李俊杰+冯南梓
【摘要】 随着互联网业务在电信网络的广泛应用和宽带互联网用户的快速发展,网络安全问题日益成为影响运营商网络正常运行和用户使用网络的重要因数。文章从IP城域网网络现状入手,分析IP城域网安全需求,并提出网络安全解决方案,确保整个IP城域网结构合理,易于管理维护。
【关键词】IP城域网 网络安全 网络安全防护
一、引言
由于技术和专业的限制,IP城域网建设初期网络结构相对简单,设备性能有限的,可提供用户使用的业务类型较少。运营商长期处于铺网、圈地的状态,较少关注网络安全性。
随着宽带提速、光网城市的推进,用户规模越来越大,原有网络结构、设备性能的一些弊端逐渐显现出来,IP城域网网络安全风险越来越大,网络安全问题正逐步成为影响网络正常运行、业务顺利发展的重要因素。本文主要对IP城域网的网络架构及网络需求进行分析,并对网络安全解决方案进行论述。
二、IP城域网网络安全整体情况
IP城域网网络分层结构现状
IP城域网是在城域范围内组建的,用于实现个人和企业用户的语音、视频、数据等多种业务接入、汇聚和转发,可独立进行管理的IP网络平台。包括城域骨干网、业务控制层和宽带接入网两部分。
城域骨干网:由城域核心路由器负责对业务控制层设备进行端口和流量汇聚,并作IP城域网到IP骨干网的流量转发出口。
业务控制层由宽带接入服务器(BRAS)与业务路由器(SR)两种业务接入控制点组成,主要负责业务接入与控制。
宽带接入网:是业务控制层以下,用户家庭网关以上(不含CPE)的二层接入网络。
三、IP城域网网络安全需求分析
目前IP城域网主要以Intemet业务为主,需重点考虑以下方面:
(1)对外需加强黑客防御,对内提升安全控制;
(2)业务层、网络层和用户层安全并重;
(3)合理规划网络流量,保障网络的可达性和可靠性;
(4)加强网络身份认证、访问授权;
(5)网络按需隔离。
四、IP城域网网络安全研究
IP城域网是城域业务接入和流量转发的综合数据网络,不同的网络结构和层次所面对的网络安全问题将有所区别,为控制网络中的安全风险,需要有针对性的采取不同的安全策略。
4.1 IP城域网核心层安全
由于核心层网络承担整个城域网出口流量汇聚和转发,为保证其网络安全性和可靠性,建议采用以下安全策略,包括:
采用路由和交换设备应保证全线速、无阻塞;
尽量采用加密方式实现设备或系统登录,并强化登录口令管理;
采用节点、机框、板卡和端口级冗余备份;
采用资源预留,分布式转发等技术提高设备系统安全性;
对异常网络流量进行实时监控,及时发现和解决问题。
4.2 IP城域网汇聚层安全
汇聚层业务控制点的安全性能主要体现在以下几个方面:
根据用户签约带宽配置线路速率,并通过限速和QoS等技术控制用户合法带宽;
对传输层和会话层的会话数和连接数进行总量限制,避免DoS/DDoS攻击;
通过加强密码、密钥等方式提高网络安全控制管理水平;
创建访问控制列表(ACI),根据安全需求有选择控制非法用户访问网络安全服务;
通过syslog溯源系统强化安全日志管理。
4.3 IP城域网接入层安全
通过各种接入技术和传输资源实现网络覆盖,为用户提供多种业务接入和流量控制。
通过用户网络隔离、用户属性(IP、MAC和设备端口等)精确绑定等手段防止用户非法接入和恶意攻击,提高网络接入安全性;
在LAN接入,需要通过端口环路检测避免二层环路的发生,避免广播风暴对网络的影响。
五、结语
目前,电信运营商IP城域网在网络安全管理上还存在不足,网络安全防御手段相对匮乏。对网络安全的控制还集中在ACL、黑洞路由等传统手段,未规模推进防火墙/IPS等专用第三方网络安全设备与传统的路由器/交换机进行联动控制。且由于现有的检测和控制方式相对分散,部分系统或设备必须由运维人员手工配置,难以在网络安全受到威胁下,保证各系统和设备相互协调,迅速作出响应,以形成一个完整和有效的安全网络。
但随着网络安全技术的不断发展及人们对网络安全认识的不断深入,未来的IP城域网将会建立更加完善的网络安全解决方案,对网络安全进行快速识别和分析,并可及时对异常流量和网络攻击进行过滤和控制,以保障IP城域网更加稳定、可靠运行。
参考文献[1]文光斌.主动防御网络安全研究[J].计算机安全,2006(8)[2]李学军,李讲,朱英军.宽带IP城城网的优化策略与实践[M].人民邮电出版社,2002