城域网新型安全管理策略研究

陈广强

（中国电信股份有限公司 广州分公司，广东 广州 510000）

1 城域网安全问题

1.1 网管认证互通

在网管认证中，通常利用验证、授权及记账（Authentication Authorization Accounting，AAA）服务器对操作者进行身份识别和权限管理。目前，广东省内存在传统城域网与互联网数据中心（Internet Data Center，IDC）、城域云网、基于IP的无线接入网（IP Radio Access Network，IPRAN）、云网汇接中心4种不同定位的IP化网络，各自需要独立认证。如果按照之前的惯例，则需要分别部署4套AAA认证授权服务器，以满足日常维护需要。而对于4种网络的维护人员高度重叠，账号申请与授权基本一致，日常使用重复率较高。分别设置AAA服务器，无论对于系统建设还是维护支撑，都难免造成人力与物力的浪费。如果能够简化为1套系统，则可以极大地节约各种成本，提高系统建设与日常维护的效率[1-3]。此外，打通不同的网络又会产生极大的安全隐患，使本来用于安全管理的授权服务器成为网络间的互通漏洞。

1.2 故障定位和紧急调度

目前城域网路由和流量监控主要存在4个方面的问题：一是缺少有效路由预警与故障定位手段，路由故障排查时间长，对业务影响面较广；二是承载网故障造成部分链路拥塞，需要人工进行流量评估和调整调度，流量调度手段不足，故障历时长；三是在工程割接中，对割接前后的流量变化和业务影响情况难以直观评估，操作风险大；四是网络各层面的链路流量存在负载不均衡的情况，没有智能化的流量均衡调度手段，容易形成局部网络拥塞。针对此类问题，建立1套可视化的故障定位和路由调度系统，在网络突发故障或受工程影响造成流量拥塞时能快速调度路由，疏导拥塞流量，实现客户无感的故障处理，对缓解维护压力、提高运营效率以及提升客户满意度都具有重要的意义。

1.3 DNS攻击

域名系统（Domain Name System，DNS）是互联网重要的基础设施，其主要功能是提供域名对IP的解析。互联网的DNS服务器大多由运营商提供，一旦受到攻击，城域网将面临瘫痪，对互联网用户造成极其严重的影响。近年来，各种DNS安全事件时有发生，不仅给被攻击的客户造成了严重的经济损失，也给整个互联网带来巨大的安全隐患。根据统计，运营商DNS日常每秒查询率（Queries Per Second，QPS）已达百万甚至上千万级别，面对如此大的业务量，在确保DNS性能不受影响的前提下提升DNS的安全等级并保障DNS服务的可靠性、可用性、连续性是城域网维护面临的难题。

1.4 政企云网

政务上云、企业上云是当前国家提倡的数字化发展战略之一，云服务正在成为信息通信服务的主体，基于高速泛在的宽带网络为云服务提供更好的网络基础也是运营商研发和推广新型连接产品的着力点。政府、企业应用上云面临着互联网暴露风险，单靠原“筑墙”式安全产品难以应对云时代的要求，需转变思路提供“隐身”式安全防护接入产品。随着云上教育、云上会议、居家办公等需求的快速增长，运营商的当务之急是为连接产品提供更加安全的上云保障。

2 城域网安全问题的解决方案

2.1 AAA认证授权服务器优化

利用云上虚拟化资源，以单点部署方式实现AAA认证授权服务器统一管理。利用云端多网络可达的特性，结合云端虚拟防火墙地址转换功能，分别使用公众网络、虚拟专用网络（Virtual Private Network，VPN）解决不同网络中服务器无法全部通达、单点调通的问题，减少了不同网络间分别部署认证服务器造成的资源浪费，实现统一部署、统一管理[4]。

针对传统城域网与互联网数据中心（Internet Data Center，IDC）、城域云网、IPRAN承载网以及云网汇接中心4种不同的IP网络，在AAA服务器上对维护人员的统一账号进行分权分域管理，降低授权与日常维护操作的复杂性。结合“云网一体”的部署理念，利用云资源多网通达、快速部署特性，参考网络原生安全的部署要求，将不同的IP网络系统通过VPN引入云端，避免产生互通点。在云端分别建立个性化的虚拟防火墙，对访问AAA认证授权服务器的流量实施隔离，并做到点对点的安全过滤，降低安全风险。

2.2 路由紧急调度优化

建立网络路由可视化及智能流量调度系统，通过协议监听方式实时监视路由情况，构建影子网络，对网络的流量分布与业务流量路径进行可视化呈现，实现全网传输故障的模拟和预案制作以及传输故障发生时的快速、自动化流量优化调度，为网络日常运维、故障处理、拓扑结构调整以及网络优化提供全新的技术支撑。数据分析及处置结构如图1所示。

图1 数据分析及处置结构

将收集到的数据分别放入不同的数据库，针对网络可视化、路由告警、链路质量以及流量流向进行分析，然后推送到网络仿真或流量调度的操作指令。当网络拓扑和路由数据从分布全网的路由器收集集中后，可以利用数据库的优势对这些信息进行集中分析，满足溯源、预警、处置及其他管理需求。

基于用户指定的流量自动调度策略和网络拥塞情况，自动选择需要调度的流量成分，为该流量成分寻找调度目标链路，避免拥塞，实现流量负载均衡。选路算法能基于城域网拓扑和路由、流量情况指定调度约束规则，实现自动拥塞检测、调度流量成分确定、调度目标链路确定等功能。系统同时支持人工指定的调度方案，即手工选择流量成分和调度目标链路。

基于选路结果生成边界网关协议（Border Gateway Protocol，BGP）路由策略，经人工确认后，通过BGP链接向城域网路由器发送优选路由，确保下发路由为优先路由。此外，系统提供调度日志查看功能，可通过日志查看特定时间段内发生的自动调度情况，其中日志包括调度时间、调度的流量成分及其大小、流量调度的目标链路或链路组[5]。

2.3 DNS防攻击优化

DNS攻击有效防范是以鉴别筛选非法的DNS请求、屏蔽非法攻击为主要手段，从业务网络、业务设备以及业务软件3个层面采取多种安全防护方式，建立层次化的立体防护体系，确保系统安全可靠。接入网络开启访问控制列表（Access Control List，ACL），节点间互为灾备。业务设备缓存递归采集等全服务器开启iptables，同时对主机访问进行安全加固。DNS网管系统防火墙层面开启异常报文和畸形报文过滤检测等多种安全防护策略。DNS系统立体防护体系如图2所示。

图2 DNS系统立体防护体系

2.4 SDP新型光宽业务

软件定义边界（Software Defined Perimeter，SDP）新型光宽业务基于高速泛在的宽带网络提供智能、弹性的连接服务，为用户与数据间的交互以及数据与数据间的交互提供更加便捷、安全的连接产品，满足企业上云后服务隐身的安全防护需求。对于客户的数字化上云、多业务融合需求，SDP凭借通信云网络的智能化和高安全性平台即服务（Platform as a Service，PaaS）/软件即服务（Software-as-a-Service，SaaS）能力，满足不同用户的差异化和跨域网络访问质量保障需求。SDP新型光宽业务流程如图3所示。

图3 SDP新型光宽业务流程

3 城域网安全管理策略

3.1 路由调度均衡网络流量

为避免省内地市间流量拥塞，利用系统对链路和拓扑的感知尽快发现地市域间流量异常，并通过下发调度指令将流量自动从省内骨干网疏导到集团骨干网，以减少骨干链路异常对大面积客户的影响。

3.2 DNS系统安全防护

在接入网络层，现网4个业务节点接入路由均开启ACL策略，限制非本网用户对DNS系统的访问，并对业务端口、报文长度等进行限制，有效保护DNS系统业务的接入安全。同时现网4个业务节点通过Anycast组网，实现全局动态冗余备份，确保DNS系统具备高可用性。

在业务服务层，现网所有业务设备均开启iptables功能，能够根据业务需要配置过滤策略，确保业务设备安全稳定运行。所有设备定期进行安全扫描，并定期进行加固。

在DNS系统网管层，具有高级别的DNS安全防护能力，能够实现对异常报文与畸形报文过滤检测、分布式拒绝服务（Distributed Denial of Service，DDoS）攻击、放大递归攻击等的防护，并提供多种IP限制、授权域名限制以及样本防护等安全防护策略。

3.3 合理搭建SDP新型光宽业务应用

基于SDP零信任安全模型，实现CT云服务器与客户内网服务器隐身，杜绝客户数据在公网暴露，确保云网基础设施安全。除此之外，基于零信任理念，结合多维环境（终端、网络、用户行为等）动态感知能力，实现对用户接入和应用级别的访问控制，最大程度减少入侵暴露和防护盲点问题。SDP零信任安全模型如图4所示。

图4 SDP零信任安全模型

在大规模城域网引入原生安全思路搭建灵活网管通道，结合VPN的天然安全性和云资源的部署便捷性，有效解决原有网管的安全问题和扩展性局限。在网内通用方案的基础上，联动IP子系统判断地址注册安全并给出处置建议，采用云主机模拟路由器的方式和分段路由（Segment Routing，SR）等设备建立BGP与内部网关协议（Interior Gateway Protocol，IGP）关系，根据BGP路由属性和IGP链路状态数据库信息，在系统上快速收敛出网络拓扑结构。建立业务网络、业务设备以及业务软件3个层面的层次化立体防护体系，采取安全防护二级联动方式。基于云网连接器和域隔离技术提供多租户SaaS平台能力，采用零信任控制台和CT云资源搭建SDP新型光宽业务，满足企业服务“隐身”的安全防护需求。

4 结 论

对于网管安全建设，需要持续完善城域网网络安全顶层设计，聚焦国家网络安全的长期规划，认真做好每一台设备、每一个平台、每一项业务的安全工作。基于新技术的逐步引入，路径计算和调度场景会更加丰富。将路由可视化和拓扑结构相结合，进一步加强有线、无线、核心网等跨专业联动，提高端到端交互能力。DNS系统安全防护方面，提升DNS系统流量的一键切换能力，结合层次化的立体防护体系进一步提升安全防护水平。此外，加快SDP光宽业务产品的推广力度，持续完善SDP光宽新型业务产品的业务实现能力，为云网融合的业务快速发展树立典型。