目前，网络安全已经成为了社会广泛关注的问题，现代社会的发展步入了信息化时代，网络安全对提高人们生活质量、促进社会改革发展起着重要作用，只有充分保证网络安全稳定运营才能使企业重要数据信息不被非法入侵者破坏和窃取，确保网络不间断服务。

1、基于防火墙的网络安全防护模式构建意义

随着网络技术的飞速发展，以及网络规模的持续扩大，带来了多样化的网络安全攻击行为。网络安全威胁主要包括人为因素和自然因素两个方面，人为因素指的是操作不当、安全意识差等问题带来的网络安全威胁;自然因素指的是由于受到意外自然灾害而带来的网络安全威胁。网络安全攻击也分为主动攻击和被动攻击两种，主动攻击包括非法入侵、恶意连接等;被动攻击包括网络协议缺失、数据信息丢失等。因此，本文基于防火墙技术提出的网络信息安全防护模式可以降低网络安全风险、禁止非法攻击的入侵，同时加强用户访问控制，以提高网络的安全性和稳定性。

2、网络信息安全面临的威胁与挑战

2.1 特洛伊木马攻击

特洛伊木马可以直接植入到计算机终端，对整个网络系统进行破坏。一般情况下，特洛伊木马可以伪装成为用户运行程序和目标文件，包括电子邮件附件、游戏运行程序等，一旦用户启动运行程序，特洛伊木马则会隐藏到系统程序中，当用户与外部网络连接时，非法攻击者可以收到伪装程序的通知，利用伪装程序随意修改计算机配置参数、查看和控制硬盘数据等。

2.2 电子邮件攻击

电子邮件已经成为人们广泛使用的主流通信方式，发起电子邮件攻击的攻击者经常使用CGI 程序或邮件炸弹程序等，向特定目标电子邮箱发送垃圾邮件，最终导致邮箱容量过大而无法正常使用，甚至带来电子邮件系统的瘫痪。电子邮件攻击与其他网络攻击方法相比更加简单、攻击速度快。

2.3 网络节点攻击

当外部非法攻击者突破了一台计算机终端之后，攻击者可以将其作为基础对网络系统中的其他计算机终端发起攻击。攻击手段包括网络监听和IP 欺骗两种，目的都是攻击其他计算机终端。

2.4 网络监听攻击

在计算机终端处于网络监听模式下，无论数据信息发送方与接收方物理信道中的全部数据信息都可以被获取。当用户进行密码校验时，如果通信信道没有采取任何加密措施，攻击者可以在端间实现密码窃取，从而获得用户个人信息资源。

3、基于防火墙的网络安全防护模式构建

3.1 网络拓扑结构

基于防火墙技术的网络安全防护模式包括办公网和生产网两个组成部分。其中，办公网负责支持企业日常办公运行，生产网主要为企业核心业务提供服务，其网络拓扑结构如图1 所示：

图1 中，核心层包括两台交换机，以防火墙模块作为网络安全模块，负责执行防火墙相关功能，网络拓扑结构采用了防火墙和VPN 认证双重防护措施，办公用户模块与计算机终端的连接由交换机支持。

3.2 办公网安全防护措施

办公网主要包括四个功能模块，分别是用户模块、核心模块、DMZ 模块和Internet 接入模,核心模块负责与生产网模块和其他子模块连接，用户模块主要负责支持计算机终端接入网络功能，DMZ 模块包括对外服务器，Internet 接入模块可以提供企业内网与外部网络的连接。办公网采用以上功能模块划分结构，可以形成清晰的网络拓扑结构，具有良好的安全性和可扩展性。

3.3 生产网安全防护措施

生产网主要包括四个功能区域，分别是核心区、Extranet 区、生产区和管理区，生产网网络拓扑结构如图3 所示：

核心区是生产网的关键组成部分，提供高速率数据传输和转发连接等功能。本文提出的基于防火墙技术的网络信息安全防火模式采用三层交换机架构，确保核心区性能较高，同时避免对数据传输和处理速度造成影响的访问列表定义。

Extranet 区负责实现企业业务与外部Internet 网络的连接。

生产区的作用是为企业各种办公业务、日常业务服务器提供网络接入服务。对于不同的网络应用程序来说，其安全特性和功能特性各不相同，因此，可以根据实际业务的需求划分不同类别，包括办公系统类、日常业务类和系统管理类等。管理区是整个网络的核心区域，负责提供IT 服务，其中，服务器可以提供多种管理功能。

3.4 办公网和生产网的防火墙部署

本文提出的基于防火墙技术的网络信息安全防护模式在办公网和生产网之间部署了两层防火墙，也就是屏蔽子防火墙技术，办公网与生产网的防火墙拓扑结构如图4 所示：

根据屏蔽子防火墙的特性来看，由办公网流入到生产网的数据信息会全部被防火墙拒绝，如果需要将办公网与生产网之间进行连接，管理员必须在防火墙部署相应策略，指定哪些数据信息可以穿越防火墙，防火墙的默认设置是拒绝一切没有允许通过的网络流量。