本发明涉及一种基于网络安全
技术领域:
:,尤其是iptable的通信控制器的防火墙实现方法。
背景技术:
::为了响应国家号召,积极建设信息安全网络,越来越多的轨道公司开始提倡在城市轨道交通网络建设中增加网络安全的策略,特别是综合监控网络(iscs)。防火墙作为实现网络安全的基础设施,可以起到屏蔽外网保护内部网的目的。防火墙既可以用硬件实现,也可以用软件实现。硬件实现网络数据处理速度快、安全可靠性高、费用较贵,网络实现的复杂性也较大;而软件实现则相对价格较低,同时便于版本升级和维护,通信控制器作为综合自动化监控系统的重要组成部分,已经在轨道交通行业中承担重要的通信角色。基于电网调度的scada系统中,就是用的是基于通信控制器设备进行的信息采集和处理。但是电网调度中的网络加密是基于网络加密机实现的网络加密。其成本费用远远高于地铁行业的承担费用。因此开发一款可以屏蔽内部不同系统网络,根据要求实现服务和端口访问,实现预防网络攻击和病毒传播的安全策略,减少分布式车站单独使用硬件防火墙的超额费用,降低建设成本,适用于轨道交通行业的信息安全通信控制器设备是行之有效的措施。技术实现要素:本发明的研究的目的是综合监控网络边界安全,针对轨道交通综合监控网络使用单独的防火墙成本高,并且专用防火墙在iscs分布式网络中布置困难等问题,提出了一种在通信控制器上增加综合监控网络防火墙的方案。通过增加通信控制器的网卡,将现场多个专业隔离成多个子网使用防火墙的多端口隔离技术和每个子网的数据单独过滤技术。通过简单的配置启动文件,便可以实现网络要求的防护功能。为达到上述目的,本发明可采用如下技术方案:一种基于iptable的通信控制器的防火墙实现方法,包括以下步骤:(1)通过具有数个以太网口的通信管理机对接数个通信控制器,且以每个车站的子专业为vlan对接通信控制器的每一个网口;通信控制器网口的数量与以太网口的数量相同且一一对应;(2)通过linux内核裁剪,从底层删除或者禁止通信控制器不使用的服务;或者从底层删除或者禁止通信控制器不使用的端口;(3)根据iptable配置规则,根据每个子专业的功能要求,优化通信控制器对应的每个以太网口的服务配置,通过地址过滤,地址转换,连接追踪限制每个vlan网络下每个功能的使用。进一步的,在所述步骤(3)中,根据网络访问控制的原则,设置网络集合:net(i)={ip[i],server{1,2,3...n}},其中i=1,2,...8;net为通信控制器的网口,server为通信管理机的服务集合;每个通信控制器的网口ip进行不同服务server{1,2,3...n}的访问或者被访问;利用每个通信控制器的网口实现不同的vlan访问控制;形成如下的网络集合:net(i)={ip[i],server{j}},其中i=1,2,...8;j为server{1,2,3...n}中的一个服务,根据每个通信控制器的网口对应的网卡作用将网络通过硬件实现网段隔离使不同网络之间不能直接实现数据交互和访问。进一步的,在所述步骤(2)中,包括以下处理过程:通信控制器具备通信设备所有的网络服务和被服务功能,服务集合为server{1,2,3...n},根据通信控制器在监控网络中的功能要求,裁剪系统选择需要的服务和被服务功能而将服务集合缩减为server{1,2,3...m},1≤m≤n;避免多余的服务应用于系统中。进一步的,在所述步骤(3)中,包括以下处理过程:(3.1)禁止通信控制系统接受所有的服务,net(i)={ip[i],server{0}};(3.2)根据每个网络的功能要求,按照防火墙的过滤原则,开放iptable的的一对一过滤,将ip[i]绑定服务功能server{j}。进一步的,所述通信管理机的以太网口设置为8个。有益效果:本发明将原始通信管理机设备硬件软件根据安全要求进行研究,通信控制器的原有功能不变,通过简单的配置每个网卡的iptable和启动文件,实现通信控制器的防火墙功能,不需要额外的施工和设计,是网络规划更清晰简单,减少多于的交换机等通信设备造价低、施工相对简单、维护更为容易。附图说明图1是本发明隔离网络和服务工作原理图。具体实施方式下面结合附图对本发明作进一步描述。以下实施案例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。城市轨道交通监控自动化网络是将地铁里面所有的系统网络进行集成和互联进行数据融合,为解决不同系统网络设备的互联与集成以及通讯方式和网络协议的多样化非标准问题,一般通过通信控制器简化实施过程实现协议转化数据转发等,可以提高系统的性能,增加系统的稳定性,缩缩短项目工期,节约实施成本。此类方案使用在现有的大部分地铁综合监控网络中图1是本发明隔离网络和服务工作原理图,将新型设备配置通用的处理器mpc8377,32m的flash和512m的ram为样机安装在项目的网络机柜内,本发明提供的防火墙的实现方法包括以下步骤:(1)通过具有数个以太网口的通信管理机对接数个通信控制器,且以每个车站的子专业为vlan对接通信控制器的每一个网口;通信控制器网口的数量与以太网口的数量相同且一一对应;在本实施方式中,将8个网卡根据要求设置为8个不同的ip对应的网络,分别连接不同的网络服务器或者通信设备。(2)通过linux内核裁剪,从底层删除或者禁止通信控制器不使用的服务;或者从底层删除或者禁止通信控制器不使用的端口;以避免网络攻击或者网络病毒使用备用端口进行操作。在该步骤中,通信控制器具备通信设备所有的网络服务和被服务功能,服务集合为server{1,2,3...n},根据通信控制器在监控网络中的功能要求,裁剪系统选择需要的服务和被服务功能而将服务集合缩减为server{1,2,3...m},1≤m≤n;避免多余的服务应用于系统中。(3)根据iptable配置规则,根据每个子专业的功能要求,优化通信控制器对应的每个以太网口的服务配置,通过地址过滤,地址转换,连接追踪限制每个vlan网络下每个功能的使用。在该步骤中,根据网络访问控制的原则,设置网络集合:net(i)={ip[i],server{1,2,3...n}},其中i=1,2,...8;net为通信控制器的网口,server为通信管理机的服务集合;每个通信控制器的网口ip进行不同服务server{1,2,3...n}的访问或者被访问;利用每个通信控制器的网口实现不同的vlan访问控制;形成如下的网络集合:net(i)={ip[i],server{j}},其中i=1,2,...8;j为server{1,2,3...n}中的一个服务,根据每个通信控制器的网口对应的网卡作用将网络通过硬件实现网段隔离使不同网络之间不能直接实现数据交互和访问。并且,该步骤中,根据防火墙的基本实现原则;原则(1):禁止通信控制系统接受所有的服务,net(i)={ip[i],server{0}}。原则(2)根据每个网络的功能要求,按照防火墙的过滤原则,开放iptable的的一对一过滤,将ip[i]绑定服务功能server{j}。然后,根据连接的设备或者服务,配置通过iptable配置每个网卡的服务和地址列表,绑定对应的服务或者功能。然后进行正常数据传输。测试表明,此种情况下,通信控制器的原始功能正常,并且保证了iscs网络边界的安全防护问题,同时减少了使用硬件防火墙带了的高额费用。在一定程度上解决城市轨道交通综合监控网络中的网络安全隐患问题。最后,根据防火墙的防护要求,接入第三方没有配置的设备,通信控制器拒绝连接此设备;改变接入设备的服务等其他功能,通信控制器全部拒绝连接。同理,按照网络攻击模式接入设备,通信控制器同样将攻击的设备隔离保证其他网络的运行安全。当前第1页12当前第1页12