者挑戰(zhàn)網(wǎng)絡(luò)安全的主要方面。

2網(wǎng)閘與防火墻技術(shù)的聯(lián)合運用

要有效的根本杜絕防火墻技術(shù)的安全漏洞，可以在防火墻外面再安裝一個物理隔離網(wǎng)閘來為網(wǎng)絡(luò)安全保駕護航。二者在防護安全上的設(shè)計角度不同，防火墻技術(shù)的主要目的是在網(wǎng)絡(luò)暢通的前提下，為網(wǎng)絡(luò)安全運行消除威脅，其余內(nèi)外網(wǎng)間的隔離方式是邏輯隔離，并沒有較高的安全性；物理隔離網(wǎng)閘則是在網(wǎng)絡(luò)安全運行之外，盡最大可能來確保網(wǎng)絡(luò)暢通，其功能實現(xiàn)無需考慮操作系統(tǒng)和TCP/IP網(wǎng)絡(luò)協(xié)議，收發(fā)信息也通過純文本方式進行，無程序接入運行，還會自動篩查信息內(nèi)容，借助加密標識來控制管理流向外網(wǎng)的信息，保證內(nèi)外網(wǎng)間的物理隔離，確保網(wǎng)絡(luò)安全。

物理隔離網(wǎng)閘通常設(shè)置在內(nèi)外網(wǎng)之間，是一種物理的存儲介質(zhì)，一個簡單的控制管理電路。一般狀態(tài)下，隔離網(wǎng)閘、內(nèi)網(wǎng)和外網(wǎng)相互之間是斷開的，網(wǎng)絡(luò)也是完全斷開的。只有在外網(wǎng)向內(nèi)網(wǎng)傳送數(shù)據(jù)時，外網(wǎng)的服務(wù)器馬上向隔離網(wǎng)閘發(fā)出非TCP/IP網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)傳輸請求，而隔離網(wǎng)閘則會把全部的協(xié)議進行隔離，把原始信息讀入網(wǎng)閘。在不同的應(yīng)用需求下，還會采取必要措施來檢查數(shù)據(jù)的完整性和有效性，比如防止病毒侵入或偽碼攻擊等。只要數(shù)據(jù)被全部讀入網(wǎng)閘內(nèi)的介質(zhì)內(nèi)，隔離網(wǎng)閘就會斷開與外網(wǎng)之間的連接，而與內(nèi)網(wǎng)之間再建立一個非TCP/IP協(xié)議的網(wǎng)絡(luò)連接。隔離網(wǎng)閘把介質(zhì)里的信息轉(zhuǎn)向內(nèi)網(wǎng)發(fā)送。內(nèi)網(wǎng)接著把傳來的數(shù)據(jù)做TCP/IP封裝以及應(yīng)用協(xié)議封裝，再傳送給應(yīng)用系統(tǒng)。當(dāng)隔離網(wǎng)閘確保數(shù)據(jù)進行有效傳輸后，就會馬上斷開與內(nèi)網(wǎng)的直接連接，此時隔離網(wǎng)閘、外網(wǎng)和內(nèi)網(wǎng)之間還是相互斷開的。而當(dāng)內(nèi)網(wǎng)中的數(shù)據(jù)需要傳送到外網(wǎng)時，其數(shù)據(jù)的處理原理以此相同。由此可得，不管哪種方式的數(shù)據(jù)傳輸，隔離網(wǎng)閘都會執(zhí)行接收、存儲和傳送的處理過程；而且內(nèi)外網(wǎng)之間永遠不會連接，二者在同一周期內(nèi)有且只有一個網(wǎng)絡(luò)會與隔離網(wǎng)閘之間進行非TCP/IP協(xié)議的數(shù)據(jù)交換。

3結(jié)束語

在確保網(wǎng)絡(luò)安全方面，物理隔離網(wǎng)閘和防火墻兩種技術(shù)無法相互取代，二者工作原理不一樣，安全側(cè)重點也不一樣。如果說防火墻是內(nèi)網(wǎng)與外圍之間的第一層安全保護的話，那么隔離網(wǎng)閘就是終端的第二層保護，主要維護操作系統(tǒng)和核心應(yīng)用的安全，并消除在防火墻技術(shù)所不能解決的根本難題。因此，要把二者結(jié)合起來使用，使二者有益補充，綜合發(fā)揮安全保障功能，才會起到最佳的保護作用。

參考文獻

[1] 許云明，李春生.物理隔離網(wǎng)閘原理及應(yīng)用[J].計算機安全，2005，12：26-29.

[2] 徐金友. 使用網(wǎng)閘與防火墻構(gòu)建電力系統(tǒng)網(wǎng)絡(luò)安全構(gòu)架[J].水利水電工程造價，2004，03：59-60.

[3] 陳征，劉剛杰.網(wǎng)閘在社保網(wǎng)絡(luò)安全防護中的應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2008，08：70-72.