氣象數據庫系統HTTP信息網絡安全分析與實現

王康

摘 要：航空業的快速增長，對氣象保障工作提出了更高的要求，為了能夠向用戶提供更加全面、準確、及時的氣象產品和資料，全面提升氣象服務水平，本文以山東空管分局氣象信息服務網絡為例，對航站氣象網絡的信息安全管理和風險控制進行了現狀分析，并根據實際情況提出了能確保信息安全的網絡改造設計方案，給出了一些關鍵網絡設備參數配置的實施記錄。

關鍵詞：氣象信息；網絡安全；網絡配置；

一、現狀分析

現階段，山東空管分局用于提供氣象信息服務的網絡結構大致如圖1所示。圖中虛線框部分分屬不同的網段。

從圖1展示的結構可以看出，外場單位通過路由設備接入或直接接入氣象傳真廣播業務網中，內外網之間沒有任何屏蔽，這時，如果外界人員通過網絡對氣象內部網絡進行破壞性的攻擊，或者終端感染病毒，很可能因為缺乏有效地安全防范機制造成某個系統運行的不正常，甚至整個網絡的癱瘓，在網絡信息安全工作受到高度重視的空管部門，這樣的事情是不希望發生的。

二、方案設計及可行性分析

民航山東空管分局在氣象數據庫系統建設期間，充分利用目前網絡發展提供的便利，將內部用戶進行分類，并劃分為不同的VLAN，隔離廣播域，使處于同一沖突域的用戶分離開來，一旦內部某個網絡終端感染病毒或木馬，其他終端被感染的可能性將大大降低，同時也降低了網絡運行風險。

圖1中交換機A氣象局域網用戶所處網段為192.x.x.0，氣象數據庫系統所分配的網段為172.x.x.0，兩個網段之間有各自的路由器對外通信，但兩個網段未實現通信，氣象數據庫系統在實施時，已考慮對外安全通信需要，安裝了PIX防火墻，經過分析討論，以下兩種方案能實現內外網用戶引接氣象數據庫系統HTTP信息的需求：

1.針對可信任等級用戶，結合目前網絡分配現狀，如果重新分配為氣象數據庫系統所在的172.x.x.0網段，勢必會對目前已有的網絡服務（氣象局引接的多普勒雷達資料、MICAPS系統）產生影響，因此，從硬件成本、實施時間成本和對業務運行的影響程度上考慮，加裝一臺路由器即可實現內網不同網段之間的通信，同時路由器上的訪問控制列表不但可以起到控制網絡流量、流向的作用，而且在很大程度上起到保護網絡設備、服務器的關鍵作用，是保護內網安全的有效手段。

2.針對外場單位，在網絡中添加網絡防火墻，防火墻為內部數據庫服務器映射分配一個外部的網絡地址，內部數據服務器通過這個地址為外網終端提供服務。

三、實施記錄

根據以上方案分析，實施后的網絡結構圖如圖2所示。

1.針對可信任等級用戶，即內網用戶1，主要為氣象局域網用戶（管制人員等），加裝一臺具有防火墻功能的路由器A，選擇路由器型號為Quidway AR 28-31，開啟防火墻功能，并設置高級訪問控制列表，只允許內網用戶1通過設定端口訪問氣象數據庫系統提供的HTTP服務，而不允許兩個網絡互相訪問。路由器A的相關配置如下：

//配置訪問控制列表

[Quidway]firewall enable //啟用防火墻

[Quidway]firewall default deny //配置防火墻缺省操作為deny

[Quidway]acl number xxxx //定義ACL 高級訪問控制列表

[Quidway-acl-adv-xxxx]rule 1 permit tcp destination 172.xx.xx.0 0.0.0.255 destination-port eq nnnn（設定的端口號，要求與ZSJNAPP服務器提供的HTTP服務端口號一致）

[Quitway-ethernet]firewall packet-filter xxxx inbound //將規則應用到相應端口上

2.針對內網用戶2，即直接訪問用戶，主要為預報和設備維護人員，在氣象數據庫系統交換機B上劃分不同的VLAN，根據不同使用功能將內網用戶2分離開，減少廣播風暴，同時設置單臂路由，實現不同VLAN之間的通信并設置訪問控制列表。

3.針對外場單位，利用氣象數據庫系統提供的PIX防火墻對外提供服務，防范外網用戶對氣象數據庫系統的非安全訪問操作，通過配置防火墻將數據庫服務器映射為相應的外網地址對外提供服務，防火墻的主要配置如下：

//配置內外端口的IP地址

ip address inside 172.xx.xx.1 255.255.255.0

ip address outside 172.xx.yy.254 255.255.255.0

//配置靜態IP地址對映，將內網服務器一對一映射為外網服務器

static（inside，outside）172.xx.yy.3 172.xx.xx.3 netmask 255.255.255.255

//設置某些控制選項：

access-list 100 permit icmp any any

access-list 100 permit tcp host 172.xx.yy.zz host 172.xx.yy.3 eq 8888

//將規則應用到相應端口

access-group 100 in interface outside

四、結語

民航數據庫系統作為航空氣象服務及飛行安全保障的重要設施之一，在日常的飛行安全保障中發揮了重要的作用。

參考文獻

[1] 李集明，王國復.氣象數據庫系統總體設計綜述[J].氣象科技.2007（S1）.