关于海事海事BGAN网络中安全隔离与信息交换系统设计案例优化网
最后更新时间:2024-02-01
作者:用户投稿
本站原创
点赞:33517
浏览:148445
本站原创
点赞:33517
浏览:148445
论文导读:保没有多余的数据往中心发送,从而代替网隔系统实现业务限制,以免占用有限的海事带宽。协议转换器的作用是将来自路由器的数据转换成ESP协议的数据,并将数据包的源IP改为本地协议转换器的IP地址,目的IP地址改为对端协议转换器的IP地址,此类型的数据具有保密的功能;也可以将来自网隔的ESP包根据协议转换器的设置,转换成所需要的
摘要: 针对安全隔离与信息交换系统在岸船通信应用中,不能实时监测链路通断的难题,研究了现有的设计方案,并改进了其中的不足之处。从安全隔离与信息交换系统、协议转换器、路由器等网络设备的工作原理以及对传输链路的要求等方面分析,并通过OPENET软件模拟、性能测试实验验证了该方案的可行性和有效性,实现了实时监测链路通断的功能,增强了数据的保密性。
Abstract: Aiming at the incapability of real time monitoring the breaks of network with the application ofthe Safe Separation and Information Exchange system in the communication between land and board, the present design scheme was studied and the disadvantages were improved. Analyzing from the operation principle of the network equipments such as the Safe Separation and Information Excha摘自:学术论文格式www.7ctime.com
nge system, negotiate transducer and the requirement of network tranering the information, the OPENET software simulation and the performance test were passed, validating the feasibility and effectiveness of the scheme. The new scheme can achieve the function of monitoring the breaks of the network in real time and strengthen the confidentiality of data.
关键词: 网络安全;信息交换;海事BGAN
Key words: network security;information exchange;Broadband Global Area Network(BGAN)
1006-4311(2012)30-0199-02
0引言
远洋船海事BGAN网络是以第四代海事卫星系统为依托构建的,完成远洋船与地面信息交换中心的信息传输。但海事网络连接国际互联网,而远洋船要求数据保密,海事网络的公用性不满足需求。网络安全隔离与信息交换系统(下文简称网隔系统),通过处理传输信息,可以确保内部网络与公用网络之间信息交互安全。但目前网隔系统的设计方案存在着诸多问题及待解决,有必要优化设计方案,提高海事通信网络可用性以及安全性。
1现行方案及其不足
网隔系统主要用于实现相互隔离网络之间的数据交换。该系统由内网服务器、网闸设备、外网服务器和相关软件组成,其结构图如图2所示。网隔系统采用的是一种基于传输层协议的访问控制协议。总的原则是采用白名单策略,非允即禁。默认情况下,网络隔离设备对所有的数据都是禁止的,只有经过配置的业务数据才允许转发。内网与外网服务器之间共有一个数据共享区,共享数据通过网闸进行摆渡。
对于远洋船话音、图像等数据,通过在网隔系统的管理界面配置了相关的业务,限定传输数据使用的协议,端口号等。内网平台接收到远洋船的试验数据后,再由网闸将数据转发至外网平台,经海事链路向地面信息交换中心发送数据,地面信息交换中心接收到远洋船数据,按逆过程处理数据。因网隔系统只支持UDP、TCP协议的数据,对于非UDP、TCP协议的数据,通过配置网隔系统内部路由,便可使其不经网隔业务配置就可传输。就整个海事链路而言,数据经网隔系统的转发,仅增加了很小的时延,满足数据传输的要求。
1.2 现行方案不足由于网隔系统本身设计复杂,配置过程不易掌握,在现行方案中,存在着以下几点不足:
①配置业务时,操作复杂。在内外网闸配置多个IP地址,稍不留神,就会配错,增加了操作难度。
②远洋船内部网络的终端ping中心的终端时,可以ping通,但是时延小于1ms,这是因为网隔系统的内网平台上虚拟的中心的终端的IP地址,虽然可以ping通,但是却不是真实的中心终端的地址。由于网隔系统的安装,无法使用ping,tracert命令对全网进行检查,给日常岸船间通信系统联调带来了极大不便。
③虽然实现保密网与互联网的隔离,但是由于网隔只支持UDP和TCP协议的转发,网络中常见协议ICMP和IGMP等协议的数据无法转发,致使海事链路上的很多应用受到网隔系统的限制。
2优化方案
2.1 方案设计针对上述现有方案的不足,分析安全隔离与信息交换系统、协议转换器、路由器等网络设备的工作原理以及传输链路的要求,优化了安全隔离与信息交换系统,如图3所示。远洋船发往地面信息交换中心的数据均经防火墙过滤和限制再送至路由器、协议转换器,确保没有多余的数据往中心发送,从而代替网隔系统实现业务限制,以免占用有限的海事带宽。协议转换器的作用是将来自路由器的数据转换成ESP协议的数据,并将数据包的源IP改为本地协议转换器的IP地址,目的IP地址改为对端协议转换器的IP地址,此类型的数据具有保密的功能;也可以将来自网隔的ESP包根据协议转换器的设置,转换成所需要的数据。经海事链路论文导读:系统优化方案。经实验验证,该方案提高了设备稳定性,保证了业务数据协议的多样性,确保了数据的保密性,具有很高的应用价值。海事链路承担了重要数据的传输,链路的稳定,传输信息的安全可靠,是各项任务取得成功的必要前提和重要保障。因此,研究海事链路信息传输方案具有十分重要的意义。参考文献:谢希仁.计算机网络.北京
传送至地面信息交换中心,信息交换中心收到远洋船的数据按逆过程进行处理。网隔只对ESP协议的数据可以透明传输,而对其他业务实行阻断的策略,可以有效阻断外网的恶意攻击,达到确保船内网络设备安全的目的。优化后的方案因为数据包转换为ESP协议后包长变长,增加了链路数据转发的处理时间,使得传输时延相应变长。虽然数据经协议转换器转变成相同ESP协议,但是不会影响数据的Qos策略,因为协议转换器部署在路由器出口,并不影响船内网络的优先级转发。
按照优化方案网络拓扑结构,通过OPENET软件模拟远洋船与中心的端到端链路传输性能测试,软件仿真的结果如表2所示。
通过对比两次实验的数据可以得出,优化方案只是稍微增加了传输时延,各项性能指标完全满足传输业务数据的要求。优化方案即实现了保密网与互联网的隔离,使得互联网上的终端无法访问内网,又保证了数据的正常传输,同时,优化方案支持多种协议类型的数据转发,并且可以ping通对端的终端,能够实时监测链路的中断与否,便于岗位人员及时定位排查故障,方便了岗位人员操作。
3结束语
通过分析现行网隔系统方案的不足以及缺点,在不增加新设备的情况下,提出了一套可行,并且可用的网隔系统优化方案。经实验验证,该方案提高了设备稳定性,保证了业务数据协议的多样性,确保了数据的保密性,具有很高的应用价值。海事链路承担了重要数据的传输,链路的稳定,传输信息的安全可靠,是各项任务取得成功的必要前提和重要保障。因此,研究海事链路信息传输方案具有十分重要的意义。
参考文献:
谢希仁.计算机网络.北京:电子工业出版社,2010.
王达.网管员必读.北京:电子工业出版社,2007.
[3]Richard Stevens,TCP/IP详解.北京:人民邮电出版社,2010.
[4]姚予疆.通信设备接口协议手册.北京:人民邮电出版社,2005.
摘要: 针对安全隔离与信息交换系统在岸船通信应用中,不能实时监测链路通断的难题,研究了现有的设计方案,并改进了其中的不足之处。从安全隔离与信息交换系统、协议转换器、路由器等网络设备的工作原理以及对传输链路的要求等方面分析,并通过OPENET软件模拟、性能测试实验验证了该方案的可行性和有效性,实现了实时监测链路通断的功能,增强了数据的保密性。
Abstract: Aiming at the incapability of real time monitoring the breaks of network with the application ofthe Safe Separation and Information Exchange system in the communication between land and board, the present design scheme was studied and the disadvantages were improved. Analyzing from the operation principle of the network equipments such as the Safe Separation and Information Excha摘自:学术论文格式www.7ctime.com
nge system, negotiate transducer and the requirement of network tranering the information, the OPENET software simulation and the performance test were passed, validating the feasibility and effectiveness of the scheme. The new scheme can achieve the function of monitoring the breaks of the network in real time and strengthen the confidentiality of data.
关键词: 网络安全;信息交换;海事BGAN
Key words: network security;information exchange;Broadband Global Area Network(BGAN)
1006-4311(2012)30-0199-02
0引言
远洋船海事BGAN网络是以第四代海事卫星系统为依托构建的,完成远洋船与地面信息交换中心的信息传输。但海事网络连接国际互联网,而远洋船要求数据保密,海事网络的公用性不满足需求。网络安全隔离与信息交换系统(下文简称网隔系统),通过处理传输信息,可以确保内部网络与公用网络之间信息交互安全。但目前网隔系统的设计方案存在着诸多问题及待解决,有必要优化设计方案,提高海事通信网络可用性以及安全性。
1现行方案及其不足
1.1 现行设计方案远洋船海事BGAN网络拓扑结构如图1所示。
网隔系统部署在路由器和海事主机之间,远洋船试验数据经测量内部网络、防火墙、路由器至网隔系统,经网隔系统处理后实现安全隔离,再由海事链路传输至地面信息交换中心,地面信息交换中心按逆过程处理数据。网隔系统主要用于实现相互隔离网络之间的数据交换。该系统由内网服务器、网闸设备、外网服务器和相关软件组成,其结构图如图2所示。网隔系统采用的是一种基于传输层协议的访问控制协议。总的原则是采用白名单策略,非允即禁。默认情况下,网络隔离设备对所有的数据都是禁止的,只有经过配置的业务数据才允许转发。内网与外网服务器之间共有一个数据共享区,共享数据通过网闸进行摆渡。
对于远洋船话音、图像等数据,通过在网隔系统的管理界面配置了相关的业务,限定传输数据使用的协议,端口号等。内网平台接收到远洋船的试验数据后,再由网闸将数据转发至外网平台,经海事链路向地面信息交换中心发送数据,地面信息交换中心接收到远洋船数据,按逆过程处理数据。因网隔系统只支持UDP、TCP协议的数据,对于非UDP、TCP协议的数据,通过配置网隔系统内部路由,便可使其不经网隔业务配置就可传输。就整个海事链路而言,数据经网隔系统的转发,仅增加了很小的时延,满足数据传输的要求。
1.2 现行方案不足由于网隔系统本身设计复杂,配置过程不易掌握,在现行方案中,存在着以下几点不足:
①配置业务时,操作复杂。在内外网闸配置多个IP地址,稍不留神,就会配错,增加了操作难度。
②远洋船内部网络的终端ping中心的终端时,可以ping通,但是时延小于1ms,这是因为网隔系统的内网平台上虚拟的中心的终端的IP地址,虽然可以ping通,但是却不是真实的中心终端的地址。由于网隔系统的安装,无法使用ping,tracert命令对全网进行检查,给日常岸船间通信系统联调带来了极大不便。
③虽然实现保密网与互联网的隔离,但是由于网隔只支持UDP和TCP协议的转发,网络中常见协议ICMP和IGMP等协议的数据无法转发,致使海事链路上的很多应用受到网隔系统的限制。
2优化方案
2.1 方案设计针对上述现有方案的不足,分析安全隔离与信息交换系统、协议转换器、路由器等网络设备的工作原理以及传输链路的要求,优化了安全隔离与信息交换系统,如图3所示。远洋船发往地面信息交换中心的数据均经防火墙过滤和限制再送至路由器、协议转换器,确保没有多余的数据往中心发送,从而代替网隔系统实现业务限制,以免占用有限的海事带宽。协议转换器的作用是将来自路由器的数据转换成ESP协议的数据,并将数据包的源IP改为本地协议转换器的IP地址,目的IP地址改为对端协议转换器的IP地址,此类型的数据具有保密的功能;也可以将来自网隔的ESP包根据协议转换器的设置,转换成所需要的数据。经海事链路论文导读:系统优化方案。经实验验证,该方案提高了设备稳定性,保证了业务数据协议的多样性,确保了数据的保密性,具有很高的应用价值。海事链路承担了重要数据的传输,链路的稳定,传输信息的安全可靠,是各项任务取得成功的必要前提和重要保障。因此,研究海事链路信息传输方案具有十分重要的意义。参考文献:谢希仁.计算机网络.北京
传送至地面信息交换中心,信息交换中心收到远洋船的数据按逆过程进行处理。网隔只对ESP协议的数据可以透明传输,而对其他业务实行阻断的策略,可以有效阻断外网的恶意攻击,达到确保船内网络设备安全的目的。优化后的方案因为数据包转换为ESP协议后包长变长,增加了链路数据转发的处理时间,使得传输时延相应变长。虽然数据经协议转换器转变成相同ESP协议,但是不会影响数据的Qos策略,因为协议转换器部署在路由器出口,并不影响船内网络的优先级转发。
2.2 比对实验为了验证优化方案的可行性,分别测试两种方案下的链路传输性能。
根据现行方案网络拓扑结构,与中心进行端到端链路传输性能测试时,将网络测试仪连接到内部网络的接入交换机上作为主动测试端,中心将网络测试仪连接到内部网络的接入交换机上作为反射器,其测试连接关系如图4所示,远洋船与中心进行的端到端链路传输性能测试的结果如表1所示。按照优化方案网络拓扑结构,通过OPENET软件模拟远洋船与中心的端到端链路传输性能测试,软件仿真的结果如表2所示。
通过对比两次实验的数据可以得出,优化方案只是稍微增加了传输时延,各项性能指标完全满足传输业务数据的要求。优化方案即实现了保密网与互联网的隔离,使得互联网上的终端无法访问内网,又保证了数据的正常传输,同时,优化方案支持多种协议类型的数据转发,并且可以ping通对端的终端,能够实时监测链路的中断与否,便于岗位人员及时定位排查故障,方便了岗位人员操作。
3结束语
通过分析现行网隔系统方案的不足以及缺点,在不增加新设备的情况下,提出了一套可行,并且可用的网隔系统优化方案。经实验验证,该方案提高了设备稳定性,保证了业务数据协议的多样性,确保了数据的保密性,具有很高的应用价值。海事链路承担了重要数据的传输,链路的稳定,传输信息的安全可靠,是各项任务取得成功的必要前提和重要保障。因此,研究海事链路信息传输方案具有十分重要的意义。
参考文献:
谢希仁.计算机网络.北京:电子工业出版社,2010.
王达.网管员必读.北京:电子工业出版社,2007.
[3]Richard Stevens,TCP/IP详解.北京:人民邮电出版社,2010.
[4]姚予疆.通信设备接口协议手册.北京:人民邮电出版社,2005.