铁路网络安全系统割接改造的方案的探讨.docVIP

铁路网络安全系统割接改造的方案的探讨 　　摘要：简述了网络安全系统结构，重点阐述网络安全升级迁移割接实施步骤及过程，分析了过程中风险因素，通过实施取得的成功经验为后续工程提供参考。 　　关键词：网络安全系统；割接。 　　中图分类号：TN711 文献标识码：A 文章编号： 　　 　　南宁铁路局新建行车调度指挥中心工程，是南宁铁路局新建立起来对网络结构、网络规模以及网络性能的优化与升级的综合工程，工程要求从既有中心迁移至新中心实现无缝切割，即在迁移同时须保证指挥中心对控制的200多个车站近3000公里线路指挥安全，并要求割接过程中数据实时更新，在割接同时实现系统升级。铁路行车行车指挥系统是保证行车安全和运输效率的重要设备，网络安全系统的特殊性和重要性，在工程的实施过程中，应该充分考虑搬迁过程中对在用网络造成的实际影响，充分考虑到网络安全系统搬迁过程中可能出现的各种情况，须对系统结构及系统功能认真分析、周密制定方案，将网络安全系统迁移工作对用户的影响降至最小。 　　南宁局在用的行车指挥系统网络安全设备包括：中心防火墙系统、中心网络反病毒系统、网络漏洞评估系统、身份认证系统。 　　1 工作内容概述 　　网络安全系统搬迁工程的主要任务是将原有中心至车站防火墙系统从原先的路由模式的防火墙网络结构切换到新中心透明模式的防火墙网络结构；把局间和TD结合部的防火墙搬迁到新中心，系统结构不变。同时在新中心添加新的网络安全子系统。 　　2实施阶段 　　本次搬迁割接分五个阶段实施： 　　2.1 新机房设备准备阶段：主要完成各服务器软件安装，防火墙策略调试； 　　2.2新机房设备联调阶段：主要配合完成整个安全系统的联调联试； 　　2.3新机房和老机房联调联试阶段：主要完成机房网络联通，部分设备试用； 　　2.4车站网络通道切割阶段： 主要完成车站网络防火墙系统从老机房同步割接到新机房； 　　2.5 对部、局间防火墙系统切割阶段：主要完成TD结合部、局间防火墙设备从老机房搬迁到新机房； 　　3中心至车站防火墙割接 　　3.1系统分析及割接准备 　　充分利用新增加的安全设备建立一个新的网络安全结构。新中心网络结构与旧的网络结构并不是相对独立的关系，相反，新中心网络与旧网络之间存在一定的关系，通过充分的准备与良好的控制将旧的网络安全设备逐步地向新的网络中过渡，从而达到平滑过渡的目的。将老机房4台中心至车站防火墙节点分时分阶段地进行，保证车站与中心网络的联接不会中断，应用业务所得到的网络服务不受影响。但是，由于存在一个新旧网络并存的阶段，因此需要考虑较多的因素，避免出现网络服务中断的现象。 　　割接准备工作的目的是应用新增的网络安全设备，按要求建立一个新的网络安全模型，该网络安全模型通过和旧的网络安全结构连接，并且通过路由设置，使的新、旧网络安全模型两个部分可以互相通信，这样，当我们在将老机房网络的安全设备从旧网络转接至新网络时，可以做到平滑过渡。 　　割接前应完成的工作：所有新设备的上架；所有网线的布放；相应设备与联接的标识与标注，以便于在网络能够正确、迅速地恢复。 　　3. 2具体的工作步骤 　　3.2.1根据南宁局网络的实际情况，采用新的临时IP地址段作为搬迁工程的网络地址，这样在新旧网络并存时不会存在IP地址冲突的问题。 　　3.2.2要点断开老机房A网中的防火墙的线路，同时联接新机房A网的中心防火墙。 　　3.2.3测试双网之间的联通性。若测试某一方面不成功，迅速查找原因，如在短时间内不能发现原因，则按恢复方案将网络恢复为原来状态。 　　3.2.4分别测试新机房中通过新增网络安全设备与车站之间的联通性，保证新网络安全设备接到旧网络中时不会造成网络服务中断。 　　3.2.5观察防火墙工作情况，并测试车站网络通过新链路的通讯能力。至此，一个新旧网络并存的网络安全结构模型已经完成。在该模型中，所有的服务器仍然联接于旧网络结构中，但新的网络安全设备也可以正常地与其它所有网络设备联通。 　　3.2.6 要点断开老机房B网中的防火墙的线路，同时联接新机房B网的中心防火墙。 　　3.2.7 测试双网之间的联通性。若测试某一方面不成功，迅速查找原因，如在短时间内不能发现原因，则按恢复方案将网络恢复为原来状态。 　　3.2.8分别测试新机房中通过新增网络安全设备与车站之间的联通性，保证新网络安全设备接到旧网络中时不会造成网络服务中断。 　　3.2.9观察防火墙工作情况，并测试车站网络通过新链路的通讯能力。至此，一个新的网络安全结构已经建成，新机房网络与老机房网络之间光纤联接， 保证过渡期间的局域网络链路的畅通。 　　3.3 具体割接过程 　　将老机房4台中心至车站防火墙节点分时进行，而不会影响网络服务。