一种利用天融信防火墙及堡垒机的远程维护技术

2024年6月7日发(作者：)

一种利用天融信防火墙及堡垒机的远程维护技术

发布时间：2023-02-03T03:51:35.523Z 来源：《中国电业与能源》2022年第18期 作者： 周奇

[导读] 在高速发展的网络下，防火墙与堡垒机是在网络传输数据的保障与检测手段。

周奇

贵州电网有限责任公司毕节供电局 贵州省毕节市 551700

摘要：在高速发展的网络下，防火墙与堡垒机是在网络传输数据的保障与检测手段。文章介绍了配网运行控制三区的数据在安全防护边

界下，通过防火墙与堡垒机实现远程维护的目的，保证了数据传输可靠性的同时，也提高了工作效率。

关键词：防火墙；堡垒机；远程维护；应用

1网络安全防护的基本概念及要求

网络安全防护是一种网络安全技术，指致力于解决诸如如何有效进行介入控制，以及如何保证数据传输的安全性的技术手段，主要包括

安全分析技术，网络结构安全分析技术，系统安全分析技术，管理安全分析技术，及其他的安全服务和安全机制策略。

网络安全等级保护主要分为五级，其中主要包括：云计算、移动互联网、物联网、工业控制系统安全扩展要求；通过相关的网络安全防

护设备，例如：交换机、防火墙、堡垒机从而达到网络防御的目的。

2 防火墙的安防技术

2.1防火墙的结构及相关技术

网络卫士防火墙，采用开放性的系统架构及模块化的设计，融合了防火墙、入侵检测、

身份认证等多种安全解决方案，构建的一个安全、高效、易于管理和扩展的网络防火墙。

TOS 操作系统是天融信自主研发的新一代系统平台，采用全模块化设计、中间层理念，具有高效性、高安全性、高健壮性、扩展性、可移

植性、模块化、标准化等特征。

2.2防火墙的基本功能

网络卫士防火墙本身可以提供完整的访问控制功能，可以自由地采用路由、透明及混合等多种方式集成到客户网络环境中，为客户网络

提供强大的安全保护功能。同时，客户还可以通过原有的网络管理平台（如 SNMP 管理器或日志服务器）对网络卫士防火墙的运行状况进

行查询、监控和日志分析。网络卫士防火墙具有如下基本功能：

(1)支持透明、路由和混合三种工作模式。

(2) 支持基于对象的网络访问控制，包括网络层、应用层等多层次的访问控制；支持URL、HTTP 脚本、关键字、邮件等多种形式的内

容过滤。

(3) 支持多种网络地址转换（NAT）方式。

(4) 支持多种认证方式，如本地认证、证书认证、Radius 认证、TACACS、SecurID、LDAP、域认证等多种认证方式。

(5)支持标准 IPSec VPN。

(6) 内置 IDS 模块，能够自防御 Land、Smurf、TearOfDrop、Ping of Death、SynFlood、Targa3 和 IpSweep 等十几种攻击，具有抗

DOS/DDOS 攻击功能。

3堡垒机的功能及安防应用

3.1堡垒机的基础功能

堡垒机技术主要帮助内网信息系统管理者，实现六大方面智能化支撑和高安全性防护，这六方面的功能，也成为国际通行的堡垒机“标

配”功能。其包括：单点登录、帐号管理、身份认证、资源授权、访问控制、操作审计。

（1）单点登录。

堡垒主机提供了基于B/S的单点登录系统，用户通过一次登录系统后，就可以无需认证的访问包括被授权的多种基于B/S和C/S的应用系

统。单点登录为具有多帐号的用户提供了方便快捷的访问途经，使用户无需记忆多种登录用户ID和口令。它通过向用户和客户提供对其个

性化资源的快捷访问提高生产效率。同时，由于系统自身是采用强认证的系统，从而提高了用户认证环节的安全性。?单点登录可以实现与

用户授权管理的无缝连接，这样可以通过对用户、角色、行为和资源的授权，增加对资源的保护，和对用户行为的监控及审计。

（2）帐号管理

集中帐号管理包含对所有服务器、网络设备帐号的集中管理。帐号和资源的集中管理是集中授权、认证和审计的基础。集中帐号管理可

以完成对帐号整个生命周期的监控和管理，而且还降低了企业管理大量用户帐号的难度和工作量。同时，通过统一的管理还能够发现帐号

中存在的安全隐患，并且制定统一的、标准的用户帐号安全策略。?

（3）身份认证

内控堡垒主机为用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理，而且能够采用更加安全的认证模式，提高

认证的安全性和可靠性。

集中身份认证提供静态密码、Windows?NT域、Windows?Kerberos、双因素、一次性口令和生物特征等多种认证方式，而且系统具有灵活的

定制接口，可以方便的与其它第三方认证服务器之间结合。

（4）资源授权

堡垒主机系统提供统一的界面，对用户、角色及行为和资源进行授权，以达到对权限的细粒度控制，最大限度保护用户资源的安全。通

过集中访问授权和访问控制可以对用户通过B/S、C/S对服务器主机、网络设备的访问进行审计和阻断。

（5）访问控制

堡垒主机系统能够提供细粒度的访问控制，最大限度保护用户资源的安全。细粒度的命令策略是命令的集合，可以是一组可执行命令，

也可以是一组非可执行的命令，该命令集合用来分配给具体的用户，来限制其系统行为，管理员会根据其自身的角色为其指定相应的控制

策略来限定用户。

（6）操作审计

操作审计管理主要审计人员的帐号使用（登录、资源访问）情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用

统一的帐号、资源进行标识后，操作审计能更好地对帐号的完整使用过程进行追踪。内控堡垒主机系统通过系统自身的用户认证系统、用

户授权系统，以及访问控制等详细记录整个会话过程中用户的全部行为日志。还可以将产生的日志传送给第三方产品。

3.2堡垒机的应用

堡垒机可以运用到财政系统、工商系统、公安系统、公积金系统、城市银行、企业客户、电力行业、互联网等多种行业。堡垒机实现

对各种操作（包括Unix等终端指令、Windows等图形操作、C/S客户端工具操作、浏览器操作）的集中管理,有效解决共享账号问题，确保操

作者与实际操作一一对应,严格访问控制策略，有效杜绝了未授权访问操作.

4防火墙与堡垒机的联合应用

配网运行控制系统总共分为生产控制大区（一区）与管理信息大区（三区）。防火墙与堡垒机选择布置在三区，可以大幅度提高工作效

率并更大限度地保证了系统的安全，有效地记录工作内容，防护网络攻击。

配网OCS系统三区部署一台天融信堡垒机和天融信WEB应用安全防护系统设备（TopWaf），并在堡垒机上开设两个物理网口，一个网

口主要连接配网OCS系统三区交换机，另一个网口连接天融信的TopWaf的物理网口（主要作用为网络安全防护及部署相关网络安全策

略），天融信的TopWaf的开设另一个网口连接管理信息四区的综合数据网接入交换机。通过在TopWaf和堡垒机上分别部署安全网络策略和

用户登录策略等相关配置，实现特定的办公机电脑远程维护配网OCS三区的设备。

结束语

互联网络的开放性和通信协议的安全缺陷，以及在网络环境中数据信息存储和对其访问与处理的分布性特点，网上传输的数据信息很

容易泄露和被破坏，网络受到的安全攻击非常严重,保障网络安全需要参考网络安全的各项标准以形成合理的评估准则，更重要的是必须明

确网络安全的框架体系、安全防范的层次结构和系统设计的基本原则，分析网络系统的各个不安全环节，找到安全漏洞，才能做到有的放

矢。

参考文献

[1吴圣才.浅谈交换机安全防范技术应用.硅谷，2008,24.

[2]邓苏,刘青宝,等.数据仓库原理与应用.电子工业出版社,2002.

[3]甘刚,网络设备配置与管[M],中国水利水电出版社,2006.