关于网络数据安全防护体系的研究与应用

摘要： 　　本文主要介绍了一种新的防火墙的设计与实现，其新颖的设计思想和可靠的功能具有推广的价值。 关键词： 　帧 防火墙 一、 前言 　　随着钢铁行业竞争的加剧，借助计算机和信息处理技术，提高企业管理水平和竞争力，实现企业生产、经营和管理的科学化、规范化与数字化已经成为钢铁企业的必由之路。目前，炼钢厂已成功组建了厂局域网，并以此为平台，自主开发了网络协同办公系统、数据采集系统等各种管理软件，信息化建设初见成效。然而，网络中的黑客攻击与病毒入侵日益猖獗，而生产车间的监测与监控系统一旦通过网络遭到黑客攻击或受到病毒感染，其后果与损失将是不堪设想的。因此，如何使生产现场的各种监测与监控系统所得到的数据实时传送到厂局域网上，同时又能保证生产现场的各种监测与监控系统免受黑客攻击或病毒感染，成为炼钢厂信息化建设发展必须要解决的关键问题。为了解决这个问题，炼钢厂技术人员与山东科技大学的教授联合攻关，终于研制成功NDFS-1型网络数据安全防护系统。 二、 系统设计实现 1、 设计思路 　　本系统工作在无IP方式下，对经过的数据帧进行单向过滤，仅允许内网（上位机）发向外网的数据帧（信息帧）、外网（数据库服务器）发向内网的应答帧通过，它工作起来就像一个单向透明的网桥，在保证内网完全免遭黑客攻击与病毒入侵的情况下实现了必要信息的传输，它对数据帧的过滤完全在操作系统的内核中实现，直接操作网络设备，使系统的处理速度与高速的网络设备相匹配，不影响网络的性能。 2、 系统结构 （1）系统联网的逻辑结构 （2）系统硬件设计 　　本系统为专用硬件防火墙，对于传送的数据包进行分析，只允许数据单向通过，所以要对数据包进行详细的分析，然后根据分析的结果进行数据传送，因此其分析速度必须足够快。本系统采用高速的DSP处理器，其逻辑框图如下： 　　DSP作为主要的CPU，主要负责数据包的接收、发送和分析，由于DSP的速度非常快，所以在连接其他外围芯片时，必须采用桥接芯片。桥接芯片采用目前比较流行的CPLD、EEPROM、SRAM，系统带有八个下行接口和一个上行接口，在软件分配上，选择其中的一个接口作为上行接口用来连接局域网，其余的网络接口用来连接上位机。 （3） 算法设计 　　数据包由工作现场向数据服务器传输时的工作流程如下图所示： （4） 软件实现 　　在对数据报的分析过程中，首先对以太网首部中的帧类型字段进行分析，当为0X0608时,当前数据包为ARP数据包，不需其他的判断，就可以直接让当前的数据通过；当为0x0008时，当前数据包为IP数据报，此时需要进行更多的判断。对于IP数据报，只有UDP的DNS响应报文和TCP协议中的某些类型的数据报才可以通过物理防火墙到达工作现场。 　　同时为了防止恶意的数据报利用已经建立的连结攻击位于工作现场的计算机，每一个连接都指定了一个生存时间，当一个连结的存活时间达到生存时间并且在一定的时间内这个连结没有被激活时，防火墙即将自动释放这个连结，以保证网络传输的安全性。 三、 系统主要特点 1、安全性高 　　系统是专为炼钢厂量身订做的防火墙产品，针对性强，由于工作无IP方式下，对经过的数据帧进行单向过滤，在保证内网完全免遭黑客攻击与病毒入侵的情况下实现了必要信息的传输，与一般传统意义上的防火墙产品、网络/服务器隔离产品相比有更高的安全性。 2、使用简单 　　其使用十分简单，完全符合国际标准，就像普通的防火墙一样使用，无需另外附加特殊元器件和接线。 3、使用寿命长 　　本系统使用寿命长，可以工作在恶劣的环境。 4、高速的处理速度 　　 　　本系统由于采用高速的DSP处理器，对数据帧的过滤完全在操作系统的内核中实现，直接操作网络设备，使系统的处理速度能与高速的网络设备相匹配，不影响网络的性能。 四、 结论 　　炼钢厂网络数据安全防护系统采用无IP 工作模式，利用先进的硬件和软件设计思想，针对炼钢厂内部网络的实际需求，设计而成的一套稳定、安全、高效的网络数据安全防护产品。其先进的技术和严谨的设计结构，充分担当起了企业局域网的安全防护工作，解决了企业内网和外网的数据传输的关键问题，为炼钢厂数据的安全采集和信息化建设，为炼钢厂领导及时了解生产情况和进行决策，打下了坚实的基础。该系统投入使用半年多的时间，真正起到了防护黑客攻击和病毒入侵的作用，使炼钢厂的信息化建设有了全面高速的发展。