周浩

[摘要]TDCS/CTC系統(tǒng)作為鐵路運(yùn)輸指揮的重要行車設(shè)備，系統(tǒng)網(wǎng)絡(luò)安全是保障其正常運(yùn)行的因素之一，防火墻是重要的網(wǎng)絡(luò)安全設(shè)備本文根NTDCS/CTC系統(tǒng)的特點詳細(xì)分析中心網(wǎng)絡(luò)的2種防火墻接入模式（路由模式和橋接模式）及透明鏈接模式的優(yōu)勢。

[關(guān)鍵詞]防火墻；路由器；交換機(jī)；網(wǎng)絡(luò)層；數(shù)據(jù)鏈路層；路由選擇協(xié)議；透明橋接；

[中圖分類號]TN915.08 [文獻(xiàn)標(biāo)識碼]A [文章編號]1672-5158（2013）06-0043-01

1 防火墻在系統(tǒng)中心網(wǎng)絡(luò)的2種接入模式

由于TDCS/CTC系統(tǒng)屬于行車指揮設(shè)備，考慮到其安全性，都采用雙套設(shè)備，其中防火墻每2臺屬于1套，故一共設(shè)置4臺防火墻。其功能主要是保護(hù)內(nèi)部網(wǎng)絡(luò)免受外部網(wǎng)絡(luò)的攻擊、惡性訪問及病毒傳播。防火墻一般設(shè)置在路由器和交換機(jī)之間。2種接入模式的優(yōu)缺點如下。

1.1 系統(tǒng)中心防火墻路由模式

路由模式工作數(shù)據(jù)包轉(zhuǎn)發(fā)過程中尋址基于IP地址，而選路是通過路由選擇協(xié)議計算并選擇數(shù)據(jù)包轉(zhuǎn)發(fā)的最佳路徑。故如圖1所示TDCS/CTC系統(tǒng)調(diào)度中心網(wǎng)絡(luò)中的路由器、防火墻及交換機(jī)必須單獨形成一個路由選擇協(xié)議區(qū)域，以供完成數(shù)據(jù)包轉(zhuǎn)發(fā)及防火墻訪問控制和數(shù)據(jù)包過濾等工作。

路由選擇協(xié)議是數(shù)據(jù)包轉(zhuǎn)發(fā)計算并選擇最佳路徑的協(xié)議，一般常見的有RIP、OSPF、IGRP及EIGRP等，其中EIGRP協(xié)議屬于CISCO公司的私有協(xié)議，只有該公司生產(chǎn)的設(shè)備支持該協(xié)議。根據(jù)路由選擇協(xié)議是數(shù)據(jù)包轉(zhuǎn)發(fā)計算并選擇最佳路徑的協(xié)議，一般常見的有RIP、OSPF、IGRP及EIGRP等，其中EIGRP協(xié)議屬于CISCO公司的私有協(xié)議，只有該公司生產(chǎn)的設(shè)備支持該協(xié)議。根據(jù)TDCS/CTC中心網(wǎng)絡(luò)構(gòu)架的特點及設(shè)備選型等多方面因素，路由模式中選用OSPF協(xié)議。如圖1中路由器、防火墻及交換機(jī)之間建立一個OSPF區(qū)域，專門為數(shù)據(jù)包轉(zhuǎn)發(fā)及防火墻的工作服務(wù)，而路由器連接的外部網(wǎng)絡(luò)及交換機(jī)連接的內(nèi)部網(wǎng)絡(luò)所采用的路由選擇協(xié)議對防火墻來說均不考慮。但為了能夠保證外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的正常數(shù)據(jù)傳遞，需要在路由器及交換機(jī)上，將外部及內(nèi)部網(wǎng)絡(luò)的其他路由選擇協(xié)議區(qū)域與該OSPF區(qū)域選擇性的聯(lián)通（即路由選擇協(xié)議區(qū)域間的雙方向路由重發(fā)布）。

1.2 系統(tǒng)中心防火墻透明橋接模式。

透明橋接模式之所以“透明”，是由于防火墻以此種模式連接在交換機(jī)與路由器之間后，從路由器和交換機(jī)的角度“看”都可以認(rèn)為此防火墻是“瞧不見”的。這主要是因為基于OSI參考模型的第二層（數(shù)據(jù)鏈路層），在數(shù)據(jù)包轉(zhuǎn)發(fā)過程中使用MAC地址作出轉(zhuǎn)發(fā)決定，這樣就等于位于一個單獨的邏輯地址空間內(nèi)，也不作為數(shù)據(jù)包的源和目的地，連接起來的網(wǎng)段好像在一條透明的管道中一樣。故如圖2所示，TDCS/CTC系統(tǒng)調(diào)度中心網(wǎng)絡(luò)中的路由器、防火墻及交換機(jī)不必單獨形成一個路由選擇協(xié)議區(qū)域，因此減少了路由器和交換機(jī)為不同路由選擇協(xié)議區(qū)域間交互而進(jìn)行的大量計算。

2 采用透明橋接模式的優(yōu)勢

2.1 路由模式存在的幾個缺陷

1，網(wǎng)絡(luò)瓶頸問題。在路由模式中，為了保證每臺防火墻都能得到路由器中完整的路由表，故必須在路由器與防火墻之間增加2臺小型交換機(jī)，根據(jù)圖1中的結(jié)構(gòu)能夠看出這2臺小型交換機(jī)成為整個系統(tǒng)數(shù)據(jù)傳輸過程中的瓶頸，如果發(fā)生故障影響也比較大。

2 結(jié)構(gòu)過于復(fù)雜導(dǎo)致維護(hù)工作難度加大。在路由模式中，為了保證系統(tǒng)的安全性要求就需要提供大量的冗余路徑，通過圖1可以看出，結(jié)構(gòu)相當(dāng)復(fù)雜，這樣給日常的維護(hù)工作及故障處理增加了很大的難度。

2.2 透明橋接模式的優(yōu)勢

1 不存在網(wǎng)絡(luò)瓶頸問題。如前所述，防火墻不需要像路由模式那樣為了保證路由更新及路由表的完整增加小型交換機(jī)。從圖2可以看出透明橋接模式并不存在瓶頸問題。

2 結(jié)構(gòu)相對簡單，便于維護(hù)。如圖2所示，根據(jù)透明橋接模式工作原理所形成的拓?fù)浣Y(jié)構(gòu)明顯比路由模式，極大地方便了維護(hù)人員的日常維護(hù)及故障排查。

3 結(jié)束語

目前，計算機(jī)網(wǎng)絡(luò)技術(shù)已在我國鐵路系統(tǒng)中廣泛應(yīng)用，帶來的網(wǎng)絡(luò)安全問題也日益明顯。隨著計算機(jī)和通信技術(shù)的發(fā)展，如何不斷改進(jìn)和完善網(wǎng)絡(luò)的安全方案也將成為我們?nèi)蘸笱芯康姆较蛑弧?/p>

參考文獻(xiàn)

[1]姜全生，王彬，侯麗萍，馬文坤，計算機(jī)網(wǎng)絡(luò)技術(shù)應(yīng)用[M]，北京：清華大學(xué)出版社，2010.9

[2]馮登國，網(wǎng)絡(luò)安全原理與技術(shù)[M]，北京：科技出版社，2007，9

[3]閻慧，王偉，防火墻原理與技術(shù)[M]，北京：機(jī)械工業(yè)出版社，2004，4