1 引言
随着信息网络的高速发展,人们对信息网络系统的依赖性不断增强,利用关键基础软件硬件安全漏洞的网络攻击数量持续上升,针对数据的网路攻击以及个人信息窃取的问题日趋严重,数据安全和隐私风险问题突出,网络空间已成为了各国争夺的重要战略空间,网络空间对抗态势进一步升级。2020年开始,我国对网络空间安全的重视程度不断提高,陆续出台了相关法规政策,积极推动我国各行业网络安全防护体系的建设。当前,气象业务的发展已经形成了以计算机系统为主的信息网络业务,在信息化网络模式下,气象信息及时高速地被传递到社会生活的各个角落,方便人们随时随地了解到气象信息的同时也存在不少网络安全问题。因此,完善气象部门网络安全管理体系,加强气象内网与行业专线、电子政务外网和互联网的网络边界安全管控,构建气象部门网络安全防线,对于提高网络安全保护能力,保障气象部门网络安全是势在必行的。
2 DMZ区构建
2.1 DMZ区的定义
DMZ(“demilitarized zone”)中文名为“隔离区”,也可称作“非军事化区”,DMZ 区可以理解为一个不同于外网或内网的特殊网络区域,是为了解决外部网络与内部网络服务器之间数据交换的问题,而设立的一个非安全系统与安全系统之间的缓冲区,作用是把单位允许外部访问的服务器单独部署在此区域,使整个需要保护的内部网络接在信任区后,不允许任何外部网络的直接访问,实现内外网分离,这样来自外网的访问者只可以访问 DMZ 区中的服务或推送相关资料到DMZ区,无法接触到存放在内网中的信息,即使 DMZ 中服务器受到破坏,也不会对内网中的信息造成影响。
2.2 深信服下一代防火墙
深信服下一代防火墙用深度内容检测技术,有效结合web攻击的静态规则以及基于黑客攻击过程的动态防御机制,提供常见的web攻击防护功能,涵盖了完整的传统防火墙功能,包括访问控制、NAT支持、路由协议、VLAN属性等功能;提供基于应用类型、用户名、接口、安全域、IP地址、端口、时间的访问控制策略,可针对主要的服务器(WEB服务器、FTP服务器、邮件服务器等)反馈信息进行了有效的隐藏;基于勒索病毒攻击链条及复盘勒索病毒攻击事件,采用基于流引擎查毒技术,能实时查杀大量文件型、网络型和混合型等各类病毒,拥有国内最大的应用规则识别库,可识别数千互联网应用及内网应用,防止黑客利用服务器返回信息进行有针对性的攻击,提供贯穿评估、防御、检测、处置的勒索病毒对抗能力及最佳实践配置向导,通过发现的恶意网络行为可直接在终端进行进程级分析,定位真实攻击源头,并针对长期潜伏的勒索病毒慢速爆破、无特征等高级威胁问题提供专项防御检测处置手段。
2.3 气象部门网络安全现状
随着计算机网络的飞速发展,工作人员基本能够做到个人计算机的管理工作,及时更新系统和相关软件,及时对计算机中安装的软件防护杀毒系统升级和补丁修复,能够避免一部分因为操作不当导致的木马病毒、病毒入侵和信息泄露;气象部门网络安全专业技术人员技术的不断提升,当出现网络故障时,可以应对简单的常见网络安全故障,对于专业病毒防御、网络区域设置等关键技术的掌握较少,出现复杂的网络安全故障无法及时解决,进而影响了气象业务的正常、稳定运行;气象部门对外气象服务业务不断增多,数据快速、便捷的实时传递,容易引起病毒的直接感染,由于防护措施不完善,即便设有防火墙装置,也阻挡不了网络内部遭受攻击。目前,网络接入和对外服务存在较大安全隐患,一是未规划专门对外服务安全隔离区(DMZ),内网服务器直接映射在公网上,外部门直接通过互联网、专线或者政务外网访问内网资源,气象内网直接暴露在外部网络上。二是虽然规划了DMZ区,但是访问权限控制不严格不到位,DMZ区能够直接访问内网获取资源,存在很大的安全漏洞和隐患。三是网络边界安全防护设备建设不到位,部分对外网络边界无专用安全设备,部署了安全设备也存在设备过保修期、升级序列号过期、病毒库规则库过期不能升级等情况,网络安全防护形同虚设。
2.4 DMZ区的构建
随着网络技术的发展,病毒的破坏力越来越强,如果没有及时制止病毒的入侵,可能会造成计算机彻底被控制或瘫痪,最终造成整个内网被攻破。为阻止内外网直连导致的相关网络入侵,实现内外网隔离,本文以深信服 AF1350为例进行DMZ区构建。首先以管理员的身份登录防火墙,进入接口/区域,在区域页面内新增三个转发类型为三层区域的区域,信任区(内网)、非信任区(外网)和DMZ区,其中外网和DMZ区是不允许管理防火墙的,只能允许内网管理,将防火墙的物理接口分别添加到对应区域。进入物理接口页面,设置物理接口类型为路由,并将其添加至所属区域,设置物理接口的静态IP地址,启用物理接口。将防火墙各物理端口与其所属区域一一设置成功后,进入对象,在网络对象页面新增IP组,一组为内网网段地址,一组为远程DMZ区网段地址,一组为外网地址。接下来进行策略配置,在应用控制策略页面,配置内网-DMZ区的安全策略,访问者区域为内网,地址为内网所有IP,被访问者为DMZ区,地址为远程DMZ区地址,只允许内网到DMZ区的单项访问,最后登录核心交换机,配一条核心交换机到DMZ区的静态路由就可以实现指定内网地址到DMZ区的单向访问了,内网到DMZ区根据业务运行需要,开放允许访问策略,细化源、目的地址和端口,避免实际网络运行环境中DMZ的系统频繁遭到来自内网的攻击。外部网络到对外服务安全区同样根据业务运行需要,开放允许访问策略,细化源、目的地址和端口,对于来自互联网的访问,根据实际情况,源地址可以设置为any。这样就可实现禁止非气象部门的单位、组织或个人连接到气象内部网络中访问气象应用及数据资源。
2.5 DMZ在气象业务中的应用
DMZ区的应用主要包括两方面。一是区域自动站数据的接收,为满足网络安全和业务应用要求,只允许内网指定地址访问DMZ区,外网数据通过端口映射的方式传入DMZ区,并将本地区域自动站系统迁移到DMZ区,同时在内网服务器新建一套中心站系统,通过FTP的方式把DMZ区中心站的站点数据同步到气象内网服务器,然后通过内网服务器系统完成后续业务。二是开展对外服务业务,将对外服务服务器迁入DMZ区,并升级对外服务系统,调整底层数据支撑模式,供对外服务系统系统使用,内网指定端终端配置一套数据中转服务系统,将对外服务系统运行需要的气象数据从气象内网相关数据下载平台下载后推送到DMZ区,外网用户可在DMZ区获取所需数据。
3 总结
DMZ区的构建对气象网络的互联网出口进行了统一的规划和设计,通过在这个网络区域内放置一些必须公开的服务器设施,解决了安装防火墙后外部网络不能访问内部网络服务器的问题。另一方面,比起一般的防火墙方案,构建这样一个集中的对外服务区域,对攻击者来说又多了一道关卡,当有来自互联网的访问请求需要到DMZ服务器时,整个传输过程中都是走的TCP/IP协议,整个流程限制在网络层,即使数据包中包含木马、病毒等威胁数据,也只会到了目标服务器组成完整的文件,才会形成威胁,由于DMZ区不能访问气象内网,因此不会直接对内网造成影响,这样更加有效地保护了内部网络,提高了网络安全,同时方便了监控管理。
参考文献
[1] 省级外网气象大数据服务平台研究与实现[J].秦运龙,王迎迎,张冰,松汪璠.气象科技. 2020,48(06).
[2] 海量数据存储和准实时查询系统设计与实现[D].齐方方.西南石油大学.2015.
[3] 大数据时代网络安全隐患及其防范措施[J].周芊贝. 中阿科技论坛(中英文). 2021(03).
