甘寧

摘 要 防火墻技術在網(wǎng)絡安全領域極為重要，電力系統(tǒng)的網(wǎng)絡安全也在使用防火墻技術。然而在網(wǎng)絡科技的迅猛發(fā)展勢頭下，面對一些網(wǎng)絡軟件或網(wǎng)絡應用的缺陷，防火墻也鞭長莫及。因此，一種網(wǎng)閘技術可以有效補充這一不足，而且能夠做到針對網(wǎng)絡安全和重要數(shù)據(jù)實施有效保護，網(wǎng)閘和防火墻相互配合，共建安全、穩(wěn)定的網(wǎng)絡技術。

關鍵詞 網(wǎng)絡安全 網(wǎng)閘 防火墻

中圖分類號：TP393 文獻標識碼：A

當我國信息化建設速度勢頭正猛，電力系統(tǒng)自身的網(wǎng)絡系統(tǒng)也呈現(xiàn)出越來越強的功能，然而網(wǎng)絡除了帶給人們便利和享受，也帶來了網(wǎng)絡安全隱患，并且日益嚴重。因此當前網(wǎng)絡平臺建設過程中的主要目的之一就是要確保網(wǎng)絡應用和信息數(shù)據(jù)的安全性，有效預防惡意攻擊。

1網(wǎng)閘和防火墻技術功能概述

1.1網(wǎng)閘技術

網(wǎng)閘即安全隔離與信息交換系統(tǒng)，運行過程全部在透明狀態(tài)下進行，數(shù)據(jù)處理即時動態(tài)，能夠做到有效隔離來自操作系統(tǒng)外的各種安全威脅，以及基于TCP/IP網(wǎng)絡協(xié)議的安全威脅，借助應用層的數(shù)據(jù)處理技術能夠完全斷開內(nèi)網(wǎng)和外網(wǎng)間的網(wǎng)絡連接。網(wǎng)閘系統(tǒng)的各個應用的設置都來自安全可靠的操作系統(tǒng)，系統(tǒng)中沒有TCP/IP網(wǎng)絡協(xié)議，不支持外界訪問，控制部分也與內(nèi)外部網(wǎng)絡斷開；系統(tǒng)中裝有自動防侵入功能以及高效的控制訪問功能，支持路由和透明橋工作模式，支持主機、網(wǎng)絡和網(wǎng)段等多種網(wǎng)絡對象，支持HTTP，F(xiàn)IP，MAIL等標準網(wǎng)絡協(xié)議，支持IP和MAC地址綁定功能，支持HTTP的URL和內(nèi)容的關鍵字過濾功能，還設置有支持數(shù)據(jù)庫管理、自動審查報警、防止應用層攻擊功能；內(nèi)含優(yōu)良的安全處理驅動，可以處理Dos系統(tǒng)和DDos系統(tǒng)的攻擊，磁盤緩沖區(qū)容量攻擊，黑客攻擊和存在應用層等的洪水攻擊等。

1.2防火墻技術

隨著防火墻技術功能的日趨完善，防火墻已經(jīng)發(fā)展為現(xiàn)代網(wǎng)絡安全中應用最廣泛的安全防護選擇，特別是在電力系統(tǒng)平臺的建設中也體現(xiàn)出來。當系統(tǒng)處于網(wǎng)絡中時，位于終端網(wǎng)絡出口位置的防火墻主要是通過編寫安全編碼來管理控制經(jīng)過的各項數(shù)據(jù)包。在現(xiàn)代的防火墻應用中，實現(xiàn)這一訪問控制主要有包過濾盒使用代理防火墻兩種技術。但不管是哪種技術都會遇到下面的情況：首先，對網(wǎng)絡節(jié)點進行邏輯分割，通過限制網(wǎng)絡邊界的方式來禁止入侵者破壞網(wǎng)絡；其次，對沒有權限的用戶進行限定，禁止連接內(nèi)網(wǎng)；再者，網(wǎng)絡端口開放數(shù)量有限，通過這些提供技術服務；最后，在防護中進行網(wǎng)絡監(jiān)測。

隨著防火墻技術應用的范圍增大，很多網(wǎng)絡安全難題得到了解決，但網(wǎng)絡應用也在不斷發(fā)展，電力系統(tǒng)平臺中的一些應用也對網(wǎng)絡安全、數(shù)據(jù)真實性和信息加密提出了更高的要求。針對網(wǎng)絡中無處不在的安全漏洞，基于TCP/IP網(wǎng)絡協(xié)議的防火墻技術在防范各類安全漏洞時，無法做到徹底地杜絕基于該網(wǎng)絡協(xié)議的安全漏洞；與此同時，安全攻擊技術也日趨提高，很多操作系統(tǒng)和網(wǎng)絡協(xié)議的安全威脅被暴露，是攻擊者挑戰(zhàn)網(wǎng)絡安全的主要方面。

2網(wǎng)閘與防火墻技術的聯(lián)合運用

要有效的根本杜絕防火墻技術的安全漏洞，可以在防火墻外面再安裝一個物理隔離網(wǎng)閘來為網(wǎng)絡安全保駕護航。二者在防護安全上的設計角度不同，防火墻技術的主要目的是在網(wǎng)絡暢通的前提下，為網(wǎng)絡安全運行消除威脅，其余內(nèi)外網(wǎng)間的隔離方式是邏輯隔離，并沒有較高的安全性；物理隔離網(wǎng)閘則是在網(wǎng)絡安全運行之外，盡最大可能來確保網(wǎng)絡暢通，其功能實現(xiàn)無需考慮操作系統(tǒng)和TCP/IP網(wǎng)絡協(xié)議，收發(fā)信息也通過純文本方式進行，無程序接入運行，還會自動篩查信息內(nèi)容，借助加密標識來控制管理流向外網(wǎng)的信息，保證內(nèi)外網(wǎng)間的物理隔離，確保網(wǎng)絡安全。

物理隔離網(wǎng)閘通常設置在內(nèi)外網(wǎng)之間，是一種物理的存儲介質，一個簡單的控制管理電路。一般狀態(tài)下，隔離網(wǎng)閘、內(nèi)網(wǎng)和外網(wǎng)相互之間是斷開的，網(wǎng)絡也是完全斷開的。只有在外網(wǎng)向內(nèi)網(wǎng)傳送數(shù)據(jù)時，外網(wǎng)的服務器馬上向隔離網(wǎng)閘發(fā)出非TCP/IP網(wǎng)絡協(xié)議的數(shù)據(jù)傳輸請求，而隔離網(wǎng)閘則會把全部的協(xié)議進行隔離，把原始信息讀入網(wǎng)閘。在不同的應用需求下，還會采取必要措施來檢查數(shù)據(jù)的完整性和有效性，比如防止病毒侵入或偽碼攻擊等。只要數(shù)據(jù)被全部讀入網(wǎng)閘內(nèi)的介質內(nèi)，隔離網(wǎng)閘就會斷開與外網(wǎng)之間的連接，而與內(nèi)網(wǎng)之間再建立一個非TCP/IP協(xié)議的網(wǎng)絡連接。隔離網(wǎng)閘把介質里的信息轉向內(nèi)網(wǎng)發(fā)送。內(nèi)網(wǎng)接著把傳來的數(shù)據(jù)做TCP/IP封裝以及應用協(xié)議封裝，再傳送給應用系統(tǒng)。當隔離網(wǎng)閘確保數(shù)據(jù)進行有效傳輸后，就會馬上斷開與內(nèi)網(wǎng)的直接連接，此時隔離網(wǎng)閘、外網(wǎng)和內(nèi)網(wǎng)之間還是相互斷開的。而當內(nèi)網(wǎng)中的數(shù)據(jù)需要傳送到外網(wǎng)時，其數(shù)據(jù)的處理原理以此相同。由此可得，不管哪種方式的數(shù)據(jù)傳輸，隔離網(wǎng)閘都會執(zhí)行接收、存儲和傳送的處理過程；而且內(nèi)外網(wǎng)之間永遠不會連接，二者在同一周期內(nèi)有且只有一個網(wǎng)絡會與隔離網(wǎng)閘之間進行非TCP/IP協(xié)議的數(shù)據(jù)交換。

3結束語

在確保網(wǎng)絡安全方面，物理隔離網(wǎng)閘和防火墻兩種技術無法相互取代，二者工作原理不一樣，安全側重點也不一樣。如果說防火墻是內(nèi)網(wǎng)與外圍之間的第一層安全保護的話，那么隔離網(wǎng)閘就是終端的第二層保護，主要維護操作系統(tǒng)和核心應用的安全，并消除在防火墻技術所不能解決的根本難題。因此，要把二者結合起來使用，使二者有益補充，綜合發(fā)揮安全保障功能，才會起到最佳的保護作用。

參考文獻

[1] 許云明，李春生.物理隔離網(wǎng)閘原理及應用[J].計算機安全，2005，12：26-29.

[2] 徐金友. 使用網(wǎng)閘與防火墻構建電力系統(tǒng)網(wǎng)絡安全構架[J].水利水電工程造價，2004，03：59-60.

[3] 陳征，劉剛杰.網(wǎng)閘在社保網(wǎng)絡安全防護中的應用研究[J].網(wǎng)絡安全技術與應用，2008，08：70-72.