• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看

      404 Not Found


      nginx
      404 Not Found

      404 Not Found


      nginx
      404 Not Found

      404 Not Found


      nginx
      404 Not Found

      404 Not Found


      nginx
      404 Not Found

      404 Not Found


      nginx
      404 Not Found

      404 Not Found


      nginx

      巧設(shè)CTC路由器ACL降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

      2014-08-15 00:45:07劉彩錄
      鐵道通信信號(hào) 2014年3期
      關(guān)鍵詞:訪問(wèn)控制列表路由器

      劉彩錄

      鐵路分散自律調(diào)度集中系統(tǒng) (CTC),已被廣泛應(yīng)用于我國(guó)既有鐵路、高速鐵路及城際客專(zhuān)等鐵路運(yùn)輸上,提高了運(yùn)輸組織工作效率,也被國(guó)家相關(guān)部門(mén)評(píng)定為“等級(jí)保護(hù)”四級(jí)系統(tǒng),對(duì)該系統(tǒng)信息網(wǎng)絡(luò)安全提出了更高的要求。鐵路CTC網(wǎng)絡(luò)均采用了帶訪問(wèn)控制功能的路由器,正確地設(shè)置ACL(訪問(wèn)控制列表),將起到防火墻的作用,降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。本文探討在CTC網(wǎng)絡(luò)路由器上進(jìn)行規(guī)則設(shè)定,阻擋不匹配安全規(guī)則的數(shù)據(jù)包,實(shí)現(xiàn)CTC網(wǎng)絡(luò)安全。

      1 CTC網(wǎng)絡(luò)安全情況

      1.1 CTC網(wǎng)絡(luò)安全風(fēng)險(xiǎn)因素

      1.病毒。CTC系統(tǒng)在建立和運(yùn)營(yíng)過(guò)程中,需進(jìn)行大量的軟件上傳、修改、備份和檢查升級(jí)工作,遠(yuǎn)程連接登錄、使用U盤(pán)等都可能造成系統(tǒng)的“病毒”感染,導(dǎo)致中心或車(chē)站系統(tǒng)癱瘓。

      2.非法登錄。掌握CTC系統(tǒng)各級(jí)口令的人可以隨時(shí)通過(guò)中心或車(chē)站某臺(tái)終端接入CTC系統(tǒng),有可能對(duì)系統(tǒng)進(jìn)行破壞。

      3.信息安全。CTC系統(tǒng)直接指揮和控制行車(chē),是鐵路調(diào)度指揮進(jìn)行生產(chǎn)組織的核心系統(tǒng),其內(nèi)部網(wǎng)絡(luò)中傳輸著涉密信息,尤其是軍運(yùn)或?qū)_\(yùn)列車(chē)的行車(chē)組織信息。

      1.2 現(xiàn)有解決方案

      1.設(shè)置殺毒軟件服務(wù)器。CTC中心部署一套網(wǎng)絡(luò)版殺毒軟件服務(wù)器,通過(guò)控制中心管理全網(wǎng)的客戶端,實(shí)現(xiàn)統(tǒng)一升級(jí)、設(shè)置,對(duì)網(wǎng)絡(luò)中的病毒進(jìn)行實(shí)時(shí)監(jiān)控和查殺。

      2.訪問(wèn)控制。大多數(shù)方案是安裝硬件防火墻,主要是過(guò)濾非法數(shù)據(jù)包或者不安全的流量,保證網(wǎng)絡(luò)安全。車(chē)站防火墻均布置在網(wǎng)絡(luò)出入口處 (網(wǎng)絡(luò)交換機(jī)和路由器之間),防火墻一次故障或死機(jī)就可能危及整個(gè)車(chē)站網(wǎng)絡(luò),導(dǎo)致信息傳輸中斷,影響行車(chē)組織;而且專(zhuān)門(mén)增設(shè)防火墻也增加了成本。

      3.強(qiáng)化CTC用戶管理。杜絕一機(jī)雙網(wǎng),確保與外部網(wǎng)絡(luò)物理隔離;拒絕未經(jīng)檢測(cè)的移動(dòng)存儲(chǔ)使用;驗(yàn)證CTC用戶的身份和使用權(quán)限,防止用戶越權(quán)操作等。

      訪問(wèn)控制是實(shí)現(xiàn)網(wǎng)絡(luò)安全的主要途徑。目前實(shí)現(xiàn)訪問(wèn)控制的技術(shù)方案有MAC地址過(guò)濾、交換機(jī)VLAN隔離、基于IP地址的訪問(wèn)控制列表等。

      2 配置訪問(wèn)控制列表

      訪問(wèn)控制列表 (Access control list,縮寫(xiě)ACL),是一種基于包過(guò)濾的數(shù)據(jù)控制技術(shù),在路由器和三層交換機(jī)中被廣泛使用。它把源地址、目的地址以及端口號(hào)作為數(shù)據(jù)包檢查的基本要素,并規(guī)定符合檢查條件的數(shù)據(jù)包允許通過(guò),不符合檢查條件的數(shù)據(jù)包禁止通過(guò),從而保證網(wǎng)絡(luò)安全。

      現(xiàn)有CTC網(wǎng)絡(luò)絕大多數(shù)部署了防火墻,但實(shí)際運(yùn)行防火墻死機(jī)或故障發(fā)生率偏高。由于防火墻部署在網(wǎng)絡(luò)出入口,即便是瞬間重啟也必然導(dǎo)致整個(gè)車(chē)站CTC網(wǎng)絡(luò)中斷。而在路由器適當(dāng)配置訪問(wèn)控制列表 (ACL),對(duì)網(wǎng)絡(luò)流量進(jìn)行規(guī)則檢查,限制非法數(shù)據(jù)包通過(guò),實(shí)踐證明,可以有效減少網(wǎng)絡(luò)安全風(fēng)險(xiǎn),實(shí)現(xiàn)一般防火墻具有的功能。

      訪問(wèn)控制列表實(shí)現(xiàn)方法:首先進(jìn)入路由器全局配置模式,依次定義訪問(wèn)控制列表,最后將其配置到網(wǎng)絡(luò)接口中。這樣通過(guò)該接口的數(shù)據(jù)包都必須接受規(guī)則檢查,被禁止的數(shù)據(jù)流量將無(wú)法通過(guò)。

      ACL根據(jù)情況配置檢查源IP地址、目的IP地址、網(wǎng)絡(luò)協(xié)議和端口號(hào)等,主要使用以下2種。

      1.標(biāo)準(zhǔn)訪問(wèn)控制列表是最簡(jiǎn)單的ACL,格式:

      access-list ACL號(hào)permit|deny主機(jī)IP地址

      2.擴(kuò)展訪問(wèn)控制列表是一種高級(jí)ACL,格式:

      access-list ACL號(hào)[permit|deny][協(xié)議][定義過(guò)濾源主機(jī)][定義過(guò)濾源端口][定義過(guò)濾目的主機(jī)][定義過(guò)濾目的端口]

      實(shí)際應(yīng)用中,還要分清ACL所應(yīng)用的接口及其方向。

      3 CTC路由器訪問(wèn)控制列表常用配置實(shí)例

      1.限制計(jì)算機(jī)病毒傳播。由于微軟操作系統(tǒng)的漏洞,一些病毒或木馬軟件使用UDP端口135、137等和 TCP端口135、137、9996等進(jìn)行傳播,可設(shè)置ACL規(guī)則關(guān)閉這些端口,阻礙其傳播,有利于病毒的查殺。比如關(guān)閉UDP和TCP135端口。

      access-list 101 deny udp any any eq 135

      access-list 101 deny tcp any any eq 135

      access-list 101 permit ip any any

      2.屏蔽非法主機(jī)通信。假設(shè)一臺(tái)主機(jī)ip 172.22.10.5非法進(jìn)入網(wǎng)絡(luò) (或者感染了病毒),那么可以采用ACL策略,限制該主機(jī)的數(shù)據(jù)傳輸。

      access-list 3 deny 172.22.10.5

      access-list 3 permit ip any any

      int f1/0

      ip access-group 3 in

      exit

      3.保護(hù)CTC中心服務(wù)器安全。CTC中心服務(wù)器作為網(wǎng)絡(luò)中樞,對(duì)所有的網(wǎng)絡(luò)終端都是可訪問(wèn)的,這樣也很容易招來(lái)黑客和病毒的攻擊,通過(guò)設(shè)置車(chē)站路由器ACL可以將除了必用服務(wù)端口之外的其他端口都關(guān)掉。假設(shè)172.22.10.1為中心服務(wù)器,必用服務(wù)端口為99,協(xié)議為T(mén)CP。

      access-list 101 permit tcp any 172.22.10.1 0.0.0.0 eq 99

      access-list 101 deny any

      4.保護(hù)CTC車(chē)站車(chē)務(wù)終端不被非法登錄。為了防止非法用戶遠(yuǎn)程登錄車(chē)站車(chē)務(wù)終端 (一般使用PC Anywhere軟件),非法操作而危及行車(chē)安全,可以設(shè)置ACL只允許正常合法的維修終端訪問(wèn),其他主機(jī)遠(yuǎn)程登錄均禁止。假設(shè)合法的維修終端為172.22.10.201,PC Anywhere使用的默認(rèn)端口號(hào)為tcp,5631,udp,5632。

      access-list 101 permit tcp any 172.22.10.201 0.0.0.0 eq 5631

      access-list 101 permit udp any 172.22.10.201 0.0.0.0 eq 5632

      access-list 101 deny any

      5.保護(hù)車(chē)站自律機(jī)安全。自律機(jī)是分散自律調(diào)度集中系統(tǒng)的車(chē)站核心設(shè)備,負(fù)責(zé)與聯(lián)鎖、列控及中心服務(wù)器交換信息,使用定制的LINUX操作系統(tǒng)。正常通過(guò)telnet和ftp訪問(wèn)。為了防止其被非法操作,同樣可以設(shè)置ACL只允許合法的維修終端訪問(wèn)。

      假設(shè)合法的維修終端為172.22.10.201.

      access-list 101 permit tcp any 172.22.10.201 0.0.0.0 eq telnet

      access-list 101 permit tcp any 172.22.10.201 0.0.0.0 eq ftp

      access-list 101 deny any

      路由器ACL功能靈活、使用方便,這對(duì)網(wǎng)管人員也提出了更高的要求。在CTC路由器ACL配置上述實(shí)例,可以實(shí)現(xiàn)訪問(wèn)控制,使路由器發(fā)揮防火墻作用,降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。隨著CTC網(wǎng)絡(luò)的不斷擴(kuò)展,網(wǎng)絡(luò)安全問(wèn)題也日益突出,網(wǎng)絡(luò)維護(hù)人員應(yīng)根據(jù)本單位具體網(wǎng)絡(luò)需求情況,認(rèn)真分析配置ACL,不允許有絲毫差錯(cuò)。

      [1] [美]Brenton,C.Cisco.王軍譯.路由器從入門(mén)到精通[M].電子工業(yè)出版社,2003.

      [2] 譚浩強(qiáng).Cisco路由器實(shí)用技術(shù)[M].北京:中國(guó)鐵道出版社,2006.

      猜你喜歡
      訪問(wèn)控制列表路由器
      巧用列表來(lái)推理
      買(mǎi)千兆路由器看接口參數(shù)
      學(xué)習(xí)運(yùn)用列表法
      擴(kuò)列吧
      ONVIF的全新主張:一致性及最訪問(wèn)控制的Profile A
      動(dòng)態(tài)自適應(yīng)訪問(wèn)控制模型
      淺析云計(jì)算環(huán)境下等級(jí)保護(hù)訪問(wèn)控制測(cè)評(píng)技術(shù)
      大數(shù)據(jù)平臺(tái)訪問(wèn)控制方法的設(shè)計(jì)與實(shí)現(xiàn)
      你所不知道的WIFI路由器使用方法?
      不含3-圈的1-平面圖的列表邊染色與列表全染色
      404 Not Found

      404 Not Found


      nginx
      404 Not Found

      404 Not Found


      nginx
      404 Not Found

      404 Not Found


      nginx
      404 Not Found

      404 Not Found


      nginx
      404 Not Found

      404 Not Found


      nginx
      迭部县| 连云港市| 西乌| 蒙阴县| 咸阳市| 华亭县| 遂平县| 德清县| 鲁山县| 元朗区| 虞城县| 静乐县| 山西省| 普安县| 扎鲁特旗| 来宾市| 托里县| 天台县| 盐津县| 留坝县| 施甸县| 庄浪县| 凤山县| 阿坝| 塔河县| 彭泽县| 宁津县| 灵丘县| 勐海县| 上思县| 塔城市| 临桂县| 新源县| 嘉善县| 彰化县| 徐闻县| 集安市| 孝昌县| 延川县| 台东市| 明水县|