宽带互联网

IP 城域网网络安全研究 《2008-07-10 08:26:34) 经过了数年市场变迁，当前我国 下 城域网又面临着一个新的发展阶段。对 I 城域网 的需求已经从简单的高带宽, 转向可提供高质量、多业务、高可靠性不同断通信的方向发展。 因此，作为网络质量的基础之一，网络安全问题忆越 ”来越受到运营商的重视。同时，在一些特殊的行业应用中，例如银行、公安、支付、 企业百联互通等，IP 网络的安全性、保密性又被作为一种对实际业务的要求而提出，也促 进了 瑟 城域网网络安全技术的发展. 城域网网络架构与安全现状 了 城域网的网络絮构一般分为三个层次。 网络核心层、网络汇桶层、宽带接入层，网 络的各个层次承担了不同的功能。 根据城域网不同网络层次的不同功能,每个层次都有不同 的特点,面临不同的安全问题。 核心层网络主要面临的安全问题是路由的安全及核心层设备 自身受攻击的问题;汇聚层网络主要面临的安全问题是路由的安全、各种异常流量的抑制、 用户业务的安全，以及用户访问的控制， 搂入层网络主要由一些二层接入设备构成,其主要 面临的安全问题是一些基于二层协议的用户攻击行为和广播风暴的抑制等。 从业务方面来看，城域网所承哉的公众业务主要有三类。 首先是LAN 用户的接入业务， 包括一些企业的 LAN 接入其次是通过 PPPoE 方式接入的宽带上网业务，最后是一些基于 DHCP Option82 方式的新兴业务，例如 IPTY 业务。这些业务对安全方面的要求各不相同， LAN 业务主要的安全问题是用户隅离和用户接入控制，PPPoE 宽带上网主要是用户账号盗用 的问题，IPTV 业务的主要问题是 DHCP 用户认证方式的安全性。 城域网网络安全架构 匡 城域网网络安全模型 对于宽带芋网络运营商而言,宽带城域网包括基础承载网络和运营支撑平台两个部分。 城域承网是城域网业务接入、汇聚和交换的物理核心网，它由核心交换层、边缘汇聚层、 综合接入层构成。运营支撑平台由业务支撑平台、网管平台、认证计费平台等组成- 针对 城域网承载网络部分面临的安全问题的特点, 对于不同的网络层次我们采用不 同的安全策略，米控制网络中的安全风险。 对于城域网运营支撑平台，我们将采用分区域的安全模型，将支撑平台划分成三个区 域: 信任域、非信任域和隔离区域。信和任域是宽带运营商的基础网络， 通常采用防火墙等设 备与电信呈务承载网隔离,包括网管平台、智能业务平台、认证平台等设备; 隔离区域是信 任域和非信任域之间进行数据交互的平台，包括电信运党商提供的各种业务平台，如 Web 服务平台、FTP 服务器、用户查询平台、Mail 服务器等，非信任域是运营商面对客户的基础  网络，它直接提供用户的接入和业务，同时也是 Internet 网络的一部分，包括基础用户接 入、数据交换、媒体网关等设备，是运营商不能完全控制的网络。非信任域的基础网络是信 息传输的基础,在城域网中起着至关重要的作用，作为安全模型中的非信任域， 需要重点考 上让。 II 城域网核心层安全 共核心层网络的安全哥构来说，由于其担负网络核心承载的功能，因此，必须采用全 互联的网络结构，充分保证网络的连通性，提供必须的网络宛余功能。 同时，核心层设备还需要采用以下一些安全策略，保障网络的安全、可靠，包括: 全采用无阻塞交换的路由器和交换机设备: 健采用还包转发、分步处理、Wred 等 008 技术，避免流 Cache 模型造成系统基沉: 节点关键设备元余备份，系统出现软硬件故障时，可迅速切换到备用模块， 急在重要的核心节点，采用一些双 108 系统的网络设备，在设备主用软件系统产生故 障时，可以自动倒换到备用的软件系统上，保证设备转发不中断: 全网络设备采用多极安全密码体系，限制非法设备和用户登录; 急实现路由认证，保证路由协议安全，支持 SNMPV3，安全网管，莞采用 ACL 策略，过 源流向引擎板卡的异常流量，保证设备核心的安全; 全采用如 Netflow 等流量监控手段，监测异常流量,， 匡 城域网汇聚层安全 汇涌层负责汇集分散的搂入点进行数据交换，提供流量控制和用户管理功能，作为城 域网的业务提供层面，是可运营、可管理城域网最重要的组成部分。 汇聚层设备是用户管理 的基本设备, 也是保证城域网承截网和业务安全的基本屏障, 更是保障城域网安全性能的关 键。 汇取层设备的安全特性主要体现在以下几点， 入用户接入网络的安全控制，包括加强口令密码、智能卡等访问控制手段; 和支持限制用户端口最大接入 I 地址数、PPP 会话数、TCPVUDP 连接数, 有效防止 0S、 DDoS 类的攻击， 和支持访问控制列表 (ACL) ，包括在虚执路由器中创建 ARCL 列表、采用多种过滤规则 提供多层次对目标网络的保护，以及禁止部分用户访问或有选择地屏矿网络服务 外可实现对用户带宽的控制:  入安全日志管理。从长远看，BRAS 产品也必须考虑用户的安全防护措施。如何提供病 考防治、集中安全管理和升级等手段，将成为提高通信网络安全的关键- 匡 城域网接入层安全 通过各种接入技术和线路资源实现用户镭妆，提供多业务用户的接入并配合完成用户 流量的控制功能，包括 xDSL、LAN 和 WLAN 等接入方式。 设备采用的安全手段包括: 一保证接入侧用户相互隔离，保证接入的安全性，防止 下地址被盗用或优目，防上 用户问的相互攻击: 一一中地址与 MAC 地址、卡号绪定，能够准确定位用户，包括端口或MAC 地址，并可 提供追查恶意用户的手段; 一在 LAN 接入方面，还要采用一些端口检测的措施，防止用户一层环路的发生; 一采用 PortSecurity 措施，防止用户的 CAM 攻击和 ARP 攻击等。 城域网运营支撑平台的安全 信任域的安全 信任域直网络业务支撑系统、网管系统、用户认证计费系统等组成，是城域网安全运 营的核心所在，因而，必须采取最严密的安全措施。在一般情况下，信任域可能面临的威助 包括网络攻击、网络入侵、病毒〈造成拒绝服务攻击) 等。为了四兔这些威助，保证信任域 的安全，可采取以下手段， 去部署防火墙，制定严格的安全访问策略，严格限制对此区域的访问: 去认真配置好系统软件和应用软件, 跟踪操作系统和应用系统的涅洞及补丁进展情况， 严格限定系统和应用所服务对象的范围 妆部署网络入侵监测系统(IDS