DMZ區安全建設在氣象業務中的應用與探討

摘要：本文首先介紹了DMZ區的工作原理，探討了DMZ區在氣象業務中的實際應用，通過配置防火墻策略來構建DMZ區，在網絡安全的基礎上確保氣象數據的實時傳輸，從而有效解決內外網絡間信息交換的難題，保障氣象信息安全性。

關鍵詞：DMZ區；防火墻配置；氣象信息安全

中圖分類號：TP311" " "文獻標識碼：A

文章編號：1009-3044（2025）28-0120-03

開放科學（資源服務） 標識碼（OSID）

0 引言

在日常的工作應用中，對外提供氣象服務需要通過某些服務器，為了更好地提供服務，并有效保護氣象內部網絡的安全，將需要對外開放的服務器與氣象內部網絡設備隔離開來，通過采取隔離措施，既保護了氣象內部網絡又最大限度對外提供友好的服務[1]。針對不同資源提供不同安全級別的保護，可以構建一個DMZ區域，這樣主機內網環境可以通過DMZ提供網絡級的保護，可將因給不信任客戶提供服務而引發的危險降低到最低程度，所以DMZ是放置公共信息的最佳位置。在氣象內部局域網中，內部網絡和主機的安全通常并不如人們想象的那樣堅固，許多漏洞是由于提供Internet服務而產生的，使其他主機極易受到攻擊。但是，通過配置DMZ，可以將需要保護的Web應用程序服務器和數據庫系統放在內網中，將不包含敏感數據、擔當代理數據訪問職責的服務器放置于DMZ中，這樣就為氣象服務系統安全提供了保障。因此，包含重要數據的氣象內部業務系統通過DMZ免于直接暴露給外部網絡而受到攻擊，即使攻擊者入侵成功，還要面臨DMZ設置的新的屏障。

1 DMZ區的工作原理

1.1 DMZ概述

DMZ是英文“demilitarized zone”的縮寫，中文名為“隔離區”，或“非軍事化區”。為了解決安裝防火墻后外部網絡不能訪問內部網絡服務器的問題，而設立了一個非安全系統與安全系統之間的緩沖區，這個緩沖區位于單位內部網絡和外部網絡之間的小網絡區域內，一些必須公開的服務器設施，如企業Web服務器、FTP服務器和論壇等可以放置在這個小網絡區域內。內部網絡通過DMZ區域更加有效地被保護，與一般的防火墻方案相比，這種網絡部署對攻擊者來說又多了一道障礙，如圖1所示。總之，DMZ的設置旨在為不信任的客戶端提供一個安全緩沖，防止其直接攻擊內部網絡。

1.2 DMZ區的作用

DMZ的主要作用是在內部網絡和外部網絡之間建立一個安全隔離的區域，使得外部網絡無法直接訪問內部網絡，從而有效保護內部網絡的安全。在DMZ區域中，通常會部署一些公共服務器，這些服務器可以提供對外服務，同時又與內部網絡隔離開來，以避免外部攻擊對內部網絡的影響。

一般網絡分為內網和外網，也就是LAN和WAN，而網絡安全可以被劃分為三個區域，安全級別最高的是內網，安全級別中等的是DMZ（隔離區） ，安全級別最低的是外網Internet。當外網和內網需要同時訪問服務器時，有兩種方法，即將該服務器放在LAN中，或放在DMZ區。因為在配置防火墻時默認情況下是保護內網的，所以一般的策略是允許內網訪問外網，禁止外網訪問內網。但假設外網想訪問這個服務器時，那么這個服務器意味著已經處于不可信任的狀態，即這個服務器不能主動訪問內網。所以，如果服務器放在內網（通過端口重定向讓外網訪問） ，一旦這個服務器被攻擊，則內網將會處于非常不安全的狀態。建立DMZ就是為了使服務器能被外網訪問，也能被內網訪問，但這個服務器是不能主動訪問內網的。因此，DMZ就是這樣一個能被外網訪問且物理位置在內網的區域。無論LAN、DMZ，還是WAN，都是邏輯關系。

總之，構建DMZ區是一種提高網絡安全性的有效方法，通過建立安全隔離區域，可以保護內部網絡免受來自外部網絡的惡意攻擊。構建DMZ需要考慮位置、網絡拓撲、安全設備和服務、安全區域劃分、安全網絡協議以及定期更新和維護等因素，以確保DMZ的可靠性和安全性。

1.3 DMZ區的應用場景

1） ?企業網絡。?在企業網絡中，DMZ通常用于放置Web服務器、FTP服務器等需要對外提供服務的服務器。通過DMZ的隔離作用，確保這些服務器在對外提供服務的同時，不會暴露內部網絡的敏感信息。

2） ?云計算環境。?在云計算環境中，DMZ的概念被進一步擴展。通過虛擬私有云（VPC） 、安全組、網絡ACL等機制，可以在云平臺上構建類似DMZ的隔離區域，以保護云中的資源和服務。

3） ?遠程辦公。?隨著遠程辦公的普及，DMZ技術被用于構建一個安全的隔離區域，確保遠程訪問的安全性和穩定性。

1.4 怎樣構建DMZ區

日常工作中通過防火墻創建DMZ是最常用的方法，利用一個有三個接口的防火墻創建隔離區，每個區域連接到該防火墻的一個接口。許多關于DMZ安全控制策略就是通過防火墻提供區與區之間的隔離機制實現的。主要通過安全隔離、業務請求轉發、流量控制、訪問控制、部署特定服務等方式實現DMZ區的架構。

1） 安全隔離。?DMZ區位于內部網絡和外部網絡之間，作為一個緩沖區。它確保內部網絡與外部網絡之間的通信受到嚴格限制，只允許必要的業務流量通過。這樣可以有效地保護內部網絡免受外部攻擊，即使DMZ區的服務器受到破壞，也不會影響到內部網絡中的敏感信息。?

2） ?業務請求轉發。?DMZ區內可以配置負載均衡器或反向代理服務器，以優化業務請求的轉發效率和可靠性。這些服務器能夠處理來自外部網絡的請求，并將響應返回給用戶，同時保護內部網絡不受直接訪問。?

3） ?流量控制。?DMZ區通過實施流量控制機制，保護內部網絡不受惡意流量干擾及過量請求的沖擊。這有助于防止分布式拒絕服務攻擊和其他惡意流量對內部網絡的潛在威脅。?

4） ?訪問控制。?DMZ區內的服務器只能與同處DMZ內的主機和外部網絡的主機通信，但與內部網絡主機的通信會受到限制。內部網絡用戶可以自由地訪問外部網絡，但外部網絡訪問內部網絡的請求會受到嚴格審查和限制。這種訪問控制機制進一步增強了內部網絡的安全性[3]。?

5） ?部署特定服務。?DMZ區通常部署那些需要對外提供服務的服務器，如Web服務器、FTP服務器、郵件服務器等。這些服務器在DMZ內能夠被外部網絡用戶訪問，但內部網絡的其余部分則受到保護，不易被外部網絡得知。?

2 DMZ區的建立在氣象業務中的應用

2.1 DMZ區的部署

DMZ區內三臺服務器通過移動互聯網分別接收全市區域自動站數據（包含單雨站數據、骨干站數據、交通氣象站數據等） 、察汗淖爾蒸散量雨滴普數據、大氣電場儀數據和閃電定位儀數據，并通過地面管理監控平臺、區域蒸散量系統、三維雷電監測系統顯示各類實時數據，氣象內網用戶通過防火墻內網端口訪問三個平臺的數據[4]。將HUAWEI AR1220C防火墻Ge10口設為內網口，連接氣象局局域網核心交換機，并為Ge10口分配內網IP地址172.18.122.13；Ge9口設為外網口，連接移動外網交換機，IP地址為移動公網地址218.202.72.52；Ge0口設為DMZ區接口，IP地址設為192.168.100.1，即為DMZ區IP地址網關，3臺服務器的地址分別設為192.168.100.11、192.168.100.15、192.168.100.16。

2.2 利用防火墻建立DMZ區的配置方法

1） 端口配置（如表1所示）。以AR Web方式登錄HUAWEI AR1220C防火墻，在局域網接入物理接口模塊中開啟Ge0口，功能描述為DMZ即隔離區網關地址，在VLAN接口模塊中將Ge0口IPV4配置為192.168.100.1，子網掩碼配置為255.255.255.0；在廣域網以太接口模塊中為Ge9口配置IP地址218.202.72.52，子網掩碼為255.255.255.240，功能描述為Untrust即非安全區公網地址；為Ge10口配置IP地址172.18.122.13，子網掩碼為255.255.255.0，功能描述為trust即安全區內網地址，IPV4接入方式均為Static。

2） NAT轉換。DMZ區服務器與內網區、外網區的通信是經過網絡地址轉換（NAT） 實現的。網絡地址轉換用于將一個地址域映射到另一個地址域，以隱藏內部網絡。DMZ區服務器對內服務時映射成內網地址，對外服務時映射成外網地址。采用靜態映射配置網絡地址轉換時，服務用IP和真實IP要一一映射，必須有源地址轉換和目的地址轉換。

將外部IP地址即公網地址218.202.72.52通過NAT轉換映射成DMZ區的地址，由于DMZ區放置三臺服務器，每臺服務器收集不同類型的數據，所以須在三臺服務器的入站規則中分別開啟不同類型數據的端口號，再在防火墻IP模塊中通過內部服務器功能將公網地址通過相應端口號映射成三個DMZ區內部地址，協議類型根據數據上傳類型選擇UDP或者TCP。

從表2可看出，NAT轉換還可將防火墻內網地址172.18.122.13通過特定端口18080映射成DMZ區地址192.168.100.11，這樣氣象內網用戶可在內網電腦終端登錄內網網址http：//172.18.122.13：18080/MeteoWeb.html，即可訪問DMZ區數據查詢系統。

3） 配置安全策略。安全策略通過安全規則集技術實現，實現一個成功、安全的防火墻的非常關鍵的一步就是配置一個可靠、高效的安全規則集。如果配置錯誤的防火墻規則集，再好的防火墻也只是擺設。在建立規則集時必須注意規則次序，因為防火墻信息包大多以順序方式檢查，同樣一套規則，若放置次序不同，防火墻的運轉情況可能會被完全改變。如果信息包經過每一條規則而沒有發現匹配，這個信息包便會被拒絕。通常的順序是，前面是較特殊的規則，后面是較普通的規則，以防止信息包在找到一個特殊規則之前被一個普通規則匹配，避免錯誤配置防火墻。為了讓DMZ區的應用服務器能與內網中的服務器通信，須增加DMZ區安全規則，這樣一個基于DMZ的安全應用服務便配置好了。其他的應用服務可根據安全策略逐個配置。

DMZ區建立后，還需要對防火墻安全策略即ACL進行配置，通過合理配置訪問控制列表ACL，可以有效提升網絡的安全性和性能，防止未經授權的訪問和攻擊，確保氣象網絡的穩定運行。根據氣象內網要訪問DMZ區各系統數據、DMZ區各服務器不能訪問氣象內網的要求，建立了四條ACL策略（如表3所示） ，分別是trust_to_DMZ、Untrust_to_DMZ、DMZ_to_Internet和DMZ_to_trust。這些策略把氣象內網稱為trust區域（即安全區域） ，把公網區域稱為Untrust區域（即不安全區域） ，允許氣象內網用戶訪問DMZ區域各數據系統，反之則不允許DMZ區用戶訪問內網區域[5]。

4） 路由表配置。路由表中分別添加靜態路由，目的地址0.0.0.0的下一跳為移動公網地址218.202.72.49，目的地址192.168.100.0的下一跳為防火墻DMZ區網關，從而實現DMZ區各服務器互通和允許其訪問互聯網。

3 結束語

DMZ無疑是網絡安全防御體系中的重要組成部分，作為內外網之間的緩沖區，能夠有效隔離外部網絡的攻擊風險，通過入侵檢測技術和基于主機的其他安全措施，將極大地提高氣象公共服務及整個氣象系統的安全性。氣象信息網通過防火墻劃分DMZ區技術的應用，使得我們各類區域自動站數據、察汗淖爾蒸散量數據、大氣電場儀和三維閃電定位儀數據通過公網IP上傳到DMZ區域的各個服務器數據庫中，通過防火墻的特定地址轉換功能使得氣象內網用戶通過氣象局域網訪問DMZ區各類氣象數據。由此可見，DMZ區的建立，有效防范了氣象內網與互聯網進行數據交互的風險，也保障了氣象數據的安全性和氣象信息內網的穩定運行。

參考文獻：

[1] 李鹿.DMZ區在氣象業務中的數據傳輸應用與安全性探討[J].內蒙古科技與經濟，2024（9）：127-130.

[2] 官小云，楊培會.計算機網絡信息系統安全問題探討[J].信息系統工程，2016（5）：65.

[3] 郭豐赫，李萌，李展.加強氣象網絡安全過程的訪問控制方法與應用[J].黑龍江氣象，2024，41（3）：41-43.

[4] 潘琳琳，付遠.網閘和DMZ在氣象信息跨網交換中的應用[J].信息與電腦（理論版），2023，35（7）：209-211.

[5] 陳煒光.氣象網絡安全設計方案存在的問題與防御技術[J].內蒙古科技與經濟，2024（23）：136-138，149.

【通聯編輯：梁書】