郭斌

目前網(wǎng)絡(luò)安全問題日益突出，其原因在于電信運(yùn)營寬帶城域網(wǎng)發(fā)展迅速。一些較為常見的安全問題已經(jīng)能在BAS/SR設(shè)備上解決，常用手段有傳統(tǒng)IP地址欺騙、ARP欺騙等。而尚未解決的安全問題，已經(jīng)嚴(yán)重干擾寬帶城域網(wǎng)的運(yùn)行和業(yè)務(wù)發(fā)展，比如DDOS攻擊、垃圾郵件、低俗網(wǎng)絡(luò)等，并影響社會的良好運(yùn)行，因此寬帶城域網(wǎng)的安全建設(shè)已經(jīng)迫在眉睫。

【關(guān)鍵詞】寬帶 城域 安全 建設(shè)

1 寬帶城域網(wǎng)安全模型

信任域、非信任域以及隔離域共同組成寬帶城域網(wǎng)安全模型。信任域作為基礎(chǔ)網(wǎng)絡(luò)，隸屬于運(yùn)營商，和電信業(yè)務(wù)網(wǎng)相互分離，防火墻是常被運(yùn)用的設(shè)備，信任域有多種類型，如支撐系統(tǒng)、網(wǎng)管系統(tǒng)、智能業(yè)務(wù)平臺等。非信任域是基礎(chǔ)網(wǎng)絡(luò)，也隸屬于運(yùn)營商，為客戶服務(wù)，主要應(yīng)用于接入和業(yè)務(wù)，且是Internet網(wǎng)絡(luò)的組成部分，主要設(shè)備有基礎(chǔ)用戶接入、數(shù)據(jù)交換以及媒體網(wǎng)關(guān)，該網(wǎng)絡(luò)有時(shí)會脫離互聯(lián)網(wǎng)的控制。隔離域作為平臺目的在于實(shí)現(xiàn)信任域和非信任域的數(shù)據(jù)交互，該業(yè)務(wù)平臺種類較多，有web服務(wù)平臺、ftp服務(wù)器、dns服務(wù)器等等。信息傳輸?shù)幕A(chǔ)是非信任域，作為基礎(chǔ)網(wǎng)絡(luò)，是城域網(wǎng)中的主要組成部分，起到很大的作用，因此，在安全模型的建立過程中，應(yīng)當(dāng)對非信任域予以重點(diǎn)考慮。

2 寬帶城域網(wǎng)安全分析

2.1 信任區(qū)域的安全

信任域的安全性較為關(guān)鍵，是寬帶城域網(wǎng)運(yùn)用的重點(diǎn)，因此為保障其安全，應(yīng)當(dāng)采取相應(yīng)的措施。一般情況下，信任域會受到多種攻擊，如網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵以及病毒等。為保證信任域的安全，可以采用如下方式。第一，對防火墻予以部署，保證安全訪問策略的嚴(yán)格性，對此區(qū)域的訪問進(jìn)行嚴(yán)格限制。第二，在系統(tǒng)軟件和應(yīng)用軟件的挑選上予以嚴(yán)格限制，且予以配置，對操作系統(tǒng)和應(yīng)用系統(tǒng)的漏洞和補(bǔ)丁情況予以關(guān)注，同時(shí)對進(jìn)展情況予以監(jiān)測。同時(shí)對系統(tǒng)和應(yīng)用的服務(wù)對象范圍予以界定。第三，對網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)予以關(guān)注，且進(jìn)行部署，重點(diǎn)的監(jiān)控對象是核心服務(wù)，若發(fā)生網(wǎng)絡(luò)攻擊和病毒，可以及時(shí)警報(bào)。第四，堅(jiān)持完善網(wǎng)管系統(tǒng)，同時(shí)完善日志系統(tǒng)。第五，在處理主機(jī)系統(tǒng)問題上，應(yīng)當(dāng)運(yùn)用雙機(jī)熱備份方式，同時(shí)應(yīng)用系統(tǒng)和數(shù)據(jù)的備份工作也應(yīng)當(dāng)做好，且還應(yīng)根據(jù)具體情況，進(jìn)行需要設(shè)定，對系統(tǒng)工作予以恢復(fù)。

2.2 隔離域的安全

隔離域的作用在于能夠連接寬帶城域網(wǎng)和對外業(yè)務(wù)服務(wù)，業(yè)務(wù)應(yīng)當(dāng)具有足夠的對外開展空間，才能使安全的威脅降到最低，此時(shí)該域也是最容易受到破壞的部分。為實(shí)現(xiàn)安全性保障，可以采取以下措施。第一，對防火墻予以部署，保證安全訪問策略，其中分布式拒絕服務(wù)攻擊應(yīng)當(dāng)予以重視。第三，對服務(wù)器的安全漏洞予以修補(bǔ)，拒絕接入不必要的網(wǎng)絡(luò)服務(wù)。第三，同時(shí)做好系統(tǒng)和日志的備份工作。

2.3 非信任域的安全

作為傳輸網(wǎng)絡(luò)，非信任域和用戶的接入和業(yè)務(wù)直接相關(guān)。但是非信任域容易受到攻擊和不同病毒，其安全性存在重大威脅。主要可以從以下三個(gè)方面進(jìn)行闡述，第一，網(wǎng)絡(luò)設(shè)備的系統(tǒng)資源將會增大網(wǎng)絡(luò)攻擊和病毒攻擊，造成CPU處理能力降低，形成網(wǎng)絡(luò)故障，導(dǎo)致用戶的報(bào)文丟失。第二，攻擊和病毒會導(dǎo)致資源消耗，如若采用TCP連接數(shù)資源，會對網(wǎng)絡(luò)服務(wù)器產(chǎn)生重大影響，且大大影響NAT設(shè)備。第三，對設(shè)備訪問控制過程中，黑客的攻擊性應(yīng)當(dāng)受到重視。目前為止，針對信任域和隔離域，已經(jīng)逐漸采取了安全措施，同時(shí)寬帶城域網(wǎng)對非信任域的安全問題應(yīng)當(dāng)予以重視，尤其在城域承載網(wǎng)的安全建設(shè)問題上。

3 寬帶城域網(wǎng)安全建設(shè)及常見故障處理方案

3.1 防DDOS攻擊網(wǎng)絡(luò)部署方案

根據(jù)筆者的相關(guān)經(jīng)驗(yàn)，認(rèn)為防DDOS攻擊網(wǎng)絡(luò)部署方案，可以從以下四個(gè)方面著手。第一，建立專門的清洗中心，將核心路由器予以盤掛和直掛，通過靜態(tài)的方式對指定流量予以防護(hù)，同時(shí)清洗設(shè)備還能夠?qū)Ξ惓Ａ髁窟M(jìn)行清晰，將該用戶端納入保護(hù)范圍。在本方案中，有不少優(yōu)點(diǎn)，主要有部署簡單、成本不高等優(yōu)點(diǎn)，且對用戶進(jìn)行特定保護(hù)的過程中，需要做好深度、實(shí)時(shí)檢測和清洗工作，此時(shí)不會造成延遲防護(hù)，會產(chǎn)生比較好的效果，但也有不好之處，比如，靜態(tài)防護(hù)需要一定容量的清洗設(shè)備，且隨著流量的擴(kuò)大，容量也增大，所以如果選擇直接部署方式，清洗設(shè)備的量將會成為清洗限制，因此這種方式一般較為適合小型網(wǎng)絡(luò)，對清洗流量要求不高。第二，同樣建立新的清洗中心，對進(jìn)行城域網(wǎng)流量進(jìn)行探討和分析，利用Netflow工具， 同時(shí)將該清洗中心在核心路由器上進(jìn)行盤掛。對攻擊流量進(jìn)行檢測，通過設(shè)備的自動下發(fā)引流策略，一直到達(dá)核心路由器設(shè)備，且將異常流量進(jìn)行清洗，在清洗完成之后，還可以將流量進(jìn)行回注。本方式的優(yōu)點(diǎn)同第一種方式一樣，在成本上都消耗比較少。主要應(yīng)用的區(qū)域是大型城域網(wǎng)以及IDC網(wǎng)絡(luò)，同時(shí)應(yīng)當(dāng)做好部署Netflow工作，其性價(jià)比都比較高。但也有缺點(diǎn)存在，因?yàn)镹etflow技術(shù)并非十分成熟，技術(shù)上仍有瓶頸存在，因此在檢測攻擊時(shí)，會造成比較大的時(shí)間延誤，同時(shí)對采集有一定的要求，針對應(yīng)用層進(jìn)行攻擊識別，打那時(shí)其缺點(diǎn)在于不能識別小流量攻擊。此外，還可以通過DPI 深度報(bào)文全流量檢測對進(jìn)入城域網(wǎng)流量分析以及針對寬帶組建專門建立VPN。

3.2 防止垃圾郵件安全方案

在寬帶城域網(wǎng)中，垃圾郵件的數(shù)量很多，要對該問題進(jìn)行根治，需要做好幾方面的工作，比如對個(gè)人素質(zhì)和意識進(jìn)行提升是非常重要的方面。就目前來看，垃圾郵件對人們的生活造成了非常大的影響。主要表現(xiàn)在兩個(gè)方面，一是大量的垃圾郵件接收，使得用戶不能正常使用郵件，第二，網(wǎng)內(nèi)用戶在向外發(fā)送垃圾郵件的過程中，一些無辜的用戶會被國際反垃圾郵件組織列入黑名單。筆者認(rèn)為要解決以上兩個(gè)問題，可以從以下兩個(gè)方面入手，第一，通過選擇比較穩(wěn)定的企業(yè)郵局系統(tǒng)，一個(gè)好的郵件胸膛呢，對整個(gè)垃圾郵件而言具有較好的控制能力，同時(shí)功能還較為齊全。此時(shí)，通過對反垃圾郵件引擎的設(shè)置，以及設(shè)置相應(yīng)的規(guī)則，對該問題予以規(guī)制，從而在最大程度上對垃圾郵件予以控制。第二，在目前的城域網(wǎng)中加入一些反垃圾郵件的功能，主要的設(shè)備部位在后端系統(tǒng)功能模塊中，分析對象是用戶數(shù)據(jù)，同時(shí)如果發(fā)現(xiàn)大批量的相同郵件發(fā)送的情況，可以將該郵件的轉(zhuǎn)發(fā)進(jìn)行限制。endprint

3.3 抵制低俗網(wǎng)站安全方案

低俗網(wǎng)站的危害十分大，對網(wǎng)民的思想道德建設(shè)構(gòu)成比較大的困擾，而其中兒童也受到了損害。與此同時(shí)，抵制低俗網(wǎng)站需要從各方面著手分析，主要體現(xiàn)在兩個(gè)方面，第一，對網(wǎng)絡(luò)監(jiān)管的力度予以加強(qiáng)，不要讓一些非法網(wǎng)站接入互聯(lián)網(wǎng)，同時(shí)對發(fā)布者和使用者兩方面進(jìn)行著手，從而在根源上，減少低俗網(wǎng)站的危害。寬帶城域網(wǎng)對低俗網(wǎng)站的抵制主要存在以下兩種方案。方案一，對城域網(wǎng)流量進(jìn)行相應(yīng)控制，對電信運(yùn)營商而言，應(yīng)當(dāng)對整個(gè)接入城域網(wǎng)的網(wǎng)站進(jìn)行備案，且對用戶進(jìn)行跟蹤調(diào)查。同時(shí)，在城域網(wǎng)流量監(jiān)控系統(tǒng)后段進(jìn)行反低俗網(wǎng)站之后，建立相應(yīng)的功能模塊，主要采用的方式是對文本關(guān)鍵字內(nèi)容進(jìn)行相應(yīng)的判斷，從而限制低俗網(wǎng)站。但是該方案的缺陷在于使用范圍較為狹小，比如該方案在特定情況下，只能夠在特定省進(jìn)行。方案二，大部分網(wǎng)站在托管過程中，都需要在電信運(yùn)營商的IDC內(nèi)，因此可以在該出口部設(shè)置相應(yīng)的監(jiān)控系統(tǒng)。但是該方案的缺陷之處在于一旦脫離了該范圍，則無法檢測判斷。

4 網(wǎng)絡(luò)安全部署實(shí)施建議

一直以來，寬帶城域網(wǎng)的安全工作是重要的業(yè)務(wù)安全保障措施，雖然不能直接帶來可視的經(jīng)濟(jì)利益。但是隨著通信行業(yè)增值業(yè)務(wù)的發(fā)展，網(wǎng)絡(luò)安全的保障問題也應(yīng)當(dāng)通過一定的措施予以實(shí)現(xiàn)，該項(xiàng)業(yè)務(wù)是重要的增值業(yè)務(wù)，也能夠產(chǎn)生一定的經(jīng)濟(jì)利益。該業(yè)務(wù)可以通過以下兩種方式予以實(shí)現(xiàn)。第一，包月服務(wù)的提供，客戶申請了安全保障后，納入白名單中，同時(shí)通過安全控制中心，對整個(gè)客戶網(wǎng)絡(luò)安全予以防護(hù)，同時(shí)該項(xiàng)服務(wù)主要的服務(wù)對象是政府和商業(yè)客戶。第二，按次進(jìn)行收費(fèi)，有些客戶不愿意進(jìn)行按月繳費(fèi)，此時(shí)他們可以選擇進(jìn)入安全系統(tǒng)平臺，對自己系統(tǒng)是否受到攻擊予以檢查，還可以自己決定是否要購買電信清洗服務(wù)，若有需要，還可以按照次數(shù)通過一定方式向電信繳費(fèi)。

總而言之，寬帶城域網(wǎng)網(wǎng)絡(luò)架構(gòu)的建立已經(jīng)慢慢成熟，使顧客不僅能夠應(yīng)付常見的故障處理，同時(shí)還能夠提供相應(yīng)的安全保障。在本文中筆者從寬帶區(qū)域安全模型入手，對寬帶城域網(wǎng)安全進(jìn)行分析，提出寬帶城建設(shè)和常見故障處理的方案與建議，如防DDOS攻擊網(wǎng)絡(luò)部署方案、防止垃圾郵件安全方案以及抵制低俗網(wǎng)站安全方案，希望能夠?yàn)榻窈蟪怯蚓W(wǎng)建設(shè)起到借鑒作用。

參考文獻(xiàn)

[]張謀總.電信寬帶城域網(wǎng)的建設(shè)及應(yīng)用[J].電信科學(xué)，2011（03）：23-25.

[2]杜賓.寬帶城域網(wǎng)的建設(shè)與以太網(wǎng)技術(shù)的發(fā)展[J].電信網(wǎng)技術(shù)，2010（06）：34-36.

[3]邱南陽.淺析RPR光傳輸技術(shù)在電力IP寬帶城域建設(shè)中的實(shí)現(xiàn)優(yōu)勢[J].科技咨詢導(dǎo)報(bào)，2011（08）：45-56.

作者單位

中國鐵通集團(tuán)公司泰安分公司 山東省泰安市 271000endprint