1、基于防火墻的網(wǎng)絡安全防護模式構(gòu)建意義

　　隨著網(wǎng)絡技術(shù)的飛速發(fā)展，以及網(wǎng)絡規(guī)模的持續(xù)擴大，帶來了多樣化的網(wǎng)絡安全攻擊行為。網(wǎng)絡安全威脅主要包括人為因素和自然因素兩個方面，人為因素指的是操作不當、安全意識差等問題帶來的網(wǎng)絡安全威脅;自然因素指的是由于受到意外自然災害而帶來的網(wǎng)絡安全威脅。網(wǎng)絡安全攻擊也分為主動攻擊和被動攻擊兩種，主動攻擊包括非法入侵、惡意連接等;被動攻擊包括網(wǎng)絡協(xié)議缺失、數(shù)據(jù)信息丟失等。因此，本文基于防火墻技術(shù)提出的網(wǎng)絡信息安全防護模式可以降低網(wǎng)絡安全風險、禁止非法攻擊的入侵，同時加強用戶訪問控制，以提高網(wǎng)絡的安全性和穩(wěn)定性。

　　2、網(wǎng)絡信息安全面臨的威脅與挑戰(zhàn)

　　2.1 特洛伊木馬攻擊

　　特洛伊木馬可以直接植入到計算機終端，對整個網(wǎng)絡系統(tǒng)進行破壞。一般情況下，特洛伊木馬可以偽裝成為用戶運行程序和目標文件，包括電子郵件附件、游戲運行程序等，一旦用戶啟動運行程序，特洛伊木馬則會隱藏到系統(tǒng)程序中，當用戶與外部網(wǎng)絡連接時，非法攻擊者可以收到偽裝程序的通知，利用偽裝程序隨意修改計算機配置參數(shù)、查看和控制硬盤數(shù)據(jù)等。

　　2.2 電子郵件攻擊

　　電子郵件已經(jīng)成為人們廣泛使用的主流通信方式，發(fā)起電子郵件攻擊的攻擊者經(jīng)常使用CGI 程序或郵件炸彈程序等，向特定目標電子郵箱發(fā)送垃圾郵件，最終導致郵箱容量過大而無法正常使用，甚至帶來電子郵件系統(tǒng)的癱瘓。電子郵件攻擊與其他網(wǎng)絡攻擊方法相比更加簡單、攻擊速度快。

　　2.3 網(wǎng)絡節(jié)點攻擊

　　當外部非法攻擊者突破了一臺計算機終端之后，攻擊者可以將其作為基礎(chǔ)對網(wǎng)絡系統(tǒng)中的其他計算機終端發(fā)起攻擊。攻擊手段包括網(wǎng)絡監(jiān)聽和IP 欺騙兩種，目的都是攻擊其他計算機終端。

　　2.4 網(wǎng)絡監(jiān)聽攻擊

　　在計算機終端處于網(wǎng)絡監(jiān)聽模式下，無論數(shù)據(jù)信息發(fā)送方與接收方物理信道中的全部數(shù)據(jù)信息都可以被獲取。當用戶進行密碼校驗時，如果通信信道沒有采取任何加密措施，攻擊者可以在端間實現(xiàn)密碼竊取，從而獲得用戶個人信息資源。

　　3、基于防火墻的網(wǎng)絡安全防護模式構(gòu)建

　　3.1 網(wǎng)絡拓撲結(jié)構(gòu)

　　基于防火墻技術(shù)的網(wǎng)絡安全防護模式包括辦公網(wǎng)和生產(chǎn)網(wǎng)兩個組成部分。其中，辦公網(wǎng)負責支持企業(yè)日常辦公運行，生產(chǎn)網(wǎng)主要為企業(yè)核心業(yè)務提供服務，其網(wǎng)絡拓撲結(jié)構(gòu)如圖1 所示：

　　圖1 中，核心層包括兩臺交換機，以防火墻模塊作為網(wǎng)絡安全模塊，負責執(zhí)行防火墻相關(guān)功能，網(wǎng)絡拓撲結(jié)構(gòu)采用了防火墻和VPN 認證雙重防護措施，辦公用戶模塊與計算機終端的連接由交換機支持。

　　3.2 辦公網(wǎng)安全防護措施

　　辦公網(wǎng)主要包括四個功能模塊，分別是用戶模塊、核心模塊、DMZ 模塊和Internet 接入模塊，辦公網(wǎng)網(wǎng)絡拓撲結(jié)構(gòu)如圖2 所示：

　　圖2 中，核心模塊負責與生產(chǎn)網(wǎng)模塊和其他子模塊連接，用戶模塊主要負責支持計算機終端接入網(wǎng)絡功能，DMZ 模塊包括對外服務器，Internet 接入模塊可以提供企業(yè)內(nèi)網(wǎng)與外部網(wǎng)絡的連接。辦公網(wǎng)采用以上功能模塊劃分結(jié)構(gòu)，可以形成清晰的網(wǎng)絡拓撲結(jié)構(gòu)，具有良好的安全性和可擴展性。

　　3.3 生產(chǎn)網(wǎng)安全防護措施

　　生產(chǎn)網(wǎng)主要包括四個功能區(qū)域，分別是核心區(qū)、Extranet 區(qū)、生產(chǎn)區(qū)和管理區(qū)，生產(chǎn)網(wǎng)網(wǎng)絡拓撲結(jié)構(gòu)如圖3 所示：

　　核心區(qū)是生產(chǎn)網(wǎng)的關(guān)鍵組成部分，提供高速率數(shù)據(jù)傳輸和轉(zhuǎn)發(fā)連接等功能。本文提出的基于防火墻技術(shù)的網(wǎng)絡信息安全防火模式采用三層交換機架構(gòu)，確保核心區(qū)性能較高，同時避免對數(shù)據(jù)傳輸和處理速度造成影響的訪問列表定義。

　　Extranet 區(qū)負責實現(xiàn)企業(yè)業(yè)務與外部Internet 網(wǎng)絡的連接。

　　生產(chǎn)區(qū)的作用是為企業(yè)各種辦公業(yè)務、日常業(yè)務服務器提供網(wǎng)絡接入服務。對于不同的網(wǎng)絡應用程序來說，其安全特性和功能特性各不相同，因此，可以根據(jù)實際業(yè)務的需求劃分不同類別，包括辦公系統(tǒng)類、日常業(yè)務類和系統(tǒng)管理類等。管理區(qū)是整個網(wǎng)絡的核心區(qū)域，負責提供IT 服務，其中，服務器可以提供多種管理功能。

　　3.4 辦公網(wǎng)和生產(chǎn)網(wǎng)的防火墻部署

　　本文提出的基于防火墻技術(shù)的網(wǎng)絡信息安全防護模式在辦公網(wǎng)和生產(chǎn)網(wǎng)之間部署了兩層防火墻，也就是屏蔽子防火墻技術(shù)，辦公網(wǎng)與生產(chǎn)網(wǎng)的防火墻拓撲結(jié)構(gòu)如圖4 所示：

　　根據(jù)屏蔽子防火墻的特性來看，由辦公網(wǎng)流入到生產(chǎn)網(wǎng)的數(shù)據(jù)信息會全部被防火墻拒絕，如果需要將辦公網(wǎng)與生產(chǎn)網(wǎng)之間進行連接，管理員必須在防火墻部署相應策略，指定哪些數(shù)據(jù)信息可以穿越防火墻，防火墻的默認設置是拒絕一切沒有允許通過的網(wǎng)絡流量。