防火墙技术在铁路列车调度指挥系统中的应用研究
伴随着我国铁路信息化迅猛发展, 铁路核心生产业务信息化水平不断提高, 铁路列车调度指挥系统 (以下简称TDCS) 迅速覆盖全路。与此同时, 铁路计算机网络安全正逐渐成为一个潜在的巨大问题。因此发展铁路信息系统网络安全技术的应用研究, 建设铁路生产信息化安全保障体系, 应成为实现铁路跨越式发展的一个重要组成部分。
1 TDCS网络系统安全防护现状
铁路列车调度指挥系统一般采用64kb/s、2Mb/s光通道及电缆回线构成的专用广域网, 信息传输按TCP/IP协议进行, 终端计算机和中心服务器选用WindowsXP/2000和LI NUX/UNIX操作系统, 其应用程序均基于此平台进行开发, 也就是说TDCS是构建在一个通用开放的操作平台上。有些人认为T DCS系统只在专网环境下运行, 没有接入互联网, 应用业务比较单一, 只要操作人员日常管理规范, 系统就不存在大规模的网络安全威胁。这一说法显然是片面的, 专网环境下只能使受到攻击的可能性与受攻击面略为降低, 根本无法阻止内部被病毒感染, 不能够保证存心破坏的不法分子的恶意攻击和无意的人为破坏 (误操作) 等。因此在TDC S系统中应用防火墙技术, 保证铁路列车调度指挥系统网络运用安全至关重要。
2 防火墙技术的作用与功能
防火墙能够增强机构内部网络的安全性, 用于加强网络间的访问控制, 防止外部用户非法使用内部网资源, 保护内部网络设备不被破坏, 防止内部网络的敏感数据被窃取。防火墙系统决定了内部服务是否可以被外界访问, 以及外部服务是否可以被内部人员访问。防火墙只允许授权的数据通过, 并且防火墙本身也能够免于渗透。作为网络安全体系中最重要也是最基本的安全设施, 防火墙对于构建一个安全严密的网络系统是必不可少的。
防火墙的主要功能包括数据包过滤、连接状态检查、会话检查、入侵行为检查等, 它能够根据用户定义允许或拒绝某些数据包通过防火墙, 保护内部网络关键设备及系统不受非法攻击及访问的影响。同时为每个通过防火墙的连接建立连接状态表, 当遇到连接异常, 如会话被胁持等攻击行为时, 防火墙能及时准确的阻断这种非法连接。
3 防火墙在TDCS系统中的应用
3.1 防火墙的结构
(1) 防火墙硬件架构。
防火墙采用百兆NP架构硬件防火墙, 处理器为Intel IXP422网络处理器, 内存128M、Flash16M, 具有3个10/100M BaseT非交换式以太网接口:Wan口、E1口和E2口, 和4个10/100M Base-T交换式以太网接口 (共用一个Mac地址) 。
(2) 防火墙网络联接。
按照应用性质, 可将铁路列车调度指挥系统中心局域网分为以下四个“区”:核心服务器区、通信服务器区、应用工作站区和维护工作站区。
核心服务器区包括数据库服务器、应用服务器等;通信服务器区包括基层网通信服务器、分接口通信服务器、铁道部通信服务器等;应用工作站区包括各个调度台工作站, 为调度员提供操作终端;维护工作站区包括网管工作站、系统维护台等, 为维护人员提供操作终端。
根据以上应用原则, 在某局共安装了二组四台防火墙 (如图1所示) 。在正常运行情况下, 左边的主防火墙系统负责过滤的工作。当主防火墙系统发生事故而不能运作, 右边的热备防火墙及入侵监测系统便会自动启动, 来维持整体网络的运作。
3.2 防火墙的配置
(1) 登陆防火墙管理账号Admin。
(2) 检查防火墙系统信息。系统信息包括防火墙的CPU情况、内存情况、版本信息、网口状态、当前启用的服务等。
(3) 配置防火墙Internet接入方式。填写IP地址配置WAN的接入方式以及扩展接口EXT1、EXT2的使用方式。
(4) 配置防火墙的DNS、DHCP服务器。采用动态主机设置协议, 将网络中每台计算机的IP地址和网卡MAC物理地址进行捆绑, 实现防火墙的IP地址自动分配、域名过滤和时间同步功能。
(5) 配置静态路由表。通过防火墙路由配置, 人为地制定访问不同网络需要经过的路径, 即用户如需对某一网络进行联接访问时, 必须经过路由表中配置的网络地址, 才能到达目的网络。
(6) 设置防火墙策略。设置防火墙策略对检测的数据包进行的最终操作包括禁止、允许和内容过滤 (即WEB过滤) , 选中内容过滤时, 对WEB过滤中配置的关键字进行检测, 并按照WEB过滤中的处理方式进行处理。
3.3 防火墙的功能
配置完成的防火墙将实现包过滤、入侵检测、自动封禁、地址转换、WEB过滤 (内容关键字过滤) 、蠕虫防护、D O S/DDoS防护等安全功能。防火墙具有实时入侵检测报警功能, 能够防止网络扫描、DoS/D DoS攻击以及众多流行网络攻击, 支持蠕虫抑制功能, 当内外网蠕虫发作时阻断蠕虫发出的各种病毒或破坏性数据包, 保证网络的正常通畅以及业务的正常运行。
4 结语
防火墙等网络安全技术目前在铁路列车调度指挥系统中的应用只是信息安全保障工作的一个的启动阶段, 而防火墙系统本身却是一个庞大的系统工程, 必须经过后续不断完善, 并结合铁路网络等级保护的具体要求, 不断拓深TDCS系统的纵深防护体系使之能够持久保障铁路信息系统安全稳定提升铁路信息系统安全管理水平。
摘要:当今铁路信息化发展迅速, 铁路列车调度指挥系统的可靠性、安全性至关重要, 利用防火墙技术的安全保护作用, 可以保障铁路信息系统安全稳定, 提升铁路信息系统安全管理水平。
关键词:铁路列车调度指挥系统,防火墙,网络安全
参考文献
[1] 喻宏传.防火墙和入侵检测系统在铁路系统信息网络中的应用[J].铁路技术创新, 2003 (5) :32~33.
[2] 周春月.防火墙技术在铁路INTERANET安全系统中的应用[J].北方交通大学学报, 2001, 8 (25) 4.