作者: 陈仲华 王孝明 张连营, 　出处:中国信息产业网,　责任编辑: 郭秋爽,　

　　2008-07-11 10:35

　　经过了数年市场变迁，当前我国IP城域网又面临着一个新的发展阶段。对IP城域网的需求已经从简单的高带宽，转向可提供高质量、多业务、高可靠性不间断通信的方向发展。

　　经过了数年市场变迁，当前我国IP城域网又面临着一个新的发展阶段。对IP城域网的需求已经从简单的高带宽，转向可提供高质量、多业务、高可靠性不间断通信的方向发展。因此，作为网络质量的基础之一，网络安全问题已越来越受到运营商的重视。同时，在一些特殊的行业应用中，例如银行、公安、支付、企业互联互通等，IP网络的安全性、保密性又被作为一种对实际业务的要求而提出，也促进了IP城域网网络安全技术的发展。

　　城域网网络架构与安全现状

　　IP城域网的网络架构一般分为三个层次：网络核心层、网络汇聚层、宽带接入层，网络的各个层次承担了不同的功能。根据城域网不同网络层次的不同功能，每个层次都有不同的特点，面临不同的安全问题。核心层网络主要面临的安全问题是路由的安全及核心层设备自身受攻击的问题;汇聚层网络主要面临的安全问题是路由的安全、各种异常流量的抑制、用户业务的安全，以及用户访问的控制;接入层网络主要由一些二层接入设备构成，其主要面临的安全问题是一些基于二层协议的用户攻击行为和广播风暴的抑制等。

　　从业务方面来看，城域网所承载的公众业务主要有三类：首先是LAN用户的接入业务，包括一些企业的LAN接入;其次是通过PPPoE方式接入的宽带上网业务;最后是一些基于DHCP Option82方式的新兴业务，例如IPTV业务。这些业务对安全方面的要求各不相同，LAN业务主要的安全问题是用户隔离和用户接入控制;PPPoE宽带上网主要是用户账号盗用的问题;IPTV业务的主要问题是DHCP用户认证方式的安全性。

　　城域网网络安全架构

　　IP城域网网络安全模型

　　对于宽带IP网络运营商而言，宽带城域网包括基础承载网络和运营支撑平台两个部分。城域承载网是城域网业务接入、汇聚和交换的物理核心网，它由核心交换层、边缘汇聚层、综合接入层构成。运营支撑平台由业务支撑平台、网管平台、认证计费平台等组成。

　　针对IP城域网承载网络部分面临的安全问题的特点，对于不同的网络层次我们采用不同的安全策略，来控制网络中的安全风险。

　　对于城域网运营支撑平台，我们将采用分区域的安全模型，将支撑平台划分成三个区域：信任域、非信任域和隔离区域。信任域是宽带运营商的基础网络，通常采用防火墙等设备与电信业务承载网隔离，包括网管平台、智能业务平台、认证平台等设备;隔离区域是信任域和非信任域之间进行数据交互的平台，包括电信运营商提供的各种业务平台，如Web服务平台、FTP服务器、用户查询平台、Mail服务器等;非信任域是运营商面对客户的基础网络，它直接提供用户的接入和业务，同时也是Internet网络的一部分，包括基础用户接入、数据交换、媒体网关等设备，是运营商不能完全控制的网络。非信任域的基础网络是信息传输的基础，在城域网中起着至关重要的作用，作为安全模型中的非信任域，需要重点考虑。

　　IP城域网核心层安全

　　从核心层网络的安全架构来说，由于其担负网络核心承载的功能，因此，必须采用全互联的网络结构，充分保证网络的连通性，提供必须的网络冗余功能。

　　同时，核心层设备还需要采用以下一些安全策略，保障网络的安全、可靠，包括：

　　◆采用无阻塞交换的路由器和交换机设备;

　　◆采用逐包转发、分步处理、Wred等QoS技术，避免流Cache模型造成系统崩溃;

　　节点关键设备冗余备份，系统出现软硬件故障时，可迅速切换到备用模块;

　　◆在重要的核心节点，采用一些双IOS系统的网络设备，在设备主用软件系统产生故障时，可以自动倒换到备用的软件系统上，保证设备转发不中断

　　◆网络设备采用多极安全密码体系，限制非法设备和用户登录;

　　◆实现路由认证，保证路由协议安全，支持SNMPV3，安全网管;茺采用ACL策略，过滤流向引擎板卡的异常流量，保证设备核心的安全;

　　◆采用如Netflow等流量监控手段，监测异常流量。

　　作者: 陈仲华 王孝明 张连营, 　出处:中国信息产业网,　责任编辑: 郭秋爽,　

　　2008-07-11 10:35

　　经过了数年市场变迁，当前我国IP城域网又面临着一个新的发展阶段。对IP城域网的需求已经从简单的高带宽，转向可提供高质量、多业务、高可靠性不间断通信的方向发展。

　　IP城域网汇聚层安全

　　汇聚层负责汇集分散的接入点进行数据交换，提供流量控制和用户管理功能，作为城域网的业务提供层面，是可运营、可管理城域网最重要的组成部分。汇聚层设备是用户管理的基本设备，也是保证城域网承载网和业务安全的基本屏障，更是保障城域网安全性能的关键。

　　汇聚层设备的安全特性主要体现在以下几点：

　　●用户接入网络的安全控制，包括加强口令、密码、智能卡等访问控制手段;

　　●支持限制用户端口最大接入IP地址数、PPP会话数、TCP/UDP连接数，有效防止DOS、DDOS类的攻击

　　●支持访问控制列表(ACL)，包括在虚拟路由器中创建ACL列表、采用多种过滤规则提供多层次对目标网络的保护，以及禁止部分用户访问或有选择地屏蔽网络服务;

　　●可实现对用户带宽的控制;

　　●安全日志管理。从长远看，BRAS产品也必须考虑用户的安全防护措施。如何提供病毒防治、集中安全管理和升级等手段，将成为提高通信网络安全的关键。

　　IP城域网接入层安全

　　通过各种接入技术和线路资源实现用户覆盖，提供多业务用户的接入并配合完成用户流量的控制功能，包括xDSL、LAN和WLAN等接入方式。

　　设备采用的安全手段包括：

　　——保证接入侧用户相互隔离，保证接入的安全性，防止IP地址被盗用或仿冒，防止用户间的相互攻击;

　　——IP地址与MAC地址、卡号绑定，能够准确定位用户，包括端口或MAC地址，并可提供追查恶意用户的手段;

　　——在LAN接入方面，还要采用一些端口检测的措施，防止用户二层环路的发生;

　　——采用PortSecurity措施，防止用户的CAM攻击和ARP攻击等。

　　城域网运营支撑平台的安全

　　信任域的安全

　　信任域由网络业务支撑系统、网管系统、用户认证计费系统等组成，是城域网安全运营的核心所在，因而，必须采取最严密的安全措施。在一般情况下，信任域可能面临的威胁包括网络攻击、网络入侵、病毒(造成拒绝服务攻击)等。为了避免这些威胁，保证信任域的安全，可采取以下手段：

　　☆部署防火墙，制定严格的安全访问策略，严格限制对此区域的访问;

　　☆认真配置好系统软件和应用软件，跟踪操作系统和应用系统的漏洞及补丁进展情况，严格限定系统和应用所服务对象的范围;

　　☆部署网络入侵监测系统(IDS),对核心服务实施监控，对网络攻击和病毒及时报警;☆建立网管系统和日志系统;

　　☆对重要的主机系统应采用双机热备份方式，对重要的应用系统和数据做好完善的备份工作，根据具体情况和需要设置灾难恢复系统。

　　隔离域的安全

　　隔离域是城域网对外业务服务的平台，包括WWW服务、DNS服务、FTP服务、Mail服务、用户查询系统等，所有业务必须对外开放，因而安全威胁最大，也是最容易受到攻击的区域。为保证安全，可采取以下手段：

　　▲部署防火墙，制定安全访问策略，特别是拒绝服务攻击(DDOS);

　　▲及时修补服务器的安全漏洞，关闭不必要的网络服务等;

　　▲系统备份和日志系统等等。

　　非信任域的安全

　　非信任域是网络业务的传输网络，主要由各种网络交换机、服务器等组成，它直接提供用户的接入和业务。非信任域网络安全的主要威胁来自各种攻击和病毒，其危害性主要表现在三个方面：

　　-网络攻击或病毒攻击会消耗网络设备的系统资源，特别是CPU的处理能力，使正常用户报文丢失，造成网络故障。

　　-攻击大量消耗四层资源，如TCP连接数资源，对网络服务器和NAT设备的影响很大。

　　-黑客对设备访问控制权的攻击。

　　非信任域内的安全措施主要是采用一些动态病毒监测、镜像系统备份等手段，防止病毒对系统造成危害;必须采用一些木马动态发现、查杀的工具软件来防止系统漏洞;同时也可以采用一些IDS系统来防止各种DDOS的攻击，保证系统的可用性。

　　作者: 陈仲华 王孝明 张连营, 　出处:中国信息产业网,　责任编辑: 郭秋爽,　

　　2008-07-11 10:35

　　经过了数年市场变迁，当前我国IP城域网又面临着一个新的发展阶段。对IP城域网的需求已经从简单的高带宽，转向可提供高质量、多业务、高可靠性不间断通信的方向发展。

　　未来城域网安全防护趋势

　　一方面，随着WLAN技术在城域网接入环节的兴起，关于无线接入的用户隔离技术以及针对WLAN接入的网络安全防护，将成为城域网中的重要发展方向。由于WLAN技术自身在安全方面的缺陷，导致用户不能有效隔离和用户接入网络易受攻击。现在已经有多种技术可以弥补WLAN技术在安全方面的缺陷，如：可以采用AP隔离、AP与用户IP/MAC地址绑定、WEP加密技术、WPA接入保护、Portal+Radius认证等技术手段来提升WLAN网络的安全特性。

　　另一方面，随着僵尸网络的产生和网络攻击行为的复杂化，未来网络中的黑客攻击将成为越来越突出的安全问题。对比之下，传统的IP城域网对于这些黑客的攻击行为的识别、抵御和防范存在明显的不足，例如：对于目前网络中广泛存在的DOS/DDOS攻击，虽然我们有多种手段进行识别，但是这些手段、措施都是有一定技术限制的，不能很好地识别通过僵尸网络发动的大规模的DDOS攻击。同时，未来的黑客攻击都是通过攻击平台软件来进行的，这些平台软件集成了多种攻击手段，仅采用单一的技术手段不能够防御所有类型的攻击。因此，为了抵御日趋复杂的攻击行为，必须对城域网的防攻击能力有一个完整的规划，首先我们应该建立一个蜜网系统，利用该系统可以从网络中获取实际的病毒数据和攻击行为样本，通过分析可以及时掌握网络中存在的僵尸系统和其指令集，并可以在网络防火墙上指定有针对性的防御策略;其次，我们应该采用一些集成的攻击防御平台，在网络设备和运营支撑平台上采用多种防御手段相结合的策略，抵御网络上的攻击行为。