(民航海南空管分局,海南省海口市美兰机场内航管楼 海南 海口571126)
摘 要:本文首先介绍FA36网络所采用设备情况,及设备基本参数及性能分析。然后对中南空管系统FA36网络结构及网络安全状况进行分析,通过分析网络安全防护性能的欠缺,提出有针对性的安全防护技术,并对各类技术特点进行简要概述,重点结合不同业务类型制定相应技术手段,为提高中南空管系统FA36网络安全性提出有效的解决方案。
关键词:FA36网络;信息安全; 研究; 技术应用;
0 引言
FA36网络传输主要设备是杭州华三通信技术有限公司开发的新一代智能业务传输接入设备——MSR50系列路由器,该系列路由器是面向企业核心及行业、运营商网络,满足高性能、高可靠性的多业务传输接入需求,秉承“业务与性能并重、业务平滑演进”的设计理念,面向全业务、开放的业务模型而开发设计。[1]
1 FA36网络设备介绍
中南空管系统FA36网络建设采购的设备分为三种:FA36-I系列(AR-28系列后升级为MSR20系列)主要用于各省局本地FA36网的接入设备;FA36-II系列(AR46-80后升级为MSR50-40/60/80系列)主要用于各省局中南FA36网络的接入设备;Quidway®SR 6608路由器,用作核心层的接入与转发设备。
该设备在长期的使用过程中表现出较好的稳定性,FA36网络是以成熟通用的IP交换技术为核心,能够实现对FR、HDLC、IP及语音等业务的良好支持。具有丰富的通用板卡资源,可以提供雷达广播、报文传送、VHF接入等功能。
2 中南FA36网络结构及安全性分析
FA36中南接入网原则上采用星状网结构,以广州区域管制中心为核心节点,核心层采用设备为SR6608路由器,在广州本地采用II型设备作为汇接层。各空管分局(航站)与其地方雷达站之间的网络连接,由各空管分局(航站)自行组建本地FA36接入网络,并与广州核心节点之间采用电信运营商的SDH 2M、民航ATM网和民航卫星网等作为传输干线相互连接,详见图1所示。
FA36网络为星形结构,各地区节点直连核心层设备,虽全部租用运营商专线,可以防止非内在原因的信息泄露或网络攻击,但随着FA36网络业务重要性日趋增强,仅通过网络隔离的方式已无法满足该网络的安全需求,存在较大安全隐患,如何在现有网络基础上通过技术手段增强网络信息安全性,成为了首要考虑的问题,下面将利用网络信息安全技术增强网络安全性展开详细论述。
图1:FA36网络结构拓扑图
3 FA36网络安全技术应用
为提高FA36网络安全性,我们可以采用提高准入控制,配置访问控制列表及路由策略等多种技术手段增强网络安全性,下面将针对各类技术特点进行详细分析,并针对不同业务提出相应解决方案。
3.1用户登录控制
为了限制不同用户对设备的访问权限,防止非法用户随意更改配置,FA36系统对用户进行了分级管理,不同级别的用户登陆后,只能使用等于或低于自己级别的命令。命令级别由低到高共分为:访问级、监控级、系统级和管理级。级别号分别为:0、1、2、3。
用户登录使用SSH的publickey认证方式时,只需输入用户名,不需要输入密码。如果用户登录时使用none或是password的认证方式时,不需要用户名,配置方式如下:
<H3C> System-view
[H3C] user-interface vty 0 2 (2为可同时连接的最大数目,建议不超过2)
[H3C-ui-vty0-2] authentication-mode password
[H3C-ui-vty0-2] set authentication password ### (设置密码)
[H3C-ui-vty0-2] user privilege level level (设置用户级别)
SSH配置方法类似,此处不再复述
Telenet 用户及console用户建议配置级别为1,需要配置为系统级或是管理级用户,需使用超级用户,配置时采用super密码和HWTACAS互为备份模式,提高安全性,具体配置步骤如下
<H3C> System-view
[H3C] user-interface vty 0
[H3C-ui-vty0] super authentication-mode scheme super-password
[H3C-ui-vty0] super password lever 2 cipher ****** (cipher验证方式,为加密验证,有助于提高安全性)
3.2 Web监控功能安全设置
FA36系统功能配置有WEB网管系统,网管用户分级管理,由低到高为访问、监控、配置、管理用户,非核心节点,应将该功能关闭,具体配置如下:
<H3C> System-view
[H3C] undo http enable
3.3 地址前缀列表
在针对FA36网络业务种类多样的特点,可以根据不同业务使用各种过滤器来进行信息过滤,常用过滤器包括访问控制列表(ACL)、地址前缀列表、AS路径访问列表、团体属性列表、拓展团体属性列表、路由策略等几种过滤器。根据空管业务特点及现有网络结构,本文将重点探究访问控制列表(ACL)、地址前缀列表及路由策略的应用。
使用地址前缀列表过滤器路由信息时,其匹配对象为路由信息的目的地址;而且用户可以指定网管选项,指明只接收某些路由器发布的路由信息。地址前缀列表由前缀列表名标识,每个前缀列表可以包含多个表项,每个表项可以独立指定一个网络前缀形式的匹配范围,并用一个索引号来标识,索引号指明了在地址前缀列表中进行匹配检查的顺序。每个表之间是“或”的关系,在匹配的过程中,路由器按升序依次检查由索引号标识的各个表项,只要有一项满足条件,就意味着通过该地址前缀列表的过滤,不再进入下一个表项的匹配测试[2]。
地址前缀列表的表达式如下:
Ip ip-prefix ip-prefix-name index index-number deny/permit ip-address mask-lengthgreater-equal min-mask-length less-qual max-mask-length
index-number:前缀列表优先级,取值范围1-65535,越小越先被匹配。
ip-address mask-length:允许进入测试表项的前缀和前缀长度,mask-length可以用0-32子网掩码表示,如果指定为0.0.0.0,则只匹配默认路由。
greater-equal :含义为大于或等于。
less-qual:表示小于或等于。
例:针对空管业务,每个接入路由器接口只连接固定终端可以使用前缀列表进行信息过滤。假设某终端地址为188.6.21.1,前缀列表配置如下:
<H3C> System-view
[H3C] ip ip-prefix abc index 10 permit 188.6.21.1 0
3.4 访问控制列表(ACL)
访问控制列表没有前缀列表灵活,但比前缀列表功能强大的多,其最常见的用途就是将无用分组过滤掉以实现安全策略,类似于一个if-then语句,如果满足给定的条件,就采取给定的措施,不满足条件则进入下一条语句。创建访问控制列表后,就可将其应用与任何借口的入站和出战数据流,路由器对沿着指定方向穿越该接口的每个分组进行分析,并采取相应措施。分组进行比较时,默认按顺序不断比较(也可以自定义顺序),直到满足条件为止。每个访问控制列表末尾都有一条隐式deny语句,这意味着如果不满足任何可以通过的条件分组将被丢弃。
访问控制列表分为基本访问控制列表、高级访问控制列表和自定义访问控制列表。在应用时应指定使用访问控制列表的作用方向,通过制定数据流方向,可以在同一个接口中用于入站或出站数据流。ACL可以有效阻止IP地址欺骗,拒绝服务(Dos)TCP SYN攻击、Dos TCP SYN攻击、Dos smurf攻击、拒绝/过滤ICMP消息等[3]
3.5 路由策略
路由策略是为了改变网络流量所经过的路径而修改路由属性的技术。路由策略主要应用在路由信息发布、接收、引入路由属性修改等几个方面,路由策略不仅可以匹配路由信息的某些属性,还可以在条件满足时改变路由信息的属性。一个路由策略由多个节点(node)组成,每个节点是匹配检查的一个单元,在匹配过程中,系统按节点序号升序依次检查各节点。不同节点间是“或”的关系,如果通过了其中一个节点,意味着通过该路由策略,不再对其他节点进行匹配。
每个节点由一组if-mach、apply、continue字句组成。
if-macth:定义匹配规则,同一节点中if-match是“与”关系,只有通过该节点所有if-match匹配的条件,才能通过该节点测试。
apply:对通过节点匹配的路由信息进行属性设置。
continue:当通过该节点测试时,指定进行下一个执行节点,进行组合筛选,是可选项,可以增强路由策略灵活性。
路由策略和控制列表(ACL)及前缀列表常常搭配使用。具体配置如下:
<H3C> system-view
[H3C] route-policy route-policy-name { permit | deny } node node-number
permit指定节点的匹配模式为允许模式。当路由信息通过该节点的过滤后,将执行该节点的apply子句,不进入下一个节点的测试;如果路由信息没有通过该节点过滤,将进入下一个节点继续测试。
deny指定节点的匹配模式为拒绝模式(此模式下apply子句不会被执行)。当路由项满足该节点的所有if-match子句时,将被拒绝通过该节点,不进入下一个节点的测试;如果路由项不满足该节点的if-match子句,将进入下一个节点继续测试。
如果路由策略中定义了一个以上的节点,则各节点中至少应该有一个节点的匹配模式是permit。当路由策略用于路由信息过滤时,如果某路由信息没有通过任一节点,则认为该路由信息没有通过该路由策略。如果路由策略的所有节点都是deny模式,则没有路由信息能通过该路由策略。
node node-number:取值范围0-65535,node-number小的节点优先执行
<H3C>system-view
[H3C] if-match acl acl-number
[H3C] if-match ip-prefix ip-prefix-name
[H3C] route-policy route-policy-name { permit | deny } node node-number
对于同一个Route-policy节点,在匹配的过程中,各个if-match子句间是“与”的关系,即路由信息必须同时满足所有匹配条件,才可以执行apply子句的动作。在一个节点中,可以没有if-math子句,也可以有多个if-match子句。当不指定if-match子句时,如果该节点的匹配模式为允许模式,则所有路由信息都会通过该节点的过滤;如果该节点的匹配模式为拒绝模式,则所有路由信息都会被拒绝。路由策略应使用非VPN的ACL进行路由过滤。
4 结束语
在网络安全威胁日益严重的当下,任何一个小的安全漏洞或疏忽,都可能造成严重安全隐患,这不得不迫使相关网络工程师加强关注网络信息安全,防微杜渐利用手段提高系统安全性稳定性。目前中南FA36网络仍存在安全防护等级低,缺乏相应配套技术保障手段,希望能通过本文的研究,为提高网络系统安全性,提供一些有益帮助,不足之处还望同行多多给予指教。
参考文献:
[1]王达主编. H3C路由器配置与管理完全手册(第二版).中国水利水电出版社,2013.6
[2]王达主编.H3C交换机配置与管理完全手册(第二版).中国水利水电出版社,2013.6
[3]Todd Lammle 著 袁国忠译. CCNA学习指南(第7版),2012.3
论文作者:刘畅
论文发表刊物:《科技中国》2016年4期
论文发表时间:2016/6/22
标签:节点论文; 路由论文; 前缀论文; 列表论文; 网络论文; 策略论文; 子句论文; 《科技中国》2016年4期论文;