[孙磊阳 胡江云 雷小雨 谭勇 李铭煜]
随着铁路信息业务的高速发展,铁路业务系统网络安全的重要性逐年上升,为保证铁路通信业务系统安全稳定的运行,根据业务系统的重要性,分别对铁路通信各业务系统进行等保2.0的等级定级,并通过第三方检测机构对各业务系统的网络安全情况进行评测。
广铁集团根据等保2.0的评测结果,发现空口监测系统缺乏网络安全边界防护,通过在空口监测系统用户边缘路由器(Customer Edge,CE)与铁路数据网运营商边缘路由器(Provider Edge,PE)互联链路之间加设防火墙,用以实现边界防护。而在进行业务防护加固的过程中,发现PE和CE之间的业务流量被异常阻断。因此,有必要深入分析其组网架构,并根据接入的需求,进行网络优化。
根据企业标准《铁路数据通信网编号规则及路由规范》(Q/CR 973-2023)的规定,铁路数据网业务承载方式采用基于BGP的多协议标签交换虚拟专用网技术(Multiprotocol Label Switching Border Gateway Protocol Virtual Private Network,MPLS BGP VPN),同时由于广州局铁路数据网自治系统(Autonomous System,AS)内仍为IPv4网络,其采用中间系统到中间系统协议(Intermediate System-to-lntermediate System,IS-IS)承载设备路由[1]。
空口监测数据采集是否完整直接关系到铁路无线列控超时的分析情况,为保障空口监测系统的稳定性和高可用性,空口监测系统接入铁路数据网采用双归属接入方式[2],由两台PE和两台CE成口字型组网,组网方式如图1所示,其中PE为铁路数据网的接入路由器,CE为空口监测系统的核心交换机。空口监测系统内部采用多生成树协议(Multiple Spanning Tree Protocol,MSTP)+虚拟路由冗余协议(Virtual Router Redundancy Protocol,VRRP)[3],CE01设置为VRRP的活跃状态(Master),CE02设置为VRRP的备份状态(Backup),为用以实现业务网关的冗余性。空口监测系统接入数据网采用BGP的方式进行接入,CE和PE间通过互联地址建立BGP邻居关系,用以实现业务路由交互。
图1 业务接入铁路通信网拓扑图
对业务系统网络边界进行安全加固,部署完成防火墙后,发现部分业务数据交互出现异常,查看路由表确认PE和CE侧均有收到对端的业务路由。对业务不通的原、目地址进行路径排查(tracert)发现,其业务流量走向如图1所示,沿线节点出现异常的设备(10.0.11.2)通过铁路数据网由PE02进入空口监测业务系统访问空口监测服务器(10.0.10.4)。由于空口监测系统内部采用MSTP+VRRP组网方式,虚拟网关为CE01上,因此,回城路由需通过CE01传送回铁路数据网中。查看防火墙策略命中日志发现防火墙01对这部分的业务流量进行阻断,因此,有必要对路由原理及边界策略进行深入分析。
上述问题中发现业务访问存在来回路径不一致的情况,根据《铁路数据通信网编号规则及路由规范》(Q/CR 973-2023)的规定,同一AS内各路由器的业务路由策略应一致,各路由反射器的服务端向客户端直接转发路由,不使用路由控制及过滤策略。因此,由于AR01和AR02上对外发布的空口监测系统路由属性相同,远端的节点设备访问空口监测系统服务器将根据IS-IS协议的路由选路规则进行选路。
IS-IS协议是一种链路状态控制协议,采用链路状态报文(Link-State Packet,LSP)进行协议数据的交换,并通过最短路径优先(Shortest Path First,SPF)算法,采用路径开销(metric)值进行路径计算,最终得到IS-IS路由信息[4]。在IS-IS协议中,根据链路的不同带宽,metric值设置不同大小,链路带宽越大,metric值越小,一条IS-IS路由信息的metric值为源路由器到目的路由器所有链路metric值之和,其metric值越小,IS-IS路由越优先。因此,问题中来回路径不一致的情况为AR03至AR02的链路metric值之和小于AR03至AR01的链路metric值之和[5]。
防火墙默认定义了3个安全区域,其安全优先级由高到低分别为:内部区域(Trust)、外部区域(Untrust)和服务器区域(DMZ)[6],通过设置安全策略用以实现安全访问控制。为防止进出安全策略设置不合理导致恶意攻击的发生,防火墙采取状态检测机制用以实现安全防护,其交互流程如图2所示[7]。
在防火墙上设置相关访问规则后,允许沿线节点采集设备访问空口监测服务器。当访问报文到达防火墙后,防火墙允许报文通过,同时会针对该访问行为建立一个会话(Session),会话中包含沿线节点采集设备发出的报文信息如地址和端口等。当空口监测服务器回应给沿线节点采集设备的报文到达防火墙后,防火墙会把报文中的信息与会话中的信息进行对比,若信息匹配,则允许报文通过;若信息不匹配,则拒绝报文通过。
在基于状态检测机制中,网络中通信双方属于同一连接的所有报文交互都看作整体的数据流对待,从而保证了网络的安全性。由于沿线节点采集设备访问空口监测服务器的来回路径不一致,会话是在防火墙02上建立完成,而防火墙01上不存在相关会话信息,因此防火墙01对该业务流量进行阻断。
将防火墙的状态检测功能关闭,可以实现业务流量的不间断转达,但此时防火墙必须要针对每一个方向的报文都配置一条规则进行匹配,这将导致防火墙转发效率低下,同时带来网络安全风险。因此,提出采用双机热备的方式进行网络优化。双机热备技术可以使两台防火墙设备共同承担同一节点的业务,当其中一台防火墙故障或其链路发生故障时,可以切换至另一台防火墙用以承担业务[8]。
双机热备组网时,在两防火墙中间连接一条心跳线,通过心跳线实现通信双方的信息交互,其心跳线主要传递如下信息:心跳报文、配置和表项备份报文、心跳链路探测报文和配置一致性检查报文[9],并根据设备的运行模式不同,可分为主备备份模式和负载分担模式:
①主备备份:两台防火墙设置为一主一备,正常情况下主用防火墙负责业务流量的处理,当主用防火墙故障后,备用防火墙接替主用防火墙来处理业务流量,保证业务不发生中断。
②负载分担:两台防火墙互为主备。正常情况下两台防火墙共同承担网络的业务流量。当其中一台设备故障时,另一台设备会承担其业务,保证业务转发不发生中断。
主备备份模式下,流量由单台防火墙进行处理,其路由规划和故障定位相对简单;负载分担模式下,流量由两台防火墙共同处理,比主备备份模块下能够承担更大的峰值流量,同时在发生故障时,只有一半的业务需要进行切换,故障切换的速度更快。但是考虑到负载分担模式下,组网和配置复杂,同时由于无法避免来回路径不一致的情况,部分安全检测功能无法使用,因此本次网络优化采用主备备份模式下的双机热备。
根据双机热备的组网需要,在防火墙01和防火墙02之间互联一条心跳线,用以交互相关报文数据,同时结合空口监测系统的网络结构,空口监测系统内部采用MSTP+VRRP,CE01为主用虚拟网关交换机,因此设置防火墙01为主备备份模式下主用交换机,防火墙02为主备备份模式下备用交换机。
同时为避免存在远端设备访问空口监测系统存在来回路径不一致的情况,可以通过两种方式进行实现:
①配置路由策略(Route-Policy)[10]。在PE上对从CE学到的业务路由,采用Route-Policy分别设置路由信息的开销值,其中AR01上设置路由开销值为100,AR02上设置路由开销值为300,由于AR01开销值更小,因此,远端设备将优先AR01发布的路由。
②配置BGP协议的MED属性。由于当一个运行的BGP的路由器通过不同的EBGP对等体得到目的地址相同但下一跳不同的多条路由时,在其他条件相同时,将优选MED值较小者作为最佳路由,因此,CE01上对BGP的MED值设置为100,CE02上BGP的MED值设置为200。
在实际网络优化过程中,对上述优化方案进行测试,发现均能打破来回路径不一致的情况,同时保证网络边缘防护的安全,业务流量平稳转发。
随着信息化的高速发展,网络安全越来越受到重视。目前铁路很多系统都在加设防火墙等网络安全设备,广州集团对空口监测系统网络边缘防护部署完成后业务转发异常阻断的问题,结合IS-IS原理和状态检测机制,提出基于主备备份模式下双机热备的优化方案,对网络边缘防护的策略进行优化,实现铁路业务系统安全稳定的运行,对铁路运营维护提供一定的参考。