巧设CTC路由器ACL降低网络安全风险

刘彩录

铁路分散自律调度集中系统 (CTC)，已被广泛应用于我国既有铁路、高速铁路及城际客专等铁路运输上，提高了运输组织工作效率，也被国家相关部门评定为“等级保护”四级系统，对该系统信息网络安全提出了更高的要求。铁路CTC网络均采用了带访问控制功能的路由器，正确地设置ACL(访问控制列表)，将起到防火墙的作用，降低网络安全风险。本文探讨在CTC网络路由器上进行规则设定，阻挡不匹配安全规则的数据包，实现CTC网络安全。

1 CTC网络安全情况

1.1 CTC网络安全风险因素

1.病毒。CTC系统在建立和运营过程中，需进行大量的软件上传、修改、备份和检查升级工作，远程连接登录、使用U盘等都可能造成系统的“病毒”感染，导致中心或车站系统瘫痪。

2.非法登录。掌握CTC系统各级口令的人可以随时通过中心或车站某台终端接入CTC系统，有可能对系统进行破坏。

3.信息安全。CTC系统直接指挥和控制行车，是铁路调度指挥进行生产组织的核心系统，其内部网络中传输着涉密信息，尤其是军运或专运列车的行车组织信息。

1.2 现有解决方案

1.设置杀毒软件服务器。CTC中心部署一套网络版杀毒软件服务器，通过控制中心管理全网的客户端，实现统一升级、设置，对网络中的病毒进行实时监控和查杀。

2.访问控制。大多数方案是安装硬件防火墙，主要是过滤非法数据包或者不安全的流量，保证网络安全。车站防火墙均布置在网络出入口处 (网络交换机和路由器之间)，防火墙一次故障或死机就可能危及整个车站网络，导致信息传输中断，影响行车组织;而且专门增设防火墙也增加了成本。

3.强化CTC用户管理。杜绝一机双网，确保与外部网络物理隔离;拒绝未经检测的移动存储使用;验证CTC用户的身份和使用权限，防止用户越权操作等。

访问控制是实现网络安全的主要途径。目前实现访问控制的技术方案有MAC地址过滤、交换机VLAN隔离、基于IP地址的访问控制列表等。

2 配置访问控制列表

访问控制列表 (Access control list，缩写ACL)，是一种基于包过滤的数据控制技术，在路由器和三层交换机中被广泛使用。它把源地址、目的地址以及端口号作为数据包检查的基本要素，并规定符合检查条件的数据包允许通过，不符合检查条件的数据包禁止通过，从而保证网络安全。

现有CTC网络绝大多数部署了防火墙，但实际运行防火墙死机或故障发生率偏高。由于防火墙部署在网络出入口，即便是瞬间重启也必然导致整个车站CTC网络中断。而在路由器适当配置访问控制列表 (ACL)，对网络流量进行规则检查，限制非法数据包通过，实践证明，可以有效减少网络安全风险，实现一般防火墙具有的功能。

访问控制列表实现方法:首先进入路由器全局配置模式，依次定义访问控制列表，最后将其配置到网络接口中。这样通过该接口的数据包都必须接受规则检查，被禁止的数据流量将无法通过。

ACL根据情况配置检查源IP地址、目的IP地址、网络协议和端口号等，主要使用以下2种。

1.标准访问控制列表是最简单的ACL，格式:

access-list ACL号permit|deny主机IP地址

2.扩展访问控制列表是一种高级ACL，格式:

access-list ACL号［permit|deny］［协议］［定义过滤源主机］［定义过滤源端口］［定义过滤目的主机］［定义过滤目的端口］

实际应用中，还要分清ACL所应用的接口及其方向。

3 CTC路由器访问控制列表常用配置实例

1.限制计算机病毒传播。由于微软操作系统的漏洞，一些病毒或木马软件使用UDP端口135、137等和 TCP端口135、137、9996等进行传播，可设置ACL规则关闭这些端口，阻碍其传播，有利于病毒的查杀。比如关闭UDP和TCP135端口。

access-list 101 deny udp any any eq 135

access-list 101 deny tcp any any eq 135

access-list 101 permit ip any any

2.屏蔽非法主机通信。假设一台主机ip 172.22.10.5非法进入网络 (或者感染了病毒)，那么可以采用ACL策略，限制该主机的数据传输。

access-list 3 deny 172.22.10.5

access-list 3 permit ip any any

int f1/0

ip access-group 3 in

exit

3.保护CTC中心服务器安全。CTC中心服务器作为网络中枢，对所有的网络终端都是可访问的，这样也很容易招来黑客和病毒的攻击，通过设置车站路由器ACL可以将除了必用服务端口之外的其他端口都关掉。假设172.22.10.1为中心服务器，必用服务端口为99，协议为TCP。

access-list 101 permit tcp any 172.22.10.1 0.0.0.0 eq 99

access-list 101 deny any

4.保护CTC车站车务终端不被非法登录。为了防止非法用户远程登录车站车务终端 (一般使用PC Anywhere软件)，非法操作而危及行车安全，可以设置ACL只允许正常合法的维修终端访问，其他主机远程登录均禁止。假设合法的维修终端为172.22.10.201，PC Anywhere使用的默认端口号为tcp，5631，udp，5632。

access-list 101 permit tcp any 172.22.10.201 0.0.0.0 eq 5631

access-list 101 permit udp any 172.22.10.201 0.0.0.0 eq 5632

access-list 101 deny any

5.保护车站自律机安全。自律机是分散自律调度集中系统的车站核心设备，负责与联锁、列控及中心服务器交换信息，使用定制的LINUX操作系统。正常通过telnet和ftp访问。为了防止其被非法操作，同样可以设置ACL只允许合法的维修终端访问。

假设合法的维修终端为172.22.10.201.

access-list 101 permit tcp any 172.22.10.201 0.0.0.0 eq telnet

access-list 101 permit tcp any 172.22.10.201 0.0.0.0 eq ftp

access-list 101 deny any

路由器ACL功能灵活、使用方便，这对网管人员也提出了更高的要求。在CTC路由器ACL配置上述实例，可以实现访问控制，使路由器发挥防火墙作用，降低网络安全风险。随着CTC网络的不断扩展，网络安全问题也日益突出，网络维护人员应根据本单位具体网络需求情况，认真分析配置ACL，不允许有丝毫差错。

［1］ ［美］Brenton，C.Cisco.王军译.路由器从入门到精通［M］.电子工业出版社，2003.

［2］ 谭浩强.Cisco路由器实用技术［M］.北京:中国铁道出版社，2006.