楊偉斌

本文就發(fā)射臺站網(wǎng)絡從規(guī)劃到實施中，遇到的難點、疑點問題進行探討，并根據(jù)作者近年來維護臺站網(wǎng)絡經(jīng)驗和探索的基礎上，以臺站對網(wǎng)絡的需求出發(fā)，進行了技術網(wǎng)和OA網(wǎng)隔離的狀況下實現(xiàn)技術網(wǎng)數(shù)據(jù)在OA網(wǎng)發(fā)布的研究。

概述

近年來，廣播發(fā)射臺站信息化建設全面展開，各系統(tǒng)自動化、網(wǎng)絡化建設相繼落成。特別是網(wǎng)絡化條件下的廣播發(fā)射臺站的網(wǎng)絡安全也需要得到重視，尤其作為有安全業(yè)務播出的臺站，既要保障安全播出業(yè)務的正常運行，又要保障自身網(wǎng)絡建設的安全性不會成為整個網(wǎng)絡的安全漏洞；最重要的就是保障其自身的網(wǎng)絡安全，有效的為整個網(wǎng)絡的安全建設提供支持。

在三層交換機上運用ACL對用戶訪問限制

根據(jù)臺站業(yè)務的特點，在臺站局域網(wǎng)上，所有應用都是部署在同一個網(wǎng)絡平臺上，業(yè)務之間需要互訪，同時需要對可以訪問業(yè)務的人員進行限制。所以要求應用在IP層進行互訪限制。具體實施規(guī)定如下：

通過虛擬局域網(wǎng)（VLAN）對臺站應用和用戶進行細分；

通過訪問控制列表（ACL，Access control list）方式進行業(yè)務隔離和互訪限制。

可以通過對連接應用的交換機端口添加ACL策略來限制可以訪問的用戶，也可以采用單向訪問列表的方式允許一個網(wǎng)段或一段地址訪問其他地址，但其他地址不能訪問這個網(wǎng)段。

訪問控制列表初期僅在路由器上支持，近些年來已經(jīng)擴展到三層交換機，三層交換機S6503就提供了訪問控制列表功能。

基本原理：ACL使用包過濾技術，在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等，根據(jù)預先定義好的規(guī)則對包進行過濾，從而達到訪問控制的目的。

功能：網(wǎng)絡中的節(jié)點有資源節(jié)點和用戶節(jié)點兩大類，其中資源節(jié)點提供服務或數(shù)據(jù)，用戶節(jié)點訪問資源節(jié)點所提供的服務與數(shù)據(jù)。ACL的主要功能就是一方面保護資源節(jié)點，阻止非法用戶對資源節(jié)點的訪問，另一方面限制特定的用戶節(jié)點所能具備的訪問權限。

2.1 使用訪問控制列表時需要遵守的一些規(guī)則

①標準ACL的測試條件只是基于源地址；

②擴展ACL的測試條件包括協(xié)議類型、原地址、目的地址、應用端口和會話層信息；

③按照由上到下的順序執(zhí)行，找到第一個匹配后即執(zhí)行相應的操作，跳出ACL而不會繼續(xù)匹配下面的語句。所以ACL中語句的順序很關鍵；

④末尾隱含為deny全部。這樣做是出于安全考慮；

⑤引用ACL之前，要首先創(chuàng)建好ACL，否則可能出錯；

⑥ACL在被應用到對應端口以前，將不具任何意義，對數(shù)據(jù)流不產(chǎn)生控制；

2.2 ACL在網(wǎng)絡安全中的應用

①防止外部IP地址欺騙和非法探測；

②保護網(wǎng)絡層設備不受攻擊；

③阻止病毒的傳播和攻擊；

④針對服務器的實際應用設計ACL。

幾個訪問控制列表設置的例子

number acl-number：ACL（Access Control List，訪問控制列表）序號，取值范圍為:

2000～2999：表示標準ACL。

3000～3999：表示擴展ACL。

3.1 舉例

# 定義ACL 2000的規(guī)則，并定義規(guī)則匹配順序為深度優(yōu)先順序。

system-view

System View: return to User View with Ctrl+Z.

[H3C] acl number 2000 match-order auto

[H3C-acl-basic-2000]

#在GigabitEthernet1/0/1上應用ACL 2000，進行包過濾。

system-view

System View: return to User View with Ctrl+Z.

[H3C] interface GigabitEthernet1/0/1

[H3C-GigabitEthernet1/0/1] packet-filter inbound ip-group 2000

# 定義規(guī)則，禁止源地址為10.1.0.0上的報文通過，

system-view

System View: return to User View with Ctrl+Z.

[H3C] acl number 2000

[H3C-acl-basic-2000] rule 0 deny source 10.1.0.0 0.0.255.255

# 定義一條規(guī)則，允許從10.2.0.0網(wǎng)段的主機向172.1.58.0網(wǎng)段的主機發(fā)送的端口號為80的報文通過。

system-view

System View: return to User View with Ctrl+Z.

[H3C] acl number 3101

[H3C-acl-adv-3101] rule permit tcp source 10.2.0.0 0.0.255.255 destination 172.1.58.0 0.0.0.255 destination-port eq 80

3.2 病毒端口的關閉

根據(jù)業(yè)務的需求只開放業(yè)務端口，通過控制內(nèi)網(wǎng)和外網(wǎng)的安全級別來防護內(nèi)網(wǎng)的安全。

[H3C] acl number 3001

[H3C-acl-adv-3001]

rule 0 deny tcp destination-port eq 6881

rule 1 deny tcp destination-port eq 6882

rule 2 deny udp destination-port eq 6883

rule 3 deny tcp destination-port eq 6884

rule 4 deny udp destination-port eq 6885

rule 5 deny tcp destination-port eq 6886

rule 6 deny udp destination-port eq 6887

rule 7 deny tcp destination-port eq 6888

rule 8 deny udp destination-port eq 6889

rule 9 deny tcp destination-port eq 4444

rule 10 deny udp destination-port eq tftp

rule 11 deny tcp destination-port eq 135

rule 12 deny udp destination-port eq 135

rule 13 deny tcp destination-port eq 445

rule 14 deny udp destination-port eq 445

rule 15 deny tcp destination-port eq 593

rule 16 deny udp destination-port eq 593

rule 17 deny udp destination-port eq 1434

rule 18 deny tcp destination-port eq 1234

rule 19 deny tcp destination-port eq 7070

rule 20 deny tcp destination-port eq 139

rule 21 deny udp destination-port eq netbios-ssn

關閉端口說明：

端口6881到6889：是網(wǎng)絡中的服務器的外部端口，局域網(wǎng)用戶可以通過對計算機的設置，通過這些外部端口，利用BT軟件下載大量數(shù)據(jù)，占用網(wǎng)絡帶寬。

端口4444：利用DCOM RPC漏洞進行傳播的蠕蟲病毒端口

端口69，tftp：許多服務器與bootp一起提供這項服務，便于從系統(tǒng)下載啟動代碼。但是它們常常由于錯誤配置而使入侵者能從系統(tǒng)中竊取任何文件。它們也可用于系統(tǒng)寫入文件。

端口135：這個端口運行DCE RPC end-point mapper為它的DCOM服務，有些DOS攻擊直接針對這個端口。

端口445和139：如果客戶端啟用了NBT，那么連接的時候?qū)⑼瑫r訪問139和445端口，如果從445端口得到回應，那么客戶端將發(fā)送RST到139端口，終止這個端口的連接，接著就從445端口進行SMB的會話了，所以禁用445端口后，對訪問NT機器的共享會失敗。

端口593：HTTP 上的 RPC TCP 593 隨機分配的高 TCP 端口 TCP 隨機端口號。

端口1434：SQL Server 2000中關于SQL Server Resolution Service（SSRS）的服務。SSRS接受來自1434 udp端口的請求，并返回提出請求主機的IP地址和 端口號。SSRS有一個堆棧溢出問題，使攻擊者通過發(fā)送特殊的去1434udp端口的請求來執(zhí)行任意代碼（程序）。

端口1234：木馬SubSeven2.0、Ultors Trojan使用端口。

端口7070：指定PNA方式連接時服務器的偵聽端口，默認數(shù)值為7070，在線免費影片下載觀看是可能會使用到此端口。

技術網(wǎng)和OA網(wǎng)隔離狀況下實現(xiàn)技術網(wǎng)數(shù)據(jù)在OA網(wǎng)發(fā)布的研究

根據(jù)臺站網(wǎng)絡安全設計需要，只允許臺站辦公網(wǎng)通訊服務器從臺站技術網(wǎng)通訊服務器處獲得技術網(wǎng)數(shù)據(jù)，禁止辦公網(wǎng)對技術網(wǎng)的其他訪問。因此在臺站辦公網(wǎng)中心交換機S6503與臺站技術網(wǎng)匯聚交換機S3552F之間添加一臺防火墻，在防火墻上進行訪問控制和地址轉換，對臺站辦公網(wǎng)和技術網(wǎng)進行隔離。技術網(wǎng)與OA典型關系統(tǒng)拓撲圖如下圖所示：

OA網(wǎng)從技術網(wǎng)獲得數(shù)據(jù)需要考慮的問題有：

①OA網(wǎng)用戶行為不能預計，直接訪問技術網(wǎng)數(shù)據(jù)庫對技術網(wǎng)本身是不安全的，技術網(wǎng)穩(wěn)定性會造成嚴重干擾。

②數(shù)據(jù)流向為單向，OA網(wǎng)不發(fā)送、廣播任何數(shù)據(jù)給技術網(wǎng)。

③OA用戶想獲取實時數(shù)據(jù)，認為實時數(shù)據(jù)更有價值。

④網(wǎng)絡負荷可知，數(shù)據(jù)流量在可控制的范圍內(nèi)。

⑤需要的軟硬件設施造價不能過高，要在成本控制的范圍內(nèi)。

下面以一個具體的例子來分析技術網(wǎng)和OA網(wǎng)防火墻隔離的狀況下實現(xiàn)技術網(wǎng)數(shù)據(jù)在OA網(wǎng)發(fā)布的可行性研究。

某變電站各業(yè)務網(wǎng)段劃分為：

技術網(wǎng)某技術系統(tǒng)業(yè)務網(wǎng)段172.2.57.0/24，

OA網(wǎng)服務器運行在網(wǎng)段10.2.58.128/27，

OA網(wǎng)辦公用戶網(wǎng)段10.2.57.0/24

某變電站在這一應用中的網(wǎng)絡拓撲結構圖：

防火墻配置步驟（以華為Eduemon200防火墻為例）：

①啟用防火墻

#firewallenable

使用此命令來啟用或禁止防火墻

②配置防火墻內(nèi)、外接口地址

#interface Ethernet0/0/0

description link_tO_OA

ip address 192.168.2.1 255.255.255.0

#interface Ethernet0/0/1

description link_to_jishu

ip address 192.168.1.1 255.255.255.0

③區(qū)域定義

系統(tǒng)預定義了4 個安全區(qū)域：Local、Trust、Untrust 和DMZ。不同安全區(qū)域之間沒有訪問限制，且安全區(qū)域不支持策略配置，若需要訪問控制，在安全區(qū)域中的相應接口進行配置。缺省情況下，Local 區(qū)域的優(yōu)先級為100，Trust 區(qū)域的優(yōu)先級為85，Untrust 區(qū)域的優(yōu)先級為5，DMZ 區(qū)域的優(yōu)先級為50。

把與技術網(wǎng)連接的接口Ethernet0/0/1定義為Trust區(qū)域，與OA網(wǎng)連接的接口Ethernet0/0/0定義為Untrust區(qū)域

#firewall zone trust

add interface Ethernet0/0/1

set priority 85

#firewall zone untrust

add interface Ethernet0/0/0

set priority 5

④配置靜態(tài)路由

在配置靜態(tài)路由時，可指定發(fā)送接口，也可指定下一跳地址，具體采用哪種方法，可需要根據(jù)實際情況而定。

#ip route-static 10.2.58.128 255.255.255.224 192.168.2.2

ip route-static 172.2.57.0 255.255.255.0 192.168.1.2

⑤創(chuàng)建擴展ACL

#acl number 3000

rule 10 permit tcp source 172.2.57.0 0.0.0.255 destination 10.2.58.128 0.0.0.31 destination-port eq 9090

⑥ 最后將ACL應用到對應區(qū)域，對數(shù)據(jù)流產(chǎn)生控制

#firewall interzone trust untrust

packet-filter 3000 outbound

應用trust——〉 untrust包過濾防火墻功能，單向數(shù)據(jù)，通過9090端口從技術網(wǎng)（trust區(qū)域）172.2.57.0網(wǎng)段推送（outbound）數(shù)據(jù)到OA網(wǎng)（untrust）服務器網(wǎng)段10.2.58.128網(wǎng)段。

⑦軟件支持

在技術網(wǎng)數(shù)據(jù)庫服務器上，要有一個數(shù)據(jù)推送機制，在OA網(wǎng)鏡像數(shù)據(jù)庫和web發(fā)布服務器有一個接收機制。

目前配合“網(wǎng)絡隔離裝置”軟件和對數(shù)據(jù)庫設置，即可實現(xiàn)技術網(wǎng)數(shù)據(jù)在OA網(wǎng)發(fā)布，《電站數(shù)據(jù)流示意圖》可以看出（帶箭頭的虛線代表數(shù)據(jù)流），數(shù)據(jù)總是單向從技術網(wǎng)到OA網(wǎng)。

小結

實踐應用中，按照上述闡述的方法進行網(wǎng)絡隔離條件下實現(xiàn)了技術網(wǎng)向OA網(wǎng)數(shù)據(jù)的發(fā)布，在臺站網(wǎng)絡建設中是成功的。充分研究實際情況，考慮網(wǎng)絡設備性能、網(wǎng)絡規(guī)模、網(wǎng)絡運行、管理、特別是安全等諸方面因素，低成本解決臺站信息化建設中遇到的難點、疑點問題，在臺站應用中得到廣泛推廣。

【參考文獻】

1、王華麗 訪問控制列表在網(wǎng)絡安全中的應用 www.ilib.cn《電子科技》2007年1期

2、華為 S6503交換Eduemon200防火墻 操作手冊 命令手冊