網(wǎng)絡(luò)隔離的狀況下實(shí)現(xiàn)技術(shù)網(wǎng)數(shù)據(jù)在OA網(wǎng)發(fā)布的研究

楊偉斌

本文就發(fā)射臺(tái)站網(wǎng)絡(luò)從規(guī)劃到實(shí)施中，遇到的難點(diǎn)、疑點(diǎn)問(wèn)題進(jìn)行探討，并根據(jù)作者近年來(lái)維護(hù)臺(tái)站網(wǎng)絡(luò)經(jīng)驗(yàn)和探索的基礎(chǔ)上，以臺(tái)站對(duì)網(wǎng)絡(luò)的需求出發(fā)，進(jìn)行了技術(shù)網(wǎng)和OA網(wǎng)隔離的狀況下實(shí)現(xiàn)技術(shù)網(wǎng)數(shù)據(jù)在OA網(wǎng)發(fā)布的研究。

概述

近年來(lái)，廣播發(fā)射臺(tái)站信息化建設(shè)全面展開(kāi)，各系統(tǒng)自動(dòng)化、網(wǎng)絡(luò)化建設(shè)相繼落成。特別是網(wǎng)絡(luò)化條件下的廣播發(fā)射臺(tái)站的網(wǎng)絡(luò)安全也需要得到重視，尤其作為有安全業(yè)務(wù)播出的臺(tái)站，既要保障安全播出業(yè)務(wù)的正常運(yùn)行，又要保障自身網(wǎng)絡(luò)建設(shè)的安全性不會(huì)成為整個(gè)網(wǎng)絡(luò)的安全漏洞；最重要的就是保障其自身的網(wǎng)絡(luò)安全，有效的為整個(gè)網(wǎng)絡(luò)的安全建設(shè)提供支持。

在三層交換機(jī)上運(yùn)用ACL對(duì)用戶訪問(wèn)限制

根據(jù)臺(tái)站業(yè)務(wù)的特點(diǎn)，在臺(tái)站局域網(wǎng)上，所有應(yīng)用都是部署在同一個(gè)網(wǎng)絡(luò)平臺(tái)上，業(yè)務(wù)之間需要互訪，同時(shí)需要對(duì)可以訪問(wèn)業(yè)務(wù)的人員進(jìn)行限制。所以要求應(yīng)用在IP層進(jìn)行互訪限制。具體實(shí)施規(guī)定如下：

通過(guò)虛擬局域網(wǎng)（VLAN）對(duì)臺(tái)站應(yīng)用和用戶進(jìn)行細(xì)分；

通過(guò)訪問(wèn)控制列表（ACL，Access control list）方式進(jìn)行業(yè)務(wù)隔離和互訪限制。

可以通過(guò)對(duì)連接應(yīng)用的交換機(jī)端口添加ACL策略來(lái)限制可以訪問(wèn)的用戶，也可以采用單向訪問(wèn)列表的方式允許一個(gè)網(wǎng)段或一段地址訪問(wèn)其他地址，但其他地址不能訪問(wèn)這個(gè)網(wǎng)段。

訪問(wèn)控制列表初期僅在路由器上支持，近些年來(lái)已經(jīng)擴(kuò)展到三層交換機(jī)，三層交換機(jī)S6503就提供了訪問(wèn)控制列表功能。

基本原理：ACL使用包過(guò)濾技術(shù)，在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等，根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過(guò)濾，從而達(dá)到訪問(wèn)控制的目的。

功能：網(wǎng)絡(luò)中的節(jié)點(diǎn)有資源節(jié)點(diǎn)和用戶節(jié)點(diǎn)兩大類，其中資源節(jié)點(diǎn)提供服務(wù)或數(shù)據(jù)，用戶節(jié)點(diǎn)訪問(wèn)資源節(jié)點(diǎn)所提供的服務(wù)與數(shù)據(jù)。ACL的主要功能就是一方面保護(hù)資源節(jié)點(diǎn)，阻止非法用戶對(duì)資源節(jié)點(diǎn)的訪問(wèn)，另一方面限制特定的用戶節(jié)點(diǎn)所能具備的訪問(wèn)權(quán)限。

2.1 使用訪問(wèn)控制列表時(shí)需要遵守的一些規(guī)則

①標(biāo)準(zhǔn)ACL的測(cè)試條件只是基于源地址；

②擴(kuò)展ACL的測(cè)試條件包括協(xié)議類型、原地址、目的地址、應(yīng)用端口和會(huì)話層信息；

③按照由上到下的順序執(zhí)行，找到第一個(gè)匹配后即執(zhí)行相應(yīng)的操作，跳出ACL而不會(huì)繼續(xù)匹配下面的語(yǔ)句。所以ACL中語(yǔ)句的順序很關(guān)鍵；

④末尾隱含為deny全部。這樣做是出于安全考慮；

⑤引用ACL之前，要首先創(chuàng)建好ACL，否則可能出錯(cuò)；

⑥ACL在被應(yīng)用到對(duì)應(yīng)端口以前，將不具任何意義，對(duì)數(shù)據(jù)流不產(chǎn)生控制；

2.2 ACL在網(wǎng)絡(luò)安全中的應(yīng)用

①防止外部IP地址欺騙和非法探測(cè)；

②保護(hù)網(wǎng)絡(luò)層設(shè)備不受攻擊；

③阻止病毒的傳播和攻擊；

④針對(duì)服務(wù)器的實(shí)際應(yīng)用設(shè)計(jì)ACL。

幾個(gè)訪問(wèn)控制列表設(shè)置的例子

number acl-number：ACL（Access Control List，訪問(wèn)控制列表）序號(hào)，取值范圍為:

2000～2999：表示標(biāo)準(zhǔn)ACL。

3000～3999：表示擴(kuò)展ACL。

3.1 舉例

# 定義ACL 2000的規(guī)則，并定義規(guī)則匹配順序?yàn)樯疃葍?yōu)先順序。

system-view

System View: return to User View with Ctrl+Z.

[H3C] acl number 2000 match-order auto

[H3C-acl-basic-2000]

#在GigabitEthernet1/0/1上應(yīng)用ACL 2000，進(jìn)行包過(guò)濾。

system-view

System View: return to User View with Ctrl+Z.

[H3C] interface GigabitEthernet1/0/1

[H3C-GigabitEthernet1/0/1] packet-filter inbound ip-group 2000

# 定義規(guī)則，禁止源地址為10.1.0.0上的報(bào)文通過(guò)，

system-view

System View: return to User View with Ctrl+Z.

[H3C] acl number 2000

[H3C-acl-basic-2000] rule 0 deny source 10.1.0.0 0.0.255.255

# 定義一條規(guī)則，允許從10.2.0.0網(wǎng)段的主機(jī)向172.1.58.0網(wǎng)段的主機(jī)發(fā)送的端口號(hào)為80的報(bào)文通過(guò)。

system-view

System View: return to User View with Ctrl+Z.

[H3C] acl number 3101

[H3C-acl-adv-3101] rule permit tcp source 10.2.0.0 0.0.255.255 destination 172.1.58.0 0.0.0.255 destination-port eq 80

3.2 病毒端口的關(guān)閉

根據(jù)業(yè)務(wù)的需求只開(kāi)放業(yè)務(wù)端口，通過(guò)控制內(nèi)網(wǎng)和外網(wǎng)的安全級(jí)別來(lái)防護(hù)內(nèi)網(wǎng)的安全。

[H3C] acl number 3001

[H3C-acl-adv-3001]

rule 0 deny tcp destination-port eq 6881

rule 1 deny tcp destination-port eq 6882

rule 2 deny udp destination-port eq 6883

rule 3 deny tcp destination-port eq 6884

rule 4 deny udp destination-port eq 6885

rule 5 deny tcp destination-port eq 6886

rule 6 deny udp destination-port eq 6887

rule 7 deny tcp destination-port eq 6888

rule 8 deny udp destination-port eq 6889

rule 9 deny tcp destination-port eq 4444

rule 10 deny udp destination-port eq tftp

rule 11 deny tcp destination-port eq 135

rule 12 deny udp destination-port eq 135

rule 13 deny tcp destination-port eq 445

rule 14 deny udp destination-port eq 445

rule 15 deny tcp destination-port eq 593

rule 16 deny udp destination-port eq 593

rule 17 deny udp destination-port eq 1434

rule 18 deny tcp destination-port eq 1234

rule 19 deny tcp destination-port eq 7070

rule 20 deny tcp destination-port eq 139

rule 21 deny udp destination-port eq netbios-ssn

關(guān)閉端口說(shuō)明：

端口6881到6889：是網(wǎng)絡(luò)中的服務(wù)器的外部端口，局域網(wǎng)用戶可以通過(guò)對(duì)計(jì)算機(jī)的設(shè)置，通過(guò)這些外部端口，利用BT軟件下載大量數(shù)據(jù)，占用網(wǎng)絡(luò)帶寬。

端口4444：利用DCOM RPC漏洞進(jìn)行傳播的蠕蟲(chóng)病毒端口

端口69，tftp：許多服務(wù)器與bootp一起提供這項(xiàng)服務(wù)，便于從系統(tǒng)下載啟動(dòng)代碼。但是它們常常由于錯(cuò)誤配置而使入侵者能從系統(tǒng)中竊取任何文件。它們也可用于系統(tǒng)寫入文件。

端口135：這個(gè)端口運(yùn)行DCE RPC end-point mapper為它的DCOM服務(wù)，有些DOS攻擊直接針對(duì)這個(gè)端口。

端口445和139：如果客戶端啟用了NBT，那么連接的時(shí)候?qū)⑼瑫r(shí)訪問(wèn)139和445端口，如果從445端口得到回應(yīng)，那么客戶端將發(fā)送RST到139端口，終止這個(gè)端口的連接，接著就從445端口進(jìn)行SMB的會(huì)話了，所以禁用445端口后，對(duì)訪問(wèn)NT機(jī)器的共享會(huì)失敗。

端口593：HTTP 上的 RPC TCP 593 隨機(jī)分配的高 TCP 端口 TCP 隨機(jī)端口號(hào)。

端口1434：SQL Server 2000中關(guān)于SQL Server Resolution Service（SSRS）的服務(wù)。SSRS接受來(lái)自1434 udp端口的請(qǐng)求，并返回提出請(qǐng)求主機(jī)的IP地址和 端口號(hào)。SSRS有一個(gè)堆棧溢出問(wèn)題，使攻擊者通過(guò)發(fā)送特殊的去1434udp端口的請(qǐng)求來(lái)執(zhí)行任意代碼（程序）。

端口1234：木馬SubSeven2.0、Ultors Trojan使用端口。

端口7070：指定PNA方式連接時(shí)服務(wù)器的偵聽(tīng)端口，默認(rèn)數(shù)值為7070，在線免費(fèi)影片下載觀看是可能會(huì)使用到此端口。

技術(shù)網(wǎng)和OA網(wǎng)隔離狀況下實(shí)現(xiàn)技術(shù)網(wǎng)數(shù)據(jù)在OA網(wǎng)發(fā)布的研究

根據(jù)臺(tái)站網(wǎng)絡(luò)安全設(shè)計(jì)需要，只允許臺(tái)站辦公網(wǎng)通訊服務(wù)器從臺(tái)站技術(shù)網(wǎng)通訊服務(wù)器處獲得技術(shù)網(wǎng)數(shù)據(jù)，禁止辦公網(wǎng)對(duì)技術(shù)網(wǎng)的其他訪問(wèn)。因此在臺(tái)站辦公網(wǎng)中心交換機(jī)S6503與臺(tái)站技術(shù)網(wǎng)匯聚交換機(jī)S3552F之間添加一臺(tái)防火墻，在防火墻上進(jìn)行訪問(wèn)控制和地址轉(zhuǎn)換，對(duì)臺(tái)站辦公網(wǎng)和技術(shù)網(wǎng)進(jìn)行隔離。技術(shù)網(wǎng)與OA典型關(guān)系統(tǒng)拓?fù)鋱D如下圖所示：

OA網(wǎng)從技術(shù)網(wǎng)獲得數(shù)據(jù)需要考慮的問(wèn)題有：

①OA網(wǎng)用戶行為不能預(yù)計(jì)，直接訪問(wèn)技術(shù)網(wǎng)數(shù)據(jù)庫(kù)對(duì)技術(shù)網(wǎng)本身是不安全的，技術(shù)網(wǎng)穩(wěn)定性會(huì)造成嚴(yán)重干擾。

②數(shù)據(jù)流向?yàn)閱蜗?，OA網(wǎng)不發(fā)送、廣播任何數(shù)據(jù)給技術(shù)網(wǎng)。

③OA用戶想獲取實(shí)時(shí)數(shù)據(jù)，認(rèn)為實(shí)時(shí)數(shù)據(jù)更有價(jià)值。

④網(wǎng)絡(luò)負(fù)荷可知，數(shù)據(jù)流量在可控制的范圍內(nèi)。

⑤需要的軟硬件設(shè)施造價(jià)不能過(guò)高，要在成本控制的范圍內(nèi)。

下面以一個(gè)具體的例子來(lái)分析技術(shù)網(wǎng)和OA網(wǎng)防火墻隔離的狀況下實(shí)現(xiàn)技術(shù)網(wǎng)數(shù)據(jù)在OA網(wǎng)發(fā)布的可行性研究。

某變電站各業(yè)務(wù)網(wǎng)段劃分為：

技術(shù)網(wǎng)某技術(shù)系統(tǒng)業(yè)務(wù)網(wǎng)段172.2.57.0/24，

OA網(wǎng)服務(wù)器運(yùn)行在網(wǎng)段10.2.58.128/27，

OA網(wǎng)辦公用戶網(wǎng)段10.2.57.0/24

某變電站在這一應(yīng)用中的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖：

防火墻配置步驟（以華為Eduemon200防火墻為例）：

①啟用防火墻

#firewallenable

使用此命令來(lái)啟用或禁止防火墻

②配置防火墻內(nèi)、外接口地址

#interface Ethernet0/0/0

description link_tO_OA

ip address 192.168.2.1 255.255.255.0

#interface Ethernet0/0/1

description link_to_jishu

ip address 192.168.1.1 255.255.255.0

③區(qū)域定義

系統(tǒng)預(yù)定義了4 個(gè)安全區(qū)域：Local、Trust、Untrust 和DMZ。不同安全區(qū)域之間沒(méi)有訪問(wèn)限制，且安全區(qū)域不支持策略配置，若需要訪問(wèn)控制，在安全區(qū)域中的相應(yīng)接口進(jìn)行配置。缺省情況下，Local 區(qū)域的優(yōu)先級(jí)為100，Trust 區(qū)域的優(yōu)先級(jí)為85，Untrust 區(qū)域的優(yōu)先級(jí)為5，DMZ 區(qū)域的優(yōu)先級(jí)為50。

把與技術(shù)網(wǎng)連接的接口Ethernet0/0/1定義為Trust區(qū)域，與OA網(wǎng)連接的接口Ethernet0/0/0定義為Untrust區(qū)域

#firewall zone trust

add interface Ethernet0/0/1

set priority 85

#firewall zone untrust

add interface Ethernet0/0/0

set priority 5

④配置靜態(tài)路由

在配置靜態(tài)路由時(shí)，可指定發(fā)送接口，也可指定下一跳地址，具體采用哪種方法，可需要根據(jù)實(shí)際情況而定。

#ip route-static 10.2.58.128 255.255.255.224 192.168.2.2

ip route-static 172.2.57.0 255.255.255.0 192.168.1.2

⑤創(chuàng)建擴(kuò)展ACL

#acl number 3000

rule 10 permit tcp source 172.2.57.0 0.0.0.255 destination 10.2.58.128 0.0.0.31 destination-port eq 9090

⑥ 最后將ACL應(yīng)用到對(duì)應(yīng)區(qū)域，對(duì)數(shù)據(jù)流產(chǎn)生控制

#firewall interzone trust untrust

packet-filter 3000 outbound

應(yīng)用trust——〉 untrust包過(guò)濾防火墻功能，單向數(shù)據(jù)，通過(guò)9090端口從技術(shù)網(wǎng)（trust區(qū)域）172.2.57.0網(wǎng)段推送（outbound）數(shù)據(jù)到OA網(wǎng)（untrust）服務(wù)器網(wǎng)段10.2.58.128網(wǎng)段。

⑦軟件支持

在技術(shù)網(wǎng)數(shù)據(jù)庫(kù)服務(wù)器上，要有一個(gè)數(shù)據(jù)推送機(jī)制，在OA網(wǎng)鏡像數(shù)據(jù)庫(kù)和web發(fā)布服務(wù)器有一個(gè)接收機(jī)制。

目前配合“網(wǎng)絡(luò)隔離裝置”軟件和對(duì)數(shù)據(jù)庫(kù)設(shè)置，即可實(shí)現(xiàn)技術(shù)網(wǎng)數(shù)據(jù)在OA網(wǎng)發(fā)布，《電站數(shù)據(jù)流示意圖》可以看出（帶箭頭的虛線代表數(shù)據(jù)流），數(shù)據(jù)總是單向從技術(shù)網(wǎng)到OA網(wǎng)。

小結(jié)

實(shí)踐應(yīng)用中，按照上述闡述的方法進(jìn)行網(wǎng)絡(luò)隔離條件下實(shí)現(xiàn)了技術(shù)網(wǎng)向OA網(wǎng)數(shù)據(jù)的發(fā)布，在臺(tái)站網(wǎng)絡(luò)建設(shè)中是成功的。充分研究實(shí)際情況，考慮網(wǎng)絡(luò)設(shè)備性能、網(wǎng)絡(luò)規(guī)模、網(wǎng)絡(luò)運(yùn)行、管理、特別是安全等諸方面因素，低成本解決臺(tái)站信息化建設(shè)中遇到的難點(diǎn)、疑點(diǎn)問(wèn)題，在臺(tái)站應(yīng)用中得到廣泛推廣。

【參考文獻(xiàn)】

1、王華麗 訪問(wèn)控制列表在網(wǎng)絡(luò)安全中的應(yīng)用 www.ilib.cn《電子科技》2007年1期

2、華為 S6503交換Eduemon200防火墻 操作手冊(cè) 命令手冊(cè)