论文部分内容阅读
[摘要]TDCS/CTC系统作为铁路运输指挥的重要行车设备,系统网络安全是保障其正常运行的因素之一,防火墙是重要的网络安全设备本文根NTDCS/CTC系统的特点详细分析中心网络的2种防火墙接入模式(路由模式和桥接模式)及透明链接模式的优势。
[关键词]防火墙;路由器;交换机;网络层;数据链路层;路由选择协议;透明桥接;
[中图分类号]TN915.08 [文献标识码]A [文章编号]1672-5158(2013)06-0043-01
1 防火墙在系统中心网络的2种接入模式
由于TDCS/CTC系统属于行车指挥设备,考虑到其安全性,都采用双套设备,其中防火墙每2台属于1套,故一共设置4台防火墙。其功能主要是保护内部网络免受外部网络的攻击、恶性访问及病毒传播。防火墙一般设置在路由器和交换机之间。2种接入模式的优缺点如下。
1.1 系统中心防火墙路由模式
路由模式工作数据包转发过程中寻址基于IP地址,而选路是通过路由选择协议计算并选择数据包转发的最佳路径。故如图1所示TDCS/CTC系统调度中心网络中的路由器、防火墙及交换机必须单独形成一个路由选择协议区域,以供完成数据包转发及防火墙访问控制和数据包过滤等工作。
路由选择协议是数据包转发计算并选择最佳路径的协议,一般常见的有RIP、OSPF、IGRP及EIGRP等,其中EIGRP协议属于CISCO公司的私有协议,只有该公司生产的设备支持该协议。根据路由选择协议是数据包转发计算并选择最佳路径的协议,一般常见的有RIP、OSPF、IGRP及EIGRP等,其中EIGRP协议属于CISCO公司的私有协议,只有该公司生产的设备支持该协议。根据TDCS/CTC中心网络构架的特点及设备选型等多方面因素,路由模式中选用OSPF协议。如图1中路由器、防火墙及交换机之间建立一个OSPF区域,专门为数据包转发及防火墙的工作服务,而路由器连接的外部网络及交换机连接的内部网络所采用的路由选择协议对防火墙来说均不考虑。但为了能够保证外部网络与内部网络的正常数据传递,需要在路由器及交换机上,将外部及内部网络的其他路由选择协议区域与该OSPF区域选择性的联通(即路由选择协议区域间的双方向路由重发布)。
1.2 系统中心防火墙透明桥接模式。
透明桥接模式之所以“透明”,是由于防火墙以此种模式连接在交换机与路由器之间后,从路由器和交换机的角度“看”都可以认为此防火墙是“瞧不见”的。这主要是因为基于OSI参考模型的第二层(数据链路层),在数据包转发过程中使用MAC地址作出转发决定,这样就等于位于一个单独的逻辑地址空间内,也不作为数据包的源和目的地,连接起来的网段好像在一条透明的管道中一样。故如图2所示,TDCS/CTC系统调度中心网络中的路由器、防火墙及交换机不必单独形成一个路由选择协议区域,因此减少了路由器和交换机为不同路由选择协议区域间交互而进行的大量计算。
2 采用透明桥接模式的优势
2.1 路由模式存在的几个缺陷
1,网络瓶颈问题。在路由模式中,为了保证每台防火墙都能得到路由器中完整的路由表,故必须在路由器与防火墙之间增加2台小型交换机,根据图1中的结构能够看出这2台小型交换机成为整个系统数据传输过程中的瓶颈,如果发生故障影响也比较大。
2 结构过于复杂导致维护工作难度加大。在路由模式中,为了保证系统的安全性要求就需要提供大量的冗余路径,通过图1可以看出,结构相当复杂,这样给日常的维护工作及故障处理增加了很大的难度。
2.2 透明桥接模式的优势
1 不存在网络瓶颈问题。如前所述,防火墙不需要像路由模式那样为了保证路由更新及路由表的完整增加小型交换机。从图2可以看出透明桥接模式并不存在瓶颈问题。
2 结构相对简单,便于维护。如图2所示,根据透明桥接模式工作原理所形成的拓扑结构明显比路由模式,极大地方便了维护人员的日常维护及故障排查。
3 结束语
目前,计算机网络技术已在我国铁路系统中广泛应用,带来的网络安全问题也日益明显。随着计算机和通信技术的发展,如何不断改进和完善网络的安全方案也将成为我们日后研究的方向之一。
参考文献
[1]姜全生,王彬,侯丽萍,马文坤,计算机网络技术应用[M],北京:清华大学出版社,2010.9
[2]冯登国,网络安全原理与技术[M],北京:科技出版社,2007,9
[3]阎慧,王伟,防火墙原理与技术[M],北京:机械工业出版社,2004,4
[关键词]防火墙;路由器;交换机;网络层;数据链路层;路由选择协议;透明桥接;
[中图分类号]TN915.08 [文献标识码]A [文章编号]1672-5158(2013)06-0043-01
1 防火墙在系统中心网络的2种接入模式
由于TDCS/CTC系统属于行车指挥设备,考虑到其安全性,都采用双套设备,其中防火墙每2台属于1套,故一共设置4台防火墙。其功能主要是保护内部网络免受外部网络的攻击、恶性访问及病毒传播。防火墙一般设置在路由器和交换机之间。2种接入模式的优缺点如下。
1.1 系统中心防火墙路由模式
路由模式工作数据包转发过程中寻址基于IP地址,而选路是通过路由选择协议计算并选择数据包转发的最佳路径。故如图1所示TDCS/CTC系统调度中心网络中的路由器、防火墙及交换机必须单独形成一个路由选择协议区域,以供完成数据包转发及防火墙访问控制和数据包过滤等工作。
路由选择协议是数据包转发计算并选择最佳路径的协议,一般常见的有RIP、OSPF、IGRP及EIGRP等,其中EIGRP协议属于CISCO公司的私有协议,只有该公司生产的设备支持该协议。根据路由选择协议是数据包转发计算并选择最佳路径的协议,一般常见的有RIP、OSPF、IGRP及EIGRP等,其中EIGRP协议属于CISCO公司的私有协议,只有该公司生产的设备支持该协议。根据TDCS/CTC中心网络构架的特点及设备选型等多方面因素,路由模式中选用OSPF协议。如图1中路由器、防火墙及交换机之间建立一个OSPF区域,专门为数据包转发及防火墙的工作服务,而路由器连接的外部网络及交换机连接的内部网络所采用的路由选择协议对防火墙来说均不考虑。但为了能够保证外部网络与内部网络的正常数据传递,需要在路由器及交换机上,将外部及内部网络的其他路由选择协议区域与该OSPF区域选择性的联通(即路由选择协议区域间的双方向路由重发布)。
1.2 系统中心防火墙透明桥接模式。
透明桥接模式之所以“透明”,是由于防火墙以此种模式连接在交换机与路由器之间后,从路由器和交换机的角度“看”都可以认为此防火墙是“瞧不见”的。这主要是因为基于OSI参考模型的第二层(数据链路层),在数据包转发过程中使用MAC地址作出转发决定,这样就等于位于一个单独的逻辑地址空间内,也不作为数据包的源和目的地,连接起来的网段好像在一条透明的管道中一样。故如图2所示,TDCS/CTC系统调度中心网络中的路由器、防火墙及交换机不必单独形成一个路由选择协议区域,因此减少了路由器和交换机为不同路由选择协议区域间交互而进行的大量计算。
2 采用透明桥接模式的优势
2.1 路由模式存在的几个缺陷
1,网络瓶颈问题。在路由模式中,为了保证每台防火墙都能得到路由器中完整的路由表,故必须在路由器与防火墙之间增加2台小型交换机,根据图1中的结构能够看出这2台小型交换机成为整个系统数据传输过程中的瓶颈,如果发生故障影响也比较大。
2 结构过于复杂导致维护工作难度加大。在路由模式中,为了保证系统的安全性要求就需要提供大量的冗余路径,通过图1可以看出,结构相当复杂,这样给日常的维护工作及故障处理增加了很大的难度。
2.2 透明桥接模式的优势
1 不存在网络瓶颈问题。如前所述,防火墙不需要像路由模式那样为了保证路由更新及路由表的完整增加小型交换机。从图2可以看出透明桥接模式并不存在瓶颈问题。
2 结构相对简单,便于维护。如图2所示,根据透明桥接模式工作原理所形成的拓扑结构明显比路由模式,极大地方便了维护人员的日常维护及故障排查。
3 结束语
目前,计算机网络技术已在我国铁路系统中广泛应用,带来的网络安全问题也日益明显。随着计算机和通信技术的发展,如何不断改进和完善网络的安全方案也将成为我们日后研究的方向之一。
参考文献
[1]姜全生,王彬,侯丽萍,马文坤,计算机网络技术应用[M],北京:清华大学出版社,2010.9
[2]冯登国,网络安全原理与技术[M],北京:科技出版社,2007,9
[3]阎慧,王伟,防火墙原理与技术[M],北京:机械工业出版社,2004,4