杨伟斌
(国家广电总局七二四台)
摘要 本文就发射台站网络从规划到实施中,遇到的难点、疑点问题进行探讨,并根据作者近年来维护台站网络经验和探索的基础上,以台站对网络的需求出发,进行了技术网和OA网隔离的状况下实现技术网数据在OA网发布的研究。
关键字 防火墙 ACL 网络隔离
1 概述
近年来,广播发射台站信息化建设全面展开,各系统自动化、网络化建设相继落成。特别是网络化条件下的广播发射台站的网络安全也需要得到重视,尤其作为有安全业务播出的台站,既要保障安全播出业务的正常运行,又要保障自身网络建设的安全性不会成为整个网络的安全漏洞;最重要的就是保障其自身的网络安全,有效的为整个网络的安全建设提供支持。
2 在三层交换机上运用ACL对用户访问限制
根据台站业务的特点,在台站局域网上,所有应用都是部署在同一个网络平台上,业务之间需要互访,同时需要对可以访问业务的人员进行限制。所以要求应用在IP层进行互访限制。具体实施规定如下:
通过虚拟局域网(VLAN)对台站应用和用户进行细分;
通过访问控制列表(ACL,Access control list)方式进行业务隔离和互访限制。
可以通过对连接应用的交换机端口添加ACL策略来限制可以访问的用户,也可以采用单向访问列表的方式允许一个网段或一段地址访问其他地址,但其他地址不能访问这个网段。
访问控制列表初期仅在路由器上支持,近些年来已经扩展到三层交换机,三层交换机S6503就提供了访问控制列表功能。
基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
功能:网络中的节点有资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。
2.1 使用访问控制列表时需要遵守的一些规则
①标准ACL的测试条件只是基于源地址;
②扩展ACL的测试条件包括协议类型、原地址、目的地址、应用端口和会话层信息;
③按照由上到下的顺序执行,找到第一个匹配后即执行相应的操作,跳出ACL而不会继续匹配下面的语句。所以ACL中语句的顺序很关键;
④末尾隐含为deny全部。这样做是出于安全考虑;
⑤引用ACL之前,要首先创建好ACL,否则可能出错;
⑥ACL在被应用到对应端口以前,将不具任何意义,对数据流不产生控制;
2.2 ACL在网络安全中的应用
①防止外部IP地址欺骗和非法探测;
②保护网络层设备不受攻击;
③阻止病毒的传播和攻击;
④针对服务器的实际应用设计ACL。
3 几个访问控制列表设置的例子 number acl-number:ACL(Access Control List,访问控制列表)序号,取值范围为: 2000~2999:表示标准ACL。 3000~3999:表示扩展ACL。 3.1 举例 # 定义ACL 2000的规则,并定义规则匹配顺序为深度优先顺序。 <H3C> system-view System View: return to User View with Ctrl+Z. [H3C] acl number 2000 match-order auto [H3C-acl-basic-2000] #在GigabitEthernet1/0/1上应用ACL 2000,进行包过滤。 <H3C> system-view System View: return to User View with Ctrl+Z. [H3C] interface GigabitEthernet1/0/1 [H3C-GigabitEthernet1/0/1] packet-filter inbound ip-group 2000 # 定义规则,禁止源地址为10.1.0.0上的报文通过, <H3C> system-view System View: return to User View with Ctrl+Z. [H3C] acl number 2000 [H3C-acl-basic-2000] rule 0 deny source 10.1.0.0 0.0.255.255 # 定义一条规则,允许从10.2.0.0网段的主机向172.1.58.0网段的主机发送的端口号为80的报文通过。 <H3C> system-view System View: return to User View with Ctrl+Z. [H3C] acl number 3101 [H3C-acl-adv-3101] rule permit tcp source 10.2.0.0 0.0.255.255 destination 172.1.58.0 0.0.0.255 destination-port eq 80 3.2 病毒端口的关闭 根据业务的需求只开放业务端口,通过控制内网和外网的安全级别来防护内网的安全。 [H3C] acl number 3001 [H3C-acl-adv-3001] rule 0 deny tcp destination-port eq 6881 rule 1 deny tcp destination-port eq 6882 rule 2 deny udp destination-port eq 6883 rule 3 deny tcp destination-port eq 6884 rule 4 deny udp destination-port eq 6885 rule 5 deny tcp destination-port eq 6886 rule 6 deny udp destination-port eq 6887 rule 7 deny tcp destination-port eq 6888 rule 8 deny udp destination-port eq 6889 rule 9 deny tcp destination-port eq 4444 rule 10 deny udp destination-port eq tftp rule 11 deny tcp destination-port eq 135 rule 12 deny udp destination-port eq 135 rule 13 deny tcp destination-port eq 445 rule 14 deny udp destination-port eq 445 rule 15 deny tcp destination-port eq 593 rule 16 deny udp destination-port eq 593 rule 17 deny udp destination-port eq 1434 rule 18 deny tcp destination-port eq 1234 rule 19 deny tcp destination-port eq 7070 rule 20 deny tcp destination-port eq 139 rule 21 deny udp destination-port eq netbios-ssn 关闭端口说明: 端口6881到6889:是网络中的服务器的外部端口,局域网用户可以通过对计算机的设置,通过这些外部端口,利用BT软件下载大量数据,占用网络带宽。 端口4444:利用DCOM RPC漏洞进行传播的蠕虫病毒端口 端口69,tftp:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何文件。它们也可用于系统写入文件。 端口135:这个端口运行DCE RPC end-point mapper为它的DCOM服务,有些DOS攻击直接针对这个端口。 端口445和139:如果客户端启用了NBT,那么连接的时候将同时访问139和445端口,如果从445端口得到回应,那么客户端将发送RST到139端口,终止这个端口的连接,接着就从445端口进行SMB的会话了,所以禁用445端口后,对访问NT机器的共享会失败。 端口593:HTTP 上的 RPC TCP 593 随机分配的高 TCP 端口 TCP 随机端口号。 端口1434:SQL Server 2000中关于SQL Server Resolution Service(SSRS)的服务。SSRS接受来自1434 udp端口的请求,并返回提出请求主机的IP地址和 端口号。SSRS有一个堆栈溢出问题,使攻击者通过发送特殊的去1434udp端口的请求来执行任意代码(程序)。 端口1234:木马SubSeven2.0、Ultors Trojan使用端口。 端口7070:指定PNA方式连接时服务器的侦听端口,默认数值为7070,在线免费影片下载观看是可能会使用到此端口。 4 技术网和OA网隔离状况下实现技术网数据在OA网发布的研究
根据台站网络安全设计需要,只允许台站办公网通讯服务器从台站技术网通讯服务器处获得技术网数据,禁止办公网对技术网的其他访问。因此在台站办公网中心交换机S6503与台站技术网汇聚交换机S3552F之间添加一台防火墙,在防火墙上进行访问控制和地址转换,对台站办公网和技术网进行隔离。技术网与OA典型关系统拓扑图如下图1所示:
OA网从技术网获得数据需要考虑的问题有:
1) OA网用户行为不能预计,直接访问技术网数据库对技术网本身是不安全的,技术网稳定性会造成严重干扰。
2) 数据流向为单向,OA网不发送、广播任何数据给技术网。
3) OA用户想获取实时数据,认为实时数据更有价值。
4) 网络负荷可知,数据流量在可控制的范围内。
5) 需要的软硬件设施造价不能过高,要在成本控制的范围内。
下面以一个具体的例子来分析技术网和OA网防火墙隔离的状况下实现技术网数据在OA网发布的可行性研究。
某变电站各业务网段划分为:
技术网某技术系统业务网段172.2.57.0/24,
OA网服务器运行在网段10.2.58.128/27, OA网办公用户网段10.2.57.0/24 某变电站在这一应用中的网络拓扑结构图如图2: 防火墙配置步骤(以华为Eduemon200防火墙为例): 1) 启用防火墙 #firewall enable 使用此命令来启用或禁止防火墙 2) 配置防火墙内、外接口地址 #interface Ethernet0/0/0 description link_tO_OA ip address 192.168.2.1 255.255.255.0 #interface Ethernet0/0/1 description link_to_jishu ip address 192.168.1.1 255.255.255.0 3) 区域定义
系统预定义了4 个安全区域:Local、Trust、Untrust 和DMZ。不同安全区域之间没有访问限制,且安全区域不支持策略配置,若需要访问控制,在安全区域中的相应接口进行配置。缺省情况下,Local 区域的优先级为100,Trust 区域的优先级为85,Untrust 区域的优先级为5,DMZ 区域的优先级为50。
把与技术网连接的接口Ethernet0/0/1定义为Trust区域,与OA网连接的接口Ethernet0/0/0定义为Untrust区域
#firewall zone trust add interface Ethernet0/0/1 set priority 85 #firewall zone untrust add interface Ethernet0/0/0 set priority 5 4) 配置静态路由
在配置静态路由时,可指定发送接口,也可指定下一跳地址,具体采用哪种方法,可需要根据实际情况而定。
#ip route-static 10.2.58.128 255.255.255.224 192.168.2.2 ip route-static 172.2.57.0 255.255.255.0 192.168.1.2 5) 创建扩展ACL #acl number 3000 rule 10 permit tcp source 172.2.57.0 0.0.0.255 destination 10.2.58.128 0.0.0.31 destination-port eq 9090 6) 最后将ACL应用到对应区域,对数据流产生控制 #firewall interzone trust untrust packet-filter 3000 outbound 应用trust——〉 untrust包过滤防火墙功能,单向数据,通过9090端口从技术网(trust区域)172.2.57.0网段推送(outbound)数据到OA网(untrust)服务器网段10.2.58.128网段。 7) 软件支持 在技术网数据库服务器上,要有一个数据推送机制,在OA网镜像数据库和web发布服务器有一个接收机制。 目前配合“网络隔离装置”软件和对数据库设置,即可实现技术网数据在OA网发布,图3《电站数据流示意图》可以看出(带箭头的虚线代表数据流),数据总是单向从技术网到OA网。
5 小结
实践应用中,按照上述阐述的方法进行网络隔离条件下实现了技术网向OA网数据的发布,在台站网络建设中是成功的。充分研究实际情况,考虑网络设备性能、网络规模、网络运行、管理、特别是安全等诸方面因素,低成本解决台站信息化建设中遇到的难点、疑点问题,在台站应用中得到广泛推广。
参考文献
1王华丽.访问控制列表在网络安全中的应用.www.ilib.cn.《电子科技》.2007年1期 2华为.S6503交换.Eduemon200防火墙.操作手册.命令手册
评论 点击评论