劉 敏

中國鐵通日照分公司，山東日照 276826

寬帶城域網(wǎng)網(wǎng)絡(luò)安全與優(yōu)化

劉 敏

中國鐵通日照分公司，山東日照 276826

隨著互聯(lián)網(wǎng)的快速發(fā)展，了解和研究互聯(lián)網(wǎng)的人越來越多，研究互聯(lián)網(wǎng)的人的意圖各不相同，來自互聯(lián)網(wǎng)的威脅開始出現(xiàn)，并且越來越嚴重。本文討論了寬帶城域網(wǎng)網(wǎng)絡(luò)的安全與優(yōu)化。

寬帶城域網(wǎng)；網(wǎng)絡(luò)安全；優(yōu)化

從我國的互聯(lián)網(wǎng)商業(yè)化之后，互聯(lián)網(wǎng)產(chǎn)業(yè)已經(jīng)取得了很大的發(fā)展。網(wǎng)絡(luò)安全市場在2000年后開始成熟，據(jù)中國國家信息安全測評認證中心的預(yù)測，我國的信息安全市場2001年將高達50億元人民幣，其中加密、防火墻和防病毒是安全市場的三大主要支柱。目前，中國信息安全市場進入高速成長期，越來越多的企業(yè)意識到網(wǎng)絡(luò)安全的重要性。

1 網(wǎng)絡(luò)安全的重要性

互聯(lián)網(wǎng)在早期的主要任務(wù)是發(fā)展，發(fā)展是第一位的，安全問題提不上議程。由于互聯(lián)網(wǎng)特有的魅力，越來越多的人使用互聯(lián)網(wǎng)，互聯(lián)網(wǎng)應(yīng)用發(fā)展很快，但技術(shù)發(fā)展還不充分，互聯(lián)網(wǎng)本身還很新，了解和研究互聯(lián)網(wǎng)的人還不太多，網(wǎng)絡(luò)安全問題也不突出。隨著互聯(lián)網(wǎng)的快速發(fā)展，了解和研究互聯(lián)網(wǎng)的人越來越多，研究互聯(lián)網(wǎng)的人的意圖各不相同，來自互聯(lián)網(wǎng)的威脅開始出現(xiàn)，并且越來越嚴重。

美國計算機犯罪調(diào)查機構(gòu)(CSI)和聯(lián)邦調(diào)查局(FBI)的調(diào)查報告表明：91%的大公司和政府機構(gòu)在過去的12個月內(nèi)發(fā)現(xiàn)計算機安全問題，64%承認存在財務(wù)損失，當(dāng)然還有礙于情面不愿意承認的，實際的數(shù)字比這個更高。導(dǎo)致財務(wù)損失的主要原因是機密信息的泄露和財務(wù)欺詐。70%的人承認是因為互聯(lián)網(wǎng)連接導(dǎo)致網(wǎng)絡(luò)攻擊的發(fā)生，91%的單位承認內(nèi)部員工濫用公司的互聯(lián)網(wǎng)，高達94%的單位承認遭遇到了來自互聯(lián)網(wǎng)的計算機病毒。

2 安全性設(shè)計的目標(biāo)和需求

網(wǎng)絡(luò)規(guī)劃設(shè)計中的安全性分析立足于網(wǎng)絡(luò)整體，考慮的是網(wǎng)絡(luò)結(jié)構(gòu)性的、技術(shù)性的安全問題以及在危機情況下網(wǎng)絡(luò)運行的穩(wěn)定性、可用性和可靠性，確保網(wǎng)絡(luò)能夠在負載變化、部分受損的情況下比較穩(wěn)定、可靠地運行。根據(jù)IS07498-2中提出的建議，一個安全的計算機網(wǎng)絡(luò)應(yīng)當(dāng)能夠提供以下安全服務(wù)：

1）實體認證：實體認證安全服務(wù)是防止主動進攻的重要防御措施，對于開放系統(tǒng)環(huán)境中的各種信息安全有重要的作用。認證就是識別實體的身份和證實其身份的正確性；

2）訪問控制：訪問控制服務(wù)是針對越權(quán)使用網(wǎng)絡(luò)資源的防御措施，實現(xiàn)機制可以是機遇訪問控制屬性的訪問控制列表，或基于安全標(biāo)簽、用戶分類和資源分檔的多級訪問控制；

3）數(shù)據(jù)保密性：數(shù)據(jù)保密性安全服務(wù)是針對信息泄露的防御措施，細分為信息保密、選擇數(shù)據(jù)段保密與業(yè)務(wù)流保密；

4）數(shù)據(jù)完整性：數(shù)據(jù)完整性安全服務(wù)是針對非法篡改信息、文件和業(yè)務(wù)流而設(shè)置的防范措施，保證資源的可獲得性，分為連接完整性、無連接完整性、選擇數(shù)據(jù)段完整性；

5）防抵賴：防抵賴安全服務(wù)是針對對方進行抵賴的防范措施，可用來證實發(fā)生過的操作，分為對發(fā)送防抵賴、對遞交防抵賴與公證。

3 網(wǎng)絡(luò)安全設(shè)計

根據(jù)以上的分析，對城域網(wǎng)的網(wǎng)絡(luò)安全提出以下設(shè)計方案：

1）網(wǎng)絡(luò)互聯(lián)互通分析及安全控制

如果兩個內(nèi)部客戶服務(wù)器之間二層能夠互通，那么兩者之間的三層互通是直接的，不需要經(jīng)過路由器。因此，路由器的三層防火墻不能生效，在沒有任何安全措施的情況下，各種攻擊方法都可以使用。因此，最好讓內(nèi)部各客戶服務(wù)器在二層完全隔離。采用VLAN在二層隔離了兩個內(nèi)部客戶，他們只在三層互通，這時路由器的三層防火墻也可以生效了。因此，目前有了兩個安全措施：VLAN和三層防火墻。

2）路由認證和保護

目前，多數(shù)路由協(xié)議支持路由認證，并且實現(xiàn)的方式大體相同。認證過程有基于明文的，也有基于更安全的MD5校驗。MD5認證與明文認證的過程類似，只不過密鑰不在網(wǎng)絡(luò)上以明文方式直接傳送。路由器將使用MDS算法產(chǎn)生一個密鑰的“消息摘要”。這個消息摘要將代替密鑰本身發(fā)送出去。這樣可以保證沒有人可以在密鑰傳輸?shù)倪^程中竊取到密鑰信息。OSPF就支持基于MD5的路由認證。

BGP區(qū)別與內(nèi)部網(wǎng)關(guān)協(xié)議，它是目前最為流行的外部網(wǎng)關(guān)協(xié)議。為了提高BGP的可靠性，BGP協(xié)議采用TCP來提供可靠的連接，也因此BGP本身的刷新報文就不再需要可靠性保證了。

為了防止被欺騙的TCP分段進入到連接流中，從而對BGP的連接進行攻擊，TCP為BGP提供了“TCP MD5簽名”選項。“TCP MD5簽名”選項的意思就是說，在每個TCP分段中加入一個MD5的摘要，摘要的信息僅僅能夠被連接的對端所識別。從而增強了基于TCP連接的BGP的安全。

3）關(guān)閉IP功能服務(wù)

因為IP源路由選項忽略了報文傳輸路徑中的各個設(shè)備的中間轉(zhuǎn)發(fā)過程，而不管轉(zhuǎn)發(fā)接口的工作狀態(tài)，可能被惡意攻擊者利用，刺探網(wǎng)絡(luò)結(jié)構(gòu)。因此，設(shè)備應(yīng)能關(guān)閉IP源路由選項功能。

重定向開關(guān)：網(wǎng)絡(luò)設(shè)備向同一個子網(wǎng)的主機發(fā)送ICMP重定向報文，請求主機改變路由。一般情況下，設(shè)備僅向主機而不向其它設(shè)備發(fā)送ICMP重定向報文。但一些惡意的攻擊可能跨越網(wǎng)段向另外一個網(wǎng)絡(luò)的主機發(fā)送虛假的重定向報文，以期改變主機的路由表，干擾主機正常的IP報文轉(zhuǎn)發(fā)。因此，設(shè)備應(yīng)能關(guān)閉ICMP重定向報文的轉(zhuǎn)發(fā)。

定向廣播報文轉(zhuǎn)發(fā)開關(guān)：在接口上進行配置，禁止目的地址為子網(wǎng)廣播地址的報文從該接口轉(zhuǎn)發(fā)，以防止攻擊。因此，設(shè)備應(yīng)能關(guān)閉定向廣播報文的轉(zhuǎn)發(fā)。缺省應(yīng)為關(guān)閉狀態(tài)。

ICMP協(xié)議的功能開關(guān)：很多常見的網(wǎng)絡(luò)攻擊利用了ICMP協(xié)議功能。ICMP協(xié)議允許網(wǎng)絡(luò)設(shè)備中間節(jié)點(路由器)向其它設(shè)備節(jié)點和主機發(fā)送差錯或控制報文：主機也可用ICMP協(xié)議與網(wǎng)絡(luò)設(shè)備或另一臺主機通信。對ICMP的防護比較復(fù)雜，因為ICMP中一些消息已經(jīng)作廢，而有一些消息在基本傳送中不使用，而另外一些則是常用的消息。因此ICMP協(xié)議處理中應(yīng)根據(jù)這三種差別對不同的ICMP消息處理。以減少ICMP對網(wǎng)絡(luò)安全的影響。

4）基于端口的驗證

基于端口的驗證，是由工EEE進行標(biāo)準(zhǔn)化的驗證方法，標(biāo)準(zhǔn)號是802．1x。802．1x用于交換式的以太網(wǎng)環(huán)境，要求與客戶和與其直接相連的設(shè)備都實現(xiàn)802．1x。當(dāng)應(yīng)用于共享式以太網(wǎng)環(huán)境時，應(yīng)對用戶名、密碼等關(guān)鍵信息進行加密傳輸。在運營過程中，設(shè)備也可以隨時要求客戶重新進行驗證。

支持端口驗證的設(shè)備應(yīng)滿足如下要求：

識別并支持源、目的地址確定，VLAN TAG要求等；

支持受控端口與非受控端口，并根據(jù)數(shù)據(jù)幀類型送入不同的端口；

支持受控端口在端口控制參數(shù)下的行為；

支持Radius驗證。

5）設(shè)備安全防護

口令管理：為防止對系統(tǒng)未經(jīng)授權(quán)的訪問，系統(tǒng)必須具有完善的密碼管理功能。

雖然幾乎所有數(shù)據(jù)通信設(shè)備都具有RADIUS或TACACS認證服務(wù)器進行口令管理的能力，但在設(shè)備本地進行密碼分配和管理仍是設(shè)備本身應(yīng)具有的安全特性。這里只描述本地密碼管理?？诹畹拿芪娘@示：若系統(tǒng)的配置文件以文本方式進行保存，則在配置文件中，所有的口令都必須以密文方式顯示和保存。

[1]龔儉，陸晟，王倩編著.計算機網(wǎng)絡(luò)安全導(dǎo)論.第1版.東南 大學(xué)出版社，2000，8.

[2]陳光軍主編.數(shù)據(jù)通信技術(shù)與應(yīng)用.第1版.北京郵電大學(xué)出 版社，2005，8.

[3][美]Kathy Schwalbe著.IT項目管理.鄧世忠，等譯.2 版.機械工業(yè)出版社，2006，1.

TP393

A

1674-6708（2010）23-0204-02