淺析TDCS/CTC系統中心網(wǎng)絡(luò )防火墻的設置論文

　　1 防火墻在系統中心網(wǎng)絡(luò )的2種接入模式

　　由于TDCS/CTC系統屬于行車(chē)指揮設備，考慮到其安全性，都采用雙套設備，其中防火墻每2臺屬于1套，故一共設置4臺防火墻。其功能主要是保護內部網(wǎng)絡(luò )免受外部網(wǎng)絡(luò )的攻擊、惡性訪(fǎng)問(wèn)及病毒傳播。防火墻一般設置在路由器和交換機之間。2種接入模式的優(yōu)缺點(diǎn)如下。

　　1.1 系統中心防火墻路由模式

　　路由模式工作數據包轉發(fā)過(guò)程中尋址基于IP地址，而選路是通過(guò)路由選擇協(xié)議計算并選擇數據包轉發(fā)的最佳路徑。故如圖1所示TDCS/CTC系統調度中心網(wǎng)絡(luò )中的路由器、防火墻及交換機必須單獨形成一個(gè)路由選擇協(xié)議區域，以供完成數據包轉發(fā)及防火墻訪(fǎng)問(wèn)控制和數據包過(guò)濾等工作。

　　路由選擇協(xié)議是數據包轉發(fā)計算并選擇最佳路徑的協(xié)議，一般常見(jiàn)的有RIP、OSPF、IGRP及EIGRP等，其中EIGRP協(xié)議屬于CISCO公司的私有協(xié)議，只有該公司生產(chǎn)的設備支持該協(xié)議。根據路由選擇協(xié)議是數據包轉發(fā)計算并選擇最佳路徑的協(xié)議，一般常見(jiàn)的有RIP、OSPF、IGRP及EIGRP等，其中EIGRP協(xié)議屬于CISCO公司的私有協(xié)議，只有該公司生產(chǎn)的設備支持該協(xié)議。根據TDCS/CTC中心網(wǎng)絡(luò )構架的特點(diǎn)及設備選型等多方面因素，路由模式中選用OSPF協(xié)議。如圖1中路由器、防火墻及交換機之間建立一個(gè)OSPF區域，專(zhuān)門(mén)為數據包轉發(fā)及防火墻的工作服務(wù)，而路由器連接的外部網(wǎng)絡(luò )及交換機連接的內部網(wǎng)絡(luò )所采用的路由選擇協(xié)議對防火墻來(lái)說(shuō)均不考慮。但為了能夠保證外部網(wǎng)絡(luò )與內部網(wǎng)絡(luò )的正常數據傳遞，需要在路由器及交換機上，將外部及內部網(wǎng)絡(luò )的其他路由選擇協(xié)議區域與該OSPF區域選擇性的聯(lián)通（即路由選擇協(xié)議區域間的雙方向路由重發(fā)布）。

　　1.2 系統中心防火墻透明橋接模式。

　　透明橋接模式之所以“透明”，是由于防火墻以此種模式連接在交換機與路由器之間后，從路由器和交換機的角度“看”都可以認為此防火墻是“瞧不見(jiàn)”的。這主要是因為基于OSI參考模型的第二層（數據鏈路層），在數據包轉發(fā)過(guò)程中使用MAC地址作出轉發(fā)決定，這樣就等于位于一個(gè)單獨的邏輯地址空間內，也不作為數據包的源和目的地，連接起來(lái)的網(wǎng)段好像在一條透明的管道中一樣。故如圖2所示，TDCS/CTC系統調度中心網(wǎng)絡(luò )中的路由器、防火墻及交換機不必單獨形成一個(gè)路由選擇協(xié)議區域，因此減少了路由器和交換機為不同路由選擇協(xié)議區域間交互而進(jìn)行的大量計算。

　　2 采用透明橋接模式的優(yōu)勢

　　2.1 路由模式存在的幾個(gè)缺陷

　　1，網(wǎng)絡(luò )瓶頸問(wèn)題。在路由模式中，為了保證每臺防火墻都能得到路由器中完整的路由表，故必須在路由器與防火墻之間增加2臺小型交換機，根據圖1中的結構能夠看出這2臺小型交換機成為整個(gè)系統數據傳輸過(guò)程中的瓶頸，如果發(fā)生故障影響也比較大。

　　2 結構過(guò)于復雜導致維護工作難度加大。在路由模式中，為了保證系統的安全性要求就需要提供大量的冗余路徑，通過(guò)圖1可以看出，結構相當復雜，這樣給日常的維護工作及故障處理增加了很大的難度。

　　2.2 透明橋接模式的優(yōu)勢

　　1 不存在網(wǎng)絡(luò )瓶頸問(wèn)題。如前所述，防火墻不需要像路由模式那樣為了保證路由更新及路由表的完整增加小型交換機。從圖2可以看出透明橋接模式并不存在瓶頸問(wèn)題。

　　2 結構相對簡(jiǎn)單，便于維護。如圖2所示，根據透明橋接模式工作原理所形成的拓撲結構明顯比路由模式，極大地方便了維護人員的日常維護及故障排查。

　　3 結束語(yǔ)

　　目前，計算機網(wǎng)絡(luò )技術(shù)已在我國鐵路系統中廣泛應用，帶來(lái)的網(wǎng)絡(luò )安全問(wèn)題也日益明顯。隨著(zhù)計算機和通信技術(shù)的發(fā)展，如何不斷改進(jìn)和完善網(wǎng)絡(luò )的安全方案也將成為我們日后研究的方向之一。

　　參考文獻

　　[1]姜全生，王彬，侯麗萍，馬文坤，計算機網(wǎng)絡(luò )技術(shù)應用[M]，北京：清華大學(xué)出版社，2010.9

　　[2]馮登國，網(wǎng)絡(luò )安全原理與技術(shù)[M]，北京：科技出版社，2007，9

　　[3]閻慧，王偉，防火墻原理與技術(shù)[M]，北京：機械工業(yè)出版社，2004，4

【淺析TDCS/CTC系統中心網(wǎng)絡(luò )防火墻的設置論文】相關(guān)文章：

防火墻網(wǎng)絡(luò )工程論文08-18

淺析網(wǎng)絡(luò )招生錄取系統的設計與實(shí)現10-07

淺析網(wǎng)絡(luò )工程專(zhuān)業(yè)安全方向的課程設置09-04

淺析物流倉儲管理系統的設計與實(shí)現論文07-07

網(wǎng)絡(luò )應用系統下的網(wǎng)絡(luò )工程論文08-16

淺析去經(jīng)典化的網(wǎng)絡(luò )寫(xiě)作的相關(guān)論文10-27

淺析網(wǎng)絡(luò )言論自由的限度論文09-06

網(wǎng)絡(luò )應用系統教學(xué)網(wǎng)絡(luò )工程論文05-17

淺析工程網(wǎng)絡(luò )計劃中的資源優(yōu)化論文07-27

基于Linux系統的包過(guò)濾防火墻10-26