IP城域网的网络安全及其实施策略

张靳松 郑晓梅

中国联合网络通信有限公司唐山市分公司

IP城域网的网络安全及其实施策略

张靳松 郑晓梅

中国联合网络通信有限公司唐山市分公司

由于技术和专业的限制，IP城域网建设初期网络结构相对简单，设备性能有限的，可提供用户使用的业务类型较少。运营商长期处于铺网、圈地的状态，较少关注网络安全性。随着宽带提速、光网城市的推进，用户规模越来越大，原有网络结构、设备性能的一些弊端逐渐显现出来，IP城域网网络安全风险越来越大，网络安全问题正逐步成为影响网络正常运行、业务顺利发展的重要因素。本文主要对IP城域网网络安全及其实施策略进行分析和探讨。

IP城域网；网络安全；实施策略

1 城域网的论述

城域网英文简称MAN，通常使用一种与LAN相似的应用技术，后来人们将其从LAN中单独列了出来。IP城域网具有覆盖面广和灵活性强的特点。城域网就是指在城市范围内，以ATM和IP电信技术为基础，以光纤作为传输媒介，集数据、语音和视频服务于一体的高宽带多功能的多媒体通信网络。通常将城域网分为三个层次：核心层、汇聚层和接入层。①核心层主要提供高宽带的业务传输，完成已有网络的互相连通，其特征为宽带传输。②汇聚层的主要功能是给业务接入点提供用户业务数据的汇聚和发散处理，同时实现业务的服务等级之间的分类。③接入层具有多种接入技术，能够进行宽带和业务分配，实现用户的技术接入，完成接入点的复用和传输工作。传统意义上来讲，IP城域网滚动规划的突出部分在于如何处理好宽带业务的规划建设，做好城域网骨干网的保护工作。

2 IP城域网所面临的安全威胁

2.1 IP地址欺骗攻击

这种网络攻击又称为身份欺骗，攻击者一般是利用真实有效的IP地址，将其伪装成其他用户，并发送某些特定的报文来对正常的网络数据传输进行干扰，或者通过某些路由报文来对路由信息进行更改，以达到窃取用户信息的目的。

2.2 应用层攻击

此种攻击方式的攻击者通过在服务器的应用系统或者操作系统中设置后门，利用该后门攻击者能够绕过正常的访问从而对系统进行控制。这种攻击目标直接对准应用层服务器的攻击方式，其攻击者往往就是那些设计应用层系统软件的程序员。特洛伊木马攻击就是一个典型的应用层攻击范例。

2.3 DDOS攻击

DDOS攻击目前处于上升趋势，攻击者通过大量报文的发送来对用户有限的带宽进行消耗，从而阻止用户对网络资源正常访问和使用，这种攻击已经成为IP城域网安全管理的重要威胁。①PING报文攻击。通过发送大量PING报文来占据用户的带宽使得系统无法对用户正常的业务需求进行处理。②SMURF攻击。通过将要攻击的主机地址作为源地址在网络进行传播，使得许多系统对其响应并发送大量信息给所攻击的主机。③SYN洪水攻击。通过利用TCP协议的漏洞来进行攻击，不仅难以处理，也会造成较大的危害，由于SYN洪水攻击而导致网站瘫痪的案例比比皆是。

3 网络安全的实施措施方案研究

3.1 提升网络数据传输的安全性

在宽带网络当中，一般的来讲是将主干网络当成是安全的网络，而主要的威胁，一般都是来源于传统的以太网络当中。网络的分段，是一种控制网络广播风暴的主要技术手段，也是全面的保证网络安全的主要方案措施，通过路由器以及交换机等将网络进行分段，并且使得单播包仅仅在两个有限的节点当中进行数据的传输，达到防止网络威胁、降低安全隐患的目的和效果。划分VLAN，则是将不同的用户之间存在的二层交换设备进行隔离，通过这样的方式，只能够通过广播，才能够实施的攻击技术手段将难以通过此种类型的端口对其他用户进行攻击。最后则是使用VPN，其可以在公用IP网络之上建立一个逻辑点，并且建立出相应的隧道，运用加密技术，通过隧道传输数据并且对此数据进行加密，保证数据的安全性以及数据的私有性。

3.2 使用严格的用户接入认证措施方案

这一点是全面的保证网络安全性的重要措施。使用严格的用户接入认证技术措施，采用基于用户的访问控制技术，则可以达到全面升级网络安全的目的和效果。现阶段所使用的认证方式有三种，其各自具有优点和缺点，需要根据网络的实际情况以及各项技术的特征，综合性的考虑分析并且拟定最终的方案。

3.3 保护网络基础设施

保护网络基础设施也是一项提升网络安全性的重要手段。首先，需要保证管理接口的安全化，其次，还需要加强账户以及密码等的管理，采用集中认证的方式，对其进行改进和完善。同时，关闭网络当中不使用的功能，诸如关闭ARP代理服务功能等，来达到增强网络安全性的目的和效果。最后，则是保护设备的物理安全，在网络之上的每一个设备，都需要制定一个详细的物理安全措施，进而保证一系列安全策略的开展，并且提高接入层交换机设备的安全性，在交换机之上的安全管理，使用来进行未授权访问的控制和管理，来进一步的提高网络的安全以及运行工作的可靠性，达到最终的安全效果。

3.4 安全检测与实时监控

安全检测主要包括系统自身的漏洞检测、外部入侵检测和病毒检测。漏洞检测应该定期进行，当系统发生变化，如安装新软件之后也应该进行漏洞检测。入侵检测是通过计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。应该在关键的服务器(如Radius)上安装入侵检测代理，并将入侵行为记录进系统的日志，日后进行分析。病毒同样会给系统带来安全威胁，所以病毒检测也是系统必须长期进行的日常维护工作。实时监控是一种入侵检测机制，它的功能包括确认或查验安全策略的正确实施及实时监测网络的异常现象。

结语

在宽带IP城域网的建设中，特别是网络建设初期，由于发展业务的迫切需要，往往因对网络的安全性不够重视而缺乏必要的安全管理。但是，随着用户数的增加和用户业务种类的不断增多，运营商和用户将越来越重视网络和信息的安全性。因此，认清网络存在的安全问题和潜在威胁，采取相应的技术措施和安全管理策略，对于保障网络的安全十分重要。

[1]杨俭.IP城域网路由协议改进的平稳过渡研究[D].吉林大学，2013.

[2]林浩.IP城域网本地优化及保护策略探讨[J].电信科学，2014，S1：141-147.