電力保護裝置站控制層網(wǎng)絡的防火墻策略分析

郭威銘

（長園深瑞繼保自動化有限公司，廣東 深圳 518057）

0 引 言

電力保護裝置站控制層網(wǎng)絡的防火墻研究是電力系統(tǒng)二次保護的重要內(nèi)容，同時關系到電力保護設備安全。通過對網(wǎng)絡安全技術領域的深層次研究，全面落實電力保護裝置站控制層網(wǎng)絡的防火墻策略。信息時代背景下，科學技術不斷創(chuàng)新，基于5G技術的廣泛應用和物聯(lián)網(wǎng)發(fā)展逐漸成熟，網(wǎng)絡設備發(fā)展空間擴大，安全要求更加嚴格。電力保護裝置站作為電力系統(tǒng)二次保護裝置，提高其安全性是電力系統(tǒng)的重要發(fā)展任務。目前保護裝置的網(wǎng)絡防御主要包括網(wǎng)絡風暴防御，同時還增加了DDos防御，搭配網(wǎng)絡協(xié)議形成較為完善的控制層網(wǎng)絡防護體系。在此基礎上，還需要設置電力網(wǎng)絡防火墻，以此為電力保護裝置站控制層網(wǎng)絡的安全提供雙重防護，保證其運行安全。

1 電力保護裝置站控制層網(wǎng)絡防火墻策略

電力保護裝置站控制層網(wǎng)絡防火墻策略的設計與落實必須基于對電力保護裝置站控制層網(wǎng)絡防火墻的深層次認識，從電力保護裝置角度出發(fā)了解其特殊性，在此基礎上梳理網(wǎng)絡防火墻策略具體情況。根據(jù)保護裝置的不同，所選擇的操作系統(tǒng)不同，協(xié)議棧也會存在差別。網(wǎng)絡安全防護中，防火墻策略主要針對系統(tǒng)運行報文進行處理，屬于抽象的存在，不會因系統(tǒng)本身而受到影響[1]。防火墻策略的實施需要保護裝置的支持，通過操作系統(tǒng)的引導與協(xié)議棧發(fā)揮防火墻保護作用。圖1為某電力保護裝置站控制層網(wǎng)絡防火墻結構。

圖1 某電力保護裝置站控制層網(wǎng)絡防火墻結構

從抽象角度去分析策略，將其與具體系統(tǒng)區(qū)別開，這樣就可以靈活調(diào)整策略，確保防護策略統(tǒng)一的同時，又能夠?qū)崿F(xiàn)保護方式多元化。對于網(wǎng)絡防火墻策略的研究必須準確區(qū)分其與以太網(wǎng)通用防火墻之間的差別，以保護裝置網(wǎng)絡為分析對象，在防護應用設計中需分別設計對應的網(wǎng)絡架構，同時還要重視防護方案的制定[2]。對網(wǎng)絡防火墻設置越限訪問功能，合法用戶正常登陸，但是若需要下載設備信息或資料等必須通過越限訪問，以此避免設備信息被竊取或被非法利用，減少系統(tǒng)損失。與此同時，還能從根本上阻隔非法人員登陸，提高系統(tǒng)穩(wěn)定性與安全性。通過對電力網(wǎng)絡防火墻的研究，認識到其在電力保護裝置站控制層安全防護中的基石作用，為后續(xù)應用研究提供參考[3]。

2 電力保護裝置站控制層網(wǎng)絡防火墻策略方案與框架設計

2.1 網(wǎng)絡防火墻策略方案設計

通過分析網(wǎng)絡防火墻策略的內(nèi)涵，認識到其對電力保護裝置站控制層安全提升的重要作用，同時也是電力保護升級的必然選擇。以網(wǎng)絡防火墻策略為中心，對整體實施方案進行設計。網(wǎng)絡防火墻策略邏輯具有抽象性特點，受操作系統(tǒng)的影響，防火墻策略實現(xiàn)方式也會出現(xiàn)變化。對電力保護裝置站控制層軟件環(huán)境詳細了解，掌握硬件參數(shù)等，設定明確的目標，在目標引導下高效地完成整體方案設計工作[4]。

針對性判定網(wǎng)絡數(shù)據(jù)報文內(nèi)容，并選擇執(zhí)行與接受的防護策略。在此基礎上，還要對需丟棄的報文及時丟棄。報文判定與選擇均不需要考慮實現(xiàn)方式，實現(xiàn)方式會隨著系統(tǒng)的變化而變化[5]。“默認拒絕一切”是網(wǎng)絡防火墻策略設定的基礎，電力保護裝置站控制層所接觸的所有網(wǎng)絡流量不經(jīng)過特殊設置均視為默認阻擋。防火墻策略的所有防護服務必須根據(jù)電力保護裝置站控制層運行針對性設置，需要主動啟用。策略鏈是防火墻策略的基本形式，簡單的變化運行邏輯如單一接收或丟棄并非策略鏈全部。策略鏈實際應用中致力于全方位、多角度安全防護，是立體防護，囊括數(shù)據(jù)包、協(xié)議類型等所有信息，均按照科學整合與研究后給出客觀防護判斷。

數(shù)據(jù)報文判定速度最快化是防火墻策略設計的基本規(guī)則，需要將不必要的判定及時省略，這樣才能滿足基本定義順序[6]。遵循客戶端白名單設計要求，防火墻策略設計中對于端口字段與數(shù)據(jù)報文并不對應的，省略分析過程直接丟棄，若對應地址并不符合白名單地址同樣可直接丟棄。

按照服務定制限流標準，以服務類型區(qū)分為基礎，加快匹配流速。若部分匹配內(nèi)容并沒有在規(guī)定流速內(nèi)完成，則可以直接丟棄。分層設計策略鏈，結合電力控制層數(shù)據(jù)流具體情況及數(shù)據(jù)類型及時完成數(shù)據(jù)流排序，以此為流量控制提供方便。

2.2 構建控制層網(wǎng)絡安全防護與控制框架

借助Linux操作系統(tǒng)構建網(wǎng)絡安全防護與控制框架，為電力保護裝置站控制層安全防護提供幫助，為網(wǎng)絡防火墻策略的實現(xiàn)提供支撐。網(wǎng)絡安全防護框架的構建主要涉及風暴策略、安全策略、QoS策略、身份認證、入侵檢測策略、防火墻策略以及數(shù)據(jù)加密等功能端口，同時延伸設計Netfiltre子系統(tǒng)。此外，系統(tǒng)的正常運行還需要nftables工具的支持[7]。

2.3 打造完善的防火墻策略鏈

防火墻策略鏈的打造主要包括兩個方向，分別是接收數(shù)據(jù)方向和發(fā)送數(shù)據(jù)方向。

2.3.1 接收數(shù)據(jù)方向

首先需對連接狀態(tài)進行判定，隨后制定策略規(guī)則節(jié)點。判斷的主要目的是確定控制層數(shù)據(jù)具體連接狀態(tài)，若數(shù)據(jù)流處于已連接狀態(tài)，則迅速進入到判定流程；若處于未連接狀態(tài)，則無法順利銜接判定流程。由于此環(huán)節(jié)直接關系到鏈路層報文判定，因此必須對其足夠重視[8]。參考防火墻策略鏈設計的協(xié)議類型，及時對控制層報文進行分類，同步落實流量限制策略。流量限制具體門檻需根據(jù)電力保護裝置站控制層流速確定，服務門檻不同則流速限制條件也會不同。基于此，需要對未接收的數(shù)據(jù)信息進行妥善處理。

其次是對數(shù)據(jù)報文形式進行判斷。以地址解析協(xié)議（Address Resolution Protocol，ARP）報文為判斷對象，若屬于ARP報文，順利銜接判定流程；若不屬于ARP報文，則需要增設判定策略環(huán)節(jié)，將其傳輸值網(wǎng)絡層重新進行報文判定。對于ARP請求，還需判斷是否屬于本地網(wǎng)卡。尤其是op字段值，op字段值為1，則屬于本地網(wǎng)卡IP；op字段值不為1，則不屬于本地網(wǎng)卡IP，不能進入到判定中，需直接丟棄[9]。在網(wǎng)絡層報文實際判定過程中，綜合IP報文結構為載體，對IPv4報文進行判定。是與不是直接關系到進入判定流程與丟棄，屬于IPv4報文需及時將其引入值判定流程，隨后對數(shù)據(jù)包源進行判斷，判斷內(nèi)容包括是否屬于本地網(wǎng)卡、是否在白名單中，若是順利銜接以下流程，若不是則不需要特定分析直接丟棄。

再次是協(xié)議規(guī)則判定方面，結合IP報頭對協(xié)議種類判定。判定協(xié)議包括3種，分別是Internet控制報文協(xié)議（Internet Control Message Protocol，ICMP）、用戶數(shù)據(jù)報協(xié)議（User Datagram Protocol，UDP）以及傳輸控制協(xié)議（Transmission Control Protocol，TCP）。對屬于這3種協(xié)議的著手進行判定，不屬于則直接丟棄。隨后是TCP規(guī)則判定方面，判斷主要對象是數(shù)據(jù)包狀態(tài)。判定標準為New狀態(tài)，屬于此狀態(tài)則進入判定流程，不屬于此狀態(tài)則丟棄。

TCP規(guī)則判定條件下，數(shù)據(jù)流連接狀態(tài)判定主要涉及到以下5種類型。一是New類型，主要代表數(shù)據(jù)流首個數(shù)據(jù)包狀態(tài)。二是Established狀態(tài)，主要代表數(shù)據(jù)包當前處于連接狀態(tài)，同時已經(jīng)與系統(tǒng)其他數(shù)據(jù)流連接。三是Invalid狀態(tài)，主要代表數(shù)據(jù)包當前處于無法識別狀態(tài)或是可識別但無任務狀態(tài)等，出現(xiàn)這種現(xiàn)象的原因主要是電力保護裝置站控制層系統(tǒng)內(nèi)存在問題造成信息不能及時響應。四是Related狀態(tài)，主要代表數(shù)據(jù)包與其他系統(tǒng)處于關聯(lián)狀態(tài)，同時緊密銜接數(shù)據(jù)連接端口。通過對數(shù)據(jù)包源的判斷確定白名單，隨后向客戶端申請服務地址，若數(shù)據(jù)包不在白名單中，則不能進入判定流程，需直接丟棄[10]。流速判定期間，針對性設定流速門檻，隨即展開針對性服務。五是利用UDP規(guī)則判定類型，參考端口白名單判斷情況，確保數(shù)據(jù)流能夠順利進入到ICMP環(huán)節(jié)中，繼而完成數(shù)據(jù)流的判定，確保接收數(shù)據(jù)的安全。

2.3.2 發(fā)送數(shù)據(jù)方向

首先是連接狀態(tài)的判定。若數(shù)據(jù)流處于連接狀態(tài)，則順利銜接到判定流程；若數(shù)據(jù)流并未處于連接狀態(tài)，則需要增加判定策略對數(shù)據(jù)流情況準確判定，即鏈路層報文策略。及時對報文類型進行分類，有效限制流量，協(xié)助狀態(tài)連接順利完成判斷工作。此外，判定后的數(shù)據(jù)若及時被端口接收，則不需要后續(xù)判定操作；若端口并沒有接收數(shù)據(jù)，則直接丟棄。

其次是鏈路層報文的及時判定。判定依據(jù)為ARP報文，若符合要求，順利進行判定；若不符合要求，則增加判定策略。以本地網(wǎng)卡為載體，對數(shù)據(jù)的針對性進行確定。結合鏈路層報文具體情況，制定流速限速計劃，繼而保證數(shù)據(jù)包均達到流速范圍標準，并且被防火墻策略鏈接受。協(xié)議規(guī)則方面，以ICMP、UDP、TCP這3種協(xié)議為主，符合協(xié)議范圍順利進行判定，若不符合協(xié)議范圍需增設判定策略，根據(jù)判定策略結果決定是否丟棄數(shù)據(jù)包。

再次是TCP規(guī)則方面的策略判定。根據(jù)數(shù)據(jù)包具體狀態(tài)，對發(fā)送連接請求權限進行限制。若數(shù)據(jù)包屬于New狀態(tài)，不需要增加策略，可直接丟棄，以此減輕判定流程壓力。流速判定過程中，針對數(shù)據(jù)流量設計服務類型，選擇對應的服務門檻，在此基礎上妥善處理數(shù)據(jù)包。

最后是UDP與ICMP規(guī)則的判定。如果數(shù)據(jù)包判定中需增加判定策略，需及時對數(shù)據(jù)包進行限流，一旦超出限流標準，將不被接受的數(shù)據(jù)包丟棄。回復報文方面，若數(shù)據(jù)包屬于回復報文，則順利銜接到判定流程中；若不屬于回復報文，則需將數(shù)據(jù)包丟棄。

3 結 論

綜上所述，對于電力保護裝置站控制層網(wǎng)絡的防火墻策略來講，實際研究中必須對防火墻策略有全面、深層次的了解。網(wǎng)絡防火墻策略的研究與傳統(tǒng)防火墻策略不同，針對電力保護裝置站控制層特殊情況分別設置對應的防護策略，有效協(xié)助電力保護裝置站阻隔網(wǎng)絡供給。在此基礎上，還要借助協(xié)議棧對系統(tǒng)數(shù)據(jù)包等科學限速，從而提升電力網(wǎng)絡的安全性與穩(wěn)定性，確保安全防護裝置正常運行。從接收數(shù)據(jù)與發(fā)出數(shù)據(jù)兩方面對防火墻策略鏈進行研究，就電力系統(tǒng)數(shù)據(jù)情況實時判定，從而節(jié)省部分判定環(huán)節(jié)，減輕防火墻策略實施壓力，提高防火墻策略效果，保障電力系統(tǒng)健康安全運行。