CN109889529B - 一种基于iptable的通信控制器的防火墙实现方法 - Google Patents
一种基于iptable的通信控制器的防火墙实现方法 Download PDFInfo
- Publication number
- CN109889529B CN109889529B CN201910156567.0A CN201910156567A CN109889529B CN 109889529 B CN109889529 B CN 109889529B CN 201910156567 A CN201910156567 A CN 201910156567A CN 109889529 B CN109889529 B CN 109889529B
- Authority
- CN
- China
- Prior art keywords
- network
- communication controller
- communication
- server
- iptable
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于IPTABLE的通信控制器的防火墙实现方法。尤其是涉及采用防火墙的多端口结构技术和多个网口分类过滤技术的通信控制器。采用8千兆网卡的通信控制器将综合监控的内网设备和外网设备通过不同的网卡进行网络隔离。使外网数据与内网数据不能直接交互。然后通过控制器的内核裁剪禁止每个网卡服务端口,过滤对应局域网内不需要的服务连接或者被连接,最后通过IPTABLE配置地址绑定、数据过滤、连接追踪等功能实现通信控制器的防火墙;测试表明基本上保证了ISCS网络边界的安全防护问题,同时减少了使用硬件防火墙带了的高额费用。在一定程度上解决城市轨道交通综合监控网络中的网络安全隐患问题。
Description
技术领域
本发明涉及一种基于网络安全技术领域,尤其是IPTABLE的通信控制器的防火墙实现方法。
背景技术
为了响应国家号召,积极建设信息安全网络,越来越多的轨道公司开始提倡在城市轨道交通网络建设中增加网络安全的策略,特别是综合监控网络(ISCS)。防火墙作为实现网络安全的基础设施,可以起到屏蔽外网保护内部网的目的。防火墙既可以用硬件实现,也可以用软件实现。硬件实现网络数据处理速度快、安全可靠性高、费用较贵,网络实现的复杂性也较大;而软件实现则相对价格较低,同时便于版本升级和维护,
通信控制器作为综合自动化监控系统的重要组成部分,已经在轨道交通行业中承担重要的通信角色。基于电网调度的SCADA系统中,就是用的是基于通信控制器设备进行的信息采集和处理。但是电网调度中的网络加密是基于网络加密机实现的网络加密。其成本费用远远高于地铁行业的承担费用。因此开发一款可以屏蔽内部不同系统网络,根据要求实现服务和端口访问,实现预防网络攻击和病毒传播的安全策略,减少分布式车站单独使用硬件防火墙的超额费用,降低建设成本,适用于轨道交通行业的信息安全通信控制器设备是行之有效的措施。
发明内容
本发明的研究的目的是综合监控网络边界安全,针对轨道交通综合监控网络使用单独的防火墙成本高,并且专用防火墙在ISCS分布式网络中布置困难等问题,提出了一种在通信控制器上增加综合监控网络防火墙的方案。通过增加通信控制器的网卡,将现场多个专业隔离成多个子网使用防火墙的多端口隔离技术和每个子网的数据单独过滤技术。通过简单的配置启动文件,便可以实现网络要求的防护功能。
为达到上述目的,本发明可采用如下技术方案:
一种基于IPTABLE的通信控制器的防火墙实现方法,包括以下步骤:
(1)通过具有数个以太网口的通信管理机对接数个通信控制器,且以每个车站的子专业为VLAN对接通信控制器的每一个网口;通信控制器网口的数量与以太网口的数量相同且一一对应;
(2)通过LINUX内核裁剪,从底层删除或者禁止通信控制器不使用的服务;或者从底层删除或者禁止通信控制器不使用的端口;
(3)根据IPTABLE配置规则,根据每个子专业的功能要求,优化通信控制器对应的每个以太网口的服务配置,通过地址过滤,地址转换,连接追踪限制每个VLAN网络下每个功能的使用。
进一步的,在所述步骤(3)中,根据网络访问控制的原则,设置网络集合:NET(i)={IP[i],Server{1,2,3...n}},其中i=1,2,...8;NET为通信控制器的网口,Server为通信管理机的服务集合;每个通信控制器的网口IP进行不同服务Server{1,2,3...n}的访问或者被访问;利用每个通信控制器的网口实现不同的VLAN访问控制;形成如下的网络集合:NET(i)={IP[i],Server{j}},其中i=1,2,...8;j为server{1,2,3...n}中的一个服务,根据每个通信控制器的网口对应的网卡作用将网络通过硬件实现网段隔离使不同网络之间不能直接实现数据交互和访问。
进一步的,在所述步骤(2)中,包括以下处理过程:通信控制器具备通信设备所有的网络服务和被服务功能,服务集合为Server{1,2,3...n},根据通信控制器在监控网络中的功能要求,裁剪系统选择需要的服务和被服务功能而将服务集合缩减为Server{1,2,3...m},1≤m≤n;避免多余的服务应用于系统中。
进一步的,在所述步骤(3)中,包括以下处理过程:(3.1)禁止通信控制系统接受所有的服务,NET(i)={IP[i],Server{0}};(3.2)根据每个网络的功能要求,按照防火墙的过滤原则,开放IPTABLE的的一对一过滤,将IP[i]绑定服务功能server{j}。
进一步的,所述通信管理机的以太网口设置为8个。
有益效果:本发明将原始通信管理机设备硬件软件根据安全要求进行研究,通信控制器的原有功能不变,通过简单的配置每个网卡的IPTABLE和启动文件,实现通信控制器的防火墙功能,不需要额外的施工和设计,是网络规划更清晰简单,减少多于的交换机等通信设备造价低、施工相对简单、维护更为容易。
附图说明
图1是本发明隔离网络和服务工作原理图。
具体实施方式
下面结合附图对本发明作进一步描述。以下实施案例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
城市轨道交通监控自动化网络是将地铁里面所有的系统网络进行集成和互联进行数据融合,为解决不同系统网络设备的互联与集成以及通讯方式和网络协议的多样化非标准问题,一般通过通信控制器简化实施过程实现协议转化数据转发等,可以提高系统的性能,增加系统的稳定性,缩缩短项目工期,节约实施成本。此类方案使用在现有的大部分地铁综合监控网络中
图1是本发明隔离网络和服务工作原理图,将新型设备配置通用的处理器MPC8377,32M的Flash和512M的RAM为样机安装在项目的网络机柜内,
本发明提供的防火墙的实现方法包括以下步骤:
(1)通过具有数个以太网口的通信管理机对接数个通信控制器,且以每个车站的子专业为VLAN对接通信控制器的每一个网口;通信控制器网口的数量与以太网口的数量相同且一一对应;在本实施方式中,将8个网卡根据要求设置为8个不同的IP对应的网络,分别连接不同的网络服务器或者通信设备。
(2)通过LINUX内核裁剪,从底层删除或者禁止通信控制器不使用的服务;或者从底层删除或者禁止通信控制器不使用的端口;以避免网络攻击或者网络病毒使用备用端口进行操作。在该步骤中,通信控制器具备通信设备所有的网络服务和被服务功能,服务集合为Server{1,2,3...n},根据通信控制器在监控网络中的功能要求,裁剪系统选择需要的服务和被服务功能而将服务集合缩减为Server{1,2,3...m},1≤m≤n;避免多余的服务应用于系统中。
(3)根据IPTABLE配置规则,根据每个子专业的功能要求,优化通信控制器对应的每个以太网口的服务配置,通过地址过滤,地址转换,连接追踪限制每个VLAN网络下每个功能的使用。在该步骤中,根据网络访问控制的原则,设置网络集合:NET(i)={IP[i],Server{1,2,3...n}},其中i=1,2,...8;NET为通信控制器的网口,Server为通信管理机的服务集合;每个通信控制器的网口IP进行不同服务Server{1,2,3...n}的访问或者被访问;利用每个通信控制器的网口实现不同的VLAN访问控制;形成如下的网络集合:NET(i)={IP[i],Server{j}},其中i=1,2,...8;j为server{1,2,3...n}中的一个服务,根据每个通信控制器的网口对应的网卡作用将网络通过硬件实现网段隔离使不同网络之间不能直接实现数据交互和访问。并且,该步骤中,根据防火墙的基本实现原则;原则(1):禁止通信控制系统接受所有的服务,NET(i)={IP[i],Server{0}}。原则(2)根据每个网络的功能要求,按照防火墙的过滤原则,开放IPTABLE的的一对一过滤,将IP[i]绑定服务功能server{j}。
然后,根据连接的设备或者服务,配置通过IPTABLE配置每个网卡的服务和地址列表,绑定对应的服务或者功能。然后进行正常数据传输。测试表明,此种情况下,通信控制器的原始功能正常,并且保证了ISCS网络边界的安全防护问题,同时减少了使用硬件防火墙带了的高额费用。在一定程度上解决城市轨道交通综合监控网络中的网络安全隐患问题。
最后,根据防火墙的防护要求,接入第三方没有配置的设备,通信控制器拒绝连接此设备;改变接入设备的服务等其他功能,通信控制器全部拒绝连接。同理,按照网络攻击模式接入设备,通信控制器同样将攻击的设备隔离保证其他网络的运行安全。
Claims (3)
1.一种基于IPTABLE的通信控制器的防火墙实现方法,其特征在于,包括以下步骤:
(1)通过具有数个以太网口的通信管理机对接数个通信控制器,且以每个车站的子专业为VLAN对接通信控制器的每一个网口;通信控制器网口的数量与以太网口的数量相同且一一对应;
(2)通过LINUX内核裁剪,从底层删除或者禁止通信控制器不使用的服务;或者从底层删除或者禁止通信控制器不使用的端口;
(3)根据IPTABLE配置规则,根据每个子专业的功能要求,优化通信控制器对应的每个以太网口的服务配置,通过地址过滤,地址转换,连接追踪限制每个VLAN网络下每个功能的使用;根据网络访问控制的原则,设置网络集合:NET(i)={IP[i],Server{1,2,3...n}},其中i=1,2,...8;NET为通信控制器的网口,Server为通信管理机的服务集合;每个通信控制器的网口IP进行不同服务Server{1,2,3...n}的访问或者被访问;利用每个通信控制器的网口实现不同的VLAN访问控制;形成如下的网络集合:NET(i)={IP[i],Server{j}},其中i=1,2,...8;j为server{1,2,3...n}中的一个服务,根据每个通信控制器的网口对应的网卡作用将网络通过硬件实现网段隔离使不同网络之间不能直接实现数据交互和访问;并且,根据防火墙的基本实现原则;原则(1),禁止通信控制系统接受所有的服务,NET(i) = {IP[i],Server{0}};原则(2),根据每个网络的功能要求,按照防火墙的过滤原则,开放IPTABLE的的一对一过滤,将IP[i]绑定服务功能server{j}。
2.根据权利要求1所述的基于IPTABLE的通信控制器的防火墙实现方法,其特征在于:在所述步骤(2)中,包括以下处理过程:通信控制器具备通信设备所有的网络服务和被服务功能,服务集合为Server{1,2,3...n},根据通信控制器在监控网络中的功能要求,裁剪系统选择需要的服务和被服务功能而将服务集合缩减为Server{1,2,3...m},1≤m≤n;避免多余的服务应用于系统中。
3.根据权利要求1或2所述的基于IPTABLE的通信控制器的防火墙实现方法,其特征在于:所述通信管理机的以太网口设置为8个。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910156567.0A CN109889529B (zh) | 2019-03-01 | 2019-03-01 | 一种基于iptable的通信控制器的防火墙实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910156567.0A CN109889529B (zh) | 2019-03-01 | 2019-03-01 | 一种基于iptable的通信控制器的防火墙实现方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109889529A CN109889529A (zh) | 2019-06-14 |
| CN109889529B true CN109889529B (zh) | 2021-06-08 |
Family
ID=66930312
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910156567.0A Active CN109889529B (zh) | 2019-03-01 | 2019-03-01 | 一种基于iptable的通信控制器的防火墙实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109889529B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103023914A (zh) * | 2012-12-26 | 2013-04-03 | 北京神州绿盟信息安全科技股份有限公司 | 一种防火墙系统及其实现方法 |
| CN105471907A (zh) * | 2015-12-31 | 2016-04-06 | 云南大学 | 一种基于Openflow的虚拟防火墙传输控制方法及系统 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101212453A (zh) * | 2006-12-29 | 2008-07-02 | 凹凸科技(中国)有限公司 | 实现网络访问控制的方法及其防火墙装置 |
| CN103746997A (zh) * | 2014-01-10 | 2014-04-23 | 浪潮电子信息产业股份有限公司 | 一种云计算中心网络安全解决方案 |
| CN103973700A (zh) * | 2014-05-21 | 2014-08-06 | 成都达信通通讯设备有限公司 | 移动终端预设联网地址防火墙隔离应用系统 |
| US10075329B2 (en) * | 2014-06-25 | 2018-09-11 | A 10 Networks, Incorporated | Customizable high availability switchover control of application delivery controllers |
| CN104301321B (zh) * | 2014-10-22 | 2018-04-27 | 北京启明星辰信息技术股份有限公司 | 一种实现分布式网络安全防护的方法及系统 |
| CN104468388A (zh) * | 2014-11-04 | 2015-03-25 | 浪潮电子信息产业股份有限公司 | 一种基于Linux系统网卡负载均衡的测试方法 |
| CN106953788B (zh) * | 2017-02-16 | 2019-12-13 | 北京西普阳光教育科技股份有限公司 | 一种虚拟网络控制器及控制方法 |
| CN108833305B (zh) * | 2018-07-17 | 2024-04-05 | 北京西普阳光科技股份有限公司 | 主机的虚拟网络装置 |
| CN109067633B (zh) * | 2018-10-22 | 2024-04-16 | 泛亚电子工业(无锡)有限公司 | 基于以太网菊花链通讯网络拓扑的电源管理系统及方法 |
-
2019
- 2019-03-01 CN CN201910156567.0A patent/CN109889529B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103023914A (zh) * | 2012-12-26 | 2013-04-03 | 北京神州绿盟信息安全科技股份有限公司 | 一种防火墙系统及其实现方法 |
| CN105471907A (zh) * | 2015-12-31 | 2016-04-06 | 云南大学 | 一种基于Openflow的虚拟防火墙传输控制方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109889529A (zh) | 2019-06-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11212315B2 (en) | Tunneling for network deceptions | |
| CN102255903B (zh) | 一种云计算虚拟网络与物理网络隔离安全方法 | |
| US20170264639A1 (en) | Active deception system | |
| CN102404254A (zh) | 多网融合的智能家庭网关装置及系统 | |
| CN202475474U (zh) | 多网融合的智能家庭网关装置及系统 | |
| CN107888613B (zh) | 一种基于云平台的管理系统 | |
| CN113645213A (zh) | 一种基于vpn技术的多终端网络管理监控系统 | |
| CN109889529B (zh) | 一种基于iptable的通信控制器的防火墙实现方法 | |
| Kirkman | Development in substation automation systems | |
| CN114448748B (zh) | 一种系统中心部署化网络系统 | |
| CN114173358B (zh) | 5g局域网公网系统及其设计方法 | |
| Wang et al. | Research on network security active defense system oriented to electric power monitoring system | |
| CN111526124B (zh) | 一种基于内外网的隔离通信系统及方法 | |
| KR20220070875A (ko) | Sdn/nfv 기반의 스마트홈 네트워크 시스템 | |
| CN213213511U (zh) | 一种便于升级管理的二次安防系统 | |
| CN113364734B (zh) | 一种内部网络保护方法及系统 | |
| Kolosok et al. | Analysis of Resilience of a Digital Substation Using an Event Tree | |
| CN115001906B (zh) | 一种安全网关 | |
| Coppel et al. | Practical considerations for ethernet networking within substations | |
| CN215897739U (zh) | 一种远程子站调取录波文件的终端 | |
| Wei et al. | Reliability analysis of cyber security in an electrical power system associated WAN | |
| Tsai et al. | Discussion on Network Security under SDN Architecture | |
| CN2681467Y (zh) | 一种用于网络安全的物理隔离卡 | |
| KR101749554B1 (ko) | 변전소 자동화 시스템에 대한 사이버 공격 대응 시스템 및 방법 | |
| CN101917440B (zh) | 一种计算机接入局域网后接受管理的控制方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20221201 Address after: No. 19, Jiangning District, Jiangning District, Nanjing, Jiangsu Patentee after: NARI TECHNOLOGY Co.,Ltd. Patentee after: NARI Rail Transit Technology Co.,Ltd. Address before: No. 19, Jiangning District, Jiangning District, Nanjing, Jiangsu Patentee before: NARI TECHNOLOGY Co.,Ltd. |