電力保護裝置站控制層網絡的防火墻策略分析

郭威銘

（長園深瑞繼保自動化有限公司，廣東 深圳 518057）

0 引 言

電力保護裝置站控制層網絡的防火墻研究是電力系統二次保護的重要內容，同時關系到電力保護設備安全。通過對網絡安全技術領域的深層次研究，全面落實電力保護裝置站控制層網絡的防火墻策略。信息時代背景下，科學技術不斷創新，基于5G技術的廣泛應用和物聯網發展逐漸成熟，網絡設備發展空間擴大，安全要求更加嚴格。電力保護裝置站作為電力系統二次保護裝置，提高其安全性是電力系統的重要發展任務。目前保護裝置的網絡防御主要包括網絡風暴防御，同時還增加了DDos防御，搭配網絡協議形成較為完善的控制層網絡防護體系。在此基礎上，還需要設置電力網絡防火墻，以此為電力保護裝置站控制層網絡的安全提供雙重防護，保證其運行安全。

1 電力保護裝置站控制層網絡防火墻策略

電力保護裝置站控制層網絡防火墻策略的設計與落實必須基于對電力保護裝置站控制層網絡防火墻的深層次認識，從電力保護裝置角度出發了解其特殊性，在此基礎上梳理網絡防火墻策略具體情況。根據保護裝置的不同，所選擇的操作系統不同，協議棧也會存在差別。網絡安全防護中，防火墻策略主要針對系統運行報文進行處理，屬于抽象的存在，不會因系統本身而受到影響[1]。防火墻策略的實施需要保護裝置的支持，通過操作系統的引導與協議棧發揮防火墻保護作用。圖1為某電力保護裝置站控制層網絡防火墻結構。

圖1 某電力保護裝置站控制層網絡防火墻結構

從抽象角度去分析策略，將其與具體系統區別開，這樣就可以靈活調整策略，確保防護策略統一的同時，又能夠實現保護方式多元化。對于網絡防火墻策略的研究必須準確區分其與以太網通用防火墻之間的差別，以保護裝置網絡為分析對象，在防護應用設計中需分別設計對應的網絡架構，同時還要重視防護方案的制定[2]。對網絡防火墻設置越限訪問功能，合法用戶正常登陸，但是若需要下載設備信息或資料等必須通過越限訪問，以此避免設備信息被竊取或被非法利用，減少系統損失。與此同時，還能從根本上阻隔非法人員登陸，提高系統穩定性與安全性。通過對電力網絡防火墻的研究，認識到其在電力保護裝置站控制層安全防護中的基石作用，為后續應用研究提供參考[3]。

2 電力保護裝置站控制層網絡防火墻策略方案與框架設計

2.1 網絡防火墻策略方案設計

通過分析網絡防火墻策略的內涵，認識到其對電力保護裝置站控制層安全提升的重要作用，同時也是電力保護升級的必然選擇。以網絡防火墻策略為中心，對整體實施方案進行設計。網絡防火墻策略邏輯具有抽象性特點，受操作系統的影響，防火墻策略實現方式也會出現變化。對電力保護裝置站控制層軟件環境詳細了解，掌握硬件參數等，設定明確的目標，在目標引導下高效地完成整體方案設計工作[4]。

針對性判定網絡數據報文內容，并選擇執行與接受的防護策略。在此基礎上，還要對需丟棄的報文及時丟棄。報文判定與選擇均不需要考慮實現方式，實現方式會隨著系統的變化而變化[5]。“默認拒絕一切”是網絡防火墻策略設定的基礎，電力保護裝置站控制層所接觸的所有網絡流量不經過特殊設置均視為默認阻擋。防火墻策略的所有防護服務必須根據電力保護裝置站控制層運行針對性設置，需要主動啟用。策略鏈是防火墻策略的基本形式，簡單的變化運行邏輯如單一接收或丟棄并非策略鏈全部。策略鏈實際應用中致力于全方位、多角度安全防護，是立體防護，囊括數據包、協議類型等所有信息，均按照科學整合與研究后給出客觀防護判斷。

數據報文判定速度最快化是防火墻策略設計的基本規則，需要將不必要的判定及時省略，這樣才能滿足基本定義順序[6]。遵循客戶端白名單設計要求，防火墻策略設計中對于端口字段與數據報文并不對應的，省略分析過程直接丟棄，若對應地址并不符合白名單地址同樣可直接丟棄。

按照服務定制限流標準，以服務類型區分為基礎，加快匹配流速。若部分匹配內容并沒有在規定流速內完成，則可以直接丟棄。分層設計策略鏈，結合電力控制層數據流具體情況及數據類型及時完成數據流排序，以此為流量控制提供方便。

2.2 構建控制層網絡安全防護與控制框架

借助Linux操作系統構建網絡安全防護與控制框架，為電力保護裝置站控制層安全防護提供幫助，為網絡防火墻策略的實現提供支撐。網絡安全防護框架的構建主要涉及風暴策略、安全策略、QoS策略、身份認證、入侵檢測策略、防火墻策略以及數據加密等功能端口，同時延伸設計Netfiltre子系統。此外，系統的正常運行還需要nftables工具的支持[7]。

2.3 打造完善的防火墻策略鏈

防火墻策略鏈的打造主要包括兩個方向，分別是接收數據方向和發送數據方向。

2.3.1 接收數據方向

首先需對連接狀態進行判定，隨后制定策略規則節點。判斷的主要目的是確定控制層數據具體連接狀態，若數據流處于已連接狀態，則迅速進入到判定流程；若處于未連接狀態，則無法順利銜接判定流程。由于此環節直接關系到鏈路層報文判定，因此必須對其足夠重視[8]。參考防火墻策略鏈設計的協議類型，及時對控制層報文進行分類，同步落實流量限制策略。流量限制具體門檻需根據電力保護裝置站控制層流速確定，服務門檻不同則流速限制條件也會不同。基于此，需要對未接收的數據信息進行妥善處理。

其次是對數據報文形式進行判斷。以地址解析協議（Address Resolution Protocol，ARP）報文為判斷對象，若屬于ARP報文，順利銜接判定流程；若不屬于ARP報文，則需要增設判定策略環節，將其傳輸值網絡層重新進行報文判定。對于ARP請求，還需判斷是否屬于本地網卡。尤其是op字段值，op字段值為1，則屬于本地網卡IP；op字段值不為1，則不屬于本地網卡IP，不能進入到判定中，需直接丟棄[9]。在網絡層報文實際判定過程中，綜合IP報文結構為載體，對IPv4報文進行判定。是與不是直接關系到進入判定流程與丟棄，屬于IPv4報文需及時將其引入值判定流程，隨后對數據包源進行判斷，判斷內容包括是否屬于本地網卡、是否在白名單中，若是順利銜接以下流程，若不是則不需要特定分析直接丟棄。

再次是協議規則判定方面，結合IP報頭對協議種類判定。判定協議包括3種，分別是Internet控制報文協議（Internet Control Message Protocol，ICMP）、用戶數據報協議（User Datagram Protocol，UDP）以及傳輸控制協議（Transmission Control Protocol，TCP）。對屬于這3種協議的著手進行判定，不屬于則直接丟棄。隨后是TCP規則判定方面，判斷主要對象是數據包狀態。判定標準為New狀態，屬于此狀態則進入判定流程，不屬于此狀態則丟棄。

TCP規則判定條件下，數據流連接狀態判定主要涉及到以下5種類型。一是New類型，主要代表數據流首個數據包狀態。二是Established狀態，主要代表數據包當前處于連接狀態，同時已經與系統其他數據流連接。三是Invalid狀態，主要代表數據包當前處于無法識別狀態或是可識別但無任務狀態等，出現這種現象的原因主要是電力保護裝置站控制層系統內存在問題造成信息不能及時響應。四是Related狀態，主要代表數據包與其他系統處于關聯狀態，同時緊密銜接數據連接端口。通過對數據包源的判斷確定白名單，隨后向客戶端申請服務地址，若數據包不在白名單中，則不能進入判定流程，需直接丟棄[10]。流速判定期間，針對性設定流速門檻，隨即展開針對性服務。五是利用UDP規則判定類型，參考端口白名單判斷情況，確保數據流能夠順利進入到ICMP環節中，繼而完成數據流的判定，確保接收數據的安全。

2.3.2 發送數據方向

首先是連接狀態的判定。若數據流處于連接狀態，則順利銜接到判定流程；若數據流并未處于連接狀態，則需要增加判定策略對數據流情況準確判定，即鏈路層報文策略。及時對報文類型進行分類，有效限制流量，協助狀態連接順利完成判斷工作。此外，判定后的數據若及時被端口接收，則不需要后續判定操作；若端口并沒有接收數據，則直接丟棄。

其次是鏈路層報文的及時判定。判定依據為ARP報文，若符合要求，順利進行判定；若不符合要求，則增加判定策略。以本地網卡為載體，對數據的針對性進行確定。結合鏈路層報文具體情況，制定流速限速計劃，繼而保證數據包均達到流速范圍標準，并且被防火墻策略鏈接受。協議規則方面，以ICMP、UDP、TCP這3種協議為主，符合協議范圍順利進行判定，若不符合協議范圍需增設判定策略，根據判定策略結果決定是否丟棄數據包。

再次是TCP規則方面的策略判定。根據數據包具體狀態，對發送連接請求權限進行限制。若數據包屬于New狀態，不需要增加策略，可直接丟棄，以此減輕判定流程壓力。流速判定過程中，針對數據流量設計服務類型，選擇對應的服務門檻，在此基礎上妥善處理數據包。

最后是UDP與ICMP規則的判定。如果數據包判定中需增加判定策略，需及時對數據包進行限流，一旦超出限流標準，將不被接受的數據包丟棄。回復報文方面，若數據包屬于回復報文，則順利銜接到判定流程中；若不屬于回復報文，則需將數據包丟棄。

3 結 論

綜上所述，對于電力保護裝置站控制層網絡的防火墻策略來講，實際研究中必須對防火墻策略有全面、深層次的了解。網絡防火墻策略的研究與傳統防火墻策略不同，針對電力保護裝置站控制層特殊情況分別設置對應的防護策略，有效協助電力保護裝置站阻隔網絡供給。在此基礎上，還要借助協議棧對系統數據包等科學限速，從而提升電力網絡的安全性與穩定性，確保安全防護裝置正常運行。從接收數據與發出數據兩方面對防火墻策略鏈進行研究，就電力系統數據情況實時判定，從而節省部分判定環節，減輕防火墻策略實施壓力，提高防火墻策略效果，保障電力系統健康安全運行。