索育江

（哈爾濱鐵路局 信息技術(shù)所， 牡丹江 157000）

交換機(jī)配防火墻插卡在地區(qū)網(wǎng)絡(luò)匯聚點(diǎn)的安裝使用

索育江

（哈爾濱鐵路局 信息技術(shù)所， 牡丹江 157000）

本文通過介紹網(wǎng)絡(luò)在鐵路運(yùn)輸生產(chǎn)中的重要性及安全性問題，提出在鐵路局所屬地區(qū)網(wǎng)絡(luò)匯聚點(diǎn)安裝網(wǎng)絡(luò)防火墻的必要性。重點(diǎn)介紹交換機(jī)配防火墻插卡的主要性能及其在地區(qū)網(wǎng)絡(luò)匯聚點(diǎn)的安裝配置方法。

防火墻； 安全域；端口；匯聚點(diǎn)

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，鐵路運(yùn)輸生產(chǎn)組織也越來越離不開網(wǎng)絡(luò)系統(tǒng)。發(fā)達(dá)的網(wǎng)絡(luò)系統(tǒng)，使得行車調(diào)度指揮、客貨運(yùn)輸、自動(dòng)化辦公等，變得更加方便靈活和高效便捷。可以說，網(wǎng)絡(luò)的發(fā)展提升了鐵路運(yùn)輸企業(yè)的生產(chǎn)效率，方便了廣大貨主和旅客，實(shí)現(xiàn)了經(jīng)濟(jì)效益和社會(huì)效益的雙贏。同時(shí)，伴隨著網(wǎng)絡(luò)應(yīng)用的普及，各種網(wǎng)絡(luò)病毒，網(wǎng)絡(luò)攻擊也充斥于網(wǎng)絡(luò)之上，其危害不容小視。對于鐵路局下屬的地區(qū)網(wǎng)絡(luò)中心來說，是一個(gè)地區(qū)網(wǎng)絡(luò)匯聚點(diǎn)，承擔(dān)著承上啟下的作用，是近百個(gè)站段的樞紐。一旦受到攻擊破壞，將直接影響到鐵路的運(yùn)輸生產(chǎn)安全。因此，需要采取必要、可靠的防范措施，防止這種情況的發(fā)生。在各種防范措施中，在網(wǎng)絡(luò)中安裝性能強(qiáng)大的防火墻是一個(gè)行之有效的方法。

1 地區(qū)中心機(jī)房安裝防火墻的必要性

地區(qū)網(wǎng)絡(luò)匯聚點(diǎn)分別連接上級網(wǎng)絡(luò)、下級網(wǎng)絡(luò)、本地生產(chǎn)網(wǎng)和本地辦公網(wǎng)4個(gè)方向。其中，上級網(wǎng)絡(luò)、本地生產(chǎn)網(wǎng)有大量的與生產(chǎn)項(xiàng)目相關(guān)的服務(wù)器和數(shù)據(jù)庫系統(tǒng)，需要重點(diǎn)保護(hù)，絕對不能受到攻擊破壞。而下級網(wǎng)絡(luò)和本地辦公網(wǎng)系統(tǒng)，由于安全防范方面不易控制，容易感染病毒或木馬，所以需要設(shè)置防火墻將它們分隔開來。

2 交換機(jī)配防火墻插卡性能特點(diǎn)

在對原有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)盡可能改動(dòng)較小的前提下，選擇以太網(wǎng)交換機(jī)配防火墻插卡的方案。通過防火墻插卡，用戶可靈活、迅速地在主網(wǎng)絡(luò)設(shè)備（以太網(wǎng)交換機(jī)) 中整合防火墻等安全功能，實(shí)現(xiàn)網(wǎng)絡(luò)和安全防護(hù)的高度一體化。

該設(shè)備的防火墻插卡已經(jīng)完全實(shí)現(xiàn)了三層網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)機(jī)制，這使得防火墻可以極靈活地應(yīng)用在多層交換網(wǎng)絡(luò)中，同時(shí)又提供了豐富的安全特性，為用戶網(wǎng)絡(luò)提供安全保護(hù)。將主網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)和業(yè)務(wù)處理有機(jī)融合在一起，實(shí)現(xiàn)主網(wǎng)絡(luò)設(shè)備高性能數(shù)據(jù)轉(zhuǎn)發(fā)的同時(shí)，能夠根據(jù)組網(wǎng)的特點(diǎn)處理安全業(yè)務(wù)，實(shí)現(xiàn)安全防護(hù)和監(jiān)控。該防火墻插卡對外提供2個(gè)GE接口和2個(gè)GE Combo 接口，用于雙機(jī)熱備及設(shè)備的管理與維護(hù)；通過內(nèi)部的高速10 G以太接口與主網(wǎng)絡(luò)設(shè)備相連。防火墻插卡可以插在主網(wǎng)絡(luò)設(shè)備上的多個(gè)槽位，并且在一臺主網(wǎng)絡(luò)設(shè)備上可插入多塊防火墻插卡進(jìn)行性能擴(kuò)展。

3 方案設(shè)計(jì)

3.1 防火墻安全域劃分管理

防火墻通過圍繞安全域來配置安全策略。安全管理員將安全需求相同的接口進(jìn)行分類（劃分到不同的區(qū)域），從而實(shí)現(xiàn)策略的分層管理。

安全域配置思路：上級網(wǎng)絡(luò)和本地生產(chǎn)網(wǎng)屬于可信任網(wǎng)絡(luò)，可以自由訪問下級網(wǎng)絡(luò)和本地辦公網(wǎng)。所以將上級網(wǎng)絡(luò)和本地生產(chǎn)網(wǎng)部署在優(yōu)先級相對較高的L區(qū)域和S區(qū)域。下級網(wǎng)絡(luò)可信任程度相對較低，可以將下級網(wǎng)絡(luò)部署在優(yōu)先級相對較低的Z區(qū)域。本地辦公網(wǎng)可信任程度最低，可以將本地辦公網(wǎng)部署在優(yōu)先級最低的B區(qū)域。域和域之間互訪，使用不同的安全策略加以限制。

3.2 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)及端口規(guī)劃

該交換機(jī)配置了一塊48端口千兆以太網(wǎng)電接口業(yè)務(wù)模板，有多個(gè)槽位可供插卡，如果插在n號槽位上，端口編號即為GigabitEthernet n/0/1至GigabitEthernet n/0/48。同樣，防火墻插卡也可以任意插，由于防火墻插卡是通過內(nèi)部的高速10 G以太接口與主網(wǎng)絡(luò)設(shè)備相連，如果插在交換機(jī)的m號槽位上，在交換機(jī)上對應(yīng)的端口號即為Ten-GigabitEthernet m/0/1。在防火墻上對應(yīng)端口一般為Ten-GigabitEthernet 0/0。

端口規(guī)劃思路：可以將傳輸重要數(shù)據(jù)的端口采用端口聚合技術(shù)，比如：將端口GigabitEthernet n/0/20和端口GigabitEthernet n/0/21聚合，連接到對下級網(wǎng)絡(luò)的路由器A上，用來傳送下級網(wǎng)絡(luò)和上級網(wǎng)絡(luò)間數(shù)據(jù)。將端口GigabitEthernet n/0/22和端口GigabitEthernet n/0/23聚合，連接到對下級網(wǎng)絡(luò)的路由器A上，用來傳送下級網(wǎng)絡(luò)和本地辦公網(wǎng)間數(shù)據(jù)。將端口GigabitEthernet n/0/24和端口GigabitEthernet n/0/25聚合，連接到本地辦公網(wǎng)的另一臺交換機(jī)（交換機(jī)A）上，用于傳送交換機(jī)A上的用戶數(shù)據(jù)，如圖1所示。通過這樣的聚合，既增加了帶寬又增強(qiáng)了可靠性。

圖1 端口聚合技術(shù)

網(wǎng)關(guān)設(shè)置思路：上級網(wǎng)絡(luò)、下級網(wǎng)絡(luò)、本地生產(chǎn)網(wǎng)（Z域、L域、S域）間的數(shù)據(jù)交換事關(guān)生產(chǎn)安全，要經(jīng)過嚴(yán)格控制，所以必須要經(jīng)過防火墻。凡是經(jīng)過交換機(jī)端口GigabitEthernet n/0/20和端口GigabitEthernet n/0/21、端口GigabitEthernet n/0/26、端口GigabitEthernet n/0/27進(jìn)入交換機(jī)的數(shù)據(jù)流，必須要先訪問防火墻插卡，其網(wǎng)關(guān)設(shè)在防火墻上；經(jīng)過端口GigabitEthernet n/0/22和端口GigabitEthernet n/0/23進(jìn)入交換機(jī)的數(shù)據(jù)流都是訪問本地辦公網(wǎng)的，不必經(jīng)過防火墻，其網(wǎng)關(guān)設(shè)在交換機(jī)上；經(jīng)過端口GigabitEthernet n/0/24和端口GigabitEthernet n/0/25進(jìn)入交換機(jī)的數(shù)據(jù)流分兩種情況：（1）交換機(jī)上的本地辦公網(wǎng)用戶訪問下級網(wǎng)絡(luò)的和本地辦公網(wǎng)用戶之間互訪的，可以直接在交換機(jī)上交換，不必經(jīng)過防火墻，其網(wǎng)關(guān)設(shè)在交換機(jī)上。（2）本地辦公網(wǎng)用戶訪問上級網(wǎng)絡(luò)、下級網(wǎng)絡(luò)、本地生產(chǎn)網(wǎng)的數(shù)據(jù)流，必須要先訪問防火墻，其下一跳要設(shè)在防火墻上。這樣既保證了重要數(shù)據(jù)流被防火墻保護(hù)，又減輕了防火墻的負(fù)擔(dān)。

3.3 配置步驟

3.3.1 交換機(jī)配置

思路：將交換機(jī)的端口GigabitEthernet n/0/20、GigabitEthernet n/0/21（同一個(gè)vlan aa）、Gigabit-Ethernet n/0/22、GigabitEthernet n/0/23（同一個(gè)vlan）、GigabitEthernett n/0/26（vlan bb）、GigabitEthernet n/0/27(vlan cc)均設(shè)為Access 類型，分別劃到不同的VLAN中。端口GigabitEthernett n/0/24和端口GigabitEthernet n/0/25設(shè)為trunk類型。交換機(jī)的端口Ten-GigabitEthernet m/0/1設(shè)為Trunk類型。具體步驟如下：

（1）創(chuàng)建聚合組，設(shè)置VLAN

（2）將端口分別分配到不同的聚合組中，設(shè)置VLAN

（3）配置端口Ten-GE m/0/1 工作在Trunk 模式下，允許上述VLAN 通過

3.3.2 防火墻配置

思路：防 火 墻 插 卡上的端口Ten-Gigabit-Ethernet 0/0工作在路由模式下， 配置4個(gè)子接口，分別為：Ten-GigabitEthernet aa、Ten-GigabitEthernet bb、Ten-GigabitEthernet cc 和Ten-GigabitEthernet dd，4個(gè)子接口的封裝格式為dot1q，分別與交換機(jī)的VLANaa、VLANbb、VLANcc和VLANdd相關(guān)聯(lián)。將 Ten-GigabitEthernet 0/0 的4個(gè)子接口分別添加到安全域S、B、L、Z中。具體步驟如下：

（1）配置Ten-GE xx 工作在路由模式下

（2）創(chuàng)建Ten-Gigabit-Ethernet 0/0 的4個(gè)子接口，與交換機(jī)VLAN關(guān)聯(lián),并配置子接口的IP 地址

（3）部署安全域，分別將每個(gè)子接口添加到不同地域中

進(jìn)入WEB管理界面，選擇“設(shè)備管理 ＞ 安全域”，編輯安全域，將子接口加入。也可以用命令行方式如下：

3.3.3 防火墻安全規(guī)則的配置

完成端口配置后，要給防火墻配置安全規(guī)則，可以通過圖形界面和字符界面設(shè)置。配置完成后，防火墻就可以發(fā)揮功能了。

4 結(jié)束語

通過一段時(shí)間的運(yùn)行使用，防火墻的作用得到了很好的體現(xiàn)，達(dá)到了預(yù)期的效果，成為地區(qū)網(wǎng)絡(luò)中心不可或缺的重要一環(huán)。在保護(hù)網(wǎng)絡(luò)免受病毒感染和黑客惡意攻擊中，起到了重要的作用。保證了站段、鐵路局生產(chǎn)、辦公網(wǎng)絡(luò)間的信息安全暢通。

責(zé)任編輯 陳 蓉

Switch with frewall card installed in regional network convergence

SUO Yujiang
( Institute of Information Technology,Harbin Railway Administration,Mudanjiang 157000,China)

This article introduced the importance and security problems of network in railway transportation production,presented the necessity of installing network firewall in the regional network convergence of railway administration,introduced the main performance of the switch with a frewall card,explained the installation and confguration method for the card in the convergence in detail.

frewall;security domain;port;convergence

U29：TP39

A

1005-8451（2016）04-0049-03

2015-10-10

索育江，高級工程師。