一种网络安全防护方法、系统与流程

1.本发明属于信息安全技术领域，特别涉及一种网络安全防护方法、系统。


背景技术：

2.近年来，伴随着对互联网依赖度的提高，网络空间已日益发展成为继陆、海、空、天之后的第五大主权领域空间，成为各国优先争夺的重要战略空间。目前，各国均采取多种措施不断谋求增强网络防御和对抗能力，网络空间对抗态势不断加剧。
3.中国列车运行控制系统ctcs（chinese train control system）是为了提高列车运行效率和保证列车安全运行而诞生和发展的，它同时涉及到铁路运输、铁路信号与自动化控制、通信等多方面专业技术。铁路网络和重要信息系统一旦发生重大故障或遭到破坏，可能会将严重影响铁路的正常运行，甚至会造成铁路运输大面积瘫痪，对社会秩序和公共利益造成严重损害，其影响和损失不亚于一次重大交通事故。因此，ctcs具有极高的安全要求。铁路总公司已成为国家网络安全的重点保护单位，ctcs系统作为国家关键信息基础设施，被确定为网络安全等级保护四级系统，必须对其实施全方位的安全保护，对于关键设备，尤其要进行信息安全防护。
4.在没有网络安全防护的情况下，无法对ctc与tsrs的通信数据进行校验，在不受控的情况下，如果ctc端向tsrs端发起恶意通信行为，tsrs将受到攻击，从而影响整个ctcs系统的安全性。对于ctc-tsrs接口数据，目前存在两种现状：1.没有部署信息安全防护手段；2.在tsts接口服务器（属于ctc系统）tsrs主机之间串接防火墙。


技术实现要素：

5.针对上述问题，本发明提出一种网络安全防护方法，所述方法包括：确定交换机和防火墙的配置策略路由和网络安全防护规则；根据所述配置策略路由和所述网络安全防护规则将防火墙连接在交换机上，旁路部署于交换机和路由器之间，实现网络安全防护。
6.具体的，确定防火墙的配置策略路由和网络安全防护规则包括：配置第一接口与第二接口的接口ip；划分接口安全域，并将所述第一接口和所述第二接口添加到安全域；将添加安全域的第一接口与第二接口进行接口联动；在经接口联动的防火墙上添加第一通信单元与第二通信单元的策略路由和安全防护规则。
7.具体的，确定交换机配置策略路由和网络安全防护规则包括：划分交换机的虚拟局域网，并根据第一接口与第二接口的接口ip配置所述虚拟局域网的ip；在经ip配置的交换机上添加策略路由和网络安全防护规则，所述网络安全防护规则包括访问控制列表规则。
8.具体的，所述第一通信单元包括调度集中控制单元，所述第二通信单元包括临时限速服务器。
9.具体的，将防火墙连接在交换机上包括：交换机绑定防火墙接口的静态地址解析协议，并通过静态地址解析协议实现交换机与防火墙的连接。
10.本发明还提供一种网络安全防护系统，所述系统包括：第一确定单元、连接单元、交换机和防火墙，第一确定单元，用于确定交换机和防火墙的配置策略路由和网络安全防护规则；连接单元，用于根据所述配置策略路由和所述网络安全防护规则将防火墙连接在交换机上，旁路部署于交换机和路由器之间。
11.具体的，所述系统还包括第一通信单元、第二通信单元和路由器，所述第一通信单元和所述第二通信单元依次通过路由器、防火墙和交换机通信连接。
12.具体的，所述第一通信单元包括调度集中控制单元，所述第二通信单元包括临时限速服务器。
13.具体的，所述第一确定单元包括第一配置模块、第一添加模块、联动模块、第二添加模块，第一配置模块，用于配置第一接口与第二接口的接口ip；第一添加模块，用于划分接口安全域，并将所述第一接口和所述第二接口添加到安全域；联动模块，用于将添加安全域的第一接口与第二接口进行接口联动；第二添加模块，用于在经接口联动的防火墙上添加第一通信单元与第二通信单元的策略路由和安全防护规则。
14.具体的，所述第一确定单元还包括划分模块、第二配置模块、第三添加模块，划分模块，用于划分交换机的虚拟局域网；第二配置模块，用于根据第一接口与第二接口的接口ip配置所述虚拟局域网的ip；第三添加模块，用于在经ip配置的交换机上添加策略路由和网络安全防护规则。
15.本发明的网络安全防护方法、系统，采用本发明的信息安全防护方式，可以用低成本、高可靠性提升tsrs的网络安全等级。当防火墙功能正常时，对ctc通信进行有效校验，进行网络安全防护；当防火墙故障时，也不影响原有系统的通信连续性。降低硬件成本，同时也能降低硬件故障的概率，有利于维持原有系统的稳定性。
16.本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所指出的结构来实现和获得。
附图说明
17.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根
据这些附图获得其他的附图。
18.图1示出了本发明实施例中的网络安全防护方法流程示意图；图2示出了本发明实施例中的tsrs通信机柜旁路部署防火墙示意图；图3示出了现有技术中的tsrs通信链路防护结构示意图。
具体实施方式
19.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地说明，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
20.本发明实施例中提供一种网络安全防护方法，图1示出了本发明实施例中的网络安全防护方法流程示意图，图1中，所述方法包括：确定交换机和防火墙的配置策略路由和网络安全防护规则；根据所述配置策略路由和所述网络安全防护规则将防火墙连接在交换机上，旁路部署于交换机和路由器之间，实现网络安全防护。
21.具体的，确定防火墙的配置策略路由和网络安全防护规则包括：配置第一接口与第二接口的接口ip；划分接口安全域，并将所述第一接口和所述第二接口添加到安全域；将添加安全域的第一接口与第二接口进行接口联动；在经接口联动的防火墙上添加第一通信单元与第二通信单元的策略路由和安全防护规则。
22.具体的，确定交换机配置策略路由和网络安全防护规则包括：划分交换机的虚拟局域网，并根据第一接口与第二接口的接口ip配置所述虚拟局域网的ip；在经ip配置的交换机上添加策略路由和网络安全防护规则，所述网络安全防护规则包括访问控制列表规则。
23.具体的，交换机绑定防火墙接口的静态地址解析协议，并通过静态地址解析协议实现交换机与防火墙的连接。
24.本发明实施例中以ctcs系统中的网络安全防护进行说明：在ctcs系统中，ctc（centralized traffic control system、调度集中系统）中心通过接口服务器与ctcs系统中的tsrs（临时限速服务器、temporary speed restriction server）进行互联，采用2m的专用数字通道。ctc系统向临时限速服务器下达限速命令，并接受临时限速服务器反馈的限速执行结果；ctc系统从无线闭塞中心获取列车的动态运行状态；ctc系统负责拟定临时限速调度命令，tsrs进行临时限速规则校验，并将校验结果反馈给ctc。校验成功后，列车调度员通过ctc终端选取相应的限速命令下达设置，由tsrs负责将限速命令拆分给相关的tcc、rbc执行。最后，再由tsrs将tcc、rbc的执行状况结果反馈给ctc。tsrs具备对全线临时限速命令的存储、校验、撤销、拆分、设置和取消及临时限速设置时机的辅助提示等功能，本发明实施例中为了有效提升tsrs的安全防护能力，在ctc与tsrs的通信接口处旁路部署第二代防火墙。
25.图2示出了本发明实施例中的tsrs通信机柜旁路部署防火墙示意图，图2中，tsrs主机柜通过通信机柜与调度所ctc系统，通信机柜与调度所ctc系统通过2m传输通道通信连接，通信机柜包括路由器、交换机和防火墙，防火墙连接到通信机柜的交换机，旁路部署于交换机和路由器之间，防火墙上配置ge3、ge4接口，交换机上1、2、3、4口分别划分为vlan1（虚拟局域网、virtual local area network）、vlan2、vlan3、vlan4，ge4与vlan3通信连接，ge3与vlan2通信连接，tsrs主机柜上设置有vpc_c1、vpc_c2（vpc：vital platform computer 安全平台计算机；vpc_c1：第一个安全平台计算机）。图中，路由器、交换机、防火墙均设置有两组，每组路由器、交换机、防火墙分别连接一个vpc_c1。
26.以防火墙1、交换机1、vpc_c的连接方式为例，需要对交换机1和防火墙1配置策略路由和网络安全防护规则，实现对tsrs1的网络安全防护，采用ctc与tsrs的路由器和交换机之间旁路部署防火墙旁路、制定策略路由、接口联动的方式可以实现对ctc与tsrs间的信息安全防护，增强tsrs的安全等级。
27.对防火墙1配置策略路由和网络安全防护规则包括：第一步：配置ge3口、ge4口的接口ip，将ge3和ge4口分别设置为路由模式，ge3口ip设置为与ip3，ge4口ip设置为ip4；第二步：划分接口安全域，将ge3、ge4添加到三层安全域，将ge3口设置为三层trust域（安全域），将ge4口划分为三层untrust域（非安全域）；第三步：添加ctc与tsts通信的策略路由，具体的，在防火墙分别添加策略路由1和策略路由2，策略路由1源地址为三层trust域，网关为ge3同网段的网关；策略路由2源地址为三层untrust域，网关为ge4同网段的网关；第四步：添加ge3、ge4的接口联动，具体的，在防火墙将ge3、ge4口设置为联动接口对，开启bypass（旁路）功能，ge3和ge4口便可以同up或down，当ge3或ge4任一接口故障时，这对接口同时失效，因此能保证交换机配置的路由的可达性；第五步：添加ctc与tsts通信的安全防护策略并启用，具体的，开启ctc与tsrs通信白名单，将ctc于tsrs的ip地址、端口号、协议加入白名单策略，仅允许防火墙两端的ctc与tsrs进行通信，阻断其他一切ip的数据通信。
28.对交换机1配置策略路由和网络安全防护规则包括：第一步：划分vlan，交换机1、2、3、4口分别划分为vlan1、vlan2、vlan3、vlan4；第二步：配置valnip，其中vlan2的ip与防火墙1 ge3口的ip属于同网段，vlan3的ip与防火墙1 ge4口的ip属于同网段；第三步：配置acl规则（访问控制列表、access control lists），并将acl规则与通信接口绑定；第四步：配置策略路由，进行路由重定向，具体的，绑定数据流的入接口为交换机1口；绑定数据流的入接口为交换机4口；添加两条策略路由：策略路由1：交换机的下一跳设置为防火墙ge3口ip3；策略路由2：交换机的下一跳设置为防火墙ge4口ip4；第五步：绑定防火墙端口的静态arp（地址解析协议、address resolution protocol），在交换机学习防火墙ge3和ge4的arp；vlan2与防火墙ge3口mac地址绑定为permanent（永久）格式的arp；vlan3与防火墙ge4口mac地址绑定为permanent格式的arp，当防火墙功能正常时，ctc与tsrs的通信数据必将先发送到防火墙的ge3口或ge4口，实现了硬
件绑定。当防火墙故障时，策略路由失效，ctc与tsrs可以直接通过交换机的非策略路由实现通信。
29.通过交换机和防火墙的策略路由和接口联动，将ctc与tsrs间的数据重定向，使数据按照ctc-路由器-防火墙-交换机-tsrs的流向，对ctc与tsrs间的数据包进行过滤。
30.具体的，当ctc向tsrs发送数据时，数据依次经过ctc、路由器、防火墙、交换机、tsrs；当tsrs向ctc发送数据时，数据依次经过、tsrs、交换机、防火墙、路由器、ctc；从而实现了数据在防火墙的过滤图3示出了现有技术中的tsrs通信链路防护结构示意图，图3中，tsrs采用2*2取2的结构：tsrs有i系、ii系主机、2个2m转换模块、冗余的2m通信通道，每一系的tsrs主机都同时发送数据给2个2m转换模块，ctc系统上设置tsrs接口服务器i系和tsrs接口服务器ii系，tsrs接口服务器i系和tsrs接口服务器ii系分别与2m转换模块连接，同一时刻最多有4路tsrs通信数据，这样的话，就需要对4路通信路径进行防护。
31.本发明实施例中对tsrs的每一套通信链路进行防护需要用到2对即4个物理接口的冗余防护进行改进，采用本发明所述的旁路部署的方式，只需要在配置策略路由时将两系tsrs的ip添加到策略路由和防火墙的安全策略中即可实现网络安全防护功能，与防护前的硬件接口数量降低到一半，防护设备的最低硬件成本。只需要增加防火墙，无需再增加路由器等其他设备即可实现对tsrs的网络安全防护，即旁路部署的方式可以减少对防火墙和交换机接口数量的需求。
32.本发明实施例中还提供一种网络安全防护系统，所述系统包括：第一确定单元、连接单元、交换机和防火墙，第一确定单元，用于确定交换机和防火墙的配置策略路由和网络安全防护规则；连接单元，用于根据所述配置策略路由和所述网络安全防护规则将防火墙连接在交换机上，旁路部署于交换机和路由器之间。
33.具体的，所述系统还包括第一通信单元、第二通信单元和路由器，所述第一通信单元和所述第二通信单元依次通过路由器、防火墙和交换机通信连接。
34.具体的，所述第一确定单元包括第一配置模块、第一添加模块、联动模块、第二添加模块，第一配置模块，用于配置第一接口与第二接口的接口ip；第一添加模块，用于划分接口安全域，并将所述第一接口和所述第二接口添加到安全域；联动模块，用于将添加安全域的第一接口与第二接口进行接口联动；第二添加模块，用于在经接口联动的防火墙上添加第一通信单元与第二通信单元的策略路由和安全防护规则。
35.具体的，所述第一确定单元还包括划分模块、第二配置模块、第三添加模块，划分模块，用于划分交换机的虚拟局域网；第二配置模块，用于根据第一接口与第二接口的接口ip配置所述虚拟局域网的ip；第三添加模块，用于在经ip配置的交换机上添加策略路由和网络安全防护规则。
36.相比于现有技术，本发明的网络安全防护方法、系统具有以下优点1、不改变既有系统结构：只需要在tsrs通信机柜的交换机处增加部署防火墙即可，无需再调整其他任何系统结构；2、对tsrs进行网络安全防护：对ctc与tsrs通信（五元组、业务数据等）进行校验，制定tsrs安全防护策略，对ip、应用、服务等进行限制，凡是不符合安全策略的通信都将被
防火墙阻拦，从而有效提升tsrs系统安全性；3、保证原有系统通信的连续性：当防火墙物理连接正确、防护策略启用时，ctc-tsrs间的通信数据按照策略路由制定的数据流向，从ctc-路由器-防火墙-交换机-tsrs，从而实现ctc到tsrs端的数据包过滤；反方向同理。
37.当防火墙物理连接故障时，交换机无法探测到防火墙接口，ctc-tsrs间的通信数据按照交换机的静态路由的通道，从ctc-路由器-交换机-tsrs，从而保证ctc与tsrs间的通信的连续性；反方向同理；4、防护设备的最低硬件成本。只需要增加防火墙，无需再增加路由器等其他设备即可实现对tsrs的网络安全防护。由于tsrs采用2*2取2的结构，因此对tsrs的每一套通信链路进行防护需要用到2对即4个物理接口。采用本发明所述的旁路部署的方式，只需要在配置策略路由时将两系tsrs的ip添加到策略路由和防火墙的安全策略中即可实现网络安全防护功能，与防护前的硬件接口数量降低到一半。
38.尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。