淺析網絡安全中網閘和防火墻的聯合運用

甘寧

摘 要 防火墻技術在網絡安全領域極為重要，電力系統的網絡安全也在使用防火墻技術。然而在網絡科技的迅猛發展勢頭下，面對一些網絡軟件或網絡應用的缺陷，防火墻也鞭長莫及。因此，一種網閘技術可以有效補充這一不足，而且能夠做到針對網絡安全和重要數據實施有效保護，網閘和防火墻相互配合，共建安全、穩定的網絡技術。

關鍵詞 網絡安全 網閘 防火墻

中圖分類號：TP393 文獻標識碼：A

當我國信息化建設速度勢頭正猛，電力系統自身的網絡系統也呈現出越來越強的功能，然而網絡除了帶給人們便利和享受，也帶來了網絡安全隱患，并且日益嚴重。因此當前網絡平臺建設過程中的主要目的之一就是要確保網絡應用和信息數據的安全性，有效預防惡意攻擊。

1網閘和防火墻技術功能概述

1.1網閘技術

網閘即安全隔離與信息交換系統，運行過程全部在透明狀態下進行，數據處理即時動態，能夠做到有效隔離來自操作系統外的各種安全威脅，以及基于TCP/IP網絡協議的安全威脅，借助應用層的數據處理技術能夠完全斷開內網和外網間的網絡連接。網閘系統的各個應用的設置都來自安全可靠的操作系統，系統中沒有TCP/IP網絡協議，不支持外界訪問，控制部分也與內外部網絡斷開；系統中裝有自動防侵入功能以及高效的控制訪問功能，支持路由和透明橋工作模式，支持主機、網絡和網段等多種網絡對象，支持HTTP，FIP，MAIL等標準網絡協議，支持IP和MAC地址綁定功能，支持HTTP的URL和內容的關鍵字過濾功能，還設置有支持數據庫管理、自動審查報警、防止應用層攻擊功能；內含優良的安全處理驅動，可以處理Dos系統和DDos系統的攻擊，磁盤緩沖區容量攻擊，黑客攻擊和存在應用層等的洪水攻擊等。

1.2防火墻技術

隨著防火墻技術功能的日趨完善，防火墻已經發展為現代網絡安全中應用最廣泛的安全防護選擇，特別是在電力系統平臺的建設中也體現出來。當系統處于網絡中時，位于終端網絡出口位置的防火墻主要是通過編寫安全編碼來管理控制經過的各項數據包。在現代的防火墻應用中，實現這一訪問控制主要有包過濾盒使用代理防火墻兩種技術。但不管是哪種技術都會遇到下面的情況：首先，對網絡節點進行邏輯分割，通過限制網絡邊界的方式來禁止入侵者破壞網絡；其次，對沒有權限的用戶進行限定，禁止連接內網；再者，網絡端口開放數量有限，通過這些提供技術服務；最后，在防護中進行網絡監測。

隨著防火墻技術應用的范圍增大，很多網絡安全難題得到了解決，但網絡應用也在不斷發展，電力系統平臺中的一些應用也對網絡安全、數據真實性和信息加密提出了更高的要求。針對網絡中無處不在的安全漏洞，基于TCP/IP網絡協議的防火墻技術在防范各類安全漏洞時，無法做到徹底地杜絕基于該網絡協議的安全漏洞；與此同時，安全攻擊技術也日趨提高，很多操作系統和網絡協議的安全威脅被暴露，是攻擊者挑戰網絡安全的主要方面。

2網閘與防火墻技術的聯合運用

要有效的根本杜絕防火墻技術的安全漏洞，可以在防火墻外面再安裝一個物理隔離網閘來為網絡安全保駕護航。二者在防護安全上的設計角度不同，防火墻技術的主要目的是在網絡暢通的前提下，為網絡安全運行消除威脅，其余內外網間的隔離方式是邏輯隔離，并沒有較高的安全性；物理隔離網閘則是在網絡安全運行之外，盡最大可能來確保網絡暢通，其功能實現無需考慮操作系統和TCP/IP網絡協議，收發信息也通過純文本方式進行，無程序接入運行，還會自動篩查信息內容，借助加密標識來控制管理流向外網的信息，保證內外網間的物理隔離，確保網絡安全。

物理隔離網閘通常設置在內外網之間，是一種物理的存儲介質，一個簡單的控制管理電路。一般狀態下，隔離網閘、內網和外網相互之間是斷開的，網絡也是完全斷開的。只有在外網向內網傳送數據時，外網的服務器馬上向隔離網閘發出非TCP/IP網絡協議的數據傳輸請求，而隔離網閘則會把全部的協議進行隔離，把原始信息讀入網閘。在不同的應用需求下，還會采取必要措施來檢查數據的完整性和有效性，比如防止病毒侵入或偽碼攻擊等。只要數據被全部讀入網閘內的介質內，隔離網閘就會斷開與外網之間的連接，而與內網之間再建立一個非TCP/IP協議的網絡連接。隔離網閘把介質里的信息轉向內網發送。內網接著把傳來的數據做TCP/IP封裝以及應用協議封裝，再傳送給應用系統。當隔離網閘確保數據進行有效傳輸后，就會馬上斷開與內網的直接連接，此時隔離網閘、外網和內網之間還是相互斷開的。而當內網中的數據需要傳送到外網時，其數據的處理原理以此相同。由此可得，不管哪種方式的數據傳輸，隔離網閘都會執行接收、存儲和傳送的處理過程；而且內外網之間永遠不會連接，二者在同一周期內有且只有一個網絡會與隔離網閘之間進行非TCP/IP協議的數據交換。

3結束語

在確保網絡安全方面，物理隔離網閘和防火墻兩種技術無法相互取代，二者工作原理不一樣，安全側重點也不一樣。如果說防火墻是內網與外圍之間的第一層安全保護的話，那么隔離網閘就是終端的第二層保護，主要維護操作系統和核心應用的安全，并消除在防火墻技術所不能解決的根本難題。因此，要把二者結合起來使用，使二者有益補充，綜合發揮安全保障功能，才會起到最佳的保護作用。

參考文獻

[1] 許云明，李春生.物理隔離網閘原理及應用[J].計算機安全，2005，12：26-29.

[2] 徐金友. 使用網閘與防火墻構建電力系統網絡安全構架[J].水利水電工程造價，2004，03：59-60.

[3] 陳征，劉剛杰.網閘在社保網絡安全防護中的應用研究[J].網絡安全技術與應用，2008，08：70-72.