【飞腾平台实时Linux方案系列】第二十八篇 - 飞腾平台实时Linux网络安全防护方案

一、简介：工业网络“实时+安全”缺一不可

• 政策驱动：《关键信息基础设施安全保护条例》要求“核心控制系统自主可控”。

• 威胁现状：

  • 某电厂 DCS 遭勒索软件，操作员站锁死，机组跳闸。

  • 地铁信号网感染挖矿木马，CPU 占满导致列车 EB（紧急制动）。

• 飞腾平台（FT-2000/4、D2000）已大规模应用于变电站、采煤工作面、地铁车站，国产化≠安全，需叠加实时 Linux + 立体防护。

掌握“飞腾+实时内核+安全组件”的落地方法 = 同时满足国产化、实时性、合规性三重硬指标。

二、核心概念：6 张图看懂工业安全模型

三、环境准备：30 分钟搭好“飞腾安全实验台”

1. 硬件

• 飞腾 FT-2000/4 工控机 1 台（4 核 2.2 GHz，8 GB DDR4）

• 千兆电口 ≥2（1×实时环、1×管理口）

• 串口线 ×1（调 BIOS + 查看 uboot）

2. 软件

3. 一键装实时内核（可复制）

#!/bin/bash # install_ft_rt.sh set -e wget https://gitlab.com/phytium/linux/-/archive/v5.10.120-rt70/linux-v5.10.120-rt70.tar.gz tar -xf linux-v5.10.120-rt70.tar.gz cd linux-v5.10.120-rt70 cp arch/arm64/configs/phytium_defconfig .config ./scripts/config --set-val CONFIG_PREEMPT_RT y make -j$(nproc) deb-pkg sudo dpkg -i ../*.deb sudo reboot

重启后确认：

uname -r # 5.10.120-rt70

四、应用场景（300 字）：地铁车站 PSCADA 安全防护

某地铁车站 PSCADA（电力监控系统）采用飞腾 FT-2000/4 实时 Linux 控制器，通过以太网与 800 个 IED（智能电子设备）通信，环回时延要求 ≤2 ms。管理网需接入综合监控平台，存在被横向移动风险。方案实施：

1. 划分 VLAN10（实时环）和 VLAN20（管理网），物理网卡独立。

2. VLAN10 启用 nftables 白名单，仅开放 IEC 61850-GOOSE 端口 1025/udp。

3. VLAN20 部署 Suricata，检测异常扫描、爆破行为。

4. 实时环关闭 IPv4 转发、关闭 ICMP 回显，减少攻击面。

5. 规则加载时间 <50 ms，系统重启后 5 s 内进入保护态，环回时延增加 <0.3 ms，满足 SIL 2 实时指标。

五、实际案例与步骤：从“裸机”到“安全域”

5.1 网络拓扑规划

+--------+ VLAN10 +-------------+ | IED |<--->eth0.10<-->| 飞腾 RT Linux | | (实时) | | 控制器 | +--------+ +-------------+ | | | VLAN20 | Suricata +--->eth1.20--------->管理交换机->监控中心

5.2 配置 VLAN 隔离（可复制）

# 加载 8021q 模块 sudo modprobe 8021q # 创建 VLAN 接口 sudo ip link add link eth0 name eth0.10 type vlan id 10 sudo ip link add link eth1 name eth1.20 type vlan id 20 # 分配 IP sudo ip addr add 192.168.10.1/24 dev eth0.10 sudo ip addr add 192.168.20.1/24 dev eth1.20 # 启用 sudo ip link set eth0.10 up sudo ip link set eth1.20 up

5.3 实时防火墙（nftables 白名单）

# /etc/nftables/rt-firewall.nft table inet rtfilter { chain input { type filter hook input priority 0; policy drop; # 1. 允许 VLAN10 白名单 iifname "eth0.10" udp dport 1025 accept # 2. 允许 VLAN20 SSH 管理 iifname "eth1.20" tcp dport 22 accept # 3. 允许回环 iif "lo" accept } } sudo systemctl enable nftables sudo nft -f /etc/nftables/rt-firewall.nft

实时性验证：

sudo nft -f rt-firewall.nft 2>&1 | ts '%.s' # 加载耗时 <50 ms

5.4 入侵检测（Suricata IDS）

# 编译安装（飞腾 ARM64） sudo apt install libpcre3-dev libyaml-dev libpcap-dev wget https://www.openinfosecfoundation.org/download/suricata-6.0.10.tar.gz tar -xf suricata-6.0.10.tar.gz && cd suricata-6.0.10 ./configure --prefix=/usr --enable-nfqueue --enable-lua make -j$(nproc) && sudo make install # 最小规则集 sudo suricata-update # 启动（仅监听 VLAN20） sudo suricata -i eth1.20 -c /etc/suricata/suricata.yaml -D

日志查看：

tail -f /var/log/suricata/fast.log | grep -i alert

5.5 环回时延测试（可复制）

# 在 IED 侧持续 ping sudo hping3 192.168.10.1 -p 1025 -S --fast -T 1

结果：

len=46 ip=192.168.10.1 ttl=64 DF id=0 sport=1025 flags=SA seq=0 rtt=1.8 ms

rtt 中位数 1.6-1.9 ms，满足 ≤2 ms 要求。

六、常见问题与解答（FAQ）

七、实践建议与最佳实践

1. 白名单先行
   默认拒绝一切，逐条开放，避免“先放行再收紧”。

2. 规则热加载
   使用nft -f而非重启服务，减少 200 ms 中断窗口。

3. 故障静默模式
   Suricata 崩溃不影响实时流；systemd 自动重启，日志转储。

4. 双机热备
   实时环双控制器 + STP/RSTP，故障切换 <50 ms。

5. 密钥隔离
   SSH 仅允许密钥登录，PasswordAuthentication no；私钥放 USBKey。

6. 可视化面板
   Grafana + Suricata Exporter，实时显示攻击趋势，审计员一目了然。

八、总结：一张脑图带走全部要点

飞腾实时Linux网络安全 ├─ VLAN隔离：实时/管理双平面 ├─ 白名单防火墙：nftables，加载<50 ms ├─ IDS：Suricata，ARM64编译，规则精简 ├─ 实时指标：环回时延≤2 ms，抖动<0.5 ms └─ 合规：满足 IEC 62443-3-3 控制域隔离要求

实时性与安全性不再互斥——用飞腾芯 + PREEMPT_RT + 白名单防火墙，你就能在国产化工业场景里，既跑得快，又守得稳。
把本文脚本 push 到你的 GitLab，下个项目直接git clone && sudo make deploy，让“中国芯”真正插上安全的翅膀！