- 相關推薦
淺析TDCS/CTC系統中心網絡防火墻的設置論文
1 防火墻在系統中心網絡的2種接入模式
由于TDCS/CTC系統屬于行車指揮設備,考慮到其安全性,都采用雙套設備,其中防火墻每2臺屬于1套,故一共設置4臺防火墻。其功能主要是保護內部網絡免受外部網絡的攻擊、惡性訪問及病毒傳播。防火墻一般設置在路由器和交換機之間。2種接入模式的優缺點如下。
1.1 系統中心防火墻路由模式
路由模式工作數據包轉發過程中尋址基于IP地址,而選路是通過路由選擇協議計算并選擇數據包轉發的最佳路徑。故如圖1所示TDCS/CTC系統調度中心網絡中的路由器、防火墻及交換機必須單獨形成一個路由選擇協議區域,以供完成數據包轉發及防火墻訪問控制和數據包過濾等工作。
路由選擇協議是數據包轉發計算并選擇最佳路徑的協議,一般常見的有RIP、OSPF、IGRP及EIGRP等,其中EIGRP協議屬于CISCO公司的私有協議,只有該公司生產的設備支持該協議。根據路由選擇協議是數據包轉發計算并選擇最佳路徑的協議,一般常見的有RIP、OSPF、IGRP及EIGRP等,其中EIGRP協議屬于CISCO公司的私有協議,只有該公司生產的設備支持該協議。根據TDCS/CTC中心網絡構架的特點及設備選型等多方面因素,路由模式中選用OSPF協議。如圖1中路由器、防火墻及交換機之間建立一個OSPF區域,專門為數據包轉發及防火墻的工作服務,而路由器連接的外部網絡及交換機連接的內部網絡所采用的路由選擇協議對防火墻來說均不考慮。但為了能夠保證外部網絡與內部網絡的正常數據傳遞,需要在路由器及交換機上,將外部及內部網絡的其他路由選擇協議區域與該OSPF區域選擇性的聯通(即路由選擇協議區域間的雙方向路由重發布)。
1.2 系統中心防火墻透明橋接模式。
透明橋接模式之所以“透明”,是由于防火墻以此種模式連接在交換機與路由器之間后,從路由器和交換機的角度“看”都可以認為此防火墻是“瞧不見”的。這主要是因為基于OSI參考模型的第二層(數據鏈路層),在數據包轉發過程中使用MAC地址作出轉發決定,這樣就等于位于一個單獨的邏輯地址空間內,也不作為數據包的源和目的地,連接起來的網段好像在一條透明的管道中一樣。故如圖2所示,TDCS/CTC系統調度中心網絡中的路由器、防火墻及交換機不必單獨形成一個路由選擇協議區域,因此減少了路由器和交換機為不同路由選擇協議區域間交互而進行的大量計算。
2 采用透明橋接模式的優勢
2.1 路由模式存在的幾個缺陷
1,網絡瓶頸問題。在路由模式中,為了保證每臺防火墻都能得到路由器中完整的路由表,故必須在路由器與防火墻之間增加2臺小型交換機,根據圖1中的結構能夠看出這2臺小型交換機成為整個系統數據傳輸過程中的瓶頸,如果發生故障影響也比較大。
2 結構過于復雜導致維護工作難度加大。在路由模式中,為了保證系統的安全性要求就需要提供大量的冗余路徑,通過圖1可以看出,結構相當復雜,這樣給日常的維護工作及故障處理增加了很大的難度。
2.2 透明橋接模式的優勢
1 不存在網絡瓶頸問題。如前所述,防火墻不需要像路由模式那樣為了保證路由更新及路由表的完整增加小型交換機。從圖2可以看出透明橋接模式并不存在瓶頸問題。
2 結構相對簡單,便于維護。如圖2所示,根據透明橋接模式工作原理所形成的拓撲結構明顯比路由模式,極大地方便了維護人員的日常維護及故障排查。
3 結束語
目前,計算機網絡技術已在我國鐵路系統中廣泛應用,帶來的網絡安全問題也日益明顯。隨著計算機和通信技術的發展,如何不斷改進和完善網絡的安全方案也將成為我們日后研究的方向之一。
參考文獻
[1]姜全生,王彬,侯麗萍,馬文坤,計算機網絡技術應用[M],北京:清華大學出版社,2010.9
[2]馮登國,網絡安全原理與技術[M],北京:科技出版社,2007,9
[3]閻慧,王偉,防火墻原理與技術[M],北京:機械工業出版社,2004,4
【淺析TDCS/CTC系統中心網絡防火墻的設置論文】相關文章:
防火墻網絡工程論文08-18
淺析網絡招生錄取系統的設計與實現10-07
淺析網絡工程專業安全方向的課程設置09-04
淺析物流倉儲管理系統的設計與實現論文07-07
網絡應用系統下的網絡工程論文08-16
淺析去經典化的網絡寫作的相關論文10-27
淺析網絡言論自由的限度論文09-06
網絡應用系統教學網絡工程論文05-17
淺析工程網絡計劃中的資源優化論文07-27
基于Linux系統的包過濾防火墻10-26