浅析山美水库网络安全及管理

【摘要】 泉州市山美水库是一座集防洪、供水、灌溉、发电等多项功能为一体的大型重要水利枢纽，水库总库容6.55亿m3，下游涉及200多万多人口生命财产安全和400多万人口的生产生活用水，是泉州市人民的生命库。目前正在建设山美水库安全监测监控系统，主要包括溢洪道闸门监控子系统、大坝安全监测自动化子系统、水文自动测报子系统的建设，对于保障水库安全运行，进一步提高水库防洪减灾、调度运行技术水平将起重要作用。但是计算机网络的广泛连接给网络的安全性带来很高的要求，所以网络的安全性已提高到网络管理的最重要位置。山美水库网络又是一个多部门的网络，网络结构复杂，网上信息繁多，既有绝密、机密信息，又有普通信息，加强计算机网络系统的安全管理是非常必要的。

【关键词】 网络 安全 管理

泉州市山美水库是一座集防洪、供水、灌溉、发电等多项功能为一体的大型重要水利枢纽，在泉州市经济建设中占重要地位。目前正在建设山美水库安全监测监控系统，主要包括溢洪道闸门监控子系统、大坝安全监测自动化子系统、水文自动测报子系统的建设，但是随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。此时，它关心的对象是那些无权使用，但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题。

山美水库安全监控网络系统通过光缆连接网络设备，采用集中式网络配置和分散式网络配置相结合的办法。各子系统与调度中心节点之间采用星型分散式网络配置结构，其中以调度中心以太网交换机为辐射中心，通过单模室外铠装光缆连至各个网络接入点。调度中心内部办公局域网采用交换机相连。

山美水库网络系统拓扑图如下：

一 网络的结构说明如下：

1．在泉州分中心和水库的内部网与外部网之间的出口处，分别通过黑盾防火墙HD-FW2000进行逻辑隔离。内网”是指通过专用信道在内部组成的专用网以及与有业务联系的其它部门的网络，“外网”是指公有资源的网络即互联网络。由于外网面向社会用户连接，因而是潜伏安全危机的主要来源。但内外网的互连经常是网络实际应用所必须的，因此必须有周密可靠的安全体制以保护内网的机密信息，以阻隔外网对内网系统的有害侵袭，建立有效的管理，限制外网用户对内网资源的访问等。另一方面，外网上一些可信任用户（如与内网用户有业务来往的外网用户）又需要对内网资源进行一定限度的访问，因而针对具体用户、具体应用来过滤信息流；同时由于内网数据在外网上有传输，也需要采取一定措施使内网重要数据不致泄露。内网中不同单位的网络互联时，在充分保证正常通讯的情况下，实现一定程度的安全要求。在内网上不同部门之间，既应保证电子邮件和各类办公信息的正常传输，又要严格防止一些敏感部门的机密信息泄露出去。而与此同时，主管领导应当能够随时访问被管理部门的信息。

2.广域网连接：山美水库和泉州分中心都由华为AR 18-20S路由器通过ISP提供的2M光钎链路相连组成一个内部办公业务网。

3.内部局域网连接：在山美水库的中心局域网采用一台华为S5624P核心交换机来实现局域网的高速转发，满足调度中心的整个应用需求。Quidway S6524P作为内网的中心交换机,从易管理性,合理性,安全性等方面考虑,主要做以下的规划(IP规划)：

内网服务器IP为： 192.168.1.1--192.168.1.254

山美水库内网用户IP为：192.168.0.1-192.168.0.254

泉州分中心内网用户IP为：172.18.0.1-172.18.30.254

二 核心交换机的部署：

核心交换机的部署其实最主要的就是VLAN的划分

1． 交换机初始状态已存在VLAN1,所有端口默认都属于VLAN1,为了便于管理,不对此VLAN配置虚接口IP.保留此VLAN,以用于将尚未使用的端口划分到此VLAN中,因没有配置三层IP地址,即无法与其他VLAN互访.避免一般人员随意连接端口带来的安全隐患。

2． 新建VLAN 100 即管理VLAN.配置VLAN 虚端口IP为192.168.100.1/24 , 使用访问控制列表限制其他网段PC以Telnet的方式连接修改S5624P交换机配置,实现对S5624P交换机的管理.

3． 分别在山美水库和泉州分中心新建VLAN 10 即应用服务器VLAN. 配置VLAN 虚端口IP为192.168.1.254/24.由于网络中心交换机Quidway S5624P配4个SFP千兆光口模块,一24口千兆电口模块,具体要根据实际应用需求再划分千兆端口到该VLAN。其中千兆电口下接如下五台应用服务器：

1、OA服务器 （192.168.1.5）

2、数据库服务器 （192.168.1.6）

3、安全监控管理信息系统 （192.168.1.1）

4、大坝安全监测系统 （192.168.1.2）

5、溢洪道闸门监控系统及PDA应用系统和水文自动测报系统（192.168.1.3）

4． 分别在山美水库和泉州分中心新建VLAN 20 即普通用户VLAN. 配置VLAN 虚端口IP为192.168.0.254/24和172.18.30.254/24.用户的IP采用DHCP的方式自动获取IP（IP范围：192.168.0.1-192.168.0.254）和（IP范围：172.18.30.1-172.18.30.254），DHCP服务器在防火墙上进行设置。由于这里分别对服务器和普通用户划分了两个不同的VLAN，而VLAN虚拟局域网(VLAN)是一个交换网络，它按功能、按工程组或按应用等构架为基础加以逻辑划分，而不是以实体或物理为基础划分。VLAN可设想为一个存在于一套既定的交换机之内的广播域。

VLAN的主要功能和好处有：

━ 更好控制开销，分割广播域

━ 加固网络安全，实现安全隔离

━ 易于网络的移动，增加和改变

━ 减少管理开销

━ 突破物理边界限制，拓展网络扩展能力

━ 流量负载均衡

━ 使本地服务器放置在安全位置。

VLAN连接技术：

━ 802.1Q

━ 802.10（用在FDDI）

━ ISL（用在快速以太网，Cisco专用技术）

━ LANE（用在ATM）。

VLAN的建立是为了提供分段服务，传统上在LAN配置中它是由路由器提供的。而在这里我们用的三层交换机，因此必须在此交换机配置一条静态路由以实现网络的互相通信。

三 路由器的部署：

山美水库和泉州分中心都由华为AR 18-20S路由器通过ISP提供的2M光钎链路相连组成一个内部办公业务网。由于电信运营商提供的这个光纤线路是一条链路的延长线，因此在这里可以把路由器配置成透明路由的方式，它只做数据包的交换。我们在泉州和水库两台核心交换机分别设置trunk口，把光纤链路形成一条中继链路，以实现内部网络互通。

四 防火墙的部署：

* Internet连接：由于原有的网络结构是通过ISP提供的4M光纤线路连接到Internet上，存在安全等各方面缺陷，因此出于网络从易管理性,合理性,安全性等方面考虑，在山美水库和泉州分中心分别部署一台黑盾HD-FW2000防火墙。

* 内部局域网访问Internet的方式有很多种可以选择，目前主要推荐Nat转换的方式。NAT英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准，允许一个整体机构以一个公用IP（Internet Protocol）地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。如下图所示：

简单的说，NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关（可以理解为出口，打个比方就像院子的门一样）处，将内部地址替换成公用地址，从而在外部公网（internet）上正常使用，NAT可以使多台计算机共享Internet连接，这一功能很好地解决了公共IP地址紧缺的问题。通过这种方法，您可以只申请一个合法IP地址，就把整个局域网中的计算机接入Internet中。这时，NAT屏蔽了内部网络，所有内部网计算机对于公共网络来说是不可见的，而内部网计算机用户通常不会意识到NAT的存在。如图2所示。这里提到的内部地址，是指在内部网络中分配给节点的私有IP地址，这个地址只能在内部网络中使用，不能被路由（一种网络技术，可以实现不同路径转发）。虽然内部地址可以随机挑选，但是通常使用的是下面的地址：10.0.0.0~10.255.255.255，172.16.0.0~172. 16.255.255，192.168.0.0~192.168.255.255。NAT将这些无法在互联网上使用的保留IP地址翻译成可以在互联网上使用的合法IP地址。而全局地址，是指合法的IP地址，它是由NIC（网络信息中心）或者ISP(网络服务提供商)分配的地址，对外代表一个或多个内部局部地址，是全球统一的可寻址的地址。对山美水库这个项目我们把内部网络地址通过防火墙做地址影射成ISP提供的IP。

* 访问控制：同时在防火墙对访问控制进行相应的设置：从内部网络到外部网络这个方向上，内部网络客户端和服务器(192.168.0.0-192.168.1.254) 和（172.18.30.1-172.18.30.254）访问Internet这个方向上采取全部允许的方式，而在外部网络到内部网络这方向上相对WEB服务器和邮件服务器只开放一些常用的端口（FTP：21，WEB：80，MAIL：25和110）；具体设置要根据实际的应用需求进行必要的调整等。

* 高效的抗攻击能力：网络安全理念和安全技术，在状态检测包过滤的基础上同时增加了应用层的安全机制，有效地平衡安全/效率之间的矛盾，做到2-7层的全方位立体防护。SQL Slammer蠕虫在18分钟之内就传播到世界各地，速度之快使人们来不及找到应对措施和重新配置网络设备。抗黑客攻击模块能有效防止类似SQL Slammer蠕虫病毒的袭击，为企业用户提高网络的防御能力。

* DHCP服务：这里采取内网网段（172.18.30.1-172.18.30.254）和（192.168.0.1-192.168.0.250）通过防火墙启用DHCP服务这个功能，不必单独设置一台服务器来作为DHCP服务器，节省网络建设的投资。

五 网络布线系统的布署：

网络布线系统是实现最终设计目标必不可少的技术手段和途径，它综合通讯技术、计算机技术、自动化控制技术为一体，利用双绞线、光纤和其它器件，将各节点语音、图象、安全报警、监控、自动化管理、通讯、计算机网络等各种专用布线系统进行规划、设计、施工，形成一套完整的、开放的和标准化的布线系统。考虑到计算机网络的速度向千兆以太网发展，布线系统的信息节点全部为光节点，可升级和扩展，各网络终端出口采用国际标准的RJ45插座，以统一的线路规格和设备接口，使任意信息点都能插接不同类型的终端设备，如电脑、打印机、网络终端、电话机、传真机等，以支持语音、数据、图形、图像等数据信息和多媒体信息的传输。

山美水库安全监控网络系统采用集中式网络配置和分散式网络配置相结合的办法。各子系统与调度中心节点之间采用星型分散式网络配置结构，其中以调度中心以太网交换机为辐射中心，通过单模室外铠装光缆连至各个网络接入点。调度中心内部办公局域网采用集线器相连。集中式网络配置具有以下优点：

* 系统网络整齐美观，易于维护和管理，易于调整

* 网络设备可实现零冗余，充分发挥系统设备的速度

* 系统安全性好，更加可靠

* 具有能适应多种布线设备的兼容性；

* 开放式体系结构能适应多种应用系统的使用要求；

* 灵活的跳线结构能满足不断变化的使用环境；

* 高品质的布线材料使系统稳定运行，性能适应未来技术的发展；

* 取代传统的布线方式，体现经济性原则。

水库调度中心与各子系统之间的数据通信作为传输主干采用单模铠装光缆连接。水平布线子系统和垂直布线子系统各数据节点的硬件均为超5类产品和光纤产品，即超5类信息插座、超5类跳线、超5类双绞线、单模光缆、光纤跳线、光纤配线架、光纤适配器等。

六 系统的管理:

安全监控信息系统主要采用了分层分布的网络结构方式进行组网，主要包括溢洪道闸门监控子系统、大坝安全监测自动化子系统、水文自动测报子系统及调度中心局域网的建设。几个子系统既能独立运行，又能按照要求统一到山美水库局域网和泉州市水利局广域网内运行，充分体现了统一、可靠的设计原则。

七 结束语:

以上就是我们水库安全监控网络组网的基本方式。它通过防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等手段，经过通信保密、数据保护两个阶段，对网络进行安全保护。但因信息网络安全领域是一个综合、交叉的学科领域，所以对网络的安全及管理应引起足够重视，绝不能掉以轻心。