防火墙在地市级气象信息组网中的应用实例.docVIP

防火墙在地市级气象信息组网中的应用实例 　　摘 要：通过网络防火墙在地市级气象信息网络构架中的应用实例，介绍了如何利用网络防火墙技术加强气象信息网络之间、气象信息网络与公共网络之间的安全互通，以提高气象信息网络的安全性，保证气象信息网络的稳定运行。 　　关键词：气象信息；防火墙技术；安全互通 　　中图分类号：TP311.52 　　随着计算机网络技术和应用的迅猛发展，湖北省地市级气象网络系统呈现出多样性、复杂性、开放性、分散性等特点，使气象信息网络存在很多安全隐患。为了保证气象信息传输和处理的高可靠性和高安全性，应用重要的网络安全设备（防火墙设备）来加强气象信息网络安全是一个行之有效方案。防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。 　　1 防火墙的功能与应用架构 　　防火墙是设置在不同网络（如Internet和内部网）之间的部件，是不同网络之间信息的安全出入口，用户可以根据安全需要设定安全规则，并通过防火墙来实现安全规划以控制出入网络的信息流。它是提供信息安全服务，实现网络和信息安全的基础设施。 　　以湖北省地市气象信息网络系统中应用的北京天融信公司的网络卫士防火墙为实例，介绍防火墙的基本配置，该产品采用了目前流行的多种网络安全机制，如多端口结构、NAT、端口和地址映射、用户认证、过滤策略、应用程序识别、入侵防御、VPN接入等等。本实际案例仅介绍多端口结构、NAT、端口和地址映射等应用。 　　防火墙将业务网络划分为局域网、DMZ区、电子政务外网三个分区，三个分区之间需实施严格的访问控制，同时为满足系统通信需要，需开通相关访问权限。 　　2 防火墙的应用配置 　　该防火墙的基本配置有两种方式，即串口管理和Web管理；串口管理可完成最基本的接口、路由等配置任务；Web管理是利用防火墙提供的WEB服务方式来配置访问规则、安全政策等，天融信防火墙的默认管理地址为https：//54。 　　2.1 业务应用策略要求 　　应用策略要求描述如下： 　　防火墙共使用三个接口分别连接局域网（内网口）、电子政务外网（外网口）、DMZ区，其中防火墙内网口、DMZ区默认安全策略必须配置为禁止；服务器A01（局域网）要求能够主动访问服务器B01（DMZ区）进行通信；预警发布用户A02（局域网）要求能够对服务器B01（DMZ区）进行系统登录。市政务用户A03（局域网内）要求能够对市政务服务器C01（电子政务外网）进行系统登录；服务器B01（DMZ区）要求能与NTP服务器D01进行NTP校时服务；市预警发布用户C02（市级电子政务外网）要求能访问服务器B01（DMZ区）；VPN发布用户E01（基于INTERNET）要求能访问服务器B01（DMZ区））。 　　总的业务应用策略整理如表1实例应用策略要求表 　　表1 　　2.2 防火墙资源管理 　　在网络卫士防火墙中，用户可定义的资源的类型包括：地址资源、属性资源、区域资源、时间资源、服务资源等。地址资源：包括主机资源、地址范围资源、子网资源和地址组。根据业务实际的逻辑要求，对防火墙资源进行初始化设置。 　　其中地址管理中的主机资源主要定义了服务器A01、服务器B01、Dnat_Map、NTP服务器D01、市政务服务器C01等等，具体设置为：1）主机资源设置：服务器A01（172.20.X..X）；服务器B01（192.168.2.X）；Dnat_Map（A1.B1.C1.62）；NTP服务器D01（10.104.2.X）；市政务服务器C01（A1.B1.C1.195）。（为了安全，IP地址作了相关处理）2）地址管理中的地址范围资源主要定义了市政务用户A03群和Any用户群，具体设置：Any（起始地址：；终止地址：55）；市政务用户A03（起始地址：172.20.26.X；终止地址：172.20.26.Y）。3）地址管理中的子网资源设置主要定义了局域网（设置值为：IP地址：172.20.X.0）和VPN客户（设置值为：IP地址：172.20.Y.0）等网段。 　　在服务管理的自定义服务中将端口Port01-04组中的所有业务需要端口进行了定义，再通过服务管理的服务组管理功能将定义的各端口划分Ca服务、应用服务、业务服务三个端口组，便于在策略应用中引用。 　　另外还在区域定义中，定义了area_eth0、area_政务外网、area_ DMZ、area_局域网四个区域，并绑定防火墙对应的eth端口（每个eth端口对应不同的子网地址），且权限为允许，便于在策略应用和地址转换中引用。 　　2.3 防火墙配置安全策略 　　在各类资源定义完毕后，根据应用策略要求（如2.1业务应用策略要求），通过防火墙的访问控制功能对应用策略进行了设置。其中