The invention discloses a firewall implementation method of a communication controller based on IPTABLE. Especially, it involves the communication controller which adopts the multi-port structure technology of firewall and the classification filtering technology of multiple network ports. The communication controller of 8 gigabit network card is used to isolate the internal network equipment and the external network equipment of integrated monitoring through different network cards. It makes it impossible for external network data to interact with internal network data directly. Then, each network card service port is forbidden by the core tailoring of the controller, and the unnecessary service connections or connections in the corresponding local area network are filtered. Finally, the firewall of the communication controller is realized through IPTABLE configuration address binding, data filtering, connection tracing and other functions. Tests show that the security protection of ISCS network boundary is basically guaranteed, while the use of hardware protection is reduced. The high cost of the firewall. To a certain extent, it solves the hidden network security problems in the integrated monitoring network of urban rail transit.
【技术实现步骤摘要】
一种基于IPTABLE的通信控制器的防火墙实现方法
本专利技术涉及一种基于网络安全
,尤其是IPTABLE的通信控制器的防火墙实现方法。
技术介绍
为了响应国家号召,积极建设信息安全网络,越来越多的轨道公司开始提倡在城市轨道交通网络建设中增加网络安全的策略,特别是综合监控网络(ISCS)。防火墙作为实现网络安全的基础设施,可以起到屏蔽外网保护内部网的目的。防火墙既可以用硬件实现,也可以用软件实现。硬件实现网络数据处理速度快、安全可靠性高、费用较贵,网络实现的复杂性也较大;而软件实现则相对价格较低,同时便于版本升级和维护,通信控制器作为综合自动化监控系统的重要组成部分,已经在轨道交通行业中承担重要的通信角色。基于电网调度的SCADA系统中,就是用的是基于通信控制器设备进行的信息采集和处理。但是电网调度中的网络加密是基于网络加密机实现的网络加密。其成本费用远远高于地铁行业的承担费用。因此开发一款可以屏蔽内部不同系统网络,根据要求实现服务和端口访问,实现预防网络攻击和病毒传播的安全策略,减少分布式车站单独使用硬件防火墙的超额费用,降低建设成本,适用于轨道交通行业的信息安全通信控制器设备是行之有效的措施。
技术实现思路
本专利技术的研究的目的是综合监控网络边界安全,针对轨道交通综合监控网络使用单独的防火墙成本高,并且专用防火墙在ISCS分布式网络中布置困难等问题,提出了一种在通信控制器上增加综合监控网络防火墙的方案。通过增加通信控制器的网卡,将现场多个专业隔离成多个子网使用防火墙的多端口隔离技术和每个子网的数据单独过滤技术。通过简单的配置启动文件,便可以实现网络 ...
【技术保护点】
1.一种基于IPTABLE的通信控制器的防火墙实现方法,其特征在于,包括以下步骤:(1)通过具有数个以太网口的通信管理机对接数个通信控制器,且以每个车站的子专业为VLAN对接通信控制器的每一个网口;通信控制器网口的数量与以太网口的数量相同且一一对应;(2)通过LINUX内核裁剪,从底层删除或者禁止通信控制器不使用的服务;或者从底层删除或者禁止通信控制器不使用的端口;(3)根据IPTABLE配置规则,根据每个子专业的功能要求,优化通信控制器对应的每个以太网口的服务配置,通过地址过滤,地址转换,连接追踪限制每个VLAN网络下每个功能的使用。
【技术特征摘要】
1.一种基于IPTABLE的通信控制器的防火墙实现方法,其特征在于,包括以下步骤:(1)通过具有数个以太网口的通信管理机对接数个通信控制器,且以每个车站的子专业为VLAN对接通信控制器的每一个网口;通信控制器网口的数量与以太网口的数量相同且一一对应;(2)通过LINUX内核裁剪,从底层删除或者禁止通信控制器不使用的服务;或者从底层删除或者禁止通信控制器不使用的端口;(3)根据IPTABLE配置规则,根据每个子专业的功能要求,优化通信控制器对应的每个以太网口的服务配置,通过地址过滤,地址转换,连接追踪限制每个VLAN网络下每个功能的使用。2.根据权利要求1所述的基于IPTABLE的通信控制器的防火墙实现方法,其特征在于:在所述步骤(3)中,根据网络访问控制的原则,设置网络集合:NET(i)={IP[i],Server{1,2,3...n}},其中i=1,2,...8;NET为通信控制器的网口,Server为通信管理机的服务集合;每个通信控制器的网口IP进行不同服务Server{1,2,3...n}的访问或者被访问;利用每个通信控制器的网口实现不同的VLAN访问控制;形成如下的网络集合:NET(i)={IP[i],Server{j}},...
【专利技术属性】
技术研发人员:朱中波,张宁,张伟峰,张昆,朱微维,
申请(专利权)人:国电南瑞科技股份有限公司,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。