如何利用硬件防火墙技术实现气象信息网络互通

　　摘要：本文以网络安全设备在市气象局局域网中的应用为例，介绍了防火墙技术原理，阐述了如何利用硬件防火墙技术实现气象信息网络与电子政务外网的互通，从而提高气象信息网络的安全性、稳定性、实用性。

　　关键词：局域网； 电子政务外网； 防火墙技术； 稳定性；

　　电子政务网是各级政府为了加强信息化建设，通过互联网专线的方式把下属委、办、局以及下一级政府单位的局域网进行互联的网络。为了让外单位用户通过电子政务外网访问登陆国家突发事件预警信息发布系统地市级管理平台并发布预警信息，利用防火墙技术在气象局本局域网与外单位互联的出口上部署一台天清汉马USG防火墙，通过对天清汉马防火墙安全策略，网络地址转换（NAT）等相关配置，防止来自其他单位的入侵攻击等威胁，从而实现气象信息网络与电子政务外网的互通，提高气象信息网的实用性和安全性。

　　1 防火墙技术原理

　　1.1 什么是防火墙

　　"防火墙技术"是指一种将单位内部局域网和外部互联网或专网逻辑上分开的现代网络通信隔离技术，通过网络安全设备，实现隔离有害通信，阻断网络攻击的一种应用性安全技术，大多数应用于局域网与其他外部网的互联环境之中。通过在计算机信息网络中应用防火墙技术，优化防火墙设置，充分发挥防火墙技术的优势特点，确保信息网络的安全性。通过防火墙技术的运用，可以隔绝那些外部危险的连接和攻击行为，从而使本单位内部网络的整体风险降低。

　　防火墙是一种最重要的网络防护设备。在不同网络或网络安全域之间设置的一系列部件的组合，在这些网络之间实施访问控制的一组组件集合就是防火墙。防火墙较强的抗攻击能力，能提供信息安全服务，实现网络和信息安全。它是不同网络或网络安全域之间信息的唯一出入口，它能允许你"同意"的用户和数据进入你的网络，同时也能把你的用户和数据拒之门外，根据单位的部署安全控制策略（允许、拒绝、监测）出入网络的信息流，最大限度地阻止攻击你的网络中的黑客。所以在逻辑上，防火墙就是一个网络访问控制器，内部网和外部网之间的任何活动能有效地被实时监控，从而保证内部网络的安全性。

　　1.2 防火墙的主要功能

　　防火墙的基本功能是防止未授权的访问进出计算机网络，筛选屏蔽通信网络，简单的概括就是，对外部网络访问行为进行防御控制。它将计算机的硬件和软件相结合，在不同网络之间建立起一个安全网关，从而保护内部网免受非法用户的入侵和恶意攻击。

　　（1）网络安全的屏障

　　防火墙能极大地提高电脑网络的安全性，一些不安全的网络访问被过滤拦截，从而提高电脑的安全性。一些不被允许通过的用户和服务会被它阻止，这样内部网络环境就会变得更加安全。

　　（2）强化网络安全策略

　　通过以防火墙为中心的安全配置方案，能在防火墙上配置所有安全软件（如口令、加密、身份认证、审计等）。和将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。各种安全措施通过防火墙的有机结合，对网络安全性能起到有效加强作用。

　　（3）审计网络访问

　　防火墙是外部网络和受保护网络之间的唯一通道，可以监控审计内、外部网络存取和访问。只要有访问行为经过防火墙，那么它就能记录下这些访问并进行日志记录。根据防火墙的日志可以掌握网络的使用情况，这就为网络管理人员提供非常重要的安全管理信息。

　　2 防火墙技术在气象信息网中的应用

　　国家突发事件预警信息发布系统地市级管理平台主要分为国家突发公共事件预警信息监控平台及发布平台两个部分，分别有两个服务器（A01和B01）运行维护。通过电子政务外网的接入和天清汉USG马防火墙的部署，实现外单位用户访问国家突发事件预警信息发布系统的发布平台（B01）并发布预警信息。

　　2.1 防火墙的部署

　　USG防火墙实现局域网与电子政务外网逻辑隔离，并在防火墙下划分出电子政务外网区，用于部署政务外网区服务器，为地市电子政务外网提供信息发布系统的人机交互服务。防火墙内网口连接至气象局局域网核心交换机，外网口连接至电子政务外网接入线路。为防火墙内网口分配内网IP地址172.18.122.29;外网口IP地址采用政府电子政务外网接入管理部门所分配的电子政务外网地址10.25.144.5.因电子政务外网所部署服务器需提供地市级政府部门访问，还需为其分配一个电子政务外网的地址段，由防火墙将国突服务器B01实地址（172.18.122.122）翻译为电子政务外网地址后提供访问服务，下面是乌兰察布市气象局内部局域网与电子政务外网连接的网络拓扑图：

　　图1   

　　2.2 防火墙的配置

　　（1）端口配置

　　Web方式登陆天清汉马USG防火墙，对连接防火墙的电子政务外网的端口eth3配置IP地址和子网掩码10.25.144.5/24,为了防止外部用户远程登录防火墙行为，eth3端口只开启http和ping访问方式，连接内网核心路由器的端口eth1配置IP地址和子网掩码172.18.122.29/24,此端口开启http、telnet、ping、ssh、集中监控访问方式。

　　（2）NAT转换

　　源地址的NAT转换：气象局域网内用户通过端口eth3访问政务外网本市各委办局网络地址时，将内网源地址172.18.0.0转换成目标地址any,对于政务外网，访问全部来自经过防火墙转换后的地址，并不认为是来自内网的某个地址，可以隐藏内部网络结构，减少对内部网络的攻击。

　　目的地址的NAT转换：本市各委办局访问气象局域网内国家突发事件预警信息发布系统即国突服务器B01向外部提供服务时，将外部源地址any映射成目的地址172.18.122.122,这样能有效隐藏内部服务器B01的信息，保护服务器不被攻击。

　　（3）配置安全策略

　　根据气象内网与电子政务外网互通的两种访问要求，建立两种允许的安全策略动作，一是内网用户访问政务外网时即eth1→eth3,源地址和目的地址可以是上面NAT转换设置的任何地址；二是政务外网用户访问气象内网时即eth3→eth1,源地址可以是NAT转换的任何地址，而目的地址只能是国突服务器B01的地址172.18.122.122.

　　（4）路由表配置

　　在路由表中添加静态路由目的地址0.0.0.0下一跳为电子政务外网路由器的地址10.25.144.254,直连路由目的地址10.25.144.0通过出接口eth3、目的地址172.18.122.0通过出接口eth1.

　　通过上诉防火墙的配置步骤完成对气象局内网和电子政务外网的互通，这样气象局内部用户访问国家突发事件预警信息发布系统平台发布预警信息时，登录内网网址http://172.18.122.122:8080/AMP,电子政务外网用户访问国家突发事件预警信息发布系统平台时，则通过登陆防火墙映射好的网址http://10.25.144.5:8080/AMP发布预警信息。

　　3 结束语

　　通过防火墙技术在气象信息网中的应用，乌兰察布市气象局已通过电子政务网和外部单位成功对接，目前市环保局与应急管理局已成功登陆国家突发事件预警信息发布系统平台（国突内网服务器B01）发布预警信息，从中看出防火墙在实现气象局域网与电子政务外网的互通中起到了至关重要的作用，也保障了市气象信息网络能够安全稳定的运行。

　　参考文献

　　[1]陆玉阳，王海云。防火墙在企业网络中的应用[J].网络安全技术与应用，2015（5）：127-128.

　　[2]杨东晓，张锋，熊瑛。防火墙技术及应用[M].北京：清华大学出版社，2019.

　　[3]骆兵。计算机网络信息安全中防火墙技术的有效运用分析[J].信息与电脑，2016（6）。