郝麗，邊鵬飛，馮錄剛，王紅蕾，蔣弘毅

(河北省地震局，河北 石家莊 050021)

0 引 言

地震系統(tǒng)行業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為雙星形樹狀形(圖1)，系統(tǒng)內(nèi)各單位分別通過電信及聯(lián)通運(yùn)營商的專線鏈路連接到國家局臺網(wǎng)中心及廣東局速報備份中心。除速報備份業(yè)務(wù)外，單位之間的互訪均需經(jīng)國家臺網(wǎng)中心轉(zhuǎn)發(fā)。在中國地震信息網(wǎng)絡(luò)安全防護(hù)項(xiàng)目實(shí)施之前，行業(yè)內(nèi)各單位之間的網(wǎng)絡(luò)為全通全開放狀態(tài)，存在極大的網(wǎng)絡(luò)安全隱患。中國地震信息網(wǎng)絡(luò)安全防護(hù)項(xiàng)目(一期)為每個單位增配了兩臺行業(yè)網(wǎng)防火墻，按照設(shè)計方案要求，兩臺防火墻應(yīng)分別部署于各個單位行業(yè)網(wǎng)出口設(shè)備與國家局臺網(wǎng)中心、廣東局速報業(yè)務(wù)備份中心兩條運(yùn)營商接入鏈路之間，為行業(yè)網(wǎng)內(nèi)單位與國家中心、各單位之間互訪提供安全防護(hù)。

目前，河北省地震局開放有4個網(wǎng)絡(luò)出口，分別為互聯(lián)網(wǎng)出口、政務(wù)外網(wǎng)出口、行業(yè)網(wǎng)(北京)出口和行業(yè)網(wǎng)(廣東)出口。兩個行業(yè)網(wǎng)出口分別通過專線連接到國家局臺網(wǎng)中心及廣東局速報備份中心。互聯(lián)網(wǎng)邊界防火墻主要隔離局辦公網(wǎng)絡(luò)和互聯(lián)網(wǎng)，保護(hù)單位內(nèi)部網(wǎng)絡(luò)的安全。邊界防火墻按安全域分割為外部網(wǎng)、DMZ區(qū)和內(nèi)網(wǎng)等，其策略設(shè)置相對簡單成熟[1-3]。政務(wù)外網(wǎng)防火墻按工作要求嚴(yán)格劃分了接入?yún)^(qū)域，主要包括網(wǎng)絡(luò)接入?yún)^(qū)、應(yīng)用服務(wù)器和公共服務(wù)器區(qū)等，并通過政務(wù)外網(wǎng)防火墻采取對IP、端口等嚴(yán)格的訪問控制措施，實(shí)現(xiàn)電子政務(wù)外網(wǎng)與地震行業(yè)網(wǎng)的互聯(lián)互通，增強(qiáng)政務(wù)信息的保密性。行業(yè)網(wǎng)防火墻仍為透明模式，未添加任何防護(hù)策略，系統(tǒng)內(nèi)部可任意互訪互問，對行業(yè)系統(tǒng)網(wǎng)絡(luò)安全不利，因此行業(yè)網(wǎng)防火墻策略部署工作顯得尤為重要[4-5]。

圖1 行業(yè)網(wǎng)絡(luò)拓?fù)鋱D

1 行業(yè)網(wǎng)防火墻策略部署的難點(diǎn)

河北省地震局總體按照業(yè)務(wù)訪問需求進(jìn)行策略整理，通過地震系統(tǒng)業(yè)務(wù)互訪(IP地址互通)定義策略。按照部署思路，要對單位內(nèi)全部IP地址按照業(yè)務(wù)分類進(jìn)行梳理和歸類，添加描述信息，以便于下一步按照業(yè)務(wù)進(jìn)行策略的收集。部署防火墻策略面臨以下三個難題。

(1)梳理業(yè)務(wù)難度大。河北局地震業(yè)務(wù)涉及強(qiáng)震、測震及預(yù)測等多類，各業(yè)務(wù)的訪問策略需求各有不同，而防火墻策略梳理過程由網(wǎng)管人員自主進(jìn)行，缺乏與多類業(yè)務(wù)聯(lián)系的實(shí)際性，難以保證實(shí)際業(yè)務(wù)的需求，在業(yè)務(wù)梳理過程中存在一定的困難，直接增加了部署策略的梳理難度。

(2)本端、對端IP地址多。策略信息涉及的關(guān)鍵字段有源地址、目的地址等，由于河北局臺站數(shù)量大、觀測手段多，還包括市縣與中心臺業(yè)務(wù)，IP地址涉及較多，需要時間仔細(xì)梳理，避免重復(fù)或遺漏。這在防火墻上線運(yùn)行后，仍需要較長時間的IP信息調(diào)整與增刪。

(3)策略管理繁瑣。隨著業(yè)務(wù)的拓展，有些業(yè)務(wù)并不是持續(xù)性訪問，需要增加臨時策略，也給防火墻日常運(yùn)維帶來一定的困難。這些操作會導(dǎo)致策略臃腫，使得防火墻運(yùn)行效率降低，給業(yè)務(wù)安全與防火墻性能帶來隱患。

2 防火墻策略梳理與部署方法

針對策略部署面臨的問題，部署工作按照業(yè)務(wù)訪問關(guān)系梳理、策略與地址對象定義、策略配置及業(yè)務(wù)測試幾個步驟進(jìn)行，梳理流程見圖2。

圖2 防火墻策略部署流程

2.1 業(yè)務(wù)訪問關(guān)系梳理

業(yè)務(wù)訪問關(guān)系梳理是準(zhǔn)備階段的關(guān)鍵，網(wǎng)管人員可通過日常了解的業(yè)務(wù)訪問需求整理，同時各業(yè)務(wù)部門應(yīng)根據(jù)所承擔(dān)的業(yè)務(wù)工作相關(guān)訪問需求整理，此外也可通過現(xiàn)有路由器與交換機(jī)上ACL(Access Control List)配置讀取。網(wǎng)管將訪問關(guān)系統(tǒng)一匯總并反饋相關(guān)業(yè)務(wù)部門核對，待確認(rèn)無誤后定義地址對象。目前省局業(yè)務(wù)包括測震、前兆、強(qiáng)震和GNSS等八類業(yè)務(wù)，涉及市縣、綜合臺站等節(jié)點(diǎn)共七個，業(yè)務(wù)梳理如圖3所示。

在梳理過程中，各業(yè)務(wù)再按照實(shí)際需求進(jìn)行合理的子類劃分，確保整理后的業(yè)務(wù)訪問關(guān)系條目完備且邏輯清晰。例如將測震業(yè)務(wù)劃分為2個子類—省局匯聚至國家臺網(wǎng)中心數(shù)據(jù)業(yè)務(wù)和省局及國家臺(紅山臺)匯聚至國家臺網(wǎng)中心衛(wèi)星段。同時需要合并有相同目標(biāo)IP地址的業(yè)務(wù)，防止發(fā)生重復(fù)策略。由于一次將所有地址精確到IP地址有困難，因此部署過程對不明確地址的可以先從網(wǎng)段部署，隨后參考科來全流量日志等逐步縮小范圍。

圖3 河北局業(yè)務(wù)

2.2 策略定義

2.2.1 策略定義總體思路

防火墻策略規(guī)則配置總體思路有兩種，第一種是策略沒有明確允許，一律禁止；第二種是沒有明確禁止，一律允許。河北局選擇第一種方案，采用防火墻白名單方式，策略允許同類業(yè)務(wù)互訪，沒有允許的策略全部阻斷其IP地址。

為了最大限度的保障業(yè)務(wù)正常訪問，河北局按照每條策略規(guī)則定義雙向訪問，訪問策略中暫不定義端口號。同業(yè)務(wù)類別與相同部門的IP地址定義為同一地址對象，具有共同訪問目標(biāo)的多個地址對象按照地址類別(業(yè)務(wù)類地址、互聯(lián)地址及管理地址等)合并為地址組，每條策略中最終為地址組到地址組的訪問，且源地址與目的地址組個數(shù)盡量少，最好為一對一。

2.2.2 策略定義原則

通過梳理業(yè)務(wù)訪問需求，可將策略的源對象分為兩類—省局局域網(wǎng)與臺站市縣等，目的對象分為三類—國家臺網(wǎng)中心、廣東速報備份中心與其他省局或單位。策略以業(yè)務(wù)名稱+目標(biāo)單位系統(tǒng)代碼+單位縮寫原則命名，策略中的源地址組與目的地址組均以業(yè)務(wù)分類+單位縮寫規(guī)則命名，地址對象以單位代碼+具體業(yè)務(wù)名稱規(guī)則命名。以河北局“測震”中“省局匯聚到國家臺網(wǎng)中心和北京局的業(yè)務(wù)”為例，河北局系統(tǒng)代碼為13，國家局系統(tǒng)代碼為05，北京局系統(tǒng)代碼為11，按照原則將策略命名為“cezhen-13-hbdzj”，源地址組命名為“cezhen-hbdzj”，目的地址組命名為“cezhen-guojia”，地址對象定義、業(yè)務(wù)描述、地址分類及所屬單位等策略屬性見表1與表2。

表1 源地址對象定義

表2 目的地址對象定義

3 防火墻上線測試

按照定義的安全策略上線實(shí)施，密切監(jiān)控相關(guān)業(yè)務(wù)應(yīng)用運(yùn)行情況。測試工作采用在線網(wǎng)絡(luò)測試方式，優(yōu)先對連續(xù)性要求高的核心業(yè)務(wù)進(jìn)行測試，如測震—GNSS—前兆—強(qiáng)震等，策略上線后，先檢查核心服務(wù)是否正常，發(fā)現(xiàn)問題馬上與相關(guān)業(yè)務(wù)人員聯(lián)系，及時回退策略，修改信息，最大限度保障核心業(yè)務(wù)的連續(xù)性。在整個測試過程中，要一直保留any到any策略，測試出現(xiàn)問題，及時啟用此策略，避免造成業(yè)務(wù)長時間的中斷。策略上線后期可以持續(xù)更新與優(yōu)化策略，包括策略子網(wǎng)IP地址的縮小、更改或刪除等，最大限度的保護(hù)省局中心核心服務(wù)與數(shù)據(jù)的安全性。

4 結(jié) 語

防火墻策略部署是網(wǎng)絡(luò)安全的保障工作，通過結(jié)合河北局的業(yè)務(wù)現(xiàn)狀，分析了策略部署工作面臨的問題，提出了部署流程，規(guī)范了防火墻策略部署的步驟，保障了行業(yè)網(wǎng)防火墻策略成功上線，提高了地震系統(tǒng)信息網(wǎng)絡(luò)的安全，解決了地震行業(yè)信息網(wǎng)絡(luò)安全防護(hù)嚴(yán)重缺失的問題。河北局作為第一批試點(diǎn)單位，充分發(fā)揮了示范帶動作用，在防火墻部署工作中取得了諸多實(shí)踐經(jīng)驗(yàn)，可供其他單位作為參考，適度借鑒。由于策略部署過程中沒有涉及服務(wù)端口，下一步工作可以考慮加入服務(wù)端口限制，增強(qiáng)網(wǎng)絡(luò)安全的管理。