基于防火墻的手持式變電站運維隔離裝置分析

葉蘇林，廉 穎

（國網寧夏電力有限公司中衛供電公司，寧夏 中衛 755000）

引言

在電網運行維護中，大量設備的配置和調試都需要外部運行管理人員參加，由于缺少技術手段的監督，導致事故發生。2017年，在紹興變電站的調頻控制中IP報警，河北磁縣變電站在調試過程中出現了網絡突發事件。為此，國家電網著手在變電站中推廣應用網絡監控設備，加強對變電站違法外接和不正當作業的監控。這一舉措雖然強化了各個生產單位的網絡安全意識，卻未能對作業者進行有效的監控。為了保證變電站的安全和穩定，各個部門都在積極探索增強變電站的安全保護措施。

1 變電站手持式運維隔離裝置的功能分析

變電站手持式運維隔離裝置具有人員識別、聯網故障診斷和U盤控制等功能，運用防火墻技術監控網絡存取和管理，便于現場維修，減少了施工人員的工作壓力。該設備參考筆記本大小，便于隨身攜帶。

1.1 基礎功能設計

變電站手持式運維隔離裝置以Linux為基礎，加強對木馬和病毒的抵抗[1]。本機具有賬號管理模塊，可有效完成個人身份驗證，防止未經許可的使用者進入或利用本設備。同時，在登陸模塊中設定了一個鎖閉機制，以阻止外人多次嘗試進入該設備。

目前，變電站的各個設備都是由計算機進行信息和數據傳遞，為了便于維修人員對網絡的錯誤特性進行迅速識別，本系統包含了網絡故障檢測和信息分析功能[2]。通過鏈路檢測模塊利用ping命令檢測網絡的連通性，維護員就能夠根據實際情況來判定是存在物理連接問題還是軟件的問題，同時還可以設定分組發送時間、數目、大小等參數，從而對丟包率和處理能力進行進一步的檢測。信息分析模塊內建了IEC104、MMS、GOOSE、SV和SNTP等多種通信信息，有助于維護人員查找故障根源。

1.2 網絡訪問控制功能設計

安全性原則有兩種，一是“沒有顯示許可的服務預設禁用”，二是“沒有顯示被禁用的”。在具有較高安全性能的網絡中，通常使用前者。本文所提出的網絡接入控制系統就是基于這種方法。兩個程序之間的通訊，不僅要得到IP地址，還要了解彼此的端口號碼。

因此，可以通過控制對IP地址和端口的訪問來進行網絡管理。在設備中，僅允許接入目標IP和接口，外部操作人員可以通過手提計算機進行維修。防火墻是一種能夠適應多種操作系統、防止系統或局部系統受到網絡安全攻擊的一種行之有效的手段。在外部運行期間，全部網絡業務都要通過防火墻。另外，該防火墻是基于自定義Linux的，可以減少黑客入侵的幾率。

防火墻主要有三種類型：分組過濾防火墻、狀態檢測防火墻和代理防火墻。通過防火墻可對網絡進行快速分析，但對于那些使用了某一程序的缺陷或特性而發起的襲擊或者IP地址偽造的襲擊是不可能被禁止的[4]。與數據包過濾防火墻比較，該防火墻可以更好地保存TCP的鏈接，從而避免了用戶端的暫時端口被占用。作為內部和外部主機之間的中間件，代理防火墻要比包過濾防火墻更加可靠，無需對TCP與IP的鏈接進行判定，而僅對可用的幾個應用進行詳細的檢查。還可以對應用級上的全部輸入數據進行日志和審核。其程序處理流程如圖1所示。

圖1 程序處理流程圖示

本裝置根據對目的IP地址的限制和端口號報文來實現過濾功能，如某個筆記本電腦的IP地址為172.20.1.234，檢修設備的IP地址為172.20.1.10，其他的運行設備所處于的網段為172.20.1.0/16，所需要開通的服務為SSH，那么該裝置主要所實現的內容如下：

1）iptables-P FORWARD DROP；

2）iptables-AFORWARD-d172.20.1.10-ptcp-dport 22-jACCEPT；

3）iptables-A FORWARD-s172.20.1.0/16-jACCEPT；

4）iptables-AFORWARD-f-mlimit-d172.20.1.10--limit100/s--limit-burst100-jACCEPT；

5）iptables-AFORWARD-picmp-mlimit--limit1/s--limit-burst10-jACCEPT。

需要注意的是，前3個指令為實現該筆記本電腦對于檢修設備SSH服務的訪問，以及允許該設備對筆記本電腦發送數據包。而后2條指令則可避免IP碎片供給，以此來對IP碎片流量進行控制。針對FTP業務，設備利用Agent防火墻來限制存取，分析FTP命令通道和數據通道，從而對FTP命令通道和數據通道進行有效檢測和截獲。如，FTP跳躍式攻擊是通過FTP的端口來與其它裝置進行鏈接，從而對網絡裝置進行破壞。它的進攻流程如圖2所示。該技術難以通過包過濾的防火墻進行有效攔截，必須通過應用級的數據監控進行封鎖。

圖2 FTP跳轉供給示意圖

2 變電站手持式運維隔離裝置的使用流程

為了便于操作人員迅速掌握手動變電站運行的絕緣設備，文中給出了操作程序，如圖3所示。

1）在設備上輸入使用者名稱及口令。

2）將外地維修人員攜帶的筆記本IP地址設定為與現場其它操作設備不同的IP地址（不能與現場其它操作設備的IP地址）相同，并將IP地址輸入操作系統，并設定許可端口號碼。圖3的隔離設備采用了一個策略來設定接口。

圖3 隔離裝置使用流程

3）通過運維筆記本經網線及VGA線路訪問變電站手持式運維隔離裝置，并將筆記本的外接顯示器模式切換至復制模式，然后確認裝置能監視到筆記本的操作，如圖4所示，顯示了連接模式。

圖4 隔離裝置連接拓撲圖

4）對外來人員根據該裝置進行設備運維工作的監督。

5）在整個工作結束之后，需要將裝置中所保存的審計材料拷貝到管理平臺上。

3 實驗結果及分析

為了保障變電站手持式運維隔離裝置自身的實用性和安全性，本文主要對其主要功能進行了詳細測試。

3.1 常規運維工作的測試

本文根據在監控后臺和筆記本電腦連接的隔離裝置，利用FTP軟件來測試傳輸不同文件大小的功能情況，以重復10次為一組，測試數據結果如表1所示。

表1 FTP文件傳輸測試數據結果

利用設備廠家軟件對手持式運維隔離裝置進行配置，對在不同智能設備裝軟件的成功率進行統計，具體數據如下頁表2所示。

根據表1與表2數據統計分析可以明確，該裝置無論是在文件傳輸上還是在不同智能設備的軟件安裝上都有著100%的成功率，表示該裝置在實際應用中可靠性極高。

表2 設備配置測試結果

3.2 網絡訪問控制的分析

將手提計算機與1個絕緣設備相連，其中包含VGA線路和網絡線路。把該隔離器件的其它端口與開關相連，該開關與1臺主機和1臺智能型設備相連。在分離設備中，操作系統目標IP是172.20.1.10，允許端口為22。該電腦可以通過Filezilla軟件，對Filezilla的所有連接要求進行攔截。

上述實驗表明，本裝置能夠滿足變電站的現場運維實際需求。

4 結語

通過對變電站外部維護人員的安全隱患進行研究，給出了相應的技術措施，并對其組成進行了較為詳盡的介紹。該設備采用了防火墻技術，并集成了運行審計、網絡診斷和U盤控制等多種技術，以滿足實際維修工作的需要，從而減少網絡的安全性。確保變電站的電網運行管理工作順利進行。該設備具有如下優點：

1）適用于不同廠商的測試，具有良好的兼容能力。

2）裝置重量輕，便于搬運。

3）可對網絡的惡意襲擊進行有效攔截。

4）可對外部維護人員的作業進行高效審核。

5）使用Linux，防止惡意程序對網絡進行訪問。

6）突破原來的管理方式。

目前，本系統已經在多個變電站進行了試驗，試驗表明，其運行效果符合維修要求，有較大的應用前景。