CN111385326A - 轨道交通通信系统 - Google Patents
轨道交通通信系统 Download PDFInfo
- Publication number
- CN111385326A CN111385326A CN201811628300.9A CN201811628300A CN111385326A CN 111385326 A CN111385326 A CN 111385326A CN 201811628300 A CN201811628300 A CN 201811628300A CN 111385326 A CN111385326 A CN 111385326A
- Authority
- CN
- China
- Prior art keywords
- subsystem
- communication
- firewall
- signal
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L27/00—Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
- B61L27/70—Details of trackside communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L2205/00—Communication or navigation systems for railway traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Mechanical Engineering (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出一种轨道交通通信系统,该系统包括多个通信子系统、信号子系统、融合控制中心以及与融合控制中心相连接的第一防火墙,其中,融合控制中心分别与各通信子系统相连,融合控制中心与信号子系统相连,各通信子系统预配置有对应的虚拟专用网络实例,其中,各通信子系统与信号子系统之间,经由融合控制中心进行通信,并在通信过程中基于第一防火墙中预配置的安全防护策略进行通信的安全防护;各通信子系统,基于对应的虚拟专用网络实例与对应的业务系统进行通信。通过本发明能够在保障通信安全性的同时,有效减小建设成本,提升通信系统架构维护的便捷性。
Description
技术领域
本发明涉及轨道交通技术领域,尤其涉及一种轨道交通通信系统。
背景技术
相关技术在轨道交通领域中,包括地铁、高铁等,为了确保通信系统和信号系统的安全性,通常是将通信系统和信号系统的有线、无线层面分开建网,采用硬隔离的方式保障网络运行安全。例如,针对有线传输网,通信系统建设一张网络,信号系统建设两张A\B网络,而针对无线层面,信号系统和通信系统单独建设无线局域网络,在安全层面则各自采用相应的安全设备进行保障。
这种方式下,通信系统和信号系统分开建设,通过硬隔离的方式确保安全,会耗费较大的建设成本,维护难度大,维护工作量高。
发明内容
本发明旨在至少在一定程度上解决相关技术中的技术问题之一。
为此,本发明的目的在于提出一种轨道交通通信系统,能够在保障通信安全性的同时,有效减小建设成本,提升通信系统架构维护的便捷性。
为达到上述目的,本发明实施例提出的轨道交通通信系统,包括:多个通信子系统、信号子系统、融合控制中心以及与所述融合控制中心相连接的第一防火墙,其中,所述融合控制中心分别与各所述通信子系统相连,所述融合控制中心与所述信号子系统相连,各所述通信子系统预配置有对应的虚拟专用网络实例,其中,各所述通信子系统与所述信号子系统之间,经由所述融合控制中心进行通信,并在通信过程中基于所述第一防火墙中预配置的安全防护策略进行通信的安全防护;各所述通信子系统,基于所述对应的虚拟专用网络实例与对应的业务系统进行通信。
本发明实施例提出的轨道交通通信系统,通过配置融合控制中心,以及与融合控制中心相连接的第一防火墙,针对各通信子系统预配置对应的虚拟专用网络实例,各通信子系统与信号子系统之间,经由融合控制中心进行通信,并在通信过程中基于第一防火墙中预配置的安全防护策略进行通信的安全防护;各通信子系统,基于对应的虚拟专用网络实例与对应的业务系统进行通信,能够在保障通信安全性的同时,有效减小建设成本,提升通信系统架构维护的便捷性。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1是本发明一实施例提出的轨道交通通信系统的结构示意图;
图2是本发明另一实施例提出的轨道交通通信系统的结构示意图;
图3为本发明实施例中示出的一种配置架构示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。相反,本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。
图1是本发明一实施例提出的轨道交通通信系统的结构示意图。
相关技术在轨道交通领域中,包括地铁、高铁等,为了确保通信系统和信号系统的安全性,通常是将通信系统和信号系统的有线、无线层面分开建网,采用硬隔离的方式保障网络运行安全。例如,针对有线传输网,通信系统建设一张网络,信号系统建设两张A\B网络,而针对无线层面,信号系统和通信系统单独建设无线局域网络,在安全层面则各自采用相应的安全设备进行保障。
这种方式下,通信系统和信号系统分开建设,通过硬隔离的方式确保安全,会耗费较大的建设成本,维护难度大,维护工作量高。
为了解决上述技术问题,本发明实施例中提供一种轨道交通通信系统,通过配置融合控制中心,以及与融合控制中心相连接的第一防火墙,针对各通信子系统预配置对应的虚拟专用网络实例,各通信子系统与信号子系统之间,经由融合控制中心进行通信,并在通信过程中基于第一防火墙中预配置的安全防护策略进行通信的安全防护;各通信子系统,基于对应的虚拟专用网络实例与对应的业务系统进行通信,能够在保障通信安全性的同时,有效减小建设成本,提升通信系统架构维护的便捷性。
参见图1,该系统10包括:多个通信子系统101、信号子系统102、融合控制中心103以及与融合控制中心103相连接的第一防火墙104,其中,融合控制中心103分别与各通信子系统101相连,融合控制中心103与信号子系统102相连,各通信子系统101预配置有对应的虚拟专用网络实例,其中,各通信子系统101与信号子系统102之间,经由融合控制中心103进行通信,并在通信过程中基于第一防火墙104中预配置的安全防护策略进行通信的安全防护;各通信子系统101,基于对应的虚拟专用网络实例与对应的业务系统进行通信。
本发明实施例中,通信子系统101具体用于执行相关技术中轨道交通领域中通信系统对应的功能,而信号子系统102具体用于执行相关技术中轨道交通领域中信号系统对应的功能,即,通信子系统101对应于相关技术中的通信系统,信号子系统102对应于相关技术中的信号系统。
本发明实施例中,具体是将通信子系统101和信号子系统102配置为环形组网架构,还配置融合控制中心103,以及与融合控制中心103相连接的第一防火墙104,通过配置各通信子系统101与信号子系统102之间,经由融合控制中心103进行通信,并在通信过程中基于第一防火墙104中预配置的安全防护策略进行通信的安全防护,实现通信子系统101和信号子系统102之间的安全互访,通过配置各通信子系统101,基于对应的虚拟专用网络实例与对应的业务系统进行通信,使得各通信子系统101之间基于不同的虚拟专用网络实例进行系统区分以及业务的安全隔离。
在本发明的一个实施例中,参见图2,轨道交通通信系统10还包括:车地无线子系统105,信号子系统102对应的配置有信号服务器106,其中,在信号子系统102与车地无线子系统105进行通信过程中,将信号服务器106中的信号数据传输至第一防火墙104,以基于第一防火墙104中的安全防护策略对信号数据进行安全化处理,并基于安全化处理后的信号数据进行通信。
在本发明的一个实施例中,参见图2,轨道交通通信系统10还包括:传输适配模块107,传输适配模块107设置在列车中,传输适配模块107和第一防火墙104之间建立有基于IP安全协议隧道,信号子系统102经由基于IP安全协议隧道,与传输适配模块107进行通信。
本发明实施例中,车地无线子系统105用于实现相关技术中列车和地面之间轨道交通数据的传输以及相关的业务处理的功能。
本发明实施例中,针对信号子系统102对应配置有信号服务器106,其中,在进行通信过程中,将信号服务器106中的信号数据传输至第一防火墙104,以基于第一防火墙104中的安全防护策略对信号数据进行安全化处理,并基于安全化处理后的信号数据进行通信,以及经由基于IP(Internet Protocol,互联网协议)安全协议隧道(Internet ProtocolSecurity,IPSEC隧道),结合服务质量(Quality of Service,QoS)模型的处理逻辑确定安全化处理后的信号数据的级别,并基于级别将安全化处理后的信号数据转发至对应的乘客服务系统108中。
通过上述,针对信号子系统102与车地无线子系统105之间的业务互访所对应的信号数据,经由信号服务器106传输至第一防火墙104,以基于第一防火墙104对信号数据进行安全过滤,同时,在第一防火墙104与车载传输适配模块107(Transmission adaptor unit,TAU)之间建立基于IP安全协议隧道,并基于该隧道对信号数据进行加密与验证,同时,采用QoS模型保障信号子系统102与车地无线子系统105之间级别满足预设条件的信号数据进行优先转发。
在本发明的一个实施例中,第一防火墙104和传输适配模块107之间还建立有通用路由协议封装隧道,通信子系统101经由通用路由协议封装隧道与传输适配模块107进行通信。
本发明实施例中,第一防火墙104和传输适配模块107之间还建立通用路由协议封装隧道(Generic Routing Encapsulation,GRE隧道),以使通信子系统101经由通用路由协议封装隧道与传输适配模块107进行通信,即,将通信子系统101和车地无线子系统105之间的业务互访的信号数据引流至第一防火墙104上,以实现对信号数据进行安全过滤,防火墙与车载TAU间建立GRE隧道。
本发明实施例在具体执行的过程中,不仅仅将通信子系统101和信号子系统102配置为环形组网架构,还将相关技术中的将信号系统和通信系统所能够实现的功能进行划分,划分为实现不同层次安全的子系统,即本发明实施例中的互联网接入子系统,网络管理子系统,能够有效实现立体层次的安全防护和全面的安全防护,提供一种可靠的安全解决方案。
在本发明的一个实施例中,参见图2,轨道交通通信系统10还包括:互联网接入子系统,互联网接入子系统用于为乘客服务系统108接入互联网提供通信安全防护,互联网接入子系统包括第二防火墙109和分布式拒绝服务模块110,入侵防御模块111,以及防病毒网关模块112,其中,互联网接入子系统,经由内置的第二防火墙109、分布式拒绝服务模块110,入侵防御模块111以及防病毒网关模块112对乘客服务系统108接入互联网的过程中所传输的通信数据进行安全防护。
通过部署第一防火墙104和第二防火墙109,通过应用、内容、时间、用户、威胁和位置六个维度的组合,全局感知日益增多的应用层威胁,实现应用层安全防护。
在本发明的一个实施例中,参见图2,互联网接入子系统还包括:核心交换机113、与核心交换机113相连接的Web应用防护模块114以及沙箱模块115,经由核心交换机113、Web应用防护模块114以及沙箱模块115对乘客服务系统108接入互联网时的通信数据进行入侵检测。
在本发明的一个实施例中,参见图2,轨道交通通信系统10还包括:网络管理子系统,在网络管理子系统中配置有堡垒机116,堡垒机116用于对接入互联网的各设备进行运维安全审计。
在本发明的一个实施例中,参见图2,在网络管理子系统中还配置有网络准入控制服务器117,网络准入控制服务器117用于对接入互联网的各设备进行安全监测。
本发明实施例在具体执行的过程中,针对乘客服务系统108在互联网接入子系统中部署分布式拒绝服务模块110、第二防火墙109、入侵防御模块111以及防病毒网关模块112来为乘客服务系统108接入互联网提供通信安全防护;通过在核心交换机113旁设置入侵防御模块111,Web应用防护模块114和沙箱模块115,经由核心交换机113、Web应用防护模块114以及沙箱模块115进行入侵检测;网络管理子系统内部署堡垒机116,实现基于堡垒机116对接入互联网的各设备进行运维安全审计;部署准入控制服务器,实现用户的安全接入和接入终端的安全检查,因此,能够实现从网络、主机、应用、数据和管理各个层面防御各种安全威胁。
通过部署专业的分布式拒绝服务模块110,提供流量型攻击和应用层分布式拒绝服务攻击的防护,有效保护服务器免受各种分布式拒绝服务的攻击,通过精细的七层过滤技术对当下最流行和极大危害的分布式拒绝服务的攻击进行防护。通过部署沙箱模块115,能够实现信誉扫描、实时行为分析、大数据关联等本地和云端技术,分析和收集软件的静态及动态行为,凭借独有的行为模式库技术,沙箱模块115根据分析情况给出精确的检测结果,对“灰度”流量实时检测、阻断和报告呈现,有效避免未知威胁攻击的迅速扩散和铁路局核心信息资产损失。通过部署入侵防御模块111,检测针对超文本传输安全协议(HypertextTransfer Protocol Secure,HTTPS)、文件传输协议(File Transfer Protocol,FTP)、域名系统(Domain Name System,DNS)等服务器的各种攻击,包括缓冲区溢出、系统或服务漏洞攻击、暴力破解等;检测Web应用相关攻击,包括注入攻击、跨站脚本、目录穿越等攻击;检测蠕虫,木马,间谍软件,广告软件,僵尸网络等恶意软件,提供详实、有效的指导措施,进而实现防护-检测-响应一体化的解决方案。通过基于堡垒机116对接入互联网的各设备进行运维安全审计,可实现对网络中核心业务系统、主机、数据库、网络设备等各种网络资源的账号、认证、授权和审计的集中管理和控制,可有效解决网络运维管理问题,完善网络管理体系,实现了网络核心资源的统一接入管理和运维审计,实现对所有运维操作过程的文本记录和视频记录,同时支持细粒度查询,避免恶意运维操作,实现责任定位,确保运维可见可控可查。
通过本发明实施例中轨道交通通信系统10的结构设计,允许通信子系统101、信号子系统102在有线、无线层面进行统一承载,充分整合资源,避免重复建设,投资成本更低,维护难度更小,在保障安全的前提下网络效益更高,统一承载安全保障方法对网络各个维度的安全保障进行了细致的划分,解决了弱电融合组网时的安全保障问题。
本实施例中,通过配置融合控制中心,以及与融合控制中心相连接的第一防火墙,针对各通信子系统预配置对应的虚拟专用网络实例,各通信子系统与信号子系统之间,经由融合控制中心进行通信,并在通信过程中基于第一防火墙中预配置的安全防护策略进行通信的安全防护;各通信子系统,基于对应的虚拟专用网络实例与对应的业务系统进行通信,能够在保障通信安全性的同时,有效减小建设成本,提升通信系统架构维护的便捷性。
作为一种示例,以轨道交通线路所涉及的四大子系统进行示例,包含综合监控子系统、信号子系统、通信子系统以及乘客服务系统,基于建设成本以及运维成本的考虑,将信号子系统、通信子系统的有线传输网及无线网络环形组网架构,保障云巴线路的系统在各种安全威胁下各项业务能正常运行,保障乘客服务系统业务服务区的安全以及乘客服务、信号、通信系统之间安全访问控制。参见图3,图3为本发明实施例中示出的一种配置架构示意图。针对各部分的具体配置可以举例如下:
本发明实施例中第一防火墙或者第二防火墙的部署,可以基于高可靠性考虑,可以以分布式的方式进行部署,防火墙的功能可以包括网络地址转换(Network AddressTranslation,NAT)转换,应用协议识别,流量控制等安全功能,进行出口安全防护,在透明模式下,第一防火墙或者第二防火墙以二层方式对外连接,所有接口均不配置IP地址,此时,第一防火墙或者第二防火墙对于用户和路由器来说是透明的。
本发明实施例中的第一防火墙或者第二防火墙提供各种网络地址转换功能,可以包括:接口地址转换(多对一)、静态地址转换(一对一)、地址池转换(多对多)、端口转换(一对多)、双向NAT转换,可实现无限NAT转换。
本发明实施例中的第一防火墙或者第二防火墙采用基于连接的方式提供网络地址转换功能,针对每条连接维护一个表项,且,在处理的过程中采用优化的算法,保障网络地址转换功能的优异性能,在启用网络地址转换功能的时候,性能几乎不受影响,以此保障在通过第一防火墙或者第二防火墙提供网络地址转换功能业务时避免成为网络瓶颈。
本发明实施例中的第一防火墙或者第二防火墙实现了应用协议识别,采用数据包协议分析和特征匹配技术,对网络层到应用层的信号数据进行全面分析,可以准确识别蠕虫流量、僵尸工具流量,实现基于时间、应用、用户、带宽、连接数的多方位调控手段,可有效保障关键业务带宽,提升带宽利用率,阻断僵尸流量,防止蠕虫感染,让应用安全可视可控。
本发明实施例中的第一防火墙或者第二防火墙实现了病毒入侵防范,从网络层到应用层进行全面扫描和查杀,对各种加壳、压缩、加密病毒,以及木马、蠕虫、恶意软件等网络威胁均能够快速、准确地彻底清除,提供高性能的病毒检测能力,解决传统防病毒设备带来的网络性能瓶颈问题,在业务效率与安全之间达到最佳平衡;对超文本传输安全协议(Hypertext Transfer Protocol Secure,HTTPS)、邮局通讯协定第三版(Post OfficeProtocol 3,POP3)及简单邮件传输协议(Simple Mail Transfer Protocol,SMTP)传输的数据进行病毒扫描,当用户通过网页请求数据下载时,如果被检测到下载文件中包含了病毒数据,将向用户推送病毒告警页面;而对于邮件协议,当检测到邮件附件里是病毒文件则支持对附件的删除操作,同时在邮件中打上标签告知用户相关信息;对多重压缩文件的病毒扫描,用户可对扫描的压缩层数进行设置,支持对病毒文件的脱壳操作。
本发明实施例中在部署沙箱模块,部署在第二防火墙一侧,使得第二防火墙通过网络接口向沙箱模块提交待检测文件,待沙箱模块完成检测后,第二防火墙通过结果查询接口查询检测结果,同时,沙箱模块也可通过Web用户界面显示检测结果,其中的沙箱模块采用独特的三层防御体系,通过静态检测、启发式检测和虚拟执行三层防御体系实现对高级持续性威胁(Advanced Persistent Threat,APT)的高性能、高准确率的防御。
本发明实施例中通过部署分布式拒绝服务模块来防御分布式拒绝服务攻击,分布式拒绝服务模块通常部署在互联网出口,分光器将下行流量镜像到分布式拒绝服务(Distributed Denial of Service,DDoS)检测中心进行流量检测,DDoS检测中心将异常流量检测结果,检测日志等信息上报DDoS管理中心。DDoS管理中心根据检测结果生成引流策略,并下发至DDoS清洗中心。DDoS清洗中心将引流策略发布至上游路由器,以将可疑流量引入并开始清洗动作,清洗结束后,将剩余的正常流量回注至下游路由器上。DDoS清洗中心将清洗结果,日志等信息上报DDoS管理中心,由DDoS管理中心生成相关报表统计信息,至此,整个DDoS防御过程结束。
本发明实施例中的分布式拒绝服务模块进行网络流量分析,深入分析流量,可以有效识别流量型攻击、应用型攻击、扫描窥测型攻击和畸形包攻击等多种类型,确保流向客户的流量均为安全、正确的业务流量。
本发明实施例中部署的入侵防御模块,在核心交换机上旁部署入侵防御模块,检测针对HTTP、FTP、DNS等服务器的各种攻击,包括缓冲区溢出、系统或服务漏洞攻击、暴力破解等;检测Web应用相关攻击,包括注入攻击、跨站脚本、目录穿越等攻击;检测蠕虫,木马,间谍软件,广告软件,僵尸网络等恶意软件,提供详实、有效的指导措施,进而实现防护-检测-响应一体化的解决方案。
本发明实施例中部署的入侵防御模块,采用多种先进的检测技术,有效的检测各种已知或者未知的威胁,融合多种新一代的检测技术,坚持“全面检测、准确分析、多面展现”的产品理念。
本发明实施例中提供运维安全审计功能,使得安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理,包括:根据安全审计策略对审计记录进行分类;提供按时间段开启和关闭相应类型的安全审计机制;对各类审计记录进行存储、管理和查询等;对安全审计员进行严格的身份鉴别,并只允许其通过特定的命令或界面进行安全审计操作。
本发明实施例中部署的堡垒机,且为了解决网络管理子系统安全管理的上述问题,可以建立基于堡垒主机的统一运维审计平台,即,基于堡垒机对接入互联网的各设备进行运维安全审计,使得系统和安全管理人员可以对用户和各种资源进行集中管理、集中权限分配、集中审计,从技术上保证安全策略的实施,保障业务支撑系统安全、高效的运行。
本发明实施例中部署的堡垒机,可以集中管理和控制核心业务系统、主机、数据库、网络设备等IT资源的账号、认证、授权和审计。
本发明实施例中部署的堡垒机,部署在网络管理子系统统一访问入口,路由可达即可,部署后,系统将断开操作用户与目标服务器之间的直接连接。用户对服务器的远程操作将被集中登录至堡垒机上,通过二次跳转将用户直接连接到指定服务器,实现用户对服务器资源操作管理的集中人证、集中控制、集中审计。
本发明实施例中部署的入侵防御模块,防御蠕虫活动、针对浏览器和插件漏洞的攻击,使得网络健康运行,拦截基于漏洞攻击传播的木马或间谍程序活动,保护电脑的隐私、身份等关键数据信息。
本发明实施例中提供的Web应用防护模块,旁挂在互联网接入子系统,流量从核心交换机上引流到Web应用防护模块上,以防止系统开发人员由于缺乏安全意识而造成的Web应用业务系统存在代码层面的漏洞。
本发明实施例中逻辑网络设计的实施方式可以举例如下:
逻辑网络设计包括虚拟局域网(Virtual Local Area Network,VLAN),IP地址,路由,可靠性,安全性,以及QoS等多个方面的设计,本发明实施例中路由部分设计的包括静态路由的参数设计,可靠性部分设计包括Eth-Trunk接口和设备主备部署的设计。
其中,VLAN是将局域网(Local Area Network,LAN)内的设备逻辑地划分为一个个网段,从而实现在一个LAN内隔离广播域的技术。本网络中VLAN用于隔离多个不同业务部门之间的互访,同一个部门内部通过VLAN进行业务区分。Eth-Trunk接口是一种可以动态创建的接口,该类型接口可以绑定若干物理的以太网接口作为一个逻辑接口使用,实现增加带宽提高靠性的目的。
VLANID(虚拟局域网标识)设计的基本原则:区分业务VLAN、管理VLAN和互联VLAN,按照业务区域划分不同的VLAN,同一业务区域按照具体的业务类型划分不同的VLAN,VLAN需连续分配以保证VLAN资源合理利用,预留一定数目VLAN方便后续扩展,针对子接口的情况,一般子接口的number与子接口总结保持一致。例如:interface gigabitethernet1/0/1.10 dot1q termination vid 10。
配置举例
配置GGFW-25G-HX-S12704-1
system-view
vlan 10#
interface GigabitEthernet1/6/0/6
port link-type access
port default vlan 10
本发明实施例中网络设计中可以采用三层IP设计,实现网络基于IP地址的三层通信,公共信息服务使用两台S12704设备承担三层网关角色,做为各类业务服务器和主机的三层业务网关,采用虚拟路由冗余协议(Virtual Router Redundancy Protocol,VRRP)部署的方式,例如,负载均衡,出口区域防火墙,核心交换机均为三层设备,其余设备均为二层设备;公共信息服务网全网通过静态路由进行互访。
本发明实施例中下述为详细三层参数设计,首先IP地址的分类包括:用户IP地址:即最终用户的IP地址;设备互联IP地址:指两台网络设备相互连接的接口所需要的IP地址;设备管理IP地址:指为方便网管管理,在每台网络设备的管理接口上单独指定一个IP地址作为管理地址;企业出口处的IP地址:一般为公网IP地址,静态配置或者动态方式获得。
以及各类IP地址的分配方式:静态,包括:DHCP获取,NAT转换,DHCP参数设计,本发明实施例中可以采用DHCP动态获取地址的方式进行IP地址分配,方便运维管理以及实现IP地址的有效利用和回收。
本发明实施例中NAT参数设计,使用NAT技术将服务器应用映射到公网中。
本发明实施例在应用的过程中,在核心交换机与防火墙、防火墙与出口的负载均衡之间运行静态路由,以保障内外路由互通。
配置举例:
ip route-state 10.1.1.1 24 10.2.1.2
本发明实施例中的可靠性设计可以通过VRRP、关键设备冗余和电源模块冗余来实现,网络可靠性方面,在二层和三层网络中部署不同的可靠性技术,二层网络的可靠性通过TRUNK链路,设备连接检测协议(device link detection protocol,DLDP)和Smart link(智能链路组)实现,三层网络的可靠性通过快速重路由IP FRR和双向转发检测机制(Bidirectional Forwarding Detection,BFD)实现。
其中,虚拟路由冗余协议VRRP(Virtual Router Redundancy Protocol)是一种容错协议。通过配置VRRP,可以实现当网关设备发生故障时,及时将业务切换到备份设备,从而保证通信的连续性和可靠性。VRRP备份组通过收发VRRP协议报文进行主备状态的协商,以实现设备的冗余备份功能。当VRRP备份组之间的链路出现故障时,由于此时VRRP报文无法正常协商,Backup设备(备用设备)需要等待3倍协商周期(通常为3秒左右)后才会切换为Master设备(主机设备),在等待切换期间内,业务流量仍会发往Master设备,此时会造成业务流量丢失。
本发明实施例中通过部署VRRP与BFD联动,可以使主备进行快速的切换,有效解决上述技术问题。
配置举例:
vlan batch 100#
bfd#
interface Vlanif100
ip address 10.1.1.1 255.255.255.0
vrrp vrid 1 virtual-ip 10.1.1.3
vrrp vrid 1 priority 120
vrrp vrid 1 preempt-mode timer delay 20#
interface GigabitEthernet1/0/1
port link-type hybrid
port hybrid pvid vlan 100
port hybrid untagged vlan 100#
bfd atob bind peer-ip 10.1.1.2 interface Vlanif100
discriminator local 1
discriminator remote 2
min-tx-interval 100
min-rx-interval 100
链路聚合(E-Trunk)
二层网络的可靠性通过TRUNK链路(端口汇聚),在一个TRUNK链路内,可以实现流量负载分担,同时也提供了更高的连接可靠性和更大的带宽,用户通过对逻辑口进行配置,实现各种路由协议以及其它业务。
配置举例:
vlan batch 10 20#
interface Eth-Trunk1
port link-type trunk
port trunk allow-pass vlan 10 20
load-balance src-dst-mac#
interface GigabitEthernet1/0/1
eth-trunk 1#
interface GigabitEthernet1/0/2
eth-trunk 1#
interface GigabitEthernet1/0/3
eth-trunk 1
本发明实施例中的第一防火墙和第二防火墙可以采用双机热备,在保障网络安全性同时,保障网络可靠性。
配置举例:
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/3#
firewall zone untrust
set priority 5
add interface GigabitEthernet 1/0/1#
firewall zone dmz
set priority 50
add interface GigabitEthernet 1/0/7#
hrp enable
hrp interface GigabitEthernet 1/0/7remote 10.10.0.2
hrp track interface GigabitEthernet 1/0/1
hrp track interface GigabitEthernet 1/0/3##
interface GigabitEthernet 1/0/1
ip address 10.2.0.1 255.255.255.0#
interface GigabitEthernet 1/0/3
ip address 10.3.0.1 255.255.255.0#
interface GigabitEthernet 1/0/7
ip address 10.10.0.1 255.255.255.0
需要说明的是,在本发明的描述中,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。此外,在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (11)
1.一种轨道交通通信系统,其特征在于,所述系统包括:多个通信子系统、信号子系统、融合控制中心以及与所述融合控制中心相连接的第一防火墙,其中,所述融合控制中心分别与各所述通信子系统相连,所述融合控制中心与所述信号子系统相连,各所述通信子系统预配置有对应的虚拟专用网络实例,其中,
各所述通信子系统与所述信号子系统之间,经由所述融合控制中心进行通信,并在通信过程中基于所述第一防火墙中预配置的安全防护策略进行通信的安全防护;
各所述通信子系统,基于所述对应的虚拟专用网络实例与对应的业务系统进行通信。
2.如权利要求1所述的轨道交通通信系统,其特征在于,其中,所述通信子系统和所述信号子系统配置为环形组网架构。
3.如权利要求1所述的轨道交通通信系统,其特征在于,所述轨道交通通信系统还包括:车地无线子系统,所述信号子系统对应的配置有信号服务器,其中,
在所述信号子系统与所述车地无线子系统进行通信过程中,将所述信号服务器中的信号数据传输至所述第一防火墙,以基于所述第一防火墙中的安全防护策略对所述信号数据进行安全化处理,并基于安全化处理后的信号数据与所述车地无线子系统进行通信。
4.如权利要求3所述的轨道交通通信系统,其特征在于,所述轨道交通通信系统还包括:传输适配模块,所述传输适配模块和所述第一防火墙之间建立有基于IP安全协议隧道,所述信号子系统经由所述基于IP安全协议隧道,与所述传输适配模块进行通信。
5.如权利要求4所述的轨道交通通信系统,其特征在于,所述信号子系统,经由所述基于IP安全协议隧道,结合服务质量模型的处理逻辑确定所述安全化处理后的信号数据的级别,并基于所述级别,将所述安全化处理后的信号数据转发至对应的乘客服务系统中。
6.如权利要求4所述的轨道交通通信系统,其特征在于,所述第一防火墙和所述传输适配模块之间还建立有通用路由协议封装隧道,所述通信子系统经由所述通用路由协议封装隧道与所述传输适配模块进行通信。
7.如权利要求5所述的轨道交通通信系统,其特征在于,还包括:互联网接入子系统,所述互联网接入子系统用于为所述乘客服务系统接入所述互联网提供通信安全防护,所述互联网接入子系统包括第二防火墙、分布式拒绝服务模块,入侵防御模块以及防病毒网关模块,其中,
所述互联网接入子系统,经由内置的所述第二防火墙、所述分布式拒绝服务模块,所述入侵防御模块以及所述防病毒网关模块对所述乘客服务系统接入所述互联网的过程中所传输的通信数据进行安全防护。
8.如权利要求7所述的轨道交通通信系统,其特征在于,所述互联网接入子系统还包括:核心交换机、与所述核心交换机相连接的Web应用防护模块以及沙箱模块,经由核心交换机、所述Web应用防护模块以及沙箱模块对所述乘客服务系统接入所述互联网时的通信数据进行入侵检测。
9.如权利要求5所述的轨道交通通信系统,其特征在于,所述轨道交通通信系统还包括:网络管理子系统,在所述网络管理子系统中配置有堡垒机,堡垒机用于对接入所述互联网的各设备进行运维安全审计。
10.如权利要求9所述的轨道交通通信系统,其特征在于,在所述网络管理子系统中还配置有网络准入控制服务器,所述网络准入控制服务器用于对接入所述互联网的各设备进行安全监测。
11.如权利要求7-10任一项所述的轨道交通通信系统,其特征在于,所述第一防火墙和所述第二防火墙均为双机热备冗余设置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811628300.9A CN111385326B (zh) | 2018-12-28 | 2018-12-28 | 轨道交通通信系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811628300.9A CN111385326B (zh) | 2018-12-28 | 2018-12-28 | 轨道交通通信系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111385326A true CN111385326A (zh) | 2020-07-07 |
| CN111385326B CN111385326B (zh) | 2022-04-15 |
Family
ID=71216409
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811628300.9A Active CN111385326B (zh) | 2018-12-28 | 2018-12-28 | 轨道交通通信系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111385326B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112217914A (zh) * | 2020-09-24 | 2021-01-12 | 交控科技股份有限公司 | 基于城市轨道交通线网级云平台的ip分配方法及装置 |
| CN112218269A (zh) * | 2020-10-10 | 2021-01-12 | 中车青岛四方机车车辆股份有限公司 | 一种列车信息安全网关系统、数据传输方法及机车 |
| CN112769857A (zh) * | 2021-01-22 | 2021-05-07 | 华迪计算机集团有限公司 | 一种用于电子政务外网的异常流量管控系统 |
| CN115037773A (zh) * | 2022-07-28 | 2022-09-09 | 中兴(温州)轨道通讯技术有限公司 | 一种传输稳定的轨道交通通信系统 |
| CN115871754A (zh) * | 2023-03-08 | 2023-03-31 | 北京全路通信信号研究设计院集团有限公司 | 轨道交通控制信号系统、检测方法、装置、设备及介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102065130A (zh) * | 2010-12-01 | 2011-05-18 | 株洲南车时代电气股份有限公司 | 一种地铁列车故障智能处理装置及其方法 |
| CN102567668A (zh) * | 2011-12-22 | 2012-07-11 | 四川久远新方向智能科技有限公司 | 轨道交通自动售检票安全保护系统及其方法 |
| CN103345478A (zh) * | 2013-06-17 | 2013-10-09 | 武汉天罡信息技术有限公司 | 一种用于智慧城市建设的通用标识编码系统 |
| WO2014129107A1 (en) * | 2013-02-25 | 2014-08-28 | Toyota Jidosha Kabushiki Kaisha | Information processing device and information processing method |
| CN107364468A (zh) * | 2017-07-17 | 2017-11-21 | 中车工业研究院有限公司 | 远程隔离电路、无人驾驶列车的制动故障隔离系统及方法 |
| CN108173929A (zh) * | 2017-12-26 | 2018-06-15 | 中车大连机车车辆有限公司 | 中低速磁浮列车基于trdp协议的无线上传和专家诊断系统 |
| CN108183886A (zh) * | 2017-12-07 | 2018-06-19 | 交控科技股份有限公司 | 一种轨道交通信号系统安全网关的安全增强设备 |
| US20180181091A1 (en) * | 2016-12-23 | 2018-06-28 | Centurylink Intellectual Property Llc | Smart City Apparatus, System, and Method |
-
2018
- 2018-12-28 CN CN201811628300.9A patent/CN111385326B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102065130A (zh) * | 2010-12-01 | 2011-05-18 | 株洲南车时代电气股份有限公司 | 一种地铁列车故障智能处理装置及其方法 |
| CN102567668A (zh) * | 2011-12-22 | 2012-07-11 | 四川久远新方向智能科技有限公司 | 轨道交通自动售检票安全保护系统及其方法 |
| WO2014129107A1 (en) * | 2013-02-25 | 2014-08-28 | Toyota Jidosha Kabushiki Kaisha | Information processing device and information processing method |
| CN103345478A (zh) * | 2013-06-17 | 2013-10-09 | 武汉天罡信息技术有限公司 | 一种用于智慧城市建设的通用标识编码系统 |
| US20180181091A1 (en) * | 2016-12-23 | 2018-06-28 | Centurylink Intellectual Property Llc | Smart City Apparatus, System, and Method |
| CN107364468A (zh) * | 2017-07-17 | 2017-11-21 | 中车工业研究院有限公司 | 远程隔离电路、无人驾驶列车的制动故障隔离系统及方法 |
| CN108183886A (zh) * | 2017-12-07 | 2018-06-19 | 交控科技股份有限公司 | 一种轨道交通信号系统安全网关的安全增强设备 |
| CN108173929A (zh) * | 2017-12-26 | 2018-06-15 | 中车大连机车车辆有限公司 | 中低速磁浮列车基于trdp协议的无线上传和专家诊断系统 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112217914A (zh) * | 2020-09-24 | 2021-01-12 | 交控科技股份有限公司 | 基于城市轨道交通线网级云平台的ip分配方法及装置 |
| CN112217914B (zh) * | 2020-09-24 | 2023-02-24 | 交控科技股份有限公司 | 基于城市轨道交通线网级云平台的ip分配方法及装置 |
| CN112218269A (zh) * | 2020-10-10 | 2021-01-12 | 中车青岛四方机车车辆股份有限公司 | 一种列车信息安全网关系统、数据传输方法及机车 |
| CN112218269B (zh) * | 2020-10-10 | 2022-12-30 | 中车青岛四方机车车辆股份有限公司 | 一种列车信息安全网关系统、数据传输方法及机车 |
| CN112769857A (zh) * | 2021-01-22 | 2021-05-07 | 华迪计算机集团有限公司 | 一种用于电子政务外网的异常流量管控系统 |
| CN112769857B (zh) * | 2021-01-22 | 2022-09-27 | 华迪计算机集团有限公司 | 一种用于电子政务外网的异常流量管控系统 |
| CN115037773A (zh) * | 2022-07-28 | 2022-09-09 | 中兴(温州)轨道通讯技术有限公司 | 一种传输稳定的轨道交通通信系统 |
| CN115871754A (zh) * | 2023-03-08 | 2023-03-31 | 北京全路通信信号研究设计院集团有限公司 | 轨道交通控制信号系统、检测方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111385326B (zh) | 2022-04-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111385326B (zh) | 轨道交通通信系统 | |
| US11271778B2 (en) | Multi-perimeter firewall in the cloud | |
| US11582192B2 (en) | Multi-tenant cloud-based firewall systems and methods | |
| JP7393514B2 (ja) | モバイルデバイスの効率的なサイバー保護のための方法およびシステム | |
| US9282111B1 (en) | Application-based network traffic redirection for cloud security service | |
| US9716690B2 (en) | Integrated security switch | |
| JP6236528B2 (ja) | ネットワークルーティングのためのパケット分類 | |
| US8060927B2 (en) | Security state aware firewall | |
| EP1817685B1 (en) | Intrusion detection in a data center environment | |
| US20160294866A1 (en) | Load balancing in a network with session information | |
| US9917849B2 (en) | Security system for physical or virtual environments | |
| KR101531472B1 (ko) | 방화벽 클러스터에서의 애플리케이션 상태 공유 | |
| JP2006339933A (ja) | ネットワークアクセス制御方法、およびシステム | |
| KR101553264B1 (ko) | 네트워크 침입방지 시스템 및 방법 | |
| US20090094691A1 (en) | Intranet client protection service | |
| EP2321934B1 (en) | System and device for distributed packet flow inspection and processing | |
| CN114268457A (zh) | 一种多规约多业务公网安全接入方法 | |
| Keromytis et al. | Designing firewalls: A survey | |
| US20240146689A1 (en) | Context Aware Client Firewall for Mobile Devices in Cloud Security Systems | |
| CN114826822A (zh) | 一种钢铁企业多层网络安全架构方法 | |
| Torshizi et al. | New secure and low-cost design for defense in depth implementation using open source software | |
| Frihat et al. | General guidelines for the security of a large scale data center design | |
| Tiamiyu | Trusted routing vs. VPN for secured data transfer over IP-networks/Internet | |
| Cisco et al. | Cisco SAFE Solution Overview | |
| Jacobs | Distributed Decision Support System for Network Security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |