鐵路數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)安全邊緣防護(hù)策略優(yōu)化＊

［孫磊陽 胡江云 雷小雨 譚勇 李銘煜］

1 引言

隨著鐵路信息業(yè)務(wù)的高速發(fā)展，鐵路業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)安全的重要性逐年上升，為保證鐵路通信業(yè)務(wù)系統(tǒng)安全穩(wěn)定的運(yùn)行，根據(jù)業(yè)務(wù)系統(tǒng)的重要性，分別對鐵路通信各業(yè)務(wù)系統(tǒng)進(jìn)行等保2.0的等級定級，并通過第三方檢測機(jī)構(gòu)對各業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)安全情況進(jìn)行評測。

廣鐵集團(tuán)根據(jù)等保2.0的評測結(jié)果，發(fā)現(xiàn)空口監(jiān)測系統(tǒng)缺乏網(wǎng)絡(luò)安全邊界防護(hù)，通過在空口監(jiān)測系統(tǒng)用戶邊緣路由器（Customer Edge，CE）與鐵路數(shù)據(jù)網(wǎng)運(yùn)營商邊緣路由器（Provider Edge，PE）互聯(lián)鏈路之間加設(shè)防火墻，用以實現(xiàn)邊界防護(hù)。而在進(jìn)行業(yè)務(wù)防護(hù)加固的過程中，發(fā)現(xiàn)PE和CE之間的業(yè)務(wù)流量被異常阻斷。因此，有必要深入分析其組網(wǎng)架構(gòu)，并根據(jù)接入的需求，進(jìn)行網(wǎng)絡(luò)優(yōu)化。

2 網(wǎng)絡(luò)結(jié)構(gòu)

根據(jù)企業(yè)標(biāo)準(zhǔn)《鐵路數(shù)據(jù)通信網(wǎng)編號規(guī)則及路由規(guī)范》（Q/CR 973-2023）的規(guī)定，鐵路數(shù)據(jù)網(wǎng)業(yè)務(wù)承載方式采用基于BGP的多協(xié)議標(biāo)簽交換虛擬專用網(wǎng)技術(shù)（Multiprotocol Label Switching Border Gateway Protocol Virtual Private Network,MPLS BGP VPN），同時由于廣州局鐵路數(shù)據(jù)網(wǎng)自治系統(tǒng)（Autonomous System，AS）內(nèi)仍為IPv4網(wǎng)絡(luò)，其采用中間系統(tǒng)到中間系統(tǒng)協(xié)議（Intermediate System-to-lntermediate System，IS-IS）承載設(shè)備路由[1]。

空口監(jiān)測數(shù)據(jù)采集是否完整直接關(guān)系到鐵路無線列控超時的分析情況，為保障空口監(jiān)測系統(tǒng)的穩(wěn)定性和高可用性，空口監(jiān)測系統(tǒng)接入鐵路數(shù)據(jù)網(wǎng)采用雙歸屬接入方式[2]，由兩臺PE和兩臺CE成口字型組網(wǎng)，組網(wǎng)方式如圖1所示，其中PE為鐵路數(shù)據(jù)網(wǎng)的接入路由器，CE為空口監(jiān)測系統(tǒng)的核心交換機(jī)?？湛诒O(jiān)測系統(tǒng)內(nèi)部采用多生成樹協(xié)議（Multiple Spanning Tree Protocol，MSTP）+虛擬路由冗余協(xié)議（Virtual Router Redundancy Protocol，VRRP）[3]，CE01設(shè)置為VRRP的活躍狀態(tài)（Master），CE02設(shè)置為VRRP的備份狀態(tài)（Backup），為用以實現(xiàn)業(yè)務(wù)網(wǎng)關(guān)的冗余性?？湛诒O(jiān)測系統(tǒng)接入數(shù)據(jù)網(wǎng)采用BGP的方式進(jìn)行接入，CE和PE間通過互聯(lián)地址建立BGP鄰居關(guān)系，用以實現(xiàn)業(yè)務(wù)路由交互。

圖1 業(yè)務(wù)接入鐵路通信網(wǎng)拓?fù)鋱D

對業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)邊界進(jìn)行安全加固，部署完成防火墻后，發(fā)現(xiàn)部分業(yè)務(wù)數(shù)據(jù)交互出現(xiàn)異常，查看路由表確認(rèn)PE和CE側(cè)均有收到對端的業(yè)務(wù)路由。對業(yè)務(wù)不通的原、目地址進(jìn)行路徑排查（tracert）發(fā)現(xiàn)，其業(yè)務(wù)流量走向如圖1所示，沿線節(jié)點出現(xiàn)異常的設(shè)備(10.0.11.2)通過鐵路數(shù)據(jù)網(wǎng)由PE02進(jìn)入空口監(jiān)測業(yè)務(wù)系統(tǒng)訪問空口監(jiān)測服務(wù)器（10.0.10.4）。由于空口監(jiān)測系統(tǒng)內(nèi)部采用MSTP+VRRP組網(wǎng)方式，虛擬網(wǎng)關(guān)為CE01上，因此，回城路由需通過CE01傳送回鐵路數(shù)據(jù)網(wǎng)中。查看防火墻策略命中日志發(fā)現(xiàn)防火墻01對這部分的業(yè)務(wù)流量進(jìn)行阻斷，因此，有必要對路由原理及邊界策略進(jìn)行深入分析。

3 原理分析

3.1 IS-IS協(xié)議

上述問題中發(fā)現(xiàn)業(yè)務(wù)訪問存在來回路徑不一致的情況，根據(jù)《鐵路數(shù)據(jù)通信網(wǎng)編號規(guī)則及路由規(guī)范》（Q/CR 973-2023）的規(guī)定，同一AS內(nèi)各路由器的業(yè)務(wù)路由策略應(yīng)一致，各路由反射器的服務(wù)端向客戶端直接轉(zhuǎn)發(fā)路由，不使用路由控制及過濾策略。因此，由于AR01和AR02上對外發(fā)布的空口監(jiān)測系統(tǒng)路由屬性相同，遠(yuǎn)端的節(jié)點設(shè)備訪問空口監(jiān)測系統(tǒng)服務(wù)器將根據(jù)IS-IS協(xié)議的路由選路規(guī)則進(jìn)行選路。

IS-IS協(xié)議是一種鏈路狀態(tài)控制協(xié)議，采用鏈路狀態(tài)報文（Link-State Packet，LSP）進(jìn)行協(xié)議數(shù)據(jù)的交換，并通過最短路徑優(yōu)先（Shortest Path First，SPF）算法，采用路徑開銷（metric）值進(jìn)行路徑計算，最終得到IS-IS路由信息[4]。在IS-IS協(xié)議中，根據(jù)鏈路的不同帶寬，metric值設(shè)置不同大小，鏈路帶寬越大，metric值越小，一條IS-IS路由信息的metric值為源路由器到目的路由器所有鏈路metric值之和，其metric值越小，IS-IS路由越優(yōu)先。因此，問題中來回路徑不一致的情況為AR03至AR02的鏈路metric值之和小于AR03至AR01的鏈路metric值之和[5]。

3.2 狀態(tài)檢測

防火墻默認(rèn)定義了3個安全區(qū)域，其安全優(yōu)先級由高到低分別為：內(nèi)部區(qū)域（Trust)、外部區(qū)域（Untrust）和服務(wù)器區(qū)域（DMZ）[6]，通過設(shè)置安全策略用以實現(xiàn)安全訪問控制。為防止進(jìn)出安全策略設(shè)置不合理導(dǎo)致惡意攻擊的發(fā)生，防火墻采取狀態(tài)檢測機(jī)制用以實現(xiàn)安全防護(hù)，其交互流程如圖2所示[7]。

在防火墻上設(shè)置相關(guān)訪問規(guī)則后，允許沿線節(jié)點采集設(shè)備訪問空口監(jiān)測服務(wù)器。當(dāng)訪問報文到達(dá)防火墻后，防火墻允許報文通過，同時會針對該訪問行為建立一個會話（Session），會話中包含沿線節(jié)點采集設(shè)備發(fā)出的報文信息如地址和端口等。當(dāng)空口監(jiān)測服務(wù)器回應(yīng)給沿線節(jié)點采集設(shè)備的報文到達(dá)防火墻后，防火墻會把報文中的信息與會話中的信息進(jìn)行對比，若信息匹配，則允許報文通過；若信息不匹配，則拒絕報文通過。

在基于狀態(tài)檢測機(jī)制中，網(wǎng)絡(luò)中通信雙方屬于同一連接的所有報文交互都看作整體的數(shù)據(jù)流對待，從而保證了網(wǎng)絡(luò)的安全性。由于沿線節(jié)點采集設(shè)備訪問空口監(jiān)測服務(wù)器的來回路徑不一致，會話是在防火墻02上建立完成，而防火墻01上不存在相關(guān)會話信息，因此防火墻01對該業(yè)務(wù)流量進(jìn)行阻斷。

4 優(yōu)化思路

將防火墻的狀態(tài)檢測功能關(guān)閉，可以實現(xiàn)業(yè)務(wù)流量的不間斷轉(zhuǎn)達(dá)，但此時防火墻必須要針對每一個方向的報文都配置一條規(guī)則進(jìn)行匹配，這將導(dǎo)致防火墻轉(zhuǎn)發(fā)效率低下，同時帶來網(wǎng)絡(luò)安全風(fēng)險。因此，提出采用雙機(jī)熱備的方式進(jìn)行網(wǎng)絡(luò)優(yōu)化。雙機(jī)熱備技術(shù)可以使兩臺防火墻設(shè)備共同承擔(dān)同一節(jié)點的業(yè)務(wù)，當(dāng)其中一臺防火墻故障或其鏈路發(fā)生故障時，可以切換至另一臺防火墻用以承擔(dān)業(yè)務(wù)[8]。

雙機(jī)熱備組網(wǎng)時，在兩防火墻中間連接一條心跳線，通過心跳線實現(xiàn)通信雙方的信息交互，其心跳線主要傳遞如下信息：心跳報文、配置和表項備份報文、心跳鏈路探測報文和配置一致性檢查報文[9]，并根據(jù)設(shè)備的運(yùn)行模式不同，可分為主備備份模式和負(fù)載分擔(dān)模式：

①主備備份：兩臺防火墻設(shè)置為一主一備，正常情況下主用防火墻負(fù)責(zé)業(yè)務(wù)流量的處理，當(dāng)主用防火墻故障后，備用防火墻接替主用防火墻來處理業(yè)務(wù)流量，保證業(yè)務(wù)不發(fā)生中斷。

②負(fù)載分擔(dān)：兩臺防火墻互為主備。正常情況下兩臺防火墻共同承擔(dān)網(wǎng)絡(luò)的業(yè)務(wù)流量。當(dāng)其中一臺設(shè)備故障時，另一臺設(shè)備會承擔(dān)其業(yè)務(wù)，保證業(yè)務(wù)轉(zhuǎn)發(fā)不發(fā)生中斷。

主備備份模式下，流量由單臺防火墻進(jìn)行處理，其路由規(guī)劃和故障定位相對簡單；負(fù)載分擔(dān)模式下，流量由兩臺防火墻共同處理，比主備備份模塊下能夠承擔(dān)更大的峰值流量，同時在發(fā)生故障時，只有一半的業(yè)務(wù)需要進(jìn)行切換，故障切換的速度更快。但是考慮到負(fù)載分擔(dān)模式下，組網(wǎng)和配置復(fù)雜，同時由于無法避免來回路徑不一致的情況，部分安全檢測功能無法使用，因此本次網(wǎng)絡(luò)優(yōu)化采用主備備份模式下的雙機(jī)熱備。

5 優(yōu)化實施

根據(jù)雙機(jī)熱備的組網(wǎng)需要，在防火墻01和防火墻02之間互聯(lián)一條心跳線，用以交互相關(guān)報文數(shù)據(jù)，同時結(jié)合空口監(jiān)測系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)，空口監(jiān)測系統(tǒng)內(nèi)部采用MSTP+VRRP，CE01為主用虛擬網(wǎng)關(guān)交換機(jī)，因此設(shè)置防火墻01為主備備份模式下主用交換機(jī)，防火墻02為主備備份模式下備用交換機(jī)。

同時為避免存在遠(yuǎn)端設(shè)備訪問空口監(jiān)測系統(tǒng)存在來回路徑不一致的情況，可以通過兩種方式進(jìn)行實現(xiàn)：

①配置路由策略（Route-Policy）[10]。在PE上對從CE學(xué)到的業(yè)務(wù)路由，采用Route-Policy分別設(shè)置路由信息的開銷值，其中AR01上設(shè)置路由開銷值為100，AR02上設(shè)置路由開銷值為300，由于AR01開銷值更小，因此，遠(yuǎn)端設(shè)備將優(yōu)先AR01發(fā)布的路由。

②配置BGP協(xié)議的MED屬性。由于當(dāng)一個運(yùn)行的BGP的路由器通過不同的EBGP對等體得到目的地址相同但下一跳不同的多條路由時，在其他條件相同時，將優(yōu)選MED值較小者作為最佳路由，因此，CE01上對BGP的MED值設(shè)置為100，CE02上BGP的MED值設(shè)置為200。

在實際網(wǎng)絡(luò)優(yōu)化過程中，對上述優(yōu)化方案進(jìn)行測試，發(fā)現(xiàn)均能打破來回路徑不一致的情況，同時保證網(wǎng)絡(luò)邊緣防護(hù)的安全，業(yè)務(wù)流量平穩(wěn)轉(zhuǎn)發(fā)。

6 結(jié)論

隨著信息化的高速發(fā)展，網(wǎng)絡(luò)安全越來越受到重視。目前鐵路很多系統(tǒng)都在加設(shè)防火墻等網(wǎng)絡(luò)安全設(shè)備，廣州集團(tuán)對空口監(jiān)測系統(tǒng)網(wǎng)絡(luò)邊緣防護(hù)部署完成后業(yè)務(wù)轉(zhuǎn)發(fā)異常阻斷的問題，結(jié)合IS-IS原理和狀態(tài)檢測機(jī)制，提出基于主備備份模式下雙機(jī)熱備的優(yōu)化方案，對網(wǎng)絡(luò)邊緣防護(hù)的策略進(jìn)行優(yōu)化，實現(xiàn)鐵路業(yè)務(wù)系統(tǒng)安全穩(wěn)定的運(yùn)行，對鐵路運(yùn)營維護(hù)提供一定的參考。