虛擬防火墻在供電公司廣域網(wǎng)絡(luò)架構(gòu)的應(yīng)用

　　電力行業(yè)作為國有大型企業(yè)，業(yè)務(wù)應(yīng)用廣泛，對信息化要求較高。2006年4月29日，國家電網(wǎng)公司提出了在全系統(tǒng)實施“SG186工程”的規(guī)劃。根據(jù)規(guī)劃，“SG186工程”將實現(xiàn)四大目標(biāo)：一是建成“縱向貫通、橫向集成”的一體化企業(yè)級信息集成平臺，實現(xiàn)公司上下信息暢通和數(shù)據(jù)共享；二是建成適應(yīng)公司管理需求的八大業(yè)務(wù)應(yīng)用，提高公司各項業(yè)務(wù)的管理能力；三是建立健全規(guī)范有效的六個信息化保障體系，推動信息化健康、快速、可持續(xù)發(fā)展；四是力爭到“十一五”末，公司的信息化水平達(dá)到國內(nèi)領(lǐng)先、國際先進(jìn)，初步建成數(shù)字化電網(wǎng)、信息化企業(yè)。
　　1　網(wǎng)絡(luò)架構(gòu)現(xiàn)狀及需求
　　當(dāng)前電力行業(yè)網(wǎng)絡(luò)結(jié)構(gòu)分為局域網(wǎng)與廣域網(wǎng)2個部分。其中廣域網(wǎng)包含下屬縣公司、下屬各變電站、下屬股份公司，甚至下屬營業(yè)廳、供電所等信息網(wǎng)的各項業(yè)務(wù)系統(tǒng)。
　　在圖1廣域網(wǎng)網(wǎng)絡(luò)架構(gòu)中，采用MPLSVPN技術(shù)。將當(dāng)前廣域網(wǎng)業(yè)務(wù)劃分為多個VPN業(yè)務(wù)流量，從而從邏輯上隔離個業(yè)務(wù)流量，保障廣域網(wǎng)的安全。其網(wǎng)絡(luò)結(jié)構(gòu)特點如下。
　　(1)完全獨立——廣域網(wǎng)基礎(chǔ)網(wǎng)絡(luò)平臺自成一個完整的網(wǎng)絡(luò)系統(tǒng)平臺，不接受外來路由，不直接與任何局域網(wǎng)進(jìn)行路由交換，從而不會受到其他網(wǎng)絡(luò)的干擾。
　　(2)無用戶的簡單網(wǎng)絡(luò)——這個基礎(chǔ)網(wǎng)絡(luò)中僅存在廣域網(wǎng)組成設(shè)備的互聯(lián)路由信息，不存在0.0.0.0的默認(rèn)路由及任何用戶網(wǎng)段的路由信息。
　　
　　(3)動態(tài)路由協(xié)議——由于項目中的廣域網(wǎng)設(shè)備眾多，且都由市公司集中管理，更適合使用動態(tài)路由協(xié)議組建平臺網(wǎng)絡(luò)，所以蚌埠供電公司廣域網(wǎng)的基層網(wǎng)組建運(yùn)行了OSPF動態(tài)路由協(xié)議。
　　(4)MPLS VPN技術(shù)的使用——在基層網(wǎng)絡(luò)上通過BGP網(wǎng)絡(luò)實現(xiàn)MPLS VPN交換。除基層設(shè)備互聯(lián)路由信息外，廣域網(wǎng)僅傳遞VPN封裝后的數(shù)據(jù)包。通過VPN封裝最終實現(xiàn)不同業(yè)務(wù)數(shù)據(jù)的與基層網(wǎng)絡(luò)的通訊隔離、VPN業(yè)務(wù)之間的相互隔離，然后通過BGP路由協(xié)議為每個VPN業(yè)務(wù)建立獨立的路由表，再由基層網(wǎng)絡(luò)進(jìn)行路由轉(zhuǎn)發(fā)。
　　其各業(yè)務(wù)MPLS VPN流量示意圖如圖2、圖3、圖4、圖5所示。
　　從以上廣域網(wǎng)MPLS VPN流量示意圖，不難看出，雖然廣域網(wǎng)從邏輯上隔離了各業(yè)務(wù)流量。但是對于各業(yè)務(wù)流量出口，缺乏有效的安全手段來保障廣域網(wǎng)與局域網(wǎng)之間的網(wǎng)絡(luò)通信安全。
　　針對以上問題，滁州供電公司將采用虛擬防火墻技術(shù)來解決廣域網(wǎng)信息流量出口安全問題。新技術(shù)需要滿足以下幾點。
　　①保持現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)不變。
　　②隔離當(dāng)前廣域網(wǎng)MPLS VPN流量出口。
　　⑦實現(xiàn)防火墻故障切換。
　　2　多虛擬防火墻架構(gòu)
　　多虛擬防火墻是將，一臺物理防火墻虛擬成多臺防火墻。防火墻可更具業(yè)務(wù)種類，或者VPN劃分。
　　下面我們將著重介紹虛擬防火墻在MFLS VPN廣域網(wǎng)中的應(yīng)用。
　　2.1虛擬防火墻部署
　　針對電力企業(yè)廣域網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)，我們根據(jù)業(yè)務(wù)種類來劃分虛擬防火墻。如圖7。我們將廣域網(wǎng)業(yè)務(wù)分為三類，一類是變電所，縣公司外網(wǎng)；一類是縣公司內(nèi)網(wǎng)；一類是變電所內(nèi)網(wǎng)。
　　2.2Failover
　　
　　Failover是cisco防火墻提供的一種故障切換技術(shù)，當(dāng)防火墻出現(xiàn)故障時，它允許另一臺防火墻迅速取代它在網(wǎng)絡(luò)中的位置，對網(wǎng)絡(luò)進(jìn)行保護(hù)并進(jìn)行數(shù)據(jù)流量的轉(zhuǎn)發(fā)，并且，這種故障切換機(jī)制可以被設(shè)置為基于狀態(tài)的故障切換，可以保證當(dāng)備用設(shè)備接管流量時，TCP連接不會中斷。Cisco防火墻支持Active／Active failover和Active／Standby failover兩種Failover。Activc／Standby failover及支持單模式的防火墻也支持多模式的防火墻，而Active／Activefailover只能用于多模式下的防火墻(它需要將兩個防火墻上互為備份的虛擬防火墻劃如相同的failover組)。
　　Standby的設(shè)備將控制流量通過Failover(故障切換)交由active狀態(tài)的設(shè)備統(tǒng)一處理。如圖8所示。
　　3　虛擬防火墻系統(tǒng)總體設(shè)計
　　虛擬防火墻的配置和使用應(yīng)該堅持三個基本原則：(1)對防火墻環(huán)境設(shè)計來講，首要的就是越簡單越好。設(shè)計越簡單，越不容易出錯，防火墻的安全功能越容易得到保證，管理也越可靠和簡便。(2)單一的防御措施是難以保障系統(tǒng)的安全的，只有采用全面的、多層次的深層防御戰(zhàn)略體系才能實現(xiàn)系統(tǒng)的真正安全。在防火墻環(huán)境中，深層防御戰(zhàn)略體現(xiàn)有二：①多層次的防火墻部署體系，即采用集互聯(lián)網(wǎng)邊界防火墻、部門邊界防火墻和主機(jī)防火墻于一體的層次防御。②將入侵檢測、網(wǎng)絡(luò)加密、病毒查殺等多種安全措施結(jié)合在一起的多層面安全體系。(3)防火墻的一個特點是防外不防內(nèi)，對內(nèi)部威脅要采取其它安全措施，比如入侵檢測、主機(jī)防護(hù)、漏洞掃描、病毒查殺。安全制度和安全管理是防止內(nèi)部威脅的最主要手段。
　　3.1變電所內(nèi)網(wǎng)安全設(shè)計
　　滁州供電公司，廣域網(wǎng)內(nèi)網(wǎng)用戶分為：變電所內(nèi)網(wǎng)、縣公司內(nèi)網(wǎng)2個部分。其中變電所內(nèi)網(wǎng)存在以下幾點問題：(1)網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，應(yīng)用范圍較廣，操作人員水平能力參差不齊，網(wǎng)絡(luò)安全意識不強(qiáng)。PC終端中毒現(xiàn)象是有發(fā)生，易引起整體網(wǎng)絡(luò)遭受病毒攻擊。(2)變電所內(nèi)網(wǎng)用戶，其網(wǎng)絡(luò)出口，直接通過廣域網(wǎng)匯聚設(shè)備，連接到市公司局域網(wǎng)核心6509上。其流量出口無安全保障，及有可能發(fā)生廣域網(wǎng)攻擊局域網(wǎng)的可能，從而導(dǎo)致市公司整個局域網(wǎng)癱瘓，后果不堪設(shè)想。
　　由此可見如何保障變電所內(nèi)網(wǎng)用戶網(wǎng)絡(luò)流量出口安全就顯得十分重要。
　　針對此問題，我們可以在廣域網(wǎng)匯聚設(shè)備上增加2塊FWSM防火墻模塊，結(jié)合虛擬防火墻技術(shù)，將廣域網(wǎng)中變電所內(nèi)網(wǎng)用戶的出口遷移之防火墻上面，從而保障其網(wǎng)絡(luò)出口安全。其網(wǎng)絡(luò)安全設(shè)計圖如圖9所示。
　　以上設(shè)計是，通過2塊虛擬防火墻隔離廣域網(wǎng)信息流量。其中將變電所方向流量作為outside方向流量，將局域網(wǎng)方向流量作為insdie方向流量。其中inside方向作為高安全區(qū)域，outside方向作為低安全區(qū)域。由于inside方向安全等級較高，故此局域網(wǎng)可以訪問廣域網(wǎng)變電所。同時我們可以通過access-list訪問控制列表，來控制廣域網(wǎng)變電所內(nèi)網(wǎng)流量對市局域網(wǎng)的訪問權(quán)限，從而保障了局域網(wǎng)不被廣域網(wǎng)攻擊。
　　3.2縣公司內(nèi)網(wǎng)出口安全設(shè)計
　　滁州縣公司網(wǎng)絡(luò)與2010年完成改造，各縣公司都配置了一臺防火墻來保障縣公司網(wǎng)絡(luò)安全。但是其網(wǎng)絡(luò)出口安全依舊沒有得到保障，就其網(wǎng)絡(luò)結(jié)構(gòu)來說縣公司網(wǎng)絡(luò)直通過廣域網(wǎng)匯聚設(shè)備連接到省公司Ju-niper防火墻上。這樣的網(wǎng)絡(luò)結(jié)構(gòu)看似安全實際上存在以下弊端：
　　juniper性能限制，當(dāng)前滁州供電公司采用的juniper防火墻，最大連接數(shù)為50W，若縣公司內(nèi)網(wǎng)用戶中毒，發(fā)送非法連接到j(luò)u-niper防火墻上，極有可能造成juniper防火墻出現(xiàn)down機(jī)現(xiàn)象。從而導(dǎo)致整個廣域網(wǎng)全面癱瘓，后果不堪設(shè)想。針對這一網(wǎng)絡(luò)安全弊端，我們采用虛擬防火墻部署在縣公司內(nèi)網(wǎng)安全出口，通過限制最大并發(fā)連接數(shù)限制，從而保證廣域網(wǎng)的安全。其安全設(shè)計圖如圖10所示。
　　3.3廣域網(wǎng)外網(wǎng)出口安全設(shè)計
　　針對廣域網(wǎng)外網(wǎng)，我們同樣充分利用了虛擬防火墻技術(shù)，虛擬出2塊外網(wǎng)防火墻，將廣域網(wǎng)外網(wǎng)出口遷移至防火墻模塊上，insdie接口指向外網(wǎng)，從而保證了外網(wǎng)的安全，結(jié)束了長久以來外網(wǎng)無防火墻的歷史。其安全設(shè)計圖如圖11所示。
　　4　結(jié)語
　　網(wǎng)絡(luò)安全總是伴隨著技術(shù)的進(jìn)步而不斷得到提升，虛擬防火墻技術(shù)為滁州供電公司網(wǎng)絡(luò)安全提供了一個全新的理念。文章中描述的虛擬防火墻技術(shù)構(gòu)建的網(wǎng)絡(luò)系統(tǒng)在體現(xiàn)性能更高，可靠性更高，安全性更高，業(yè)務(wù)更豐富的同時，使得網(wǎng)絡(luò)架構(gòu)也變得越來越簡單。
　　虛擬防火墻技術(shù)交傳統(tǒng)防火墻技術(shù)而言，提供了多項顯著優(yōu)勢：(1)部署簡單，成本較低。只使用一塊防火墻可以虛擬出多個防火墻，實現(xiàn)了對各部門的安全保護(hù)，大幅度縮減成本。(2)節(jié)省物理空間，用戶無需為防火墻準(zhǔn)備新的空間來安置。(3)高效性，以廉價成本實現(xiàn)多區(qū)域保