许文渊

(中国铁路上海局集团有限公司上海通信段，上海 200080)

1 组网方式

铁路数据通信网网管系统主要由路由器设备、网管服务器、网管复示终端组成。网管服务器通过数据通信网与各路由器进行通信，对各路由器设备进行日常告警监控、数据配置等日常维护操作。网管复示终端通过数据通信网（Data Communication Network，DCN）网管网与网管服务器进行通信，获取路由器上报的各类告警信息及数据。

根据《中国铁路总公司运输局关于做好铁路数据通信网网络安全专项整治工作的通知》（运电通信函［2016］123号）要求，中国铁路上海局集团有限公司（简称上海局）铁路DCN网络安全防护系统包括边界防火墙设备、入侵检测设备、准入控制设备、堡垒机设备、防病毒服务器、日志审计服务器等，主要用于铁路DCN网管系统的安全防护管理，如图1所示。上海局铁路DCN网络安全防护系统中服务器采用异地备份方式，网络设备间部署防火墙实现逻辑隔离，在防火墙设备配置安全策略规则，进行网络安全防护。入侵检测设备主要对网络入侵行为进行防护，防病毒服务器主要进行病毒防护，日志审计服务器用来进行日志采集分析，准入控制设备用来对数据通信网网管系统终端进行准入控制，堡垒机设备实现网管操作人员的集中登录与行为审计。

图1 铁路数据通信网网管系统安全组网Fig.1 Security networking of railway data communication network management system

2 IEEE 802.1x、SSL VPN协议简介

基于IEEE 802.1x标准的终端准入控制（IEEE 802.1x）协议是基于客户端/服务器(Client/Server，C/S)的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(Access Port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，IEEE 802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，IEEE 802.1x只允许基于局域网的扩展认证协议（Extensible Authentication Protocol Over Lan，EAPOL）数据通过设备连接的交换机端口；认证通过后，正常的数据可以顺利地通过以太网端口，采用IEEE 802.1x协议认证方式需要在终端侧部署三层交换机，通过三层交换机与准入控制系统平台进行EAP报文交互，完成终端准入认证与接入授权。

SSL VPN是基于安全套接字协议的虚拟专用网络，SSL VPN采用公钥加密的方式来保障数据在传输过程中的安全性，SSL VPN工作在应用层和TCP层之间，它采用浏览器和服务器直接沟通的方式，客户端可利用浏览器内建的SSL协议封包处理功能，用浏览器通过SSL VPN网关连接到网管系统局域网，然后透过网络封包转向的方式，让客户端可以远程访问数据通信网网管服务器。

IEEE 802.1x协议作为一种典型的准入控制协议，接入控制点在交换机端口，控制点低，对接入终端的控制能力强。当网络中增加客户端时，需要提前在终端安装好客户端软件，并需要在相应交换机、准入系统进行数据配置。所以新增接入控制点较多时，部署实施和维护成本较高。同时IEEE 802.1x需要安装客户端，不能够简单便捷的应用。

SSL VPN以SSL协议为基础，除了可以实现远程接入认证外，SSL VPN还能够对IP通信进行保护。SSL VPN通过握手协议来进行认证授权并生成会话密钥，通过记录协议来对传输的应用层数据进行加密保护，使远端用户接入更加安全。

对于局域网内网用户准入控制，IEEE 802.1x协议更加严格，对于远程接入用户接入控制，SSL VPN更加方便、安全。所以IEEE 802.1x协议适用于局域网内部准入控制，而SSL VPN更适用于远端用户的安全接入。

3 问题分析

上海局铁路DCN安全防护系统主要针对DCN网管系统进行安全防护，网管服务器设置在上海网管中心，网管中心复示终端与网管中心DCN网管网路由器下挂的三层交换机连接，其余车间网管复示终端则直接就近接入车间所在地的DCN网管网路由器，由于采用IEEE802.1x协议认证方式需要通过三层交换机与准入控制系统平台进行EAP报文交互，因此上海局目前仅有网管中心复示终端配置了IEEE802.1x协议认证方式，其余各车间网管复示终端均无任何安全措施，存在以下风险：1）攻击者可随意接入网络，使用网络资源，访问局网管系统局域网及设备，进行一系列的入侵行为。攻击者可随意仿冒终端IP地址与服务器进行通信，对网络设备进行操作，影响后期溯源分析调查；2）终端主机未使用有效的加密通信手段进行通信加密，攻击者可以通过获取终端与服务器的相关交换报文，窃取相关用户名、密码等敏感信息，有数据泄露风险，容易导致中间人攻击，攻击者对交互的报文数据进行篡改，影响日常设备正常运行。

4 解决办法

常用的终端准入及安全加密技术实现，主要通过IEEE802.1x、二层隧道协议（Layer 2 Tunneling Protocol，L2TP） VPN、互联网安全协议（Internet Protocol Security ，IPSec ）VPN、SSL VPN等技术方法，在使用中各有特点。

IEEE802.1x认证：需要在各车间网管复示终端接入DCN网前，加入三层交换机设备，通过三层交换机对接准入控制系统服务器，完成对终端主机的认证、授权控制，实现终端主机的准入需求。采用IEEE802.1x认证方式需要提前在网管复示终端安装特定客户端软件，并需要增加三层交换机投资和维护。同时单独使用IEEE802.1x认证，无法满足网管终端数据传输的保密性需求。

SSL VPN认证：通过使用防火墙设备SSL VPN虚拟网关功能解决远端接入安全和通信加密问题。SSL VPN是指采用SSL协议来实现远程接入的一种新型VPN技术。可利用防火墙设备的SSL VPN虚拟网关功能，实现车间终端主机的远端接入安全及通信的保密性。SSL VPN基于B/S架构，主机接入后通过web浏览器访问SSL VPN网关进行用户认证，认证通过后可利用SSL VPN的网络扩展、web代理、端口转发功能，实现内部网络的通信访问。通过SSL VPN协议的安全加密功能，对通信过程进行安全加密，满足通信的保密性需求。

目前各主流厂家防火墙设备均支持SSL VPN虚拟网关功能，充分利用既有防火墙资源，在不增加设备投入、不改变网络拓扑结构的情况下，启用SSL VPN功能，满足各车间网管复示终端的接入控制、访问授权和通信过程的保密性需求。

应用SSL VPN方式进行远端接入认证，需要在网络边界防火墙设备开启SSL VPN虚拟网关功能，并配置相关用户名、密码及资源授权控制规则。

各车间复示终端接入DCN网络后，只能访问边界防火墙设备，无法直接访问网管服务器及服务器区域内堡垒机等资源。需要通过web浏览器在SSL VPN虚拟网关认证页面输入用户名和密码进行接入认证。认证通过后，在web页面点击启动网络扩展功能，SSL VPN虚拟网关会为远程接入终端分配私网IP地址并自动进行相关网络设置。此时复示终端主机才能通过SSL VPN分配的私网IP地址与网管服务器进行通信，登陆相关网管系统、堡垒机系统进行日常运维。在通信过程中使用SSL握手协议协商的会话密钥进行通信加密，整个通信过程只能看到终端主机与SSL VPN网管的通信报文交换，很好的对内部网络进行了隐藏。通过SSL VPN网络扩展功能，只允许终端主机访问网管服务器及服务器区域内堡垒机等资源，终端与数据网网元之间、各车间终端之间无法相互访问，提高安全性。

5 结论

针对铁路数据通信网管系统网络特点，可通过采用SSL VPN技术来解决车间复示终端安全接入、认证授权、数据加密传送等问题。在SSL VPN虚拟网关侧可以通过与活动目录服务(Active Directory，AD)域控制器、远程用户拨号认证系统（Remote Authentication Dial In User Service，RADIUS）认证服务器、数字证书认证(Certification Authority，CA)等系统对接使用，实现全面的双因子用户认证。通过网络扩展功能实现网络转发，并利用主机安全检查、缓存清理、端口控制等组合功能，打造安全可控的车间网管复示终端安全计算环境，满足车间网管复示终端的三级等保需求。