畅想交通强国愿景，绿盟车载防火墙筑牢智慧城轨安全根基

【轨道交通网-RTAI 智慧城轨网-城市轨道交通门户网站讯】

原标题：畅想交通强国愿景，绿盟车载防火墙筑牢智慧城轨安全根基

背景

2020年3月，《中国城市轨道交通智慧城轨发展纲要》（以下简称《纲要》）正式出台，作为城轨行业首部交通强国建设的发展蓝图，为智慧城轨建设描绘出1-8-1-1的宏伟蓝图，城市轨道交通由此开始加速向网络化、自动化、智慧化发展。

《纲要》中明确：至2025年，开放式多网融合的列车网络及列车装备得到普遍应用，列车网络纳入城轨云网络安全等保体系。围绕城轨车载网络安全建设的大幕就此徐徐拉开。

智慧城轨车载网络安全需求

1、车地通信安全需求

车地通信是指车载网络中列车控制和监视系统(TCMS)和/或车载多媒体和远程信息化服务(OMTS)与地面设施进行双向远程通信。当前车地通信可供选择的无线传输技术主要有:TETRA、GSM、CDMA、3G、WLAN、WiMax、LTE等，随着车地通信对通信承载能力、抗干扰能力的要求不断提高，我国新建城轨普遍采用LTE技术，用来承载乘客信息系统(PIS)、基于通信的列车控制系统(CBTC)等业务，据了解，目前我国已有40座城市、130条以上线路选择LTE-M网络建设车地通信网。

车地通信系统由车载的通信部分移动通讯网关(MCG)和地面的通信部分地面通讯网关(GCG)两部分组成。MCG通常由天线、合路器、车载终端、防火墙等多个模块构成。

MCG安全措施不限于下表：

2、编组网安全需求

我国城轨列车一般采用6节编组（四动加两拖）或8节编组（六动加两拖）的连接方式，较少存在列车骨干网，编组网以多种编组网络技术(MVB、CAN或ECN)的组合应用为主。

编组网根据承载业务属性的不同，分为控制编组网和多媒体编组网。其中承载列车控制和监视系统(TCMS)的网络为控制编组网，承载车载多媒体和远程信息化服务(OMTS)的网络为多媒体编组网。

控制编组网与多媒体编组网之间通常存在数据交互，如列车索引信息通过TRDP-pd传输到多媒体编组网等，通常使用如下方式：两个网络共享一个编组网;两个网络通过路由器(具备防火墙功能)互联;两个网络通过应用层网关互联。

不同业务属性的网络互联，提高了城轨业务的智能化、自动化，同样带来了安全风险,控制编组网安全要求应优先按照封闭传输系统进行防护。

为智慧城轨而生:绿盟车载防火墙

1、产品概述

绿盟车载防火墙是在我国交通强国的时代愿景下，绿盟科技针对智慧城轨车载网络安全防护需求，全新打造的应对传统网络攻击和车载网络威胁的工业防火墙产品。该产品采用单通道并行处理架构，对工业协议数据包一次拆解时，不仅可实现各类应用协议（TRDP、Modbus、OPC、HTTP等）的深度解析，而且可同步实现工业病毒查杀、工业入侵防护、访问控制等功能。作为新一代的车载综合边界防护平台，该产品重点防护MCG、控制编组网与多媒体编组网边界，助力智慧城轨车载网络等保建设落地，为我国智慧城轨车载网络的边界安全提供全场景防护能力。

2、功能介绍

网络适应性

• NAT转换功能 支持双向NAT：SNAT和DNAT。将编组网的某个工段或者工作域以一个特定IP地址对外发布，防止控制编组网内主机直接暴露在对外网络中，保证编组网的主机和设备安全。


• 路由功能 支持静态路由和动态路由功能。动态路由包括：RIP、OSPF动态路由协议。静态路由协议支持基于源地址、目的地址、度量值的路由。


• VPN 支持IPSecVPN，提供网关到网关和远程接入的安全服务功能，它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性，且支持国密算法。


• IPv6 支持IPv4和IPv6两种协议同时存在的网络环境，支持IPv4和IPv6两种协议的相互转换。

场景化防护

• 基础访问控制 可以支持基于出/入接口、源/目的IP地址、服务、时间的安全策略，支持IP地址过滤、MAC地址过滤、IP＋MAC绑定等。


• 工业协议深度检测 能够解析轨交专有协议TRDP、RSSP-I、RSSP-II及城轨各控制系统常用协议OPC、Modbus、Ethernet/IP、S7、IEC61850、IEC104等，对工控协议特征做到实时解析和精准的识别。


• 白名单控制 通过深度解析工控协议、分析工控过程行为，自动学习基于工控协议的操作行为和规则，建立安全检测模型，通过建立工业控制协议白名单访问控制策略，保障业务正常运行的同时阻止不必要的网络流量、异常攻击行为。


• 动态端口开放 支持对车载网络中OPC等通讯协议的动态端口开放功能，保证协议正常运行。


• 通用协议控制 支持HTTP、FTP、Telnet等通用应用层协议控制。

立体化防护

• 工业入侵防御 工业入侵防御利用工业互联网安全事件特征检测到特定的网络行为，选择放行、阻断、报警等动作，以达到保护网络的功能。入侵防御的事件特征库通过进行动态升级，可以有效防护针对车载网络的众多攻击行为。


• 防病毒 实时病毒扫描，采用流模式和启发式扫描技术，对利用HTTP、SMTP、POP3、FTP、IM等多种协议进行传播的病毒进行扫描，完成对木马病毒、蠕虫病毒、宏病毒、脚本病毒等的查杀，同时支持多线程并发控制、深层次压缩文件杀毒、病毒白名单等功能。


• 过滤 按照不同类型（如不良言论、网络钓鱼、论坛聊天等）划分，可实现对工作无关网站、不良信息、高风险网站的准确、高效过滤。


• 内容过滤 可对任意安全区域间交互的网页内容、搜索引擎信息内容、文件传输、邮件收发、论坛发言、服务器操作、以及即时通讯内容等进行基于内容关键字的准确检测、阻断、告警、记录和信息还原，实现深度内容安全管理与跟踪。


• DDOS防护 支持DDoS防护功能，保护车载网络环境免于遭受恶意流量的攻击，能够支持的DDoS防护功能包括：SYN-FLOOD攻击防护、UDP-FLOOD攻击防护、ICMP-FLOOD攻击防护、TearDrop攻击、Land攻击、超大ICMP数据攻击等，保护车载网络环境免于遭受恶意流量的攻击。

高可用

双机热备

• 支持双机冗余部署，满足不同的组网需要，实现业务系统网络的高可用性。


• 软硬件看门狗 支持软硬件看门狗，如果程序出现故障，就使看门狗产生复位信号并重启系统。


• 负载均衡 支持基于链路聚合的负载均衡、基于路由的负载均衡及基于NAT的负载均衡。


• 硬件bypass 支持硬件bypass，在设备断电、死机时能够直接将内、外两个端口物理连通。

3、防护架构图

车地通信防护架构图

对MCG进行安全加固，部署绿盟车载防火墙，实现车地访问控制、流量管控、抗DDoS、路由、VPN及专用协议RSSP防护等。

编组网防护架构图

将车载网络分层为控制编组网与多媒体编组网，控制编组网与多媒体编组网之间部署绿盟车载防火墙，对实现编组网间访问控制、流量管控和专用协议TRDP防护等。

总结

绿盟车载防火墙作为绿盟工业防火墙家族中一员，践行着为我国关键性基础设施的边界提供全场景防护能力的产品要求，以更懂车载网络、守护智慧城轨为己任，为智慧城轨的发展添砖加瓦。返回搜狐，查看更多

责任编辑：