641臺技術(shù)網(wǎng)規(guī)劃與網(wǎng)絡(luò)安全策略的應(yīng)用

　　摘要：為進(jìn)一步規(guī)范我臺技術(shù)網(wǎng)，完善641臺技術(shù)網(wǎng)的建設(shè)，結(jié)合六四一臺OA網(wǎng)與技術(shù)網(wǎng)現(xiàn)狀，對技術(shù)網(wǎng)的網(wǎng)絡(luò)設(shè)備的配置，參照局信息辦制定的《全局網(wǎng)絡(luò)建設(shè)要求V1.0(修訂稿)》，在辦公網(wǎng)核心交換機(jī)和技術(shù)網(wǎng)核心交換機(jī)之間增加一臺Eudemon 200防火墻，重新規(guī)劃技術(shù)網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，實現(xiàn)對辦公網(wǎng)和技術(shù)網(wǎng)進(jìn)行安全訪問限制。
　　關(guān)健詞：Eudemon 200防火墻；技術(shù)網(wǎng)；OA網(wǎng)；VLAN
　　中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2012)10-2193-04
　　2007年5月，641臺信息化小組按局信息辦制定的規(guī)范獨立自主地完成了臺站局域網(wǎng)的建設(shè)。641臺局域網(wǎng)分為OA網(wǎng)和技術(shù)網(wǎng)兩個部分。641臺OA網(wǎng)通過專用的2M電信線路連接至無線局，OA網(wǎng)下聯(lián)技術(shù)網(wǎng)。OA網(wǎng)與技術(shù)網(wǎng)之間按局信息辦的規(guī)范要求應(yīng)采用“網(wǎng)閘”進(jìn)行隔離，但由于客觀原因，并沒有進(jìn)行實施，只是在核心交換機(jī)S6503采用安全訪問控制列表的方式簡單地對臺站技術(shù)網(wǎng)進(jìn)行隔離，這樣OA網(wǎng)與技術(shù)網(wǎng)之間沒有任何網(wǎng)絡(luò)安全產(chǎn)品，技術(shù)網(wǎng)完全暴露在OA網(wǎng)下，各發(fā)射機(jī)控制系統(tǒng)很容易受到攻擊、病毒入侵，甚至受控制，網(wǎng)絡(luò)安全將直接關(guān)系到安全播音。2009年10月，太極公司將在我臺部署技術(shù)業(yè)務(wù)管理系統(tǒng)和運行管理系統(tǒng)，從安全的角度考慮，臺站的生產(chǎn)業(yè)務(wù)和日常辦公業(yè)務(wù)分別位于技術(shù)網(wǎng)和辦公網(wǎng)中，兩網(wǎng)之間應(yīng)采用防火墻作為安全隔離設(shè)備，以避免辦公網(wǎng)上的非業(yè)務(wù)人員進(jìn)入技術(shù)網(wǎng)。這種隔離，也使得各類人員都可以專注于自己專項的業(yè)務(wù)，提高工作效率。由于當(dāng)時OA網(wǎng)防火墻改用啟明星辰的USG防火墻（多功能網(wǎng)關(guān)）替換下Eudemon 200防火墻，為進(jìn)一步規(guī)范我臺技術(shù)網(wǎng)，完善641臺技術(shù)網(wǎng)的建設(shè)，結(jié)合六四一臺OA網(wǎng)與技術(shù)網(wǎng)現(xiàn)狀，參照局信息辦制定的《全局網(wǎng)絡(luò)建設(shè)要求V1.0(修訂稿)》，我們重新規(guī)劃技術(shù)網(wǎng)網(wǎng)絡(luò)拓樸結(jié)構(gòu)（如圖2示），在辦公網(wǎng)核心交換機(jī)和技術(shù)網(wǎng)核心交換區(qū)之間增加一臺Eudemon 200防火墻，防火墻配置IP地址和技術(shù)網(wǎng)/辦公網(wǎng)核心交換機(jī)相連，通過靜態(tài)路由實現(xiàn)網(wǎng)絡(luò)連通，配置安全策略，對辦公網(wǎng)和技術(shù)網(wǎng)進(jìn)行安全訪問限制。并在技術(shù)網(wǎng)核心交換機(jī)上劃分VLAN隔離安全播出業(yè)務(wù)，包括管理VLAN、服務(wù)器VLAN、中波發(fā)射機(jī)房vlan、短波發(fā)射機(jī)房VLAN、電力運行室VLAN等，并在交換機(jī)的業(yè)務(wù)網(wǎng)段過濾掉一些病毒、惡意軟件使用的端口，實現(xiàn)對OA網(wǎng)和技術(shù)網(wǎng)進(jìn)行安全訪問限制。具體實施如下：
　　為了滿足應(yīng)用系統(tǒng)安全性考慮，在OA網(wǎng)核心交換機(jī)和技術(shù)網(wǎng)核心交換區(qū)之間增加一臺Eudemon 200防火墻，重新規(guī)劃技術(shù)網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)后，實現(xiàn)與OA網(wǎng)隔離，通過采取各種安全措施從而防范來自廣域網(wǎng)和臺內(nèi)OA網(wǎng)的惡意攻擊，同時控制技術(shù)網(wǎng)內(nèi)部網(wǎng)絡(luò)對廣域網(wǎng)和臺內(nèi)OA網(wǎng)的訪問，因此在OA網(wǎng)核心交換機(jī)和技術(shù)網(wǎng)核心交換機(jī)之間增加一臺Eudemon 200防火墻，重新規(guī)劃技術(shù)網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，根據(jù)我臺的實際情況從以下幾個方面實現(xiàn)對辦公網(wǎng)和技術(shù)網(wǎng)進(jìn)行安全訪問限制。
　　1641臺技術(shù)網(wǎng)邏輯設(shè)計
　　1.1技術(shù)網(wǎng)IP地址和VLAN設(shè)計
　　641臺技術(shù)網(wǎng)按照全局統(tǒng)一IP地址管理規(guī)則進(jìn)行IP地址管理和分配，遵循IP地址編址的基本原則：唯一性、連續(xù)性，可擴(kuò)充性和可管理性。根據(jù)自臺的網(wǎng)絡(luò)狀況并考慮到將來的擴(kuò)展，設(shè)計VLAN劃分方案如下表1。
　　表1
　　
　　1.2辦公網(wǎng)和技術(shù)網(wǎng)隔離結(jié)構(gòu)設(shè)計
　　OA網(wǎng)和技術(shù)網(wǎng)的互聯(lián)采用靜態(tài)路由協(xié)議，在OA網(wǎng)S6503核心交換機(jī)、技術(shù)網(wǎng)Eudemon 200防火墻和技術(shù)網(wǎng)S3952-EI交換機(jī)上分別指定去往各網(wǎng)的靜態(tài)路由，在OA網(wǎng)和技術(shù)網(wǎng)的邊緣采用OSPF重分布（Route Import）的方式將去往技術(shù)網(wǎng)的靜態(tài)路由發(fā)布到OSPF中。臺技術(shù)網(wǎng)網(wǎng)段通過Eudemon 200防火墻和辦公網(wǎng)互聯(lián)，只有特定的通訊服務(wù)器可以進(jìn)行數(shù)據(jù)交換，禁止其他通訊；臺技術(shù)網(wǎng)網(wǎng)段只在本臺技術(shù)網(wǎng)有效，禁止在本臺辦公網(wǎng)和廣域網(wǎng)發(fā)布路由。
　　
　　圖1
　　1.3技術(shù)網(wǎng)網(wǎng)絡(luò)安全
　　a.通過路由協(xié)議設(shè)置，限制廣域網(wǎng)無法訪問臺站技術(shù)網(wǎng)；
　　b.通過技術(shù)網(wǎng)防火墻，限制只有本臺特定的通訊服務(wù)器可以和技術(shù)網(wǎng)特定服務(wù)器進(jìn)行數(shù)據(jù)交換，并保障臺站辦公網(wǎng)無法訪問技術(shù)網(wǎng)；
　　c.在技術(shù)網(wǎng)建立虛擬局域網(wǎng)。通過VLAN的劃分隔離安全播出業(yè)務(wù)；
　　d.基于用戶定義的策略，建立訪問控制列表，控制技術(shù)網(wǎng)內(nèi)業(yè)務(wù)之間的互訪。
　　e.通過對連接應(yīng)用的交換機(jī)端口添加ACL策略來限制可以訪問的用戶，也可以采用單向訪問列表的方式允許一個網(wǎng)段或一段地址訪問其他地址，但其他地址不能訪問這個網(wǎng)段。
　　f.辦公網(wǎng)的某特定PC用戶要訪問技術(shù)網(wǎng)需通過l2tp vpn拔號接入。
　　 2技術(shù)網(wǎng)網(wǎng)絡(luò)規(guī)劃與網(wǎng)絡(luò)設(shè)備安全策略的實施
　　為了滿足安全性考慮，在辦公網(wǎng)核心交換機(jī)和技術(shù)網(wǎng)核心交換區(qū)之間增加一臺Eudemon 200防火墻，重新規(guī)劃技術(shù)網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖(2)，實現(xiàn)與OA網(wǎng)隔離，通過采取各種安全措施從而防范來自廣域網(wǎng)和臺內(nèi)OA網(wǎng)的惡意攻擊，同時控制技術(shù)網(wǎng)內(nèi)部網(wǎng)絡(luò)對廣域網(wǎng)和臺內(nèi)OA網(wǎng)的訪問，因此在防火墻設(shè)備引入安全域