沙角B电厂网络安全管理的若干经验论文.pdfVIP

2007 年全国电力企业信息化大会论文集 沙角B 电厂网络安全管理的若干经验 凌受水 （深圳能源集团沙角B 电厂 广东 虎门 523937 ） 摘要：互联网的普及给电厂局域网的安全带来了严峻挑战，本文将常用的网络安全管理技术从实战的角度作了介绍 和探讨，对加强信息安全管理提出了一些思路和方法。 关键词：网络安全，病毒，防火墙，监测 1 前言 信息技术日新月异，发电厂的信息化工作也取得了长足的进步。近年来，互联网深入延伸到了电 厂，网络病毒、木马、黑客的攻击日益猖獗，对电厂的网络安全管理提出了严峻挑战，沙角B 电厂在这 复杂的环境中也进行了艰辛的探索，并取得了一些自以为有益的经验，现将多年来的工作简要做一 小结，以期对同行的工作有所裨益。 2 网络安全管理技术 2.1 使用PIX 硬件防火墙 PIX 是思科公司开发的防火墙设备，主要起策略过滤、隔离内外网的作用，具有转发数据包速度 快、可设定规则种类多、配置灵活的特点。防火墙通常至少有3 个接口，至少产生三个网络： （1）内部区域( 内网) ，通常是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信 任区域，受防火墙保护。 （2 ）外部区域(外网) ，通常指Internet 或者非企业内部网络。它是互连网络中不被信任的区域， 当外部区域想要访问内部区域的主机和服务，通过防火墙可以实现有限制的访问。 （3 ）停火区(DMZ) ，是一个隔离的网络或几个网络。位于停火区中的主机或服务器被称为堡垒主 机，一般在停火区内可以放置Web 服务器，Mail 服务器等。外部用户通常可以访问停火区，可以访问 企业的公开信息，但不允许访问企业内部网络。 以下是我厂PIX 防火墙的部分配置语句。在超级终端窗口中显示时，键入enable ，进入特权模式。 configure terminal #指定网口地址 ip address inside ip address outside ip address dmz #关闭NAT nat 0 0 0 91 2007 年全国电力企业信息化大会论文集 #路由定义 no rip outside passive no rip outside default no rip dmz passive # 限制内网对外网的访问 outbound 100 deny 0 ip apply (inside) 100 outgoing_dest #定义外部路由 route outside 0 0 1 #使dmz 区域用户（拨号用户）访问内网 conduit permit ip any 我厂上互联网是受控制的，只有经过审批授权的电脑才能上互联网，而我们的控制策略就是在 PIX 的access-list 名单里添加上网电脑的IP 地址来实现的。PIX 安全稳定，易于操作，具有明显的优 点。以下是部分控制语句： hostname pixfirewall domain-name fixup protocol ftp 21 fixup protocol http 80 fixup protocol h323 1720 access-list 130 permit icmp any any access-list 201 deny tcp any any eq 593 access-list 201 deny tcp any any eq 1434 …… access-list 201 permit ip host any access-list 201 permit ip host 03 any access-list 201 permit ip host 09 any 2.2 划分VLAN 在一个