摘要：本文對城域網(wǎng)目前數(shù)據(jù)網(wǎng)絡(luò)安全及運(yùn)行管理方面進(jìn)行詳細(xì)分析，解決NAT方式、安全性低、ARP病毒泛濫 網(wǎng)絡(luò)管理等不足，最后通過網(wǎng)絡(luò)系統(tǒng)安全建設(shè)需要的幾個(gè)系統(tǒng)，以及網(wǎng)絡(luò)安全系統(tǒng)建設(shè)需要的幾個(gè)技術(shù)關(guān)鍵技術(shù)，實(shí)現(xiàn)局域網(wǎng)數(shù)據(jù)網(wǎng)絡(luò)安全及運(yùn)行的管理。

關(guān)鍵詞：：NAT方式 DHCP轉(zhuǎn)換為PPPOE 網(wǎng)絡(luò)流量查詢 病毒查詢系統(tǒng)

一、引言

數(shù)據(jù)網(wǎng)絡(luò)發(fā)展的十年間，數(shù)據(jù)業(yè)務(wù)由剛開始的模擬33.6K撥號(hào)、56K撥號(hào)到SDSL、ADSL、光纖小區(qū)，隨著網(wǎng)絡(luò)的規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)安全及運(yùn)行管理也應(yīng)運(yùn)而生。

數(shù)據(jù)網(wǎng)絡(luò)的安全及運(yùn)行管理方面還存在以下的問題：

1、網(wǎng)絡(luò)安全性低

2、NAT方式弊端

3、ARP病毒泛濫

4、網(wǎng)絡(luò)管理不足

二、城域網(wǎng)安全系統(tǒng)建設(shè)

1、網(wǎng)絡(luò)用戶的認(rèn)證與運(yùn)行管理

主要解決網(wǎng)絡(luò)用戶認(rèn)證及運(yùn)行管理，指定方向、指定端口監(jiān)測，實(shí)現(xiàn)網(wǎng)絡(luò)分析與預(yù)警等網(wǎng)絡(luò)活動(dòng)內(nèi)容記錄；通過收集和分析計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象；快速找到有無病毒擴(kuò)散行為，快速定位、隔離。

2、網(wǎng)絡(luò)病毒發(fā)現(xiàn)與定位

近幾年流行的一些網(wǎng)絡(luò)病毒如ARP病毒，在發(fā)作時(shí)對用戶造成很大沖擊，頻繁掉線，需要對其準(zhǔn)確定位、隔離和阻斷，保障網(wǎng)絡(luò)的正常運(yùn)行。

3、網(wǎng)絡(luò)業(yè)務(wù)自動(dòng)處理

隨著ADSL網(wǎng)絡(luò)迅猛的擴(kuò)大，寬帶用戶數(shù)量急劇膨脹，手工的開通方式遠(yuǎn)遠(yuǎn)不能適應(yīng)規(guī)模運(yùn)營的要求，也耗費(fèi)大量人力，同時(shí)從用戶申請到真正開通經(jīng)過漫長的時(shí)間，需要實(shí)現(xiàn)自動(dòng)業(yè)務(wù)受理、計(jì)費(fèi)處理、停機(jī)、復(fù)機(jī)、語音查詢、障礙申告、電子工單、業(yè)務(wù)管理等業(yè)務(wù)，就可以改善工作量大、效率低、易出錯(cuò)現(xiàn)狀。

4、網(wǎng)絡(luò)安全結(jié)構(gòu)調(diào)整

A. 取消NAT方式。

取消私網(wǎng)地址啟用公網(wǎng)地址，每個(gè)用戶在線期間獲取公網(wǎng)地址，使指定用戶可反查。

B. 用戶身份驗(yàn)證。

用戶通過身份驗(yàn)證后方可上網(wǎng)，系統(tǒng)將記錄用戶的MAC地址、IP地址、在線時(shí)間、上下線時(shí)間等基本數(shù)據(jù)。

C. DHCP轉(zhuǎn)換為PPPOE。

DHCP由于廣播域比較大，易造成病毒泛濫， PPPOE屬于點(diǎn)對點(diǎn)的通信協(xié)議，能夠控制病毒傳播和泛濫。

三、城域網(wǎng)建設(shè)需要建立的幾個(gè)系統(tǒng)

1. 網(wǎng)絡(luò)流量查詢、病毒查詢系統(tǒng)

結(jié)合實(shí)際在用數(shù)據(jù)通信設(shè)備，完成特定程序開發(fā)，提取設(shè)備信息，機(jī)房值班人員隨時(shí)可以用鼠標(biāo)點(diǎn)擊按鈕，查詢有無用戶病毒攻擊行為，根據(jù)信息中的用戶MAC地址、VLAN信息在相應(yīng)DSLAM設(shè)備上定位用戶端口，然后進(jìn)行隔離或阻斷，避免其對其他用戶影響。

同樣也完成了指定端口的流量分析，可隨時(shí)提取指定端口的流量，根據(jù)具體設(shè)備情況，確定流量是否正常，為設(shè)備維護(hù)提供依據(jù)。

2. 網(wǎng)絡(luò)用戶認(rèn)證系統(tǒng)

完成全網(wǎng)2萬用戶由原來自動(dòng)上網(wǎng)向認(rèn)證上網(wǎng)的轉(zhuǎn)變，完成全油田用戶私網(wǎng)地址向公網(wǎng)地址轉(zhuǎn)變，從根本上解決用戶反查定位問題，為寬帶用戶的運(yùn)營管理和計(jì)費(fèi)管理奠定基礎(chǔ)。

3. 網(wǎng)絡(luò)用戶自動(dòng)業(yè)務(wù)處理系統(tǒng)

用戶在營業(yè)前臺(tái)辦理手續(xù)，自動(dòng)完成用戶開戶、銷戶、過戶、停機(jī)、開機(jī)等業(yè)務(wù)受理；根據(jù)不同的計(jì)費(fèi)策略實(shí)現(xiàn)用戶的自動(dòng)停復(fù)機(jī)；實(shí)現(xiàn)與原有固話運(yùn)營系統(tǒng)的接口設(shè)計(jì)，成功實(shí)現(xiàn)固話與寬帶的運(yùn)營融合。

4. 語音查詢系統(tǒng)和WEB自助系統(tǒng)

用戶可以通過用家里固定電話、語音查詢系統(tǒng)、WEB網(wǎng)頁三種方式進(jìn)行寬帶業(yè)務(wù)的查詢及修改。

四、城域網(wǎng)系統(tǒng)建設(shè)需要解決以下幾項(xiàng)關(guān)鍵技術(shù)

1.全網(wǎng)取消NAT、啟用公網(wǎng)地址

網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）通過將專用網(wǎng)絡(luò)地址轉(zhuǎn)換為公用地址，從而對外隱藏了內(nèi)部 IP 地址，同時(shí)也隱藏了內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)。

但是NAT也存在幾個(gè)問題：多個(gè)私網(wǎng)地址只對應(yīng)一個(gè)公網(wǎng)地址，不能進(jìn)行反查；利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)的VPN穿透不了NAT；NE40、NAT策略隨著用戶數(shù)、出口方向的增多，NAT效率下降、性能下降、丟包現(xiàn)象嚴(yán)重。

NAT用戶反查查問題。NAT用戶反查時(shí)需要提取NAT日志，NAT日志需要外接設(shè)備記錄，隨著流量增加，NAT的日志記錄需要大容量存儲(chǔ)設(shè)備，高性能處理設(shè)備，而這種設(shè)備很昂貴，并且需要在網(wǎng)絡(luò)大節(jié)點(diǎn)處多處布置，以后網(wǎng)絡(luò)結(jié)構(gòu)變化，這些設(shè)備還需重新布置。

取消NAT、啟用公網(wǎng)地址，直接反查公網(wǎng)地址，不需NAT的配置任務(wù)、翻譯過程，省去了大量的NAT日志記錄；解決NAT應(yīng)用的缺陷；緩解NE40負(fù)載重、運(yùn)行慢現(xiàn)況；為反查定位奠定基礎(chǔ)，節(jié)約大量資金。

2.寬帶系統(tǒng)運(yùn)行保障

雙機(jī)熱備: 服務(wù)器的故障可能由設(shè)備故障、操作系統(tǒng)故障、軟件系統(tǒng)故障等各種原因引起，對于全網(wǎng)認(rèn)證服務(wù)這樣重要系統(tǒng)而言，用戶是很難忍受這樣長時(shí)間的服務(wù)中斷的，雙機(jī)熱備，不是簡單的放置兩臺(tái)設(shè)備，而是通過雙機(jī)控制系統(tǒng)來協(xié)調(diào)決定誰主用，誰備用，一臺(tái)故障時(shí)，自動(dòng)切換另一臺(tái)主用，來避免長時(shí)間的服務(wù)中斷，保證系統(tǒng)長期、可靠的服務(wù)。

雙電源控制: 主要服務(wù)器采用雙路電源模塊，從不同的設(shè)備取電，避免了服務(wù)器電源故障和供電設(shè)備故障造成的系統(tǒng)癱瘓。

數(shù)據(jù)備份: 數(shù)據(jù)備份分為本地和異地備份。兩個(gè)認(rèn)證服務(wù)器共享磁盤陣列，本地備份通過linux腳本執(zhí)行oracle語句備份到本地磁盤陣列，異地備份是通過ftp服務(wù)，把備份出來的數(shù)據(jù)，定時(shí)拷貝到web自助、異地服務(wù)器上，確保數(shù)據(jù)的可恢復(fù)性。

無認(rèn)證模式: 當(dāng)認(rèn)證服務(wù)器、電源發(fā)生故障不能及時(shí)恢復(fù)時(shí)，可以啟用假認(rèn)證方式進(jìn)行恢復(fù)，保證所有用戶不經(jīng)過認(rèn)證就可以上網(wǎng)，并且感覺不到，從而羸得時(shí)間。

3. 系統(tǒng)安全設(shè)置

在連接寬帶業(yè)務(wù)網(wǎng)與營業(yè)部局域網(wǎng)的計(jì)算機(jī)上使用雙網(wǎng)卡，將兩個(gè)網(wǎng)絡(luò)進(jìn)行隔開。

在所有終端計(jì)算機(jī)上，均安裝防病毒軟件和軟防火墻軟件。設(shè)置好軟防火墻的安全分級(jí)，最大限度的過濾數(shù)據(jù)包，防止攻擊。

開放了遠(yuǎn)程連接linux操作系統(tǒng)、查詢oracle數(shù)據(jù)庫、瀏覽器打開web界面、認(rèn)證和計(jì)費(fèi)端口。

4. 提高認(rèn)證效率

在系統(tǒng)實(shí)施的過程中通過以下手段，有效地提高認(rèn)證效率。

屏蔽雙機(jī)軟件的日志“輸出” ，把認(rèn)證的模式進(jìn)行簡化;減少從營業(yè)數(shù)據(jù)庫直接對認(rèn)證數(shù)據(jù)庫的操作。

5. 業(yè)務(wù)數(shù)據(jù)同步

專門配置一臺(tái)服務(wù)器，運(yùn)行業(yè)務(wù)數(shù)據(jù)同步軟件，進(jìn)行營業(yè)和認(rèn)證數(shù)據(jù)交互：

將營業(yè)系統(tǒng)中受理的所有寬帶業(yè)務(wù)數(shù)據(jù)同步更新到寬帶認(rèn)證系統(tǒng)；

將營業(yè)系統(tǒng)中繳費(fèi)的紀(jì)錄更新到寬帶認(rèn)證系統(tǒng)；

將寬帶認(rèn)證系統(tǒng)中已經(jīng)欠費(fèi)的用戶導(dǎo)出到營業(yè)系統(tǒng)；

將寬帶認(rèn)證系統(tǒng)中上網(wǎng)詳單、匯總數(shù)據(jù)導(dǎo)入到營業(yè)系統(tǒng)；

用戶檔案同步。

6. 時(shí)鐘較正

由于用戶上線、下線時(shí)間提取的是radius 時(shí)間， radius服務(wù)器的時(shí)間準(zhǔn)確率就尤為重要。最初radius時(shí)間每周有三分鐘誤差，通過啟用radius后臺(tái)程序，每五分鐘從BIOS調(diào)取時(shí)間作為radius服務(wù)器時(shí)間，使radius 系統(tǒng)時(shí)間和服務(wù)器同步，保證了時(shí)間的準(zhǔn)確。

五、結(jié)束語

城域網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)的應(yīng)用提高了吉林油田數(shù)據(jù)網(wǎng)絡(luò)運(yùn)行安全性、穩(wěn)定性，維護(hù)合法用戶的正當(dāng)權(quán)益，及時(shí)準(zhǔn)確地處理網(wǎng)絡(luò)故障；使機(jī)房維護(hù)人員從手工操作改為電腦自動(dòng)操作，在網(wǎng)絡(luò)管理方面對整個(gè)網(wǎng)絡(luò)統(tǒng)一管理、統(tǒng)一配置、統(tǒng)一監(jiān)控，提高工作效率，此系統(tǒng)在城域網(wǎng)信息管理和網(wǎng)絡(luò)應(yīng)用管理方面具有較高的前瞻性、先進(jìn)性。◆

作者簡介：尹國輝，男，1970年生，畢業(yè)于西安石油大學(xué)石油電子儀器專業(yè)，大專學(xué)歷，助理工程師，現(xiàn)在吉林油田集體企業(yè)資產(chǎn)管理處網(wǎng)絡(luò)管理工作。