火电厂信息系统防火墙技术的深化应用.pdf-_矿业文库_煤矿文库_有色文库_金属矿山文库_矿山安全_煤矿安全_采矿技术措施

资源描述：

第3 0卷第4期湖南电力 H U N A N E L E C T R I C P 0 WE R 2 0 1 0年 8月 d o i 1 0 ． 3 9 6 9 ／ j ． i s s n ． 1 0 0 8 - 0 1 9 8 ． 2 0 1 0 ． 0 4 ． 0 1 5 火电厂信息系统防火墙技术的深化应用孙智康，刘健鸽，谌麟国电益阳发电有限责任公司，湖南益阳4 1 3 0 0 0 摘要叙述了火电厂信息系统防火墙的种类、防火墙技术的深化应用进行了介绍。关键词信息系统；防火墙；配置；运行；维护中图分类号 T M 6 2 1 ； T P 3 9 3 文献标识码B 1 信息系统防火墙技术 1 ． 1 包过滤技术 P F ，P a c k e t F i l t e r 。利用专用软件来查看数据流的每个包头部信息，根据源地址、目标地址、端口号以及 T C P的其他状态来决定这个包是接收还是丢弃。最大优点是对用户透明，传输性能高。但对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段，则无能为力。 1 ． 2 网络地址转换技术 N A T，N e t w o r k A d d r e s s T r a n s l a t i o n 。利用 N A T技术的端口映射功能，对企业信息网所有内部地址作转换，使外部网络无法直接访问企业内部信息网的设备，同时将 I n t e r n e t 用户对拥有真实地址的计算机的某端口的访问请求，转到内部网络中相应的计算机上，实现与外部网络的联接只能由企业内部信息网控制，从而提高网络的安全性。 1 ． 3 应用程序代理技术 A p p l i c a t i o n P r o x y 。将外部网络和企业信息内网计算机之问应用层的链接由2个代理服务器上的链接来实现，从而完全隔离了外部网络和企业内网的数据流，通过应用相关专门的代理程序，对过往的数据包进行分析、注册登记，形成报告，当发现被攻击迹象时会发出警报，实现监控应用层数据流的作用。缺点是速度较路由器慢，设备费用较高。 1 ． 4 状态检测技术 S I ，S t a t e f u lI n s p e c t i o n 。该技术的核心部分建立状态连接表，并在应用层以会话为单位来看待每个数据包，并映射成数据包的收稿日期 2 0 1 0 - 0 4 -0 1 改回日期 2 0 1 0 -07 - 0 1 配置、运行、维护及有关注意事项，对文章编号1 0 0 8 - 0 1 9 8 2 0 1 0 0 4 - 0 0 4 9 -0 3 “ 连接” ，利用状态表跟踪每个会话状态，将数据包的状态与该 “ 连接 ” 的状态比较，如果不同，则丢弃这个数据包。 2某电厂防火墙配置该电厂配置有 2套防火墙。 2 ． 1 1号防火墙配置 J u n i p e r 网络公司 S S G设备，具有很大的吞吐量，满足大型企业网络中的汇聚性能要求。 1 虚拟化防火墙。利用 J u n i p e r的内置虚拟化功能，对其配置了多个虚拟化防火墙。这些防火墙各有自己的策略、网络地址和管理机制，可以全面分割不同的网络分段。利用防火墙中的 N A T技术透明地对所有内部地址做转换，使得外部网络无法了解内部网络的结构，同时允许内部网络使用自编的 I P源地址和专用网络，防火墙能详尽记录每个主机的通信，确保每个分组送往正确的地址 ] 。 2 域名服务器。采用 2种独立的域名服务器内部 D N S服务器，主要处理内部网络和 D N S 信息；外部 D N S服务器，专门用于处理机构内部向 I n t e me t 提供的部分 D N S信息。为了降低防火墙在 I n t e r n e t ，We b和远程管理上的安全风险，采用一次性使用的口令系统来作为用户的鉴别手段，并实现了对邮件的加密。 3 J u n i p e r防火墙技术。过滤分别在分组、应用级网关和电路网关这 3级进行，能很好地过滤掉所有的假冒 I P地址和源路由分组，并能利用 49 第 3 0卷第4期湖南电力 2 0 1 0年 8月 F T P ，S MT P等各种网关，控制和监测 [ n t e me t 提供的所有通用服务，实现内部主机与外部站点的透明连接，并对服务的通行实行严格控制。 4 内部网络策略。使用集成 V P N技术和远程控制内部网络策略，使领导和专工在外出差都能便捷地实现网络管理和信息交汇，既充分发挥了远程管理的优点，又不会造成安全威胁。 2 ． 2 2号防火墙配置东软公司 N e t E y e F w设备，按 “ 一切未被禁止的就是允许的”准则，防火墙转发所有通过防火墙的数据流，然后逐渐屏蔽可能有害的信息，这种方法能使应用环境更加灵活。N e t E y e具有路由和交换 2种模式，主要在交换模式下使用代理路由的形式，采用包过滤技术，使 S I S区和 D C S 区之间的数据得到安全传输。实现了 I P包过滤、地址绑定、非 I P包过滤等规则。这些访问控制规则使得用户实施其安全策略得到保障】。 1 相关信息记录。N e t E y e网络日志文件提供了记录全部过滤情况、只记录被拒绝的情况、只记录被允许的情况、不做记录 4种方式，选择 “ 记录全部过滤情况”方式进行设置，从而全面了解网络中不同数据通过情况。 2 防止非法 I P盗用。为了防止内部人员进行非法 I P盗用，在 N e t E y e里根据网络数据 I P和 M A C地址的包过滤原理，将内部网络的 I P和 MA C 地址进行绑定，可以方便地进行管理。 3 实时分析。使用关键字方式查看网络中某段时间范围内包含该关键字的数据包的情况，可针对该数据包的一些特性制定相应的措施。同时可以记录一些用户的认为不合法的数据包，以便过后追究当事人的责任。 3 防火墙的运行 3 ． 1 日志记录。系统运行时，如果所有的访问都经过防火墙，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据；当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息；另外，能收集网络的使用和误用情况，评估防火墙是否能够抵挡攻击者的探测和攻击、防火墙的控制是否充足。 3 ． 2 防止信息的外泄。通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限 5 0 制了局部重点或敏感网络安全问题对全局网络造成的影响。防火墙可以隐蔽那些透漏内部细节如 F i n g e r ，D N S等服务。这样，l台主机的域名和 I P地址就不会被外界所了解，防止了内部信息的外泄。 3 ． 3 安全方案配置。利用以防火墙为中心的安全方案配置，将所有安全软件如口令、加密、身份认证、审计等配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙上。 4 防火墙的维护 4 ． 1 账号管理。在防火墙上正确地增加新账号、迅速地删除旧账号以及适时地变更密码，以提高入侵者的进入门槛。系统运行时，通常会把密码期限功能打开，并选择稍微长的期限，确保在安全防护上得到真正的收益。 4 ． 2 数据备份和磁盘管理。在备份防火墙的数据时，使用了一种定期的、自动的备份系统为一般用途的机器做备份。当这个系统正常做完备份之后，会发送确定信到用户的邮箱里，而当它发现错误的时候，也会发出一个出错提示信息。在防火墙中打开了 T r i m l o n程序，以让它自动处理好日志记录、磁盘空间和数据压缩的问题。 4 ． 3 硬件及相关维护。防火墙很多计算工作由专用 A S I C芯片完成，正常工作状态下防火墙 C P U使用率应保持在 5 0 ％以下，不过偶尔会出现 C P U利用率过高的问题，这时就会检查 S e s s i o n的使用情况和各类告警信息，并检查网络中是否存在攻击流量。通常情况下 C P U利用率过高往往与攻击有关，这样可通过设置 S c r e e n i n g来对其进行防范。防火墙对内存的使用也把握得十分准确，采用 “ 预分配”机制，即使空载时内存使用率也为约5 0 ％～ 6 0 ％，随着流量不断增长，内存的使用率也会保持稳定。如果出现内存使用率高达 9 0 ％时，就需要检查网络中是否存在攻击流量了，并察看为 d e b u g 分配的内存空间是否过大。 5 防火墙技术的实际应用 5 ． 1 防攻击举例。网络中经常遇到 S Y N A tt a c k S Y N攻击，当网络中充满了 S Y N的封包时，会第3 O卷第4期孙智康等火电厂信息系统防火墙技术的深化应用 2 0 1 0年8月不停地发送大量半连接请求，以至网络无法处理合法的连接请求，消耗了 C P U和内存资源，从而导致拒绝服务 D o S ，造成 S Y N的泛滥攻击。利用 J u n i p e r 防火墙的 S Y N P r o x y和 S Y N C o o k i e这 2种机制进行防御，让 S Y N P r o x y机制对数据包进行策略匹配，如果通过的 S Y N包每秒超过了阈值，则开启防御机制，新的 S Y N包就由防火墙做应答，等待应答 a c k是否超时，超时则丢弃。S Y N C o o k i e 机制则是完全无连接状态的，每秒的 S Y N包超过阈值就开启防御机制，防火墙做 S Y N的应答 S Y N ／ a c k ，并在里面嵌入了加密的 C ook i e ，如果接收到的 a c k里面有该 C ook i e 则是正常连接，从而解决了 S Y N A t t a c k攻击的问题。 5 ． 2 电信和网通同网同时使用问题。2 0 0 8年前一直使用电信专线，后来增加了网通专线。为了能使用网通专线，运行时整个网络需要在电信和网通之间切换服务器与内部网络进行隔离，很不方便。2 0 0 9年 5月，运用 J u n i p e r 防火墙技术，解决了这个问题，方法如下在 J u n i p e r 防火墙中有 4个千兆以太网口接口，所有的安全域默认全部工作在 t r u s t v r 中的，首先，将 4个以太网口连接不同的网络，让 1口 e t h l连接内部办公网络，安全域为 t r u n s t ；2口 e t h 2连接服务器所在网络，安全域为 D MZ ；3口e t h 3和4口 e t h 4分别连接电信和网通的专线，安全域为 u n ． t r u s t 。将 u n t r u s t由 t r u s t v r中修改至 0 u n t r u s t 一、 r r中，这样保证内部网络和外部网络在路由列表中就是独立的关系了。然后将各自安全域绑定设置到防火墙的各个物理端口上，配置各个端口的 I P地址，并在 u n t r u n s t v r中配置访问互联网的默认路由。T r u s t 和 D M Z安全域则工作在 t r u s t - v r中，因为 tr u s t _ v r 和 u n t r u s t v r 之间还没有路由关系，所以它们之间还无法进行数据交换，因此，在 t r u s t 一、 r r中配置 1 条默认外出路由指向 u n tr u s t ． v r 。最后，策略路由也必须工作在相对应的路由列表中，因此，将策略路由定义在 u n t r u s t v r 路由表中，这样就实现了指定的部分 I P地址走电信线路，其它部分 I P地址走网通线路，同时内部办公网络可以不受策略路由的影响，可正常地访问 D MS区的服务器资源。 6 结束语 6 ． 1 防火墙作为一种网络信息安全技术，可以在不改动原网络应用系统的情况下达到一定的安全度，但是不能全部解决信息安全的问题。防火墙应着力配置成界面友好、调试方便、不易出错的系统，为管理人员提供有效、直观的人机对话方式。 6 ． 2 防火墙安全性越高，其配置越复杂，设备费用和维护费用相应就越高。所以，企业要根据自身信息系统的特点，平衡信息安全需求与资金投入间的关系，确定各安全区防火墙的体系架构，在合理的资金投入下，有一个良好的信息安全环境。 6 ． 3 某电厂 2 0 0 3年 6月组建企业信息系统以来，先后遭到黑客、尼姆达病毒、木马病毒、冲击波病毒的攻击，严重干扰了企业的安全生产，给经营日常管理工作带来了诸多不便。2 0 0 9年 5月信息系统安装 J u n i p e r 网络公司和东软公司 N e t E y e的2套防火墙，投运 1 年多来，阻挡了多次黑客、病毒的攻击，其安全多样灵活的管理方式给维护和管理带来了便捷，整个信息网络系统一直都在安全稳定地运行。参考文献 [ 1 ]吴子勤，曾双平，冯帅．探讨防火墙维护与管理、技术发展趋势 [ J ] ．计算机与信息技术．2 0 0 7 ． [ 2 ]西安交大博通资讯股份公司． J u n i p e r实施技术报告 [ R ] ． 2 0 09 ．作者简介孙智康 1 9 8 4 一男，湖南人，毕业于长沙理工大学，软件工程师，从事计算机网络研究工作。上接第 2 0页 [ 7 ]张岳，王凤翔．直驱式永磁同步风力发电机性能研究 [ J ] ．电机与控制学报，2 0 0 9 ， 1 7 9 - 8 2 ． [ 8 ]雷亚洲，等．基于机会约束规划的风电穿透功率极限计算 [ J ] ．中国电机工程学报，2 0 0 2，2 2 5 3 2 - 3 5 ． [ 9 ]申洪，梁军，戴慧珠．基于电力系统暂态稳定分析的风电场穿透功率极限计算 J ] ，电网技术，2 0 0 2 ， 2 6 8 8 - 1 1 ． [ 1 0 3 刘洪．乌鲁木齐电网允许风电比例的初步探讨 [ J ] ．风力发电，1 9 9 9，8 1 5 0 - 5 4 ．作者简介徐超 1 9 8 3 一，男，硕士研究生，主要从事电力系统规划工作。 51

展开阅读全文

火电厂信息系统防火墙技术的深化应用.pdf

资源标签

最新标签