一种基于IPTABLE的通信控制器的防火墙实现方法技术

本发明专利技术公开了一种基于IPTABLE的通信控制器的防火墙实现方法。尤其是涉及采用防火墙的多端口结构技术和多个网口分类过滤技术的通信控制器。采用8千兆网卡的通信控制器将综合监控的内网设备和外网设备通过不同的网卡进行网络隔离。使外网数据与内网数据不能直接交互。然后通过控制器的内核裁剪禁止每个网卡服务端口，过滤对应局域网内不需要的服务连接或者被连接，最后通过IPTABLE配置地址绑定、数据过滤、连接追踪等功能实现通信控制器的防火墙；测试表明基本上保证了ISCS网络边界的安全防护问题，同时减少了使用硬件防火墙带了的高额费用。在一定程度上解决城市轨道交通综合监控网络中的网络安全隐患问题。

A Firewall Implementation Method Based on IPTABLE Communication Controller

The invention discloses a firewall implementation method of a communication controller based on IPTABLE. Especially, it involves the communication controller which adopts the multi-port structure technology of firewall and the classification filtering technology of multiple network ports. The communication controller of 8 gigabit network card is used to isolate the internal network equipment and the external network equipment of integrated monitoring through different network cards. It makes it impossible for external network data to interact with internal network data directly. Then, each network card service port is forbidden by the core tailoring of the controller, and the unnecessary service connections or connections in the corresponding local area network are filtered. Finally, the firewall of the communication controller is realized through IPTABLE configuration address binding, data filtering, connection tracing and other functions. Tests show that the security protection of ISCS network boundary is basically guaranteed, while the use of hardware protection is reduced. The high cost of the firewall. To a certain extent, it solves the hidden network security problems in the integrated monitoring network of urban rail transit.

【技术实现步骤摘要】
一种基于IPTABLE的通信控制器的防火墙实现方法
本专利技术涉及一种基于网络安全
，尤其是IPTABLE的通信控制器的防火墙实现方法。
技术介绍
为了响应国家号召，积极建设信息安全网络，越来越多的轨道公司开始提倡在城市轨道交通网络建设中增加网络安全的策略，特别是综合监控网络(ISCS)。防火墙作为实现网络安全的基础设施，可以起到屏蔽外网保护内部网的目的。防火墙既可以用硬件实现，也可以用软件实现。硬件实现网络数据处理速度快、安全可靠性高、费用较贵，网络实现的复杂性也较大；而软件实现则相对价格较低，同时便于版本升级和维护，通信控制器作为综合自动化监控系统的重要组成部分，已经在轨道交通行业中承担重要的通信角色。基于电网调度的SCADA系统中，就是用的是基于通信控制器设备进行的信息采集和处理。但是电网调度中的网络加密是基于网络加密机实现的网络加密。其成本费用远远高于地铁行业的承担费用。因此开发一款可以屏蔽内部不同系统网络，根据要求实现服务和端口访问，实现预防网络攻击和病毒传播的安全策略，减少分布式车站单独使用硬件防火墙的超额费用，降低建设成本，适用于轨道交通行业的信息安全通信控制器设备是行之有效的措施。
技术实现思路
本专利技术的研究的目的是综合监控网络边界安全，针对轨道交通综合监控网络使用单独的防火墙成本高，并且专用防火墙在ISCS分布式网络中布置困难等问题，提出了一种在通信控制器上增加综合监控网络防火墙的方案。通过增加通信控制器的网卡，将现场多个专业隔离成多个子网使用防火墙的多端口隔离技术和每个子网的数据单独过滤技术。通过简单的配置启动文件，便可以实现网络要求的防护功能。为达到上述目的，本专利技术可采用如下技术方案：一种基于IPTABLE的通信控制器的防火墙实现方法，包括以下步骤：(1)通过具有数个以太网口的通信管理机对接数个通信控制器，且以每个车站的子专业为VLAN对接通信控制器的每一个网口；通信控制器网口的数量与以太网口的数量相同且一一对应；(2)通过LINUX内核裁剪，从底层删除或者禁止通信控制器不使用的服务；或者从底层删除或者禁止通信控制器不使用的端口；(3)根据IPTABLE配置规则，根据每个子专业的功能要求，优化通信控制器对应的每个以太网口的服务配置，通过地址过滤，地址转换，连接追踪限制每个VLAN网络下每个功能的使用。进一步的，在所述步骤(3)中,根据网络访问控制的原则，设置网络集合：NET(i)＝{IP[i],Server{1,2,3...n}},其中i＝1,2,...8；NET为通信控制器的网口，Server为通信管理机的服务集合；每个通信控制器的网口IP进行不同服务Server{1,2,3...n}的访问或者被访问；利用每个通信控制器的网口实现不同的VLAN访问控制；形成如下的网络集合：NET(i)＝{IP[i],Server{j}}，其中i＝1,2,...8；j为server{1,2,3...n}中的一个服务，根据每个通信控制器的网口对应的网卡作用将网络通过硬件实现网段隔离使不同网络之间不能直接实现数据交互和访问。进一步的，在所述步骤(2)中，包括以下处理过程：通信控制器具备通信设备所有的网络服务和被服务功能，服务集合为Server{1,2,3...n}，根据通信控制器在监控网络中的功能要求，裁剪系统选择需要的服务和被服务功能而将服务集合缩减为Server{1,2,3...m}，1≤m≤n；避免多余的服务应用于系统中。进一步的，在所述步骤(3)中，包括以下处理过程：(3.1)禁止通信控制系统接受所有的服务，NET(i)＝{IP[i],Server{0}}；(3.2)根据每个网络的功能要求，按照防火墙的过滤原则，开放IPTABLE的的一对一过滤，将IP[i]绑定服务功能server{j}。进一步的，所述通信管理机的以太网口设置为8个。有益效果：本专利技术将原始通信管理机设备硬件软件根据安全要求进行研究，通信控制器的原有功能不变，通过简单的配置每个网卡的IPTABLE和启动文件，实现通信控制器的防火墙功能，不需要额外的施工和设计，是网络规划更清晰简单，减少多于的交换机等通信设备造价低、施工相对简单、维护更为容易。附图说明图1是本专利技术隔离网络和服务工作原理图。具体实施方式下面结合附图对本专利技术作进一步描述。以下实施案例仅用于更加清楚地说明本专利技术的技术方案，而不能以此来限制本专利技术的保护范围。城市轨道交通监控自动化网络是将地铁里面所有的系统网络进行集成和互联进行数据融合，为解决不同系统网络设备的互联与集成以及通讯方式和网络协议的多样化非标准问题，一般通过通信控制器简化实施过程实现协议转化数据转发等，可以提高系统的性能，增加系统的稳定性，缩缩短项目工期，节约实施成本。此类方案使用在现有的大部分地铁综合监控网络中图1是本专利技术隔离网络和服务工作原理图，将新型设备配置通用的处理器MPC8377，32M的Flash和512M的RAM为样机安装在项目的网络机柜内，本专利技术提供的防火墙的实现方法包括以下步骤：(1)通过具有数个以太网口的通信管理机对接数个通信控制器，且以每个车站的子专业为VLAN对接通信控制器的每一个网口；通信控制器网口的数量与以太网口的数量相同且一一对应；在本实施方式中，将8个网卡根据要求设置为8个不同的IP对应的网络，分别连接不同的网络服务器或者通信设备。(2)通过LINUX内核裁剪，从底层删除或者禁止通信控制器不使用的服务；或者从底层删除或者禁止通信控制器不使用的端口；以避免网络攻击或者网络病毒使用备用端口进行操作。在该步骤中，通信控制器具备通信设备所有的网络服务和被服务功能，服务集合为Server{1,2,3...n}，根据通信控制器在监控网络中的功能要求，裁剪系统选择需要的服务和被服务功能而将服务集合缩减为Server{1,2,3...m}，1≤m≤n；避免多余的服务应用于系统中。(3)根据IPTABLE配置规则，根据每个子专业的功能要求，优化通信控制器对应的每个以太网口的服务配置，通过地址过滤，地址转换，连接追踪限制每个VLAN网络下每个功能的使用。在该步骤中，根据网络访问控制的原则，设置网络集合：NET(i)＝{IP[i],Server{1,2,3...n}},其中i＝1,2,...8；NET为通信控制器的网口，Server为通信管理机的服务集合；每个通信控制器的网口IP进行不同服务Server{1,2,3...n}的访问或者被访问；利用每个通信控制器的网口实现不同的VLAN访问控制；形成如下的网络集合：NET(i)＝{IP[i],Server{j}}，其中i＝1,2,...8；j为server{1,2,3...n}中的一个服务，根据每个通信控制器的网口对应的网卡作用将网络通过硬件实现网段隔离使不同网络之间不能直接实现数据交互和访问。并且，该步骤中，根据防火墙的基本实现原则；原则(1):禁止通信控制系统接受所有的服务，NET(i)＝{IP[i],Server{0}}。原则(2)根据每个网络的功能要求，按照防火墙的过滤原则，开放IPTABLE的的一对一过滤，将IP[i]绑定服务功能server{j}。然后，根据连接的设备或者服务，配置通过IPTABLE配置每个网卡的服务和地址列表，本文档来自技高网...

【技术保护点】
1.一种基于IPTABLE的通信控制器的防火墙实现方法，其特征在于，包括以下步骤：(1)通过具有数个以太网口的通信管理机对接数个通信控制器，且以每个车站的子专业为VLAN对接通信控制器的每一个网口；通信控制器网口的数量与以太网口的数量相同且一一对应；(2)通过LINUX内核裁剪，从底层删除或者禁止通信控制器不使用的服务；或者从底层删除或者禁止通信控制器不使用的端口；(3)根据IPTABLE配置规则，根据每个子专业的功能要求，优化通信控制器对应的每个以太网口的服务配置，通过地址过滤，地址转换，连接追踪限制每个VLAN网络下每个功能的使用。

【技术特征摘要】
1.一种基于IPTABLE的通信控制器的防火墙实现方法，其特征在于，包括以下步骤：(1)通过具有数个以太网口的通信管理机对接数个通信控制器，且以每个车站的子专业为VLAN对接通信控制器的每一个网口；通信控制器网口的数量与以太网口的数量相同且一一对应；(2)通过LINUX内核裁剪，从底层删除或者禁止通信控制器不使用的服务；或者从底层删除或者禁止通信控制器不使用的端口；(3)根据IPTABLE配置规则，根据每个子专业的功能要求，优化通信控制器对应的每个以太网口的服务配置，通过地址过滤，地址转换，连接追踪限制每个VLAN网络下每个功能的使用。2.根据权利要求1所述的基于IPTABLE的通信控制器的防火墙实现方法，其特征在于：在所述步骤(3)中,根据网络访问控制的原则，设置网络集合：NET(i)＝{IP[i],Server{1,2,3...n}},其中i＝1,2,...8；NET为通信控制器的网口，Server为通信管理机的服务集合；每个通信控制器的网口IP进行不同服务Server{1,2,3...n}的访问或者被访问；利用每个通信控制器的网口实现不同的VLAN访问控制；形成如下的网络集合：NET(i)＝{IP[i],Server{j}}，...

【专利技术属性】
技术研发人员：朱中波，张宁，张伟峰，张昆，朱微维，
申请(专利权)人：国电南瑞科技股份有限公司，
类型：发明
国别省市：江苏,32