淺談防火墻技術在氣象信息網絡中的應用

摘要：本文以網絡安全設備在市氣象局局域網中的應用為例，介紹了防火墻技術原理，闡述了如何利用硬件防火墻技術實現氣象信息網絡與電子政務外網的互通，從而提高氣象信息網絡的安全性、穩定性、實用性。

關鍵詞：局域網;電子政務外網;防火墻技術;穩定性

中圖分類號：TP311 文獻標識碼：A

文章編號：1009-3044（2020）27-0061-02

開放科學（資源服務）標識碼（OSID）：

電子政務網是各級政府為了加強信息化建設，通過互聯網專線的方式把下屬委、辦、局以及下一級政府單位的局域網進行互聯的網絡。為了讓外單位用戶通過電子政務外網訪問登陸國家突發事件預警信息發布系統地市級管理平臺并發布預警信息，利用防火墻技術在氣象局本局域網與外單位互聯的出口上部署一臺天清漢馬USG防火墻，通過對天清漢馬防火墻安全策略，網絡地址轉換（NAT）等相關配置，防止來自其他單位的入侵攻擊等威脅，從而實現氣象信息網絡與電子政務外網的互通，提高氣象信息網的實用性和安全性。

1 防火墻技術原理

1.1什么是防火墻

“防火墻技術”是指一種將單位內部局域網和外部互聯網或專網邏輯上分開的現代網絡通信隔離技術，通過網絡安全設備，實現隔離有害通信，阻斷網絡攻擊的一種應用性安全技術，大多數應用于局域網與其他外部網的互聯環境之中。通過在計算機信息網絡中應用防火墻技術，優化防火墻設置，充分發揮防火墻技術的優勢特點，確保信息網絡的安全性。通過防火墻技術的運用，可以隔絕那些外部危險的連接和攻擊行為，從而使本單位內部網絡的整體風險降低。

防火墻是一種最重要的網絡防護設備。在不同網絡或網絡安全域之間設置的一系列部件的組合，在這些網絡之間實施訪問控制的一組組件集合就是防火墻。防火墻較強的抗攻擊能力，能提供信息安全服務，實現網絡和信息安全。它是不同網絡或網絡安全域之間信息的唯一出入口，它能允許你“同意”的用戶和數據進入你的網絡，同時也能把你的用戶和數據拒之門外，根據單位的部署安全控制策略（允許、拒絕、監測）出入網絡的信息流，最大限度地阻止攻擊你的網絡中的黑客。所以在邏輯上，防火墻就是一個網絡訪問控制器，內部網和外部網之間的任何活動能有效地被實時監控，從而保證內部網絡的安全性。

1.2 防火墻的主要功能

防火墻的基本功能是防止未授權的訪問進出計算機網絡，篩選屏蔽通信網絡，簡單的概括就是，對外部網絡訪問行為進行防御控制。它將計算機的硬件和軟件相結合，在不同網絡之間建立起一個安全網關，從而保護內部網免受非法用戶的入侵和惡意攻擊。

（1）網絡安全的屏障

防火墻能極大地提高電腦網絡的安全性，一些不安全的網絡訪問被過濾攔截，從而提高電腦的安全性。一些不被允許通過的用戶和服務會被它阻止，這樣內部網絡環境就會變得更加安全。

（2）強化網絡安全策略

通過以防火墻為中心的安全配置方案，能在防火墻上配置所有安全軟件（如口令、加密、身份認證、審計等）。和將網絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經濟。各種安全措施通過防火墻的有機結合，對網絡安全性能起到有效加強作用。

（3）審計網絡訪問

防火墻是外部網絡和受保護網絡之間的唯一通道，可以監控審計內、外部網絡存取和訪問。只要有訪問行為經過防火墻，那么它就能記錄下這些訪問并進行日志記錄。根據防火墻的日志可以掌握網絡的使用情況，這就為網絡管理人員提供非常重要的安全管理信息。

2 防火墻技術在氣象信息網中的應用

國家突發事件預警信息發布系統地市級管理平臺主要分為國家突發公共事件預警信息監控平臺及發布平臺兩個部分，分別有兩個服務器（A01和B01）運行維護。通過電子政務外網的接人和天清漢USG馬防火墻的部署，實現外單位用戶訪問國家突發事件預警信息發布系統的發布平臺（BOI）并發布預警信息。

2.1 防火墻的部署

USG防火墻實現局域網與電子政務外網邏輯隔離，并在防火墻下劃分出電子政務外網區，用于部署政務外網區服務器，為地市電子政務外網提供信息發布系統的人機交互服務。防火墻內網口連接至氣象局局域網核心交換機，外網口連接至電子政務外網接入線路。為防火墻內網口分配內網IP地址172.18.122.29;外網口IP地址采用政府電子政務外網接人管理部門所分配的電子政務外網地址10.25.144.5。因電子政務外網所部署服務器需提供地市級政府部門訪問，還需為其分配一個電子政務外網的地址段，由防火墻將國突服務器BOI實地址（172.18.122.122）翻譯為電子政務外網地址后提供訪問服務，下面是烏蘭察布市氣象局內部局域網與電子政務外網連接的網絡拓撲圖：

2.2 防火墻的配置

（1）端口配置

Web方式登陸天清漢馬USG防火墻，對連接防火墻的電子政務外網的端口eth3配置IP地址和子網掩碼10.25 .144.5/24，為了防止外部用戶遠程登錄防火墻行為，eth3端口只開啟http和ping訪問方式，連接內網核心路由器的端口ethl配置IP地址和子網掩碼172.18.122.29/24，此端口開啟http .telnet、ping.ssh、集中監控訪問方式。

（2）NAT轉換

源地址的NAT轉換：氣象局域網內用戶通過端口eth3訪問政務外網本市各委辦局網絡地址時，將內網源地址172.18.0.0轉換成目標地址any，對于政務外網.訪問全部來自經過防火墻轉換后的地址，并不認為是來自內網的某個地址，可以隱藏內部網絡結構，減少對內部網絡的攻擊。

目的地址的NAT轉換：本市各委辦局訪問氣象局域網內國家突發事件預警信息發布系統即國突服務器B01向外部提供服務時，將外部源地址any映射成目的地址172.18.122.122，這樣能有效隱藏內部服務器BOI的信息，保護服務器不被攻擊。

（3）配置安全策略

根據氣象內網與電子政務外網互通的兩種訪問要求，建立兩種允許的安全策略動作，一是內網用戶訪問政務外網時即ethl→eth3，源地址和目的地址可以是上面NAT轉換設置的任何地址;二是政務外網用戶訪問氣象內網時即eth3→ethl，源地址可以是NAT轉換的任何地址，而目的地址只能是國突服務器BOI的地址172.18.122.122。

（4）路由表配置

在路由表中添加靜態路由目的地址0.0.0.0下一跳為電子政務外網路由器的地址10.25.144.254，直連路由目的地址10.25.144.0通過出接口eth3、目的地址172.18.122.0通過出接口ethl。 通過上訴防火墻的配置步驟完成對氣象局內網和電子政務外網的互通，這樣氣象局內部用戶訪問國家突發事件預警信息發布系統平臺發布預警信息時，登錄內網網址http：//172.18.122.122：8080/AMP，電子政務外網用戶訪問國家突發事件預警信息發布系統平臺時，則通過登陸防火墻映射好的網址http：//10.25.144.5：8080/AMP發布預警信息。

3 結束語

通過防火墻技術在氣象信息網中的應用，烏蘭察布市氣象局已通過電子政務網和外部單位成功對接，目前市環保局與應急管理局已成功登陸國家突發事件預警信息發布系統平臺（國突內網服務器BOI）發布預警信息，從中看出防火墻在實現氣象局域網與電子政務外網的互通中起到了至關重要的作用，也保障了市氣象信息網絡能夠安全穩定的運行。

參考文獻：

[1]陸玉陽，王海云.防火墻在企業網絡中的應用[J].網絡安全技術與應用，2015（5）：127-128.

[2]楊東曉，張鋒，熊瑛.防火墻技術及應用[M].北京：清華大學出版社，2019.

[3]駱兵.計算機網絡信息安全中防火墻技術的有效運用分析[J].信息與電腦，2016（6）.

【通聯編輯：梁書】

作者簡介：白艷萍（1981-），烏蘭察布市氣象局工作，工程師，從事信息網絡管理工作。