淺析TDCS/CTC系統(tǒng)中心網絡防火墻的設置論文

時間：2024-09-16 03:43:23 網絡工程畢業(yè)論文我要投稿

相關推薦

　　1 防火墻在系統(tǒng)中心網絡的2種接入模式

淺析TDCS/CTC系統(tǒng)中心網絡防火墻的設置論文

　　由于TDCS/CTC系統(tǒng)屬于行車指揮設備，考慮到其安全性，都采用雙套設備，其中防火墻每2臺屬于1套，故一共設置4臺防火墻。其功能主要是保護內部網絡免受外部網絡的攻擊、惡性訪問及病毒傳播。防火墻一般設置在路由器和交換機之間。2種接入模式的優(yōu)缺點如下。

　　1.1 系統(tǒng)中心防火墻路由模式

　　路由模式工作數(shù)據包轉發(fā)過程中尋址基于IP地址，而選路是通過路由選擇協(xié)議計算并選擇數(shù)據包轉發(fā)的最佳路徑。故如圖1所示TDCS/CTC系統(tǒng)調度中心網絡中的路由器、防火墻及交換機必須單獨形成一個路由選擇協(xié)議區(qū)域，以供完成數(shù)據包轉發(fā)及防火墻訪問控制和數(shù)據包過濾等工作。

　　路由選擇協(xié)議是數(shù)據包轉發(fā)計算并選擇最佳路徑的協(xié)議，一般常見的有RIP、OSPF、IGRP及EIGRP等，其中EIGRP協(xié)議屬于CISCO公司的私有協(xié)議，只有該公司生產的設備支持該協(xié)議。根據路由選擇協(xié)議是數(shù)據包轉發(fā)計算并選擇最佳路徑的協(xié)議，一般常見的有RIP、OSPF、IGRP及EIGRP等，其中EIGRP協(xié)議屬于CISCO公司的私有協(xié)議，只有該公司生產的設備支持該協(xié)議。根據TDCS/CTC中心網絡構架的特點及設備選型等多方面因素，路由模式中選用OSPF協(xié)議。如圖1中路由器、防火墻及交換機之間建立一個OSPF區(qū)域，專門為數(shù)據包轉發(fā)及防火墻的工作服務，而路由器連接的外部網絡及交換機連接的內部網絡所采用的路由選擇協(xié)議對防火墻來說均不考慮。但為了能夠保證外部網絡與內部網絡的正常數(shù)據傳遞，需要在路由器及交換機上，將外部及內部網絡的其他路由選擇協(xié)議區(qū)域與該OSPF區(qū)域選擇性的聯(lián)通（即路由選擇協(xié)議區(qū)域間的雙方向路由重發(fā)布）。

　　1.2 系統(tǒng)中心防火墻透明橋接模式。

　　透明橋接模式之所以“透明”，是由于防火墻以此種模式連接在交換機與路由器之間后，從路由器和交換機的角度“看”都可以認為此防火墻是“瞧不見”的。這主要是因為基于OSI參考模型的第二層（數(shù)據鏈路層），在數(shù)據包轉發(fā)過程中使用MAC地址作出轉發(fā)決定，這樣就等于位于一個單獨的邏輯地址空間內，也不作為數(shù)據包的源和目的地，連接起來的網段好像在一條透明的管道中一樣。故如圖2所示，TDCS/CTC系統(tǒng)調度中心網絡中的路由器、防火墻及交換機不必單獨形成一個路由選擇協(xié)議區(qū)域，因此減少了路由器和交換機為不同路由選擇協(xié)議區(qū)域間交互而進行的大量計算。

　　2 采用透明橋接模式的優(yōu)勢

　　2.1 路由模式存在的幾個缺陷

　　1，網絡瓶頸問題。在路由模式中，為了保證每臺防火墻都能得到路由器中完整的路由表，故必須在路由器與防火墻之間增加2臺小型交換機，根據圖1中的結構能夠看出這2臺小型交換機成為整個系統(tǒng)數(shù)據傳輸過程中的瓶頸，如果發(fā)生故障影響也比較大。

　　2 結構過于復雜導致維護工作難度加大。在路由模式中，為了保證系統(tǒng)的安全性要求就需要提供大量的冗余路徑，通過圖1可以看出，結構相當復雜，這樣給日常的維護工作及故障處理增加了很大的難度。

　　2.2 透明橋接模式的優(yōu)勢

　　1 不存在網絡瓶頸問題。如前所述，防火墻不需要像路由模式那樣為了保證路由更新及路由表的完整增加小型交換機。從圖2可以看出透明橋接模式并不存在瓶頸問題。

　　2 結構相對簡單，便于維護。如圖2所示，根據透明橋接模式工作原理所形成的拓撲結構明顯比路由模式，極大地方便了維護人員的日常維護及故障排查。

　　3 結束語

　　目前，計算機網絡技術已在我國鐵路系統(tǒng)中廣泛應用，帶來的網絡安全問題也日益明顯。隨著計算機和通信技術的發(fā)展，如何不斷改進和完善網絡的安全方案也將成為我們日后研究的方向之一。

　　參考文獻

　　[1]姜全生，王彬，侯麗萍，馬文坤，計算機網絡技術應用[M]，北京：清華大學出版社，2010.9

　　[2]馮登國，網絡安全原理與技術[M]，北京：科技出版社，2007，9