火电厂信息系统防火墙技术的深化应用 advanced application of firewall technology on information system of power plant.pdfVIP

湖南电力 第30卷第4期 HUNANELECTRICPOWER 2010年8月 doi：10．3969／j．issn．1008-0198．2010．04．015 火电厂信息系统防火墙技术的深化应用 孙智康。刘健鸽，谌麟 (国电益阳发电有限责任公司，湖南益阳413000) 摘要：叙述了火电厂信息系统防火墙的种类、 配置、运行、维护及有关注意事项，对 防火墙技术的深化应用进行了介绍。 关键词：信息系统；防火墙；配置；运行；维护 中图分类号：TM621；TP393文献标识码：B 文章编号：1008-0198(2010)04-0049-03 “连接”，利用状态表跟踪每个会话状态，将数据 1信息系统防火墙技术 包的状态与该“连接”的状态比较，如果不同， 1．1包过滤技术(PF，Packet Filter)。利用专用则丢弃这个数据包。 软件来查看数据流的每个包头部信息，根据源地 2某电厂防火墙配置 址、目标地址、端口号以及TCP的其他状态来决 定这个包是接收还是丢弃。最大优点是对用户透 该电厂配置有2套防火墙。 明，传输性能高。但对于恶意的拥塞攻击、内存覆 2．1 1号防火墙 盖攻击或病毒等高层次的攻击手段，则无能为力。 Address 1．2网络地址转换技术(NAT，Network吞吐量，满足大型企业网络中的汇聚性能要求。 Translation)。利用NAT技术的端口映射功能，对 企业信息网所有内部地址作转换，使外部网络无法 化功能，对其配置了多个虚拟化防火墙。这些防火 直接访问企业内部信息网的设备，同时将Intemet墙各有自己的策略、网络地址和管理机制，可以全 用户对拥有真实地址的计算机的某端口的访问请 面分割不同的网络分段。利用防火墙中的NAT技 求，转到内部网络中相应的计算机上，实现与外部 术透明地对所有内部地址做转换，使得外部网络无 网络的联接只能由企业内部信息网控制，从而提高 法了解内部网络的结构，同时允许内部网络使用自 网络的安全性。 编的IP源地址和专用网络，防火墙能详尽记录每 Proxy)。将个主机的通信，确保每个分组送往正确的地址【1J。 1．3应用程序代理技术(Application 外部网络和企业信息内网计算机之间应用层的链接 (2)域名服务器。采用2种独立的域名服务 由2个代理服务器上的链接来实现，从而完全隔离 器：内部DNS服务器，主要处理内部网络和DNS 了外部网络和企业内网的数据流，通过应用相关专 信息；外部DNS服务器，专门用于处理机构内部 门的代理程序，对过往的数据包进行分析、注册登 记，形成报告，当发现被攻击迹象时会发出警报， 实现监控应用层数据流的作用。缺点是速度较路由 一次性使用的口令系统来作为用户的鉴别手段，并 器慢，设备费用较高。 实现了对邮件的加密。 1．4状态检测技术(SI，Stateful—Inspection)。(3)Juniper防火墙技术。过滤分别在分组、 该技术的核心部分建立状态连接表，并在应用层以 应用级网关和电路网关这3级进行，能很好地过滤 会话为单位来看待每个数据包，并映射成数据包的 掉所有的假冒IP地址和源路由分组，并能利用 收稿日期：2010-04-01改回日期：2010-07-01 ·49· 万方数据 第30卷第4期 湖南电力