虛擬防火墻技術在鐵路通信網管網絡安全中的應用

唐 璐

（中國鐵路上海局集團有限公司上海通信段，上海 200434）

1 虛擬防火墻技術概述

傳統防火墻應用需要部署多臺獨立防火墻，放置的多個獨立防火墻占用機房較大空間，且增加網絡管理的復雜度。虛擬防火墻技術在共享CPU、內存等物理資源的基礎上，將一臺物理防火墻從邏輯上劃分為多臺虛擬防火墻，如圖1 所示。

圖1 虛擬防火墻邏輯系統Fig.1 Logical system diagram of virtual firewall

每個虛擬防火墻系統都可以被看成是一臺獨立的防火墻設備，可擁有獨立的系統資源、管理員、安全策略、用戶認證數據庫等。每個虛擬防火墻能夠實現防火墻的大部分特性。每個虛擬防火墻之間相互獨立，一般情況下不允許相互通信。通過虛擬防火墻技術將配置、轉發完全隔離，從而實現功能定制、個性化管理以及資源的最大化利用。

在華為系列設備中，虛擬防火墻技術被稱為虛擬系統（Virtual System），華為系列防火墻上存在兩種類型的虛擬系統：根系統（Public）和虛擬系統（VSYS），根系統是防火墻上缺省存在的一個特殊的虛擬系統，即使虛擬系統功能未啟用，根系統也依然存在。此時，管理員對FW 進行配置等同于對根系統進行配置。啟用虛擬系統功能后，根系統會繼承先前防火墻上的配置。在虛擬系統這個特性中，根系統的作用是管理其他虛擬系統，并為虛擬系統間的通信提供服務。而VSYS 是在防火墻上劃分出來的、獨立運行的邏輯設備，通過綁定接口等資源，為不同網管系統提供不同的VSYS。每個VSYS 在創建時會分配一個虛擬系統ID 和虛擬接口（Virtual-if），創建虛擬系統后，根系統下會生成Virtual-if 0 接口，虛擬系統從1 開始分配。根系統與虛擬系統通過Virtual-if 接口進行通信，如圖2所示。

圖2 虛擬接口Fig.2 Virtual interface

虛擬系統數據轉發：報文在接入口上被打上標記，此標記即為接口所屬虛擬系統ID。通過虛擬系統ID 來查找其對應的FIB 表、策略或者規則等，來正確處理報文。利用防火墻虛擬化技術可以有效解決不同信息系統業務隔離、控制分離和個性化定制問題，使各信息業務系統既在物理上共享一套網絡安全管理平臺進行網絡安全管控，又在邏輯上各自網絡分離，網絡間互不相通。

2 上海局組網情況和問題分析

上海局鐵路通信網絡系統包括數據通信網系統、傳輸網系統、同步網系統、接入網系統、GSM-R網系統、電源環監系統、視頻監控系統、應急通信和可視會議等多種網絡系統。各系統網絡相互獨立，各自業務和管理隔離，無相互訪問需求，如圖3 所示。數據通信網系統和傳輸網系統作為承載網系統，為上海局各類業務提供通道。隨著承載業務量及業務種類的增多，承載網網絡安全等級也隨之提高。根據《信息系統安全等級保護基本要求》（GB/T 22239-2008）以及《鐵路通信網絡安全技術要求第2 部分：承載網》規范要求，上海局數據通信網系統和傳輸網系統均需在邊界增加防火墻設備，啟用訪問控制功能，依據安全策略控制用戶對資源的訪問。不同系統增加的防火墻設備型號廠家各不相同，無法進行統一管理，大大提升了各系統網絡安全維護難度。

圖3 各網管系統安全組網示意Fig.3 Schematic of secure networking of network management systems

3 優化思路與配置

利用防火墻虛擬化技術可以有效解決各網管系統業務隔離、控制分離和個性化定制問題，使各業務網管系統既在物理上共享一套網絡安全管理平臺進行網絡安全管控，又在邏輯上各自網絡分離，網絡間互不相通。

防火墻的虛擬化技術，就是在共享CPU、內存等物理資源的基礎上，將一臺物理防火墻從邏輯上劃分為多臺虛擬防火墻，不同的虛擬防火墻之間，配置、轉發完全隔離，從而實現功能定制、個性化管理以及資源的最大化利用。

通過應用防火墻虛擬系統可以很好地實現一套安全等保設備，對多個網管系統進行安全管理的需求。

通過虛擬防火墻技術，將入侵檢測、日志審計、堡壘機、防病毒、數據庫審計、準入控制等公共安全服務器劃為根系統。數據網網管接入交換機與相應防火墻上行接口劃為數據網（SJW）虛擬系統，華為傳輸網管接入交換機與相應防火墻上行接口劃為華為傳輸（HWCS）虛擬系統，中興傳輸網管接入交換機與相應防火墻上行接口劃為中興傳輸（ZXCS）虛擬系統，如圖4 所示。

圖4 網絡安全物理連接Fig.4 Sketch of network security physical connection

在防火墻進行相關路由配置，可以實現各虛擬系統與根系統互訪的同時，各虛擬系統之間不能相互訪問。做到了安全設備的充分利用，在邏輯上各系統又相互隔離，保證業務系統間的安全。在邏輯上各網管系統組網與傳統組網方式一致，能正常與各安全服務器通信，邏輯關系如圖5 所示。

圖5 虛擬防火墻系統邏輯連接Fig.5 Logical connection diagram of virtual firewall system

在啟用虛擬防火墻技術后，系統存在根系統、數據網虛擬系統（VSYS SJW）、華為傳輸網虛擬系統（VSYS HWCS）和中興傳輸網虛擬系統（VSYS ZXCS），同時生成相關虛擬專用網絡（Virtual Private Network，VPN）實例和虛擬系統實例、Virtual-if 接口。

其中安全平臺區域部署堡壘機、防病毒、日志審計、網絡審計、安全管理中心平臺等公共安全設備，直接屬于Public。與VSYS SJW、VSYS HWCS、VSYS ZXCS 各服務器通過防火墻系統內部Virtual-if 接口互通。數據網服務器、對接數據網路由器和DCN 出口為VSYS SJW 內，通過靜態、動態等路由協議，在VPN 實例內互通。華為傳輸服務器、對接DCN 路由器出口為VSYS HWCS，通過靜態、動態等路由協議，在VPN 實例內互通。中興傳輸服務器、對接DCN 路由器出口為VSYS ZXCS，通過靜態、動態等路由協議，在VPN 實例內互通。

在虛擬系統間，各系統的管理、安全策略、數據配置是獨立存在的，根系統管理員admin 用戶可以管理整臺防火墻設備。

各虛擬系統管理員只能看到本身系統內的端口、賬號、安全策略、策略日志等信息。

根系統管理員管理安全策略為Public 下安全策略，無法直接管理虛擬系統下的安全策略，虛擬系統管理員管理自身虛擬系統下的安全策略。

4 結論

本文主要采用虛擬防火墻技術有效解決上海局數據通信網及傳輸網網管系統網絡安全隔離、訪問控制分離問題，使數據通信網及傳輸網網管系統既在物理上共享一套網絡安全管理平臺進行網絡安全管控，又在邏輯上各自網絡分離，實現網絡安全統一管理，保障鐵路承載業務系統更加安全、可靠、高效。